• Tidak ada hasil yang ditemukan

TA : Audit Teknologi Informasi Berbasis Risiko Menggunakan Cobit 4.1 pada Rumah Sakit Universitas Airlangga (RSUA)

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "TA : Audit Teknologi Informasi Berbasis Risiko Menggunakan Cobit 4.1 pada Rumah Sakit Universitas Airlangga (RSUA)"

Copied!
143
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 143 Halaman )

Teks penuh

(1)AUDIT TEKNOLOGI INFORMASI BERBASIS RISIKO MENGGUNAKAN COBIT 4.1 PADA RUMAH SAKIT UNIVERSITAS AIRLANGGA (RSUA). LAPORAN TUGAS AKHIR. Program Studi S1 Sistem Informasi. Oleh : MUHAMMAD UBAIDILLAH SRIYUDI 12.41010.0238. FAKULTAS TEKNOLOGI DAN INFORMATIKA INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2018.

(2) AUDIT TEKNOLOGI INFORMASI BERBASIS RISIKO MENGGUNAKAN COBIT 4.1 PADA RUMAH SAKIT UNIVERISITAS AIRLANGGA (RSUA). TUGAS AKHIR Diajukan sebagai salah satu syarat untuk menyelesaikan Program Sarjana. Oleh :. Nama. : Muhammad Ubaidillah Sriyudi. NIM. : 12.41010.0238. Program. : S1 (Strata Satu). Jurusan. : Sistem Informasi. FAKULTAS TEKNOLOGI DAN INFORMATIKA INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2018.

(3)

(4)

(5) Wahai Muhammad, hiduplah sesukamu karna sungguh engkau akan meninggal, cintailah siapapun yang engkau sukai, karena sungguh engkau akan berpisah dengannya, beramallah sesukamu karena engkau pasti mendapat imbalannya. - Jibril ‘alaihissalam -.

(6) Aku Persembahkan karya sederhana ini untuk Ibu, Kakak, Adik dan Ayah ku yang telah mendahului, saat karya ini sedang di tulis, Semoga kebaikan buku ini mengalir untukmu selamanya, Sebagai sebuah bentuk doa ku untuk mu disana. ... Serta kupersembahkan untuk semua orang yang memanfaatkan buku ini...

(7) ABSTRAK. Rumah Sakit Universitas Airlangga (RSUA) merupakan salah satu Rumah Sakit di Surabaya, dengan salah satu Visinya yaitu menjadi Rumah Sakit Pendidikan terkemuka di tingkat Nasional dan Internasional dalam pemberian pelayanan paripurna, pendidikan dan penelitian di bidang kesehatan. Dalam meningkatkan ke tahap Nasional maupun Internasional tentu aspek TI tidak dapat diabaikan, dan justru menjadi pendukung penting di era teknologi saat ini. Sistem/Teknologi Informasi pada RSUA belum pernah dilakukan Audit TI, serta masalah yang mendukung perlunya Audit TI adalah penggunaan TI yang berjalan sampai saat ini belum sepenuhnya dapat mendukung Visi RSUA di atas tersebut. Solusi TI yang dilakukan adalah melaksanakan Audit TI berbasis Risiko dengan Customers Perspective Balanced Scorecard berdasarkan CobiT 4.1, dimana Customer Perspective tersebut diturunkan menjadi enam Tujuan Bisnis, diturunkan kembali menjadi 16 Tujuan TI, dan terkahir diturunkan menjadi 30 Proses TI,. kemudian diterapkan. melalalui Metodologi Systems Information Auditing : Tools & Techniques ISACA dengan tiga tahapan ; Planning, Fieldwork/Documentation, dan Reporting. Hasil yang diperoleh menunjukkan kondisi TI RSUA berdasarkan Tingkat Kematangan Organisasi TI CobiT 4.1 adalah 2.00 - Repeatable but Intuitive, dan RSUA ingin meningkatkan level tersebut pada nilai 3.00 – Defined. Maka untuk mencapai nilai tersebut diberikan Saran dan Rekomendasi pada setiap temuan Audit, serta Saran dan Rekomendasi risiko Proses TI yang tertinggi diberikan pada 13 temuan Audit TI, yaitu PO8, PO10, PO4, AI5, PO5, PO6, AI1, DS1, DS13, PO1, PO2, DS4, ME4. Kata Kunci : Sistem Informasi, Audit TI, CobiT, Rumah Sakit i.

(8) KATA PENGANTAR. Segala puji dan syukur penulis ucapkan kehadirat Allah S.W.T sehingga penulis dapat menyelesaikan Laporan Tugas Akhir ini dengan judul “Audit Teknologi Informasi berbasis risiko menggunakan CobiT 4.1 pada Rumah Sakit Universitas Airlangga (RSUA) ” Dalam penyusunan Laporan Tugas Akhir ini penulis tidak jarang selalu mendapat hambatan, tantangan dan kesulitan, hal ini disebabkan karena banyak faktor dari keterbatasan dan kemampuan yang penulis miliki Penulis juga sadar sepenuhnya bahwa tanpa bantuan, bimbingan, petunjuk, serta dorongan dari beberapa pihak, tidak mungkin Laporan Tugas Akhir ini dapat terselesaikan. Sehubungan dengan hal tersebut, dalam kesempatan ini penulis ingin menyampaikan rasa penghargaan dan terimakasih kepada : 1.. Ibu & Almarhum Ayah yang telah mendukung sepenuhnya dan memberikan segala bentuk perhatiannya, untuk kelancaran saya dalam meyelesaikan Tugas Akhir.. 2.. Ibu Pantjawati Sudarmaningtyas, S.Kom., M.Eng. sebagai dosen Pembimbing pertama, yang telah memberikan berbagai arahan, masukan dan evaluasi dalam menyelesaikan Tugas Akhir ini, serta terima kasih yang sebanyak-banyaknya atas kesediannya turut hadir membantu saya dalam Sidang Kode Etik di RSUA.. 3.. Bapak Teguh Sutanto, M.Kom., MCP sebagai dosen Pembimbing kedua, yang telah memberikan berbagai masukan dan evaluasi dalam penyelesaian Tugas Akhir ini.. ii.

(9) 4.. Ibu Sulistiowati, S.Si., M.M. sebagai dosen Penguji, yang memberi masukan dalam tahap akhir penyelesaian revisi Tugas Akhir ini. 5.. Bapak Ahmad Fuad Halimi sebagai pihak Auditee, yang telah memberikan banyak waktunya untuk wawancara.. 6.. Bapak Nambi Sembilu sebagai pihak Auditee, yang telah memberikan banyak waktunya untuk wawancara.. 7.. Para dokter dan professor pada Divisi Kode Etik RSUA, yang telah memberikan kesempatan bagi saya untuk melakukan penelitian di RSUA. 8.. Ibu Endra Rahmawati, M.Kom. sebagai dosen wali, yang sering mengingatkan, dan memantau terhadap penyelesaian Tugas Akhir ini.. 9.. Teman-teman di Stikomusic, yang sering memberikan bantuan terhadap penyelesaian Tugas Akhir ini.. 10.. Dan pihak-pihak lain yang tidak dapat saya sebutkan satu-satu atas bantuan yang telah mereka berikan dalam menyelesaikan Laporan Tugas Akhir ini. Semoga Allah S.W.T memberikan pahala yang melimpah kepada seluruh pihak yang telah banyak memberikan bantuan, bimbingan ataupun nasihat-nasihat. Penulis menyadari bahwa masih banyak kekurangan, pada Laporan Tugas Akhir ini semoga dapat memberikan kontribusi dan manfaat bagi pembaca. Surabaya, 08 – 03 – 2018. Penulis iii.

(10) DAFTAR ISI. HALAMAN ABSTRAK...................................................................................................................... i KATA PENGANTAR .................................................................................................. ii DAFTAR ISI ................................................................................................................ iv DAFTAR GAMBAR .................................................................................................. vii DAFTAR TABEL...................................................................................................... viii BAB I LATAR BELAKANG ......................................................................................1 1.1. Latar Belakang ......................................................................................... 1. 1.2. Perumusan Masalah ................................................................................. 4. 1.3. Batasan Masalah ...................................................................................... 4. 1.4. Tujuan ...................................................................................................... 4. BAB II LANDASAN TEORI ......................................................................................6 2.1. Pengertian Rumah Sakit ........................................................................... 6. 2.2. Sistem Informasi Rumah Sakit ................................................................ 6. 2.3. Audit Sistem dan Teknologi Informasi .................................................... 7. 2.4. CobiT (Control Objective for Information and Related Technology) ..... 8 2.4.1. Plan and Organise (PO) ...............................................................9. 2.4.2. Acquire and Implement (AI) .......................................................10. 2.4.3. Deliver and Support (DS) ...........................................................11. 2.4.4. Monitor and Evaluate (ME) .......................................................12. 2.5. Balanced Scorecard ............................................................................... 13. 2.6. Tujuan Bisnis ......................................................................................... 15. 2.7. Tujuan Teknologi Informasi .................................................................. 15. iv.

(11) 2.8. Tahapan Proses Audit – ISACA in ITAF .............................................. 15. 2.9. Penilaian Risiko ..................................................................................... 18 2.9.1. Unsur Risiko ...............................................................................18. 2.9.2. Sumber Risiko ............................................................................18. 2.9.3. Penentuan Tingkat Risiko ...........................................................18. 2.10 Teknik Analisa Data .............................................................................. 20 2.10.1 Penentuan Ruang Lingkup Audit Tenologi Informasi................20 2.10.2 Survei Pendahuluan ....................................................................21 2.10.3 Pelaksanaan Uji Kepatuhan ........................................................21 2.10.4 Perhitangan Nilai Maturity Level................................................23 2.11 Maturity Model ...................................................................................... 24 BAB III METODOLOGI PENELITIAN ................................................................25 3.1. 3.2. 3.3. Perencanaan (Planning) ......................................................................... 27 3.1.1. Menentukan Subjek Audit ..........................................................27. 3.1.2. Mendefinisikan Tujuan Audit .....................................................28. 3.1.3. Mengatur Ruang Lingkup ...........................................................28. 3.1.4. Melaksanakan Perencanaan Pra-Audit .......................................29. 3.1.5. Menentukan Prosedur Audit .......................................................32. Pekerjaan Lapangan/Dokumentasi (Fieldwork/Documentation)........... 36 3.2.1. Mendapatkan Data ......................................................................36. 3.2.2. Uji Pengendalian .........................................................................37. 3.2.3. Menghitung Tingkat Kematangan Organisasi ............................41. Pelaporan (Reporting) ............................................................................ 42 3.3.1. Draf Laporan – ISACA Independent Auditors Report ...............42. 3.3.2. Temuan Audit .............................................................................43 v.

(12) 3.3.3. Tindak Lanjut Saran dan Rekomendasi ......................................43. BAB IV HASIL DAN PEMBAHASAN ....................................................................45 4.1. 4.2. 4.3. Hasil Tahapan Perencanaan (Planning) ................................................. 45 4.1.1. Hasil Menentukan Subjek Audit .................................................45. 4.1.2. Hasil Mendefinisikan Tujuan Audit ...........................................49. 4.1.3. Hasil Mengatur Ruang Lingkup .................................................49. 4.1.4. Hasil Melaksanakan Perencanaan Pra Audit ..............................53. 4.1.5. Hasil Menentukan Prosedur Audit..............................................73. Hasil Tahapan Pekerjaan Lapangan (Fieldwork & Documentation) ..... 86 4.2.1. Hasil Mendapatkan Data.............................................................86. 4.2.2. Hasil Uji Pengendalian ...............................................................87. 4.2.3. Hasil Tingkat Kematangan Organisasi .....................................104. Hasil Tahap Pelaporan (Reporting) ..................................................... 106 4.3.1. Laporan – ISACA Independent Auditors Reports ....................106. 4.3.2. Hasil Temuan Audit ..................................................................106. 4.3.3. Hasil Tindak Lanjut Dokumen Saran dan Rekomendasi ..........110. BAB V PENUTUP ....................................................................................................126 5.1. Kesimpulan .......................................................................................... 126. 5.2. Saran .................................................................................................... 126. DAFTAR PUSTAKA ................................................................................................127 LAMPIRAN 1 Engagement Letter ..........................................................................129 LAMPIRAN 2 Pernyataan & Pertanyaan Control Objectives ............................139 LAMPIRAN 3 Jawaban Auditee ............................................................................180 LAMPIRAN 4 Penilaian Maturity Level Semua Proses TI ................................265 LAMPIRAN 5 Bukti Audit TI ................................................................................438 vi.

(13) DAFTAR GAMBAR HALAMAN Gambar 2.1 Keterkaitan Domain dalam CobiT ..............................................................9 Gambar 2.2 Cause-Effect Relationship Diagram .........................................................14 Gambar 2.3 Typical Audit Process Phase ....................................................................16 Gambar 2.4 Typical Audit Process Steps by Phase .......................................................17 Gambar 2.5 The Risk IT Framework .............................................................................20 Gambar 2.6 Kertas Kerja Maturity Level 0 pada Proses TI ME1 .................................22 Gambar 2.7 Spider Chart pada nilai Maturity Level .....................................................23 Gambar 3.0 Metodologi Audit RSUA ...........................................................................25 Gambar 3.1 Nilai Maturity Model .................................................................................38 Gambar 3.2 Spider Chart ..............................................................................................40 Gambar 3.3 Tingkat Kematangan Organisasi ...............................................................41 Gambar 4.1 Spider Chart Tujuan TI No.1 ....................................................................88 Gambar 4.2 Spider Chart Tujuan TI No.2 ....................................................................89 Gambar 4.3 Spider Chart Tujuan TI No.3 ....................................................................90 Gambar 4.4 Spider Chart Tujuan TI No.4 ....................................................................91 Gambar 4.5 Spider Chart Tujuan TI No.5 ....................................................................92 Gambar 4.6 Spider Chart Tujuan TI No.7 ....................................................................93 Gambar 4.7 Spider Chart Tujuan TI No.8 ....................................................................94 Gambar 4.8 Spider Chart Tujuan TI No.10 ..................................................................95 Gambar 4.9 Spider Chart Tujuan TI No.12 ..................................................................96 Gambar 4.10 Spider Chart Tujuan TI No.16 ................................................................97 Gambar 4.11 Spider Chart Tujuan TI No.20 ................................................................98 Gambar 4.12 Spider Chart Tujuan TI No.22 ................................................................99 Gambar 4.13 Spider Chart Tujuan TI No.23 ..............................................................100 Gambar 4.14 Spider Chart Tujuan TI No.24 ..............................................................101 Gambar 4.15 Spider Chart Tujuan TI No.25 ..............................................................102 Gambar 4.16 Spider Chart Tujuan TI No.26 ..............................................................103 Gambar 4.17 Tingkat Kematangan Organisasi TI RSUA ...........................................105. vii.

(14) DAFTAR TABEL HALAMAN Tabel 2.1 Nilai Tingkat Kepentingan ...........................................................................22 Tabel 2.2 Perhitungan Maturity Level ..........................................................................23 Tabel 3.0 Audit Working Plan .....................................................................................26 Tabel 3.1 Fungsi Bisnis ................................................................................................27 Tabel 3.2 Unit Organisasi .............................................................................................28 Tabel 3.3 Daftar Risiko ................................................................................................31 Tabel 3.4 Kriteria RPN .................................................................................................32 Tabel 3.5 Divisi TI yang bertanggung jawab ...............................................................33 Tabel 3.6 Daftar Auditee RACI Chart .........................................................................34 Tabel 3.7 Daftar Pernyataan .........................................................................................35 Tabel 3.8 Tabel Pertanyaan ..........................................................................................35 Tabel 3.9 Nilai Bobot Maturity Model .........................................................................37 Tabel 3.10 Nilai Kepatuhan Maturity Model ...............................................................38 Tabel 3.11 Nilai Maturity Level ...................................................................................40 Tabel 3.12 Tingkat Kematangan Organisasi ................................................................41 Tabel 3.13 Hasil Temuan Audit ...................................................................................43 Tabel 4.1 Fungsi Bisnis/Instlasi RSUA .........................................................................45 Tabel 4.2 Layanan-layanan TI RSUA ...........................................................................47 Tabel 4.3 Tabel Organisasi RSUA ................................................................................49 Tabel 4.4 Daftar Risiko .................................................................................................54 Tabel 4.5 Hasil Pelaksanaan Penilaian Risiko ..............................................................58 Tabel 4.6 Hasil Perhitungan RPN .................................................................................64 Tabel 4.7 Balanced Scorecards ke Tujuan Bisnis ........................................................65 Tabel 4.8 Tujuan Bisnis ke Tujuan TI ..........................................................................66 Tabel 4.9 Tujuan TI ke Proses TI .................................................................................67 Tabel 4.10 Total Proses TI ...........................................................................................70 Tabel 4.11 Divisi TI yang bertanggung jawab .............................................................74 Tabel 4.12 Hasil Daftar Auditee ...................................................................................81. viii.

(15) Tabel 4.13 RACI Chart penyelerasan CobiT dan RSUA .............................................84 Tabel 4.14 Nilai Maturity Level Tujuan TI No.1 .........................................................87 Tabel 4.15 Nilai Maturity Level Tujuan TI No.2 .........................................................88 Tabel 4.16 Nilai Maturity Level Tujuan TI No.3 .........................................................90 Tabel 4.17 Nilai Maturity Level Tujuan TI No.4 .........................................................91 Tabel 4.18 Nilai Maturity Level Tujuan TI No.5 .........................................................92 Tabel 4.19 Nilai Maturity Level Tujuan TI No.7 .........................................................93 Tabel 4.20 Nilai Maturity Level Tujuan TI No.8 .........................................................94 Tabel 4.21 Nilai Maturity Level Tujuan TI No.10 .......................................................95 Tabel 4.22 Nilai Maturity Level Tujuan TI No.12 .......................................................96 Tabel 4.23 Nilai Maturity Level Tujuan TI No.16 .......................................................97 Tabel 4.24 Nilai Maturity Level Tujuan TI No.20 .......................................................98 Tabel 4.25 Nilai Maturity Level Tujuan TI No.22 .......................................................99 Tabel 4.26 Nilai Maturity Level Tujuan TI No.23 .....................................................100 Tabel 4.27 Nilai Maturity Level Tujuan TI No.24 .....................................................101 Tabel 4.28 Nilai Maturity Level Tujuan TI No.25 .....................................................102 Tabel 4.29 Nilai Maturity Level Tujuan TI No.26 .....................................................103 Tabel 4.30 Tingkat Kematangan Organisasi TI RSUA ..............................................104 Tabel 4.31 Hasil Temuan Audit .................................................................................106 Tabel 4.32 Saran dan Rekomendasi Temuan Audit TI ..............................................111 Tabel 4.33 Saran dan Rekomendasi dengan Risiko Proses TI tertinggi ....................123. ix.

(16) BAB I LATAR BELAKANG. 1.1. Latar Belakang Rumah Sakit Universitas Airlangga (RSUA) merupakan salah satu penyedia. layanan kesehatan di kota Surabaya yang berdiri pada 9 – Maret – 2011. RSUA memiliki Visi yaitu Menjadi Rumah Sakit Pendidikan terkemuka di tingkat nasional dan internasional dalam pemberian palayanan paripurna, pendidikan dan penelitian di bidang kesehatan. Sejak berdiri sampai saat ini RSUA terus memberikan layanan kesehatan yang lengkap bagi masyarakat baik secara kuratif maupun preventif. Selain menjadi penyedia layanan kesehatan, RSUA juga merupakan pusat pendidikan, pelatihan tenaga kesehatan dan penelitian untuk memajukan pendidikan kedokteran. RSUA sendiri secara keseluruhan memiliki sembilan unit pelayanan/bisnis, empat unit pelayanan bersifat medis (Pelayanan Medis, Keperawatan, Penunjang Medis serta Farmasi) dan lima unit pelayanan bersifat non-medis (Perencanaan & Pengembangan, Promosi & Pemasaran, Keuangan & Sistem Informasi serta Riset) Teknologi Informasi (TI) pada RSUA dikelola oleh dua organisasi TI yang berbeda yaitu eskternal dan internal, organisasi dari eksternal atau pihak ketiga adalah Pusat Pengembangan Teknologi Sistem Informasi (PPTSI) dan untuk internal adalah Divisi TI. PPTSI sendiri memiliki peran dan tanggung jawab sebagai penyusun tata kelola, pengembangan software secara Medis ataupun Non-Medis serta identifikasi kebutuhan TI RSUA. Divisi TI memiliki peran dan tanggung jawab dalam melakukan Maintenance serta Trouble Shooting TI yang telah diimplementasi oleh PPTSI.. 1.

(17) 2 Dalam aktivitas bisnisnya sebagai penyedia layanan kesehatan, RSUA telah menggunakan Sistem Informasi Rumah Sakit (SIRS), dan telah mengintegrasikan empat dari sembilan unit pelayanan yang ada di RSUA yaitu Pelayanan Medis, Keperawatan, Penunjang Medis dan Farmasi. Lima unit pelayanan lain yang tidak terintegrasi dengan SIRS adalah Perencanaan & Pengembangan, Promosi & Pemasaran, Keuangan & Sistem Informasi, Pendidikan & Pelatihan serta Riset. Aktivitas bisnis dan Infrastruktur TI di RSUA telah memiliki standar pedoman berupa dokumentasi Sistem Informasi Manajemen (SIM) tahun 2013, Sumber Daya TI, Infrastruktur TI dan beberapa prosedur serta kebijakan dalam mengatur kebutuhan teknis, namun sampai saat ini SI/TI di RSUA belum pernah dilakukan Audit TI. Beberapa masalah yang mendukung perlunya Audit TI pada RSUA adalah penggunaan TI yang telah berjalan sampai saat ini belum sepenuhnya dapat mendukung Visi utama RSUA. Permasalahan yang ada tersebut akhirnya menimbulkan kesenjangan apakah penggunaan TI pada RSUA telah sepenuhnya menggunakan Sumber Daya Organisasi TI dengan baik, maka untuk mengetahui bagaimana kondisi TI di RSUA perlu diidentifikasi dengan melakukan pemeriksaan dan evaluasi apakah penerapan TI yang telah berjalan sampai saat ini sesuai dengan standar TI secara internasional, agar sesuai dengan Visi utama RSUA, yaitu menjadi Rumah Sakit terkemuka di tingkat internasional, sehingga perbaikan-perbaikan pada TI dapat lebih terarah.. Berdasarkan permasalahan di atas perlu dilakukan Audit TI. Aktivitas Audit TI tersebut akan melakukan proses atau aktivitas sistematik, independen dan.

(18) 3 terdokumentasi dalam rangka pemeriksaan serta menemukan bukti-bukti (Audit Evidence) untuk menilai dan mengevaluasi aktivitas obyek seperti implementasi prosedur SI/TI yang telah ditetapkan oleh manajemen RSUA. Keseluruhan Audit tersebut akan diukur berbasis risiko untuk mengidentifikasi proses bisnis manakah yang memiliki dampak risiko tertinggi pada keberlangsungan proses bisnis organisasi dan secara spesifik mampu menimbulkan kerugian bagi RSUA. Framework CobiT 4.1 merupakan sebuah kerangka kerja universal untuk melakukan tata kelola TI ataupun Audit TI dan telah banyak digunakan pada perushaan ataupun organisasi seperti pada Rumah Sakit Umum Haji Surabaya dan Dutsch Hospital di Jerman. Dalam implementasinya CobiT 4.1 mendefinisikan aktivitas TI dengan proses model empat domain yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitoring and Evaluate (ME). Penggunaan CobiT 4.1 didasarkan pada Balanced Scorecard yang memiliki empat perspektif yaitu Financial Perpective, Customer Perspective, Internal Perpective, serta Learning and Growth Perpective. Dalam melakukan pengukuran kematangan TI suatu perusahaan atau organisasi CobiT 4.1 juga memiliki Maturity Model (tingkat kematangan) untuk mengidentifikasi sampai di tingkat manakah penerapan Teknologi Informasi/Sistem Informasi telah dilakukan. Dalam pelaksanaan Audit TI dilakukan dengan menerapkan Metodologi Information System Auditing : Tools & Techniques ISACA, dengan tiga Tahapan yaitu Planning (perencanaan), Fieldwork/Documentation (pekerjaan lapangan/dokumentasi), dan Reporting (pelaporan). Planning memiliki lima proses yaitu, Menentukan Subjek Audit TI, Mendefinisikan Tujuan Audit TI, Mengatur Ruang Lingkup, Melaksanakan.

(19) 4 Perencanaan Pra-Audit dan Menentukan Prosedur. Fieldwork/Documentation memiliki tiga proses yaitu, Mendapatkan Data, Uji Pengendalian dan Hasil Dokumen. Reporting memiliki tiga proses yaitu Draf Laporan – Independent Auditor Reports, Temuan Audit TI dan Tindak Lanjut Saran dan Rekomendasi. Hasil akhir Audit TI akan menghasilkan dua output, yang pertama memberikan gambaran kondisi tertentu yang berlangsung di RSUA Surabaya saat ini, dengan menggunakan Tingkat Kematangan Orgnanisasi TI dari CobiT 4.1 antara level 0-5, yang kedua akan memberikan Saran dan Rekomendasi sesuai dengan Temuan Audit TI, dimana kedepannya dua output ini dapat dipergunakan sebagai bahan evaluasi, dalam upaya meningkatkan SI/TI ke tahap internasional, untuk mendukung VISI RSUA. 1.2. Perumusan Masalah Bagaimana. melakukan. Audit. Teknologi. Informasi. Berbasis. Risiko. menggunakan CobiT 4.1 pada Rumah Sakit Universitas Airlangga ? 1.3. Batasan Masalah Batasan masalah pada Audit Teknologi Informasi ini sebagai berikut :. 1. Menggunakan perspektif pelanggan (Customer Perspective) 2. Dilakukan pada 5 unit bisnis/pelayanan bersifat medis; (1) Instalasi Perawatan Kritis & Kegawat Daruratan, (2) Instalsi Rawat Inap, (3) Rawat Jalan, (4) Instalasi Penunjang Medis, (5) Instalasi Farmasi 3. Audit TI dilakukan dengan berbasis Risiko. 1.4. Tujuan Tujuan dari Audit TI ini akan meghasilkan output tentang kondisi TI/Sistem. Informasi RS Universitas Airlangga sebagai berikut :.

(20) 5 1. Memberikan gambaran kondisi Teknologi Informasi/Sistem Informasi saat ini. 2. Memberikan laporan mengenai kepatuhan terhadap proses-proses TI yang ada, dengan berdasarkan Standar CobiT 4.1 3. Memberikan saran dan rekomendasi yang sesuai pada bagian-bagian yang berpotensi terjadi risiko jika tidak segara dibenahi.

(21) BAB II LANDASAN TEORI. 2.1. Pengertian Rumah Sakit Rumah sakit merupakan suatu pelayanan jasa yaitu jasa kesehatan yang. memberikan pelayanan kesehatan baik preventif maupun kuratif dalam bentuk perawatan inap dan perawatan jalan ataupun perawatan di rumah. Rumah sakit juga berfungsi sebagai tempat pendidikan tenaga kesehatan (Aditama, 2000). Menurut Permenkes RI. No 159b/MENKES/Per/1998, rumah sakit adalah sarana upaya kesehatan yang menyelenggarakan kegiatan pelayanan kesehatan serta dapat dimanfaatkan untuk pendidikan terhadap tenaga kesehatan dan penelitian kegiatan pelayanan kesehatan di rumah sakit berupa pelayanan rawat inap dan pelayanan gawat darurat yang mencakup pelayanan medik dan penunjang medik. 2.2. Sistem Informasi Rumah Sakit Sistem Informasi Rumah Sakit (SIRS) merupakan aplikasi sistem pelaporan. rumah sakit kepada Kementerian Kesehatan yang meliputi (Kemenkes RI. 2011) : 1. Data identitas rumah sakit; 2. Data ketenagaan yang bekerja di rumah sakit; 3. Data rekapitulasi kegiatan pelayanan; 4. Data kompilasi penyakit/morbiditas pasien rawat inap; dan 5. Data kompilasi penyakit/morbiditas pasien rawat jalan.. 6.

(22) 7 2.3. Audit Sistem dan Teknologi Informasi Audit Sistem dan Teknologi Informasi merupakan proses pengumpulan dan. pengevaluasian bukti (evidence) untuk menentukan apakah Sistem Informasi dapat melindungi aset serta apakah Teknologi Informasi yang ada telah dapat memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien (Sayana,2002). Aktivitas Audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolahan baik dalam sistem maupun Teknologi Informasi yang ada dengan ketetapan dan stadar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan (Sarno, 2009:27). Berdasarkan pengertian yang telah diuraikan dan menurut Swastika (2007), tujuan Audit Sistem dan Teknologi Informasi untuk mengetahui apakah pengelolaan aset Sistem dan Teknologi Informasi telah : 1. Aset Safeguard, mampu melindungi aset Sistem dan Teknologi Informasi. 2. Data Integrity, mampu menjamin integritas data. 3. Effectivity, dalam penegelolaannya untuk mencapai tujuan bisnis organisasi telah berjalan secara efektif (benar, konsisten, terpercaya & On Time) 4. Efficiency, dalam pengelolaan untuk mencapai tujuan bisnis organisasi telah menggunakan sumber daya organisasi secara efisien (optimal)..

(23) 8 2.4. CobiT (Control Objective for Information and Related Technology) IT Governance (tata kelola TI) adalah sistem yang mengatur dan. mengendalikan seluruh proses teknologi informasi perusahaan/organisasi yang strukturnya akan menetapkan pendistribusian hak dan tanggung jawab antara pihakpihak yang terlibat, juga berisikan peraturan serta strategi yang ditetapkan perusahaan/organisasi (Prasosjo, 2005, Warsilah, 2007 dan Alindita, 2008). Information System Audit and Control Association (ISACA) memperkenalkan sebuah kerangka untuk mengelola IT Governance (tata kelola TI) di sebuah perusahaan yang dikenal dengan nama CobiT (Indrajit, 2004). Pada dasarnya CobiT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan antara risiko bisnis, control dan masalah teknik (Putra, 2009). Menurut Surendro (2004: 243) dan Pandji (2007:13) karakteristik utama kerangka kerja (Framework) CobiT adalah pengelompokan aktivitas TI dalam empat domain, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME). Pada Plan and Organise (PO) domain ini menyediakan arahan untuk mewujudkan solusi penyampaian untuk Acquire and Implement (AI) dan penyampaian jasa Deliver and Support (DS). Acquire and Implement (AI) menyediakan solusi dan menyalurkannya untuk dapat diubah menjadi jasa. Sementara Deliver and Support (DS) menerima solusi tersebut dan membuatnya lebih bermanfaat bagi pengguna akhir, sedangkan pada domain Monitor and Evaluate (ME) melakukan monitoring seluruh proses untuk memastikan bahwa arahan dan.

(24) 9 instruksi yang diberikan telah diikuti dengan benar. Keterkaitan empat domain tersebut dapat dilihat pada Gambar 2.1 Keterkaitan Domain dalam CobiT. Plan and Organise (PO). Acauire and Implement (AI). Deliver and Support (DS). Monitor and Evaluate (ME) Gambar 2.1 Keterkaitan Domain dalam CobiT. Secara jelas, CobiT membagi proses pengelolaan Teknologi Informasi menjadi 4 domain utama Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME) dengan 34 proses TI didalamnya. Menurut Sarno (2009: 34-42) CobiT mempunyai beberapa rincian sebagai berikut : 2.4.1. Plan and Organise (PO) Domain ini meliputi strategi dan taktik, serta fokus pada mengidentifikasi cara. terbaik TI dapat memberikan kontribusi untuk pencapaian tujuan bisnis. Realisasi dari visi strategis perlu untuk direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Organisasi yang tepat adalah sebagaimana infrastruktur teknologi yang ada ditempatkan pada posisi yang baik. Domain ini biasanya membahas pertanyaan manajemen sebagai berikut:.

(25) 10 1. Apakah TI dan Strategi Bisnis selaras ? 2. Apakah perusahaan mencapai penggunaan optimal dari sumber daya tersebut (TI) ? 3. Apakah setiap orang di organisasi memahami tujuan TI ? 4. Apakah risiko TI dipahami dan dikelola ? 5. Apakah kualitas sistem TI sesuai untuk kebutuhan bisnis ? Domain Plan & Organise sendiri memiliki sepuluh Proses TI sebagai berikut 1. PO1 – Mendefinisikan Rencana Strategis TI 2. PO2 – Mendefinisikan Arsitektur Informasi 3. PO3 – Menentukan Arah Teknologi 4. PO4 – Mendefinisikan Proses TI, Organisasi dan Keterhubungannya 5. PO5 – Mengelola Investasi 6. PO6 – Mengkomunikasikan tujuan dan arahan manajemen 7. PO7 – Mengelola Sumber Daya TI 8. PO8 – Mengelola Kualitas 9. PO9 – Menaksir dan Mengelola Risiko TI 10. PO10 – Mengelola Proyek 2.4.2. Acquire and Implement (AI) Untuk merealisasikan strategi TI, solusi TI perlu untuk diidentifikasi,. dikembangkan atau diakusisisi sebagaimana diimplementasikan dan diintegrasikan kedalam proses bisnis. Sebagai tambahan perubahan dan mempertahankan sistem yang ada ditutupi oleh domain ini untuk memastikan solusi terus memesnuhi tujuan bisnis. Domain ini biasanya membahas pertanyaan manajemen sebagai berikut :.

(26) 11 1. Apa proyek-proyek baru cenderung memberikan solusi yang dapat memenuhi kebutuhan bisnis ? 2. Apa proyek baru cenderung disampaikan tepat waktu & sesuai anggaran ? 3. Apakah sistem baru bekerja dengan benar ketika diimplementasikan ? 4. Apakah perubahan bisa dibuat tanpa mengganggu operasi bisnis saat ini ? Domain Acquire & Implement sendiri memiliki tujuh Proses TI sebagai berikut 1. AI1 – Mengidentifikasi Solusi Otomatis 2. AI2 – Memperoleh dan Memeliharan software aplikasi 3. AI3 – Memperoleh dan Memelihara Infrastruktur Teknologi 4. AI4 – Memungkinkan Operasional dan Penggunaan 5. AI5 – Pengadaan Sumber Daya TI 6. AI6 – Mengelola Perubahan 7. AI7 – Instalasi dan Akreditasi Solusi serta perubahannya 2.4.3. Deliver and Support (DS) Domain ini berkaitan dengan pencapaian actual dari layanan yang dibutuhkan,. dimana meliputi penyampaian layanan, pengelolaan keamanan dan kelangsungan, layanan pendukung untuk pengguna serta pengelolaan data dan fasilitas operasional. Domain ini biasanya membahas pertanyaan manajemen sebagai berikut : 1. Apakah layanan TI yang disampainkan sesuai dengan prioritas bisnis ? 2. Apakah biaya TI dioptimalkan ? 3. Apa tenaga kerja mampu memakai sistem TI dengan produktif dan aman ? 4. Apa kerahasiaan yang memadai, integritas dan ketersediaan berada satu tempat bagi kemaanan informasi ?.

(27) 12 Domain Deliver & Support sendiri memiliki 13 Proses TI sebagai berikut 1. DS1 – Mengidentifikasi dan Mengelola Tingkat Layanan 2. DS2 – Mengelola Layanan Pihak Ketiga 3. DS3 – Mengelola Kinerja dan Kapasitas 4. DS4 – Memastikan Layanan Berkelanjutan 5. DS5 – Memastikan Keamanan Sistem 6. DS6 – Mengidentifikasi dan Mengalokasikan Biaya 7. DS7 – Mendidik dan Melatih Pengguna 8. DS8 – Mengelola Service Desk 9. DS9 – Mengelola Konfigurasi 10. DS10 – Mengelola Masalah 11. DS11 – Mengelola Data 12. DS12 – Mengelola Lingkungan Fisik 13. DS13 – Mengelola Operasiona/Pengerjaan 2.4.4. Monitor and Evaluate (ME) Semua proses TI perlu dinilai secara berkala dari waktu ke waktu untuk kualitas. dan kepatuhan mereka dengan control persyaratan. Domain membahas manajemen kerja, pengawasan kontrol internal, kepatuhan terhadap peraturan dan tata kelola. Domain ini biasanya membahas pertanyaan manajemen sebagai berikut : 1. Apakah kinerja TI telah diukur untuk mendeteksi masalah sebelum terlambat ? 2. Apakah manajemen memastikan bahwa pengendalian internal efektif dan efisien ? 3. Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis ?.

(28) 13 4. Apakah kerahasiaan yang memadai, integritas dan pengendalian ketersediaan telah ditempatkan untuk keamanan informasi ? Domain Monitor & Evaluate sendiri memiliki empat proses TI sebagai berikut 1. ME1 – Memantau dan Mengevaluasi Kinerja TI 2. ME2 – Memantau dan Mengevaluasi pengendalian/kontrol Internal 3. ME3 – Memastikan Pemenuhan terhadap kebutuhan ekternal 4. ME4 – Menyediakan Tata Kelola TI 2.5. Balanced Scorecard Balanced Scorecard didefinisikan sebagai suatu alat manajemen kerja. (Performance. Management. Tool). yang. dapat. membantu. organisasi. untuk. menerjemahkan Visi dan Strategi ke dalam aksi dengan memanfaatkan sekumpulan indikator finansial dan non-finansial, yang keseluruhannnya terjalin dalam suatu sebab akibat (Luis dan Biromo, 2007). Menurut Kaplan dan Norton (1996) memberikan kesimpulan bahwa pengukuran kinerja secara umum dapat dilakukan dengan memperhatikan empat perspektif, yaitu: perspektif keuangan (Financial), perspektif pelanggan (Customer), perspektif proses bisnis internal (Internal Business Processes) serta perspektif pembelajaran dan pertumbuhan (Learning and Growth). Keterkaitan perspektif satu dengan yang lain tersebut digambarkan dengan Cause-Effect Relationship Diagram seperti pada Gambar 2.2 Fungsi Balanced Scorecard menurut Sayekti (2007) adalah: 1. Sebagai sistem pengukuran kinerja yang melihat organisasi secara keseluruhan melalui empat perspektif.

(29) 14 2. Sebagai sistem manajemen strategis yang menyelaraskan antara tujuan jangka pendek dengan strategi tujuan jangka panjang. 3. Sebagai sarana komunikasi bagi perusahaan dengan menerjemahkan strategi kedalam tindakan-tindakan yang seharusnya diambil oleh organisasi.. VISI -> MISI -> SASARAN -> TEMA STRATEGIK Perspektif Keuangan Apa hasil-hasil keuangan yang dibutuhkan untuk memenuhi ekspektasi pemegang saham ?. Perspektif Pelanggan Apa kebutuhan pelanggan yang harus dipenuhi untuk memenuhi ekspektasi pelanggan ?.  Tujuan-tujuan  Ukuran-ukuran  Target-target  Program-program (inisiatif).  Tujuan-tujuan  Ukuran-ukuran  Target-target  Program-program (inisiatif).  Tujuan-tujuan  Ukuran-ukuran Apa proses-proses yang harus dilaksanakan untuk memenuhi ekspektasi  Target-target  Program-program pelanggan dan ekpektasi pemegang (inisiatif) saham ? Perspektif Proses Bisnis Internal. Perspektif Pembelajaran & Pertumbuhan Apa nilai-nilai organisasional yang terpenting untuk memenuhi sasaran dan tujuan strategis perusahaan ?.  Tujuan-tujuan  Ukuran-ukuran  Target-target  Program-program (inisiatif). Gambar 2.2 Cause-Effect Relationship Diagram.

(30) 15 2.6. Tujuan Bisnis Menurut McLeod (2004), tujuan bisnis dapat tercapai apabila dijalankan. dengan menggunakan strategi bisnis yang tepat. Strategi dapat didefinisikan sebagai suatu rangkaian kegiatan yang terintegrasi dan ditujukan untuk meningkatkan faktorfaktor yang menentukan tujuan dan kemampuan organisasi (Edwards, 1995). CobiT mendefinisikan tujuan bisnis terkait dengan aktivitas TI yang umumya ada di perusahaan (Sarno, 2009: 19). Pada kerangka kerja (Framework) CobiT hanya menjelaskan tujuan-tujuan bisnis yang berkaitan dengan proses teknologi informasi. Terdapat 17 tujuan bisnis yang masing – masing memiliki Tujuan TI. 2.7. Tujuan Teknologi Informasi Untuk mengetahui keterkaitan antara tujuan bisnis dengan tujuan teknologi. informasi (TI), maka perlu dipahami terlebih dahulu keseluruhan tujuan TI yang telah didefinisikan dan diklasifikasikan pada kerangka kerja (Framework) CobiT. Pemetaan tujuan TI tersebut dapat dijadikan acuan bagi perusahaan/organisasi dalam menerjemahkan kebutuhan bisnis akan ketersediaan TI. Terdapat 28 Tujuan Teknologi Informasi yang masing – masing memiliki beberapa proses TI. 2.8. Tahapan Proses Audit – ISACA in ITAF Menurut ISACA (2016) proses Audit mengharuskan Auditor Sistem Informasi. untuk mengumpulkan bukti, mengevaluasi kekuatan dan kelemahan pengendalian internal (Internal Control) berdasarkan bukti yang dikupulkan melalui uji Audit serta mempersiapkan laporan Audit, yang menyajikan kelemahan serta rekomendasi untuk remediasi secara obyektif kepada pemangku kepentingan..

(31) 16 2.8.1. Tahapan Proses Audit Secara Umum - ISACA Secara umum tipikal proses audit terdiri dari 3 tahapan utama yaitu : Planning,. Fieldwork dan Reporting seperti pada Gambar 2.3 Typical Audit Process Phase. Perusahaan dapat memecah fase utama menjadi beberapa fase; seperti contoh, tahap Reporting dapat dipecah menjadi 3 tahapan : report writing and issuance, issue followup, dan audit closing. Konvensi organisasi dan penamaan dapat disesuaikan selama prosedur dan hasil sesuai dengan standar audit seperti yang telah ditetapkan oleh ISACA pada ITAF:A Professional Practives Framework for IS Audit/Assurance. Auditor sistem informasi harus terbiasa dengan kerangka standar dan proses audit yang digunakan oleh entitas yang sedang dikaji agar dapat menggunakan terminologi dan organisasi kerja yang benar. Typical Audit Process Phase Planning. Fieldwork/ Documentatio. Reporting /. Gambar 2.3 Typical Audit Process Phase.

(32) 17 2.8.2. Langkah Proses Audit Secara Umum berdasarakn Tahapan - ISACA Setiap fase/tahapan proses Audit kemudian dibagi menjadi beberapa langkah. penting untuk direncanakan, didefinisikan, dilaksanakan dan melaporkan hasil kesepakatan sesuai dengan standar Audit, seperti pada Gambar 2.4 Typical Audit Process Steps by Phase. Organisasi dan konvensi penamaan untuk langkah-langkah yang telah dijelaskan diatas dapat disesuaikan untuk memenuhi kebutuhan perusahaan selama prosedur dan hasil sesuai dengan standar audit yang berlaku dan memenuhi tujuan yang diinginkan untuk kesepakatan Audit Typical Audit Process Steps by Phase. Planning Planning Subject Audit. Define Audit Objective. Set Audit Scope. Perform preaudit planning. Determine Procedures. Fieldwork and Documentation Acquire Data. Test Controls. Issue Discovery and Validation. Perform preaudit planning. Reporting Phase Gather report requirements. Draft report. Issue Report. Follow Up. Gambar 2.4 Typical Audit Process Steps by Phase.

(33) 18 2.9. Penilaian Risiko Menurut AS/NZS (2004) risiko adalah kemungkinan terjadinya sesuatu, yang. akan mempunyai dampak terhadap tujuan binis. Maka dari itu kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran organisasi perlu untuk diidentifikasi. Berikut adalah pengertian risiko : 2.9.1. Unsur Risiko. Terdapat tiga unsur risiko secara umum yang dipahami, yaitu sebagai berikut a. Peristiwa b. Probabilitas Terjadinya Peristiwa c. Dampak Peristiwa 2.9.2. Sumber Risiko. Terdapat dua sumber risiko secara umum yang dipahami, yaitu sebagai berikut a. Eksternal Didalam sumber risiko eksternal sedikitnya terdapat empat hal yang mempengaruhi yaitu Peraturan perundangan – undangan baru, Perkembangan Teknologi, Bencana alam dan gangguan keamanan. b. Internal Didalam sumber risiko internal sedikitnya terdapat lima hal yang mempengaruhi, yaitu Keterbatasan dana operasional, Sumber daya manusia yang tidak kompeten, Peralatan yang tidak memadai, Kebijakan dan prosedur yang tidak jelas dan suasana kerja yang tidak kondusif. 2.9.3. Penentuan Tingkat Risiko Dalam melakukan penentuan tingkat risiko perlu ditetapkan, bahwa risiko yang. berdampak terhadap keberlangsungan aktivitas bisnis. Risiko yang berdampak pada.

(34) 19 bisnis (risiko bisnis) tersebut merupakan segala kejadian tidak pasti yang memberikan pengaruh terhadap pencapaian tujuan bisnis. Pengaruh tersebut dapat berdampak kepada aset yang berwujud (Tangible) ataupun aset yang tidak berwujud (Intangible). Risiko TI sendiri dapat melibatkan aspek finansial, regulasi, operasional ataupun informasi dan teknologi. Risiko tersebut dapat berupa risiko penyampaian layanan (IT Service Delivery), risiko penyampaian layanan (IT Service Delivery) ataupun risiko dorongan pencapaian manfaat/nilai TI (IT benefit/value enablement). Setiap risiko tersebut akan memberikan pengaruh terhadap nilai bisnis (business value) baik peningkatan ataupun perlindungan terhadap proses bisnis yang berlangsung di RS Universitas Airlangga seperti yang ditunjukkan pada Gambar 2.5 The Risk IT Framework Dalam melakukan penilaian Risiko, terdapat tiga metode penilaian risiko yang dapat dilakukan, sebagai berikut: A. Kualitatif Melakukan pengukuran dampak relatif atas suatu kejadian dan cenderung lebih fokus pada aspek strategis dan politis, dalam menghindari atau mengurangi dampak negatif atas suatu risiko. B. Kuantitatif Penilaian risiko dengan membandingkan rentang antara hasil nyata dengan dampak risiko yang mungkin timbul, melalui pengujian data historis, tren, dan pelaporan hasil kinerja yang lebih terukur. C. Gabungan.

(35) 20 Kombinasi antara dampak nyata dengan seluruh risiko yang dibandingkan dengan cakupan kegiatan, biaya dan jadwal pelaksanaan. Penilaian risiko komprehensif merupakan kombinasi antara metode penilaian kualitatif dan kuantitatif. Dorongan Pencapaian Manfaat / Nilai TI.  Teknologi mendukung inisiatif bisnis baru  Teknologi Mendukung operasional yang efisien. Penyampaian Solusi TI.  Kualitas proyek  Relevansi Proyek  Jalannya Proyek. Penyampaian Layanan TI.  Gangguan pada layanan TI  Masalah keamanan  Isu Kepatuhan. Nilai Bisnis Gagal Memproleh. Memproleh. Hilang. Memelihara. Nilai Bisnis. Gambar 2.5 The Risk IT Framework 2.10. Teknik Analisa Data Menurut Sarno (2009), perencanaan pelaksanaan Audit mengacu pada. metodologi yang terarah, Step by Step sehingga memudahkan dalam implementasi. Teknik analisa dalam penelitian ini meliputi : 2.10.1 Penentuan Ruang Lingkup Audit Tenologi Informasi Balanced Scorecard memetakan 17 tujuan bisnis dan 28 tujuan TI berdasarkan standar CobiT ke dalam empat perspektif kinerja, yaitu: Financial Perspective,.

(36) 21 Customer Perspective, Learning & Growth Perspective serta Internal Business Processes Perspective. 2.10.2 Survei Pendahuluan Survei pendahuluan dilakukan sebelum pelaksanaan Audit. Beberapa hal yang akan dilakukan berkaitan dengan survei pendahuluan ini sebagai berikut: a. Wawancara untuk mengetahui proses bisnis yang ada di perusahaan. b. Observasi untuk proses dan konfirmasi hasil wawancara serta identifikasi dokumen yang perlu untuk dianalisa lebih lanjut. c. Pengumpulan bukti pendukung melalui penentuan data-data, yang akan dilakukan Audit sesuai dengan kriteria dan tujuan Audit pada RS Universitas Airlangga Surabaya. 2.10.3 Pelaksanaan Uji Kepatuhan Setelah bukti-bukti terkumpul, selanjutnya dilakukan tahap pelaksanaan Audit. Di dalam pelaksanaan peneliti akan melakukan pengujian kepatuhan (Complience Test) proses TI yang sedang berlangsung dengan menggunakan alat bantu kertas kerja Audit. Pertanyaan dalam kertas kerja diturunkan berdasarkan standar CobiT 4.1. Setiap pertanyaan diberi tingkat risiko dan ruang lingkup, seperti pada Tabel 2.1 Nilai Tingkat Kepentingan. Setelah dilakukan pembobotan pada setiap pertanyaan, maka dapat dilakukan Audit TI. Selanjutnya hasil Audit dapat digunakan untuk menentukan kriteria yang ada dalam kertas kerja Maturity Level. Seperti pada Gambar 2.6 Kertas Kerja Maturity Level 0 pada Proses TI ME1.

(37) 22. Tabel 2.1 Nilai Tingkat Kepentingan No.. Nilai Kualitatif. Nilai Kuantitatif. Keterangan. 1.. Sangat Penting. 0.90 – 1.00. Aktivitas tersebut mempunyai peranan yang sangat penting dalam proses teknologi informasi.. 2.. Penting. 0.70 – 0.89. Aktivitas tersebut mempunyai peranan yang penting dalam proses teknologi informasi.. 0.50 – 0.69. Aktivitas tersebut turut mempengaruhi proses teknologi informasi.. 0.00 – 0.49. Aktivitas yang bila diterapkan dapat melengkapi proses teknologi informasi.. 3.. 4.. Cukup Penting. Kurang Penting. Gambar 2.6 Kertas Kerja Maturity Level 0 pada Proses TI ME1.

(38) 23 2.10.4 Perhitangan Nilai Maturity Level Tingkat kematangan (Maturity Level), merupakan representasi kedewasaan proses TI yang berlangsung diperusahaan/pemerintahan (dalam bentuk nilai/angka). Nilai Maturity Level secara keseluruhan didapatkan dari identifikasi setiap Maturity Level pada semua Control Objective yang terlibat. Tabel 2.2 Perhitungan Maturity Level Kerangka Kerja CobiT Maturity Proses Level Keterangan TI AI1 Mengidentifikasi solusi otomatis 4.68 Memperoleh dan memelihara software AI2 3.79 aplikasi AI6 Mengelola perubahan 4.81 Peningkatan PO3 Menentukan arahan teknologi 4.56 dan Memperoleh dan memelihara software 3.79 pemeliharaan AI2 aplikasi fungsionalitas AI5 Memenuhi sumber daya TI 4.44 proses bisnis PO2 Mendefinisikan arsitektur informasi 4.17 AI4 Memungkinkan operasional dan penggunaan 4.90 Instalasi & akreditasi solusi beserta AI7 4.77 perubahaannya Rata-Rata 4.43 Tujuan Bisnis. Hasil akhir dari perhitungan Maturity Level dapat direpresentasikan dalam bentuk Spider Chart.. AI7. AI4. 5 4 3 2 1 0. AI1 AI2. AI6. PO2. PO3 AI5. Gambar 2.7 Spider Chart nilai Maturity Level.

(39) 24 2.11. Maturity Model Menurut (Yulianti, 2011) kematangan manajemen sistem dan teknologi. informasi dapat dibagi menjadi enam level, yaitu : a. Non-Existent Non-existent adalah kondisi dimana perusahaan sama sekali tidak perduli terhadap pentingnya teknologi informasi, untuk dikelola secara baik oleh manajemen. b. Ad-Hoc Ad-Hoc adalah kondisi dimana perusahaan secara reaktif melakukan penerapan dan implementasi teknologi informasi sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa didahului dengan perencanaan sebelumnya. c. Repeatable Repeatable adalah kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan, dalam melakukan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaanya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidakkonsistenan. d. Managed Managed adalah kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif, yang dijadikan sebagai sasaran maupun objektif kinerja setiap penerapan aplikasi teknologi informasi yang ada. e. Optimised Optimised adalah kondisi dimana perusahaan dianggap telah mengimplementasikan tata kelola manajemen teknologi informasi yang mengacu pada “best practice”..

(40) BAB III METODOLOGI PENELITIAN. Dalam melakukan Audit TI digunakan Metodologi berdasarkan milik ISACA – Information Systems Auditing : Tools and Techniques (2016), yang terdiri dari Perencanaan (planning), Kerja Lapangan & Dokumentasi (fieldwork & documentation) dan Pelaporan (reporting). Seperti pada Gambar 3.0 Metodologi Audit TI RSUA. Gambar 3.0 Metodologi Audit TI RSUA 25.

(41) 26 Tabel 3.0 Audit Working Plan 2017 No.. Kegiatan Audit TI RSUA. 1.. September. 2018. Juni. Juli. Agustus. Menganalisa kondisi saat ini. √. √. √. 2.. Identifikasi permasalahan. √. 3.. Engagement Letter. √. 4.. Analisa proses bisnis. 5.. Analisa tujuan TI. 6.. Pengeumpulan informasi. 7.. Evaluasi informasi. 8.. Melakukan uji kepatuhan. √. 9.. Penyusunan temuan serta rekomendasi. √. 10.. Penyusunan draft pelaporan. √. √. √. √. √. Oktober. November Desember Januari. √ √. √ √.

(42) 27 3.1 Perencanaan (Planning) Dalam melakukan tahapan perencanaan (Planning) terdapat lima langkah yang dilakukan, yaitu Menentukan Subjek Audit, Mendefinisikan Tujuan Audit, Mengatur Ruang Lingkup, Melaksanakan Perencanaan Pra-Audit dan Menentukan Prosedur. Berikut adalah penjelasan masing-masing langkah tersebut : 3.1.1. Menentukan Subjek Audit Dalam menentukan subjek Audit TI, dilakukan dengan cara menetapkan Fungsi. Bisnis organisasi apa saja yang akan menjadi area, atau subjek dilakukannya Audit TI. Berikut penjelasan tentang bagaimana mendapatkan Fungsi Bisnis : A. Fungsi Bisnis Proses yang dilakukan untuk mendapatkan Fungsi Bisnis dengan dua cara yaitu a. Wawancara Kegiatan wawancara ini dilakukan dengan koordinator TI dan Bagian Pengembangan TI b. Identifikasi Struktur Organisasi Kegiatan ini dilakukan terhadap data Struktur Organisasi yang didapat melalui hasil wawancara Setelah melakukan dua proses tersebut, maka hasil yang didapat akan dikategorikan seperti pada Tabel 3.1 Fungsi Bisnis Tabel 3.1 Fungsi Bisnis No. 1. Fungsi Bisnis/Pelayanan Fungsi Bisnis 1. Deskripsi.

(43) 28 3.1.2. Mendefinisikan Tujuan Audit Dalam mendefinisikan tujuan Audit TI, dilakukan wawancara dengan pihak. Auditee, untuk menetapkan tujuan dan maksud dilakukannya Audit TI. Berikut adalah tahap wawancara yang akan dilakukan : A. Wawancara Tujuan Audit Wawancara akan dilakukan dengan koordinator TI, Auditor dan Auditee akan membuat kesepakatan bersama. 3.1.3. Mengatur Ruang Lingkup Proses dalam mengatur ruang lingkup dilakukan melalui menspesifikasikan. area Audit, yaitu dengan menetapkan Unit Organisasi. Berikut adalah penjelasannya A. Unit Organisasi Dalam mendapatkan Unit Organisasi, dilakukan penurunan dari Fungsi Bisnis yang telah ditetapkan sebelumnya, dan kemudian menjadi beberapa Unit Organisasi, penurunan dilakukan dengan mengidentifikasi berapa jumlah Unit Organisasi didalam satu Fungsi Bisnis, beserta Tugas Pokok masing-masing. Hasil Unit Organisasi akan dikategorikan seperti pada Tabel 3.2 Unit Organisasi Tabel 3.2 Unit Organisasi Fungsi Bisnis Fungsi Bisnis 1. Unit Organisasi 1. Unit 1. 2. Unit 2. Tugas.

(44) 29 3.1.4. Melaksanakan Perencanaan Pra-Audit Dalam langkah melaksanakan perencanaan pra-audit terdapat tiga proses. didalamnya, yaitu Engagemenet Letter, Penilaian Risiko, dan Penurunan Tujuan Bisnis, Tujuan TI serta Proses TI A. Engagement Letter Engagement Letter atau surat kesepakatan akan disusun dengan menyantumkan beberapa poin dibawah a. Penjelasan Kewajiban Pihak Auditor b. Penjelasan Kewajiban Pihak Auditee c. Tujuan Audit d. Ruang Lingkup Audit e. Penjelasan Bentuk Hasil Audit yang akan diberikan f. Aturan dan Kesepakatan dalam melakukan Audit g. Perjanjian Auditor tidak menyebarkan segala bentuk kerahasiaan h. Kesepakatan akhir dengan TTD antara Auditor dan Auditee B. Melakukan Risk Assessment Terdapat lima proses yang akan dilakukan, dalam pelaksanaan Penilaian risiko. Berikut adalah alur langkah penilaian risiko : B1.. Membuat Daftar Risiko berdasarkan Proses TI CobiT Jumlah kemungkinan risiko yang dapat terjadi, ditetapkan berdasarkan pada. jumlah Proses TI yang diambil, dan parameter pengukuran yang ditetapkan didalam masing-masing proses TI pada CobiT . Parameter ini diambil dari Process Description, pada bagian is Measured by di dalam CobiT..

(45) 30 B2.. Menentukan Tingkat Severity (Keseriusan) Tingkat Severity ditentukan dengan mengamati seberapa besar TI di RSUA. menganggap kemungkinan-kemungkinan risiko berdasarkan CobiT tersebut perlu untuk ditagani dan dikelola. Jika risiko yang ada tergolong biasa atau tidak berdampak serius, maka diberikan nilai (1). Jika risiko yang ada tergolong serius dan mulai dipertimbangkan, maka diberikan nilai (2). Jika risiko yang ada tergolong telah dipertimbangkan, dan terdapat pembentukan langkah antisipasi, maka diberi nilai (3). B3.. Menentukan Tingkat Occurence (Probabilitas) Tingkat Occurence ditentukan dengan mengamati tingkat kemungkinan, atau. probabilitas tersebut dapat terjadi pada masing-masing risiko yang ada. Jika risiko yang ada tidak pernah terjadi, maka diberikan nilai (1). Jika risiko yang ada pernah terjadi, maka diberikan nilai (2). Jika risiko yang ada sering terjadi, maka diberikan nilai (3). B4.. Menentukan Tingkat Detection (Pengendalian) Tingkat Detection ditentukan dengan mengamati kemampuan TI dalam. mengendalikan atau mengantisipasi risiko yang ada. Jika tidak terdapat antisipasi sama sekali, maka diberikan nilai (1). Jika terdapat antisipasi secara spontan atau ad-hoc, maka diberikan nilai (2). Jika terdapat antisipasi yang telah dibentuk dan direncanakan, maka diberikan nilai (3). B5.. Pelaksanaan Penilaian Risiko Penilaian risiko dilaksanakan dengan menilai semua fungsi bisnis/instalasi. medis, menggunakan Daftar Risiko dari proses TI CobiT, kemudian dinilai dengan pengukuran Severity, Occurence, dan Detection yang telah ditetapkan. Seperti pada Tabel 3.3 Daftar Risiko.

(46) 31 Tabel 3.3 Daftar Risiko Instalasi 1. Daftar Risiko. Instalasi 2. Sev Occ Det. Sev. Occ. Instalasi 3. Det Sev Occ Det. Risiko 1. 1. 1. 1. 2. 2. 2. 3. 3. 3. Risiko 2. 1. 1. 1. 2. 2. 2. 3. 3. 3. Risiko 3. 1. 1. 1. 2. 2. 2. 3. 3. 3. Nilai Risiko Setiap Unit. 3. 3. 3. 6. 6. 6. 9. 9. 9. Total Nilai. B6.. 9. 18. 27. Menghitung RPN untuk Menetapkan Area Audit Risk Priority Number digunakan untuk menentukan manakah Unit Bisnis yang. memiliki Risiko TI tertinggi, RPN ditetapkan dengan menghitung jika masing-masing instrumen pengukuran (Severity, Occurence, Detection) memiliki nilai maksimal (3), kemudian di kalikan 30 (Jumlah Daftar Risiko TI), hasilnya adalah 90. Hasil 90 tersebut kembali dikalikan 3, sesuai dengan jumlah Instrumen Pengukuran (Sev, Occ, Det), dan hasilnya 270. Kemudian 270 dibagi dengan 5 sesuai dengan jumlah kriteria RPN yang digunakan (Sangat Tinggi, Tinggi, Sedang, Rendah, Sangat Rendah), yaitu 54. Maka setiap kelipatan mulai dari 0 – 54, akan menghasilkan Kriteria RPN yang semakin tinggi, hingga pada batas maksimal 270. Risk Priority Number (RPN) dihasilkan dengan penjumlahan antara Severity (S), Occurence (O), dan Detection (D). Nilai maksimal risiko pada masing-masing Instalasi medis adalah 0 – 270, dan terdapat lima kriteria penilaian RPN seperti pada Tabel 3.4 Kriteria RPN.

(47) 32 Tabel 3.4 Kriteria RPN RPN. Calculation Level. 0-54. Sangat Rendah. 54 – 108. Rendah. 108 – 162. Sedang. 162 – 216. Tinggi. 216 – 270. Sangat Tinggi. Hasil penilaian risiko digunakan untuk mengeliminasi salah satu fungsi bisnis yang akan menjadi Area Audit. Area Audit yang akan diambil adalah fungsi bisnis, atau layanan yang hanya memiliki risiko yang Tinggi dan Sangat Tinggi C. Menurunkan Tujuan Bisnis, Tujuan TI serta Proses TI CobiT Dalam mendapatkan Tujuan Bisnis, Tujuan TI dan Proses TI, dilakukan identifikasi perspektif Balanced Scorecard yang telah dipilih sebelumnya, dari perspektif tersebut diturunkan menjadi beberapa Tujuan Bisnis, menggunakan Table Linking Goals and Process pada CobiT. Dari jumlah Tujuan Bisnis tersebut diturunkan kembali menjadi beberapa Tujuan TI, menggunakan Table Lingking IT Goals to IT Process pada CobiT. Dari jumlah Tujuan TI tersebut diturunkan kembali menjadi beberapa Proses TI. 3.1.5. Menentukan Prosedur Audit Langkah ini dilakukan untuk menetapkan tata cara, atau prosedur apa saja untuk. mendapatkan data dan informasi, dan pada enititas apa saja pengumpulan data dilakukan. Menentukan Prosedur Audit terdiri dari empat proses, yaitu Mendapatkan dan Review Kebijakan, Divisi TI yang bertanggung jawab pada proses TI, Daftar.

(48) 33 Auditee, serta Daftar Pernyataan dan Pertanyaan. Berikut penjelasan masing-masing proses : A. Mendapatkan dan Review Kebijakan Mendapatkan kebijakan, prosedur dan standar, dilakukan dengan meminta kepada pihak Auditee, yaitu bagian koordinator TI, berupa berbagai Kebijakan, Prosedur dan Panduan yang telah didokumentasikan. Kemudian dokumen-dokumen tersebut akan di review secara independen oleh Auditor sebagai resource untuk pelaksanaan Audit. B. Divisi TI yang Bertanggung Jawab pada Proses TI RSUA memiliki dua Divisi TI yang berbeda berdasarkan peran dan tanggung jawabnya, maka setiap proses TI akan diidentifikasi, manakah Divisi TI yang sesuai dengan setiap proses TI tersebut. Dalam mendapatkan data tersebut dilakukan dengan wawancara kepada dua Divisi TI yang ada di RSUA. Berikut adalah pemetaan Proses TI pada dua Divisi TI, seperti pada Tabel 3.5 Divisi TI yang bertanggung jawab Tabel 3.5 Divisi TI yang bertanggung jawab No No Proses TI. Nama Proses TI Nama Proses TI. 1. Deskripsi Proses TI Nama Proses TI. 2. Deskripsi Proses TI. Penanggung jawab Divisi TI. PPTSI. √. √.

(49) 34 C. Daftar Auditee Dalam mendapatkan daftar auditee, dilakukan wawancara menggunakan RACI Chart sebagai tools untuk mengidentifikasi, dan memetakan siapa saja aktor TI yang akan terlibat, sesuai dengan RACI Chart pada CobiT 4.1. RACI Chart tersebut memilki empat kategori yaitu Responsible (bertanggung jawab), Accountable (akuntabel), Confirmed (dikonfirmasi) dan Informed (diinformasikan). Seperti pada Tabel 3.6 Daftar Auditee RACI Chart. Proses TI – 1 Proses TI – 2 Proses TI – 3 Proses TI – 4 Proses TI – 5 Proses TI – 6 Proses TI – 7 Proses TI – 8 Proses TI – 9. Problem Manager. Service Desk / Incident Mg. Service Manager. Training Department. Deployement Team. Penjaminan Mutu. Project Manager Officer. Head IT Administration. Head Development. Chief Architect. Head Operations. Business Process Owner. CIO. Proses TI. Business Executive. Tabel 3.6 Daftar Auditee RACI Chart. R. R. R. R. R. R. R. R R. R R. R R. R R. R R.

(50) 35 D. Daftar Pernyataan dan Pertanyaan Daftar pernyataan didapat dari Control Objectives pada setiap proses TI CobiT, jumlah pernyataan yang dibuat sesuai dengan jumlah poin pada masing-masing Control Objectives. Seperti pada Tabel 3.7 Daftar Pernyataan Tabel 3.7 Daftar Pernyataan No. Pernyataan. Control Objectives. AI1.1. Definisi dan Pemeliharaan Fungsional Bisnis serta Kebutuhan Teknis. Terdapat Pendefinisian dan Pememliharaan Fungsional Bisnis serta Kebutuhan Teknis.. AI1.2. Laporan Analisis Risiko. Terdapat Laporan Analisis Risiko.. AI1.3. Studi Kelayakan dan Perumusan Tindakan Program Alternatif. Terdapat Studi Kelayakan dan Perumusan terhadap Tindakan Program Alternatif. Setelah didapat jumlah pernyataan dari satu Proses TI, maka dilakukan pembuatan pertanyaan berdasarkan masing-masing pernyataan tersebut. Seperti pada Tabel 3.8 Daftar Pertanyaan Tabel 3.8 Tabel Pertanyaan No. Pernyataan. Pertanyaan Apakah Fungsional Bisnis dan Kebutuhan Teknis telah diidentifikasi ?. 1. Terdapat pendefinisian Apakah Fungsional Bisnis dan Kebutuhan Fungsional Bisnis dan Teknis telah diprioritaskan ? Kebutuhan Teknis. Apakah Fungsional Bisnis dan Kebutuhan Teknis telah ditentukan serta disetujui ?.

(51) 36 3.2. Pekerjaan Lapangan/Dokumentasi (Fieldwork/Documentation) Dalam. melakukan. (Fieldwork/Documentation),. tahapan terdapat. empat. Pekerjaan langkah. Lapangan/Dokumentasi yang. dilakukan,. yaitu. Mendapatkan Data, Uji Pengendalian, serta Menentukan Tingkat Kematangan Organisasi TI. Berikut adalah penjelasan dari masing-masing proses : 3.2.1. Mendapatkan Data Dalam langkah mendapatkan data (acquire data), akan dilakukan dengan. melakukan Interview Auditee. Seperti penjelasan berikut A. Interview Auditee Proses ini melakukan interaksi dengan Auditee secara langsung melalui Wawancara dan Tanya jawab, maupun tidak langsung melalui Observasi. Wawancara dan Observasi dilakukan untuk mendapatkan Bukti Audit (Audite Evidence), dalam mendapatkan bukti tersebut pendekatan yang dilakukan menggunakan Siklus Hidup Bukti Temuan (Evidence Lifecycle), yaitu Identification, Collection, Preservation Storage, Analysis, Postanalysis Preservation Storage, Presentation dan Return to Owner. Siklus hidup bukti temuan (Evidence Lifecycle) tersebut, dijadikan dasar dalam melakukan, Wawancara dan Tanya Jawab, serta Observasi. a.. Wawancara dan Tanya Jawab Dalam melakukan kegiatan Wawancara dan Tanya Jawab, Auditor akan. menggunakan RACI RSUA, yang telah ditentukan dan ditetapkan sebelumnya. Dalam RACI RSUA tersebut terdapat pihak yang bertanggung jawab (Responsible), akuntabel (Accountable), dikonfirmasi (Confirmed), dan diinformasikan (Informed). Dalam RACI RSUA tersebut Auditor akan fokus melakukan wawancara dengan pihak yang hanya.

(52) 37 bertanggung jawab (Responsible), karena pihak tersebut secara penuh akan memahami atas eksekusi atau pelaksanaan terhadap peran atau tugas tertentu. b.. Observasi Observasi akan dilakukan terhadap hasil dari Wawancara dan Tanya Jawab,. yaitu dengan menganalisa dan mengidentifikasi bukti-bukti yang telah didapat, sesuai dengan Evidence lifecycle 3.2.2. Uji Pengendalian Setelah mendapatkan hasil Wawancara, Data dan bukti Audit (Audite. Evidence). Maka hasil tersebut di uji melalui Uji Pengendalian. Terdapat dua proses dalam melakukan Uji Pengendalian, yaitu Uji Kepatuhan (Complience Test) dan Penilaian Maturity Level, yang akan dijelaskan sebagai berikut A. Uji Kepatuhan (Complience Test) Proses uji kepatuhan dilaksanakan dengan menetapkan nilai bobot dan nilai tingkat kepatuhan pada Maturity Model, secara kualitatif dan kuantitatif. Nilai bobot terdapat empat kategori, seperti pada Tabel 3.9 Nilai Bobot Maturity Model Tabel 3.9 Nilai Bobot Maturity Model No.. Nilai Kualitatif. Nilai Kuantitatif. 1.. Sangat Penting. 0.90 – 1.00. Aktivitas tersebut mempunyai peranan yang sangat penting dalam proses TI. 2.. Penting. 0.70 – 0.89. Aktivitas tersebut mempunyai peranan yang penting dalam proses teknologi informasi.. 3.. Cukup Penting. 0.50 – 0.69. Aktivitas tersebut turut mempengaruhi proses teknologi informasi.. 4.. Kurang Penting. 0.00 – 0.49. Aktivitas yang bila diterapkan dapat melengkapi proses teknologi informasi.. Keterangan.

(53) 38 Nilai kepatuhan ditetapkan dengan nilai maksimal bilangan satu (1.00), kemudian dibagi dengan bilangan tiga (3) agar dapat menghasilkan empat kategori penilaian. Hasil pembagian adalah (0.33), dari bilangan tersebut dilipat gandakan hingga mendekati ankga satu (1.00), yang hasilnya (0.33); (0.66); (0.99) dan bilangan (0.99) dibulatkan menjadi (1.00), kemudian bilangan (0.00) ditambahkan sebagai nilai bilangan terendah seperti pada Tabel 3.10 Nilai Kapatuhan Maturity Model Tabel 3.10 Nilai Kepatuhan Maturity Model No.. Nilai Kualitatif. Nilai Kuantitatif. 1.. Seluruhnya. (1.00). 2.. Dalam tingkatan tertentu. (0.66). 3.. Sedikit. (0.33). 4.. Tidak sama sekali. (0.00). Keterangan Jika total area / organisasi yang di Audit, 100% mematuhi kriteria. Jika total area / organisasi yang di Audit 66% mematuhi kriteria. Jika total area / organisasi yang di Audit, 33% mematuhi kriteria. Jika total area / organisasi yang di Audit, 0.00% mematuhi kriteria. Kemudian penetapan kriteria Nilai Bobot dan Nilai Kepatuhan, dimasukkan dalam tabel-tabel Nilai Maturity Model Seperti Gambar 3.1 Nilai Maturity Model. Gambar 3.1 Nilai Maturity Model Penilaian Total Bobot dilakukan hanya dengan sekali perhitungan yaitu.

(54) 39 a. Nilai bobot di setiap tabel dijumlahkan, kemudian dibagi dengan jumlah tabel tersebut. Penilaian Kepatuhan dilakukan dengan tiga kali perhitungan yaitu b. Nilai Kepatuhan, didapat dengan mengalikan nilai bobot dengan nilai kepatuhan yang ditetapkan (0.00), (0.33), (0.66) atau (1.00), pengalian tersebut harus sesuai dengan urutan tabel, antara tabel Nilai Bobot dan Nilai Kepatuhan. c. Total Nilai Kepatuhan, didapat dengan menjumlahkan semua Nilai Kepatuhan, kemudian dibagi dengan jumlah tabel tersebut. d. Tingkat Kepatuhan, adalah penilaian terakhir, didapat dengan membagi antara Total Nilai Kepatuhan dengan Total Bobot. B. Menentukan Maturity Level setiap Proses TI Proses ini menghitung seluruh nilai Maturity Level setiap Proses TI, setiap hasil Proses TI yang dihitung, akan dikategorikan menurut Tujuan TI masing - masing. Nilai Maturity Level pada setiap Tujuan TI dihasilkan dengan dua kali perhitungan, yaitu a. Nilai Proses TI, didapat dengan menjumlah Tingkat Kepatuhan, dari Level Kedewasaan 0 – 5. b. Rata-rata, didapat dengan menjumlahkan semua nilai Proses TI, kemudian dibagi dengan jumlah Proses TI yang ada. Hasil perhitungan dikategorikan berdasarkan As Is, To Be yang ingin dicapai, serta jumlah Gap dari As Is ke To Be seperti pada Tabel 3.11 Nilai Maturity Level.

(55) 40 Tabel 3.11 Nilai Maturity Level Maturity Level As Is To Be Gap. Kerangka Kerja CobiT Proses TI TI 1 TI 2 TI 3 TI 4 TI 5 TI 6 TI 7 TI 8 TI 9 TI 10. Keterangan Proses TI 1 Proses TI 2 Proses TI 3 Proses TI 4 Proses TI 5 Proses TI 6 Proses TI 7 Proses TI 8 Proses TI 9 Proses TI 10 Rata-Rata. 2.00 2.00 2.00 2.00 2.00 2.00 2.00 2.00 2.00 2.00 2.00. 3.00 3.00 3.00 3.00 3.00 3.00 3.00 3.00 3.00 3.00. 1.00 1.00 1.00 1.00 1.00 1.00 1.00 1.00 1.00 1.00. Setiap penilaian Maturity Level pada Proses TI dan Tujuan TI hanya akan memiliki nilai maksimal. adalah. enam. (6),. dan. terendah. adalah. nol. (0).. Kemudian hasil Nilai Maturity Level tersebut dimasukkan dalam Spider Chart, agar mendapat gambaran secara grafik apa saja Proses TI yang nilainya terendah dan tertinggi, seperti yang ditunjukkan pada Gambar 3.2 Spider Chart. AI7. AI4. 5 4 3 2 1 0. AI1 AI2. AI6. PO2. PO3 AI5. Gambar 3.2 Spider Chart.

(56) 41 3.2.3. Menghitung Tingkat Kematangan Organisasi Hasil Tingkat Kematangan Organisasi didapat dengan menjumlah semua rata-. rata Maturity Level setiap Tujuan TI, kemudian dibagi dengan jumlah banyaknya Tujuan TI yang ada, seperti Tabel 3.2.4 Tingkat Kematangan Organisasi TI RSUA, dan Gambar 3.12 Tingkat Kematangan Organisasi Tabel 3.12 Tingkat Kematangan Organisasi No. Tujuan TI 1 Tujuan TI A Tujuan TI B 2. Maturity Level. Nama Tujuan TI. Rata-Rata. 5.00 5.00 5.00. Setelah mendapatkan nilai Rata-rata semua Tujuan TI, maka selanjutnya akan digambarkan secara garis memanjang, berada di tingkat manakah Tingkat Organisasi TI saat ini, seperti pada Gambar 3.3 Tingkat Kematangan Organisasi. Gambar 3.3 Tingkat Kematangan Organisasi.

(57) 42 3.3. Pelaporan (Reporting) Dalam melakukan tahapan Pelaporan (Reporting) terdapat tiga langkah yang. dilakukan, yaitu Draf Laporan, Temuan Audit, serta Tindak Lanjut Saran dan Rekomendasi 3.3.1. Draf Laporan – ISACA Independent Auditors Report Penyusunan draf laporan akan disesuaikan standar ISACA, dengan format. konten yang ditetapkan pada referensi IS Auditing : Tools and Techniques – IS Audit Reporting. Berikut adalah konten utama dalam draf laporan 1. Halaman Judul 2. Penandantanganan dan Halaman Pengiriman (penandatanganan adalah wajib) 3. Daftar Isi (opsional) 4. Pengantar/Pengenalan (opsional) 5. Ringkasan Rencana (opsional tergantung pada panjang dan kompleksitas laporan) 6. Lingkup Audit (wajib) 7. Tujuan Audit (wajib) 8. Metodologi Audit (wajib) 9. Hasil Audit (wajib tergantung pada hasil audit) 10. Kesimpulan/Pendapat Audit (wajib) 11. Rekomendasi (wajib tergantung pada hasil audit) 12. Mengelola Respon (wajib tergantung pada hasil audit) 13. Jawaban Auditor (opsional) 14. Lampiran (opsional).

(58) 43 3.3.2. Temuan Audit Langkah temuan Audit dilakukan dengan membandingkan Tujuan Process. Description setiap Proses TI, dengan kesimpulan hasil wawacara masing-masing Proses TI, kemudian dikomunikasikan kembali dengan pihak Auditee, apakah setuju dan memahami dengan laporan masalah yang dicantumkan. Seperti pada Tabel 3.13 Hasil Temuan Audit Tabel 3.13 Hasil Temuan Audit. No. 3.3.3. Proses TI. Kerangka Kerja CobiT Temuan Audit TI. Tindak Lanjut Saran dan Rekomendasi Pada langkah Tindak Lanjut atau hasil akhir, dilakukan pembuatan Saran dan. Rekomendasi dengan beberapa proses . Berikut proses yang akan dilakukan : A. Identifikasi Gap antara As Is dan To Be Identifikasi dilakukan dengan melihat jarak atau peringkat antara As Is dan To Be, seperti diperlihatkan dibawah a. 0 – Proses manajemen tidak diterapkan sama sekali b. 1 – Proses masih berupa Ad Hoc dan tidak terorganisir c. 2 – Proses mengikuti pola reguler d. 3 – Proses didokumentasikan dan dikomunikasikan e. 4 – Proses dipantau dan diukur f. 5 – Praktek yang baik diikuti dan otamatis.

(59) 44 Jika sebuah organisasi Tingkat Kematangan Organisasi atau As Is pada level 1, dan ingin ditingkatkan ke level 3, maka kesenjangannya terdapat pada level 2, yaitu Proses yang ada harus mengikuti pola reguler, dan level 3, yaitu Proses-proses TI harus didokumentasikan dan dikomunikasikan. B. Saran dan Rekomendasi Setiap Proses TI akan diberikan Saran dan rekomendasi masing-masing, disertakan Saran dan Rekomendai berdasarkan Risiko Proses TI, sebagai prioritas untuk membenahi Proses TI yang berisiko. Hasil ini dihitung dengan menjumlahkan nilai risiko Proses TI pada masing-masing Unit Bisnis/Instalasi Medis..

(60) BAB IV HASIL DAN PEMBAHASAN. 4.1. Hasil Tahapan Perencanaan (Planning) Dalam melakukan tahapan perencanaan (Planning), terdapat lima output. dokumen yang dihasilkan oleh masing-masing langkah, yaitu Menentukan Subjek Audit, Mendefinisikan Tujuan Audit, Mengatur Ruang Lingkup, Melaksanakan Perencanaan Pra-Audit dan Menentukan Prosedur. Berikut adalah hasil dari masingmasing langkah : 4.1.1. Hasil Menentukan Subjek Audit Hasil penetapan subjek Audit telah menghasilkan dua dokumen, yaitu Fungsi. Bisnis dan Unit Organisasi. Seperti hasil yang disebutkan dibawah A.. Hasil Fungsi Bisnis Hasil Fungsi bisnis atau Instalasi didapatkan melalui dokumen struktur. organisasi RSUA dan wawancara bersama koordinator Divisi TI, berikut adalah hasil penetapan dan deskripsi/tujuan dari setiap instalasi, pada Tabel 4.1 Fungsi Bisnis/Instalasi RSUA Tabel 4.1 Fungsi Bisnis/Instalasi RSUA No.. Fungsi Bisnis/Pelayanan. Deskripsi Memberikan pelayanan medis yang dibutuhkan. 1. oleh penderita dengan penanganan yang cepat Instalasi Perawatan Kritis walaupun riwayat kesehatan belum jelas, untuk & Kegawat Daruratan menyelamatkan kehidupan pasien.. 45.

(61) 46 No.. Fungsi Bisnis/Pelayanan. Deskripsi Memberikan upaya pelayanan penyembuhan pasien melalui pengobatan dan perawatan yang. 2. dilaksanakan dalam ruang rawat inap di RSUA. Instalasi Rawat Inap. Pelayanan Rawat Inap RSUA memiliki beberapa kelompok pelayanan kesehatan yang merupakan gabungan dari beberapa fungsi pelayanan. Instalasi Rawat Jalan atau yang biasa dikenal dengan Poliklinik melayani tindakan observasi, diagnosis, pengobatan, rehabilitasi medik, serta pelayanan kesehatan lainnya seperti permintaan. 3. Instalasi Rawat Jalan. surat keterangan sehat dan surat keterangan bebas narkoba. Instalasi rawat jalan adalah pelayanan kesehatan yang dilakukan tanpa pasien atau penderita perlu menginap. Memberikan pelayanan yang dilaksanakan oleh. 4. Instalasi Penunjang Medis. tenaga medik dan paramedik yang berfungsi agar pengobatan dan perawatan yang diberikan lebih maksimal, melalui penegakan diagnosis/terapi Memberikan pelayanan penyediaan obat bagi. 5. Instalasi Farmasi. pasien rumah sakit universitas airlangga dan masyarakat umum lainnya.. Terdapat lima fungsi bisnis yang telah ditetapkan, yaitu (1)Instalasi Perawat Kritis & Kegawat Daruratan, (2)Instalasi Rawat Inap, (3)Instalasi Rawat Jalan, (4)Instalasi Penunjang Medis, dan (5)Instalasi Farmasi. Dari lima Unit Instalasi medis tersebut, berikut adalah Layanan-layanan TI yang tersedia seperti Tabel 4.2 Layanan-layanan TI RSUA.

Gambar

Gambar 2.2 Cause-Effect Relationship Diagram Perspektif Keuangan  Tujuan-tujuan
Gambar 2.4 Typical Audit Process Steps by Phase Typical Audit Process Steps by Phase
Gambar 2.5 The Risk IT Framework
Tabel 2.1 Nilai Tingkat Kepentingan No. Nilai Kualitatif Nilai Kuantitatif Keterangan
+7

Referensi

Unduh sekarang ( PDF - 143 Halaman - 18.79 MB )

Garis besar

Hasil Uji Pengendalian

Dokumen terkait

STRATEGI PEMBELAJARAN TAḤFIẒ AL-QUR’AN DALAM MEMBENTUK AKHLAK KARIMAH SISWA (Studi Multisitus di SMP Islam Al-Fattahiyyah Boyolangu Tulungagung dan SMP Tahfidz Ar-Rosyid Boyolangu Tulungagung)

Dan dengan keunikan dan keunggulan SMP Islam Al-Fattahiyyah Boyolangu Tulungagung dan SMP Tahfidz Ar-Rosyid Boyolangu Tulungagung yang memprogramkan pembelajaran tahfidz

Seminar Hasil. oleh: Ferry Kondo Lembang Dosen Pembimbing: Dr.Ir. Setiawan, M.S Dr.Sutikno, S.Si, M.Si

Panjang data historis sering menjadi kendala dalam pemodelan iklim terutama jika jumlah prediktor lebih banyak dari panjang data historis, sehingga diperlukan kajian metode

13 Maret Market Review. Yen & Franc Diuntungkan Risk Aversion. Yen Jepang dan Franc Swiss menguat seiring

Bias intraday menjadi bearish di jangka pendek, khususnya jika harga berhasil anjlok secara meyakinkan dibawah area 0.8925 untuk menambah tekanan bearish mengincar target

Pengujian autokorelasi pada model regresi spasial lag dengan statistik uji Moran : Kasus penyakit demam berdarah dengue (dbd) di jawa timur tahun 2009

Dari pengujian asumsi pada model regresi linier dengan menggunakan OLS dapat dinyatakan bahwa pada model regresi tersebut tidak terpenuhinya homoskedatisitas atau tidak

Analisis Lingkungan Kerja Dan Disiplin Kerja Terhadap Kinerja Pegawai Pada Dinas Kebudayaan Pariwisata Pemuda Dan Olah Raga Kabupaten Bungo

Selanjutnya secara rinci dapat dijelaskan bahwa Secara deskriptif pernyatan untuk variabel Disiplin Kerja yang paling besar frekuensinya dari empat dimensi

Analisis Strategi Pengembangan Usaha Laundry Sepatu D’estilo Makassar dalam Peningkatan Pendapatan (Tinjauan Ekonomi Islam)

“yakni yang pertama menganalisa apa yang menjadi kebutuhan pasar saat ini dan yang lagi trend dan minim pesaing dan banyak dibutuhkan seperti laundry sepatu,

Persepsi Ibu Rumah Tangga terhadap Pembelian Kerupuk di Kota Banjarbaru

Dari jumlah orang atau responden yang memilih jenis kerupuk dapat dilihat bahwa untuk jumlah yang paling bayak memilih jenis kerupuk adalah 22 orang yaitu

Analisis Faktor-faktor Kedisiplinan Kerja Karyawan pada Koperasi Tirta Dharma Khatulistiwa Pdam Kota Pontianak

Adapun hasil wawancara dengan manajer koperasi Tirta Dharma Khatulistiwa PDAM Kota Pontianak pada hari/tanggal : Rabu, 10 Mei 2017, Waktu : 09.25 WIB, Tempat :