bab ii kajian pustaka - library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2/tsa-2012-0134...
TRANSCRIPT
6
BAB II
KAJIAN PUSTAKA
Persaingan antara operator telekomunikasi sudah semakin transparan
dalam merebut hati pelanggan. PT. Bakrie Telecom, TBK selalu mengedepankan
produk-produk yang menarik dan inovatif dalam menghadapi kancah persaingan.
Dalam melakukan inovasi dalam meningkatkan kesejahteraan pelanggan,
perusahaan mengupayakan produk yang dihasilkan mempunyai kualitas yang
tinggi dan jasa telekomunikasi terjangkau serta mengikuti strategi pertumbuhan
berdasarkan cara unik Bakrie Telecom yaitu disruptive innovations dengan cara
melakukan inovasi persis seperti pelanggan inginkan sehingga kepercayaan dan
kepuasan pelanggan dapat terpenuhi. Dalam perusahaan telekomunikasi, proses
yang paling ditekankan dalam memenuhi kebutuhan pelanggan yaitu
pengendalian dalam proses billing.
2.1 Evaluasi Sistem Informasi
Menurut Hendarti (2010) evaluasi adalah suatu proses untuk
menyediakan informasi mengenai hasil penilaian atas permasalahan yang
ditemukan. Secara garis besar memiliki persamaan komponen pengukuran
diantaranya adalah manfaat, kemudahan, kepuasan, kemampuan untuk
mendukung pekerjaan, teknologi dan juga manusianya itu sendiri.
7
2.2 IT Governance
Menurut Huang, Zmud, & Price (2010), IT Governance merupakan
praktek – praktek tata kelola yang melibatkan upaya kepemimpinan pada suatu
organisasi yang nantinya mempengaruhi keputusan yang berkaitan dengan
teknologi informasi melalui pengambilan keputusan yang benar dan struktur dari
proses pengambilan keputusan. Fokus dari IT Governance adalah IT steering
committees dan TI yang berkaitan dengan kebijakan komunikasi yang mengadopsi
strategi penelitian dan bukti mengenai pengaruh praktek organisasi.
Setiap sumber daya pada perusahaan, mulai dari seorang receptionist
hingga seorang CIO memerlukan IT decision untuk mendapatkan keputusan yang
tepat. Begitu pula dalam merencanakan budget dan sumber daya manusianya,
perusahaan yang sukses dapat membuat manajemen TI secara komprehensif
terutama pada proses perencanaannya. Sebuah teknologi informasi haruslah
melekat pada budget dan aktivitas keamanan, yang mana pada pengelolaannya
dibutuhkan pada operasional sehari-hari. Pada perusahaan yang sukses, IT
governance haruslah dapat masuk ke semua area (Wilbanks, 2008).
Tsai et al (2011) mengatakan bahwa IT governance merupakan
mekanisme yang berguna dalam mengurangi risiko yang terkait dengan
implementasi ERP. Tujuannya adalah untuk mengeksplorasi hubungan antara
faktor – faktor penyebab risiko dan IT governance. Informasi mengenai hasil
temuan didasarkan pada bukti-bukti perusahaan dalam menyelesaikan risiko suatu
masalah dan untuk mencapai IT Governance yang efektif.
Menurut McKissack, Hooper, & Hope (2010), pentingnya informasi dan
teknologi yang telah meningkat, menimbulkan keharusan untuk memastikan
8
jaminan keamanan aset informasi. Penilaian keamanan memerlukan suatu
kerangka keamanan yang komprehensif dan efektif yang menekankan pada aspek
tata kelola perusahaan dan pengeluaran manajemen keamanan dan investasinya.
Praktek keamanan didasarkan pada praktek yang biasa digunakan untuk menilai
efektivitas fungsi keamanan dalam sebuah organisasi. Fakta membuktikan bahwa
keselarasan organisasi dan kepatuhan serta kerugiannya terkait dengan insiden
keamanan terus meningkat. Dapat ditarik kesimpulan bahwa keamanan
pengendalian didefinisikan oleh standar dan kerangka kerja yang diperlukan tetapi
tidak cukup untuk menjamin keamanan, dan alat-alat pengukuran yang sudah ada
tidak dilaksanakan atau tidak tersedia. Model baru yang dilakukan untuk
keamanan informasi yaitu dengan cara memperluas ruang lingkup kerangka kerja
yang ada dengan melakukan “praktek terbaik”. Ada pula yang menyarankan
bahwa dengan adanya analisis CSF (Critical Success Factor) dalam keamanan
informasi. Sementara memperluas pengetahuan, mereka tidak dapat mengatasi
kebutuhan untuk menilai dengan cara yang sesuai. Yang diperlukan sebenarnya
adalah sebuah kerangka kerja komprehensif dan mendukung penilaian keamanan
yang menggabungkan semua kemampuan organisasi yang relevan dan kompetitif.
Konsep penilaian dan metrik juga membantu dalam mengukur penilaian
keamanan dengan menerapkan standar keamanan pada titik awal untuk
pengembangan dan peningkatan sistem berkelanjutan.
2.3 Tools/ Best Practices
Dalam mengadopsi best practices, perusahaan tidak terbatas untuk
menggunakan 1 metode saja, melainkan dapat menggunakan beberapa best
9
practices sekaligus sesuai dengan kebutuhan perusahaan tersebut. Terdapat
beberapa best practices yang dapat digunakan di perusahaan, diantaranya
Infrastructure Library (ITIL), Control Objectives for Information and Related
Technology (COBIT), Capability Maturity Model (CMM), dan ISO 17799. ITIL
membahas mengenai pelayanan pada delivery dan support, COBIT meliputi dasar
– dasar dari IT Governance, CMM membahas mengenai pengembangan aplikasi
yang menunjukkan rating teknologi informasi pada pembanding tingkat maturity
processes, sedangkan ISO 17799 membahas mengenai tujuan pengukuran
manajemen.
Dijelaskan pula oleh Dubie (2006) bahwa framework pada organisasi
tergantung pada tujuan dari perusahaan. Banyak perusahaan berpengalaman
menggunakan ITIL untuk segera mendapatkan pencapaian hasil pengendalian
yang lebih teratur dan terarah, sedangkan COBIT dapat membantu dalam
membuktikan proses TI yang telah ditetapkan framework lain sebagai tools umum
untuk auditor. Terlampir perbandingan antar best practices dengan perbandingan
benefit dan fokus yang ditawarkan sebagai berikut:
Pemilihan kerangka kerja
Perbaikan proses dapat dilakukan selama departemen TI dan saran para ahli
manajer TI didengar yang mencampurkan serta mencocokkan praktek kerangka
kerja terbaik untuk memenuhi kebutuhan unik organisasi. Berikut adalah contoh
kerangka populer:
10
Tabel 2.1 Best-Practice Grab Bag
Kerangka kerja
terbaik Asal
Kemungkinan
besar diadopsi
oleh Dijanjikan manfaat
Information
Technology
Infrastructure
Library
Pemerintah
Inggris
Layanan
Pendukung, staf
helpdesk
Pedoman tingkat tinggi dalam
memulai pengembangan
proses untuk mendukung
layanan TI dan penyampaian
perusahaan.
Control Objectives
for Information
and Related
Technology
Information
Systems Audit and
Control
Association and
IT Governance
Institute
Manajemen TI,
sistem administrasi,
dan internal auditor
TI
Standar dan pedoman untuk
praktek keamanan dan kontrol
keuangan, yang sinkron
dengan baik dengan
persyaratan Sarbanes-Oxley.
Capability
Maturity Model
Carnegie Mellon
Software
Engineering
Institute
Aplikasi
pengembangan tim
Proses - proses perbaikan
seperti biaya dan manajemen
pada seluruh siklus hidup
aplikasi, dari pembangunan
untuk produksi.
ISO 17799
British Standards
Institute and the
International
Organization for
Standarization
Manajer Keamanan
TI
Pendekatan manajemen
keamanan di suatu organisasi
yang mencakup kebijakan,
kritis-aset klasifikasi dan
manajemen risiko.
Penggunaan kerangka kerja dan standar yang digunakan dalam organisasi
harus sesuai dengan kebutuhan spesifik dari organisasi yang disesuaikan dengan
kerangka kerjanya. Organisasi yang ingin terlibat pada suatu proses tertentu harus
sesuai dengan tingkat maturity-nya dan tahap-tahap termasuk tugas-tugas dalam
memilih standar. Sebuah organisasi yang ingin mengembangkan tingkat maturity
dalam perangkat lunaknya harus dapat mengubah kontekstual deskripsi menjadi
sebuah kerangka kerja yang mana mengaktualisasikan kegiatan spesifik dan
terstruktur (Alfaraj & Qin, 2010).Pelaksanaan standar COBIT dapat digunakan
untuk mengidentifikasikan tugas-tugas tertentu dan proses yang hilang dari
struktur organisasi. Namun penggunaannya pada organisasi diperlukan untuk
menentukan bagaimana organisasi menyelesaikan suatu masalah. Menurut
11
Alfaraj& Qin, (2010) pendekatan dibuat dengan deskripsi umum dimana
organisasi dapat mengidentifikasi proses yang sebenarnya dalam organisasi dalam
rangka memberikan rekomendasi terhadap proses dari penelitian yang dilakukan,
bahkan kepada organisasi yang tidak menggunakan kerangka kerja secara tidak
eksplisit. Hal ini dapat menghasilkan informasi pengimplementasian dari model
konteks lain (misalnya, penyediaan informasi mengenai optimasi pada kerangka
kerja yang dapat diidentifikasi dari organisasi) serta penyediaan informasi dalam
hal perbaikan proses dan peningkatan efisiensi.
Menurut McKissack, Hooper, & Hope (2010), kerangka COBIT dapat
memberikan solusi dalam pengukuran keamanan yang memberikan informasi
mengenai status kontrol dan dapat melakukan pengukuran mengenai sejauh mana
tekhnologi mendukung tujuan bisnis. Sebuah pendekatan kualitatif untuk
mengukur adanya tingkat maturity dapat dilakukan dengan COBIT.
Abu-Musa (2009) melakukan studi eksplorasi dalam upaya
mengidentifikasi mengenai COBIT framework di Saudi untuk mengevaluasi
dalam meningkat pelaksanaan organisasi. Mengenai hal ini didapatkan hasil
bahwa departemen TI memiliki tanggung jawab dalam pelaksanaan proses
COBIT di organisasi mereka. Namun sebagian responden melaporkan bahwa
proses dan domain COBIT yang digunakan tidak dilakukan pengauditan. Oleh
karena itu, penelitian ini telah memberikan hasil empiris mengenai pemanfaatan
kerangka kerja COBIT dalam IT Governance organisasi. Dengan adanya hal ini,
memungkinkan manajer dan praktisi lebih memahami, mengevaluasi, menerapkan
dan mengelola IT Governance untuk kesuksesan bisnis proses mereka. Dengan
adanya case study mengenai COBIT akan berguna untuk manajemen senior,
12
manajemen IT, akuntan, auditor, dan akademisi dalam memahami tahap
implementasi dampak dari COBIT pada IT Governance. Penelitian ini bermaksud
mengembangkan roadmap dengan adanya pelaksanaan kepatuhan-kepatuhan
COBIT.
2.4 COBIT Framework Model
Tujuan dari mengadopsi adanya framework adalah untuk menanamkan
kepatuhan dalam organisasi yang mengatur mengenai pengendalian dan perbaikan
kepatuhan manajemen dalam organisasi. Sebuah framework dibangun dari
pengalaman dan pendekatan validasi. Framework membantu mendasari
pendekatan dari berbagai pengalaman best practice yang ada. Organisasi
kemudian akan menyadari betapa pentingnya framework pada perusahaan untuk
mengukur internal proses dan kebutuhannya. Pendekatan framework yang
digunakan dilakukan berdasarkan kebijakan, standar, dan pengaturan akan
pengendalian yang disesuaikan dengan kebutuhan organisasi. Pendekatan ini akan
di implementasikan berdasarkan framework pada organisasi yang berfokus pada
pembangunan tingkat maturity pada organisasi (Schlarman, 2007).
Lapão (2011) menyatakan bahwa COBIT merupakan alat bantu
berdasarkan praktek terbaik dalam menyediakan metode bantuan pada
penyelarasan proses bisnis dengan TI. Oleh karena itu, manajer dan pengguna bisa
mendapatkan keuntungan dari pengembangan COBIT karena membantu mereka
memahami sistem TI mereka dan memutuskan tingkat keamanan dan kontrol yang
diperlukan untuk melindungi aset organisasi melalui pengembangan tata kelola
TI. Dinyatakan juga bahwa pengambilan keputusan bisa lebih efektif dengan
13
COBIT yang mana membantu manajemen dalam mendefinisikan rencana strategis
TI khususnya pada arsitektur sistem informasi. Kebutuhan akan TI seperti
layaknya hardware dan software dalam menjalankan strategi TI yang berguna
untuk melakukan layanan secara berkelanjutan, dan pemantauan kinerja sistem.
Pengguna TI mendapatkan keuntungan dari COBIT seperti adanya jaminan yang
diberikan kepada mereka dengan adanya pengendalian yang didefinisikan melalui
pengendalian, security, dan tata kelola yang baik.
COBIT merupakan kerangka paling terkenal dalam mendukung tata
kelola teknologi informasi. Hal ini didasarkan pada praktek terbaik yang berfokus
pada proses organisasi dan bagaimana kinerja dapat dinilai dan dipantau.
Kerangka kerja ini dikelola secara independen yang menggambar pengendalian
dan keamanan secara profesional. Isinya didasarkan pada penelitian yang sedang
berlangsung yang mana menyediakan sumber daya yang obyektif dan praktis
untuk semua pengguna. Hal ini memberikan praktek yang baik pada kerangka
domain dan menyajikan kegiatan yang terstruktur dan dikelola secara logis.
Namun sangat penting ditekankan bahwa kerangka kerja COBIT adalah model
tata kelola TI saja dan bukan pada organisasi secara keseluruhan (Tugas, 2010).
Tugas (2010) juga mengatakan bahwa COBIT mendefinisikan kegiatan-
kegiatan dalam model proses yang terdiri dari empat domain dan 34 proses
kontrol generik. Domain-domainnya terdiri dari Plan & Organise (PO), Acquire
& Implement (AI), Deliver & Support (DS), dan Monitor & Evaluate (ME).
Secara umumnya domain-domain ini seperti layaknya TI secara umum yaitu
merencanakan, membangun, menjalankan, dan melakukan monitor (ITGI, 2007).
Domain PO meliputi strategi dantaktik dalam mengidentifikasi cara terbaik TI
14
dapat berkontribusi untuk pencapaian tujuan bisnis. Domain AI merupakan
domain yang mengidentifikasi adanya kecocokan dan kemungkinan pada
penyediaan solusi dalam memenuhi kebutuhan bisnis. Domain DS berkaitan
dengan penyampaian aktual atau layanan yang dibutuhkan, yang mencakup
pelayanan; manajemen keamanandan kontinuitas; dukungan layanan bagi
pengguna; pengelolaan data dan fasilitas operasional. Domain ME merupakan
pengidentifikasian terhadap manajemen kinerja, pemantauan pengendalian
internal, kepatuhan terhadap peraturan dan tata kelola.
COBIT merupakan suatu kerangka kerja dalam mengendalikansumber
daya Teknologi Informasi. Kerangka ini dirancang untuk memelihara efektivitas,
efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan dan keandalan informasi
pada perusahaan. Pendekatan COBIT dirancang pada serangkaian pengendalian
yang dibutuhkan dalam memenuhi kebutuhan bisnis (Stout, 2006).
Menurut Raghavan (2007), COBIT (Control Objectives for Information
and Related Technology) merupakan kerangka kontrol yang sudah diterima oleh
seluruh dunia yang menyediakan informasi yang diperlukan bagi manajemen
dalam rangka memberikan jaminan yang wajar pada struktur kontrol TI dan
integritas informasi. Penggunaan kerangka kerja COBIT pada IT Governance
berfungsi sebagai model maping domain COBIT. Maping audit untuk tujuan
pengendalian COBIT ditujukan untuk membuat peta strategi audit, tujuan, dan
ruang lingkup COBIT sebagai tujuan pengendalian; pengembangan dan
pengelolaan pada koesioner COBIT. Kerangka ini disusun untuk melakukan
pengevaluasian efektifitas kontrol yang ada; membuat detail rencana mitigasi
resiko untuk area kontrol; mengevaluasi efektivitas pengendalian untuk setiap
15
area; dan dokumen hasil menggunakan COBIT maturity Guidelines yang terdiri
dari langkah-langkah menganalisis, mendokumentasikan, dan memvalidasi hasil,
serta melaporkannya kepada manajemen dan komite.
Menurut COBIT 4.1 (2007, p5), COBIT (Control Objectives for
Information and Related Technology) adalah sebuah framework dan supporting
toolset yang membantu manajer menjembatani gap antara tujuan untuk keperluan
pengendalian, permasalahan teknik (technical issue) dan resiko bisnis serta
mengkomunikasikan level pengendalian kepada stakeholders (IT Governance
Institute, 2005).
COBIT membantu menyokong pengembangan kebijakan yang jelas dan
langkah-langkah praktis terbaik yang dapat diambil untuk pengendalian teknologi
informasidi seluruh perusahaan.
Pengelolaan assurance, pengendalian dan security professionals.
COBIT menyediakan langkah-langkah praktis terbaik yang dapat diambil dan
lebih difokuskan pada pengendalian (control), yang selanjutnya dijelaskan dalam
domain dan framework proses.
Manfaat dari langkah-langkah praktis terbaik yang dapat diambil tersebut
antara lain:
1) Membantu mengoptimalkan investasi teknologi informasi yang
mungkin dapat dilakukan.
2) Menjamin pengiriman service.
3) Menyediakan pengukuran yang akan digunakan untuk memutuskan
ketika terjadi suatu kesalahan.
16
Kesemua hubungan antar komponen yang terdapat pada COBIT, di
rangkum dalam gambar di bawah ini:
Gambar 2.1Interrelationships of COBIT Components
Sumber : ITGI-COBIT 4.1th
ed (2007, p8)
Orientasi bisnis dari COBIT adalah menghubungkan tujuan bisnis ke
dalam tujuan teknologi informasi yang mana di hubungkan dengan adanya IT
Proses. IT Proses nantinya akan dilakukan pemeriksaan dengan menggunakan
audit guidelines menyediakan metric dan maturity models untuk mengukur
pencapaian tujuan perusahaan serta mengidentifikasikan tanggung jawab yang
terkumpul dari bisnis dan IT process owners. Berdasarkan IT Proses yang
dimiliki, nantinya akan dijabarkan lagi berdasarkan activity goals berdasarkan
keefektifan dan keefisiensian. Terdapat timbal balik antara kebutuhan bisnis akan
IT dan informasi yang dibutuhkan IT mengenai bisnis yang dijalankan. Oleh
karena itu IT harus dilakukan pengendalian dengan menggunakan control
objectives yang dimiliki oleh COBIT. Dari control objectives ini, akan di pecah
17
lagi menjadi audit guidelines pada penjabaran dan penterjemahan control
objectives dan control practices sebagai implementasi dari control objectives.
Prinsip dasar dari framework COBIT adalah untuk menyediakan informasi yang
diperlukan untuk mencapai tujuan perusahaan.
IT Proses juga diukur dengan menggunakan KPI (Key Goal Indicators)
untuk menilai performance, KGI (Key Goal Indicators) untuk menilai pencapaian
hasil, dan Maturity Models untuk menilai tingkat kematangan. Pejabaran terhadap
pengukuran tersebut didefinisikan sebagai berikut:
a. Key Performance Indicators (KPIs) kinerja proses – proses
teknologi Informasi sehubungan dengan process goals.
b. Key Goal Indicators (KGIs) kinerja proses – proses teknologi
informasi sehubungan dengan business requirements.
c. Maturity Models untuk memetakan status maturity proses-proses
teknologi informasi (dalam skala 0-5) dibandingkan dengan “The best in
the class in the Industry” dan juga International best practice.
Selain ketiga pengukuran itu, juga terdapat Critical Success Factors
(CSFs) yang berupa arahan implementasi bagi manajemen agar dapat melakukan
kontrol atas proses teknologi informasi.
COBIT dikembangkan oleh Information Technology Governance
Institute, yang merupakan bagian dari Information System Audit and Control
Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi
pada bisnis, dan karena itu bussiness process owners dan manager, termasuk juga
auditor dan user, diharapkan dapat memanfaatkan arahan ini dengan sebaik-
baiknya. Kerangka kerja COBIT ini terdiri atas beberapa arahan, yaitu:
18
1) Tujuan pengendalian: terdiri atas 4 tujuan pengendalian tingkat
tinggi (high level control objective) yang tercermin dalam 4 domain, yaitu:
plan and organise, acquire and implement, deliver and support, dan
monitor and evaluate.
2) Arahan audit: berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detail control objectives) untuk membantu para auditor
dalam memberikan management assurance atau saran perbaikan.
3) Arahan manajemen: berisi arahan, baik secara umum maupun
spesifik, mengenai apa saja yang harus dilakukan.
2.4.1 Domain Plan and Organise (PO)
Domain ini mencakup strategi dan taktik serta difokuskan pada
penentuan arah TI yang dapat memberikan kontribusi terbaik dalam pencapaian
tujuan-tujuan bisnis (business objectives). Selanjutnya, realisasi dari strategi yang
merupakan penjabaran dari visi dan misi perusahaan perlu untuk direncanakan,
dikomunikasikan dan diatur dengan perspektif yang berbeda.
2.4.1.1 Control Objectives PO1 (Define a Strategic IT Plan)
Control Objective PO1 merupakan suatu proses perencanaan strategis TI
yang diperlukan untuk mengelola dan memimpin semua sumber daya TI seiring
dengan strategi dan prioritas bisnis. Fungsi Teknologi Informasi dan pemegang
saham bertanggung jawab dalam menjamin hasil yang optimal serta realisasinya
diterapkan dari proyek dan portofolio pelayanan. Strategi dan prioritas bisnis akan
tercerminkan di dalam portofolio dan dilaksanakan oleh perencanaan taktis TI, yang
19
menetapkan sasaran dengan singkat, rencana tindakan dan tugas-tugas yang mudah
dimengerti dan diterima oleh kedua bisnis dan teknologi informasi.
2.4.1.2 Control Objectives PO2 (Define the Information
Architecture)
Control Objective PO2 merupakan proses memperbaiki kualitas keputusan
manajemen dengan meyakinkan bahwa informasi yang disediakan dapat diandalkan
dan aman sesuai dengan arsitekturnya, dan memungkinkan sumber daya informasi
sistem yang masuk akal dengan cara membandingkan strategi bisnis secara wajar.
Proses Teknologi Informasi ini juga diperlukan dalam rangka menambah
pertanggungjawaban atas integritas dan keamanan data dan untuk meningkatkan
keefektifan dan kontrol dalam berbagai informasi aplikasi - aplikasi dan entitas yang
memenuhi persyaratan bisnis.
2.4.1.3 Control Objectives PO3 (Determine Technological Direction)
Control Objective PO3 merupakan fungsi pelayanan informasi yang
menentukan arah teknologi dalam membantu mengelola bisnis. Hal ini memerlukan
kreasi dari perencanaan infrastruktur teknologi dan dewan arsitektur yang
menentukan dan mengelola ekspektasi yang jelas dan realistis tentang teknologi yang
mana yang dapat digunakan untuk produk, pelayanan/jasa dan mekanisme
penyampaian. Rencana diperbarui secara teratur dan meliputi aspek-aspek seperti
arsitektur sistem, arah teknologi, rencana akuisisi, standar, strategi dan kemungkinan
migrasi.
20
2.4.1.4 Control Objectives PO4 (Define the IT Processes,
Organisation and Relationships)
Control Objective PO4 merupakan pendefinisian proses IT, organisasi dan
relationship yang mempertimbangkan syarat-syarat untuk staf, skill, fungsi-fungsi
yang ada, pertanggungjawaban, kekuasaan, tugas, tanggung jawab, dan pengawasan.
Proses-proses, kebijakan-kebijakan administratif dan prosedur-prosedur berada pada
semua fungsi, dengan memfokuskan pada kontrol, kepastian mutu, pengelolaan
resiko, keamanan informasi, kepemilikan data dan sistem, serta pemisahan
tugas/kewajiban.
2.4.1.5 Control Objectives PO5 (Manage the IT Investment)
Control Objective PO5 merupakan framework yang dibuat dan dipelihara
dalam rangka mengelola program investasi Teknologi Informasi yang meliputi biaya,
keuntungan, prioritas anggaran, proses penganggaran dan pengelolaan berdasarkan
anggaran formal. Konsultasi dengan para pemegang saham dalam upaya mengenali
dan mengkontrol biaya total dan manfaatnya dalam konteks rencana strategis dan
taktis TI, dan memulai tindakan korektif pada saat dibutuhkan.
2.4.1.6 Control Objectives PO6 (Communicate Management Aims
and Direction)
Control Objective PO6 merupakan proses mengkomunikasikan tujuan dan
arah manajemen berdasarkan framework kontrol Teknologi Informasi dan penetapan
serta penyampaian kebijakan-kebijakannya. Program komunikasi dilaksanakan secara
terus-menerus dalam rangka mengutarakan misi, tujuan pelayanan, kebijakan-
kebijakan dan prosedur, yang disetujui oleh manajemen. Komunikasi mendukung
21
pencapaian dari objektif TI dan memastikan kesadaran dan pengertian terhadap bisnis
dan risiko, tujuan serta arah TI.
2.4.1.7 Control Objectives PO7 (Manage IT Human Resources)
Control Objective PO7 merupakan pengelolaan SDM IT yang dipunyai dan
dipertahankan untuk dapat menciptakan dan menyampaikan pelayanan TI kepada
bisnis. Hal ini dapat dicapai dengan mengikuti ketetapan dan penerapan yang
disetujui terlebih dulu yang membantu perekrutan, pelatihan, pengevaluasian
performa, kenaikan pangkat dan pemberhentian hubungan kerja. Proses ini
merupakan hal yang kritis, dikarenakan orang merupakan aset yang penting, dan
penentuan pada lingkungan pengendalian internal sangat tergantung atas motivasi dan
kompetensi personalia yang memenuhi persyaratan bisnis.
2.4.1.8 Control Objectives PO8 (Manage Quality)
Sistem Manajemen Kualitas (Quality Management System – QMS)
dikembangkan dan dipelihara oleh perusahaan yang meliputi perkembangan dan
proses akuisisi dan standar yang terbukti. Hal ini dapat dilaksanakan dengan
melakukan suatu perencanaan, implementasi dan mempertahankan QMS dengan
memberikan persyaratan, prosedur dan kebijakan yang berkualitas. Perbaikan terus-
menerus dapat tercapai dengan selalu mengamati, menganalisis dan bertindak pada
penyimpangan serta ketidaksesuaian yang terjadi dan manyampaikan hasil kepada
para pemegang saham.
22
2.4.1.9 Control Objectives PO10 (Manage Projects)
Control Objective PO10 merupakan proses manajemen proyek pada sebuah
program dan kerangka manajemen proyek yang digunakan untuk manajemen seluruh
proyek. Kerangka tersebut menjamin prioritas dan koordinasi yang benar dari semua
proyek. Kerangka tersebut termasuk rencana induk, pembagian sumber daya, definisi
tugas yang telah disetujui, persetujuan oleh pemakai, pendekatan yang bertahap
dalam penyampaian tugas, jaminan mutu, rencana pengujian secara resmi, dan
pengujian dan peninjauan kembali paska-implementasi setelah instalasi untuk
menjamin pengaturan resiko proyek dan nilai penyampaian bisnis.
2.4.2 Domain Acquire and Implement (AI)
Domain ini berfokus pada realisasi IT strategy yang perlu
diidentifikasikan, dikembangkan atau dipelajari sebagaimana diimplementasikan
dan diintegrasikan ke dalam proses bisnis. Sementara itu, perubahan dan
perawatan sistem yang ada tercakup dalam domain AI untuk memastikan
penyelesaian yang berkelanjutan dalam memenuhi tujuan-tujuan bisnisnya.
2.4.2.1 Control Objective AI 1 ( Identify Automated Solutions)
Control Objective AI 1 merupakan salah satu sasaran kontrol yang berfokus
pada pengidentifikasian solusi otomatisasi. Tujuan yang ingin dicapai pada proses ini
adalah menjamin efektifitas dan efisiensi sesuai dengan pendekatan yang diambil
dalam hal kepuasan pengguna. Sedangkan untuk sumber daya teknologi informasi
yang terlibat dalam proses ini antara lain sistem aplikasi, teknologi, dan fasilitas.
Proses ini meliputi kejelasan terhadap kebutuhan bisnis, pertimbangan dan berbagai
solusi yang ada, peninjauan ulang kemampuan teknologi dan ekonomi, analisis resiko
23
dan analisa rugi laba, serta keputusan final untuk membuat atau membeli solusi yang
ada.
2.4.2.2 Control Objective AI2 (Acquire and Maintain Application
Software)
Control Objective AI 2 merupakan suatu proses yang mencakup dalam
memenuhi kebutuhan bisnis yang terdiri atas desain aplikasi, pendekatan yang tepat
atas kontrol aplikasi dan kebutuhan keamanan, serta pengembangan dan konfigurasi
yang sesuai dengan standar. Proses ini bertujuan untuk menyediakan fungsi-fungsi
yang telah terotomasi dan secara efektif dan mampu mendukung proses bisnis.
2.4.2.3 Control Objective AI3 (Acquire and Maintain Technology
Infrastructure)
Control Objective AI3 merupakan proses pengadaan dan pemeliharaan
infrastruktur teknologi yang bertujuan untuk menyediakan berbagai platform yang
tepat dalam rangka mendukung aplikasi proses bisnis terkait. Hal ini memerlukan
rencana pendekatan akuisisi dan pemeliharaan serta perlindungan infrastruktur
yang sejalan dengan strategi, pengembangan, dan pengujian yang telah disepakati.
Hal ini memastikan bahwa terdapat dukungan teknologi yang berkelanjutan dalam
pengaplikasian bisnis.
2.4.2.4 Control Objective AI4 ( Enable Operation and Use)
Control Objective AI 4 merupakan proses yang membutuhkan produksi
dokumentasi, dan petunjuk manual bagi pengguna TI, dan menyediakan pelatihan
untuk memastikan penggunaan, pengoperasian aplikasi dan infrastruktur berjalan
dengan semestinya.
24
2.4.2.5 Control Objective AI5 (Procure IT Resources)
Control Objective AI 5 merupakan proses yang bertujuan untuk memperoleh
sumber daya TI yang meliputi manusia, perangkat keras, perangkat lunak dan
layanan. Hal ini membutuhkan penjelasan dan pelaksanaan prosedur pengadaan,
pemilihan vendor, persetujuan kontrak, dan proses akuisisi itu sendiri. Dengan
demikian hal ini bertujuan untuk membantu perusahaan memiliki sumber daya TI
yang dibutuhkan tepat pada waktunya dengan biaya yang efektif.
2.4.2.6 Control Objective AI6 (Manage Changes)
Control Objective AI 6 merupakan salah satu sasaran kontrol yang berfokus
pada proses pengelolaan perubahan. Perubahan yang dimaksud adalah perubahan
terhadap sistem, baik secara keseluruhan maupun sebagian dan dikelola dengan cara
yang terkendali. Tujuan dari sasaran kontrol ini adalah untuk meminimalkan adanya
kemungkinan gangguan, perubahan dan kesalahan yang tidak terotorisasi pada
prosedur, proses, sistem, dan parameter layanan dengan memfokuskan pada
efektifitas, efisiensi, integrity, dan availability.
2.4.2.7 Control Objective AI7 (Install and Accredit Solutions and
Changes)
Control Objective AI 7 merupakan salah satu sasaran kontrol yang berfokus
pada proses instalasi dan akreditasi sistem dengan memenuhi kebutuhan bisnis dalam
rangka melakukan verifikasi dan konfirmasi bahwa solusi yang ditawarkan sesuai
dengan hasil yang diharapkan. Tujuan tersebut dapat dicapai melalui adanya realisasi
suatu proses migrasi instalasi yang tepat dan sesuai, rencana implementasi dan review
pasca implementasi.
25
2.4.3 Domain Deliver and Support (DS)
Domain ini difokuskan pada actual delivery dari layanan yang
dibutuhkan, yang mana melibatkan layanan pengiriman, manajemen keamanan
dan kelancaran, pendukung layanan bagi user dan manajemen data serta fasilitas
operasional.
2.4.3.1 Control Objectives DS1 (Define and Manage Service Levels)
Control Objective DS1 merupakan proses yang memastikan kesejajaran dari
kunci layanan TI dengan strategi yang meliputi proses monitoring dan laporan rutin
kepada pemegang saham dalam penyelesaian tingkat layanan. Yang perlu dilakukan
dalam memenuhi proses ini adalah dengan mengidentifikasikan kebutuhan bisnis,
pemahaman pada tingkat service, dan monitor pencapaian level layanan. Proses ini
dapat dicapai dengan membuat persetujuan internal dan external yang sejalan dengan
kebutuhan dan kemampuan penyampaian, pelaporan tingkat service,
pengidentifikasian dan penyampaian kebutuhan service yang telah diperbaharui dan
pembuatan perencanaan strategi.
2.4.3.2 Control Objectives DS2 (Manage Third-party Services)
Tujuan dilakukan proses ini adalah agar jasa yang diberikan oleh pihak
ketiga dapat memenuhi kebutuhan organisasi. Hal ini perlu dikelola dikarenakan
untuk memenuhi proses yang juga menentukan peran dan tanggung jawab pihak
ketiga, hal yang ingin didapatkan dari pihak ketiga, membangun hubungan baik
dengan pihak ketiga, mengelola resiko, serta mengawasi kinerjanya. Apabila proses
ini dilakukan dengan baik, maka organisasi dapat meminimalkan risiko yang timbul
akibat kinerja pihak ketiga yang buruk. Proses ini dapat dicapai dengan
26
mengidentifikasi jasa supplier, resiko yang ditimbulkan oleh supplier, dan mengawasi
kinerja dari supplier.
2.4.3.3 Control Objectives DS3 (Manage Performance and Capacity)
Control Objective DS3 merupakan proses dalam mengelola kapasitas
pencapaian sumber daya TI sehingga diperlukan suatu proses meninjau ulang kembali
pencapaian sumber daya tersebut. Proses ini meliputi meramalkan kebutuhan yang
diperlukan untuk masa mendatang berdasarkan apa yang dibutuhkan, penyimpanan,
dan kebutuhan yang tidak diduga. Proses ini menyediakan jaminan sumber daya
informasi yang selalu tersedia yang mendukung kebutuhan bisnis secara terus
menerus. Proses ini dapat dicapai dengan merencanakan serta mengembangkan
kapasitas dan kemampuan, mengawasi dan melaporkan pencapaian dari sistem,
meramalkan pencapaian dari sistem di masa yang akan datang.
2.4.3.4 Control Objectives DS4 (Ensure Continuous Service)
Control Objective DS4 merupakan proses dalam memastikan,
mengembangkan, memelihara, menguji perencanaan pelayanan TI secara
berkelanjutan, memanfaatkan penggunaan offsite backup storage dan menyediakan
pelatihan secara perodik dan berkala. Sebuah proses layanan efektif yang
berkelanjutan dapat memperkecil dampak gangguan TI dalam fungsi dan proses key
business. Proses ini dapat dicapai dengan mengembangkan serta memelihara
kontinuitas TI, pelatihan dan pengujian rencana kontinuitas TI, penyimpanan salinan
rencana dan data dalam suatu lokasi tertutup.
27
2.4.3.5 Control Objectives DS5 (Ensure Systems Security)
Control Objective DS5 merupakan proses untuk mempertahankan integritas
informasi dan melindungi aset-aset yang diperlukan dalam proses manajemen
keamanan. Proses ini meliputi peran dalam menetapkan dan memelihara keamanan TI
dan pertanggungjawaban, kebijakan, standar dan prosedur yang telah dibangun.
Proses ini dapat dicapai dengan memahami kebutuhan keamanan, mengatur identitas
pengguna dan otorisasi dalam metode standarisasi, pengujian keamanan serta
pengimplementasian tindakan korektif terhadap kelemahan sistem dan ancaman.
2.4.3.6 Control Objectives DS6 (Identify and Allocate Costs)
Control Objective DS6 merupakan proses mengelola kebutuhan sistem
sehingga memudahkan dalam mengalokasikan biaya TI untuk bisnis yang
memerlukan pengukuran biaya TI yang tepat dan kesepakatan dengan pengguna
bisnis dalam pengalokasian yang baik. Proses ini meliputi pembangunan dan
penggunaan sistem untuk mengetahui, mengalokasikan dan melaporkan biaya TI
kepada pengguna layanan. Proses ini dapat diwujudkan dengan membangun dan
menyetujui pada model biaya perusahaan, menyetarakan kualitas dan jumlah dari
service yang ada, mengimplementasikan proses berdasarkan kesepakatan bersama
atas kebijakan yang diambil. Sebuah sistem mempunyai pengalokasian yang baik
memudahkan bisnis dalam membuat keputusan yang lebih tepat tentang
penggunaan layanan TI.
2.4.3.7 Control Objectives DS7 (Educate and Train Users)
Control Objective DS7 merupakan proses untuk memastikan pengguna
dapat menggunakan sistem dengan efektif dan efisien dengan melakukan pendidikan
28
dan training, serta memastikan pengguna sistem mematuhi prosedur dan kebijakan
yang berlaku. Proses ini dapat diwujudkan dengan membuat materi pelatihan,
mengadakan pelatihan, serta meninjau ulang hasil pelatihan tersebut apakah
membawa pengaruh yang berarti terhadap kinerja pengguna. Program pelatihan yang
efektif akan berpengaruh pada berkurangnya kesalahan pengguna, peningkatan
produktivitas dan peningkatan kepatuhan penguna.
2.4.3.8 Control Objectives DS8 (Manage Service Desk and
Incidents)
Control Objective DS8 merupakan proses menghasilkan respon secara
berkala dan efektif untuk menanggapi berbagai pertanyaan pengguna TI dan masalah-
masalah yang memerlukan pelayanan dan implementasi yang baik. Proses ini dapat
diwujudkan dengan mengoprasikan pelayanan dengan semestinya, melakukan
pemantauan dan pelaporan, menggambarkan prosedur dan kriteria peningkatan yang
baik.
2.4.3.9 Control Objectives DS10 (Manage Problems)
Manajemen masalah-masalah yang efektif memerlukan identifikasi dan
klasifikasi dari masalah-masalah proses manajemen masalah meliputi rekomendasi
perumusan masalah untuk perbaikan, pemeliharaan catatan-catatan masalah,
mereview status dari tindakan penyelesaian. Proses ini terfokus pada mencatat,
memantau dan menyelesaikan masalah-masalah operasional, investigasi sumber
sebab dari semua masalah yang penting dan menggambarkan solusi untuk identifikasi
masalah operasi. Proses ini dapat diwujudkan dengan menjalankan analisis sumber
29
masalah pada laporan masalah-masalah, menganalisis petunjuk-petunjuk, mengambil
alih masalah-masalah dan menjalankan penyelesaian masalah.
2.4.3.10 Control Objectives DS11 (Manage Data)
Control Objective DS11 pada proses manajemen datanya memerlukan
identifikasi akan kebutuhan data. Proses manajemen data juga meliputi pembentukan
prosedur yang efektif dalam mengelola dokumen-dokumen, menyimpan dan
memperoleh kembali data. Manajemen data yang efektif membantu menentukan
kualitas, ketepatan waktu dan ketersediaan dari data bisnis. Proses ini menekankan
pada pemeliharaan kelengkapan, ketepatan, ketersediaan dan perlindungan data yang
mana akan menjadi lebih efektif dengan backup dan recovery data, pengujian dan
pengaturan tempat penyimpanan data internal dan eksternal, serta keamanan
distribusi data.
2.4.3.11 Control Objectives DS12 (Manage the Physical
Environment)
Control Objective DS12 pada perlindungan terhadap peralatan komputer dan
perangkat-perangkat lainnya memerlukan fasilitas fisik dengan perancangan yang
baik dan pengaturan yang baik. Proses ini mencakup penetapan dan pemeliharaan
lingkungan fisik yang tepat untuk melindungi asset-aset TI dari akses, kerusakan atau
pencurian. Proses ini dapat terwujud dengan mengimplementasikan kematangan
keamanan fisik dan memilih dan mengatur fasilitas. Pengelolaan fisik yang efektif
dapat mengurangi gangguan lingkungan bisnis dari kerusakan dan pencurian
peralatan komputer dan perangkat lainnya.
30
2.4.3.12 Control Objectives DS13 (Manage Operations)
Control Objective DS13 pada pemprosesan data yang lengkap dan akurat
memerlukan manajemen yang efektif dari prosedur pemrosesan data dan
pemeliharaan yang baik pada hardware. Proses ini menekankan pada mutu layanan
operasional untuk penjadwalan pemprosesan data, melindungi output dan memantau
dan memelihara infrastruktur. Proses ini dapat tercapai dengan mengoprasikan
lingkungan TI dengan baik dengan berdasarkan pada mutu service dan menjalankan
instruksi-instruksi serta memelihara infrastruktur TI.
Pengolahan lengkap dan akurat data membutuhkan manajemen yang
efektif dari prosedur pengolahan data dan pemeliharaan rajin perangkat keras.
Proses ini meliputi kebijakan dan prosedur operasi mendefinisikan manajemen
yang efektif untuk pengolahan dijadwalkan, melindungi output yang sensitif,
pemantauan kinerja infrastruktur dan memastikan pemeliharaan preventif
perangkat keras. Pengelolaan operasi yang efektif membantu menjaga integritas
data dan mengurangi penundaan bisnis serta biaya operasi TI.
2.4.4 Domain Monitor and Evaluate (ME)
Semua proses teknologi informasi perlu dinilai secara berkala untuk
mengetahui kualitas dan pelaksanaannya terhadap pemenuhan kebutuhan
pengendalian. Domain ini difokuskan untuk mengetahui performance manajemen,
memonitor pengendalian internal, pelaksanaan peraturan dan penyediaan
pengelolaan.
31
2.4.4.1 Control Objectives ME1 (Monitor and Evaluate IT
Performance)
Control Objective ME1 merupakan proses untuk memastikan kemampuan
manajemen sudah mempunyai proses pemantauan yang efektif. Proses ini meliputi
menggambarkan petunjuk-petunjuk kemampuan yang relevan, sistematis dan laporan
secara berkala dari kemampuan dan tindakan yang cepat atas penyimpangan. Proses
ini terfokus pada memantau dan melaporkan proses-proses matrik dan
mengidentifikasi serta mengimplementasi kemampuan dari tindakan penyelesaian.
Proses ini dapat tercapai dengan menyusun dan menterjemahkan proses laporan
kemampuan kedalam laporan manajemen.
2.4.4.2 Control Objectives ME4 (Provide IT Governance)
Control Objective ME4 merupakan pembangunan kerangka kerja
governance yang efektif meliputi mengidentifikasi struktur organisasi, berbagai
proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa
investasi-investasi TI perusahaan telah berlangsung didalam kesesuaian dengan
strategi dan objektivitas perusahaan. Proses ini terfokus pada mempersiapkan laporan
komite pada strategi TI, kemampuan dan resiko-resiko dan merespon kebutuhan
governance yang berjalan dengan peraturan komite. Proses ini dapat tercapai dengan
membangun integrasi kerangka kerja IT governance menjadi corporate governance.
Manfaat mengimplementasikan COBIT sebagai framework pengelolaan
teknologi informasi adalah sebagai berikut:
32
1. Pengelolaan teknologi informasi menjadi sejalan dengan fokus
bisnis.
2. Pihak manajemen dapat memahami manfaat penerapan teknologi
informasi dalam perusahaan.
3. Adanya kepemilikan dan tanggungjawab yang jelas karena
berdasarkan pada orientasi proses.
4. Adanya penerimaan terhadap pihak ketiga dan regulators.
5. Saling berbagi pemahaman di antara semua stakeholder dengan
berdasarkan pada pemahaman akan tujuan yang sama.
6. Pemenuhan dari keperluan COSO (Committee of Sponsoring
Organisations of the Treadway Commission) untuk lingkungan
pengendalian teknologi informasi.
COBIT mendukung manajemen dalam mengoptimumkan investasi
teknologi informasi melalui ukuran-ukuran dan pengukuran yang akan
memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang
terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal
perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis
perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol
individual memenuhi tuntutan dan kebutuhan informasi serta efek terhadap
sumber daya teknologi informasi perusahaan.
33
Gambar 2.2COBIT IT Processes Defined Within the Four Domains
Sumber : ITGI-COBIT 4.1th
ed (2007, p26)
Sumber daya IT merupakan suatu elemen yang sangat disoroti COBIT,
termasuk pemenuhan kebutuhan bisnis terhadap: efektifitas, efisiensi, kerahasiaan,
keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan
informasi (effectiveness, efficiency, confidentiality, integrity, availability,
compliance, andreliability).
34
Gambar 2.3 Produk COBIT
Sumber : ITGI-COBIT 4.1th
ed (2007, p7)
Dari gambar di atas, produk COBIT meliputi:
1. Board Briefing on IT Governance, 2nd Edition
Membantu para eksekutif memahami betapa pentingnya IT Governance,
apa yang menjadi masalah dan tanggung jawab mereka dalam
pengelolaannya.
2. Management guidelines/maturity models
Membantu menentukan tanggung jawab, pengukuran kinerja, tolak ukur
dan menemukan gap dalam kapabilitasnya.
35
3. Frameworks
Mengorganisasikan objektif IT Governance dan good practices pada
domain dan proses IT serta menghubungkannya dengan kebutuhan bisnis.
4. Control Objectives
Menyediakan sebuah kumpulan komplit dari kebutuhan tingkat tinggi
yang akan dipertimbangkan oleh manajemen guna mengendalikan setiap
proses IT agar lebih efektif.
5. IT Governance Implementation Guide: Using COBIT® and
Val IT TM, 2nd
Edition
Menyediakan peta jalan yang umum untuk mengimplementasikan IT
governance dengan menggunakan COBIT dan Val IT TM Resources.
6. COBIT ® Control Practices: Guidance to Achieve Control
Objectives for Sucessful IT Governance, 2nd
Edition
Menyediakan petunjuk mengenai mengapa kontrol sangat penting untuk
perlu diimplementasikan dan bagaimana untuk mengimplementasikannya.
7. IT Assurance Guide: Using COBIT ®
Menyediakan pedoman mengenai bagaimana COBIT dapat digunakan
untuk mendukung jaminan dari keanekaragaman aktifitas bersama dengan
langkah pengujian yang diusulkan dalam proses IT dan objektif kontrol.
36
Gambar 2.4 Prinsip Dasar COBIT
Sumber : ITGI-COBIT 4.1th
ed (2007, p10)
Dengan demikian dapat disimpulkan, sumber daya IT (IT Resources)
dikelola oleh proses IT (IT Processes) untuk mencapai tujuan IT yang
menanggapi kebutuhan bisnis.
Berdasarkan COBIT 4.1, kriteria informasi untuk mencapai tujuan bisnis
meliputi:
1) Efektifitas: Memperoleh informasi yang relevan dan berhubungan
dengan proses bisnis seperti penyampaian informasi dengan benar,
konsisten, dapat dipercaya dan tepat waktu.
2) Efisiensi: Memfokuskan pada ketentuan informasi melalui
penggunaan sumber daya yang optimal.
3) Kerahasiaan: Memfokuskan proteksi terhadap informasi yang
penting orang yang tidak memiliki hak otorisasi.
37
4) Integritas: Berhubungan dengan keakuratan dan kelengkapan
informasi dengan kebenaran yang sesuai dengan harapan dan nilai bisnis.
5) Ketersediaan: Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan datang.
6) Kelengkapan: Sesuai menurut hukum, peraturan dan rencana
perjanjian untuk proses bisnis.
7) Keakuratan informasi: Informasi untuk manajemen
mengoperasikan entitas dan mengatur pelatihan keuangan dan
kelengkapan laporan pertanggungjawaban.
Kaitan Tujuan Bisnis dan Tujuan Teknologi Informasi dalam COBIT
dapat dibagi menjadi 4 perspektif, yaitu:
1) Perspektif Keuangan
Dilihat dari perspektif keuangan ada 3 hal yang perlu diperhatikan, yaitu:
a. Memberikan hasil yang baik dalam investasi pada teknologi informasi
memungkinkan investasi bisnis
b. Mengelola teknologi informasi berhubungan dengan resiko bisnis
c. Meningkatkan penguasaan perusahaan dan ketransparanan
2) Perspektif Pelanggan
Dilihat dari perspektif pelanggan ada 6 hal yang perlu diperhatikan,
yaitu:
a. Meningkatkan kepuasan pelanggan dan pelayanan
b. Memajukan produk untuk dapat bersaing dan pelayanan
c. Memperkenalkan kelancaran pelayanan dan ketersediaan
d. Cepat tanggap dalam merespon perubahan bisnis
38
e. Mencapai biaya optimal dalam layanan pengiriman
f. Memperoleh kepercayaan dan informasi yang berguna untuk strategi
pembuatan keputusan
3) Perspektif Internal
Dilihat dari perspektif internal ada 6 hal yang perlu diperhatikan, yaitu:
a. Meningkatkan dan menjaga fungsi-fungsi proses bisnis
b. Meminimalkan biaya proses
c. Mematuhi hukum eksternal, peraturan dan kontrak
d. Mematuhi kebijakan internal
e. Mengatur perubahan bisnis
f. Meningkatkan dan memelihara produktifitas operasional dan staf
4) Perspektif Pembelajaran dan Pertumbuhan
Dilihat dari perspektif pembelajaran dan pertumbuhan ada 2 hal yang
perlu diperhatikan, yaitu:
a. Mengelola produk dan bisnis inovasi
b. Memperoleh dan memelihara kemampuan dan motivasi orang
2.5 Maturity Models
Berdasarkan COBIT 4.1 (2007, p17), penilaian kemampuan proses
berdasarkan maturity models COBIT adalah bagian kunci dari implementasi
pengelolaan teknologi informasi. Setelah mengidentifikasikan IT processes dan IT
controls yang vital, dengan memodelkan maturity akan dapat diketahui gap yang
terdapat di dalam kemampuan (capability) perusahaan, untuk kemudian
diidentifikasikan dan ditunjukkan kepada pihak manajemen. Rencana-rencana
39
kegiatan akan dapat dikembangkan untuk membawa proses-proses tersebut
sampai pada target level kemampuan yang diinginkan.
Lapão (2010) mengatakan bahwa dengan adanya penelitian dengan
menggunakan kerangka COBIT mengenai pengidentifikasian perencanaan
strategis, ditemukan bahwa IT Governance tidak efisien dalam melakukan
pengembangannya, terutama pada management pelayanan teknologi informasi
yang mana mempunyai dampak langsung pada kehidupan sehari-hari. Hal ini
sangatlah relevan dalam menilai kondisi maturity pada proses COBIT dan untuk
menganalisis dampaknya terhadap proses delivery. COBIT dalam rangka
menyediakan kerangka dalam membantu mengidentifikasi secara akurat risiko
yang paling penting untuk ditangani. Pada output-nya, diberikan highlight pad
kesiapan organisasi untuk berubah; pada perbedaan skill yang ada;
pengidentifikasian pada peran dan tanggung jawab manajemen layanan teknologi
informasi; termasuk pada analisis stakeholder. Untuk membantu dalam
mengidentifikasi peran dan tanggung jawab serta komunikasi, maka digunakanlah
matrik yang sesuai untuk digunakan.
Maturity dimodelkan untuk pihak manajemen dan digunakan untuk
mengontrol IT processes berdasarkan metode evaluasi dari perusahaan, sehingga
dapat digunakan untuk menilai dirinya dimulai dari level non – existent (0) ke
level optimised (5). Pendekatan ini berasal dari maturity model yang dibuat oleh
Software Engineering Institute dan digunakan untuk menilai tingkat kematangan
(maturity) dari kemampuan pengembangan software.
Maturity levels dirancang sebagai profil dari IT processes yang akan
diakui oleh pihak perusahaan sebagai penjelasan yang memungkinkan dari
40
kondisi sekarang dan kondisi di masa yang akan datang. Maturity model bukan
dirancang untuk digunakan sebagai suatu model permulaan, di mana dari satu
level tidak akan dapat menuju level yang lebih tinggi tanpa memenuhi semua
kondisi yang harus ada di level sebelumnya. Pihak manajemen akan memperoleh
manfaat jika menggunakan maturity model untuk mengembangkan ke-34 IT
processes COBIT, yaitu:
1) Dapat menilai performance perusahaan yang sebenarnya, yaitu
posisi perusahaan saat ini.
2) Dapat mengetahui status industri saat ini, dengan melakukan
perbandingan.
3) Dapat meningkatkan target perusahaan, dengan memetakan posisi
yang ingin dicapai oleh perusahaan.
4) Hasil yang diperoleh dengan mudah dapat digunakan dalam uraian
manajemen, yaitu dengan cara menampilkannya sebagai pendukung untuk
rencana ke depan dari business case yang akan dihadapi.
Teknik evaluasi yang digunakan pada Djatmiko (2007), dimana maturity
model digunakan sebagai metric untuk mengukur tingkat perkembangan sistem
informasi. Dengan Maturity model dapat digunakan juga untuk mengendalikan
proses IT dengan suatu metoda scoring sedemikian sehingga suatu organisasi
dapat menilai dirinya sendiri dan “ tidak ada” sampai “ optimized” (dari 0 sampai
5). Pendekatan ini diperoleh berdasarkan Maturity Model.
Untuk masing-masing proses IT, ada suatu skala pengukuran, berdasar
pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan
41
matuity model yang diuraikan berkisar antara “ Tidak ada” sampai “ optimized”
sebagai berikut:
Tabel 2.2 Level Model Maturity
Model Umum Maturity
Level 0 Tidak ada (Non-Existent), kurang lengkapnya yang dikenal. Organisasi
sama sekali tidak mengetahui adanya masalah.
Level 1 Inisialisasi (Initial/Ad Hoc), terdapat bukti bahwa organisasi telah
mengetahui adanya masalah yang membutuhkan penanganan.
Penanganan masalah dilakukan dengan pendekatan adhoc, berdasarkan
kasus dari perorangan. Tidak dilakukannya pengelolaan proses yang
terorganisir. Setiap proses ditangani tanpa menggunakan standar.
Level 2 Pengulangan (Repeatable but Intuitive), prosedur yang sama telah
dikembangkan dalam proses-proses untuk menangani suatu tugas, dan
diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada pelatihan
dan komunikasi dari prosedur standar tersebut. Tanggung jawab
pelaksanaan standar diserahkan pada setiap individu. Kepercayaan
terhadap pengetahuan individu sangat tinggi, sehingga kesalahaan sangat
memungkinkan terjadi.
Level 3 Terdefinisi (Defined Process), prosedur telah distandarisasikan,
didokumentasi, serta dikomunikasikan melalui pelatihan. Namun,
implementasinya diserahkan pada setiap individu, sehingga
kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur
tersebut dikembangkan sebagai bentuk formulasi dari pratek yang ada.
42
Model Umum Maturity
Level 4 Dikelola (Managed and Measurable), pengukuran dan pemantauan
terhadap kepatuhan dengan prosedur, serta pengambilan tindakan jika
proses tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses
dilakukan secara konstan. Implementasi proses dilakukan secara baik.
Otomasi dan perangkat yang digunakan terbatas
Level 5 Dioptimalkan (Optimized), Implementasi proses dilakukan secara
memuaskan. Hal tersebut merupakan hasil dari perbaikan proses yang
terus menerus dan pengukuran tingkat kedewasaan organisasi. Teknologi
informasi diintergrasikan dengan aliran kerja, dan berfungsi sebagai
perangkat yang memperbaiki kualitas dan efektivitas. Organisasi lebih
responsif dalam menghadapi kompetisi bisnis.
Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity
model yang direkomendasikan oleh COBIT (skala 0 – 5 ). Responden akan
memilih tingkat aktivitas yang sangat sesuai dengan kondisi saat ini. Maturity
Model akan membantu para profesional menjelaskan ke para manajer tentang
kekurangan manajemen teknologi informasi dan menetapkan target yang mereka
perlukan dengan membandingkan kontrol organisasi praktik yang terbaik.
Tingkatan maturity akan dipengaruhi oleh sasaran rinci tingkat dari control
maturity akan tergantung pada organisasi yang bergantung pada teknologi
informasi, teknologi dan terutama informasinya.
Pada tingkat maturity yang dilakukan, proses TI telah sampai pada tahap
di mana prosedur yang sama di ikuti oleh orang yang berbeda dan melakukan
43
tugas yang sama tetapi tidak ada pelatihan komunikasi formal terhadap prosedur
standar. Untuk dapat mengembangkan level, proses TI yang standar di
dokumentasikan dan dikomunikasikan melalui pelatihan. Proses TI dijalankan
melalui standarisasi, dokumentasi, dan komunikasi melalui training yang
dikuatkan pada kekuatan kunci dalam domain Acquire and Implement (AI) dan
memperbaiki kelemahan pada domain Monitor and Evaluate (ME). Tingkat
maturity pada perusahaan hanyalah sementara dan masih dapat memilih dengan
memperbaiki pengaturan internal mereka. Salah satu alasan perusahaan memiliki
tahap ini adalah tidak adanya prosedur resmi mengenai bagaimana proses
dilakukan. Prosedur biasanya dibangun oleh middle level atau low level
manajemen, namun proses baru dapat ditetapkan apabila mengikuti prosedur yang
sesuai dan harus diselaraskan dengan proses-proses yang baru. Memiliki prosedur
yang tepat merupakan menjadi masalah bagi sebagian perusahaan, dan kemudian
setelah dijalankan akan disadari bagaimana praktek terbaik yang dilakukan.
Dibutuhkan banyak revisi manual sebagai cara yang paling efektif dan efisien
dalam melaksanakan proses tersebut. Oleh karena itu, dibutuhkan beberapa saat
untuk perusahaan dalam mencapai tingkat dimana proses pendefinisian TI sudah
didokumentasikan dan diimplementasikan (Tugas, 2009).
2.6 Risk Management
Risiko bawaan pada sebuah organisasi dapat membawa masalah
keamanan sehari-hari yang mana akan terus dan berkembang. Keamanan pun
harus lebih dapat mengatasi segala risiko yang ada. Seperti halnya program
keamanan, tidak ada satu ukuran pun yang cocok dengan segala solusi. Setiap
44
teknologi dan aplikasi yang unik, perlindungannya harus sesuai dengan informasi
yang dipertaruhkan didalamnya, serta tingkat kerentanan dan risiko yang
dihadapi. Organisasi harus dapat memahami risiko dan membatasi kegiatan yang
mengekspos organisasi untuk risiko yang signifikan. Seorang IT profesional atau
manajer harus mengembangkan program keamanan yang komprehensif (Rudman,
2010).
Demikian pula untuk mengukur penggunaan teknologi informasi dalam
mengelola supply chain, saluran distribusi dapat dipandang sebagai sebuah
kesempatan untuk dapat dikembangkan seperti juga dalam tingkat regulasinya
yang tinggi. Dalam mendukung hal ini diharapkan peningkatan consumer
expenditure, infrastruktur TI dan pemanfaatan diharapkan dapat memenuhi
pertumbuhan volume pengolahan transaksi untuk mendukung operasional bisnis
sehari-hari (Tugas, 2010).
Corvellec (2009) menyebutkan bahwa manajemen risiko berguna dalam
mengidentifikasi risiko rawannya suatu kegiatan yang terdapat pada perusahaan.
Namun, tidak semua risiko ekspisit yang mengakibatkan perusahaan menghadapi
sebuah ketidakpastian. Pengendalian terhadap sebuah risiko haruslah diselaraskan
dengan praktek-praktek dalam perusahaan. Manajemen risiko haruslah dapat
memahami wawasan mengenai ruang lingkup dan sifat dari risiko dan
ketidakpastian manajemen dalam perusahaan mengenai bagaimana manajer
benar-benar dapat memahami resiko yang penting. Praktek manajerial sehari-hari
dapat dilakukan penelusuran lebih dalam untuk memperluas pandangan seseorang
mengenai apa yang dapat menimbulkan risiko. Implementasi model manajemen
dalam mengatur risiko tidak hanya dapat mengacaukan dan mengganggu praktik
45
manajemen risiko yang ada, tetapi bahkan dapat meningkatkan risiko organisasi.
Untuk menghindari bahaya tersebut, dianjurkan untuk memulai implementasi
setiap skema manajemen risiko, dimulai dengan mengamati dengan seksama
praktek manajemen risiko yang ada disekitar objek yang sedang diteliti.
Efroymson et al (2009) mengatakan bahwa framework dalam membuat
keputusan managemen sangat dibutuhkan untuk menilai resiko yang ada pada
perusahaan. Pada framework yang ada dibuatlah suatu pengidentifikasian
terhadap resiko-resiko yang ada, bagaimana pengendaliannya, dan penjelasan
mengenai informasi yang tersedia untuk menentukan distribusi resiko
potensialnya. Pada framework juga terdapat metriks yang menggambarkan stratus
object yang sedang diteliti berupa tingkat maturity-nya, penilaian terhadap
ancaman, pengaturan dan prioritas tujuan pengendalian serta pengembangan
perencanaan manajemen, dan pengembangan kriteria manajemen. Kerangka kerja
ini membantu sumber daya dalam mengelola dampak dan mengurangi
kemungkinan resiko. Dengan adanya prosedur yang jelas, pengidentifikasian
sebab akibat yang baik akan berdampak pada kelangsungan operasional
perusahaan.
Kombinasi antara laporan analisi sistem manajemen risiko perusahaan
dimana pembangunan infrastruktur dan tools dalam metode dan framework
menekankan akan pentingnya konsep budaya manajemen risiko dalam
meningkatkan daya saing perusahaan. Tujuan manajemen risiko adalah agar dapat
mengambil inisiatif dalam proses manajemen risiko dalam mencapai
keseimbangan manfaat yang harus mendukung strategi secara keseluruhan dan
46
harus menyadari semua risiko yang ada dan membangun pengendalian risiko yang
sesuai (Hua et al, 2009).
2.7 Internal Control
Luthy & Forcht (2006) menyatakan bahwa pengendalian internal pada
tahap perencanaan dan pada saat operasional, top management harus menyatakan
bahwa mereka bertanggung jawab dalam pengembangan dan pemeliharaan
internal control perusahaan yang mana sudah dilakukan suatu evaluasi sistem
perusahaan. Top management harus melaporkan mengenai evaluasi mereka atas
kontrol internal dan pasca setelah dilakukannya evaluasi dan setiap perubahan
yang memiliki pengaruh signifikan pada kontrol internal yang mana mencakup
semua pengendalian, seperti perlindungan data, kontrol akses, logika terhadap
proses yang dijalankan, dan kontrol yang berkaitan dengan perubahan. Laporan
ini harus mengungkapkan kekurangan yang signifikan dalam desain dan
operasional sistem pengendalian internal yang kurang baik sehingga dapat
mempengaruhi record, pengolahan, peringkasan, dan pelaporan data. Laporan
juga harus mengungkapkan fraud yang material maupun yang tidak dan
melaporkan karyawan atau pihak manajemen yang terlibat serta memiliki peran
penting dalam operasional perusahaan.
Compliance yang mana dikenal dengan kata kepatuhan merupakan
keadaan yang sesuai dengan pedoman yang sudah ditetapkan sebelumnya. Pada
life cycle kepatuhan menjelaskan bagaimana proses pengembangan dirancang dan
bagaimana pemantauannya. Dalam prakteknya pada pelaksanaan bisnis, selalu
ditandai oleh masalah yang tidak dapat diperkirakan dan dapat menyebabkan
ketidakpatuhan hasil maupun perilaku. Kegagalan manusia, perangkat keras,
47
ataupun perangkat lunak dapat menyebabkan penyimpangan dari proses yang
diharapkan. Penyimpangan harus dapat ditemukan, dianalisis, dan dibandingkan
sehingga sebisa mungkin dapat sesuai dengan proses bisnis yang diharapkan
sehingga untuk menilai apakah penyimpangan berdampak atau tidak terhadap
kepatuhan dan apakah perlu diterapkan tindakan pencegahannya (Gangadharan &
Luttighuis , 2010).
Dengan adanya sebuah Internal Control Framework (ICF), perusahaan
akan lebih mudah dalam memahami pengendalian untuk menilai mengenai
efektifitas pengendalian. Dengan adanya kerangka pengendalian internal, maka
manajemen dan auditor dapat melakukan evaluasi dan mengatasi kecukupan
pengendalian dalam organisasi mereka. Dengan menggunakan kasus yang
diangkat, maka terdapat kesempatan dalam menilai risiko pengendalian internal
dalam sistem informasi organisasi tersebut dan dapat pula memudahkan dalam
melakukan evaluasi tingkat organisasi secara keseluruhan dan merumuskan
rekomedasi dalam mengurangi resiko tersebut (Cereola & Cereola, 2011).
2.8 Sistem Billing
Pada saat melakukan proses billing, berdasarkan list billing yang ada
dilakukan penyaringan untuk melakukan verifikasi termasuk waktu danbiayayang
digunakan sehingga manajerdapat melakukan pengontrolan terhadap semua item.
Total item akan dilakukan peng-update-an sehingga dapat dengan mudah dapat
diketahui berikut dengan rinciannya.Tagihan disesuaikan dan dapat dibuatkan
sebuah standar sebagai templete untuk dapat digunakan kembali (Roselius, 2010).
Billing errors (2006) menyatakan bahwa beberapa tindakan yang
menyebabkan terjadinya kesalahan billing meliputi biaya yang tidak sah,
48
pelaporan dalam jumlah yang salah, biaya tambahan untuk permintaan pelanggan,
biaya barang dan jasa yang tidak diterima atau tidak disampaikan sebagaimana
mestinya, kesalahan dalam pembayaran dan kredit lainnya, kesalahan
perhitungan, serta kegagalan dalam mengirimkan laporan ke alamat pelanggan.
Menurut Willenberg & Meade (2010), implementasi terhadap adanya suatu
kepatuhan dan administasi personal pada suatu billing layaknya mencoba
menyelamatkan sebuah kapal terikat untuk tenggelam. Untuk itu pembangunan
suatu compliance dalam billing haruslah diikuti dengan inisiatif dan usaha yang
maksimal dalam mengelola proses komunikasi pada pembangunan infrastruktur.
Kolaborasi antar semua pihak dibutuhkan dalam mengelola hambatan dan
tantangan terhadap peraturan operasional untuk menghasilkan solusi operasional
yang tepat.