Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT ...

1

Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT Framework

Abstract: The role of technology is very meaningful in the progress of an organization. It is

impossible for an organization to develop without the support of information technology (IT).

Management realizes that the use of IT can add value to the company. Therefore we need an

IT governance to measure the effectiveness and efficiency of the IT implementation. The aims

of this study is to measure and assess the performance of information technology audits and

determine the maturity level of IT governance at PT Link Net. This study uses qualitative

research methods and takes data directly from respondents through the results of

questionnaires, interviews, and observations. To measure the process capability level using the

COBIT 5 framework. The results show that information technology governance using the

capability area of PT Link Net, Tbk is at maturity level of three (established process) with an

average value of 3.83. These results indicate that the information technology performance of

PT Link Net, Tbk. Has been implemented and managed properly based on the COBIT 5

framework through the maturity level obtained from the DSS domain. The results of the

research contribute to the management to be able to monitor each objective control, and

measure the effectiveness of information technology governance.

Keywords: IT Audit, IT Governance, COBIT, DSS

Abstrak: Peran teknologi sangat berarti dalam kemajuan suatu organisasi. Adalah hal yang

tidak mungkin bagi suatu organisasi dapat berkembang tanpa dukungan teknologi informasi

(TI). Manajemen menyadari bahwa penggunaan TI dapat memberi nilai tambah bagi

perusahaan. Oleh karenanya diperlukan suatu tata kelola TI untuk mengukur efektivitas dan

efisiensi dari implementasi TI tersebut. Penelitian ini bertujuan untuk menilai kinerja audit

teknologi informasi, serta mengetahui tingkat kematangan tata kelola TI pada PT Link Net.

Studi ini menggunakan metode penelitian kualitatif dan mengambil data langsung dari

responden melalui hasil kuesioner, wawancara, dan observasi. Untuk mengukur proses tingkat

kapabilitas menggunakan kerangka COBIT 5. Hasil penelitian menunjukkan bahwa tata kelola

teknologi informasi dengan menggunakan area kapabilitas PT Link Net, Tbk berada pada level

kematangan tiga (established process) dengan rerata nilai sebesar 3.83. Hasil ini

menunjukkan bahwa kinerja teknologi informasi PT Link Net, Tbk telah dilaksanakan dan

dikelola dengan baik berdasarkan kerangka kerja COBIT 5 melalui level kematangan yang

diperoleh dari domain DSS. Hasil penelitian memberi kontribusi kepada manajemen untuk

dapat memonitor masing-masing control objektif, dan mengukur keefektifan tata kelola

teknologi informasi.

Kata Kunci: Audit TI, Tata Kelola TI, COBIT, DSS

2

1. Pendahuluan

Untuk mencapai tujuan bisnisnya kebutuhan perusahaan terhadap teknologi informasi (TI)

merupakan aspek penting, karena dengan TI dapat mendukung keberlanjutan dan pertumbuhan bisnis

(Mutia dan Nur’ainy, 2020). Penerapan TI dalam bisnis perusahaan menjadi salah satu keputusan dalam

menunjang keberhasilan dan competitiveness bagi suatu perusahaan. Perusahaan yang melakukan

investasi pada TI bertujuan agar dapat memberikan peningkatan kualitas layanan/produk dalam

aktivitas bisnis perusahaan, mengurangi penggunaan biaya dan memproduksi lebih banyak tanpa

meningkatkan penggunaan biaya. Oleh karenanya manajemen perlu memerhatikan pengelolaan biaya

dan risiko terkait TI, sehingga penggunaan biaya optimal dan risiko dapat dipertahankan pada tingkat

yang dapat diterima (acceptable level).

Pengembangan TI di perusahaan harus seiring dengan pelaksanaan sistem pengendalian yang

memadai melalui review ataupun audit TI, sehingga kesalahan dan kegagalan dapat diminimalisir

bahkan dihindari. Tujuan perusahaan melakukan audit TI itu sendiri adalah untuk memberikan

kepastian (assurance) kepada manajemen dalam mencapai tujuan organisasi yang efektif, efisien dan

ekonomis (3E) sesuai dengan perencanaan audit (Mutia dan Nur’ainy, 2020).

Peran teknologi yang terus meningkat di perusahaan harus sebanding seiring dengan pengeluaran

yang dilakukan perusahaan. Hal ini dikarenakan investasi pada TI bukan investasi yang kecil. Adanya

ketergantungan yang tinggi terhadap TI dan jumlah investasi yang besar pada TI ditambah risiko yang

terkait dengan TI, membutuhkan suatu perencanaan matang dalam hal pelaksanaan atas investasi IT.

Berdasarkan hal tersebut adanya pengelolaan terhadap TI yang dimanfaatkan dalam rangka mengukur

tingkat efektifitas dan efisiensi yang dihasilkan dari implementasi TI tersebut (Romney dan Steinbart,

2015:3).

Tata kelola teknologi informasi (IT govarnance) dapat membantu perusahaan memastikan bahwa

investasi yang dilakukan pada TI menghasilkan nilai bagi perusahaan dan memitigasi risiko yang

berkaitan dengan TI (Mutia dan Nur’ainy, 2018). Selain itu, adanya efektifitas pengelolaan TI terbukti

dapat memberikan profitabilitas bagi perusahaan yang selanjutnya memberikan laba atas investasi

(return on investment) yang lebih baik dibanding kompetitornya (Mutia dan Nur’ainy 2020). Dalam

penerapan tata kelola TI, terdapat berbagai jenis framework diantaranya COBIT (Control Objectives

for Information and Technology). Pada COBIT ini disediakan praktik terbaik yang membantu

perusahaan mengoptimalkan penggunaan teknologi dalam proses bisnisnya. COBIT juga menjadi

pedoman bagi manajemen untuk mengendalikan pelaksanaan pengelolaan TI sehingga dapat

mendorong organisasi dalam pencapaian tujuan perusahaan.

Penelitian Junita (2012) dalam Mutia dan Nur’ainy (2020) menemukan bahwa penggunaan

maturity assesment kerangka COBIT 4.1 untuk level kematangan penerapan teknologi informasi dan

komunikasi di perusahaan ada diposisi level 2 (Repeatable but Intuitive) dan 3 (Defined Process).

Temuan tersebut merekomendasikan bahwa hal mendasar dalam melakukan perbaikan adalah

membentuk suatu unit kerja yang bertanggungjawab atas pelaksanaan pengendalian internal teknologi

3

informasi serta mendokumentasikan kebijakan dan proses tata kelola TIK. Sehingga pengawasan dalam

melaksanakan kebijakan dapat berjalan efektif dan menjamin penerapan IT govarnance. Selanjutnya,

penelitian Nugraha (2012) dalam Mutia dan Nur’ainy (2020) yang mengukur level kematangan

teknologi informasi dengan kerangka COBIT 4, menyimpulkan bahwa agar tingkat kematangan tata

kelola TI dapat memberikan peningkatan yang simultan. Artinya perusahaan harus melakukan tahapan

perbaikan semua proses bisnisnya secara menyeluruh. Termasuk perbaikan kelengkapan dalam hal

prosedur dan dokumentasi, pengembangan kompetensi SDM yang berkualitas, pengorganisasi dan

optimasi bagian yang mendukung, serta pelaksanaan audit TI yang konsisten dan memadai.

Berbeda dengan penelitian sebelumnya, penelitian ini menggunakan kerangka kerja COBIT 5

dalam mengukur tingkat kapabilitas (capability level) pengelolaan TI untuk domain DSS dan

memberikan rekomendasi atas gap pengelolaan TI yang ada di perusahaan sektor swasta. Pengukuran

kapabilitas COBIT 5 tidak ditujukan dalam rangka mengukur suatu tingkatan proses dengan sangat

akurat, atau mengeluarkan sertifikasi pada saat tingkatan tersebut telah tercapai. Pengukuran kapabilitas

dengan kerangka COBIT 5 ini bertujuan memberikan gambaran suatu kondisi yang relevan dengan

berbagai jenis tingkat kapabilitas yang ingin dicapai. COBIT 5 framework menjadi sangat bermanfaat

pada saat manajemen bertujuan untuk memastikan kesesuaian antara keadaan pengembangan TI yang

sebenarnya dengan harapan dan proses bisnis perusahaan. Kapabilitas yang baik dan tepat tergantung

dari tujuan bisnis perusahaan itu sendiri, lingkungan operasi perusahaan dan praktek yang ada di

perusahaan itu sendiri. Intinya, level kapabilitas manajemen dipengaruhi oleh ketergantungan

perusahaan dalam penggunaan TI, kemutakhiran teknologi dan value dari informasi (ITGI, 2012).

Pertanyannya adalah apakah dalam melakukan audit TI perusahaan telah mengimplementasikan

tata kelola TI sesuai COBIT Framework? Apakah tata kelola TI yang diterapkan berhasil mencapai

target suatu tingkat kapabilitas (capability level)?

Berdasarkan pertanyaan tersebut maka penelitian ini bertujuan untuk menganalisis pelaksanaan

audit TI di perusahaan telekomunikasi dalam rangka pengelolaan TI denngan COBIT framework. Selain

itu, untuk mengetahui apakah tata kelola TI yang diterapkan perusahaan telah memenuhi tingkat

kapabilitas yang ditargetkan dan telah mencapai tujuan yang diharapkan oleh perusahaan.

2. Landasan Teori

2.1. Audit TI

Audit TI merupakan salah satu kegiatan pengendalian yang dilakukan manajemen

dalam proses operasional yang berbasis teknologi informasi (TI) dalam rangka untuk

memelihara dan mengawasi data, keutuhan data yang beroperasi dengan efektif dalam

mencapai tujuan manajemen suatu organisasi. Menurut Arens et.al (2018) audit TI adalah suatu

proses mengumpulkan dan mengevaluasi bukti dalam rangka menentukkan sistem aplikasi yang

terkomputerisasi dapat menerapkan suatu internal komtrol yang konsisten dan memadai. Hall (2011)

4

dalam Mutia dan Nur’ainy (2020) menjelaskan audit TI sebagai tindakan peninjauan aspek organisasi

berbasis komputer. Audit TI memfokuskan pada aspek sistem informasi suatu organisasi dan dilakukan

pengujian efektifitas pengendalian teknologi informasi, serta kepatuhan perusahaan terhadap standar

yang ditentukan. Aspek yang dinilai dalam pelaksanaan audit TI antara lain implementasi yang tepat,

pengoperasian dan pengendalian sumber daya komputer (Hall, 2011 dalam Mutia dan Nur’ainy, 22020).

Tujuan pelaksanaan audit TI itu sendiri adalah untuk memberi kepastian kepada manajemen

dalam pencapaian harapan dan keinginan organisasi secara efektif, efisien dan ekonomis (Chamber &

Rand, 2010, dalam Mutia dan Nur’ainy, 2020). Weber (2010) dalam Mutia dan Nur’ainy (2020)

menjelaskan bahwa tujuan audit TI adalah mengevaluasi serta memastikan resiko dalam

melakukan pengawasan aset yang berharga serta menentukan metode yang dapat mengurangi

resiko. Menurut Nugraha (2012) dalam Mutia dan Nur’ainy (2020) pelaksanaa audit TI dikelompokkan

menjadi a) Audit operasional dalam tata kelola TI, b) Review atas informasi umum, yaitu audit sistem

informasi secara umum, c) Audit terhadap aplikasi yang sedang dikembangkan dan merupakan kualitas

asuran pada tahap pengembangan system.

Tahap audit TI yang direkomendasikan ISACA (2020) terdiri dari 4 (empat), yaitu 1) Planning,

auditor melakukan perencanaan lingkup audit untuk memastikan baha tujuan audit telah sesuai dengan

hukum dan standar prosefisionalitas audit. 2) Performance of Audit Work, auditor melakukan

monitoring terhadap tim audit dalam memberikan asuran yang reasonable, mendapatkan bukti audit,

temuan audit dan kesimpulan audit. 3) Reporting, auditor membuat laporan yang mengidentifikasi

organisasi, menyatakan temuan, kesimpulan dan rekomendasi. Selain itu, auditor juga memberikan

kriteria atau syarat lingkup audit, serta pengumpulan bukti audit yang cukup, relevan dan memadai. 4)

Follow Up, auditor memberikan evaluasi untuk memastikan pengambilan keputusan manajemen sesuai

dengan waktu yang tepat.

2.2. Tata Kelola TI

Berdasarkan Information Technology Govarnance Institute (ITGI) (2007) tata kelola TI

merupakan alat pertanggungjawaban serta pelaksanaan tindakan manajemen senior suatu

organisasi seperti kepemimpinan, struktur serta proses dalam melaksanakan organisasi dan

memastikan penerapan teknologi informasi untuk mendukung serta meningkatkan pelaksanaan

strategi dan tujuan suatu organisasi. Tujuan tata kelola TI itu sendiri yaitu memberikan manfaat TI

sesuai harapan yang ingin dicapai, serta menerapkan dan mengoptimalkan manfaat TI tersebut. Selain

itu memastikan penggunaan dari sumberdaya TI itu sendiri untuk dapat dipertanggungjawabkan, serta

pengelolaan risiko TI yang tepat.

Terdapat 5 (lima) bidang dalam pelaksanaan tata kelola TI yaitu 1) Strategic alignment

merupakan bidang yang difokuskan pada kesesuaian antara sistem dan skema TI dengan kebijakan

usaha perusahaan, dan memberikan solusi bersama (collaborative solutions). 2) Value Delivery, bidang

5

yang difokuskan kepada optimalisasi pengeluaran/biaya, dan memastikankan bahwa TI dapat memberi

nilai kepada perusahaan umtuk bersaing, layanan yang tepat waktu, kepuasan konsumen, serta

peningkatan kapasitas produksi dan profit. 3) Risk Management, merupakan bidang yang difokuskan

pada penanganan sarana TI dan pemulihan (mitigasi) bencana. 4) Resource Management, bidang yang

difokuskan kepada optimalisasi pemahaman dan prasarana TI. 5) Performance Measurement, bidang

yang difokuskan pada penelaahan proyek dan monitoring layanan TI.

2.3. COBIT Framework

COBIT (Control Objective for Information and Related Technology) framework adalah suatu

kerangka kerja untuk mengawasi pelaksanaan bidang TI di suatu organisasi. COBIT framework

dikembangkan dan dipublikasikan oleh Information System Audit and Control Association (ISACA).

Berdasarkan ISACA (2012) COBIT adalah panduan dan dokumentasi implementasi IT Governance.

Sebagai sebuah kerangka kerja COBIT mendukung auditor, jajaran manajemen, dan pengguna dalam

menjembatani adanya perbedaan suatu risiko dalam bisnis, berbagai kebutuhan pengendalian serta

problem secara teknis di lapangan. Sementara itu menurut ITGI (2007) COBIT merupakan kerangka

dan alat yang berfungsi sebagai perantara adanya suatu kesenjangan (gap) tentang kebutuhan dalam hal

pengawasan, masalah yang terkait dengan teknis dan adanya risiko dalam bisnis, serta

mengkomunikasikannya kepada stakeholder. Sebagai suatu kerangka kerja COBIT yang mencakup

tentang control objectives dari TI yang didesain untuk melaksanakan tahapan dalam melakukan audit

TI (ITGI, 2007).

COBIT 5 mengembangkan suatu kerangka yang dapat digunakan untuk mengukur dan menilai

tingkat kapabilitas proses yang disebut Process Assesment Model (PAM). Penilaian kapabilitas proses

bertujuan memberikan informasi kepada top manajemen dan stakeholder tentang level kapabilitas dari

suatu proses TI suatu organisasi serta target perbaikan berdasarkan kebutuhan organisasi. Berikut ini

model PAM yang disediakan COBIT 5:

Gambar 2. Process Assesment Model

Sumber: ISACA (2012)

6

Berdasarkan gambar 2 penilaian suatu proses didasarkan pada dimensi proses dan dimensi

kapabilitas. Dimensi proses menggolongkan setiap kategori proses menjadi beberapa proses. Dimensi

kapabilitas dijelaskan kedalam beberapa tingkatan (level) kapabilitas, dimana setiap tingkatan terdapat

karakteristik untuk mengukur kapabilitas suatu proses.

Kerangka PAM menurut referensi COBIT terdiri dari lingkup governance dan management.

Lingkup governance terdiri dari 1 (satu) domain yaitu Evaluate, Direct dan Monitor (EDM). Domain

EDM berisi sekumpulan proses dan pedoman dalam meyakinkan keserasian dalam proses pelaksanaan

tata kelola TI dengan strategi dan tujuan dari stakeholder serta institusi. Limgkup management terdiri

dari 4 (empat) domain yaitu 1) Align, Plan and Organize (APO). Domain yang melingkupi penentuan

suatu strategi dan pengidentifikasian TI dalam memberikan kontribusi atas kepentingan bisnis dan

organisasi. APO juga fokus pada format organisasi serta sarana prasarana teknologi informasi dalam

rangka meraih hasil dan manfaat maksimal dari penggunaan teknologi informasi. 2) Domain Build,

Acquire and Implement (BAI). Domain ini menyediakan berbagai pemecahan masalah untuk

mewujudkan suatu strategi, memastikan kebutuhan TI agar dapat diidentifikasi, dibangun dan

diimplementasikan. 3) Domain Deliver, Service and Support (DSS). Domain yang memastikan bahwa

seluruh solusi teknologi informasi yang sudah diimplementasikan dapat melayani dan mendukung para

pengguna. Proses pada domain DSS terdiri dari DSS01 yang berisi tentang pengelolaan operasi

pengelolaan, DSS02 berisi tentang pengelolaan kejadian dan permintaan layanan, DSS03 berisi tentang

pengelolaa masalah, DSS04 berisi tentang pengelolaan yang kontinyu, DSS05 berisi tentang tentang

pengelolaan jasa keamanan komputer, DSS06 berisi tentang pengelolaan pengendalian proses bisnis. 4)

Domain Monitor, Evaluate and Assess (MEA). Pada domain ini dipastikan bahwa pelaksanaan suatu

proses telah selaras dengan harapan, dan mengevaluasi proses yang tidak maksimal.

2.4. Tingkas Kapabilitas COBIT 5 Framework

Dimensi kapabilitas pada COBIT 5 menyediakan tingkatan/level dalam pengukuran dan

penilaian kapabilitas suatu proses.

Gambar 4. Capability Levels dan Process Attributes


7

Pada gambar 4 tingkat kapabilitas terdiri 6 (enam) tingkat/level. Level 0 (Incomplete), level

dimana organisasi tidak mengetahui samasekali aktifitas teknologi informasi di organisasinya atau suatu

proses tidak diterapkan bahkan tidak berhasil dalam memperoleh tujuan dari proses tersebut. Level 1

(Performed), merupakan level dimana suatu organisasi dapat memastikan bahwa aktivitas bidang

teknologi informasi di organisasinya berjalan dengan baik. Level 2 (Managed Process), organisasi

memiliki kebijakan dalam mengarahkan kegiatan operasional dan pengembangan bidang teknologi

informasi berdasarkan rencana dan dimonitor serta didokumentasikan sesuai dengan tujuan. Level 3

(Establish Process), organisasi mempunyai satuan kerja dan struktur organisasi bidang teknologi

informasi serta standar khusus (SOP) dalam pengembangan teknologi informasi. Level 4 (Predictable

Process), organisasi membuat pengukuran kegiatan teknologi informasi, mengetahui nilai bisnis dari

teknologi informasi serta menghasilkan produk teknologi informasi yang mempunyai nilai tambah.

Level 5 (Optimizing Process), teknologi informasi terintegrasi dengan aktivitas bisnis dan operasional,

membuat otomasi dan inovasi aktivitas bisnis agar kinerja organisasi efisien, efektif, transparan dan

berkualitas tinggi.

Pengukuran dan penilaian level kapabilitas dengan COBIT 5 framework menggunakan

kerangka Process Assessment Model (PAM) terdiri dari 1) Tahap mendefinisikan level kapabilitas,

yaitu tahap tingkatan kapabilitas mulai dari level 0 (Incomplete) sampai 5 (Optimizing). Setiap level

kapabilitas disesuaikan kondisi organisasi, 2) Tahap mendefinisikan atribut proses, proses atribut yang

ada didalam dimensi kapabilitas menyediakan karakteristik untuk pengukuran sebuah kapabilitas

proses. Setiap level kapabilitas mempunyai proses atribut yang berbeda.

Gambar 4 juga menunjukkan 9 (sembilan) atribut proses yang digunakan sebagai dasar

pengukuran tingkat kapabilitas suatu proses, yaitu 1) Process Performance, pengukuran tingkat

kapabilitas untuk melihat tujuan pencapain suatu proses. 2) Performance Management, pengukuran

tingkat kapabilitas untuk melihat kinerja pengelolaan proses. 3) Work Product Management,

pengukuran tingkat kapabilitas untuk memastikan pengelolaan produk yang dihasilkan. 4) Process

Definition, pengukuran tingkat kapabilitas untuk memastikan pemeliharaan standar proses/proses baku

dalam rangka mendukung pengembangan proses yang terdefinisi. 5) Process Deployment, pengukuran

tingkat kapabilitas untuk memastikan efektifitas penggunaan standar proses/proses baku sebagai proses

terdefinisi dalam mencapai hasil. 6) Process Measurement, pengukuran tingkat kapabilitas untuk

melihat hasil dari kepastian kinerja suatu proses yang mendorong pencapaian dari tujuan proses tersebut

dan tujuan organisasi. Bentuk pengukuran dapat berupa pengukuran dalam proses, pengukuran produk

ataupun keduanya proses dan produk. 7) Process Control, pengukuran tingkat kapabilitas kuantitatif

terhadap proses untuk melihat stabilitas hasil proses dan prediksi dari hasil proses tersebut. 8) Process

Innovation, pengukuran tingkat kapabilitas untuk melihat pengidentifikasian adanya perubahan proses

dari hasil analisis penyebab yang umum, variasi kinerja serta inovasi. 9) Process Optimization,

pengukuran tingkat kapabilitas proses untuk melihat adanya pendefinisian yang berubah, pengelolaan

dan kinerja suatu proses yang menghasilkan efektifitas pencapaian tujuan dalam memperbaiki proses.

8

Level 0 merefleksikan proses yang tidak dapat diimplementasikan atau gagal dalam pencapaian tujuan

dari suatu proses.

Penilaian tingkat kapabilitas yang dilakukan terdiri dari 2 (dua) indikator, yaitu a) Indikator

level kapabilitas 1 (satu), yaitu indikator yang mempunyai sifat khusus dari suatu proses dan memberi

nilai apakah pengimplementasian dari atribut proses tersebut dapat menghasilkan tujuan dari suatu

proses berdasarkan perolehan out come dari suatu proses. b) Indikator level kapabilitas 2 (dua), yaitu

indikator yang digunakan untuk menilai tingkat kapabilitas sesuai dengan indikator performa yang

sifatnya generik. Kedua jenis indikator ini bersifat umum bagi seluruh proses, tapi berbeda untuk

masing-masing level kapabilitas.

Pengukuran kapabilitas dengan COBIT 5 bukan ditujukan sebagai pengukuran dalam level tata

kelola TI dengan sangat akurat, namun untuk memberikan penjelasam tentang keadaan yang terkait

dengan level kapabilitas yang ingin dicapai (ITGI 2007). Kerangka kerja ini cocok pada saat pihak

manajemen bermaksud untuk memastikan kesesuaian antara keadaan pengembangan TI yang ada

dengan harapan dalam melaksankan proses bisnis. Kapabilitas yang baik tergantung tujuan dari bisnis

perusahaan itu sendiri, lingkungan dalam operasional serta praktik industri. Intinya, level kapabilitas

manajemen berdasarkan pada kepentingan suatu perusahaan terhadap teknologi informasi, kehebatan

teknologi serta value suatu informasi yang ada di perusahaan (ITGI, 2007).

Manajemen dituntut melayani konsumen dengan maksimal, sehingga delivery dari informasi

perusahaan dapat berjalan dengan baik (Wella, 2016). Di samping itu, manajemen dituntut untuk

mampu mengembangkan daya saing sehingga bisa menggapai pangsa pasar yang saat ini semakin

meluas. Dalam hal ini, DSS (delivery, service and support) sangat dibutuhkan untuk mendukung

manajemen dalam memberikan pelayanan terbaik sehingga memberikan value bagi perusahaan.

Domain DSS menjadi salah satu dari 5 (lima) domain kerangka COBIT 5 dalam Management of

Enterprise IT. Fokus dari DSS ini lebih kepada pengiriman, pelayanan, serta support teknologi

informasi yang kemudian diserahkan bagi efektifitas dan efisensi sistem informasi dalam perusahaan.

3. Metode Penelitian

3.1. Pemilihan dan Pengumpulan Data

Penelitian ini merupakan penelitian kualitatif dengan menggunakan studi kasus di PT Link Net,

Tbk. Data yang digunakan adalah data yang berjenis primer dan sekunder. Pengumpulkan data secara

primer diperoleh dengan melakukan survey kepada responden. Responden yang dituju telah disesuaikan

dengan permasalahan dan tujuan penelitian. Untuk data sekunder penelitian ini mengumpulkan berbagai

laporan/informasi yang dipublikasikan secara internal oleh perusahaan sendiri maupun oleh pihak lain

yang dapat dipastikan kebenarannya yaitu berupa company profile, standar dan prosedur serta kebijakan

perusahaan.

Data primer yang terkumpul selain berasal dari jawaban kuesioner juga dari hasil wawancara

dan observasi pada Divisi TI PT Link Net Tbk. Penyusunan kuesioner didasarkan pada model PAM

9

kerangka COBIT 5 yang relevan dengan permasalahan dan disusun dengan bentuk skoring. Hal ini

bertujuan untuk mengetahui kondisi pengelolaan TI lebih spesifik yang digunakan sebagai dasar dalam

menentukan tingkat kapabilitas tata kelola TI. Wawancara ditujukan kepada pihak terkait dalam

pengelolaan TI. Sebagai narasumber adalah staf dan Kepala Divisi TI. Untuk perolehan data dengan

cara observasi penelitian ini melihat praktik penerapan dan penggunaan teknologi informasi dengan

langsung. Cara ini dapat memberikan data yang akurat serta dapat dipertanggungjawabkan.

3.2. Metode Analisis Data

Untuk melakukan analisis pada penelitian ini menggunakan proses sebagaimana yang

diarahkan COBIT 5 dalam penentuan tingkat kapabilitas domain DSS. Dengan metode ini setiap

indikator pada domain DSS diukur level kapabilitasnya. Dasar pengukuran adakah hasil kuesioner.

Penentuan level Setiap item ditentukan levelnya berdasarkan nilai modus (nilai yang paling sering

muncul) untuk masing-masing setiap aktifitas. Nilai modus tersebut telah dipersentasekan ( % ) dengan

membagi jumlah frekuensi yang dipilih dengan jumlah total responden.

𝐿𝑒𝑣𝑒𝑙 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠 𝐼𝑡𝑒𝑚 = 𝑃𝑒𝑟𝑠𝑒𝑛𝑡𝑎𝑠𝑒 𝑚𝑜𝑑𝑢𝑠 𝐹𝑟𝑒𝑘𝑢𝑒𝑛𝑠𝑖 𝑑𝑖𝑝𝑖𝑙𝑖ℎ

𝑇𝑜𝑡𝑎𝑙 𝑟𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛

Mencari nilai rata-rata dari level kapabilitas yang dihasilkan dengan rumus:

𝑅𝑎𝑡𝑎 − 𝑟𝑎𝑡𝑎 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠 = 𝑇𝑜𝑡𝑎𝑙 𝐼𝑡𝑒𝑚 𝐿𝑒𝑣𝑒𝑙 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠

𝐽𝑢𝑚𝑙𝑎ℎ 𝐼𝑡𝑒𝑚

Kemudian menentukan pembulatan tingkat kapabilitas dari setiap domain DSS. Langkah

pembulatan ini dilakukan dengan model PAM kerangka COBIT yang digunakan untuk menentukan

kapabilitas proses. Proses yang telah mencapai tingkat kapabilitas artinya telah memenuhi semua atribut

sebelum tingkat kapabilitas secara fully achieved, serta telah memenuhi seluruh atribut ditingkat

kapabilitas secara largely dengan nilai >50% hingga 85%, atau fully achieved denegan nilai >85%.

Untuk penelitian ini memilih fully achieved yaitu level yang terpenuhi berada dalam nilai >85% karena

mempunyai tingkat akurasi yang baik dalam melakukan penilaian atau penggambaran kondisi yang

terjadi.

a. Skala Penilaian Kapabilitas Proses

Proses pengukuran tingkat kapabilitas dengan COBIT 5 yang digunakan penelitian ini

mengacu pada ISO/IEC 15504 yaitu menggunakan model Process Assessment Model (PAM). Skala

penilaian tingkat kapabililtas proses dengan PAM adalah sebagai berikut:

Tabel 1. Skala Penilaian Kapabilitas Proses

Singkatan Persentase Pencapaian Deskripsi

N

0-15% achievement

Not achieved, tidak menemukan bukti

atau ditemukan hanya sedikit bukti

10

Singkatan Persentase Pencapaian Deskripsi

dalam pencapaian atribut tertentu

untuk proses yang dinilai.

P

>15% - 50% achievement

Partially Achieved, ditemukan

beberapa bukti dari atribut tertentu

dalam penilaian suatu proses.

Terdapat aspek-aspek dalam

pencapaian atribut tersebut yang sulit

untuk diprediksi.

L


Largely Achieved, terdapat bukti

melalui pendekatan yang sistematis

serta dapat mencapai hasil signifikan

atas suatu atribut tertentu untuk proses

yang akan dinilai. Adanya kelemahan

dari atribut tersebut pada saat

dilakukan penilaian proses.

F


Fully achieved, memliki bukti yang

lengkap, pendekatan sistematis, serta

pencapaian hasil yang signifikan

terhadap suatu atribut dari penilaian

suatu proses. Pada atribut suatu proses

yang sedang dinilai tak ada temuan

untuk kelemahan yang signifikan.


b. Penentuan Tingkat Kapabilitas Proses

Suatu proses pada dasarnya hanya cukup meraih Largely achieved (L) atau Fully achieved (F)

(ISACA, 2012). Hal ini dimaksudkan dalam rangka menyatakan bahwa suatu proses telah mencapai

suatu tingkat kapabilitas. Tapi proses yang dimaksudkan wajib mencapai Fully achieved (F) untuk

meneruskan dalam menilai tingkat kapabilitas yang lain. Sebagai ilustrasi, apabila terdapat proses yang

mencapai tingkat kapabilitas 3 (tiga), untuk level 1 (satu) dan 2 (dua) dari proses yang dimaksudkan

dapat meraih Fully achieved (F). Untuk tingkat kapabalitas 3 (tiga) dapat meraih Largely achieved (L)

atau Fully achieved (F). Proses pemeringkatan kapabilitas proses berdasarkan COBIT 5 sebagai berikut:

Tabel 2. Pemeringkatan Kapabilitas Proses COBIT

Capability Level Process Attribute 1 2 3 4 5

Level 5 : Optimizing PA 5.1 & 5.2 L/F

Level 4: Predictable PA 4.1 & 4.2 L/F F

Level 3: Established PA 3.1 & 3.2 L/F F F

11

Level 2: Managed PA 2.1 & 2.2 L/F F F F

Level 1: Performed PA 1.1 L/F F F F F


c. Tahap penilaian/pengukuran tingkat kapabilitas

Penilian ini menggunakan tahapan penilaian tingkat kapabilitas sebagai berikut: Pertama,

melakukan penentuan dalam menilai suatu proses. Untuk memilih proses dilakukan melalui dua proses,

terdiri dari Top Down atau Bottom Up. Proses Top Down dimulai dari bisnis goals suatu organisasi.

Proses Bottom Up dimulai adanya permasalahan organisasi saat ini. Kedua, melakukan penetapan untuk

proses terpilih dalam mencapai level kapabilitas 1 (satu). Indikator level kapabilitas 1 (satu) sifatnya

spesifik, dan setiap proses berbeda. Penilaian tersebut diberikan karena meraih hasil atas proses atribut

level kapabilitas 1. Ketiga, penentuan pemilihan proses apakah telah meraih level kapabilitas 2 sampai

5. Karakteristik dalam penilaian level kapabilitas 2 – 5 ini sifatnya generik bagi seluruh proses, namun

demikian berbeda untuk setiap level kapabilitas. Keempat, melakukan pencatatan dan pembuatan

ringkasan level kapabilitas terhadap semua proses penilaian. Kelima, melakukan perencanaan dalam

perbaikan suatu proses.

4. Hasil dan Diskusi

Setelah melakukan rekapitulasi data berdasarkan tingkat kapabilitas yang telah disesuaikan

dengan skala penilaian, maka selanjutnya mengidentifikasikan rekomendasi yang diberikan sesuai

dengan kebutuhan. Pada penelitian ini tahap yang dilakukan didasarkan pada 1) Kondisi Existing, yaitu

kondisi yang menggambarkan keadaan tata kelola TI. Kondisi existing diperoleh berdasarkan

pengumpulan bukti dengan mewawancarai pihak yang berkepentingan dan relevan. 2) Analisis gap,

yaitu menganalisis perbedaan tingkat kapabilitas dengan target perusahaan. Tingkat kapabilitas

diperoleh dengan mengolah hasil kuesioner dan tingkat target yang diperoleh dari hasil wawancara pada

Divisi TI PT Link Net, Tbk.

4.1. Hasil Uji Validitas Kuesioner Domain DSS

Uji validitas dilakukan dilakukan per sub bab dari domain DSS setelah direkapitulasi. Hasil

yang diperoleh dalam uji validitas ini adalah sebagai berikut:

Tabel 3. Hasil Uji Validitas Kuesioner Domain DSS pada PT Link Net, Tbk

Pernyataan Corrected Item Total

Correlation

r tabel Keterangan

DSS01 0.726 0.625 Valid

DSS02 0.931 0.625 Valid

DSS03 0.867 0.625 Valid

DSS04 0.943 0.625 Valid

DSS05 0.840 0.625 Valid

12

DSS06 0.726 0.625 Valid

Sumber: Data diolah (2021)

Tabel 3 menunjukkan nilai Corrected Item Total Correlation dengan hasil DSS01 – DSS06 >

r. Hasil ini menunjukkan bahwa penelitian ini telah menggunakan data yang valid.

4.2. Hasil Uji Realibilitas Kuesioner Domain DSS

Uji reliabilitas yang dilakukan dengan cara membandingkan hasil perhitungan cronbach alpha

dengan nilai croncbach alpha yaitu minimal 0.60. Hasil uji reliabilitas yang adalah:

Tabel 4. Hasil Uji Reabilitas Kuesioner Domain DSS pada PT Link Net, Tbk

Croncbach’s alpha N of Items

0.920 6


Tabel 4 terlihat nilai Croncbach’s alpha > 0.60 hal ini menunjukkan data yang digunakan

reliabel. Untuk menetapkan kondisi level pada aktifitas yang ada di form kerja audit, selanjutnya

berdasarkan form dari hasil kuesioner dilakukan suatu analisis dan menentukan level. Penetapan level

setiap aktivitas melalui pemilihan nilai modus (nilai yang paling banyak muncul) untuk setiap aktifitas.

Nilai modus tersebut telah dipersentasekan ( % ) dengan membagi jumlah frekuensi yang dipilih dengan

jumlah total responden. Jumlah responden pada penelitian sebesar 12 responden.

4.3. Hasil Analisis Domain DSS01

Berikut adalah hasil analisis pada domain DSS01 tentang Mengelola Operasi:

Tabel 5. Hasil analisis DSS01 PT Link Net, Tbk

Proses

TI

Aktivitas

Frekuensi Pilihan Level yang

dipilih 0 1 2 3 4 5

DSS01

DSS01-01 0% 0% 0% 17% 66% 17% 4

DSS01-02 0% 8% 8% 58% 17% 8% 3

DSS01-03 0% 0% 0% 42% 58% 0% 4

DSS01-04 0% 0% 0% 8% 75% 17% 4

DSS01-05 0% 0% 8% 0% 84% 8% 4

Rata-rata 3.8


Tabel 5 menunjukkan level kapabilitas yang diperoleh pada DSS01 tentang Mengelola Operasi.

Tabel tersebut menunjukan bahwa hampir semua sub proses DSS01 berada pada level 4 (predictabel

process) yaitu DSS01-01 tentang Menjalankan Prosedur Operasional, DSS01-03 tentang Memonitor

Infrastruktur TI, DSS01-04 tentang Mengelola Lingkungan, dan DSS01-05 tentang Mengelola Fasilitas,

meskipun pada DSS01-04 terdapat 8% yang memilih level 2. Ini artinya proses DSS dilakukan dalam

bentuk aktivitas, kebijakan dan aturan terdokumentasi, serta menghasilkan layanan/informasi optimal

13

yang telah dimonitor dan dianalisis. Hanya DSS01-02 tentang Mengelola Layanan Outsourse TI yang

berada pada level 3 (Established Process).

Selain itu masih terdapat 8% yang memilih level 1 dan 8% memilih level 2. Artinya, proses

DSS dilakukan, aktivitas, kebijakan dan aturan terdokumentas serta menghasilkan layanan informasi

optimal. Namun demikian perlu adanya pemaparan dan penyampaian informasi kepada semua staff

yang ada di Divisi TI mengenai kebijakan yang relevavn dengan indikator DSS01-02 itu sendiri.

Berdasarkan semua sub proses yang ada pada DSS01 tentang Mengelola Operasi, maka diketahui

tingkat kapabilitas tertinggi berada pada proses DSS01-05 tentang Mengelola Fasilitas dengan

persentase 84%.

4.4. Rekapitulasi Nilai Proses Domain DSS

Setelah melakukan analisis hasil DSS maka diperolah hasil dari nilai setiap aktifitas pada

domain DSS, dan dimasukkan kedalam form/kertas kerja audit. Langkah berikutnya menghitung rerata

nilai untuk setiap proses dalam rangka mengetahui kondisi setiap proses yang dilakukan. Hal ini

dilakukan dengan menghitung semua level yang terpilih, kemudian dibagi dengan sejumlah item dari

pertanyaan setiap domain. Rekapitulasi dari nilai suatu proses domain DSS adalah:

Tabel 6. Rekapitulasi Capability Level PT Link Net, Tbk

Proses Domain Level rata-rata Pembulatan level

DSS01 – Mengelola Operasi 3,8 3

DSS02 – Mengelola Permintaan Layanan dan Insiden 3,72 3

DSS03 – Mengelola Masalah 3,6 3

DSS04 – Mengelola Keberlanjutan 4 4

DSS05 – Mengelola Keamanan Layanan 4 4

DSS06 – Mengelola Kontrol Proses Bisnis 3,83 3


Berdasarkan tingkat kapabilitas yang diperoleh maka menentukan pembulatan agar

memudahkan dalam menetapkan kondisi yang terkini sesuai dengan kriteria tingkat kapabilitas yang

telah ditetapkan. Untuk melakukan pembulatan ini digunakan langkah penentuan proses kapabilitas

tertentu, yaitu proses yang meraih tingkat kapabilitas apabila seluruh atribut sebelum tingkat kapabilitas

telah memenuhi fully achieved, dan seluruh atribut ditingkat kapabilitas memenuhi largely sebesar

>50% hingga 85%) atau fully achieved sebesar >85%. Penelitian ini menetapkan pilihan yang

memenuhi fully achieved atau level yang memenuhi nilai sebesar >85% yang dianggap akurat dalam

menilai dan menggambarkan kondisi existing.

4.5. Pengumpulan Bukti DSS01

14

Pada saat menentukan kondisi yang diperoleh telah menunjukkan hasil yang valid, maka proses

audit TI selanjutnya yaitu mengumpulan bukti berdasarkan ketetapan kerangka COBIT 5 khususnya

untuk domain DSS. Hasil perolehan bukti ini kemudian diperiksa kesesuaiannya dengan kondisi

existing yang diperoleh dan digunakan sebagai alat ukur tersendiri. Berikut adalah hasil pengumpulan

bukti yang diperoleh:

Tabel 7. Pengumpulan Bukti DSS01 PT Link Net, Tbk

DSS01 Mengelola Operasi

Sub Proses Output/bukti Keterangan

DSS 01.01 Menjalankan

Prosedur Operasional

Dokumen jadwal operasional dan

Dokumen SOP

Dilakukan selama jam kerja

kantor

DSS 01.02 Mengelola

Layanan Outsourse TI

Dokumen transaksi dengan vendor

dan Outsourse serta Konsultan

Melakukan kerjasama dengan

vendor, Outsourse dan Konsultan

dalam mengelola Outsourse TI

DSS 01.03 Memonitor

Infrastruktur TI

dokumen pengawasan aset serta

daftar aset secara lengkap

Menggunakan aplikasi IT

Helpdesk ( Manage Engine

ServiceDesk Plus)

DSS 01.04 Mengelola

Lingkungan

Dokumen mengenai aturan

lingkungan kerja, standar, pelatihan

dan testing peringatan

perangkat mengikuti standar yang

ditetapkan

DSS 01.05 Menglelola

Fasilitas

berupa dokumen pengelolaan

fasilitas, IT Helpdesk dan support

Keamanan perangkat sudah diatur

dalam SOP dan supporting

dilakukan secara berkala


Berdasarkan pengumpulan bukti pada tabel 7, maka kondisi existing dari DSS0 adalah 1) Rekap

aktivitas dilakukan dengan baik selama jam kantor dan telah sesuai SOP, 2) Melakukan kerjasama

dengan vendor, outsourse dan konsultan untuk mengelola outsourse TI, 3) Monitoring atau pengawasan

terhadap aset dan insiden menggunakan IT Helpdesk (Manage Engine ServiceDesk Plus), 4)

Pengelolaan lingkungan kerja IT, standar, pelatihan dan testing peringatan bersadarkan SOP dengan

menggunakan standar yang ditetapkan, 5) Fasilitas TI dikelola dengan baik sesuai dengan yang tetulis

dalam SOP dan dilakukan secara berkala.

4.6. Analisis GAP DSS01

Pencarian selisih level kapabilitas yang diperoleh dengan pencapaian level target sesuai dengan

Analisis Gap. Penentuan level target ditentukan oleh satu di atas level yang telah dilakukan pembulatan

berdasarkan bukti yang didapat, dan kondisi existing sub domain saat ini. Contoh untuk DSS01

diperoleh level setelah pembulatan sebesar 4, maka target level untuk DSS01 adalah 5.

15

Tabel 8. Analisis Gap DSS01 PT Link Net, Tbk

Nama Proses Level Existing Level Target Gap

DSS01 Mengelola Operasi 3 4 1


Untuk menuju ke level 4 maka yang harus dilakukan adalah melakukan pembenahan pada

DSS01-02 tentang Mengelola Layanan Outsourse TI dan DSS01-05 tentang Mengelola Fasilitas.

Langkah yang dilakukan adalah memberikan pemahaman dan pengetahuan yang baik kepada staff TI

mengenai kebijakan pada proses DSS, dan menetapkan ukuran layanan atau informasi yang ingin

dihasilkan. Selain itu memastikan bahwa ukuran layanan tersebut dapat tercapai, kemudian memantau

dan menganalisisnya.

4.7. Rekomendasi untuk DSS01

Berdasarkan hasil analisis gap yang diperoleh berdasarkan target pencapaian level pada DSS01,

maka rekomendasi yang diberikan adalah sebagai berikut:

Pada DSS 01-01 tentang Menjalankan Prosedur Operasional dan DSS 01-04 tentang Mengelola

Lingkungan Kerja maka rekomendasi yang diberikan adalah 1) Perlu diadakannya jadwal piket dan

pengawasan terhadapnya untuk meningkatkan efektivitas waktu kerja karyawan, 2) Pentingnya

kesadaran dan pemahaman pengelolaan lingkungan kepada para staff TI dengan memberikan himbauan

melalui gambar dan tulisan-tulisan disudut ruangan.

Kemudian untuk DSS 01-03 tentang Memonitor Infrastruktur TI maka rekomendasi yang

diberikan adalah perlu dilakukan pengawasan terhadap kondisi ruangan selama 24 jam dengan

memanfaatkan kamera CCTV. Hal ini dikarenakan ruangan tersebut belum memanfaatkan alat

monitoring yang berfungsi sebagai alat untuk memonitoring dan mengawasi setiap sudut yang ada

diruangan tersebut.

Selanjutnya untuk DSS 01-05 tentang Mengelola Fasilitas rekomendasi yang diberikan adalah

perlu adanya pemahaman bagi staff TI untuk bisa mengelola dan menjaga fasilitas dengan baik dan

sesuai prosedur, untuk itu perlu diadakannya pelatihan bagi para staff.

Solusi untk DSS01adalah memberikan pelatihan kepada staff agar lebih memahami dan mampu

mengelola prosedur operasional, layanan outsourse TI, Infrastruktur TI, Lingkungan dan Fasilitas TI

yang ada.


Berdasarkan perolehan hasil dari analisis gap sesuai dengan pencapaian target level yang

diharapkan pada indikator DSS02, penelitian ini memberi rekomendasi sebagai berikut:

Untuk DSS02-02 tentang Mengklasifikasikan dan memproriataskan permintaan dan insiden

rekomendasi yang diberikan adalah diupayakan untuk menetapkan tingkatan insiden terutama terkait

dengan insiden yang besar dan insiden untuk keamanan yang dapat terjadi dan prioritas.

16

Kemudian untuk DSS02-04 tentang Mendiagnosis dan Mengalokasi Insiden rekomendasi yang

diberikan adalah 1) Mencari lebih detail kemungkinan penyebab-penyebab insiden terjadi supaya bisa

ditangani dengan segera, 2) Perlu adanya tenaga ahli untuk penanganan masalah yang mendalam yang

tidak bisa diselesaikan oleh teknisi TI.

Selanjutnya untuk DSS02-05 tentang Menyelesaikan dan Memulihkan Insiden rekomendasi

yang diberikan adalah mencatat dan mendokumentasikan setiap penyelesaian masalah supaya bisa

dipakai di kemudian hari dan mencari alternatif penyelesaian insiden yang lain.

Solusi untuk DSS02 adalah segera mungkin melakukan skala prioritas terhadap layanan yang

diterima dan Insiden yang terjadi.


Hasil dari analisis gap yang diperoleh melalui pencapaian target level pada DSS03, maka

beberapa rekomendasi dari penelitian ini dapat dilihat sebagai berikut:

Pada DSS03-01 yaitu tentang Mengidentifikasi dan Mengklasifikasikan Masalah, DSS03-02

mengenai Menginvestigasi dan Mendiagnosis Masalah, kemudian DSS03-04 tentang Menyelesaikan

dan Menutup masalah, dan DSS03-05 tentang Menjalankan Manajemen Masalah secara Proaktif,

rekomendasi yang diberikan adalah 1) Perlu adanya grup support untuk membantu mengidentifikasi

masalah sampai kepada akar masalahnya, 2) Berkonsultasi dengan pihak manajemen untuk prioritas

masalah yang dilakukan penanganan, 3) Perlu adanya untuk membuat laporan progress terhadap

masalah yang sedang dalam penanganan, 4) Pentingnya komunikasi yang baik kepada service desk

untuk masalah-masalah yang telah diselesaikan, 5)Terus melakukan monitoring terhadap dampak dari

masalah yang pernah terjadi dan yang masih berlangsung, 6) Mengadakan sharing ke unit lain untuk

penanganan yang sedang dihadapi, 7) Melakukan monitoring atas total cost dari penanganan setiap

masalah, dan 8) Mencari dan menentukan permanen fix akar permasalahan yang telah dianalisis.

Solusi yang diberikan untuk DSS03 adalah mencari tenaga ahli yang bisa menyelesaikan

permasalahan yang terjadi dalam IT.


Sesuai dengan analisis gap yang diperlohan berdasarkan hasil pencapaian target level pada

domain DSS04 ini, berikut ini beberapa rekomendasi yang diberikan:

Pada DSS04-02 tentang Memelihara Strategi Keberlanjutan rekomendasi yang diberikan

adalah menilai dan menganalisis kondisi yang menjadi ancaman yang kemungkinan menyebabkan

kehilangan keberlangsungan bisnis.

Kemudian untuk domain DSS04-04 tentang Latihan, Tes dan Review Dokumen Business

Continuity Plan dan pada DSS04-06 tentang Mengadakan Training untuk Continuity Plan rekomendasi

yang diberikan adalah 1) Membuat jadwal pelatihan dan pengujian continuity plan 2) Membuat

rekomendasi untuk mengembangkan business continuity plan sesuai hasil pengujian dan review.

17

Solusi yang dapat diberikan untuk DSS04 adalah melakukan analisis pasar dan perencanaan

yang matang untuk menjaga keberlangsungan bisnis. Hal ini dimaksudkan agar dapat memberikan hasil

yang tepat sesuai dengan rencana dan tujuan perusahaan.


Sesuai hasil analisis gap dari perolehan target Level yang ingin diraih pada domain DSS05,

beberapa rekomendasi yang dapat diberikan adalah:

Untuk DSS05-05 tentang Mengelola Akses Fisik ke Aset TI maka rekomendasi yang diberikan

adalah 1) Menghimbau dan memastikan bahwa setiap staff selalu menggunakan tanda pengenal yang

terlihat dalam melakukan tugas kantor, 2) Menemani pengunjung (jika ada yang berkunjung) yang

masuk ke IT aset dan TI site dan tidak ditingal sendiri.

Solusi yang dapat diberikan untuk DSS05 ini adalah melakukan pengawasan terhadap integritas

data dari malware. Hal ini dimaksudkan dalam rangka pencegahan kecurangan yang bersumber dari

internal maupun dari eksternal perusahaann.


Sesuai hasil perolehan analisis hap dengan target level yang ingin diraih pada DSS06, peneliti

memberikan rekomendasi sebagai berikut:

Pada indikator DSS06-03 tentang Mengatur Peran, Tanggungjawab, Hak Akses dan Level

otoritas rekomendasinya adalah memnyusun dan menetapkan kebijakan untuk menentukan peran yang

berwenang dalam memasukkan dan menjalankan aktivitas atau data yang sensitif, dan dijelaskan

dengan rinci serta didokumentasikan.

Kemudian untuk DSS06-05 tentang Memastikan bahwa Informasi dari Event dapat Ditelusuri

dan Pertanggungjawabannya maka rekomendasi yang diberikan adalah mencatat dan mengumpukan

semua informasi, bukti-bukti dan rekaman transaksi dari sebuah event agar jelas siapa yang

bertanggungjawab atas event yang telah diselesaikan.

Sedangkan untuk DSS06-06 tentang Mengamankan Aset-aset Informasi rekomendasi yang

diberikan adalah 1) Melakukan monitoring dan memberikan evaluasi prosedur untuk keamanan dalam

melindungi aset informasinya, 2) Mengidentifikasi setiap bentuk data yang sifatnya rahasia dan

menyusun prosedur penyimpanan (save) serta penghapusan (delete) yang tepat, 3) Melakukan

pengarsipan data, misalnya sumber suatu data/informasi, hasil pencatatan dari transaksi yang digunakan

sebagai bukti dari pengukuran serta penilaian berjalannya proses dari suatu bisnis, serta dijadikan

sebagai suatu rekomendasi.

Solusi yang dapat diberikan untuk DSS06 adalah menempatkan manajemen untuk melakukan

pengelolaan terhadap proses bisnis.

4.13. Rekomendasi Keseluruhan Proses

18

Berikut ini beberapa tambahan rekomendasi secara umum berdasarkan kondisi existing pada

bagian TI PT Link Net, Tbk. Tingkat kapabilitas yang diperoleh dari keseluruhan adalah Level 3 yaitu

Established Process. Untuk target level yang ingin dicapai adalah 4 (empat) Predictable Process dan

rekomendasi yang diberikan adalah 1) Berdasarkan hasil analisis, domain yang masih tertinggal dari

domain lainnya adalah DSS03 tentang Mengelola Masalah. Oleh karenanya perlu dilaksanakan terlebih

dahulu rekomendasi yang telah diberikan dalam rangka mengembangkan performa untuk

keberlangsungan suatu proses bisnis, 2) Dilakukan peningkatan serta menjaga konsistensi dalam

mengendalikan dan memberi evaluasi terhadap pencapaian proses bisnis secara weekly meeting, 3)

Memperketat monitoring atas proses yang sedang berjalan dalam rangka mempertahankan dari proses

yang telah berjalan agar menjadi lebih baik lagi.

5. Kesimpulan, Implikasi, dan Keterbatasan Penelitian

5.1. Kesimpulan

Berdasarkan analisis pengumpulan bukti dan analisis kondisi existing, diketahui bahwa kinerja

teknologi informasi PT Link Net, Tbk telah dikelola dengan baik. Dapat dibuktikan dari kerangka kerja

COBIT 5 dengan level kematangan yang diperoleh dari tiap domain.

Hasil penelitian dan pengelolaan teknologi informasi dengan model kapabilitas diketahui bahwa

teknologi informasi PT Link Net, Tbk berada pada level kematangan tiga (Established Process) dengan

rata-rata nilai 3.83. Ini menunjukan bahwa manajemen dapat memonitor masing-masing control

objektif, dan mampu mengukur keefektifan pengelolaan teknologi informasi berdasarkan hasil

pemantauannya.

5.2. Implikasi

Penelitian ini memberi implikasi pada perusahaan dalam menjaga integritas informasi ketika

dilakukan monitoring terhadap perkembangan teknologi yang baru dan memperbaharui sistem secara

kontinyu dan konsisten.

5.3. Keterbatasan Penelitian

Keterbatasan penelitian ini adalah dalam melakukan penilaian kinerja audit dengan

memanfaatkan tata kelola TI kerangka COBIT 5 hanya satu domain, yaitu DSS, sehingga rekomendasi

tata kelola IT yang diberikan kurang lengkap. Penelitian selanjutnya sebaiknya 1) Memperbanyak bukti

terkait dengan domain DSS untuk mendapatkan rekomendasi yang lebih dalam, 2) Menggunakan

seluruh domain COBIT yang direkomendasikan ITGI dan ISACA, sehingga hasilnya lebih lengkap. 3)

Memperbanyak sampel penelitian yang lebih variatif sehingga dapat dibandingkan dengan hasil

penelitian ini dan penelitian sebelumnya.

19

Daftar Pustaka

Al-Rasyid, Achyar. 2015. Audit Sistem Informasi Berbasis COBIT 5 pada Domain Delivery, Service and Support

(DSS) Study Kasus: SIM-BL di Unit CDC PT Telkom Pusat, Tbk. E-Proceeding of Enginering 2(2) :6110-

6123.

Arens, Alvin. A, Randal J. Elder, Mark S. Beasley. 2018. Audit dan Jasa Assurance. Jakarta: Salemba Empat.

Candra, R Kurnia. Atastina, Imelda. Firdaus, Yanuar. 2015. Audit Teknologi Informasi menggunakan Framework

COBIT 5 pada Domain DSS (Delivery, Service and Support) Study kasus: iGracias Telkom University. E-

Proceeding of Engineering 2 (1): 11-29.

ISACA. 2012. COBIT 5 – Self Assesment Guide: Using COBIT 5. Retrieved from

https://www.isaca.org/2021/08/01.

ISACA. 2012. COBIT 5 – Implemetation COBIT 5. Retrieved from https://www.isaca.org/2021/08/01.

ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprice IT. USA:

ISACA. Retrieved from https://www.isaca.org/2021/08/051.

ISACA. (2020). COBIT 5: A Business Framework for Governance & Management IT, Retrieved from

https://www.isaca.org/2021/08/01.

ISACA. (2020). COBIT 5: Enabling Processes. Retrieved from https://www.isaca.org/2021/08/01.

IT Governance Institute. 2007. COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity

Models, IT Governance Institute. Retrieved from https://www.isaca.org/2021/08/01.

Maskur, Djunaedi, Achmad, Adhipta, Dani, & Sumirah. 2016. Perancangan Tata Kelola TI Dengan Menggunakan

Framework Cobit 5 (Studi Kasus: Pemerintah Kab. Jeneponto). Jurnal Teknologi Informasi dan Komputer

1 (1)

Mutia, Noor dan Renny Nurainy. 2020. IT Governance: Measuring Capability Level Using COBIT 5 Framework.

Jurnal Ilmiah Ekonomi Bisnis 25 (2): 97-110 https://doi.org/10.35760/eb.2020.v25i2.209

Romney, Marshal B. & Steinbart, Paul Jhon. 2015. Sistem Informasi Akuntansi. Jakarta: Gramedia Pustaka Utama

Tristiadi, Brian. 2015. Pengukuran Tingkat Kapabilitas Tata Kelola Teknologi Informasi dengan Menggunakan

Assesment Tools COBIT 5 (Studi Kasus pada Perpustakaan Nasional Republik Indonesia). Tesis (Tidak

dipublikasikan). Universitas Indonesia, Jakarta.

Wella. 2016. Audit Sistem Informasi menggunakan COBIT 5 Domain DSS pada PT Erajaya Swasembada,

Tbk.ULTIMA Infosys, 7 (1), 38-44. https://doi.org/10.31937/si.v7i1.511

Wijaya, Agustinus Fritz & Andani, Anneke Tri. 2017. Evaluasi Kinerja SI E-Filling menggunakan COBIT 5 pada

Kantor Pelayanan Pajak Pratama kota Salatiga. JUTEI 1 (1): 61-69.

https://doi.org/10.21460/jutei.2017.11.9

https://www.isaca.org/2021/08/01






https://doi.org/10.35760/eb.2020.v25i2.209

https://doi.org/10.31937/si.v7i1.511

Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT ...

Documents

Transcript of Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT ...