audit ti: implementasi tata kelola ti menggunakan cobit
TRANSCRIPT
1
Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT Framework
Abstract: The role of technology is very meaningful in the progress of an organization. It is
impossible for an organization to develop without the support of information technology (IT).
Management realizes that the use of IT can add value to the company. Therefore we need an
IT governance to measure the effectiveness and efficiency of the IT implementation. The aims
of this study is to measure and assess the performance of information technology audits and
determine the maturity level of IT governance at PT Link Net. This study uses qualitative
research methods and takes data directly from respondents through the results of
questionnaires, interviews, and observations. To measure the process capability level using the
COBIT 5 framework. The results show that information technology governance using the
capability area of PT Link Net, Tbk is at maturity level of three (established process) with an
average value of 3.83. These results indicate that the information technology performance of
PT Link Net, Tbk. Has been implemented and managed properly based on the COBIT 5
framework through the maturity level obtained from the DSS domain. The results of the
research contribute to the management to be able to monitor each objective control, and
measure the effectiveness of information technology governance.
Keywords: IT Audit, IT Governance, COBIT, DSS
Abstrak: Peran teknologi sangat berarti dalam kemajuan suatu organisasi. Adalah hal yang
tidak mungkin bagi suatu organisasi dapat berkembang tanpa dukungan teknologi informasi
(TI). Manajemen menyadari bahwa penggunaan TI dapat memberi nilai tambah bagi
perusahaan. Oleh karenanya diperlukan suatu tata kelola TI untuk mengukur efektivitas dan
efisiensi dari implementasi TI tersebut. Penelitian ini bertujuan untuk menilai kinerja audit
teknologi informasi, serta mengetahui tingkat kematangan tata kelola TI pada PT Link Net.
Studi ini menggunakan metode penelitian kualitatif dan mengambil data langsung dari
responden melalui hasil kuesioner, wawancara, dan observasi. Untuk mengukur proses tingkat
kapabilitas menggunakan kerangka COBIT 5. Hasil penelitian menunjukkan bahwa tata kelola
teknologi informasi dengan menggunakan area kapabilitas PT Link Net, Tbk berada pada level
kematangan tiga (established process) dengan rerata nilai sebesar 3.83. Hasil ini
menunjukkan bahwa kinerja teknologi informasi PT Link Net, Tbk telah dilaksanakan dan
dikelola dengan baik berdasarkan kerangka kerja COBIT 5 melalui level kematangan yang
diperoleh dari domain DSS. Hasil penelitian memberi kontribusi kepada manajemen untuk
dapat memonitor masing-masing control objektif, dan mengukur keefektifan tata kelola
teknologi informasi.
Kata Kunci: Audit TI, Tata Kelola TI, COBIT, DSS
2
1. Pendahuluan
Untuk mencapai tujuan bisnisnya kebutuhan perusahaan terhadap teknologi informasi (TI)
merupakan aspek penting, karena dengan TI dapat mendukung keberlanjutan dan pertumbuhan bisnis
(Mutia dan Nur’ainy, 2020). Penerapan TI dalam bisnis perusahaan menjadi salah satu keputusan dalam
menunjang keberhasilan dan competitiveness bagi suatu perusahaan. Perusahaan yang melakukan
investasi pada TI bertujuan agar dapat memberikan peningkatan kualitas layanan/produk dalam
aktivitas bisnis perusahaan, mengurangi penggunaan biaya dan memproduksi lebih banyak tanpa
meningkatkan penggunaan biaya. Oleh karenanya manajemen perlu memerhatikan pengelolaan biaya
dan risiko terkait TI, sehingga penggunaan biaya optimal dan risiko dapat dipertahankan pada tingkat
yang dapat diterima (acceptable level).
Pengembangan TI di perusahaan harus seiring dengan pelaksanaan sistem pengendalian yang
memadai melalui review ataupun audit TI, sehingga kesalahan dan kegagalan dapat diminimalisir
bahkan dihindari. Tujuan perusahaan melakukan audit TI itu sendiri adalah untuk memberikan
kepastian (assurance) kepada manajemen dalam mencapai tujuan organisasi yang efektif, efisien dan
ekonomis (3E) sesuai dengan perencanaan audit (Mutia dan Nur’ainy, 2020).
Peran teknologi yang terus meningkat di perusahaan harus sebanding seiring dengan pengeluaran
yang dilakukan perusahaan. Hal ini dikarenakan investasi pada TI bukan investasi yang kecil. Adanya
ketergantungan yang tinggi terhadap TI dan jumlah investasi yang besar pada TI ditambah risiko yang
terkait dengan TI, membutuhkan suatu perencanaan matang dalam hal pelaksanaan atas investasi IT.
Berdasarkan hal tersebut adanya pengelolaan terhadap TI yang dimanfaatkan dalam rangka mengukur
tingkat efektifitas dan efisiensi yang dihasilkan dari implementasi TI tersebut (Romney dan Steinbart,
2015:3).
Tata kelola teknologi informasi (IT govarnance) dapat membantu perusahaan memastikan bahwa
investasi yang dilakukan pada TI menghasilkan nilai bagi perusahaan dan memitigasi risiko yang
berkaitan dengan TI (Mutia dan Nur’ainy, 2018). Selain itu, adanya efektifitas pengelolaan TI terbukti
dapat memberikan profitabilitas bagi perusahaan yang selanjutnya memberikan laba atas investasi
(return on investment) yang lebih baik dibanding kompetitornya (Mutia dan Nur’ainy 2020). Dalam
penerapan tata kelola TI, terdapat berbagai jenis framework diantaranya COBIT (Control Objectives
for Information and Technology). Pada COBIT ini disediakan praktik terbaik yang membantu
perusahaan mengoptimalkan penggunaan teknologi dalam proses bisnisnya. COBIT juga menjadi
pedoman bagi manajemen untuk mengendalikan pelaksanaan pengelolaan TI sehingga dapat
mendorong organisasi dalam pencapaian tujuan perusahaan.
Penelitian Junita (2012) dalam Mutia dan Nur’ainy (2020) menemukan bahwa penggunaan
maturity assesment kerangka COBIT 4.1 untuk level kematangan penerapan teknologi informasi dan
komunikasi di perusahaan ada diposisi level 2 (Repeatable but Intuitive) dan 3 (Defined Process).
Temuan tersebut merekomendasikan bahwa hal mendasar dalam melakukan perbaikan adalah
membentuk suatu unit kerja yang bertanggungjawab atas pelaksanaan pengendalian internal teknologi
3
informasi serta mendokumentasikan kebijakan dan proses tata kelola TIK. Sehingga pengawasan dalam
melaksanakan kebijakan dapat berjalan efektif dan menjamin penerapan IT govarnance. Selanjutnya,
penelitian Nugraha (2012) dalam Mutia dan Nur’ainy (2020) yang mengukur level kematangan
teknologi informasi dengan kerangka COBIT 4, menyimpulkan bahwa agar tingkat kematangan tata
kelola TI dapat memberikan peningkatan yang simultan. Artinya perusahaan harus melakukan tahapan
perbaikan semua proses bisnisnya secara menyeluruh. Termasuk perbaikan kelengkapan dalam hal
prosedur dan dokumentasi, pengembangan kompetensi SDM yang berkualitas, pengorganisasi dan
optimasi bagian yang mendukung, serta pelaksanaan audit TI yang konsisten dan memadai.
Berbeda dengan penelitian sebelumnya, penelitian ini menggunakan kerangka kerja COBIT 5
dalam mengukur tingkat kapabilitas (capability level) pengelolaan TI untuk domain DSS dan
memberikan rekomendasi atas gap pengelolaan TI yang ada di perusahaan sektor swasta. Pengukuran
kapabilitas COBIT 5 tidak ditujukan dalam rangka mengukur suatu tingkatan proses dengan sangat
akurat, atau mengeluarkan sertifikasi pada saat tingkatan tersebut telah tercapai. Pengukuran kapabilitas
dengan kerangka COBIT 5 ini bertujuan memberikan gambaran suatu kondisi yang relevan dengan
berbagai jenis tingkat kapabilitas yang ingin dicapai. COBIT 5 framework menjadi sangat bermanfaat
pada saat manajemen bertujuan untuk memastikan kesesuaian antara keadaan pengembangan TI yang
sebenarnya dengan harapan dan proses bisnis perusahaan. Kapabilitas yang baik dan tepat tergantung
dari tujuan bisnis perusahaan itu sendiri, lingkungan operasi perusahaan dan praktek yang ada di
perusahaan itu sendiri. Intinya, level kapabilitas manajemen dipengaruhi oleh ketergantungan
perusahaan dalam penggunaan TI, kemutakhiran teknologi dan value dari informasi (ITGI, 2012).
Pertanyannya adalah apakah dalam melakukan audit TI perusahaan telah mengimplementasikan
tata kelola TI sesuai COBIT Framework? Apakah tata kelola TI yang diterapkan berhasil mencapai
target suatu tingkat kapabilitas (capability level)?
Berdasarkan pertanyaan tersebut maka penelitian ini bertujuan untuk menganalisis pelaksanaan
audit TI di perusahaan telekomunikasi dalam rangka pengelolaan TI denngan COBIT framework. Selain
itu, untuk mengetahui apakah tata kelola TI yang diterapkan perusahaan telah memenuhi tingkat
kapabilitas yang ditargetkan dan telah mencapai tujuan yang diharapkan oleh perusahaan.
2. Landasan Teori
2.1. Audit TI
Audit TI merupakan salah satu kegiatan pengendalian yang dilakukan manajemen
dalam proses operasional yang berbasis teknologi informasi (TI) dalam rangka untuk
memelihara dan mengawasi data, keutuhan data yang beroperasi dengan efektif dalam
mencapai tujuan manajemen suatu organisasi. Menurut Arens et.al (2018) audit TI adalah suatu
proses mengumpulkan dan mengevaluasi bukti dalam rangka menentukkan sistem aplikasi yang
terkomputerisasi dapat menerapkan suatu internal komtrol yang konsisten dan memadai. Hall (2011)
4
dalam Mutia dan Nur’ainy (2020) menjelaskan audit TI sebagai tindakan peninjauan aspek organisasi
berbasis komputer. Audit TI memfokuskan pada aspek sistem informasi suatu organisasi dan dilakukan
pengujian efektifitas pengendalian teknologi informasi, serta kepatuhan perusahaan terhadap standar
yang ditentukan. Aspek yang dinilai dalam pelaksanaan audit TI antara lain implementasi yang tepat,
pengoperasian dan pengendalian sumber daya komputer (Hall, 2011 dalam Mutia dan Nur’ainy, 22020).
Tujuan pelaksanaan audit TI itu sendiri adalah untuk memberi kepastian kepada manajemen
dalam pencapaian harapan dan keinginan organisasi secara efektif, efisien dan ekonomis (Chamber &
Rand, 2010, dalam Mutia dan Nur’ainy, 2020). Weber (2010) dalam Mutia dan Nur’ainy (2020)
menjelaskan bahwa tujuan audit TI adalah mengevaluasi serta memastikan resiko dalam
melakukan pengawasan aset yang berharga serta menentukan metode yang dapat mengurangi
resiko. Menurut Nugraha (2012) dalam Mutia dan Nur’ainy (2020) pelaksanaa audit TI dikelompokkan
menjadi a) Audit operasional dalam tata kelola TI, b) Review atas informasi umum, yaitu audit sistem
informasi secara umum, c) Audit terhadap aplikasi yang sedang dikembangkan dan merupakan kualitas
asuran pada tahap pengembangan system.
Tahap audit TI yang direkomendasikan ISACA (2020) terdiri dari 4 (empat), yaitu 1) Planning,
auditor melakukan perencanaan lingkup audit untuk memastikan baha tujuan audit telah sesuai dengan
hukum dan standar prosefisionalitas audit. 2) Performance of Audit Work, auditor melakukan
monitoring terhadap tim audit dalam memberikan asuran yang reasonable, mendapatkan bukti audit,
temuan audit dan kesimpulan audit. 3) Reporting, auditor membuat laporan yang mengidentifikasi
organisasi, menyatakan temuan, kesimpulan dan rekomendasi. Selain itu, auditor juga memberikan
kriteria atau syarat lingkup audit, serta pengumpulan bukti audit yang cukup, relevan dan memadai. 4)
Follow Up, auditor memberikan evaluasi untuk memastikan pengambilan keputusan manajemen sesuai
dengan waktu yang tepat.
2.2. Tata Kelola TI
Berdasarkan Information Technology Govarnance Institute (ITGI) (2007) tata kelola TI
merupakan alat pertanggungjawaban serta pelaksanaan tindakan manajemen senior suatu
organisasi seperti kepemimpinan, struktur serta proses dalam melaksanakan organisasi dan
memastikan penerapan teknologi informasi untuk mendukung serta meningkatkan pelaksanaan
strategi dan tujuan suatu organisasi. Tujuan tata kelola TI itu sendiri yaitu memberikan manfaat TI
sesuai harapan yang ingin dicapai, serta menerapkan dan mengoptimalkan manfaat TI tersebut. Selain
itu memastikan penggunaan dari sumberdaya TI itu sendiri untuk dapat dipertanggungjawabkan, serta
pengelolaan risiko TI yang tepat.
Terdapat 5 (lima) bidang dalam pelaksanaan tata kelola TI yaitu 1) Strategic alignment
merupakan bidang yang difokuskan pada kesesuaian antara sistem dan skema TI dengan kebijakan
usaha perusahaan, dan memberikan solusi bersama (collaborative solutions). 2) Value Delivery, bidang
5
yang difokuskan kepada optimalisasi pengeluaran/biaya, dan memastikankan bahwa TI dapat memberi
nilai kepada perusahaan umtuk bersaing, layanan yang tepat waktu, kepuasan konsumen, serta
peningkatan kapasitas produksi dan profit. 3) Risk Management, merupakan bidang yang difokuskan
pada penanganan sarana TI dan pemulihan (mitigasi) bencana. 4) Resource Management, bidang yang
difokuskan kepada optimalisasi pemahaman dan prasarana TI. 5) Performance Measurement, bidang
yang difokuskan pada penelaahan proyek dan monitoring layanan TI.
2.3. COBIT Framework
COBIT (Control Objective for Information and Related Technology) framework adalah suatu
kerangka kerja untuk mengawasi pelaksanaan bidang TI di suatu organisasi. COBIT framework
dikembangkan dan dipublikasikan oleh Information System Audit and Control Association (ISACA).
Berdasarkan ISACA (2012) COBIT adalah panduan dan dokumentasi implementasi IT Governance.
Sebagai sebuah kerangka kerja COBIT mendukung auditor, jajaran manajemen, dan pengguna dalam
menjembatani adanya perbedaan suatu risiko dalam bisnis, berbagai kebutuhan pengendalian serta
problem secara teknis di lapangan. Sementara itu menurut ITGI (2007) COBIT merupakan kerangka
dan alat yang berfungsi sebagai perantara adanya suatu kesenjangan (gap) tentang kebutuhan dalam hal
pengawasan, masalah yang terkait dengan teknis dan adanya risiko dalam bisnis, serta
mengkomunikasikannya kepada stakeholder. Sebagai suatu kerangka kerja COBIT yang mencakup
tentang control objectives dari TI yang didesain untuk melaksanakan tahapan dalam melakukan audit
TI (ITGI, 2007).
COBIT 5 mengembangkan suatu kerangka yang dapat digunakan untuk mengukur dan menilai
tingkat kapabilitas proses yang disebut Process Assesment Model (PAM). Penilaian kapabilitas proses
bertujuan memberikan informasi kepada top manajemen dan stakeholder tentang level kapabilitas dari
suatu proses TI suatu organisasi serta target perbaikan berdasarkan kebutuhan organisasi. Berikut ini
model PAM yang disediakan COBIT 5:
Gambar 2. Process Assesment Model
Sumber: ISACA (2012)
6
Berdasarkan gambar 2 penilaian suatu proses didasarkan pada dimensi proses dan dimensi
kapabilitas. Dimensi proses menggolongkan setiap kategori proses menjadi beberapa proses. Dimensi
kapabilitas dijelaskan kedalam beberapa tingkatan (level) kapabilitas, dimana setiap tingkatan terdapat
karakteristik untuk mengukur kapabilitas suatu proses.
Kerangka PAM menurut referensi COBIT terdiri dari lingkup governance dan management.
Lingkup governance terdiri dari 1 (satu) domain yaitu Evaluate, Direct dan Monitor (EDM). Domain
EDM berisi sekumpulan proses dan pedoman dalam meyakinkan keserasian dalam proses pelaksanaan
tata kelola TI dengan strategi dan tujuan dari stakeholder serta institusi. Limgkup management terdiri
dari 4 (empat) domain yaitu 1) Align, Plan and Organize (APO). Domain yang melingkupi penentuan
suatu strategi dan pengidentifikasian TI dalam memberikan kontribusi atas kepentingan bisnis dan
organisasi. APO juga fokus pada format organisasi serta sarana prasarana teknologi informasi dalam
rangka meraih hasil dan manfaat maksimal dari penggunaan teknologi informasi. 2) Domain Build,
Acquire and Implement (BAI). Domain ini menyediakan berbagai pemecahan masalah untuk
mewujudkan suatu strategi, memastikan kebutuhan TI agar dapat diidentifikasi, dibangun dan
diimplementasikan. 3) Domain Deliver, Service and Support (DSS). Domain yang memastikan bahwa
seluruh solusi teknologi informasi yang sudah diimplementasikan dapat melayani dan mendukung para
pengguna. Proses pada domain DSS terdiri dari DSS01 yang berisi tentang pengelolaan operasi
pengelolaan, DSS02 berisi tentang pengelolaan kejadian dan permintaan layanan, DSS03 berisi tentang
pengelolaa masalah, DSS04 berisi tentang pengelolaan yang kontinyu, DSS05 berisi tentang tentang
pengelolaan jasa keamanan komputer, DSS06 berisi tentang pengelolaan pengendalian proses bisnis. 4)
Domain Monitor, Evaluate and Assess (MEA). Pada domain ini dipastikan bahwa pelaksanaan suatu
proses telah selaras dengan harapan, dan mengevaluasi proses yang tidak maksimal.
2.4. Tingkas Kapabilitas COBIT 5 Framework
Dimensi kapabilitas pada COBIT 5 menyediakan tingkatan/level dalam pengukuran dan
penilaian kapabilitas suatu proses.
Gambar 4. Capability Levels dan Process Attributes
Sumber: ISACA (2012)
7
Pada gambar 4 tingkat kapabilitas terdiri 6 (enam) tingkat/level. Level 0 (Incomplete), level
dimana organisasi tidak mengetahui samasekali aktifitas teknologi informasi di organisasinya atau suatu
proses tidak diterapkan bahkan tidak berhasil dalam memperoleh tujuan dari proses tersebut. Level 1
(Performed), merupakan level dimana suatu organisasi dapat memastikan bahwa aktivitas bidang
teknologi informasi di organisasinya berjalan dengan baik. Level 2 (Managed Process), organisasi
memiliki kebijakan dalam mengarahkan kegiatan operasional dan pengembangan bidang teknologi
informasi berdasarkan rencana dan dimonitor serta didokumentasikan sesuai dengan tujuan. Level 3
(Establish Process), organisasi mempunyai satuan kerja dan struktur organisasi bidang teknologi
informasi serta standar khusus (SOP) dalam pengembangan teknologi informasi. Level 4 (Predictable
Process), organisasi membuat pengukuran kegiatan teknologi informasi, mengetahui nilai bisnis dari
teknologi informasi serta menghasilkan produk teknologi informasi yang mempunyai nilai tambah.
Level 5 (Optimizing Process), teknologi informasi terintegrasi dengan aktivitas bisnis dan operasional,
membuat otomasi dan inovasi aktivitas bisnis agar kinerja organisasi efisien, efektif, transparan dan
berkualitas tinggi.
Pengukuran dan penilaian level kapabilitas dengan COBIT 5 framework menggunakan
kerangka Process Assessment Model (PAM) terdiri dari 1) Tahap mendefinisikan level kapabilitas,
yaitu tahap tingkatan kapabilitas mulai dari level 0 (Incomplete) sampai 5 (Optimizing). Setiap level
kapabilitas disesuaikan kondisi organisasi, 2) Tahap mendefinisikan atribut proses, proses atribut yang
ada didalam dimensi kapabilitas menyediakan karakteristik untuk pengukuran sebuah kapabilitas
proses. Setiap level kapabilitas mempunyai proses atribut yang berbeda.
Gambar 4 juga menunjukkan 9 (sembilan) atribut proses yang digunakan sebagai dasar
pengukuran tingkat kapabilitas suatu proses, yaitu 1) Process Performance, pengukuran tingkat
kapabilitas untuk melihat tujuan pencapain suatu proses. 2) Performance Management, pengukuran
tingkat kapabilitas untuk melihat kinerja pengelolaan proses. 3) Work Product Management,
pengukuran tingkat kapabilitas untuk memastikan pengelolaan produk yang dihasilkan. 4) Process
Definition, pengukuran tingkat kapabilitas untuk memastikan pemeliharaan standar proses/proses baku
dalam rangka mendukung pengembangan proses yang terdefinisi. 5) Process Deployment, pengukuran
tingkat kapabilitas untuk memastikan efektifitas penggunaan standar proses/proses baku sebagai proses
terdefinisi dalam mencapai hasil. 6) Process Measurement, pengukuran tingkat kapabilitas untuk
melihat hasil dari kepastian kinerja suatu proses yang mendorong pencapaian dari tujuan proses tersebut
dan tujuan organisasi. Bentuk pengukuran dapat berupa pengukuran dalam proses, pengukuran produk
ataupun keduanya proses dan produk. 7) Process Control, pengukuran tingkat kapabilitas kuantitatif
terhadap proses untuk melihat stabilitas hasil proses dan prediksi dari hasil proses tersebut. 8) Process
Innovation, pengukuran tingkat kapabilitas untuk melihat pengidentifikasian adanya perubahan proses
dari hasil analisis penyebab yang umum, variasi kinerja serta inovasi. 9) Process Optimization,
pengukuran tingkat kapabilitas proses untuk melihat adanya pendefinisian yang berubah, pengelolaan
dan kinerja suatu proses yang menghasilkan efektifitas pencapaian tujuan dalam memperbaiki proses.
8
Level 0 merefleksikan proses yang tidak dapat diimplementasikan atau gagal dalam pencapaian tujuan
dari suatu proses.
Penilaian tingkat kapabilitas yang dilakukan terdiri dari 2 (dua) indikator, yaitu a) Indikator
level kapabilitas 1 (satu), yaitu indikator yang mempunyai sifat khusus dari suatu proses dan memberi
nilai apakah pengimplementasian dari atribut proses tersebut dapat menghasilkan tujuan dari suatu
proses berdasarkan perolehan out come dari suatu proses. b) Indikator level kapabilitas 2 (dua), yaitu
indikator yang digunakan untuk menilai tingkat kapabilitas sesuai dengan indikator performa yang
sifatnya generik. Kedua jenis indikator ini bersifat umum bagi seluruh proses, tapi berbeda untuk
masing-masing level kapabilitas.
Pengukuran kapabilitas dengan COBIT 5 bukan ditujukan sebagai pengukuran dalam level tata
kelola TI dengan sangat akurat, namun untuk memberikan penjelasam tentang keadaan yang terkait
dengan level kapabilitas yang ingin dicapai (ITGI 2007). Kerangka kerja ini cocok pada saat pihak
manajemen bermaksud untuk memastikan kesesuaian antara keadaan pengembangan TI yang ada
dengan harapan dalam melaksankan proses bisnis. Kapabilitas yang baik tergantung tujuan dari bisnis
perusahaan itu sendiri, lingkungan dalam operasional serta praktik industri. Intinya, level kapabilitas
manajemen berdasarkan pada kepentingan suatu perusahaan terhadap teknologi informasi, kehebatan
teknologi serta value suatu informasi yang ada di perusahaan (ITGI, 2007).
Manajemen dituntut melayani konsumen dengan maksimal, sehingga delivery dari informasi
perusahaan dapat berjalan dengan baik (Wella, 2016). Di samping itu, manajemen dituntut untuk
mampu mengembangkan daya saing sehingga bisa menggapai pangsa pasar yang saat ini semakin
meluas. Dalam hal ini, DSS (delivery, service and support) sangat dibutuhkan untuk mendukung
manajemen dalam memberikan pelayanan terbaik sehingga memberikan value bagi perusahaan.
Domain DSS menjadi salah satu dari 5 (lima) domain kerangka COBIT 5 dalam Management of
Enterprise IT. Fokus dari DSS ini lebih kepada pengiriman, pelayanan, serta support teknologi
informasi yang kemudian diserahkan bagi efektifitas dan efisensi sistem informasi dalam perusahaan.
3. Metode Penelitian
3.1. Pemilihan dan Pengumpulan Data
Penelitian ini merupakan penelitian kualitatif dengan menggunakan studi kasus di PT Link Net,
Tbk. Data yang digunakan adalah data yang berjenis primer dan sekunder. Pengumpulkan data secara
primer diperoleh dengan melakukan survey kepada responden. Responden yang dituju telah disesuaikan
dengan permasalahan dan tujuan penelitian. Untuk data sekunder penelitian ini mengumpulkan berbagai
laporan/informasi yang dipublikasikan secara internal oleh perusahaan sendiri maupun oleh pihak lain
yang dapat dipastikan kebenarannya yaitu berupa company profile, standar dan prosedur serta kebijakan
perusahaan.
Data primer yang terkumpul selain berasal dari jawaban kuesioner juga dari hasil wawancara
dan observasi pada Divisi TI PT Link Net Tbk. Penyusunan kuesioner didasarkan pada model PAM
9
kerangka COBIT 5 yang relevan dengan permasalahan dan disusun dengan bentuk skoring. Hal ini
bertujuan untuk mengetahui kondisi pengelolaan TI lebih spesifik yang digunakan sebagai dasar dalam
menentukan tingkat kapabilitas tata kelola TI. Wawancara ditujukan kepada pihak terkait dalam
pengelolaan TI. Sebagai narasumber adalah staf dan Kepala Divisi TI. Untuk perolehan data dengan
cara observasi penelitian ini melihat praktik penerapan dan penggunaan teknologi informasi dengan
langsung. Cara ini dapat memberikan data yang akurat serta dapat dipertanggungjawabkan.
3.2. Metode Analisis Data
Untuk melakukan analisis pada penelitian ini menggunakan proses sebagaimana yang
diarahkan COBIT 5 dalam penentuan tingkat kapabilitas domain DSS. Dengan metode ini setiap
indikator pada domain DSS diukur level kapabilitasnya. Dasar pengukuran adakah hasil kuesioner.
Penentuan level Setiap item ditentukan levelnya berdasarkan nilai modus (nilai yang paling sering
muncul) untuk masing-masing setiap aktifitas. Nilai modus tersebut telah dipersentasekan ( % ) dengan
membagi jumlah frekuensi yang dipilih dengan jumlah total responden.
𝐿𝑒𝑣𝑒𝑙 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠 𝐼𝑡𝑒𝑚 = 𝑃𝑒𝑟𝑠𝑒𝑛𝑡𝑎𝑠𝑒 𝑚𝑜𝑑𝑢𝑠 𝐹𝑟𝑒𝑘𝑢𝑒𝑛𝑠𝑖 𝑑𝑖𝑝𝑖𝑙𝑖ℎ
𝑇𝑜𝑡𝑎𝑙 𝑟𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛
Mencari nilai rata-rata dari level kapabilitas yang dihasilkan dengan rumus:
𝑅𝑎𝑡𝑎 − 𝑟𝑎𝑡𝑎 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠 = 𝑇𝑜𝑡𝑎𝑙 𝐼𝑡𝑒𝑚 𝐿𝑒𝑣𝑒𝑙 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠
𝐽𝑢𝑚𝑙𝑎ℎ 𝐼𝑡𝑒𝑚
Kemudian menentukan pembulatan tingkat kapabilitas dari setiap domain DSS. Langkah
pembulatan ini dilakukan dengan model PAM kerangka COBIT yang digunakan untuk menentukan
kapabilitas proses. Proses yang telah mencapai tingkat kapabilitas artinya telah memenuhi semua atribut
sebelum tingkat kapabilitas secara fully achieved, serta telah memenuhi seluruh atribut ditingkat
kapabilitas secara largely dengan nilai >50% hingga 85%, atau fully achieved denegan nilai >85%.
Untuk penelitian ini memilih fully achieved yaitu level yang terpenuhi berada dalam nilai >85% karena
mempunyai tingkat akurasi yang baik dalam melakukan penilaian atau penggambaran kondisi yang
terjadi.
a. Skala Penilaian Kapabilitas Proses
Proses pengukuran tingkat kapabilitas dengan COBIT 5 yang digunakan penelitian ini
mengacu pada ISO/IEC 15504 yaitu menggunakan model Process Assessment Model (PAM). Skala
penilaian tingkat kapabililtas proses dengan PAM adalah sebagai berikut:
Tabel 1. Skala Penilaian Kapabilitas Proses
Singkatan Persentase Pencapaian Deskripsi
N
0-15% achievement
Not achieved, tidak menemukan bukti
atau ditemukan hanya sedikit bukti
10
Singkatan Persentase Pencapaian Deskripsi
dalam pencapaian atribut tertentu
untuk proses yang dinilai.
P
>15% - 50% achievement
Partially Achieved, ditemukan
beberapa bukti dari atribut tertentu
dalam penilaian suatu proses.
Terdapat aspek-aspek dalam
pencapaian atribut tersebut yang sulit
untuk diprediksi.
L
>50% - 85% achievement
Largely Achieved, terdapat bukti
melalui pendekatan yang sistematis
serta dapat mencapai hasil signifikan
atas suatu atribut tertentu untuk proses
yang akan dinilai. Adanya kelemahan
dari atribut tersebut pada saat
dilakukan penilaian proses.
F
>85% - 100% achievement
Fully achieved, memliki bukti yang
lengkap, pendekatan sistematis, serta
pencapaian hasil yang signifikan
terhadap suatu atribut dari penilaian
suatu proses. Pada atribut suatu proses
yang sedang dinilai tak ada temuan
untuk kelemahan yang signifikan.
Sumber: ISACA (2012)
b. Penentuan Tingkat Kapabilitas Proses
Suatu proses pada dasarnya hanya cukup meraih Largely achieved (L) atau Fully achieved (F)
(ISACA, 2012). Hal ini dimaksudkan dalam rangka menyatakan bahwa suatu proses telah mencapai
suatu tingkat kapabilitas. Tapi proses yang dimaksudkan wajib mencapai Fully achieved (F) untuk
meneruskan dalam menilai tingkat kapabilitas yang lain. Sebagai ilustrasi, apabila terdapat proses yang
mencapai tingkat kapabilitas 3 (tiga), untuk level 1 (satu) dan 2 (dua) dari proses yang dimaksudkan
dapat meraih Fully achieved (F). Untuk tingkat kapabalitas 3 (tiga) dapat meraih Largely achieved (L)
atau Fully achieved (F). Proses pemeringkatan kapabilitas proses berdasarkan COBIT 5 sebagai berikut:
Tabel 2. Pemeringkatan Kapabilitas Proses COBIT
Capability Level Process Attribute 1 2 3 4 5
Level 5 : Optimizing PA 5.1 & 5.2 L/F
Level 4: Predictable PA 4.1 & 4.2 L/F F
Level 3: Established PA 3.1 & 3.2 L/F F F
11
Level 2: Managed PA 2.1 & 2.2 L/F F F F
Level 1: Performed PA 1.1 L/F F F F F
Sumber: ISACA (2012)
c. Tahap penilaian/pengukuran tingkat kapabilitas
Penilian ini menggunakan tahapan penilaian tingkat kapabilitas sebagai berikut: Pertama,
melakukan penentuan dalam menilai suatu proses. Untuk memilih proses dilakukan melalui dua proses,
terdiri dari Top Down atau Bottom Up. Proses Top Down dimulai dari bisnis goals suatu organisasi.
Proses Bottom Up dimulai adanya permasalahan organisasi saat ini. Kedua, melakukan penetapan untuk
proses terpilih dalam mencapai level kapabilitas 1 (satu). Indikator level kapabilitas 1 (satu) sifatnya
spesifik, dan setiap proses berbeda. Penilaian tersebut diberikan karena meraih hasil atas proses atribut
level kapabilitas 1. Ketiga, penentuan pemilihan proses apakah telah meraih level kapabilitas 2 sampai
5. Karakteristik dalam penilaian level kapabilitas 2 – 5 ini sifatnya generik bagi seluruh proses, namun
demikian berbeda untuk setiap level kapabilitas. Keempat, melakukan pencatatan dan pembuatan
ringkasan level kapabilitas terhadap semua proses penilaian. Kelima, melakukan perencanaan dalam
perbaikan suatu proses.
4. Hasil dan Diskusi
Setelah melakukan rekapitulasi data berdasarkan tingkat kapabilitas yang telah disesuaikan
dengan skala penilaian, maka selanjutnya mengidentifikasikan rekomendasi yang diberikan sesuai
dengan kebutuhan. Pada penelitian ini tahap yang dilakukan didasarkan pada 1) Kondisi Existing, yaitu
kondisi yang menggambarkan keadaan tata kelola TI. Kondisi existing diperoleh berdasarkan
pengumpulan bukti dengan mewawancarai pihak yang berkepentingan dan relevan. 2) Analisis gap,
yaitu menganalisis perbedaan tingkat kapabilitas dengan target perusahaan. Tingkat kapabilitas
diperoleh dengan mengolah hasil kuesioner dan tingkat target yang diperoleh dari hasil wawancara pada
Divisi TI PT Link Net, Tbk.
4.1. Hasil Uji Validitas Kuesioner Domain DSS
Uji validitas dilakukan dilakukan per sub bab dari domain DSS setelah direkapitulasi. Hasil
yang diperoleh dalam uji validitas ini adalah sebagai berikut:
Tabel 3. Hasil Uji Validitas Kuesioner Domain DSS pada PT Link Net, Tbk
Pernyataan Corrected Item Total
Correlation
r tabel Keterangan
DSS01 0.726 0.625 Valid
DSS02 0.931 0.625 Valid
DSS03 0.867 0.625 Valid
DSS04 0.943 0.625 Valid
DSS05 0.840 0.625 Valid
12
DSS06 0.726 0.625 Valid
Sumber: Data diolah (2021)
Tabel 3 menunjukkan nilai Corrected Item Total Correlation dengan hasil DSS01 – DSS06 >
r. Hasil ini menunjukkan bahwa penelitian ini telah menggunakan data yang valid.
4.2. Hasil Uji Realibilitas Kuesioner Domain DSS
Uji reliabilitas yang dilakukan dengan cara membandingkan hasil perhitungan cronbach alpha
dengan nilai croncbach alpha yaitu minimal 0.60. Hasil uji reliabilitas yang adalah:
Tabel 4. Hasil Uji Reabilitas Kuesioner Domain DSS pada PT Link Net, Tbk
Croncbach’s alpha N of Items
0.920 6
Sumber: Data diolah (2021)
Tabel 4 terlihat nilai Croncbach’s alpha > 0.60 hal ini menunjukkan data yang digunakan
reliabel. Untuk menetapkan kondisi level pada aktifitas yang ada di form kerja audit, selanjutnya
berdasarkan form dari hasil kuesioner dilakukan suatu analisis dan menentukan level. Penetapan level
setiap aktivitas melalui pemilihan nilai modus (nilai yang paling banyak muncul) untuk setiap aktifitas.
Nilai modus tersebut telah dipersentasekan ( % ) dengan membagi jumlah frekuensi yang dipilih dengan
jumlah total responden. Jumlah responden pada penelitian sebesar 12 responden.
4.3. Hasil Analisis Domain DSS01
Berikut adalah hasil analisis pada domain DSS01 tentang Mengelola Operasi:
Tabel 5. Hasil analisis DSS01 PT Link Net, Tbk
Proses
TI
Aktivitas
Frekuensi Pilihan Level yang
dipilih 0 1 2 3 4 5
DSS01
DSS01-01 0% 0% 0% 17% 66% 17% 4
DSS01-02 0% 8% 8% 58% 17% 8% 3
DSS01-03 0% 0% 0% 42% 58% 0% 4
DSS01-04 0% 0% 0% 8% 75% 17% 4
DSS01-05 0% 0% 8% 0% 84% 8% 4
Rata-rata 3.8
Sumber: Data diolah (2021)
Tabel 5 menunjukkan level kapabilitas yang diperoleh pada DSS01 tentang Mengelola Operasi.
Tabel tersebut menunjukan bahwa hampir semua sub proses DSS01 berada pada level 4 (predictabel
process) yaitu DSS01-01 tentang Menjalankan Prosedur Operasional, DSS01-03 tentang Memonitor
Infrastruktur TI, DSS01-04 tentang Mengelola Lingkungan, dan DSS01-05 tentang Mengelola Fasilitas,
meskipun pada DSS01-04 terdapat 8% yang memilih level 2. Ini artinya proses DSS dilakukan dalam
bentuk aktivitas, kebijakan dan aturan terdokumentasi, serta menghasilkan layanan/informasi optimal
13
yang telah dimonitor dan dianalisis. Hanya DSS01-02 tentang Mengelola Layanan Outsourse TI yang
berada pada level 3 (Established Process).
Selain itu masih terdapat 8% yang memilih level 1 dan 8% memilih level 2. Artinya, proses
DSS dilakukan, aktivitas, kebijakan dan aturan terdokumentas serta menghasilkan layanan informasi
optimal. Namun demikian perlu adanya pemaparan dan penyampaian informasi kepada semua staff
yang ada di Divisi TI mengenai kebijakan yang relevavn dengan indikator DSS01-02 itu sendiri.
Berdasarkan semua sub proses yang ada pada DSS01 tentang Mengelola Operasi, maka diketahui
tingkat kapabilitas tertinggi berada pada proses DSS01-05 tentang Mengelola Fasilitas dengan
persentase 84%.
4.4. Rekapitulasi Nilai Proses Domain DSS
Setelah melakukan analisis hasil DSS maka diperolah hasil dari nilai setiap aktifitas pada
domain DSS, dan dimasukkan kedalam form/kertas kerja audit. Langkah berikutnya menghitung rerata
nilai untuk setiap proses dalam rangka mengetahui kondisi setiap proses yang dilakukan. Hal ini
dilakukan dengan menghitung semua level yang terpilih, kemudian dibagi dengan sejumlah item dari
pertanyaan setiap domain. Rekapitulasi dari nilai suatu proses domain DSS adalah:
Tabel 6. Rekapitulasi Capability Level PT Link Net, Tbk
Proses Domain Level rata-rata Pembulatan level
DSS01 – Mengelola Operasi 3,8 3
DSS02 – Mengelola Permintaan Layanan dan Insiden 3,72 3
DSS03 – Mengelola Masalah 3,6 3
DSS04 – Mengelola Keberlanjutan 4 4
DSS05 – Mengelola Keamanan Layanan 4 4
DSS06 – Mengelola Kontrol Proses Bisnis 3,83 3
Sumber: Data diolah (2021)
Berdasarkan tingkat kapabilitas yang diperoleh maka menentukan pembulatan agar
memudahkan dalam menetapkan kondisi yang terkini sesuai dengan kriteria tingkat kapabilitas yang
telah ditetapkan. Untuk melakukan pembulatan ini digunakan langkah penentuan proses kapabilitas
tertentu, yaitu proses yang meraih tingkat kapabilitas apabila seluruh atribut sebelum tingkat kapabilitas
telah memenuhi fully achieved, dan seluruh atribut ditingkat kapabilitas memenuhi largely sebesar
>50% hingga 85%) atau fully achieved sebesar >85%. Penelitian ini menetapkan pilihan yang
memenuhi fully achieved atau level yang memenuhi nilai sebesar >85% yang dianggap akurat dalam
menilai dan menggambarkan kondisi existing.
4.5. Pengumpulan Bukti DSS01
14
Pada saat menentukan kondisi yang diperoleh telah menunjukkan hasil yang valid, maka proses
audit TI selanjutnya yaitu mengumpulan bukti berdasarkan ketetapan kerangka COBIT 5 khususnya
untuk domain DSS. Hasil perolehan bukti ini kemudian diperiksa kesesuaiannya dengan kondisi
existing yang diperoleh dan digunakan sebagai alat ukur tersendiri. Berikut adalah hasil pengumpulan
bukti yang diperoleh:
Tabel 7. Pengumpulan Bukti DSS01 PT Link Net, Tbk
DSS01 Mengelola Operasi
Sub Proses Output/bukti Keterangan
DSS 01.01 Menjalankan
Prosedur Operasional
Dokumen jadwal operasional dan
Dokumen SOP
Dilakukan selama jam kerja
kantor
DSS 01.02 Mengelola
Layanan Outsourse TI
Dokumen transaksi dengan vendor
dan Outsourse serta Konsultan
Melakukan kerjasama dengan
vendor, Outsourse dan Konsultan
dalam mengelola Outsourse TI
DSS 01.03 Memonitor
Infrastruktur TI
dokumen pengawasan aset serta
daftar aset secara lengkap
Menggunakan aplikasi IT
Helpdesk ( Manage Engine
ServiceDesk Plus)
DSS 01.04 Mengelola
Lingkungan
Dokumen mengenai aturan
lingkungan kerja, standar, pelatihan
dan testing peringatan
perangkat mengikuti standar yang
ditetapkan
DSS 01.05 Menglelola
Fasilitas
berupa dokumen pengelolaan
fasilitas, IT Helpdesk dan support
Keamanan perangkat sudah diatur
dalam SOP dan supporting
dilakukan secara berkala
Sumber: Data diolah (2021)
Berdasarkan pengumpulan bukti pada tabel 7, maka kondisi existing dari DSS0 adalah 1) Rekap
aktivitas dilakukan dengan baik selama jam kantor dan telah sesuai SOP, 2) Melakukan kerjasama
dengan vendor, outsourse dan konsultan untuk mengelola outsourse TI, 3) Monitoring atau pengawasan
terhadap aset dan insiden menggunakan IT Helpdesk (Manage Engine ServiceDesk Plus), 4)
Pengelolaan lingkungan kerja IT, standar, pelatihan dan testing peringatan bersadarkan SOP dengan
menggunakan standar yang ditetapkan, 5) Fasilitas TI dikelola dengan baik sesuai dengan yang tetulis
dalam SOP dan dilakukan secara berkala.
4.6. Analisis GAP DSS01
Pencarian selisih level kapabilitas yang diperoleh dengan pencapaian level target sesuai dengan
Analisis Gap. Penentuan level target ditentukan oleh satu di atas level yang telah dilakukan pembulatan
berdasarkan bukti yang didapat, dan kondisi existing sub domain saat ini. Contoh untuk DSS01
diperoleh level setelah pembulatan sebesar 4, maka target level untuk DSS01 adalah 5.
15
Tabel 8. Analisis Gap DSS01 PT Link Net, Tbk
Nama Proses Level Existing Level Target Gap
DSS01 Mengelola Operasi 3 4 1
Sumber: Data diolah (2021)
Untuk menuju ke level 4 maka yang harus dilakukan adalah melakukan pembenahan pada
DSS01-02 tentang Mengelola Layanan Outsourse TI dan DSS01-05 tentang Mengelola Fasilitas.
Langkah yang dilakukan adalah memberikan pemahaman dan pengetahuan yang baik kepada staff TI
mengenai kebijakan pada proses DSS, dan menetapkan ukuran layanan atau informasi yang ingin
dihasilkan. Selain itu memastikan bahwa ukuran layanan tersebut dapat tercapai, kemudian memantau
dan menganalisisnya.
4.7. Rekomendasi untuk DSS01
Berdasarkan hasil analisis gap yang diperoleh berdasarkan target pencapaian level pada DSS01,
maka rekomendasi yang diberikan adalah sebagai berikut:
Pada DSS 01-01 tentang Menjalankan Prosedur Operasional dan DSS 01-04 tentang Mengelola
Lingkungan Kerja maka rekomendasi yang diberikan adalah 1) Perlu diadakannya jadwal piket dan
pengawasan terhadapnya untuk meningkatkan efektivitas waktu kerja karyawan, 2) Pentingnya
kesadaran dan pemahaman pengelolaan lingkungan kepada para staff TI dengan memberikan himbauan
melalui gambar dan tulisan-tulisan disudut ruangan.
Kemudian untuk DSS 01-03 tentang Memonitor Infrastruktur TI maka rekomendasi yang
diberikan adalah perlu dilakukan pengawasan terhadap kondisi ruangan selama 24 jam dengan
memanfaatkan kamera CCTV. Hal ini dikarenakan ruangan tersebut belum memanfaatkan alat
monitoring yang berfungsi sebagai alat untuk memonitoring dan mengawasi setiap sudut yang ada
diruangan tersebut.
Selanjutnya untuk DSS 01-05 tentang Mengelola Fasilitas rekomendasi yang diberikan adalah
perlu adanya pemahaman bagi staff TI untuk bisa mengelola dan menjaga fasilitas dengan baik dan
sesuai prosedur, untuk itu perlu diadakannya pelatihan bagi para staff.
Solusi untk DSS01adalah memberikan pelatihan kepada staff agar lebih memahami dan mampu
mengelola prosedur operasional, layanan outsourse TI, Infrastruktur TI, Lingkungan dan Fasilitas TI
yang ada.
4.8. Rekomendasi untuk DSS02
Berdasarkan perolehan hasil dari analisis gap sesuai dengan pencapaian target level yang
diharapkan pada indikator DSS02, penelitian ini memberi rekomendasi sebagai berikut:
Untuk DSS02-02 tentang Mengklasifikasikan dan memproriataskan permintaan dan insiden
rekomendasi yang diberikan adalah diupayakan untuk menetapkan tingkatan insiden terutama terkait
dengan insiden yang besar dan insiden untuk keamanan yang dapat terjadi dan prioritas.
16
Kemudian untuk DSS02-04 tentang Mendiagnosis dan Mengalokasi Insiden rekomendasi yang
diberikan adalah 1) Mencari lebih detail kemungkinan penyebab-penyebab insiden terjadi supaya bisa
ditangani dengan segera, 2) Perlu adanya tenaga ahli untuk penanganan masalah yang mendalam yang
tidak bisa diselesaikan oleh teknisi TI.
Selanjutnya untuk DSS02-05 tentang Menyelesaikan dan Memulihkan Insiden rekomendasi
yang diberikan adalah mencatat dan mendokumentasikan setiap penyelesaian masalah supaya bisa
dipakai di kemudian hari dan mencari alternatif penyelesaian insiden yang lain.
Solusi untuk DSS02 adalah segera mungkin melakukan skala prioritas terhadap layanan yang
diterima dan Insiden yang terjadi.
4.9. Rekomendasi untuk DSS03
Hasil dari analisis gap yang diperoleh melalui pencapaian target level pada DSS03, maka
beberapa rekomendasi dari penelitian ini dapat dilihat sebagai berikut:
Pada DSS03-01 yaitu tentang Mengidentifikasi dan Mengklasifikasikan Masalah, DSS03-02
mengenai Menginvestigasi dan Mendiagnosis Masalah, kemudian DSS03-04 tentang Menyelesaikan
dan Menutup masalah, dan DSS03-05 tentang Menjalankan Manajemen Masalah secara Proaktif,
rekomendasi yang diberikan adalah 1) Perlu adanya grup support untuk membantu mengidentifikasi
masalah sampai kepada akar masalahnya, 2) Berkonsultasi dengan pihak manajemen untuk prioritas
masalah yang dilakukan penanganan, 3) Perlu adanya untuk membuat laporan progress terhadap
masalah yang sedang dalam penanganan, 4) Pentingnya komunikasi yang baik kepada service desk
untuk masalah-masalah yang telah diselesaikan, 5)Terus melakukan monitoring terhadap dampak dari
masalah yang pernah terjadi dan yang masih berlangsung, 6) Mengadakan sharing ke unit lain untuk
penanganan yang sedang dihadapi, 7) Melakukan monitoring atas total cost dari penanganan setiap
masalah, dan 8) Mencari dan menentukan permanen fix akar permasalahan yang telah dianalisis.
Solusi yang diberikan untuk DSS03 adalah mencari tenaga ahli yang bisa menyelesaikan
permasalahan yang terjadi dalam IT.
4.10. Rekomendasi untuk DSS04
Sesuai dengan analisis gap yang diperlohan berdasarkan hasil pencapaian target level pada
domain DSS04 ini, berikut ini beberapa rekomendasi yang diberikan:
Pada DSS04-02 tentang Memelihara Strategi Keberlanjutan rekomendasi yang diberikan
adalah menilai dan menganalisis kondisi yang menjadi ancaman yang kemungkinan menyebabkan
kehilangan keberlangsungan bisnis.
Kemudian untuk domain DSS04-04 tentang Latihan, Tes dan Review Dokumen Business
Continuity Plan dan pada DSS04-06 tentang Mengadakan Training untuk Continuity Plan rekomendasi
yang diberikan adalah 1) Membuat jadwal pelatihan dan pengujian continuity plan 2) Membuat
rekomendasi untuk mengembangkan business continuity plan sesuai hasil pengujian dan review.
17
Solusi yang dapat diberikan untuk DSS04 adalah melakukan analisis pasar dan perencanaan
yang matang untuk menjaga keberlangsungan bisnis. Hal ini dimaksudkan agar dapat memberikan hasil
yang tepat sesuai dengan rencana dan tujuan perusahaan.
4.11. Rekomendasi untuk DSS05
Sesuai hasil analisis gap dari perolehan target Level yang ingin diraih pada domain DSS05,
beberapa rekomendasi yang dapat diberikan adalah:
Untuk DSS05-05 tentang Mengelola Akses Fisik ke Aset TI maka rekomendasi yang diberikan
adalah 1) Menghimbau dan memastikan bahwa setiap staff selalu menggunakan tanda pengenal yang
terlihat dalam melakukan tugas kantor, 2) Menemani pengunjung (jika ada yang berkunjung) yang
masuk ke IT aset dan TI site dan tidak ditingal sendiri.
Solusi yang dapat diberikan untuk DSS05 ini adalah melakukan pengawasan terhadap integritas
data dari malware. Hal ini dimaksudkan dalam rangka pencegahan kecurangan yang bersumber dari
internal maupun dari eksternal perusahaann.
4.12. Rekomendasi untuk DSS06
Sesuai hasil perolehan analisis hap dengan target level yang ingin diraih pada DSS06, peneliti
memberikan rekomendasi sebagai berikut:
Pada indikator DSS06-03 tentang Mengatur Peran, Tanggungjawab, Hak Akses dan Level
otoritas rekomendasinya adalah memnyusun dan menetapkan kebijakan untuk menentukan peran yang
berwenang dalam memasukkan dan menjalankan aktivitas atau data yang sensitif, dan dijelaskan
dengan rinci serta didokumentasikan.
Kemudian untuk DSS06-05 tentang Memastikan bahwa Informasi dari Event dapat Ditelusuri
dan Pertanggungjawabannya maka rekomendasi yang diberikan adalah mencatat dan mengumpukan
semua informasi, bukti-bukti dan rekaman transaksi dari sebuah event agar jelas siapa yang
bertanggungjawab atas event yang telah diselesaikan.
Sedangkan untuk DSS06-06 tentang Mengamankan Aset-aset Informasi rekomendasi yang
diberikan adalah 1) Melakukan monitoring dan memberikan evaluasi prosedur untuk keamanan dalam
melindungi aset informasinya, 2) Mengidentifikasi setiap bentuk data yang sifatnya rahasia dan
menyusun prosedur penyimpanan (save) serta penghapusan (delete) yang tepat, 3) Melakukan
pengarsipan data, misalnya sumber suatu data/informasi, hasil pencatatan dari transaksi yang digunakan
sebagai bukti dari pengukuran serta penilaian berjalannya proses dari suatu bisnis, serta dijadikan
sebagai suatu rekomendasi.
Solusi yang dapat diberikan untuk DSS06 adalah menempatkan manajemen untuk melakukan
pengelolaan terhadap proses bisnis.
4.13. Rekomendasi Keseluruhan Proses
18
Berikut ini beberapa tambahan rekomendasi secara umum berdasarkan kondisi existing pada
bagian TI PT Link Net, Tbk. Tingkat kapabilitas yang diperoleh dari keseluruhan adalah Level 3 yaitu
Established Process. Untuk target level yang ingin dicapai adalah 4 (empat) Predictable Process dan
rekomendasi yang diberikan adalah 1) Berdasarkan hasil analisis, domain yang masih tertinggal dari
domain lainnya adalah DSS03 tentang Mengelola Masalah. Oleh karenanya perlu dilaksanakan terlebih
dahulu rekomendasi yang telah diberikan dalam rangka mengembangkan performa untuk
keberlangsungan suatu proses bisnis, 2) Dilakukan peningkatan serta menjaga konsistensi dalam
mengendalikan dan memberi evaluasi terhadap pencapaian proses bisnis secara weekly meeting, 3)
Memperketat monitoring atas proses yang sedang berjalan dalam rangka mempertahankan dari proses
yang telah berjalan agar menjadi lebih baik lagi.
5. Kesimpulan, Implikasi, dan Keterbatasan Penelitian
5.1. Kesimpulan
Berdasarkan analisis pengumpulan bukti dan analisis kondisi existing, diketahui bahwa kinerja
teknologi informasi PT Link Net, Tbk telah dikelola dengan baik. Dapat dibuktikan dari kerangka kerja
COBIT 5 dengan level kematangan yang diperoleh dari tiap domain.
Hasil penelitian dan pengelolaan teknologi informasi dengan model kapabilitas diketahui bahwa
teknologi informasi PT Link Net, Tbk berada pada level kematangan tiga (Established Process) dengan
rata-rata nilai 3.83. Ini menunjukan bahwa manajemen dapat memonitor masing-masing control
objektif, dan mampu mengukur keefektifan pengelolaan teknologi informasi berdasarkan hasil
pemantauannya.
5.2. Implikasi
Penelitian ini memberi implikasi pada perusahaan dalam menjaga integritas informasi ketika
dilakukan monitoring terhadap perkembangan teknologi yang baru dan memperbaharui sistem secara
kontinyu dan konsisten.
5.3. Keterbatasan Penelitian
Keterbatasan penelitian ini adalah dalam melakukan penilaian kinerja audit dengan
memanfaatkan tata kelola TI kerangka COBIT 5 hanya satu domain, yaitu DSS, sehingga rekomendasi
tata kelola IT yang diberikan kurang lengkap. Penelitian selanjutnya sebaiknya 1) Memperbanyak bukti
terkait dengan domain DSS untuk mendapatkan rekomendasi yang lebih dalam, 2) Menggunakan
seluruh domain COBIT yang direkomendasikan ITGI dan ISACA, sehingga hasilnya lebih lengkap. 3)
Memperbanyak sampel penelitian yang lebih variatif sehingga dapat dibandingkan dengan hasil
penelitian ini dan penelitian sebelumnya.
19
Daftar Pustaka
Al-Rasyid, Achyar. 2015. Audit Sistem Informasi Berbasis COBIT 5 pada Domain Delivery, Service and Support
(DSS) Study Kasus: SIM-BL di Unit CDC PT Telkom Pusat, Tbk. E-Proceeding of Enginering 2(2) :6110-
6123.
Arens, Alvin. A, Randal J. Elder, Mark S. Beasley. 2018. Audit dan Jasa Assurance. Jakarta: Salemba Empat.
Candra, R Kurnia. Atastina, Imelda. Firdaus, Yanuar. 2015. Audit Teknologi Informasi menggunakan Framework
COBIT 5 pada Domain DSS (Delivery, Service and Support) Study kasus: iGracias Telkom University. E-
Proceeding of Engineering 2 (1): 11-29.
ISACA. 2012. COBIT 5 – Self Assesment Guide: Using COBIT 5. Retrieved from
https://www.isaca.org/2021/08/01.
ISACA. 2012. COBIT 5 – Implemetation COBIT 5. Retrieved from https://www.isaca.org/2021/08/01.
ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprice IT. USA:
ISACA. Retrieved from https://www.isaca.org/2021/08/051.
ISACA. (2020). COBIT 5: A Business Framework for Governance & Management IT, Retrieved from
https://www.isaca.org/2021/08/01.
ISACA. (2020). COBIT 5: Enabling Processes. Retrieved from https://www.isaca.org/2021/08/01.
IT Governance Institute. 2007. COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity
Models, IT Governance Institute. Retrieved from https://www.isaca.org/2021/08/01.
Maskur, Djunaedi, Achmad, Adhipta, Dani, & Sumirah. 2016. Perancangan Tata Kelola TI Dengan Menggunakan
Framework Cobit 5 (Studi Kasus: Pemerintah Kab. Jeneponto). Jurnal Teknologi Informasi dan Komputer
1 (1)
Mutia, Noor dan Renny Nurainy. 2020. IT Governance: Measuring Capability Level Using COBIT 5 Framework.
Jurnal Ilmiah Ekonomi Bisnis 25 (2): 97-110 https://doi.org/10.35760/eb.2020.v25i2.209
Romney, Marshal B. & Steinbart, Paul Jhon. 2015. Sistem Informasi Akuntansi. Jakarta: Gramedia Pustaka Utama
Tristiadi, Brian. 2015. Pengukuran Tingkat Kapabilitas Tata Kelola Teknologi Informasi dengan Menggunakan
Assesment Tools COBIT 5 (Studi Kasus pada Perpustakaan Nasional Republik Indonesia). Tesis (Tidak
dipublikasikan). Universitas Indonesia, Jakarta.
Wella. 2016. Audit Sistem Informasi menggunakan COBIT 5 Domain DSS pada PT Erajaya Swasembada,
Tbk.ULTIMA Infosys, 7 (1), 38-44. https://doi.org/10.31937/si.v7i1.511
Wijaya, Agustinus Fritz & Andani, Anneke Tri. 2017. Evaluasi Kinerja SI E-Filling menggunakan COBIT 5 pada
Kantor Pelayanan Pajak Pratama kota Salatiga. JUTEI 1 (1): 61-69.
https://doi.org/10.21460/jutei.2017.11.9