Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT Framework

(1)

1

Audit TI: Implementasi Tata Kelola TI Menggunakan COBIT Framework

Abstract:

The role of technology is very meaningful in the progress of an organization. It is

impossible for an organization to develop without the support of information technology (IT).

Management realizes that the use of IT can add value to the company. Therefore we need an

IT governance to measure the effectiveness and efficiency of the IT implementation. The aims

of this study is to measure and assess the performance of information technology audits and

determine the maturity level of IT governance at PT Link Net. This study uses qualitative

research methods and takes data directly from respondents through the results of

questionnaires, interviews, and observations. To measure the process capability level using the

COBIT 5 framework. The results show that information technology governance using the

capability area of PT Link Net, Tbk is at maturity level of three (established process) with an

average value of 3.83. These results indicate that the information technology performance of

PT Link Net, Tbk. Has been implemented and managed properly based on the COBIT 5

framework through the maturity level obtained from the DSS domain. The results of the

research contribute to the management to be able to monitor each objective control, and

measure the effectiveness of information technology governance.

Keywords: IT Audit, IT Governance, COBIT, DSS

Abstrak: Peran teknologi sangat berarti dalam kemajuan suatu organisasi. Adalah hal yang

tidak mungkin bagi suatu organisasi dapat berkembang tanpa dukungan teknologi informasi

(TI). Manajemen menyadari bahwa penggunaan TI dapat memberi nilai tambah bagi

perusahaan. Oleh karenanya diperlukan suatu tata kelola TI untuk mengukur efektivitas dan

efisiensi dari implementasi TI tersebut. Penelitian ini bertujuan untuk menilai kinerja audit

teknologi informasi, serta mengetahui tingkat kematangan tata kelola TI pada PT Link Net.

Studi ini menggunakan metode penelitian kualitatif dan mengambil data langsung dari

responden melalui hasil kuesioner, wawancara, dan observasi. Untuk mengukur proses tingkat

kapabilitas menggunakan kerangka COBIT 5. Hasil penelitian menunjukkan bahwa tata kelola

teknologi informasi dengan menggunakan area kapabilitas PT Link Net, Tbk berada pada level

kematangan tiga (established process) dengan rerata nilai sebesar 3.83. Hasil ini

menunjukkan bahwa kinerja teknologi informasi PT Link Net, Tbk telah dilaksanakan dan

dikelola dengan baik berdasarkan kerangka kerja COBIT 5 melalui level kematangan yang

diperoleh dari domain DSS. Hasil penelitian memberi kontribusi kepada manajemen untuk

dapat memonitor masing-masing control objektif, dan mengukur keefektifan tata kelola

teknologi informasi.

(2)

2

1. Pendahuluan

Untuk mencapai tujuan bisnisnya kebutuhan perusahaan terhadap teknologi informasi (TI) merupakan aspek penting, karena dengan TI dapat mendukung keberlanjutan dan pertumbuhan bisnis (Mutia dan Nur’ainy, 2020). Penerapan TI dalam bisnis perusahaan menjadi salah satu keputusan dalam menunjang keberhasilan dan competitiveness bagi suatu perusahaan. Perusahaan yang melakukan investasi pada TI bertujuan agar dapat memberikan peningkatan kualitas layanan/produk dalam aktivitas bisnis perusahaan, mengurangi penggunaan biaya dan memproduksi lebih banyak tanpa meningkatkan penggunaan biaya. Oleh karenanya manajemen perlu memerhatikan pengelolaan biaya dan risiko terkait TI, sehingga penggunaan biaya optimal dan risiko dapat dipertahankan pada tingkat yang dapat diterima (acceptable level).

Pengembangan TI di perusahaan harus seiring dengan pelaksanaan sistem pengendalian yang memadai melalui review ataupun audit TI, sehingga kesalahan dan kegagalan dapat diminimalisir bahkan dihindari. Tujuan perusahaan melakukan audit TI itu sendiri adalah untuk memberikan kepastian (assurance) kepada manajemen dalam mencapai tujuan organisasi yang efektif, efisien dan ekonomis (3E) sesuai dengan perencanaan audit (Mutia dan Nur’ainy, 2020).

Peran teknologi yang terus meningkat di perusahaan harus sebanding seiring dengan pengeluaran yang dilakukan perusahaan. Hal ini dikarenakan investasi pada TI bukan investasi yang kecil. Adanya ketergantungan yang tinggi terhadap TI dan jumlah investasi yang besar pada TI ditambah risiko yang terkait dengan TI, membutuhkan suatu perencanaan matang dalam hal pelaksanaan atas investasi IT. Berdasarkan hal tersebut adanya pengelolaan terhadap TI yang dimanfaatkan dalam rangka mengukur tingkat efektifitas dan efisiensi yang dihasilkan dari implementasi TI tersebut (Romney dan Steinbart, 2015:3).

Tata kelola teknologi informasi (IT govarnance) dapat membantu perusahaan memastikan bahwa investasi yang dilakukan pada TI menghasilkan nilai bagi perusahaan dan memitigasi risiko yang berkaitan dengan TI (Mutia dan Nur’ainy, 2018). Selain itu, adanya efektifitas pengelolaan TI terbukti dapat memberikan profitabilitas bagi perusahaan yang selanjutnya memberikan laba atas investasi (return on investment) yang lebih baik dibanding kompetitornya (Mutia dan Nur’ainy 2020). Dalam penerapan tata kelola TI, terdapat berbagai jenis framework diantaranya COBIT (Control Objectives for Information and Technology). Pada COBIT ini disediakan praktik terbaik yang membantu perusahaan mengoptimalkan penggunaan teknologi dalam proses bisnisnya. COBIT juga menjadi pedoman bagi manajemen untuk mengendalikan pelaksanaan pengelolaan TI sehingga dapat mendorong organisasi dalam pencapaian tujuan perusahaan.

Penelitian Junita (2012) dalam Mutia dan Nur’ainy (2020) menemukan bahwa penggunaan maturity assesment kerangka COBIT 4.1 untuk level kematangan penerapan teknologi informasi dan komunikasi di perusahaan ada diposisi level 2 (Repeatable but Intuitive) dan 3 (Defined Process). Temuan tersebut merekomendasikan bahwa hal mendasar dalam melakukan perbaikan adalah membentuk suatu unit kerja yang bertanggungjawab atas pelaksanaan pengendalian internal teknologi

(3)

3

informasi serta mendokumentasikan kebijakan dan proses tata kelola TIK. Sehingga pengawasan dalam melaksanakan kebijakan dapat berjalan efektif dan menjamin penerapan IT govarnance. Selanjutnya, penelitian Nugraha (2012) dalam Mutia dan Nur’ainy (2020) yang mengukur level kematangan teknologi informasi dengan kerangka COBIT 4, menyimpulkan bahwa agar tingkat kematangan tata kelola TI dapat memberikan peningkatan yang simultan. Artinya perusahaan harus melakukan tahapan perbaikan semua proses bisnisnya secara menyeluruh. Termasuk perbaikan kelengkapan dalam hal prosedur dan dokumentasi, pengembangan kompetensi SDM yang berkualitas, pengorganisasi dan optimasi bagian yang mendukung, serta pelaksanaan audit TI yang konsisten dan memadai.

Berbeda dengan penelitian sebelumnya, penelitian ini menggunakan kerangka kerja COBIT 5 dalam mengukur tingkat kapabilitas (capability level) pengelolaan TI untuk domain DSS dan memberikan rekomendasi atas gap pengelolaan TI yang ada di perusahaan sektor swasta. Pengukuran kapabilitas COBIT 5 tidak ditujukan dalam rangka mengukur suatu tingkatan proses dengan sangat akurat, atau mengeluarkan sertifikasi pada saat tingkatan tersebut telah tercapai. Pengukuran kapabilitas dengan kerangka COBIT 5 ini bertujuan memberikan gambaran suatu kondisi yang relevan dengan berbagai jenis tingkat kapabilitas yang ingin dicapai. COBIT 5 framework menjadi sangat bermanfaat pada saat manajemen bertujuan untuk memastikan kesesuaian antara keadaan pengembangan TI yang sebenarnya dengan harapan dan proses bisnis perusahaan. Kapabilitas yang baik dan tepat tergantung dari tujuan bisnis perusahaan itu sendiri, lingkungan operasi perusahaan dan praktek yang ada di perusahaan itu sendiri. Intinya, level kapabilitas manajemen dipengaruhi oleh ketergantungan perusahaan dalam penggunaan TI, kemutakhiran teknologi dan value dari informasi (ITGI, 2012).

Pertanyannya adalah apakah dalam melakukan audit TI perusahaan telah mengimplementasikan tata kelola TI sesuai COBIT Framework? Apakah tata kelola TI yang diterapkan berhasil mencapai target suatu tingkat kapabilitas (capability level)?

Berdasarkan pertanyaan tersebut maka penelitian ini bertujuan untuk menganalisis pelaksanaan audit TI di perusahaan telekomunikasi dalam rangka pengelolaan TI denngan COBIT framework. Selain itu, untuk mengetahui apakah tata kelola TI yang diterapkan perusahaan telah memenuhi tingkat kapabilitas yang ditargetkan dan telah mencapai tujuan yang diharapkan oleh perusahaan.

2. Landasan Teori

2.1. Audit TI

Audit TI merupakan salah satu kegiatan pengendalian yang dilakukan manajemen

dalam proses operasional yang berbasis teknologi informasi (TI) dalam rangka untuk

memelihara dan mengawasi data, keutuhan data yang beroperasi dengan efektif dalam

mencapai tujuan manajemen suatu organisasi

. Menurut Arens et.al (2018) audit TI adalah suatu proses mengumpulkan dan mengevaluasi bukti dalam rangka menentukkan sistem aplikasi yang terkomputerisasi dapat menerapkan suatu internal komtrol yang konsisten dan memadai. Hall (2011)

(4)

4

dalam Mutia dan Nur’ainy (2020) menjelaskan audit TI sebagai tindakan peninjauan aspek organisasi berbasis komputer. Audit TI memfokuskan pada aspek sistem informasi suatu organisasi dan dilakukan pengujian efektifitas pengendalian teknologi informasi, serta kepatuhan perusahaan terhadap standar yang ditentukan. Aspek yang dinilai dalam pelaksanaan audit TI antara lain implementasi yang tepat, pengoperasian dan pengendalian sumber daya komputer (Hall, 2011 dalam Mutia dan Nur’ainy, 22020).

Tujuan pelaksanaan audit TI itu sendiri adalah untuk memberi kepastian kepada manajemen dalam pencapaian harapan dan keinginan organisasi secara efektif, efisien dan ekonomis (Chamber & Rand, 2010, dalam Mutia dan Nur’ainy, 2020). Weber (2010) dalam Mutia dan Nur’ainy (2020) menjelaskan bahwa tujuan audit TI

adalah mengevaluasi serta memastikan resiko dalam

melakukan pengawasan aset yang berharga serta menentukan metode yang dapat mengurangi

resiko

. Menurut Nugraha (2012) dalam Mutia dan Nur’ainy (2020) pelaksanaa audit TI dikelompokkan menjadi a) Audit operasional dalam tata kelola TI, b) Review atas informasi umum, yaitu audit sistem informasi secara umum, c) Audit terhadap aplikasi yang sedang dikembangkan dan merupakan kualitas asuran pada tahap pengembangan system.

Tahap audit TI yang direkomendasikan ISACA (2020) terdiri dari 4 (empat), yaitu 1) Planning, auditor melakukan perencanaan lingkup audit untuk memastikan baha tujuan audit telah sesuai dengan hukum dan standar prosefisionalitas audit. 2) Performance of Audit Work, auditor melakukan monitoring terhadap tim audit dalam memberikan asuran yang reasonable, mendapatkan bukti audit, temuan audit dan kesimpulan audit. 3) Reporting, auditor membuat laporan yang mengidentifikasi organisasi, menyatakan temuan, kesimpulan dan rekomendasi. Selain itu, auditor juga memberikan kriteria atau syarat lingkup audit, serta pengumpulan bukti audit yang cukup, relevan dan memadai. 4) Follow Up, auditor memberikan evaluasi untuk memastikan pengambilan keputusan manajemen sesuai dengan waktu yang tepat.

2.2. Tata Kelola TI

Berdasarkan Information Technology Govarnance Institute (ITGI) (2007) tata kelola TI merupakan

alat pertanggungjawaban serta pelaksanaan tindakan manajemen senior suatu

organisasi seperti kepemimpinan, struktur serta proses dalam melaksanakan organisasi dan

memastikan penerapan teknologi informasi untuk mendukung serta meningkatkan pelaksanaan

strategi dan tujuan suatu organisasi

. Tujuan tata kelola TI itu sendiri yaitu memberikan manfaat TI sesuai harapan yang ingin dicapai, serta menerapkan dan mengoptimalkan manfaat TI tersebut. Selain itu memastikan penggunaan dari sumberdaya TI itu sendiri untuk dapat dipertanggungjawabkan, serta pengelolaan risiko TI yang tepat.

Terdapat 5 (lima) bidang dalam pelaksanaan tata kelola TI yaitu 1) Strategic alignment merupakan bidang yang difokuskan pada kesesuaian antara sistem dan skema TI dengan kebijakan usaha perusahaan, dan memberikan solusi bersama (collaborative solutions). 2) Value Delivery, bidang

(5)

5

yang difokuskan kepada optimalisasi pengeluaran/biaya, dan memastikankan bahwa TI dapat memberi nilai kepada perusahaan umtuk bersaing, layanan yang tepat waktu, kepuasan konsumen, serta peningkatan kapasitas produksi dan profit. 3) Risk Management, merupakan bidang yang difokuskan pada penanganan sarana TI dan pemulihan (mitigasi) bencana. 4) Resource Management, bidang yang difokuskan kepada optimalisasi pemahaman dan prasarana TI. 5) Performance Measurement, bidang yang difokuskan pada penelaahan proyek dan monitoring layanan TI.

2.3. COBIT Framework

COBIT (Control Objective for Information and Related Technology) framework adalah suatu kerangka kerja untuk mengawasi pelaksanaan bidang TI di suatu organisasi. COBIT framework dikembangkan dan dipublikasikan oleh Information System Audit and Control Association (ISACA). Berdasarkan ISACA (2012) COBIT adalah panduan dan dokumentasi implementasi IT Governance. Sebagai sebuah kerangka kerja COBIT mendukung auditor, jajaran manajemen, dan pengguna dalam menjembatani adanya perbedaan suatu risiko dalam bisnis, berbagai kebutuhan pengendalian serta problem secara teknis di lapangan. Sementara itu menurut ITGI (2007) COBIT merupakan kerangka dan alat yang berfungsi sebagai perantara adanya suatu kesenjangan (gap) tentang kebutuhan dalam hal pengawasan, masalah yang terkait dengan teknis dan adanya risiko dalam bisnis, serta mengkomunikasikannya kepada stakeholder. Sebagai suatu kerangka kerja COBIT yang mencakup tentang control objectives dari TI yang didesain untuk melaksanakan tahapan dalam melakukan audit TI (ITGI, 2007).

COBIT 5 mengembangkan suatu kerangka yang dapat digunakan untuk mengukur dan menilai tingkat kapabilitas proses yang disebut Process Assesment Model (PAM). Penilaian kapabilitas proses bertujuan memberikan informasi kepada top manajemen dan stakeholder tentang level kapabilitas dari suatu proses TI suatu organisasi serta target perbaikan berdasarkan kebutuhan organisasi. Berikut ini model PAM yang disediakan COBIT 5:

Gambar 2. Process Assesment Model

(6)

6

Berdasarkan gambar 2 penilaian suatu proses didasarkan pada dimensi proses dan dimensi kapabilitas. Dimensi proses menggolongkan setiap kategori proses menjadi beberapa proses. Dimensi kapabilitas dijelaskan kedalam beberapa tingkatan (level) kapabilitas, dimana setiap tingkatan terdapat karakteristik untuk mengukur kapabilitas suatu proses.

Kerangka PAM menurut referensi COBIT terdiri dari lingkup governance dan management. Lingkup governance terdiri dari 1 (satu) domain yaitu Evaluate, Direct dan Monitor (EDM). Domain EDM berisi sekumpulan proses dan pedoman dalam meyakinkan keserasian dalam proses pelaksanaan tata kelola TI dengan strategi dan tujuan dari stakeholder serta institusi. Limgkup management terdiri dari 4 (empat) domain yaitu 1) Align, Plan and Organize (APO). Domain yang melingkupi penentuan suatu strategi dan pengidentifikasian TI dalam memberikan kontribusi atas kepentingan bisnis dan organisasi. APO juga fokus pada format organisasi serta sarana prasarana teknologi informasi dalam rangka meraih hasil dan manfaat maksimal dari penggunaan teknologi informasi. 2) Domain Build, Acquire and Implement (BAI). Domain ini menyediakan berbagai pemecahan masalah untuk mewujudkan suatu strategi, memastikan kebutuhan TI agar dapat diidentifikasi, dibangun dan diimplementasikan. 3) Domain Deliver, Service and Support (DSS). Domain yang memastikan bahwa seluruh solusi teknologi informasi yang sudah diimplementasikan dapat melayani dan mendukung para pengguna. Proses pada domain DSS terdiri dari DSS01 yang berisi tentang pengelolaan operasi pengelolaan, DSS02 berisi tentang pengelolaan kejadian dan permintaan layanan, DSS03 berisi tentang pengelolaa masalah, DSS04 berisi tentang pengelolaan yang kontinyu, DSS05 berisi tentang tentang pengelolaan jasa keamanan komputer, DSS06 berisi tentang pengelolaan pengendalian proses bisnis. 4) Domain Monitor, Evaluate and Assess (MEA). Pada domain ini dipastikan bahwa pelaksanaan suatu proses telah selaras dengan harapan, dan mengevaluasi proses yang tidak maksimal.

2.4. Tingkas Kapabilitas COBIT 5 Framework

Dimensi kapabilitas pada COBIT 5 menyediakan tingkatan/level dalam pengukuran dan penilaian kapabilitas suatu proses.

Gambar 4. Capability Levels dan Process Attributes

(7)

7

Pada gambar 4 tingkat kapabilitas terdiri 6 (enam) tingkat/level. Level 0 (Incomplete), level dimana organisasi tidak mengetahui samasekali aktifitas teknologi informasi di organisasinya atau suatu proses tidak diterapkan bahkan tidak berhasil dalam memperoleh tujuan dari proses tersebut. Level 1 (Performed), merupakan level dimana suatu organisasi dapat memastikan bahwa aktivitas bidang teknologi informasi di organisasinya berjalan dengan baik. Level 2 (Managed Process), organisasi memiliki kebijakan dalam mengarahkan kegiatan operasional dan pengembangan bidang teknologi informasi berdasarkan rencana dan dimonitor serta didokumentasikan sesuai dengan tujuan. Level 3 (Establish Process), organisasi mempunyai satuan kerja dan struktur organisasi bidang teknologi informasi serta standar khusus (SOP) dalam pengembangan teknologi informasi. Level 4 (Predictable Process), organisasi membuat pengukuran kegiatan teknologi informasi, mengetahui nilai bisnis dari teknologi informasi serta menghasilkan produk teknologi informasi yang mempunyai nilai tambah. Level 5 (Optimizing Process), teknologi informasi terintegrasi dengan aktivitas bisnis dan operasional, membuat otomasi dan inovasi aktivitas bisnis agar kinerja organisasi efisien, efektif, transparan dan berkualitas tinggi.

Pengukuran dan penilaian level kapabilitas dengan COBIT 5 framework menggunakan kerangka Process Assessment Model (PAM) terdiri dari 1) Tahap mendefinisikan level kapabilitas, yaitu tahap tingkatan kapabilitas mulai dari level 0 (Incomplete) sampai 5 (Optimizing). Setiap level kapabilitas disesuaikan kondisi organisasi, 2) Tahap mendefinisikan atribut proses, proses atribut yang ada didalam dimensi kapabilitas menyediakan karakteristik untuk pengukuran sebuah kapabilitas proses. Setiap level kapabilitas mempunyai proses atribut yang berbeda.

Gambar 4 juga menunjukkan 9 (sembilan) atribut proses yang digunakan sebagai dasar pengukuran tingkat kapabilitas suatu proses, yaitu 1) Process Performance, pengukuran tingkat kapabilitas untuk melihat tujuan pencapain suatu proses. 2) Performance Management, pengukuran tingkat kapabilitas untuk melihat kinerja pengelolaan proses. 3) Work Product Management, pengukuran tingkat kapabilitas untuk memastikan pengelolaan produk yang dihasilkan. 4) Process Definition, pengukuran tingkat kapabilitas untuk memastikan pemeliharaan standar proses/proses baku dalam rangka mendukung pengembangan proses yang terdefinisi. 5) Process Deployment, pengukuran tingkat kapabilitas untuk memastikan efektifitas penggunaan standar proses/proses baku sebagai proses terdefinisi dalam mencapai hasil. 6) Process Measurement, pengukuran tingkat kapabilitas untuk melihat hasil dari kepastian kinerja suatu proses yang mendorong pencapaian dari tujuan proses tersebut dan tujuan organisasi. Bentuk pengukuran dapat berupa pengukuran dalam proses, pengukuran produk ataupun keduanya proses dan produk. 7) Process Control, pengukuran tingkat kapabilitas kuantitatif terhadap proses untuk melihat stabilitas hasil proses dan prediksi dari hasil proses tersebut. 8) Process Innovation, pengukuran tingkat kapabilitas untuk melihat pengidentifikasian adanya perubahan proses dari hasil analisis penyebab yang umum, variasi kinerja serta inovasi. 9) Process Optimization, pengukuran tingkat kapabilitas proses untuk melihat adanya pendefinisian yang berubah, pengelolaan dan kinerja suatu proses yang menghasilkan efektifitas pencapaian tujuan dalam memperbaiki proses.

(8)

8

Level 0 merefleksikan proses yang tidak dapat diimplementasikan atau gagal dalam pencapaian tujuan dari suatu proses.

Penilaian tingkat kapabilitas yang dilakukan terdiri dari 2 (dua) indikator, yaitu a) Indikator level kapabilitas 1 (satu), yaitu indikator yang mempunyai sifat khusus dari suatu proses dan memberi nilai apakah pengimplementasian dari atribut proses tersebut dapat menghasilkan tujuan dari suatu proses berdasarkan perolehan out come dari suatu proses. b) Indikator level kapabilitas 2 (dua), yaitu indikator yang digunakan untuk menilai tingkat kapabilitas sesuai dengan indikator performa yang sifatnya generik. Kedua jenis indikator ini bersifat umum bagi seluruh proses, tapi berbeda untuk masing-masing level kapabilitas.

Pengukuran kapabilitas dengan COBIT 5 bukan ditujukan sebagai pengukuran dalam level tata kelola TI dengan sangat akurat, namun untuk memberikan penjelasam tentang keadaan yang terkait dengan level kapabilitas yang ingin dicapai (ITGI 2007). Kerangka kerja ini cocok pada saat pihak manajemen bermaksud untuk memastikan kesesuaian antara keadaan pengembangan TI yang ada dengan harapan dalam melaksankan proses bisnis. Kapabilitas yang baik tergantung tujuan dari bisnis perusahaan itu sendiri, lingkungan dalam operasional serta praktik industri. Intinya, level kapabilitas manajemen berdasarkan pada kepentingan suatu perusahaan terhadap teknologi informasi, kehebatan teknologi serta value suatu informasi yang ada di perusahaan (ITGI, 2007).

Manajemen dituntut melayani konsumen dengan maksimal, sehingga delivery dari informasi perusahaan dapat berjalan dengan baik (Wella, 2016). Di samping itu, manajemen dituntut untuk mampu mengembangkan daya saing sehingga bisa menggapai pangsa pasar yang saat ini semakin meluas. Dalam hal ini, DSS (delivery, service and support) sangat dibutuhkan untuk mendukung manajemen dalam memberikan pelayanan terbaik sehingga memberikan value bagi perusahaan. Domain DSS menjadi salah satu dari 5 (lima) domain kerangka COBIT 5 dalam Management of Enterprise IT. Fokus dari DSS ini lebih kepada pengiriman, pelayanan, serta support teknologi informasi yang kemudian diserahkan bagi efektifitas dan efisensi sistem informasi dalam perusahaan.

3. Metode Penelitian

3.1. Pemilihan dan Pengumpulan Data

Penelitian ini merupakan penelitian kualitatif dengan menggunakan studi kasus di PT Link Net, Tbk. Data yang digunakan adalah data yang berjenis primer dan sekunder. Pengumpulkan data secara primer diperoleh dengan melakukan survey kepada responden. Responden yang dituju telah disesuaikan dengan permasalahan dan tujuan penelitian. Untuk data sekunder penelitian ini mengumpulkan berbagai laporan/informasi yang dipublikasikan secara internal oleh perusahaan sendiri maupun oleh pihak lain yang dapat dipastikan kebenarannya yaitu berupa company profile, standar dan prosedur serta kebijakan perusahaan.

Data primer yang terkumpul selain berasal dari jawaban kuesioner juga dari hasil wawancara dan observasi pada Divisi TI PT Link Net Tbk. Penyusunan kuesioner didasarkan pada model PAM

(9)

9

kerangka COBIT 5 yang relevan dengan permasalahan dan disusun dengan bentuk skoring. Hal ini bertujuan untuk mengetahui kondisi pengelolaan TI lebih spesifik yang digunakan sebagai dasar dalam menentukan tingkat kapabilitas tata kelola TI. Wawancara ditujukan kepada pihak terkait dalam pengelolaan TI. Sebagai narasumber adalah staf dan Kepala Divisi TI. Untuk perolehan data dengan cara observasi penelitian ini melihat praktik penerapan dan penggunaan teknologi informasi dengan langsung. Cara ini dapat memberikan data yang akurat serta dapat dipertanggungjawabkan.

3.2. Metode Analisis Data

Untuk melakukan analisis pada penelitian ini menggunakan proses sebagaimana yang diarahkan COBIT 5 dalam penentuan tingkat kapabilitas domain DSS. Dengan metode ini setiap indikator pada domain DSS diukur level kapabilitasnya. Dasar pengukuran adakah hasil kuesioner. Penentuan level Setiap item ditentukan levelnya berdasarkan nilai modus (nilai yang paling sering muncul) untuk masing-masing setiap aktifitas. Nilai modus tersebut telah dipersentasekan ( % ) dengan membagi jumlah frekuensi yang dipilih dengan jumlah total responden.

𝐿𝑒𝑣𝑒𝑙 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠 𝐼𝑡𝑒𝑚 = 𝑃𝑒𝑟𝑠𝑒𝑛𝑡𝑎𝑠𝑒 𝑚𝑜𝑑𝑢𝑠 𝐹𝑟𝑒𝑘𝑢𝑒𝑛𝑠𝑖 𝑑𝑖𝑝𝑖𝑙𝑖ℎ 𝑇𝑜𝑡𝑎𝑙 𝑟𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛

Mencari nilai rata-rata dari level kapabilitas yang dihasilkan dengan rumus: 𝑅𝑎𝑡𝑎 − 𝑟𝑎𝑡𝑎 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠 = 𝑇𝑜𝑡𝑎𝑙 𝐼𝑡𝑒𝑚 𝐿𝑒𝑣𝑒𝑙 𝐾𝑎𝑝𝑎𝑏𝑖𝑙𝑖𝑡𝑎𝑠

𝐽𝑢𝑚𝑙𝑎ℎ 𝐼𝑡𝑒𝑚

Kemudian menentukan pembulatan tingkat kapabilitas dari setiap domain DSS. Langkah pembulatan ini dilakukan dengan model PAM kerangka COBIT yang digunakan untuk menentukan kapabilitas proses. Proses yang telah mencapai tingkat kapabilitas artinya telah memenuhi semua atribut sebelum tingkat kapabilitas secara fully achieved, serta telah memenuhi seluruh atribut ditingkat kapabilitas secara largely dengan nilai >50% hingga 85%, atau fully achieved denegan nilai >85%. Untuk penelitian ini memilih fully achieved yaitu level yang terpenuhi berada dalam nilai >85% karena mempunyai tingkat akurasi yang baik dalam melakukan penilaian atau penggambaran kondisi yang terjadi.

a. Skala Penilaian Kapabilitas Proses

Proses pengukuran tingkat kapabilitas dengan COBIT 5 yang digunakan penelitian ini mengacu pada ISO/IEC 15504 yaitu menggunakan model Process Assessment Model (PAM). Skala penilaian tingkat kapabililtas proses dengan PAM adalah sebagai berikut:

Tabel 1. Skala Penilaian Kapabilitas Proses

Singkatan Persentase Pencapaian Deskripsi

N 0-15% achievement

Not achieved, tidak menemukan bukti atau ditemukan hanya sedikit bukti

(10)

10

Singkatan Persentase Pencapaian Deskripsi

dalam pencapaian atribut tertentu untuk proses yang dinilai.

P >15% - 50% achievement

Partially Achieved, ditemukan

beberapa bukti dari atribut tertentu dalam penilaian suatu proses. Terdapat aspek-aspek dalam pencapaian atribut tersebut yang sulit untuk diprediksi.

L >50% - 85% achievement

Largely Achieved, terdapat bukti melalui pendekatan yang sistematis serta dapat mencapai hasil signifikan atas suatu atribut tertentu untuk proses yang akan dinilai. Adanya kelemahan dari atribut tersebut pada saat dilakukan penilaian proses.

F >85% - 100% achievement

Fully achieved, memliki bukti yang lengkap, pendekatan sistematis, serta pencapaian hasil yang signifikan terhadap suatu atribut dari penilaian suatu proses. Pada atribut suatu proses yang sedang dinilai tak ada temuan untuk kelemahan yang signifikan. Sumber: ISACA (2012)

b. Penentuan Tingkat Kapabilitas Proses

Suatu proses pada dasarnya hanya cukup meraih Largely achieved (L) atau Fully achieved (F) (ISACA, 2012). Hal ini dimaksudkan dalam rangka menyatakan bahwa suatu proses telah mencapai suatu tingkat kapabilitas. Tapi proses yang dimaksudkan wajib mencapai Fully achieved (F) untuk meneruskan dalam menilai tingkat kapabilitas yang lain. Sebagai ilustrasi, apabila terdapat proses yang mencapai tingkat kapabilitas 3 (tiga), untuk level 1 (satu) dan 2 (dua) dari proses yang dimaksudkan dapat meraih Fully achieved (F). Untuk tingkat kapabalitas 3 (tiga) dapat meraih Largely achieved (L) atau Fully achieved (F). Proses pemeringkatan kapabilitas proses berdasarkan COBIT 5 sebagai berikut:

Tabel 2. Pemeringkatan Kapabilitas Proses COBIT

Capability Level Process Attribute 1 2 3 4 5

Level 5 : Optimizing PA 5.1 & 5.2 L/F

Level 4: Predictable PA 4.1 & 4.2 L/F F

(11)

11

Level 2: Managed PA 2.1 & 2.2 L/F F F F

Level 1: Performed PA 1.1 L/F F F F F

Sumber: ISACA (2012)

c. Tahap penilaian/pengukuran tingkat kapabilitas

Penilian ini menggunakan tahapan penilaian tingkat kapabilitas sebagai berikut: Pertama, melakukan penentuan dalam menilai suatu proses. Untuk memilih proses dilakukan melalui dua proses, terdiri dari Top Down atau Bottom Up. Proses Top Down dimulai dari bisnis goals suatu organisasi. Proses Bottom Up dimulai adanya permasalahan organisasi saat ini. Kedua, melakukan penetapan untuk proses terpilih dalam mencapai level kapabilitas 1 (satu). Indikator level kapabilitas 1 (satu) sifatnya spesifik, dan setiap proses berbeda. Penilaian tersebut diberikan karena meraih hasil atas proses atribut level kapabilitas 1. Ketiga, penentuan pemilihan proses apakah telah meraih level kapabilitas 2 sampai 5. Karakteristik dalam penilaian level kapabilitas 2 – 5 ini sifatnya generik bagi seluruh proses, namun demikian berbeda untuk setiap level kapabilitas. Keempat, melakukan pencatatan dan pembuatan ringkasan level kapabilitas terhadap semua proses penilaian. Kelima, melakukan perencanaan dalam perbaikan suatu proses.

4. Hasil dan Diskusi

Setelah melakukan rekapitulasi data berdasarkan tingkat kapabilitas yang telah disesuaikan dengan skala penilaian, maka selanjutnya mengidentifikasikan rekomendasi yang diberikan sesuai dengan kebutuhan. Pada penelitian ini tahap yang dilakukan didasarkan pada 1) Kondisi Existing, yaitu kondisi yang menggambarkan keadaan tata kelola TI. Kondisi existing diperoleh berdasarkan pengumpulan bukti dengan mewawancarai pihak yang berkepentingan dan relevan. 2) Analisis gap, yaitu menganalisis perbedaan tingkat kapabilitas dengan target perusahaan. Tingkat kapabilitas diperoleh dengan mengolah hasil kuesioner dan tingkat target yang diperoleh dari hasil wawancara pada Divisi TI PT Link Net, Tbk.

4.1. Hasil Uji Validitas Kuesioner Domain DSS

Uji validitas dilakukan dilakukan per sub bab dari domain DSS setelah direkapitulasi. Hasil yang diperoleh dalam uji validitas ini adalah sebagai berikut:

Tabel 3. Hasil Uji Validitas Kuesioner Domain DSS pada PT Link Net, Tbk Pernyataan Corrected Item Total

Correlation r tabel Keterangan DSS01 0.726 0.625 Valid DSS02 0.931 0.625 Valid DSS03 0.867 0.625 Valid DSS04 0.943 0.625 Valid DSS05 0.840 0.625 Valid

(12)

12

DSS06 0.726 0.625 Valid

Sumber: Data diolah (2021)

Tabel 3 menunjukkan nilai Corrected Item Total Correlation dengan hasil DSS01 – DSS06 > r. Hasil ini menunjukkan bahwa penelitian ini telah menggunakan data yang valid.

4.2. Hasil Uji Realibilitas Kuesioner Domain DSS

Uji reliabilitas yang dilakukan dengan cara membandingkan hasil perhitungan cronbach alpha dengan nilai croncbach alpha yaitu minimal 0.60. Hasil uji reliabilitas yang adalah:

Tabel 4. Hasil Uji Reabilitas Kuesioner Domain DSS pada PT Link Net, Tbk

Croncbach’s alpha N of Items

0.920 6

Tabel 4 terlihat nilai Croncbach’s alpha > 0.60 hal ini menunjukkan data yang digunakan reliabel. Untuk menetapkan kondisi level pada aktifitas yang ada di form kerja audit, selanjutnya berdasarkan form dari hasil kuesioner dilakukan suatu analisis dan menentukan level. Penetapan level setiap aktivitas melalui pemilihan nilai modus (nilai yang paling banyak muncul) untuk setiap aktifitas. Nilai modus tersebut telah dipersentasekan ( % ) dengan membagi jumlah frekuensi yang dipilih dengan jumlah total responden. Jumlah responden pada penelitian sebesar 12 responden.

4.3. Hasil Analisis Domain DSS01

Berikut adalah hasil analisis pada domain DSS01 tentang Mengelola Operasi: Tabel 5. Hasil analisis DSS01 PT Link Net, Tbk

Proses

TI Aktivitas

Frekuensi Pilihan Level yang dipilih 0 1 2 3 4 5 DSS01 DSS01-01 0% 0% 0% 17% 66% 17% 4 DSS01-02 0% 8% 8% 58% 17% 8% 3 DSS01-03 0% 0% 0% 42% 58% 0% 4 DSS01-04 0% 0% 0% 8% 75% 17% 4 DSS01-05 0% 0% 8% 0% 84% 8% 4 Rata-rata 3.8

Tabel 5 menunjukkan level kapabilitas yang diperoleh pada DSS01 tentang Mengelola Operasi. Tabel tersebut menunjukan bahwa hampir semua sub proses DSS01 berada pada level 4 (predictabel process) yaitu DSS01-01 tentang Menjalankan Prosedur Operasional, DSS01-03 tentang Memonitor Infrastruktur TI, DSS01-04 tentang Mengelola Lingkungan, dan DSS01-05 tentang Mengelola Fasilitas, meskipun pada DSS01-04 terdapat 8% yang memilih level 2. Ini artinya proses DSS dilakukan dalam bentuk aktivitas, kebijakan dan aturan terdokumentasi, serta menghasilkan layanan/informasi optimal

(13)

13

yang telah dimonitor dan dianalisis. Hanya DSS01-02 tentang Mengelola Layanan Outsourse TI yang berada pada level 3 (Established Process).

Selain itu masih terdapat 8% yang memilih level 1 dan 8% memilih level 2. Artinya, proses DSS dilakukan, aktivitas, kebijakan dan aturan terdokumentas serta menghasilkan layanan informasi optimal. Namun demikian perlu adanya pemaparan dan penyampaian informasi kepada semua staff yang ada di Divisi TI mengenai kebijakan yang relevavn dengan indikator DSS01-02 itu sendiri. Berdasarkan semua sub proses yang ada pada DSS01 tentang Mengelola Operasi, maka diketahui tingkat kapabilitas tertinggi berada pada proses DSS01-05 tentang Mengelola Fasilitas dengan persentase 84%.

4.4. Rekapitulasi Nilai Proses Domain DSS

Setelah melakukan analisis hasil DSS maka diperolah hasil dari nilai setiap aktifitas pada domain DSS, dan dimasukkan kedalam form/kertas kerja audit. Langkah berikutnya menghitung rerata nilai untuk setiap proses dalam rangka mengetahui kondisi setiap proses yang dilakukan. Hal ini dilakukan dengan menghitung semua level yang terpilih, kemudian dibagi dengan sejumlah item dari pertanyaan setiap domain. Rekapitulasi dari nilai suatu proses domain DSS adalah:

Tabel 6. Rekapitulasi Capability Level PT Link Net, Tbk

Proses Domain Level rata-rata Pembulatan level

DSS01 – Mengelola Operasi 3,8 3

DSS02 – Mengelola Permintaan Layanan dan Insiden 3,72 3

DSS03 – Mengelola Masalah 3,6 3

DSS04 – Mengelola Keberlanjutan 4 4

DSS05 – Mengelola Keamanan Layanan 4 4

DSS06 – Mengelola Kontrol Proses Bisnis 3,83 3

Berdasarkan tingkat kapabilitas yang diperoleh maka menentukan pembulatan agar memudahkan dalam menetapkan kondisi yang terkini sesuai dengan kriteria tingkat kapabilitas yang telah ditetapkan. Untuk melakukan pembulatan ini digunakan langkah penentuan proses kapabilitas tertentu, yaitu proses yang meraih tingkat kapabilitas apabila seluruh atribut sebelum tingkat kapabilitas telah memenuhi fully achieved, dan seluruh atribut ditingkat kapabilitas memenuhi largely sebesar >50% hingga 85%) atau fully achieved sebesar >85%. Penelitian ini menetapkan pilihan yang memenuhi fully achieved atau level yang memenuhi nilai sebesar >85% yang dianggap akurat dalam menilai dan menggambarkan kondisi existing.

(14)

14

Pada saat menentukan kondisi yang diperoleh telah menunjukkan hasil yang valid, maka proses audit TI selanjutnya yaitu mengumpulan bukti berdasarkan ketetapan kerangka COBIT 5 khususnya untuk domain DSS. Hasil perolehan bukti ini kemudian diperiksa kesesuaiannya dengan kondisi existing yang diperoleh dan digunakan sebagai alat ukur tersendiri. Berikut adalah hasil pengumpulan bukti yang diperoleh:

Tabel 7. Pengumpulan Bukti DSS01 PT Link Net, Tbk

DSS01 Mengelola Operasi

Sub Proses Output/bukti Keterangan

DSS 01.01 Menjalankan Prosedur Operasional

Dokumen jadwal operasional dan Dokumen SOP

Dilakukan selama jam kerja kantor

DSS 01.02 Mengelola Layanan Outsourse TI

Dokumen transaksi dengan vendor dan Outsourse serta Konsultan

Melakukan kerjasama dengan vendor, Outsourse dan Konsultan dalam mengelola Outsourse TI DSS 01.03 Memonitor

Infrastruktur TI

dokumen pengawasan aset serta daftar aset secara lengkap

Menggunakan aplikasi IT Helpdesk ( Manage Engine ServiceDesk Plus)

DSS 01.04 Mengelola Lingkungan

Dokumen mengenai aturan

lingkungan kerja, standar, pelatihan dan testing peringatan

perangkat mengikuti standar yang ditetapkan

DSS 01.05 Menglelola Fasilitas

berupa dokumen pengelolaan fasilitas, IT Helpdesk dan support

Keamanan perangkat sudah diatur dalam SOP dan supporting dilakukan secara berkala

Berdasarkan pengumpulan bukti pada tabel 7, maka kondisi existing dari DSS0 adalah 1) Rekap aktivitas dilakukan dengan baik selama jam kantor dan telah sesuai SOP, 2) Melakukan kerjasama dengan vendor, outsourse dan konsultan untuk mengelola outsourse TI, 3) Monitoring atau pengawasan terhadap aset dan insiden menggunakan IT Helpdesk (Manage Engine ServiceDesk Plus), 4) Pengelolaan lingkungan kerja IT, standar, pelatihan dan testing peringatan bersadarkan SOP dengan menggunakan standar yang ditetapkan, 5) Fasilitas TI dikelola dengan baik sesuai dengan yang tetulis dalam SOP dan dilakukan secara berkala.

4.6. Analisis GAP DSS01

Pencarian selisih level kapabilitas yang diperoleh dengan pencapaian level target sesuai dengan Analisis Gap. Penentuan level target ditentukan oleh satu di atas level yang telah dilakukan pembulatan berdasarkan bukti yang didapat, dan kondisi existing sub domain saat ini. Contoh untuk DSS01 diperoleh level setelah pembulatan sebesar 4, maka target level untuk DSS01 adalah 5.

(15)

15 Tabel 8. Analisis Gap DSS01 PT Link Net, Tbk

Nama Proses Level Existing Level Target Gap

DSS01 Mengelola Operasi 3 4 1

Untuk menuju ke level 4 maka yang harus dilakukan adalah melakukan pembenahan pada DSS01-02 tentang Mengelola Layanan Outsourse TI dan DSS01-05 tentang Mengelola Fasilitas. Langkah yang dilakukan adalah memberikan pemahaman dan pengetahuan yang baik kepada staff TI mengenai kebijakan pada proses DSS, dan menetapkan ukuran layanan atau informasi yang ingin dihasilkan. Selain itu memastikan bahwa ukuran layanan tersebut dapat tercapai, kemudian memantau dan menganalisisnya.

4.7. Rekomendasi untuk DSS01

Berdasarkan hasil analisis gap yang diperoleh berdasarkan target pencapaian level pada DSS01, maka rekomendasi yang diberikan adalah sebagai berikut:

Pada DSS 01-01 tentang Menjalankan Prosedur Operasional dan DSS 01-04 tentang Mengelola Lingkungan Kerja maka rekomendasi yang diberikan adalah 1) Perlu diadakannya jadwal piket dan pengawasan terhadapnya untuk meningkatkan efektivitas waktu kerja karyawan, 2) Pentingnya kesadaran dan pemahaman pengelolaan lingkungan kepada para staff TI dengan memberikan himbauan melalui gambar dan tulisan-tulisan disudut ruangan.

Kemudian untuk DSS 01-03 tentang Memonitor Infrastruktur TI maka rekomendasi yang diberikan adalah perlu dilakukan pengawasan terhadap kondisi ruangan selama 24 jam dengan memanfaatkan kamera CCTV. Hal ini dikarenakan ruangan tersebut belum memanfaatkan alat monitoring yang berfungsi sebagai alat untuk memonitoring dan mengawasi setiap sudut yang ada diruangan tersebut.

Selanjutnya untuk DSS 01-05 tentang Mengelola Fasilitas rekomendasi yang diberikan adalah perlu adanya pemahaman bagi staff TI untuk bisa mengelola dan menjaga fasilitas dengan baik dan sesuai prosedur, untuk itu perlu diadakannya pelatihan bagi para staff.

Solusi untk DSS01adalah memberikan pelatihan kepada staff agar lebih memahami dan mampu mengelola prosedur operasional, layanan outsourse TI, Infrastruktur TI, Lingkungan dan Fasilitas TI yang ada.

Berdasarkan perolehan hasil dari analisis gap sesuai dengan pencapaian target level yang diharapkan pada indikator DSS02, penelitian ini memberi rekomendasi sebagai berikut:

Untuk DSS02-02 tentang Mengklasifikasikan dan memproriataskan permintaan dan insiden rekomendasi yang diberikan adalah diupayakan untuk menetapkan tingkatan insiden terutama terkait dengan insiden yang besar dan insiden untuk keamanan yang dapat terjadi dan prioritas.

(16)

16

Kemudian untuk DSS02-04 tentang Mendiagnosis dan Mengalokasi Insiden rekomendasi yang diberikan adalah 1) Mencari lebih detail kemungkinan penyebab-penyebab insiden terjadi supaya bisa ditangani dengan segera, 2) Perlu adanya tenaga ahli untuk penanganan masalah yang mendalam yang tidak bisa diselesaikan oleh teknisi TI.

Selanjutnya untuk DSS02-05 tentang Menyelesaikan dan Memulihkan Insiden rekomendasi yang diberikan adalah mencatat dan mendokumentasikan setiap penyelesaian masalah supaya bisa dipakai di kemudian hari dan mencari alternatif penyelesaian insiden yang lain.

Solusi untuk DSS02 adalah segera mungkin melakukan skala prioritas terhadap layanan yang diterima dan Insiden yang terjadi.

Hasil dari analisis gap yang diperoleh melalui pencapaian target level pada DSS03, maka beberapa rekomendasi dari penelitian ini dapat dilihat sebagai berikut:

Pada DSS03-01 yaitu tentang Mengidentifikasi dan Mengklasifikasikan Masalah, DSS03-02 mengenai Menginvestigasi dan Mendiagnosis Masalah, kemudian DSS03-04 tentang Menyelesaikan dan Menutup masalah, dan DSS03-05 tentang Menjalankan Manajemen Masalah secara Proaktif, rekomendasi yang diberikan adalah 1) Perlu adanya grup support untuk membantu mengidentifikasi masalah sampai kepada akar masalahnya, 2) Berkonsultasi dengan pihak manajemen untuk prioritas masalah yang dilakukan penanganan, 3) Perlu adanya untuk membuat laporan progress terhadap masalah yang sedang dalam penanganan, 4) Pentingnya komunikasi yang baik kepada service desk untuk masalah-masalah yang telah diselesaikan, 5)Terus melakukan monitoring terhadap dampak dari masalah yang pernah terjadi dan yang masih berlangsung, 6) Mengadakan sharing ke unit lain untuk penanganan yang sedang dihadapi, 7) Melakukan monitoring atas total cost dari penanganan setiap masalah, dan 8) Mencari dan menentukan permanen fix akar permasalahan yang telah dianalisis.

Solusi yang diberikan untuk DSS03 adalah mencari tenaga ahli yang bisa menyelesaikan permasalahan yang terjadi dalam IT.

Sesuai dengan analisis gap yang diperlohan berdasarkan hasil pencapaian target level pada domain DSS04 ini, berikut ini beberapa rekomendasi yang diberikan:

Pada DSS04-02 tentang Memelihara Strategi Keberlanjutan rekomendasi yang diberikan adalah menilai dan menganalisis kondisi yang menjadi ancaman yang kemungkinan menyebabkan kehilangan keberlangsungan bisnis.

Kemudian untuk domain DSS04-04 tentang Latihan, Tes dan Review Dokumen Business Continuity Plan dan pada DSS04-06 tentang Mengadakan Training untuk Continuity Plan rekomendasi yang diberikan adalah 1) Membuat jadwal pelatihan dan pengujian continuity plan 2) Membuat rekomendasi untuk mengembangkan business continuity plan sesuai hasil pengujian dan review.

(17)

17

Solusi yang dapat diberikan untuk DSS04 adalah melakukan analisis pasar dan perencanaan yang matang untuk menjaga keberlangsungan bisnis. Hal ini dimaksudkan agar dapat memberikan hasil yang tepat sesuai dengan rencana dan tujuan perusahaan.

Sesuai hasil analisis gap dari perolehan target Level yang ingin diraih pada domain DSS05, beberapa rekomendasi yang dapat diberikan adalah:

Untuk DSS05-05 tentang Mengelola Akses Fisik ke Aset TI maka rekomendasi yang diberikan adalah 1) Menghimbau dan memastikan bahwa setiap staff selalu menggunakan tanda pengenal yang terlihat dalam melakukan tugas kantor, 2) Menemani pengunjung (jika ada yang berkunjung) yang masuk ke IT aset dan TI site dan tidak ditingal sendiri.

Solusi yang dapat diberikan untuk DSS05 ini adalah melakukan pengawasan terhadap integritas data dari malware. Hal ini dimaksudkan dalam rangka pencegahan kecurangan yang bersumber dari internal maupun dari eksternal perusahaann.

Sesuai hasil perolehan analisis hap dengan target level yang ingin diraih pada DSS06, peneliti memberikan rekomendasi sebagai berikut:

Pada indikator DSS06-03 tentang Mengatur Peran, Tanggungjawab, Hak Akses dan Level otoritas rekomendasinya adalah memnyusun dan menetapkan kebijakan untuk menentukan peran yang berwenang dalam memasukkan dan menjalankan aktivitas atau data yang sensitif, dan dijelaskan dengan rinci serta didokumentasikan.

Kemudian untuk DSS06-05 tentang Memastikan bahwa Informasi dari Event dapat Ditelusuri dan Pertanggungjawabannya maka rekomendasi yang diberikan adalah mencatat dan mengumpukan semua informasi, bukti-bukti dan rekaman transaksi dari sebuah event agar jelas siapa yang bertanggungjawab atas event yang telah diselesaikan.

Sedangkan untuk DSS06-06 tentang Mengamankan Aset-aset Informasi rekomendasi yang diberikan adalah 1) Melakukan monitoring dan memberikan evaluasi prosedur untuk keamanan dalam melindungi aset informasinya, 2) Mengidentifikasi setiap bentuk data yang sifatnya rahasia dan menyusun prosedur penyimpanan (save) serta penghapusan (delete) yang tepat, 3) Melakukan pengarsipan data, misalnya sumber suatu data/informasi, hasil pencatatan dari transaksi yang digunakan sebagai bukti dari pengukuran serta penilaian berjalannya proses dari suatu bisnis, serta dijadikan sebagai suatu rekomendasi.

Solusi yang dapat diberikan untuk DSS06 adalah menempatkan manajemen untuk melakukan pengelolaan terhadap proses bisnis.

(18)

18

Berikut ini beberapa tambahan rekomendasi secara umum berdasarkan kondisi existing pada bagian TI PT Link Net, Tbk. Tingkat kapabilitas yang diperoleh dari keseluruhan adalah Level 3 yaitu Established Process. Untuk target level yang ingin dicapai adalah 4 (empat) Predictable Process dan rekomendasi yang diberikan adalah 1) Berdasarkan hasil analisis, domain yang masih tertinggal dari domain lainnya adalah DSS03 tentang Mengelola Masalah. Oleh karenanya perlu dilaksanakan terlebih dahulu rekomendasi yang telah diberikan dalam rangka mengembangkan performa untuk keberlangsungan suatu proses bisnis, 2) Dilakukan peningkatan serta menjaga konsistensi dalam mengendalikan dan memberi evaluasi terhadap pencapaian proses bisnis secara weekly meeting, 3) Memperketat monitoring atas proses yang sedang berjalan dalam rangka mempertahankan dari proses yang telah berjalan agar menjadi lebih baik lagi.

5. Kesimpulan, Implikasi, dan Keterbatasan Penelitian

5.1. Kesimpulan

Berdasarkan analisis pengumpulan bukti dan analisis kondisi existing, diketahui bahwa kinerja teknologi informasi PT Link Net, Tbk telah dikelola dengan baik. Dapat dibuktikan dari kerangka kerja COBIT 5 dengan level kematangan yang diperoleh dari tiap domain.

Hasil penelitian dan pengelolaan teknologi informasi dengan model kapabilitas diketahui bahwa teknologi informasi PT Link Net, Tbk berada pada level kematangan tiga (Established Process) dengan rata-rata nilai 3.83. Ini menunjukan bahwa manajemen dapat memonitor masing-masing control objektif, dan mampu mengukur keefektifan pengelolaan teknologi informasi berdasarkan hasil pemantauannya.

5.2. Implikasi

Penelitian ini memberi implikasi pada perusahaan dalam menjaga integritas informasi ketika dilakukan monitoring terhadap perkembangan teknologi yang baru dan memperbaharui sistem secara kontinyu dan konsisten.

5.3. Keterbatasan Penelitian

Keterbatasan penelitian ini adalah dalam melakukan penilaian kinerja audit dengan memanfaatkan tata kelola TI kerangka COBIT 5 hanya satu domain, yaitu DSS, sehingga rekomendasi tata kelola IT yang diberikan kurang lengkap. Penelitian selanjutnya sebaiknya 1) Memperbanyak bukti terkait dengan domain DSS untuk mendapatkan rekomendasi yang lebih dalam, 2) Menggunakan seluruh domain COBIT yang direkomendasikan ITGI dan ISACA, sehingga hasilnya lebih lengkap. 3) Memperbanyak sampel penelitian yang lebih variatif sehingga dapat dibandingkan dengan hasil penelitian ini dan penelitian sebelumnya.

(19)

19 Daftar Pustaka

Al-Rasyid, Achyar. 2015. Audit Sistem Informasi Berbasis COBIT 5 pada Domain Delivery, Service and Support (DSS) Study Kasus: SIM-BL di Unit CDC PT Telkom Pusat, Tbk. E-Proceeding of Enginering 2(2) :6110-6123.

Arens, Alvin. A, Randal J. Elder, Mark S. Beasley. 2018. Audit dan Jasa Assurance. Jakarta: Salemba Empat. Candra, R Kurnia. Atastina, Imelda. Firdaus, Yanuar. 2015. Audit Teknologi Informasi menggunakan Framework

COBIT 5 pada Domain DSS (Delivery, Service and Support) Study kasus: iGracias Telkom University. E-Proceeding of Engineering 2 (1): 11-29.

ISACA. 2012. COBIT 5 – Self Assesment Guide: Using COBIT 5. Retrieved from https://www.isaca.org/2021/08/01.

ISACA. 2012. COBIT 5 – Implemetation COBIT 5. Retrieved from https://www.isaca.org/2021/08/01.

ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprice IT. USA: ISACA. Retrieved from https://www.isaca.org/2021/08/051.

ISACA. (2020). COBIT 5: A Business Framework for Governance & Management IT, Retrieved from https://www.isaca.org/2021/08/01.

ISACA. (2020). COBIT 5: Enabling Processes. Retrieved from https://www.isaca.org/2021/08/01.

IT Governance Institute. 2007. COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity Models, IT Governance Institute. Retrieved from https://www.isaca.org/2021/08/01.

Maskur, Djunaedi, Achmad, Adhipta, Dani, & Sumirah. 2016. Perancangan Tata Kelola TI Dengan Menggunakan Framework Cobit 5 (Studi Kasus: Pemerintah Kab. Jeneponto). Jurnal Teknologi Informasi dan Komputer 1 (1)

Mutia, Noor dan Renny Nurainy. 2020. IT Governance: Measuring Capability Level Using COBIT 5 Framework. Jurnal Ilmiah Ekonomi Bisnis 25 (2): 97-110 https://doi.org/10.35760/eb.2020.v25i2.209

Romney, Marshal B. & Steinbart, Paul Jhon. 2015. Sistem Informasi Akuntansi. Jakarta: Gramedia Pustaka Utama Tristiadi, Brian. 2015. Pengukuran Tingkat Kapabilitas Tata Kelola Teknologi Informasi dengan Menggunakan Assesment Tools COBIT 5 (Studi Kasus pada Perpustakaan Nasional Republik Indonesia). Tesis (Tidak dipublikasikan). Universitas Indonesia, Jakarta.

Wella. 2016. Audit Sistem Informasi menggunakan COBIT 5 Domain DSS pada PT Erajaya Swasembada, Tbk.ULTIMA Infosys, 7 (1), 38-44. https://doi.org/10.31937/si.v7i1.511

Wijaya, Agustinus Fritz & Andani, Anneke Tri. 2017. Evaluasi Kinerja SI E-Filling menggunakan COBIT 5 pada Kantor Pelayanan Pajak Pratama kota Salatiga. JUTEI 1 (1): 61-69. https://doi.org/10.21460/jutei.2017.11.9