BAB II TINJAUAN PUSTAKA II.1. Model - · PDF fileUji sensitifitas yaitu tahap pengujian perilaku model ... informasi yang akan mendukung pembuatan keputusan dan melakukan kontrol

BAB II

TINJAUAN PUSTAKA

II.1. Model

Model adalah penyederhanaan (abstraction) dari sebuah bentuk. Model mewakili

sejumlah objek atau aktivitas, yang disebut entitas (entity). Para manajemen

menggunakan model untuk mewakili permasalahan yang akan dipecahkan. Objek

atau aktivitas yang menyebabkan permasalahan adalah entitas.

II.1.1. Pengertian Model Secara Umum

Model diartikan sebagai kerangka konseptual yang digunakan sebagai pedoman

dalam melakukan suatu aktivitas tertentu. Dalam pengertian lain, model diartikan

sebagai barang tiruan, metafora, atau kiasan yang dirumuskan secara eksplisit yang

mengandung sejumlah unsur yang saling tergantung. Sebagai metafora, model tidak

pernah dipandang sebagai bagian dari data yang diwakili. Ia menjelaskan fenomena

dalam bentuk yang tidak seperti biasanya dirasakan. Setiap model diperlukan untuk

menjelaskan sesuatu yang lebih atau berbeda dari data. Pendapat Ackoff [11]

bahwa model dirancang sebagai pengggambaran operasi dari suatu sistem nyata

secara ideal guna menjelaskan atau menunjukkan hubungan-hubungan penting yang

terkait.

Didalam model ada istilah simulasi, validasi, error (kesalahan). Simulasi adalah

mencoba-coba berbagai alternative, untuk melihat perubahan dan hasil yang

terbentuk. Misalnya kita tidak menyukai letak pintu di depan, maka kita bisa

mencobanya disamping kiri, disamping kanan, dan seterusnya. Bisa dibayangkan

jika coba-coba tersebut dilakukan pada bangunan sesungguhnya (bukan model),

betapa repot dan mahalnya coba-coba itu. Kegiatan membandingkan model dengan

yang asli dikenal dengan validasi. Besarnya perbedaan perbandingan disebut

dengan error (kesalahan). Kegiatan validasi bertujuan agar error (kesalahan) dapat

seminimal mungkin.

Bagaimanapun seorang pemodel akan terkait dengan model kualitas, setidak-

tidaknya pada beberapa langkah perancangan model. Model kualitatif yaitu

deskripsi abstrak dari pengetahuan yang diekspresikan oleh ilmuan dengan semua

kompleksitasnya. Model kualitatif menggambarkan hubungan causal (sebab akibat)

antar variable-variabelnya. Hubungan antara variable ini menggunakan data

kualitatif yang berupa perubahan data, yaitu naik, turun atau konstan.

Model kualitatif didasarkan pada ikhtisar data, dalam persoalan ini didasarkan

dalam percobaan dan uraian. Umumnya model kualitatif didasarkan pada cerita,

sering dalam bentuk teks atau kalimat. Dalam dunia bisnis, model kualitatif

dibangun dari hasil yang difokuskan pada pengelompokan data. Sebagai contoh

suatu pendiskripsian persoalan manajemen dipaparkan dengan menggunakan data

kualitatif. Situasi persoalan ini akan dimaknai dengan uraian kata-kata oleh

pemodel. Hal itu disajikan dalam bentuk cerita, tekstual, dan diagramatik. Pemodel

harus memulai membangun dan menstrukturkan model dari situasi bisnis atau

persoalan. Setiap pemodel umumnya harus bekerja dengan model kualitatif.

Jadi model kualitatif menggambarkan uraian, pemodelan struktur bisnis dan

mendokumentasikan model user secara luas dan kompleks. Hal itu berdasarkan

pada pengalaman kualitatif yang menyoroti pemanfaatan objek dan hubungannya

dengan tujuan komunikasi dan cara mendokumentasikan model user.

Model kualitatif dibangun dari batasan data yang luas mencakup image dan film,

suara dan kalimat, dan cerita dan dialog, sedangkan yang banyak digunakan oleh

pemodel adalah teks yang bersifat elementer dengan menggunakan teknik-teknik

pemeragaan antara lain teori, persandian dan teknik jaringan kerja yang

menggunakan ilmu sosial.

II.1.2. Proses Perancangan Model

Tahap pengembangan suatu model [11] adalah :

1. Definisi masalah, dalam tahap ini masalah yang sulit didefinisikan dan diurai

menjadi unsur-unsur pembentuk masalah. Didefinisikan juga sistem dan faktor

eksternal (di luar sistem). Dicari komponen masalah yang paling penting dan

signifikan dalam pemecahan masalah. Dicari pula komponen masalah yang bisa

dijadikan titik acuan awal pemecahan masalah.

2. Strukturisasi model konseptual, pada tahap ini diuraikan hubungan antara

komponen penyusun masalah, sistem dan tujuan studi.

3. Formulasi model, yaitu proses merumuskan perilaku model, dan hubungan

antar variable. Interaksi antar variable yang kompleks sering disederhanakan

dengan menggunakan asumsi yang tepat.

4. Kalibrasi model yaitu menyesuaikan parameter-parameter dalam model sesuai

dengan kondisi nyata di lapangan.

5. Validasi model yaitu tahap pengujian perilaku model dengan mengubah-ubah

nilai variable model.

6. Uji sensitifitas yaitu tahap pengujian perilaku model dengan mengubah-ubah

nilai variable model.

7. Analisis dan solusi model. Model akan menghasilkan alternative solusi sesuai

dengan skenario yang kita buat. Hasil model yang dirasa kurang tepat, perlu

dijalankan ulang (biasanya menggunakan komputer), sampai tercapai solusi

yang memuaskan. Proses ini dikenal dengan simulasi model.

8. Implementasi model. Agar model dapat diterapkan dengan baik, maka pihak

perancang model dan pengguna model (misalnya para pengambil keputusan)

perlu bekerja sama sejak awal. Perancang model akan membuat model

sedinamis dan semudah mungkin operasionalnya (user friendly), dan pengguna

model akan meberi masukan-masukan sesuai dengan kebutuhan pengguna.

II.2. Sistem Informasi

II.2.1. Definisi Sistem Informasi

Sistem informasi dapat didefinisikan sebagai kumpulan elemen yang saling

berhubungan satu sama lain yang membentuk satu kesatuan untuk

mengintegrasikan data, memproses dan menyimpan serta mendistribusikan

informasi. Dengan kata lain, SI merupakan kesatuan elemen–elemen yang saling

berinteraksi secara sistematis dan teratur untuk menciptakan dan membentuk aliran

informasi yang akan mendukung pembuatan keputusan dan melakukan kontrol

terhadap jalannya organisasi / perusahaan.

Dalam era informasi saat ini, perkembangan sistem informasi dengan

memanfaatkan Teknologi Informasi (TI) telah berkembang sangat pesat. Peranan

sistem informasi saat ini menjadi urat nadi organisasi modern dalam mengelola

informasi sehingga dapat menjadi salah satu keunggulan bisnis.

Apabila ditinjau dari level pemakai dari sisi kepentingan organisasi, maka sistem

informasi dapat dikelompokkan ke dalam 3 tipe, yaitu [3]:

1) Sistem Informasi Personal

2) Sistem Informasi Kelompok (Workgroup IS)

3) Sistem Informasi Perusahaan (Enterprise IS)

Karakter dari masing-masing Sistem Informasi tersebut dapat dilihat pada tabel II.1

adalah sebagai berikut :

Tabel II.1.: Karakteristik dari Sistem Informasi [3]

Tipe Jumlah

Pemakai Perspektif Peran

Personal 1 Individual Pemakai akhir, Operator, Pembangun

Workgroup Beberapa, umumnya <25

Departemen, pemakai mempunyai perspektif sama

Pemakai akhir, Operator, Pembangun

Profesional

Enterprise Banyak,

seringkali ratusan

Organisasi, pemakai dengan berbagai perspektif

Pemakai akhir, Operator, Pembangun

Profesional

Data secara konseptual adalah deskripsi tentang benda, kejadian, aktivitas dan

transaksi yang tidak mempunyai makna. Informasi adalah sebagai data yang telah

diproses sehingga meniambah pengetahuan pemakai. Pengetahuan (knowledge)

adalah kombinasi dari naluri, gagasan, aturan dan prosedur yang mengarahkan pada

tindakan. Hubungan data, informasi dan pengetahuan dapat dipetakan pada gambar

II.1.[8] :

Gambar II.1 Hubungan data, informasi dan pengetahuan

Gambar II.1 menunjukkan bahwa data disusun, dipilih dan diringkas oleh sistem

menjadi suatu informasi. Proses tersebut dilakukan berdasarkan suatu pengetahuan

tentang cara melakukannya. Selanjutnya informasi diterjemahkan, diputuskan, dan

dilaksanakan menjadi suatu hasil yang diproses berdasarkan pengetahuan. Hasil

diakumulasikan sebagai pengetahuan yang kemudian digunakan untuk melakukan

pemrosesan data dan informasi.

Turban mendefinisikan bahwa sistem informasi adalah sebuah sistem informasi

mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan informasi

untuk tujuan yang spesifik [8]. Turban mencerminkan bahwa teknologi informasi

untuk menyebarkan sekumpulan sistem informasi, pemakai dan manajemen.

Dengan maksud bahwa sistem informasi adalah suatu sistem buatan manusia yang

secara umum terdiri atas sekumpulan komponen berbasis komputer dan atau

manual dengan tujuan untuk menghimpun, menyimpan, dan mengelola data serta

menyediakan informasi output yang dibituhkan oleh user.

II.2.2. Pengertian Teknologi Informasi

Menurut Alter [8], teknologi informasi mencakup perangkat keras dan perangkat

lunak untuk melaksanakan satu atau sejumlah tugas pemrosesan data seperti

menangkap, mentransmisikan, menyimpan, mengambil, memanipulasi atau

menampilkan data. Menurut Lucas [8], teknologi infromasi adalah segala bentuk

teknologi yang diterapkan untuk memproses dan mengirimkan informasi dalam

bentuk elektronis.

Teknologi ini menggunakan seperangkat komputer untuk mengolah data, sistem

jaringan untuk menghubungkan satu komputer dengan komputer lainnya sesuai

dengan kebutuhan, dan teknologi telekomunikasi digunakan agar data disebar dan

diakses secara global, dapat dilihat pada gambar II.2.

Aplikasi

Computer (Hardware)

System Software

Infrastructure (Telecomunication)

Technology Process People

Gambar II.2 Arsitektur Teknologi Informasi [8]

Perkembangan teknologi informasi memacu suatu cara baru kehidupan, dari

kehidupan dimulai sampai dengan berakhir, kehidupan seperti ini dikenal dengan

e-life, artinya kehidupan ini sudah dipengaruhi oleh berbagai kebutuhan secara

elektronik. Dan sekarang ini sedang semarak dengan berbagai huruf yang dimulai

dengan awalan e seperti e-commerce, e-government, e-education, e-library, e-

journal, e-medicine, e-laboratory, e-biodiversity, dan yang lainnya lagi yang

berbasis elektronika.

II.2.3. Pengaruh Teknologi Informasi pada Proses Audit

Perkembangan teknologi informasi semakin pesat, demikian pula peranannya

semakin menentukan dalam mendukung semua kegiatan bisnis. Macam dan jenis

teknologi informasi sangat beragam mulai untuk kepentingan pribadi, sampai untuk

mendukung kegiatan perusahaan yang sangat besar dan tersebar keseluruh dunia

guna meningkatkan keunggulan berkompetisi. Teknologi informasi dapat

meningkatkan kinerja perusahaan dan menembus berbagai faktor yang menghambat

perusahaan dalam menghasilkan kinerja secara optimum. Teknologi informasi

mempunyai kemampuan untuk memberdayakan personel perusahaan dapat

merespon tuntutan customer secara tepat waktu dan akurat.

Pemanfaatan teknologi informasi merupakan bagian pertimbangan dari

pengendalian internal selama proses audit. Peningkatan pengendalian internal yang

dihasilkan dari teknologi informasi yang terintegrasi dapat meliputi [2]:

1) Pengendalian komputer menggantikan pengendalian manual.

Penggantian prosedur manual dengan pengendalian terprogram yang

menggunakan pengecekan dan keseimbangan untuk setiap transaksi yang

diproses dapat mengurangi kesalahan manusia yang terjadi dalam lingkungan

manual.

2) Tersedia informasi yang berkualitas tinggi.

Keandalan informasi yang dihasilkan oleh teknologi informasi, membuat

manajemen menggunakan untuk meningkatkan keputusan manajemen.

II.2.4. Penilaian Resiko Teknologi Informasi

Meskipun Teknologi informasi dapat meningkatkan pengendalian internal dan

mempengaruhi resiko pengendalian perusahaan keseluruhan, namun banyak resiko

yang berhubungan dengan sistem manual dikurangi dan dihilangkan.

Beberapa resiko dalam lingkungan teknologi informasi [2] :

1) Mengendalikan kemampuan fungsi hardware dan software

2) Visibility of audit trail

3) Mengurangi keterlibatan manusia

4) Kesalahan sistematik versus acak

5) Akses yang tidak berhak

6) Kehilangan data

7) Mengurangi pemisahan tugas

8) Kurangnya otoritras tradisional

9) Kebutuhan pengalaman teknologi informasi

Untuk menentukan resiko yang berhubungan dengan ketergantungan pada

teknologi informasi, organisasi mengimplementasikan pengendalian pada sistem

teknologi informasi, yaitu pengendalian umum dan pengendalian aplikasi.

Pengendalian umum berhubungan dengan seluruh aspek fungsi teknologi informasi

yang mencakup administrasi; pengadaan dan pemeliharaan perangkat lunak;

keamanan fisik dan akses langsung pada perangkat keras, perangkat lunak data;

perencanaan back-up untuk menghadapi kejadian yang tidak diharapkan; dan

pengendalian perangkat keras.

Pengendalian aplikasi dilakukan pada pemrosesan transaksi individual, seperti

pengendalian pada pemrosesan penjualan atau penerimaan kas.

II.3. Audit dengan Teknologi Informasi

II.3.1. Definisi Audit Sistem Informasi

Ron Weber mengemukakan bahwa audit sistem informasi adalah [13] :

“Information system auditing is the process of collecting and evaluating evidence to

determine whether a computer system safeguards assets, maintains data integrity,

allow organizational goals to be achieved effectively, and uses resources

efficiently”.

(Audit sistem informasi adalah proses pengumpulan dan penilaian bukti-bukti

untuk menentukan apakah ‘sistem komputer’ dapat mengamankan aset, memelihara

integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan

menggunakan sumberdaya secara efisien)

Berdasarkan definisi audit sistem informasi tersebut maka dapat disimpulkan

bahwa sekurang-kurangnya terdapat 4 (empat) tujuan audit sistem informasi, yaitu :

(1) mengamankan asset, (2) menjaga integritas data, (3) menjaga efektivitas sistem,

dan (4) mencapai efisiensi sumberdaya.

Mengamankan aset, aset (aktiva) yang berhubungan dengan instalasi sistem

informasi mencakup : perangkat keras (hardware), perangkat lunak (software),

manusia (people), file data, dokumentasi sitem, dan peralatan pendukung lainnya.

Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa

waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna

menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan.

Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja

sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem

sudah usang , sehingga harus ditinggalkan dan dicari penggantinya.

II.3.2. Pendekatan Audit Sistem Informasi

Pendekatan audit sistem informasi terdiri dari dua penekanan yang berbeda yaitu :

1. Pendekatan temuan (Exposures Approach), fokus utama ditekankan pada jenis

kesalahan (losses) yang terjadi dalam suatu sistem informasi. Setelah itu

ditentukan kendali (controls) yang dapat digunakan untuk mengurangi kesalahan

tersebut sampai pada batas yang dapat diterima (acceptable levels).

2. Pendekatan kendali (Control Approach), fokus utamanya adalah kendali-

kendali di dalam suatu sistem informasi yang dapat digunakan untuk

mengurangi kesalahan sampai pada level yang dapat diterima (acceptable

levels).

Pesatnya perkembangan dunia komputer, diikuti dengan peningkatan pengetahuan

auditor, ternyata mengundang dua perlakuan berbeda terhadap komputer, yaitu :

1) Komputer dipergunakan sebagai alat bantu auditor dalam melaksanakan

audit, misalnya untuk mengambil contoh transaksi memproses data akuntansi,

mencetak surat konfirmasi piutang dan sebagainya.

2) Komputer dijadikan sebagai target audit, karena data di-entry ke

komputer dan hasilnya dianalisa untuk menilai kehandalan pemrosesan dan

keakuratan program komputer.

Dengan berjalannya evolusi tersebut, maka munculah pendekatan audit sistem

informasi yang dapat dikatagorikan ke dalam tiga kelompok, yaitu (a) auditing

around the computer, (b) auditing with the computer, dan (c) auditing throught the

computer.

a) Auditing around the computer, adalah mentrasir balik (trace-back) hasil olahan

komputer antara lain output ke bukti dasarnya antara lain input tanpa melihat

prosesnya.

b) Auditing with the computer, pendekatan ini menitik beratkan pada penggunaan

komputer sebagai alat bantu audit. Alat bantu audit ini berupa komputer dilengkapi

dengan software audit umum (generale audit software, biasa disingkat GAS).

Contoh GAS antara lain ACL (Audit Command Language), IDEA (Interactive Data

Extraction and Analysis) dan lain-lain.

c) Auditing throught the computer, auditor harus memperlakukan komputer

sebagai target audit dan melakukan audit throught atau memasuki area program.

Oleh sebab itu pendekatan Auditing throught the computer termasuk juga dalam

CAATs (Computer Assisted Audit Technique) yaitu Teknik Audit Berbantuan

Komputer (TABK)

Kebanyakan auditor mengevaluasi efektivitas pengendalian umum sebelum

mengevaluasi pengendalian aplikasi. Jika pengendalian umum yang baik telah

ditempatkan, ada kemungkinan peningkatan untuk mengandalkan lebih besar pada

pengendalian aplikasi. Oleh karena itu, auditor dapat menguji pengendalian aplikasi

tertentu untuk efektivitas operasi dan mengandalkan pada hasil untuk mengurangi

pengujian substantive. Penggunaan pengendalian umum dan aplikasi yang efektif

dapat menghasilkan efisiensi audit yang signifikan.

Pada perusahaan yang menggunakan teknologi informasi, pengendalian internal

sering dilekatkan pada aplikasi yang dapat terlihat hanya dalam bentuk elektronik.

Pada sistem tradisional dokumen besar seperti faktur, order pembelian, catatan

tagihan hanya dalam bentuk elektronik dan bukan dalam kertas, maka auditor harus

mengubah pendekatan pemeriksaan. Pendekatan ini disebut dengan Auditing

Through the Computer.

Ada 3 kategori strategi ketika Auditing Through the Computer, yaitu [2] :

1) Test Data Approach

Pendekatan pengujian data ini mencakup pemrosesan data yang diuji auditor

menggunakan sistem komputer dan program aplikasi klien untuk menentukan

apakah pengendalian yang dilakukan komputer telah benar memproses data yang

diuji. Auditor membandingkan keluaran yang dihasilkan sistem dari data yang

diuji untuk keluaran yang diharapkan untuk menilai efektivitas pengendalian

internal program aplikasi.

2) Paralell Simulation

Auditor menggunakan perangkat lunak yang dikendalikan untuk melakukan

operasi bersama-sama pada perangkat lunak klien dengan menggunakan file data

yang sama. Auditor membandingkan keluaran auditor dengan keluaran dan

perangkat lunak klien untuk menguji efektivitas perangkat lunak klien. Tidak

adanya perbedaan dalam keluaran menunjukkan perangkat lunak klien efektif,

sebaliknya perbedaan menunjukkan potensi kelemahan.

3) Embedded Audit Module Approach

Auditor memasukkan suatu modul dalam sistem aplikasi klien untuk menangkap

transaksi dengan karakteristik tertentu yang diinginkan, auditor dapat secara

berkelanjutan melakukan audit transaksi dengan mengidentifikiasi transaksi aktual

yang diproses klien.

II.3.3. Metode dan Model Audit Sistem Informasi

Audit adalah sebuah proses sistematik yang ditujukan untuk mengumpulkan dan

mengevaluasi bukti secara objektif tentang pertanyaan-pertanyaan yang

berhubungan dengan tindakan ekonomi maupun suatu kejadian, kemudian

menentukan derajat kesesuaian antara pernyataan tersebut dengan kriteria yang telah

ditetapkan, serta mengkomunikasikan hasilnya pada pihak yang berkepentingan.

Audit sistem informasi merupakan proses pengumpulan dan evaluasi fakta / bukti

untuk menentukan apakah sistem informasi telah melindungi asset, menjaga

integritas data, dan memungkinkan sasaran organisasi tercapai secara efektif dengan

menggunakan sumber daya secara efisien [2].

Improvedsafeguarding

of assets

ORGANIZATION

INFORMATIONSYSTEM

AUDITING

Improveddata

integrity

Improvedsystem

effectiveness

Improvedsystem

efficiency

Gambar II.3 Dampak Audit Sistem Informasi berfungsi pada Organisasi [2]

Gambar II.3. menunjukkan bahwa konsep mengaudit sistem informasi merupakan

suatu kekuatan bagi organisasi yang memungkinkan organisasi tersebut untuk lebih

baik dalam mencapai empat sasaran utamanya, yaitu : melindungi asset, integritas

data, efektivitas dan efisiensi sistem [2].

II.3.4. Metode Audit Sistem Informasi

Dalam proses audit sistem informasi, dapat dilakukan dengan langkah-langkah

berikut ini [4] :

Langkah 1 : Mendapatkan Pemahaman

1. Mendokumentasikan aktivitas yang mendasari control objective demikian

juga untuk mengidentifikasikan stated control measure / procedure yang

berlaku.

2. Melakukan wawancara dengan manajemen dan staf untuk mendapatkan

pemahaman tentang : kebutuhan bisnis dan resikonya, struktur organisasi,

peran dan tanggung jawab, kebijakan dan prosedur, hukum dan peraturan,

control measure yang berlaku, laporan manajemen (status, kinerja,

tindakan).

3. Mendokumentasikan proses yang berhubungan dengan sumber daya TI

terutama yang dipengaruhi oleh proses direview. Konfirmasikan pemahaman

dari proses yang direview, Key Performance Indicator dari proses, implikasi

kendali, misalnya melalui proses walkthrough.

Langkah 2 : Evaluasi Kendali

1. Menilai keefektifan control measure yang berlaku atau tingkat pencapaian

control objective.

2. Mengevaluasi kesesuaian control measure dari proses yang direview dengan

mempertimbangkan kriteria yang diidentifikasikan dan praktik standar

industri, Critical Success Factor dan control measure dan mengaplikasikan

keputusan profesional audit.

3. Melakukan proses dokumentasi, deliverable yang sesuai dihasilkan,

tanggung jawab dan akuntabilitas yang jelas dan efektif, adanya

pengendalian kompensasi (compensating control) sebagaimana mestinya.

4. Simpulkan kesesuaian tingkat control objective.

Langkah 3 : Menilai Kepatuhan

1. Menjamin control measure yang ditetapkan, berjalan sebagaimana mestinya,

secara konsisten dan berkelanjutan, serta menyimpulkan kesesuaian control

environment.

2. Mendapatkan bukti langsung dan tidak langsung untuk item / periode yang

dipilih untuk menjamin bahwa prosedur telah dipatuhi untuk periode yang

direview menggunakan bukti langsung dan tidak langsung.

3. Melakukan review terbatas tentang kecukupan proses deliverable.

4. Menentukan tingkat pengujian substatif dan kerja tambahan yang dibutuhkan

untuk menyediakan jaminan bahwa proses IT adalah cukup.

Langkah 4 : Penilaian Resiko

1. Memperkirakan resiko dari control objective yang tidak dipenuhi, dengan

menggunakan teknik analitik dan / atau mengkonsultasikan sumber-sumber

alternative. Tujuannya adalah untuk mendukung opini dan membuat

manajemen untuk melakukan tindakan.

2. Mendokumentasikan kelemahan kendali, serta ancaman dan kerawanan yang

dihasilkannya.

3. Mengidentifikasikan dan mendokumentasikan dampak yang potensial

maupun aktual.

4. Menyediakan informasi komparatif, misalnya melalui benchmark.

Penjelasan langkah-langkah dalam audit sistem informasi pada Gambar II.4. adalah

sebagai berikut [4]:

L a n g k a h 2E v a l u a s i K e n d a l i

L a n g k a h 1M e n d a p a tk a n P e m a h a m a n

L a n g k a h 3M e n i l a i K e p a tu h a n

L a n g k a h 4P e n i l a i a n R e s ik o

Gambar II.4. Langkah-langkah Audit Sistem Informasi [4]

II.4. COBIT

II.4.1. Sejarah COBIT

COBIT merupakan singkatan dari Control Objectives for Information and Related

Technology, dipublikasikan oleh Information Systems Audit and Control Foundation

di tahun 1996 dan diupdate pada tahun 1998 dan 2000. COBIT berisi kerangka kerja

pengendalian internal yang secara spesifik berkaitan dengan teknologi informasi.

Misi dari COBIT adalah melakukan penelitian, mengembangkan, mempublikasikan,

dan mempromosikan sebuah kumpulan pengendalian terhadap teknologi informasi

yang otoritatif, terbaru, dan diterima secara internasional untuk kebutuhan manajer

bisnis dan auditor.

COBIT berisi perangkat evaluasi IT yang menyeluruh tentang hampir semua standar

utama yang pada umumnya diterima di seluruh dunia tentang kendali dan IT. Dalam

perkembangannya COBIT mengambil standar dari International Organization for

Standarization (ISO); Electronic Data Interchange for Administration, Commerce,

and Trade (EDIFACT); Council of Europe; Organization for Economic

Cooperation and Development (OECD); ISACA; Information Technology Security

Evaluation Criteria (ITSEC); Trusted Computer Security Evaluation Criteria

(TCSEC); COSO; United States General Accounting Office (GAO); International

Federation of Accountants (IFAC); IIA; American Institute of Certified Public

Accountants (AICPA); CICA; European Security Forum (ESF); Infosec Business

Advisory Group (IBAG); National Institute of Standars and Technology (NIST); dan

the Department of Trade and Industry (DTI) of the United Kingdom.

II.4.2. Pengertian COBIT

COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi

terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi

informasi yang dikembangkan dan dipromosikan oleh IT Governance Institute.

COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool)

yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). COBIT

di terbitkan oleh IT Governance Institute. COBIT dengan komponen pedoman

manajemen yang berisi respon kerangka kerja untuk pengukuran dan pengendalian

teknologi informasi dengan menyediakan alat-alat untuk menilai dan mengukur

kemampuan teknologi informasi perusahaan dengan menggunakan 34 proses TI

COBIT. Alat-alat tersebut yaitu [6]:

1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang

mengarahkan bagi seluruh proses TI)

2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas praktek

terbaik non teknis dari tiap proses TI

3. Model Maturity untuk membantu dalam benchmarking dan pengambilan

keputusan bagi peningkatan kemampuan.

COBIT terdiri atas enam volume: Executive Summary, Framework, Control

Objectives, Audit Guidelines, Management Guidelines, dan Implementation Tool

Set. Paket COBIT juga muncul dalam bentuk diskete dan CDROM yang berisi slide

powerpoint di dalam Implementation Tool Set .

II.4.3. Kerangka Kerja COBIT

Di dalam kerangka kerja COBIT (seperti pada gambar II.5.), terdapat tujuh

persyaratan informasi bisnis, atau kriteria: effectiveness, efficiency, confidentiality,

integrity, availability, compliance, dan reliability. COBIT kemudian

menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan

kebutuhan bisnis oleh proses bisnis, yaitu: people, application systems,

technology,facilities, dan data.

COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34

proses dan kemudian mengelompokan proses tersebut menjadi 4 domain. Keempat

domain tersebut adalah: Planning and Organization (11 proses), Acquisition and

Implementation (6 proses), Delivery and Support (13 proses), dan Monitoring (4

proses). Pada edisi ketiga, COBIT melakukan cross reference dari setiap 34 proses

ke dalam 318 kendali objektif (perhatikan gambar II.5 dan Tabel II.2).

Gambar II.5. COBIT Framework [6] COBIT kemudian mengidentifikasikan aplikasi dan beserta tingkatannya (primary

atau secondary) dari tujuh kriteria informasi untuk setiap 34 proses IT. COBIT

memetakan lima sumber daya IT yang dapat diaplikasikan untuk tiap proses IT.

COBIT memberikan sebuah template audit guideline untuk membantu proses

evaluasi dan pengujian dari kendali objektif. Pendekatan umum tersebut adalah:

mendapatkan (obtain) pemahaman tentang proses, evaluasi (evaluate) kendali,

menilai (assess) kepatuhan, dan memperkirakan (substantiate) risiko dari kendali

objektif yang tidak terpenuhi. Template diaplikasikan untuk tiap 34 proses, dengan

detail audit guideline yang spesifik untuk setiap proses.

Berikut ini dijelaskan 4 domain dari COBIT adalah sebagai berikut :

1) Planning & Organisasion (PO), mencakup masalah strategi, taktik, dan

identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap

pencapaian tujuan bisnis organisasi. Realisasi strategi perlu direncanakan,

dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda.

Implementasi strategi harus disertai infrastruktur yang memadai dan dapat

mendukung kegiatan bisnis organisasi.

2) Acquisition & Implementation (AI), realisasi strategi yang telah ditetapkan

harus disertai solusi-solusi TI yang sesuai, kemudian solusi TI tersebut

diadakan diimplementasikan dan diintegrasikan ke dalam proses bisnis

organisasi. Domain ini juga meliputi perubahan dan perawatan yang

dibutuhkan sistem yang sedang berjalan, untuk memastikan daur hidup sistem

tersebut tetap terjaga.

3) Delivery & Support (DS), mencakup proses pemenuhan layanan TI, keamanan

sistem, kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan

pemrosesan data yang sedang berjalan.

4) Monitoring (M), untuk menjaga kualitas dan ketaatan terhadap kendali yang

diterapkan, seluruh proses IT harus diawasi dan dinilai kelayakannya secara

regular. Domain ini berfokus pada masalah kendali-kendali yang diterapkan

dalam organisasi, pemeriksaan intern dan ekstern (internal & external audit)

dan jaminan independent dari proses pemeriksaan yang dilakukan.

Tabel II.2. Tiga puluh empat proses COBIT [6]

PLANNING AND ORGANISATION (PO)

1. PO1-Menetapkan Rencana StrategisTeknologi Informasi (Define a Strategic IT Plan)

2. PO2-Menetapkan Arsitektur Informasi (define the Informastion Architecture) 3. PO3-Menetapkan Arah Teknologi (Determine Technological Direction) 4. PO4-Menetapkan Organisasi IT dan Hubungannya (Define the IT Organisation

and Relationships) 5. PO5-Mengatur InvestasiIT (Manage the IT Investment) 6. PO6-Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate

Management Aims and Direction) 7. PO7-Mengelola Sumberdaya Manusia (Manage Human Resources) 8. PO8-Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal (Ensure

Compliance with External Requirements) 9. PO9-Menilai Resiko (Assess Risks) 10. PO10-Mengatur Peoyek (Manage Projects) 11. PO11-Mengatur Kualitas (Manage Quality) ACQUISITION AND IMPLEMENTATION (AI) 12. AI1-Identifikasi solusi-solusi otomatisasi (Identify Automated Solutions) 13. AI2-Memperoleh dan memlihara perangkat lunak aplikasi (Acquire and Maintain

Application Software) 14. AI3-Memperoleh dan memelihara infrastruktur Teknologi (Acquire and Maintain

Technology Infrastructure) 15. AI4-Mengembangkan dan memelihara prosedur (Develop and Maintain Procedures) 16. AI5-Instalasi dan pengakuan sistem (Install and Accredit Systems) 17. AI6-Mengatur Perubahan (Manage Changes) DELIVERY AND SUPPORT (DS) 18. DS1-Menetapkan dan mengatur tingkat pelayanan (Define & Manage Service Levels) 19. DS2-Mengelola layanan pihak ke tiga (Manage Third-Party Services) 20. DS3-Mengelola kapasistas dan kinerja (Manage performance & Capacity) 21. DS4-Menjamin layanan berkelanjutan (Ensure Continuous service) 22. DS5-Menjamin keamanan sistem (Ensure System Security) 23. DS6-Mengidentifikasikan dan mengalokasikan biaya (Identify & Allocate Cost) 24. DS7-Mendidik dan melatih user (Educate & Train Users) 25. DS8-Membantu dan memberikan masukan kepada pelanggan (Assist and Advise

Customers) 26. DS9-Mengelola konfigurasi (Manage the Configuration) 27. DS10-Mengelola kegiatan dan permasalahan (Manage problems and Incidents) 28. DS11-Mengelola Data (Manage Data) 29. DS12-Mengelola Fasilitas (Manage Facility) 30. DS13-Mengelola Operasi (Manage Operations) MONITORING 31. M1-Mengawasi proses (Monitor the Processes) 32. M2-Menilai kecukupan pengendalian internal (Assess Internal Control Adequacy) 33. M3-Memperoleh jaminan Independen (Obtain Independent Assurance) 34. M4-Menyediakan Audit Independen (Provide for Independent Audit)

Tesis ini akan secara lebih detail memperhatikan proses IT di dalam Sistem

Informasi pada bagian data & IT Support di PT. Telekomunikasi Indonesia, Tbk

R&D Center untuk domain yang ke tiga, yaitu: Delivery & Support

Domain ini berhubungan dengan pelayanan yang perlu diberikan, mulai dari operasi

tradisional terhadap keamanan dan aspek kesinambungan, sampai pelatihan. Proses

pendukung yang semestinya harus terlebih dahulu ditetapkan untuk dapat

memberikan pelayanan. Domain ini melibatkan pemrosesan data yang sebenarnya

menggunakan sistem aplikasi yang diklasifikan ke dalam kendali aplikasi.

COBIT menetapkan informasi yang baik dan dibutuhkan oleh bisnis dalam

perusahaan haruslah informasi yang mengandung kriteria-kriteria berikut dan ada

pada gambar II.6 [5] :

1. Efektivitas

Informasi yang relevan terhadap proses bisnis, misal : informasi dikirimkan

dengan cara tepat waktu, benar, dapat dipakai dan konsisten.

2. Efisiensi

Berhubungan dengan informasi yang optimal terhadap penggunaan sumber daya.

3. Kerahasiaan

Berhubungan dengan perlindungan terhadap informasi yang sensitip dari

penyalahgunaan.

4. Integritas

Berhubungan dengan kelengkapan dan ketelitian informasi seperti halnya

kebenaran terhadap satuan nilai-nilai bisnis.

5. Ketersediaan

Berhubungan dengan informasi yang tersedia ketika diperlukan oleh proses

bisnis, dan ada berhubungan dengan perlindungan sumber daya.

6. Pemenuhan

Berhubungan dengan pengaturan yang sesuai bagi proses bisnis adalah pokok.

7. Keandalan Informasi

Berhubungan dengan sistem yang menyediakan informasi untuk manajemen yang

sesuai dengan pengoperasiannya, misalnya : pelaporan keuangan kepada para

pemakai informasi keuangan.

Gambar II.6. Sumberdaya dan Kriteria Proses TI [5]

COBIT mengelompokan sumber daya- sumber daya TI yang akan digunakan oleh

proses TI seperti berikut, serta dapat dilihat pada gambar II.6 [5] :

1) Data, seluruh jenis data, baik yang terstruktur atau tidak terstruktur dan dalam

berbagai bentuk (gambar, suara, dsb)

2) Sistem Aplikasi, prosedur yang ditetapkan dalam organisasi baik prosedur

manual atau prosedur terkomputerisasi (aplikasi komputer)

3) Teknologi, mencakup perangkat keras, sistem operasi, jaringan komputer

multimedia, dll.

4) Fasilitas seluruh sumber daya yang dimanfaatkan untuk menyimpan dan

mendukung sistem informasi.

5) Sumber daya manusia (SDM), mencakup kemampuan staf, dan berbagai pihak

yang terlibat dalam pengaturan, pengadaan, pemenuhan layanan, pengawasan

dan mendukung layanan dan sistem informasi.

Cara lain memandang hubungan sumberdaya TI untuk penyampaian layanan

digambarkan pada gambar.II.7.

Gambar II.7 Hubungan sumber TI untuk penyampaian layanan [5]

Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur

klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang

menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas

(activities and task) yang diperlukan untuk mencapai hasil yang dapat diukur.

Dalam aktivitas terdapat konsep siklus hidup yang didalamnya terdapat kebutuhan

pengendalian khusus.

Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari

kegiatan dan tugas (activities and task) dengan keuntungan atau perubahan

(pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya

dikelompokkan bersama kedalam domain. Lihat gambar.II.8.

Gambar II.8. Tiga tingkat usaha pengaturan TI [5]

Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu :

(1) kriteria informasi (information criteria),

(2) sumberdaya TI (IT resource),

(3) proses TI (IT processes).

Ketiga sudut pandang tersebut digambar dalam kubus COBIT, lihat gambar II.9. :

Gambar II.9. Kubus COBIT [5]

Setiap proses IT COBIT akan dilakukan identifikasi Critical Success Factor (CSF)

yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran

kinerjanya. Kriteria pengukuran kinerja tersebut dilambangkan dengan indikator-

indikatornya, yaitu indikator sasaran (Key Goal Indicator – KGI) dan indikator

kinerja (Key Performance Indicator – KPI). Critical Success Factor dan indikator-

indikator yang berelasi ditentukan dari COBIT. Penentuan indikator sasaran dan

indikator kinerja dari sistem informasi dilakukan agar aktivitas-aktivitas terkendali

sehingga memberikan jaminan bahwa sasaran proses TI tersebut tercapai.

Dalam kerangka kerja ini maka peneliti hanya memfokuskan pada domain DS

(Delivery & Support) untuk sasaran pengelolaan sumber daya teknologi informasi,

dapat dilihat pada tabel II.3.

Tabel II.3. Delivery & Support dengan

Sumber Daya TI dan Sasaran Pengelolaan [5]

Sumber Daya TI Sasaran Pengelolaan

No Delivery & Support

SDM

A

plik

asi

Tekn

olog

i Fa

silit

as

Dat

a

Efek

tif

Efis

ien

Ker

ahas

iaan

Inte

grita

s

Ket

erse

diaa

n

Pem

enuh

an

Kep

erca

yaan

1 Menetapkan dan mengatur tingkat pelayanan

√ √ √ √ √ P P S S S S S

2 Mengelola layanan pihak ke tiga

√ √ √ √ √ P P S S S S S

3 Mengelola kapasitas dan kinerja √ √ √ P P S 4 Menjamin layanan

berkelanjutan √ √ √ √ √ P P

5 Menjamin keamanan sistem √ √ √ √ √ P P S S S 6 Mengidentifikasikan dan

mengalokasikan biaya √ √ √ √ √ P P

7 Mendidik dan melatih user √ P S 8 Membantu memberikan

masukan kepada pelanggan √ √ P P

9 Mengelola Konfigurasi √ √ √ P S S 10 Mengelola kegiatan dan

permasalahan √ √ √ √ √ P P S

11 Mengelola Data √ P P12 Mengelola Fasilitas √ P P 13 Mengelola Operasi √ √ √ √ P P S S

Keterangan :

P = Primary

S = Secondary COBIT memiliki indikator pengukuran pengelolaan teknologi informasi dalam

proses bisnis, yaitu :

CSF menetapkan masalah terpenting atau tindakan untuk manajemen mencapai

pengendalian proses TI. CSF harus mengatur orientasi pedoman implementasi dan

mengidentifikasikan hal terpenting yang dilakukan secara strategis, teknis,

organisasional atau prosedur.

KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta apakah proses

TI telah mencapai kebutuhan bsinisnya, biasanya digambarkan atas kriteria

informasi : ketersediaan informasi diperlukan untuk mendukung kebutuhan bisnis,

ketiadaan atau kekurangan integritas dan resiko kerahasiaan, efisiensi biaya proses

dan operasi, konfirmasi reliabilitas, efektivitas dan pemenuhan.

KPI menetapkan ukuran untuk menentukan bagaimana proses TI dilaksanakan

dengan baik yang memungkinkan tujuan tersebut dicapai. Lihat gambar II.10.

ProsesInput OutCome

CSF

KPI KGI

Gambar II.10. Model KGI’s, KPI’s, dan CSF [5]

II.4.2.4. Evolusi Produk COBIT

COBIT akan terus berkembang dan akan dijadikan dasar penelitian lebih lanjut.

Kelompok (keluarga) produk COBIT akan diciptakan dan tugas-tugasnya serta

kegiatan teknologi informasinya yang menjalankan struktur untuk melaksanakan

tujuan pengendalian lebih lanjut akan diperbaiki dan keseimbangan antara domain

dan proses ditinjau dari sudut susunan perubahan industri, dan dipetakan pada

gambar II. 11. [7]

RINGKASAN EKSEKUTIF

KUMPULAN ALAT IMPLEMENTASI

KERANGKA KERJA(dengan tujuan pengendalian tingkat tinggi)

PEDOMANMANAJEMEN

TUJUANPENGENDALIAN RINCI PEDOMAN AUDIT

Tinjauan Eksekutif

Studi Kasus

FAQs

Presentasi Powerpoint

Pedoman Implementasi

Diagnostik Kepedulian Manajemen

Diagnostik Pengendalian TI

Model Maturity CSF KGI KPI

Gambar II.11. Produk keluarga COBIT [7]

II.4.2.5. Lingkungan Bisnis

Di era kompetisi global seperti sekarang ini, organisasi harus melakukan

restrukturisasi terhadap kegiatan operasionalnya dan menggunakan keunggulan TI

untuk meningkatkan posisi daya saing organisasi.

Business, re-engineering, right-sizing, outsourcing, empowerment, flattened

organization, dan distributed processing merupakan semua perubahan yang

mempengaruhi cara bisnis dan operasional perusahaan. Perubahan ini akan terus

terjadi dan akan berimplikasi besar terhadap manajemen dan struktur pengendalian

operasional dalam organisasi.

Penekanan dalam mencapai keuntungan yang kompetitif dan efisiensi biaya,

termasuk kepercayaan yang meningkat pada teknologi meruapakan komponen besar

dalam strategi kebanyakan organsiasi. Fungsi organisasi yang otomatis, secara

alamiah merupakan penggabungan ketentuan mekanisme pengendalian yang lebih

kuat kedalam komputer dan jaringan, berbasis hardware dan software.

II.4.2.6. Perusahaan dan IT Governance

IT Governance menyediakan suatu struktur yang berhubungan dengan proses TI,

sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara

mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui

perencanaan dan pengorganisasian (PO), pengadaan dan implementasi (AI),

penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI.

Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan

dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang

sama, TI dapat menyediakan masukan kritis, dan merupakan komponen penting bagi

perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis

yang ditetapkan oleh perusahaan. Lihat gambar II.12.

Kumpulandan Arahan

PengaturanPerusahaan

IT Governance

Gambar II.12. Pengaruh IT Governance terhadap perusahaan [7]

Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud

untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan

oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI

lainnya. Kegiatan perusahaan perlu informasi dari kegiatan TI agar dapat

mengintegrasikan tujuan bisnis. Lihat gambar II.13.

MembutuhkanInformasi dari

AktivitasPerusahaan

Aktivitas TI

Gambar II.13. Aktivitas Perusahaan memerlukan Aktivitas TI [7]

Siklus pengaturan perusahaan dapat dijelaskan sebagai berikut : pengaturan

perusahaan ditentukan oleh praktek terbaik yang secara umum dapat diterima untuk

menjamin perusahaan mencapai tujuannya, melalui pengendalian tertentu. Dari

tujuan-tujuan ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas

perusahaan dengan menggunakan sumberdaya perusahaan. Hasil kegiatan atau

aktivitas perusahaan diukur dan dilaporkan, memberikan masukan bagi

pengendalian, demikian seterusnya, kembali ke awal siklus. Lihat gambar II.14.

Gambar II.14. Siklus Pengaturan Perusahaan [7]

siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI ditentukan

oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait

mendukung tujuan bisnisnya.

Sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai.

Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokkan

kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh

keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan

efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas

TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya,

kembali ke awal siklus. Lihat gambar II.15.

Pengaturan TI

Pengendalian

PLANDO

CHECKCORRECT

Laporan

Arahan

Aktivitas TIPerencanaan dan OrganisasiAkuisisi dan ImplementasiPenyampaian dan Dukungan

Pengawasan

PengaturanResiko

* Keamanan* Dapat

Dipercaya* Pemenuhan

MeningkatkanEfektivitas

Menurunkanbiaya atauEfisiensi

Memperoleh Keuntungan

TI disesuaikandengan bsinis,keuntunganmaksimal danpeluang-peluang bisnis

Sumber dayadigunakan denganbertanggung jawab

Resiko di atursecara memadai

Gambar II.15. Siklus pengaturan TI [7]

Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan

mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara

mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya,

manajemen perlu mengidentifikasi kegiatan terpenting, selain itu perlu juga

kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan

standar internasional. Untuk mendukung kebutuhan manajemen tersebut, pedoman

manajemen COBIT (COBIT Management Guidelines) telah secara khusus

mengidentifikasi CSF, KGI, KPI dan model maturity untuk pengaturan TI.

II.4.2.7. Maturity Model

Maturity model digunakan sebagai metric untuk mengukur tingkat perkembangan

sistem informasi. Dengan Maturity model dapat digunakan juga untuk

mengendalikan proses IT dengan suatu metoda skoring sedemikian sehingga suatu

organisasi dapat menilai dirinya sendiri dari “tidak ada” sampai “optimized” (dari 0

sampai 5). Pendekatan ini diperoleh berdasarkan Maturity Model. Lihat gambar

II.16.

Gambar II.16. Maturity Model [7]

Dengan pendekatan ini manajemen dapat memetakan ke 34 proses kendali tingkat

atas dari COBIT [7], manajemen dapat menggambarkan dalam bentuk simbol :

Status organisasi saat ini – organisasi hari ini

Status standar internasional saat ini – perbandingan

Status terbaik industri saat ini – perbandingan tambahan

Strategi Organisasi untu perbaikan atau peningkatan – keinginan

organisasi

Untuk masing-masing 34 proses IT, ada suatu incremental skala pengukuran,

berdasar pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan

maturity model yang diuraikan berkisar antara “Tidak Ada” sampai “Optimized”

lihat tabel II.4. sebagai berikut :

Tabel II.4. Level Model Maturity

Model Umum Maturity

Level 0 Tidak ada (Non – Existent), kurang lengkapnya setiap proses yang dikenal. Organisasi sama sekali tidak mengetahui adanya masalah

Level 1 Inisialisasi (Initial), Terdapat bukti bahwa organisasi telah mengetahui adanya masalah yang membutuhkan penanganan. Penanganan masalah dilakukan dengan pendekatan adhoc, berdasarkan kasus dari perorangan. Tidak dilakukannya pengelolaan proses yang terorganisir. Setiap proses ditangani tanpa menggunakan standar.

Level 2 Pengulangan (Repeatable), Prosedur yang sama telah dikembangkan dalam proses – proses untuk menangani suatu tugas, dan diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada pelatihan dan komunikasi dari prosedur standard tersebut. Tanggung jawab pelaksanaan standar diserahkan pada setiap individu. Kepercayaan terhadap pengetahuan individu sangat tinggi, sehingga kesalahan sangat memungkinkan terjadi.

Level 3 Terdefinisi (Defined), Prosedur telah distandardisasikan, didokumentasikan, serta dikomunikasikan melalui pelatihan. Namun, implementasinya diserahkan pada setiap individu, sehingga kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur tersebut dikembangkan sebagai bentuk formulasi dari praktik yang ada.

Level 4 Dikelola (Managed), Pengukuran dan pemantauan terhadap kepatuhan dengan prosedur, serta pengambilan tindakan jika proses tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses dilakukan secara konstan. Implementasi proses dilakukan secara baik. Otomasi dan perangkat yang digunakan terbatas

Level 5 Dioptimalkan (Optimised), Implementasi proses dilakukan secara memuaskan. Hal tersebut merupakan hasil dari perbaikan proses yang terus menerus dan pengukuran tingkat kedewasaan organisasi. Teknologi informasi diintegrasikan dengan aliran kerja, dan berfungsi sebagai perangkat yang memperbaiki kualitas dan efektifitas. Organisasi lebih responsive dalam menghadapi kompetisi bisnis.

Maturity Model akan membantu para profesional menjelaskan ke para manajer

tentang kekurangan manajemen TI dan menetapkan target yang mereka perlukan

dengan membandingkan kontrol organisasi praktek yang terbaik. Tingkatan maturity

akan dipengaruhi oleh sasaran bisnis organisasi dan operasi lingkungan. Yang

secara rinci tingkatan dari control maturity akan tergantung pada organisasi yang

bergantung pada TI, Teknologi dan terutama informasinya.

II.4.2.8. Skala Pengukuran Tingkat Maturity Model

Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity model yang

direkomendasikan oleh COBIT (skala 0 – 5). Responden akan memilih tingkat

aktivitas yang sangat sesuai dengan kondisi saat ini. Skala sikap yang disediakan

dalam kuesioner seperti terdapat pada Gambar II.17. dibawah ini :

T id a kS e tu ju

S an g a tT id a kS e tu ju

S an g a tS e tu juN e tra l S e tu ju

0 % 2 0 %4 0 %

6 0 %1 0 0 %

8 0 %

Gambar II.17. Pilihan respon dalam model audit [7]

Interpretasi repon diatas dijelaskan pada Tabel II.5 dibawah ini.

Tabel II.5. : Skala sikap di dalam kuesioner dan interpretasinya

S a n g a tT i d a kS e t u j u

Kurang dari 20 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center

T id a kS e tu ju

Lebih besar dari 21 persen, namun lebih kecil dari 40 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center

N e t r a l


S e tu ju


S a n g a tS e tu ju

Lebih besar dari 81 persen aktivitas yang dijelaskan di dalam pertanyaan sesuai dengan kondisi di dalam sistem informasi PT. Telekomunikasi Indonesia, Tbk. R & D Center

Documents

BAB II TINJAUAN PUSTAKA II.1. Model - · PDF fileUji sensitifitas yaitu tahap pengujian perilaku model ... informasi yang akan mendukung pembuatan keputusan dan melakukan kontrol