PROPOSAL TUGAS AKHIR
PENGUKURAN KESELARASAN TUJUAN TEKNOLOGI INFORMASI DAN TUJUAN BISNIS UNIVERSITAS NAROTAMA SURABAYA
DITINJAU DARI PERSPEKTIF PROSES BISNIS/INTERNAL MENGGUNAKAN STANDAR COBIT 4.1.
Disusun oleh : RENY KOMALASARI
NIM : 04210128
PROGRAM STUDI SISTEM INFORMASI FAKULTAS ILMU KOMPUTER
UNIVERSITAS NAROTAMA SURABAYA
Pengukuran Keselarasan Tujuan Teknologi Informasi Dan Tujuan Bisnis Universitas Narotama Surabaya Ditinjau Dari Perspektif Proses
Bisnis/Internal Menggunakan Standar Cobit 4.1
PROPOSAL
Diajukan sebagai syarat untuk mengerjakan Tugas Akhir
Oleh :
Nama : Reny Komalasari
NIM : 04210128
Program : S1 (Strata Satu) Fakultas : Ilmu Komputer Program Studi : Sistem Informasi
Surabaya, April 2011 Disetujui :
Pembimbing I
Cahyo Darujati, MT NIDN: 0710097402
Pembimbing II
Indri Sudanawati Rozas, S.Kom NIDN: 0721078202
Mengetahui :
Kaprodi S1 Sistem Informasi
A. Judul
Pengukuran Keselarasan Tujuan Teknologi Informasi Dan Tujuan Bisnis Universitas Narotama Surabaya Ditinjau Dari Perspektif Proses Bisnis/Internal Menggunakan Standar Cobit 4.1.
B. Latar Belakang Masalah
Semua organisasi dalam pembangunan dan pengembangannya memerlukan informasi agar dapat memaksimalkan pengambilan keputusan baik yang bersifat operasional maupun terutama yang bersifat strategis untuk semua masalah disetiap fungsi manajemen.
Diperlukan kecepatan dan ketepatan informasi ketika berbagai masalah berikut tingkat kompleksitasnya perlu diolah agar bisa mendapatkan solusi yang diperlukan secara efektif, efisien dan sistemik bagi setiap masalah. Seperti yang pada umumnya dipahami, peranan teknologi informasi diperlukan untuk mendapatkan informasi yang cepat dan tepat tersebut.
Teknologi Informasi saat ini menjadi bagian yang tak terpisahkan dan terintegrasi dengan tujuan bisnis organisasi (Sarno, 2009). Bagaimana teknologi informasi diaplikasikan dalam suatu organisasi akan mempengaruhi seberapa jauh organisasi tersebut telah mencapai visi, misi ataupun tujuan strategisnya (Sarno, 2009).
pengelolaan teknologi informasi melalui kegiatan audit teknologi informasi di Universitas Narotama Surabaya.
Dalam melakukan audit, diperlukan sebuah standar yang bisa membantu agar terjadi pengukuran yang valid dan realable. Dalam penelitian ini, standar yang digunakan adalah COBIT 4.1 dengan mengacu pada Balanced Scorecard. Standar COBIT (Control Objectives for Information and related Technology) dipilih karena kerangka kerja COBIT memberikan gambaran paling detil mengenai strategi dan kontrol dalam pengaturan proses teknologi informasi yang mendukung keselarasan strategi bisnis dan tujuan teknologi informasi (Sarno, 2009). Dalam standar COBIT juga terdapat perhitungan nilai Maturity Level yang merepresentasikan tingkat keselarasan tujuan teknologi informasi dan tujuan bisnis organisasi.
Dari penelitian ini, diharapkan dapat diketahui sejauh mana peranan teknologi informasi dapat merepresentasikan tujuan bisnis Universitas Narotama Surabaya. Sehingga berdasarkan temuan-temuan dari pelaksaanan audit, menghasilkan rekomendasi yang dapat digunakan Universitas Narotama Surabaya sebagai referensi untuk meningkatkan peranan dan pengelolaan teknologi informasi agar kedepannya dapat mendukung tujuan bisnis organisasi dengan lebih baik.
C. Perumusan Masalah
Berdasarkan latar belakang yang telah diuraikan, didapatkan suatu perumusan rmasalah sebagai berikut :
1. Bagaimana melakukan pengukuran keselarasan tujuan teknologi informasi dan tujuan bisnis Universitas Narotama Surabaya berdasarkan perspektif proses bisnis/internal Balanced Scorecard menggunakan standar COBIT 4.1.
2. Bagaimana mengelola hasil audit, melakukan analisis maturity level yang digambarkan dengan grafik laba-laba sampai dengan mengasilkan suatu rekomendasi untuk pengelolaan teknologi informasi.
D. Pembatasan Masalah
1. Pengukuran keselarasan antara tujuan teknologi informasi dan tujuan bisnis Universitas Narotama Surabaya dilakukan melalui audit teknologi informasi.
2. Pemetaan ruang lingkup audit menggunakan pendekatan perspektif proses bisnis/internal Balanced Scorecard dengan mengacu pada standar COBIT 4.1.
3. Tingkat keselarasan tujuan teknologi informasi dan tujuan bisnis organisasi direpresentasikan oleh nilai Maturity Level.
E. Tujuan
Tujuan dari penelitian ini adalah:
1. Melakukan pengukuran tingkat keselarasan tujuan teknologi informasi dan tujuan bisnis pada Universitas Narotama Surabaya berdasarkan perspektif proses bisnis/internal menggunakan standar COBIT 4.1 untuk mengetahui sejauh mana peranan dan pengelolaan teknologi informasi dapat merepresentasikan tujuan bisnis organisasi.
2. Mengelola hasil audit, melakukan analisis maturity level masing-masing control objective yang digambarkan dengan grafik laba-laba serta menghasilkan suatu rekomendasi yang berisi saran dan usulan perbaikan pengelolaan teknologi informasi.
F. Landasan Teori
Informasi merupakan hasil dari pengolahan data yang secara prinsip memiliki nilai atau value lebih dibandingkan dengan data mentah sehingga lebih bermanfaat dan bermakna bagi pemakai. Sedangkan data adalah fakta yang menyatakan suatu kejadian atau lingkungan fisik yang belum dikelola menjadi bentuk yang bermakna dan bermanfaat bagi manusia (Karya, 2004). Pengelolaan informasi sebagai salah satu sumber daya strategis organisasi menjadi salah satu kunci sukses untuk mendukung tercapainya visi dan misi suatu organisasi (Herlambang dan Tanuwijaya, 2005: 46-47).
Kata ‘sistem’ mengandung arti ‘kumpulan dari komponen-komponen yang memiliki unsur keterkaitan antara satu dan lainnya’. Sistem informasi merupakan suatu kumpulan dari komponen-komponen dalam organisasi yang berhubungan dengan proses penciptaan dan pengaliran informasi (Scott, 1995: 69, Indrajit, 2000:2-3 dan karya, 2004). Alter (1996) dalam Sarno (2009: 26) mendefinisikan sistem informasi sebagai sebuah sistem yang menggunakan teknologi informasi untuk menangkap, mentransmisikan, menyimpan, mendapatkan, memanipulasi atau menampilkan informasi yang dibutuhkan oleh satu atau lebih proses bisnis. Agar dapat berdaya guna, sistem informasi seharusnya merupakan rangkaian prosedur formal yang melakukan pengelompokan data, pemrosesan dan pendistribusian kepada pengguna (Hall, 2001 dalam Sarno, 2009: 26). Peran penting sistem informasi untuk sebuah organisasi (O’Brien, 1996: 17) adalah: 1. Membantu proses dan operasional bisnis.
2. Mendukung pengambilan keputusan Manajemen.
3. Mendukung penciptaan keunggulan kompetitif yang strategis.
terintegrasi yang digunakan untuk menjaring data, mengolah dan mengirimkan atau menyajikan secara elektronik menjadi informasi dalam berbagai format yang bermanfaat bagi penggunanya (Sarno, 2009: 27). Dengan demikian, pengertian teknologi informasi lebih ke arah hal-hal yang terkait dengan teknologi komputer (computing technology) dan teknologi komunikasi (communication technology) yang digunakan untuk memproses dan menyebarkan informasi, baik yang bersifat finansial atau non finansial (Bodnar & Hopwood, 2004, dalam Sarno, 2009: 27).
F.2. Audit Sistem dan Teknologi Informasi
Menurut Ron Weber, audit sistem dan teknologi informasi merupakan proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien (Sayana, 2002, dalam Sarno, 2009: 28). Dengan demikian, Aktivitas audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan (Sarno, 2009: 27).
Berdasarkan pengertian yang telah diuraikan dan menurut Swastika (2007), dapat disimpulkan bahwa tujuan dari audit sistem dan teknologi informasi adalah untuk mengetahui apakah pengelolaan sistem dan teknologi informasi telah:
Effectivity, dalam pengelolaannya untuk mencapai tujuan bisnis organisasi telah berjalan secara efektif (benar, konsisten, dapat dipercaya dan tepat waktu).
Efficiency, dalam pengelolaannya untuk mencapai tujuan bisnis organisasi telah menggunakan sumber daya organisasi secara efisien (optimal).
Secara umum dalam proses pelaksanaan audit terdapat beberapa fase, yaitu (Imanuel, 2010, Dewi, 2010,):
1. Perencanaan audit dengan merumuskan langkah-langkah yang sistematis. 2. Pengumpulan bukti-bukti dan menilainya.
3. Analisis dan evaluasi temuan terhadap aturan yang sudah ditetapkan. 4. Penyusunan laporan akhir hasil dari pemeriksaan.
F.3. Balanced Scorecard
Balanced Scorecard didefinisikan sebagai “suatu alat manajemen kinerja (performance manegement tool) yang dapat membantu organisasi untuk menerjemahkan visi dan strategi ke dalam aksi dengan memanfaatkan sekumpulan indikator finansial dan non-finansial yang kesemuanya terjalin dalam suatu hubungan sebab akibat” (Luis dan Biromo, 2007). Menurut Sarno (2009: 28), Balanced Scorecard merupakan kartu skor yang digunakan untuk mengukur kinerja dengan memperhatikan keseimbangan antara faktor keuangan dan non-keuangan baik jangka pendek maupun jangka panjang serta kondisi internal maupun eksternal.
dari keempat perspektif tersebut digambarkan dengan cause-effect relationship diagram berikut:
Gambar F.1 Cause-Effect Relationship Diagram (Sumber: Gaspersz, 2005:62)
Fungsi Balanced Scorecard menurut Sayekti (2007) adalah:
1. Sebagai sistem pengukuran kinerja yang melihat organisasi secara
keseluruhan melalui empat perspektif.
2. Sebagai sistem manajemen strategik yang menyelaraskan antara tujuan jangka pendek dengan strategi tujuan jangka panjang.
3. Sebagai sarana komunikasi bagi perusahaan dengan menerjemahkan strategi
Perspektif proses bisnis/internal merupakan salah satu dari empat perspektif yang ada dalam Balanced Scorecard. Fokus dalam perspektif ini adalah proses internal yang seharusnya dilakukan oleh manajemen organisasi, berkaitan dengan penciptaan produk/jasa untuk menarik dan mempertahankan pelanggan sekaligus untuk memberikan peningkatan nilai bagi pemegang saham (Sarno, 2009: 13). Proses tersebut dapat dilakukan melalui evaluasi terhadap apa yang diharapkan pelanggan sesuai dengan kebutuhan bisnisnya pada proses internal organisasi, seperti: kualitas produk/jasa yang dihasilkan, waktu respon maupun pengenalan produk.
Untuk peningkatan proses bisnis/internal, Kaplan dan Norton (1996, dalam Sarno, 2009: 14) membagi proses pokok bisnis/internal menjadi tiga fase:
1. Proses inovasi (Innovation Process).
Terdiri dari dua aktivitas yang saling berkelanjutan yakni identifikasi pasar kemudian diiringi dengan penciptaan usulan produk/jasa. Pada fase ini, organisasi mengidentifikasikan kebutuhan pelanggan masa kini dan masa mendatang serta mengembangkan solusi baru untuk kebutuhan pelanggan tersebut.
2. Proses operasional (Operational Process).
Terdiri dari aktivitas pembuatan dan penyampaian produk/jasa yang menitik beratkan pada efisiensi proses, konsistensi serta ketepatan waktu hingga diterima oleh pelanggan. Pengukuran kinerja pada fase ini dilakukan pada tiga dimensi: waktu, kualitas proses dan biaya proses.
Fase ini merupakan bagian yang berpengaruh langsung terhadap kepuasan pelanggan. Aktivitas yang dilakukan pada fase ini berupa pemberian layanan kepada pelanggan, seperti: garansi, penyelesaian masalah yang timbul pada pelanggan, reparasi dan lain-lain.
F.5. Tujuan Bisnis
Menurut McLeod (2004), tujuan bisnis dapat tercapai apabila dijalankan dengan menggunakan strategi bisnis yang tepat. Strategi (Edwards, 1995) dapat didefinisikan sebagai suatu rangkaian kegiatan yang terintegrasi dan ditujukan untuk meningkatkan faktor-faktor yang menentukan tujuan dan kemampuan organisasi.
COBIT (Sarno, 2009: 19) mendefinisikan tujuan bisnis terkait dengan aktivitas teknologi informasi yang umumnya ada di perusahaan. Pada kerangka kerja COBIT hanya menjelaskan tujuan-tujuan bisnis yang berkaitan dengan proses teknologi informasi. Demi memudahkan proses kontrol, COBIT mengelompokkan tujuan tersebut ke dalam perspektif kinerja Balanced Scorecard seperti terlihat dalam tabel F.1 (ITGI, COBIT 4.1, 2007). Perusahaan/organisasi mungkin tidak memiliki semua tujuan bisnis seperti yang dikelompokkan dalam tabel tersebut. Dalam penyusunan tujuan bisnis, perusahaan dapat memilih yang sesuai dengan karakteristik organisasinya masing-masing. Pemilihan tujuan bisnis dapat dilakukan dengan mendefinisikan proses bisnis utama maupun bisnis pendukung organisasi terlebih dahulu.
.
3. Peningkatan transparansi dan tata kelola perusahaan. Perspektif
Pelanggan 4.
Peningkatan layanan dan orientasi terhadap pelanggan.
5. Penawaran produk dan jasa yang kompetitif. 6. Penentuan ketersediaan dan kelancaran layanan. 7. Penciptaan ketangkasan (permintaan bisnis yang berubah.agility) untuk menjawab
8. Pencapaian optimasi biaya dari penyampaianlayanan.
9. Perolehan informasi yang bermanfaat dan handaluntuk pembuatan keputusan strategis. Perspektif
Proses Bisnis/ Internal
10. Peningkatan dan pemeliharaan fungsionalitas proses bisnis.
11. Penurunan biaya proses.
12. Penyediaan kepatutan terhadap hukum eksternal,regulasi dan kontrak. 13. Penyediaan kepatutan terhadap kebijakan internal. 14. Pengelolaan perubahan bisnis.
15. Peningkatan dan pengelolaan produktivitasoperasional dan staf. Perspektif
Pembelajaran & Pertumbuhan
16. Pengelolaan inovasi produk dan bisnis.
17. Perolehan dan pemeliharaan karyawan yang cakapdan termotivasi.
F.6. Tujuan Teknologi Informasi
Tabel F.2 Tujuan Teknologi Informasi dalam COBIT No
.
Tujuan Teknologi Informasi
1. Respon terhadap kebutuhan bisnis yang selaras dengan strategi bisnis. 2. Respon terhadap kebutuhan tata kelola yang sesuai dengan arahan direksi. 3. Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan
layanan.
4. Pengoptimasian dari penggunaan informasi.
5. Penciptaan teknologi informasi yang tangkas (IT Agility).
6. Pendefinisian bagaimana kebutuhan fungsional bisnis dan kontrol diterjemahkan dalam solusi otomatis yang efektif dan efisien.
7. Perolehan dan pemeliharaan sistem aplikasi yang standar dan terintegrasi. 8. Perolehan dan pemeliharaan infrastruktur teknologi informasi yang strandar
dan terintegrasi.
9. Perolehan dan pemeliharaan kemampuran teknologi informasi sebagai respon terhadap strategi teknologi informasi.
10. Jaminan akan kepuasan yang saling menguntungkan dengan pihak ketiga. 11. Jaminan akan konsistensi terhadap integrasi aplikasi ke dalam proses bisnis. 12. Jaminan transparansi dan pemahaman terhadap biaya teknologi informasi,
keuntungan, strategi, kebijakan dan tingkatan layanan.
13. Jaminan akan penggunaan dan kinerja dari aplikasi serta solusi teknologi yang sesuai.
14. Kemampuan memberikan penjelasan dan perlindungan terhadap aset-aset teknologi informasi.
15. Pengoptimasian infrastruktur, sumber daya dan kemampuan teknologi informasi.
16. Pengurangan terhadap ketidaklengkapan dan pengolahan kembali dari solusi dan penyampaian layanan.
17. Perlindungan terhadap pencapaian sasaran teknologi informasi.
18. Penentuan kejelasan mengenai resiko dari dampak bisnis terhadap sasaran dan sumber daya teknologi informasi.
19. Jaminan bahwa informasi yang kritis dan rahasia disembunyikan dari pihak-pihak yang tidak berkepentingan.
22. Kepastian akan minimnya dampak bisnis dalam kejadian gangguan layanan atau perubahan teknologi informasi.
23. Jaminan bahwa layanan teknologi informasi yang tersedia sesuai dengan yang dibutuhkan.
24. Peningkatan terhadap efisiensi biaya teknologi informasi dan kontribusinya terhadap keuntungan bisnis.
No .
Tujuan Teknologi Informasi maupun anggaran biaya.
26. Pemeliharaan terhadap integritas informasi dan pemrosesan infrastruktur. 27. Kepastian bahwa teknologi informasi selaras degan regulasi dan hukum
yang berlaku.
28. Jaminan bahwa teknologi informasi dapat menunjukkan kualitas layanan yang efisien dalam hal biaya, perbaikan yang berkelanjutan dan kesiapan terhadap perubahan di masa mendatang.
F.7. COBIT (Control Objectives for Information and related Technology) IT Governance adalah sistem yang mengatur dan mengendalikan seluruh proses teknologi informasi perusahaan/organisasi yang strukturnya akan menetapkan pendistribusian hak dan tanggung jawab antara pihak-pihak yang terlibat juga berisikan peraturan serta strategi yang ditetapkan perusahaan/ organisasi (Prasojo, 2005, Warsilah, 2007 dan Alindita, 2008).
Information System Audit and Control Association (ISACA) memperkenalkan sebuah kerangka untuk mengelola IT Governance di sebuah perusahaan yang dikenal dengan nama COBIT (Indrajit, 2004). Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah teknik (Putra, 2009).
lebih bermanfaat bagi pengguna akhir. Sedangkan ME memonitor seluruh proses untuk kepastian bahwa arahan yang diberikan telah diikuti. Keterkaitan keempat domain COBIT dapat dilihat dalam gambar F.2 (ITGI, COBIT 4.1, 2007).
Gambar F.2 Keterkaitan Domain dalam COBIT
Secara jelas, COBIT membagi proses pengelolaan teknologi informasi menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi. Masing-masing domain dalam COBIT mempunyai beberapa rincian sebagai berikut (Sarno, 2009: 31-42):
1. Plan and Oganise (PO)
Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi informasi dalam mendukung tercapainya tujuan bisnis. Domain PO ini terdiri dari 10 (sepuluh) proses teknologi informasi seperti terlihat pada tabel F.3.
PO1 Mendefinisikan rencana strategis TI PO2 Mendefinisikan arsitektur informasi PO3 Menentukan arahan teknologi
PO4 Mendefinisikan proses TI, organisasi dan keterhubungannya PO5 Mengelola investasi TI
PO6 Mengkomunikasikan tujuan dan arahan manajemen PO7 Mengelola sumber daya TI
PO8 Mengelola kualitas
PO9 Menaksir dan mengelola resiko TI PO10 Mengelola proyek
2. Acquire and Implement (AI)
Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan dan diintegrasikan ke dalam proses bisnis. Domain AI ini terdiri dari 7 (tujuh) proses teknologi informasi seperti terlihat pada tabel F.4.
Tabel F.4 Proses Teknologi Informasi dalam Domain AI AI1 Mengidentifikasi solusi otomatis
AI2 Memperoleh dan memelihara software aplikasi AI3 Memperoleh dan memelihara infrastruktur teknologi AI4 Memungkinkan operasional dan penggunaan
AI5 Memenuhi sumber daya TI AI6 Mengelola perubahan
AI7 Instalasi dan akreditasi solusi beserta perubahaannya
3. Deliver and Support (DS)
Domain ini fokus pada aspek penyampaian teknologi informasi terhadap dukungan dan layanan teknologi informasi mencakup dukungan dan layanan teknologi informasi pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data. Domain DS ini terdiri dari 13 (tiga belas) proses teknologi informasi seperti terlihat pada tabel F.5.
Tabel F.5 Proses Teknologi Informasi dalam Domain DS DS1 Mendefinisikan dan mengelola tingkat layanan
DS3 Mengelola kinerja dan kapasitas
DS4 Memastikan layanan yang berkelanjutan DS5 Memastikan keamanan sistem
DS6 Mengidentifikasikan dan mengalokasikan biaya DS7 Mendidik dan melatih pengguna
DS8 Mengelola service desk dan insiden DS9 Mengelola konfigurasi
DS10 Mengelola permasalahan DS11 Mengelola data
DS12 Mengelola lingkungan fisik DS13 Mengelola operasi
4. Monitor and Evaluate (ME)
Pada domain ini akan ditekankan kepada pentingnya semua proses teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan. Domain ME ini terdiri dari 4 (empat) proses teknologi informasi seperti terlihat pada tabel F.6.
Tabel F.6 Proses Teknologi Informasi dalam Domain ME ME1 Mengawasi dan mengevaluasi kinerja TI
ME2 Mengawasi dan mengevaluasi kontrol internal
ME3 Memastikan pemenuhan terhadap kebutuhan eksternal ME4 Menyediakan tata kelola TI
Gambar F.3 Kerangka Kerja COBIT 4.1
(Sumber: Information Technology Governace Institute, 2007)
Tabel F.7 Pemetaan Tujuan Bisnis dan Tujuan Teknologi Informasi berdasarkan COBIT
No. Tujuan Bisnis Tujuan TeknologiInformasi
1. Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan teknologi informasi.
24
2. Pengelolaan resiko bisnis yang terkait dengan teknologi informasi.
2 14 17 18 19 21 22
3. Peningkatan transparansi dan tata kelola perusahaan.
2 18
4. Peningkatan layanan dan orientasi terhadap pelanggan.
3 23
5. Penawaran produk dan jasa yang kompetitif. 5 24
6. Penentuan ketersediaan dan kelancaran layanan. 10 16 22 23
7. Penciptaan ketangkasan (permintaan bisnis yang berubah.agility) untuk menjawab 1 5 25
8. Pencapaian optimasi biaya dari penyampaian layanan.
7 8 10 24
9. Perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis. 2 4 12 20 26
10. Peningkatan dan pemeliharaan fungsionalitas proses bisnis.
6 7 11
11. Penurunan biaya proses. 7 8 13 15 24
12. Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak.
2 19 20 21 22 26 27
13. Penyediaan kepatutan terhadap kebijakan internal. 2 13
14. Pengelolaan perubahan bisnis. 1 5 6 11 28
15. Peningkatan dan pengelolaan produktivitas operasional dan staf. 7 8 11 13
16. Pengelolaan inovasi produk dan bisnis. 5 25 28 17. Perolehan dan pemeliharaan karyawan yang cakap
dan termotivasi.
9
Sumber: Sarno, 2009: 57-59
Tabel F.8 Kriteria Ukuran Informasi berdasarkan COBIT Efektif Jika sistem informasi sesuai dengan kebutuhan pemakai. Efisien Jika penggunaan sumberdaya optimal.
Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otoritas.
Integritas Berhubungan dengan akurasi dan kelengkapan informasi. Ketersediaan Berkaitan dengan informasi yang tersedia pada saat yang
diperlukan dalam proses bisnis.
Pemenuhan Sesuai kebijakan organisasi, aturan hokum dan peraturan yang berlaku.
Keandalan Terkait dengan ketentuan kecocokan informasi untuk mengoperasikan perusahaan, pelaporan dan
pertanggungjawaban.
Pengukuran informasi melalui audit teknologi informasi dengan mengacu pada contoh yang baik (best prastice) berdasarkan kerangka kerja COBIT (Sarno, 2009: 147-163) adalah:
1. Penentuan Ruang Lingkup dan Tujuan Audit Teknologi Informasi
Langkah awal yang harus dilakukan adalah menentukan ruang lingkup dari audit yang akan dilakukan. Ruang lingkup yang dimaksud adalah area, fungsi dan unit organisasi yang akan diaudit mencakup sistem secara spesifik, fungsi atau unit organisasi yang menjadi tujuan (fokus) dari proses audit untuk meminimalkan resiko bisnis.
2. Pengumpulan Bukti
Bukti (evidence) merupakan informasi apapun yang digunakan oleh auditor untuk menentukan apakah data yang diaudit sesuai dengan kriteria atau tujuan audit. Pencarian bukti dalam pelaksaan audit teknologi informasi terhadap proses teknologi informasi yang ada dalam suatu organisasi disesuaikan mengacu pada standar proses teknologi informasi yang didefinisikan dalam COBIT. Bukti audit tersebut digunakan untuk melaksanakan uji kepatutan sehingga didapatkan temuan (findings) sebagai kepatutan terhadap standar yang berlaku.
Setelah bukti-bukti dikumpulkan, selanjutnya dilakukan pelaksaan audit. Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan proses teknologi informasi dengan melihat kepatutan proses yang berlangsung terhadap standar dan regulasi yang berlaku. Dari pelaksaan uji kepatutan ini akan menghasilkan temuan-temuan yang nantinya digunakan sebagai bahan penyusunan rekomendasi dalam laporn audit.
4. Penentuan Tingkat Kedewasaan
Tingkat kedewasaan merupakan representasi kedewasaan proses teknologi informasi yang berlangsung pada suatu organisasi. Nilai tingkat kedewasaan akan menunjukkan level kedewasaan proses teknologi informasi dengan pengidentifikasian secara menyeluruh terhadap setiap level. Setelah didapatkan nilai tingkat kedewasaan untuk setiap level, dilakukan perhitungan untuk nilai tingkat kedewasaan secara keseluruhan.
Sebelum hasil audit dikomunikasikan, diperlukan suatu diskusi untuk mendapatkan kesepahaman terhadap hasil temuan dan mengembangkan rekomendasi untuk memperbaiki hasil tersebut. Langkah-langkah yang dilakukan dalam penyusunan rekomendasi (Sarno, 2009: 165-172):
1. Penentuan Hasil Audit Teknologi Informasi
Penentuan hasil audit dilakukan dengan mengevaluasi hasil audit yang didapatkan untuk mengembangkan opini audit. Opini-opini berdasarkan hasil temuan tersebut digunakan sebagai landasan penyusunan rekomendasi hasil audit. Rekomendasi yang disusun oleh auditor dikomunikasikan kepada pihak manajemen yang berkepentingan untuk mendapatkan kesepakatan hasil audit. Setelah diperoleh kesepakatan, langkah selanjutnya adalah penyusunan laporan hasil audit.
Laporan audit merupakan hasil akhir dari pelaksanaan audit teknologi informasi yang berisikan temuan dan rekomendasi kepada manajemen. Format laporan bervariasi di setiap organisasi sehingga tidak ada format baku dalam penyusunannya. Laporan yang dibuat seharusnya seimbang dalam mendeskripsikan isu negatif dari temuan dan pernyataan konstruktif positif yang berkaitan dengan peningkatan proses yang sudah dijalankan dan kontrol yang telah berfungsi secara efektif.
F.8. Maturity Level
Agar mekanisme IT Governance dapat berjalan secara efektif dan sejalan dengan strategi bisnis yang telah ditetapkan, diperlukan suatu pengembangan teknologi informasi yang terukur dengan baik dan memiliki tahapan kematangan tertentu. Dengan menggunakan nilai maturity level, sebuah perusahaan/organisasi dapat mengukur posisi kematangannya dalam pengembangan teknologi informasi serta menentukan prioritas perbaikan dan peningkatan sampai pada tingkat tertinggi agar aspek IT Governance dapat berjalan secara efektif dan sejalan dengan strategi bisnis yang telah ditetapkan (Pederiva, 2003 dan Tanuwijaya dan Sarno, 2010).
Penggunaan nilai maturity level yang dikembangkan untuk setiap 34 proses teknologi informasi, sehingga memungkinkan manajemen untuk mengidentifikasi:
1. Kinerja sesungguhnya perusahaan dan posisi kondisi perusahaan sekarang. 2. Kondisi sekarang dari industri sebagai perbandingan.
1. Menumbuhkan kepedulian (awareness). 2. Melakukan identifikasi kelemahan (weakness).
3. Melakukan identifikasi kebutuhan perbaikan (improvement).
Teknik pengukuran dalam maturity level menggunakan beberapa pernyataan dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan menggunakan standar penilaian seperti tabel F.9 berikut:
Tabel F.9 Standar Penilaian Tingkat Kematangan
Sumber: Putra, 2009: 32
Tiap pernyataan dalam maturity level akan memiliki nilai kepatutan (compliance value) dengan tingkatan nilai yang dimulai dari 0 (tidak sama sekali), 0.33 (sedikit), 0.66 (dalam tingkatan tertentu) dan 1 (seluruhnya). Penyajian nilai kepatutan dalam maturity level tampak seperti Gambar F.4.
Tingkat kepatutan tiap-tiap level yang telah diperoleh masing-masing proses teknologi dikalkulasikan seperti Tabel F.10.
Tabel F.10 Kalkulasi Maturity Level Proses Teknologi Informasi
Sumber: Tanuwijaya dan Sarno, 2010: 83
Keterangan:
Kolom Compliance Socre berisi nilai-nilai kepatutan masing-masing level, sedangkan kolom Contribution berisi skala tingkat kepatutan dan kolom Level Score diperoleh dari perkalian nilai Compliance Score dengan Contribution. Untuk mengetahui seberapa besar nilai kepatutan dari proses teknologi informasi, perlu dilakukan penjumlahan nilai Level Score dari level 0 sampai dengan level 5.
Gambar F.5 Representasi Grafis Model Kedewasaan (Maturity Level) (Sumber: IT Governance Institut, 2007: 18)
Deskripsi dari masing-masing level kedewasaan tersebut, secara umum digambarkan pada tabel F.11 (Sarno, 2009: 61).
Tabel F.11 Skala Pengukuran Maturity Level.
Level Kriteria Maturity Level
0 Non Existent
Kekurangan yang menyeluruh terhadap proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan-permasalahan yang harus diatasi.
1 Initial/ Ad Hoc
Terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad-hoc yang cenderung diberlakukan secara individu atau berbasis per kasus. Secara umum pendekatan kepada pengelolaan proses tidak terorganisasi.
2 Repeatable but Intuitive
tinggi terhadap pengetahuan individu sehingga kemungkinan error bisa terjadi.
3 Defined
Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namun penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah memformalkan praktek yang dikerjakan secara efektif. Proses berada di bawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomasi dan perangkat digunakan dalam batasan tertentu.
5 Optimised
Proses telah dipilih ke dalam tingkat praktek yang baik berdasarkan hasil dari perbaikan berkelanjutan dan pemodelan kedewasaan dengan perusahaan lain. Teknologi informasi digunakan sebagai cara terintegrasi untuk mengotomatisasi alur kerja, penyediaan alat untuk peningkatan kualitas dan efektivitas serta membuat perusahaan cepat beradaptasi.
Sumber: Sarno, 2009: 61
Secara spesifik hal-hal yang menentukan kedewasaan akan berbeda-beda pada tiap proses teknologi informasi. Kedewasaan pada tiap-tiap proses teknologi informasi akan menentukan tingkat kedewasaan perusahaan/organisasi yang biasanya direpresentasikan dalam grafik laba-laba (spider chart) pada gambar F.6 (Sarno, 2009: 62).
F.9. Audit Teknologi Informasi dari Perspektif Proses Bisnis/Internal Balanced Scorecard
Audit teknologi informasi dilakukan dengan tujuan untuk mengukur apakah informasi yang ada sudah dikelola dengan baik sehingga dapat diketahui seberapa besar peranan teknologi informasi dalam mendukung pencapaian tujuan bisnis organisasi (Champlain, 2003: 27 dan Hariadi dan Daryanto, 2003: 19-20). Dengan demikian dapat disimpulkan bahwa audit teknologi informasi dilakukan dalam rangka untuk mengukur sehingga dapat diketahui tingkat keselarasan antara tujuan teknologi informasi dan tujuan bisnis organisasi (Krist dalam Surendro, 2004).
COBIT memberikan kemudahan untuk memahami keterkaitan antara tujuan bisnis dan teknologi informasi. Pemetaan terhadap kedua tujuan tersebut sudah tersedia dan dapat dijadikan acuan bagi perusahaan/organisasi salam menerjemahkan tujuan bisnis ke dalam tujuan teknologi informasi. Pemetaan tujuan bisnis dan tujuan teknologi informasi dari perspektif proses bisnis/internal dapat dilihat dalam tabel F.12 (ITGI, COBIT 4.1, 2007).
Tabel F.12 Pemetaan Tujuan Bisnis dan Tujuan Teknologi Informasi dari Perspektif Proses Bisnis/Internal Balanced Scorecard
Perspektif
10. Peningkatan dan pemeliharaan fungsionalitas proses bisnis. 6 7 11
11. Penurunan biaya proses. 7 8 13 15 24
12. Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak. 2 19 20 21 22 26 27
13. Penyediaan kepatutan terhadap kebijakan internal. 2 13
14. Pengelolaan perubahan bisnis. 1 5 6 11 28
Berdasarkan hasil survei ITGI (The IT Governance Institute, Understanding How Business Goals Drive IT Goals, 2008) terhadap perusahaan-perusahaan dunia, terdapat sepuluh tujuan bisnis dan sepuluh tujuan teknologi informasi terpenting (Sarno, 2009: 56). Berdasarkan hasil survei tersebut, didapatkan pemetaan tujuan bisnis dan tujuan teknologi informasi dari perspektif proses bisnis/internal.
Tabel F.13 Pemetaan Tujuan Bisnis dan Tujuan Teknologi Informasi dari Perspektif Proses Bisnis/Internal Berdasarkan Survei
10. Peningkatan dan pemeliharaan fungsionalitasproses bisnis. 6
12. Penyediaan kepatutan terhadap hukum eksternal, regulasi dan kontrak.
2 26 27
Sumber: Tabel F.12, diolah
Kerangka kerja COBIT tidak hanya menyediakan pemetaan antara tujuan bisnis dengan tujuan teknologi informasi, namun juga menjelaskan kerangka kerja keterkaitan antara tujuan teknologi informasi dengan proses teknologi informasi. Setiap tujuan teknologi informasi dapat terdiri dari beberapa proses teknologi informasi yang terkait, demikian juga sebaliknya setiap proses teknologi informasi dapat digunakan untuk memenuhi beberapa tujuan teknologi informasi. Pemetaan antara tujuan teknologi informasi dan proses teknologi informasi dari perspektif proses bisnis/internal dalam kerangka kerja COBIT dapat dilihat dalam tabel F.14.
Tabel F.14 Pemetaan Tujuan dan Proses Teknologi Informasi dari Perspektif Proses Bisnis/Internal Berdasarkan Survei
Tujuan Teknologi Informasi Proses Teknologi Informasi 2. Respon terhadap kebutuhan tata kelola yang
sesuai dengan arahan direksi.
Tujuan Teknologi Informasi Proses Teknologi Informasi
6.
Pendefinisian bagaimana kebutuhan
fungsional bisnis dan kontrol diterjemahkan dalam solusi otomatis yang efektif dan efisien.
AI1 AI2 AI6
26. Pemeliharaan terhadap integritas informasi
dan pemrosesan infrastruktur.
AI6 DS5
27. Kepastian bahwa teknologi informasi selaras
degan regulasi dan hukum yang berlaku.
DS11 ME2 ME3 ME4
Sumber: Tabel F.13, diolah
G. Metodologi Penelitian
1. Model Pengembangan
COBIT memberikan pemetaan 17 tujuan bisnis dan 28 tujuan teknologi informasi dengan melibatkan 34 control objective. Perspektif proses bisnis/internal Balanced Scorecard mencakup 6 tujuan bisnis dan 17 tujuan teknologi informasi. Survei yang dilakukan oleh ITGI terhadap perusahaan-perusahaan dunia, terdapat 10 tujuan bisnis dan 10 tujuan teknologi informasi paling penting (Sarno, 2009: 56). Berdasarkan survei tersebut, didapatkan pemetaan tujuan bisnis dan tujuan teknologi informasi dari perspektif proses bisnis/internal Balanced Scorecard yang melibatkan 2 tujuan bisnis dan 4 tujuan teknologi informasi yang mencakup 12 control objective. Pemetaan control objective (proses teknologi informasi) yang digunakan dalam penelitian ini seperti tampak pada tabel G.1.
Tabel G.1 Pemetaan Proses Teknologi Informasi dari Perspektif Proses Bisnis/Internal Berdasarkan Survei
Bisnis/ Internal
aplikasi.
AI6 Mengelola perubahan.
12
2
PO1 Mendefinisikan rencana strategis TI.
PO4 Mendefinisikan proses TI, organisasi dan keterhubungannya.
PO1
0 Mengelola proyek.
ME1 Mengawasi dan mengevaluasi kinerja TI.
ME3 Memastikan pemenuhan terhadap kebutuhan eksternal.
26 AI6 Mengelola perubahan.
DS5 Memastikan keamanan sistem.
27
DS11 Mengelola data.
ME2 Mengawasi dan mengevaluasi kontrol internal.
ME3 Memastikan pemenuhan terhadap kebutuhan eksternal.
ME4 Menyediakan tata kelola TI.
Sumber: Tabel F.14, diolah
Gambar G.1 Block Diagram Model Pengembangan
Penelitian ini menghasilkan laporan hasil audit, nilai maturity level masing-masing control objective yang digambarkan dengan graik laba-laba dan rekomendasi.
Menurut Sarno (2009), perencanaan pelaksanaan audit mengacu pada metodologi yang terarah, step by step sehingga memudahkan dalam pengimplementasiaanya. Secara garis besar, teknik analisa dalam penelitian ini meliputi (Imanuel, 2010):
1. Penentuan Ruang Lingkup Audit Teknologi Informasi
Balanced scorecard memetakan 17 tujuan bisnis dan 28 tujuan teknologi informasi berdasarkan standar COBIT ke dalam empat perspektif kinerja, yaitu: perspektif keuangan, perspektif pelanggan, perspektif proses bisnis/internal serta perspektif pembelajaran dan pertumbuhan. Perspektif proses bisnis/internal Balanced Scorecard mencakup 6 tujuan bisnis dan 17 tujuan teknologi informasi. Berdasarkan hasil survei ITGI, pemetaan tujuan bisnis dan tujuan teknologi informasi dari perspektif proses bisnis/internal Balanced Scorecard melibatkan 2 tujuan bisnis dan 4 tujuan teknologi informasi yang mencakup 12 control objective.
2. Survei Pendahuluan
Survei pendahuluan dilakukan sebelum pelaksanaan audit. Beberapa hal yang dapat dilakukan dalam survei pendahuluan ini adalah:
Wawancara untuk mengetahui proses bisnis yang ada di perusahaan. Observasi untuk pemrosesan dan pengkonfirmasian hasil dari wawancara
serta identifikasi dokumen-dokumen yang perlu untuk analisis lebih lanjut. Pengumpulan bukti pendukung melalui penentuan data-data yang diaudit
sesuai dengan kriteria dan tujuan audit pada Universitas Narotama Surabaya.
Setelah bukti-bukti terkumpul, selanjutnya dilakukan pelaksanaan audit. Dalam pelaksanaan audit, peneliti melakukan pengujian kepatutan (compliance test) proses teknologi informasi yang sedang berlangsung dengan menggunakan alat bantu kartas kerja audit. Pertanyaan dalam kertas kerja diturunkan berdasarkan standar COBIT 4.1. Masing-masing pertanyaan diberi bobot sesuai dengan tingkat kepentingan dan ruang lingkup Universitas Narotama Surabaya. Pembobotan dalam penelitian ini menggunakan nilai kualitatif, yaitu: sangat penting, penting, cukup penting dan kurang penting yang kemudian dikuantitatifkan (Guldentops, 2003) seperti yang tampak pada tabel G.2.
Tabel G.2 Tingkat Kepentingan dalam Pembobotan Pertanyaan No. Nilai Kualitatif Nilai Kuantitatif Keterangan
1. Sangat Penting 0.90 – 1.00 Aktivitas tersebut mempunyai peranan yang sangat penting dalam proses teknologi informasi. 2. Penting 0.70 – 0.89 Aktivitas tersebut mempunyai
perangan yang penting dalam proses teknologi informasi. 3. Cukup Penting 0.50 – 0.69 Aktivitas tersebut turut
mempengaruhi proses teknologi informasi.
4. Kurang Penting 0.00 – 0.49 Aktivitas yang bila diterapkan dapat melengkapi proses teknologi informasi.
Sumber: Imanuel, 2010
Gambar G.2 Contoh Kertas Kerja Maturity Level 0 pada Proses TI ME1. (Sumber: Dewi, 2010)
4. Perhitungan Nilai Maturity Level
Maturity Level merupakan representasi kedewasaan proses teknologi informasi yang berlangsung di perusahaan (dalam bentuk nilai/angka). Nilai maturity level secara keseluruhan didapatkan dari pengindentifikasian dari tiap-tiap maturity level pada semua control objective yang terlibat.
Tabel G.3 Contoh Perhitungan Maturity Level
Tujuan Bisnis Kerangka Kerja COBIT
Maturit y
Level Proses
TI Keterangan
Peningkatan dan
pemeliharaan fungsionalitas proses bisnis
AI1 Mengidentifikasi solusi otomatis 4.68 AI2 Memperoleh dan memelihara software aplikasi 3.79
AI6 Mengelola perubahan 4.81
PO3 Menentukan arahan teknologi 4.56
AI2 Memperoleh dan memelihara software aplikasi 3.79
AI5 Memenuhi sumber daya TI 4.44
PO2 Mendefinisikan arsitektur informasi 4.17 AI4 Memungkinkan operasional dan penggunaan 4.90 AI7 Instalasi & akreditasi solusi beserta perubahaannya 4.77
Hasil akhir dari perhitunga maturity level dapat direpresentasikan dalam bentuk grafik laba-laba.
AI1
AI2
AI6
PO3
AI5 PO2
AI4 AI7
0 5
Gambar G.3 Contoh Grafik Laba-laba yang Menggambarkan Nilai Maturity Level (Sumber: Dewi, 2010)
5. Penyusunan Temuan
Penyusunan temuan dilakukan dengan mengevaluasi hasil audit yang didapatkan untuk mengembangkan opini audit. Temuan yang dihasilkan memuat fakta-fakta yang ada, baik berupa hal yang positif maupun negatif. Opini-opini berdasarkan hasil temuan tersebut digunakan sebagai landasan penyusunan rekomendasi hasil audit. Rekomendasi yang disusun oleh auditor dikomunikasikan kepada pihak manajemen yang berkepentingan untuk mendapatkan kesepakatan hasil audit. Setelah diperoleh kesepakatan, langkah selanjutnya adalah penyusunan rekomendasi hasil audit.
6. Penyusunan Rekomendasi
Dengan demikian, hasil dari audit teknologi informasi akan berupa: temuan (findings) berdasarkan uji kepatutan yang dilaksanakan, tingkat kedewasaan (maturity level) tiap proses teknologi informasi yang diaudit, kesimpulan dari uji kepatutan dan rekomendasi yang mengarah kepada perbaikan proses yang mengacu pada peningkatan level kedewasaan. Dari hasil audit teknologi informasi tersebut, akan diketahui sejauh mana tujuan teknologi informasi dapat merepresentasikan tujuan bisnis Universitas Narotama Surabaya dan dapat digunakan sebagai acuan untuk meningkatkan keselarasan antara tujuan teknologi informasi dan tujuan bisnis organisasi.
H. Jadwal Kerja
Penelitian ini diharapkan dapat diselesaikan dalam waktu 3 (tiga) bulan dengan jadwal penyusunan sebagai berikut :
No. Kegiatan
Bulan
April Mei Juni
1 2 3 4 1 2 3 4 1 2 3 4
1. Studi Literatur
2. Persiapan dan Perencanaan Audit
3.
Observasi Prosedur Kerja, Mempelajari Dokumen, Wawancara
4. Identifikasi Kendali dan Perkiraan Resiko
5. Pelaksanaan Audit dan Pengumpualn Bukti 6. Evaluasi temuan
7. Laporan Akhir dan Tindak Lanjut
DAFTAR PUSTAKA
Alindita, A., 2008, Pemodelan Titik Kendali Teknologi Informasi untuk Audit Pengendalian Intern Berdasarkan SOX-404, Skripsi, Program Studi Informatika, Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Bandung.
Alter, S., 1996, Information System: A Management Perspective, Benjamin Cummings, Menlo Park, CA.
Arisanti, D., 2011, Audit Sistem Informasi Ditinjau dari Perspektif Keuangan Menggunakan Standar COBIT 4.10 pada Direktorat Keuangan Pelabuhan Indonesia III, Tugas Akhir, Program Sarjana, Program Studi Sistem Informasi, Sekolah Tinggi Manajemen Informatika & Teknik Komputer Surabaya, Surabaya.
Bodnar, George H., & Hopwood, William S., 2004, Accounting Information System, 9th Ed., Prentice Hall International, Inc., London.
Champlain, J. J., 2003, Auditing Information Systems, Second Edition, John Wiley & Sons, Inc., Hoboken, New Jersey.
Dewi, E. R., 2010, Audit Sistem Informasi Manajemen Aset Berdasarkan Perspektif Proses Bisnis Internal Balanced Scorecard dan Standar Cobit 4.1 (Studi Kasus: PT. Pertamina (Persero)), Tugas Akhir, Program Sarjana, Program Studi Sistem Informasi, Sekolah Tinggi Manajemen Informatika & Teknik Komputer Surabaya, Surabaya.
Edwards, C., 1995, The Essence of Information Systems, 2nd Ed., Prentice Hall International., Inc., London.
Gaspersz, V., 2005, Sistem Manajemen Kinerja Terintegrasi Balanced Scorecard dengan Six Sigma untuk Organisasi Bisnis dan Pemerintah, PT Gramedia Pustaka Utama, Jakarta
Gondodiyoto, S., 2007, Audit Sistem Informasi: Pendekatan Cobit, Edisi Revisi, Mitra Wacana Media, Jakarta.
Guldentops, E., 2003, Maturity Measurement – First the Purpose, Then the Method, Information System Control Journal, Vol. 4, Information System Audit and Control Association.
Hall, S. A., 2001, Accounting Information System, Thompson Learning, USA. Hariadi, S., dan Daryanto, 2003, Audit Sistem Informasi I, Yayasan Pendidikan
Herlambang, S., dan Tanuwijaya, H., 2005, Sistem Informasi Konsep Teknologi & Manajemen, Penerbit Graha Ilmu, Yogyakarta.
Imanuel, A. A., 2010, Pengukuran Keselarasan Tujuan Sistem Informasi dan Bisnis dari Perspektif Keuangan Balanced Scorecard (Studi Kasus: Bagian Pengembangan dan Penerapan Teknologi Informasi STIKOM Surabaya), Tugas Akhir, Program Sarjana, Program Studi Sistem Informasi, Sekolah Tinggi Manajemen Informatika & Teknik Komputer Surabaya, Surabaya.
Indrajit, R. E., 2000, Pengantar Konsep Dasar Manajemen Sistem Informasi dan Teknologi Informasi,PT Elex Media Komputindo, Jakarta.
Indrajit, R. E., 2004, Kajian Strategis Cost Benefit Teknologi Informasi, Penerbit Andi, Yogyakarta.
Information Technology Governance Institute, 2007, COBIT 4.1: Framework, Control Objective, Management Guidelines, Maturity Models, IT Governance Institute. Rolling Meadows.
Information Technology Governance Institute, 2008, Understanding How Business Goals Drive IT Goals, IT Governance Institute. Rolling Meadows.
Kaplan, R., dan Norton, D., 1996, Balanced Scorecard: Menerapkan Strategi Menjadi Aksi, Erlangga, Jakarta.
Karya, R., 2004, Pengembangan Model Audit Sistem Informasi Berbasis Kendali, Integral, Vol. 9 No. 1 Maret.
Luis, S., dan Biromo, P. A., 2007, Step by Step in Cascading Balanced Scorecard to Functional Scorecards, PT Gramedia Pustaka Utama, Jakarta.
McLeod, R., dan Schell, G. P., 2004, Management Information System, 9th Ed., Pearson Prentice Hall, New Jersey, Terjemahan, Heri Yulianto, 2007, Sistem Informasi Manajemen, Indeks, Jakarta.
O’Brien, J. A., 1999, Management Information System Managing Information Technology in the Internetworked Enterprise, 4th Ed., Irwin McGraw-Hill. Panji, M. D., 2002, Analisis Kinerja Direktorat Jendral Pendidikan Tinggi dengan Pendekatan Balanced Scorecard, Tesis, Program Pasca Sarjana, Program Studi Ilmu Administrasi, Fakultas Ilmi Sosial dan Ilmu Politik, Universitas Indonesia, Jakarta.
Prasojo, M., 2005, Audit Sistem Informasi untuk Menciptakan Good Corporate Governance Ditinjau dari Profesi External Auditor, Seminar Nasional Mahasiswa Jurusan Akuntansi, Universitas Katholik Widya Mandala, Surabaya.
Putra, I N. B., 2009, Audit Sistem Informasi Perpustakaan Menggunakan Standar COBIT 4.1 Domain Acquire and Implement (Studi Kasus: STIKOM Surabaya), Tugas Akhir, Program Sarjana, Program Studi Sistem Informasi, Sekolah Tinggi Manajemen Informatika & Teknik Komputer Surabaya, Surabaya.
Sarno, R., 2009, Audit Sistem & Teknologi Informasi, ITS Press, Surabaya.
Sarno, R., 2009, Strategi Sukses Bisnis dengan Teknologi Informasi Berbasis Balanced Scorecard & COBIT, ITS Press, Surabaya.
Sayana, S. A., 2002, The IS Audit Process, Information Systems Control Journal (online), Vol. 1, Information System Audit and Control Association.
Sayana, S. A., 2002, The Necessity for Documentation, Information Systems Control Journal (online), Vol. 3, Information System Audit and Control Association.
Sayana, S. A., 2002, Auditing General and Application Control, Information Systems Control Journal (online), Vol. 5, Information System Audit and Control Association.
Sayekti, R., 2007, Evaluasi dan Analisis Penerapan Balanced Scorecard pada NK Indonesia, Tesis, Program Pasca Sarjana, Program Studi Magister Manajemen, Fakultas Ekonomi, Universitas Indonesia, Jakarta.
Scott, G. M., 1995, Principle of Management Information System, McGraw-Hill, Terjemahan, Achmad Nashir Budiman, 1995, Prinsip-prinsip Sistem Informasi Manajemen, Raja Grafindo Persada, Jakarta.
Surendro, K., 2004, Audit Sistem Informasi Rumah Sakit dengan Menggunakan Acuan COBIT, Gematika Jurnal Manajemen Informatika, Vol. 6 No. 1 Desember.
Swastika, I P. A., 2007, Audit Sistem Informasi, Edisi Pertama, STIKOM Surabaya, Surabaya.
