II-1
2.1 Definisi Sistem
Sistem menurut Azhar Susanto adalah kumpulan atau group dari sub sistem, bagian dan komponen apapun baik phisik ataupun non phisik yang saling berhubungan satu sama lain dan bekerja sama secara harmonis untuk mencapai satu tujuan tertentu [2].
Sistem menurut Jaluanto Sunu Punjul Tyoso suatu kumpulan dari komponen-komponen yang membentuk satu kesatuan. Sebuah organisasi dan sistem informasi adalah sistem fisik dan sosial yang ditata sedemikian rupa untuk tujuan tertentu [3].
Sehingga berdasarkan definisi diatas sistem dapat disumpulkan sebagai sebuah kumpulan komponen baik phisik atau non phisik yang berhubungan satu sama lain dan membentuk satu kesatuan yang ditata sedemikian rupa untuk mencapai tujuan tertentu
2.2 Definisi Informasi
Informasi menurut Jeperson Hutahaean adalah data yang diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi penerimanya. Sumber informasi adalah data. Dimana pengertian data pada umumnya adalah kenyataan yang menggambarkan suatu kejadian-kejadian dan kesatuan nyata.[4].
2.3 Definisi Sistem Informasi
Sistem informasi menurut Vladimir Zwass adalah kumpulan komponen terintegrasi untuk mengumpulkan, menyimpan serta memproses data dan bertujuan untuk menyediakan informasi, pengetahuan dan produk digital [5]. Sistem informasi melibatkan berbagai teknologi informasi seperti komputer, perangkat lunak, database, sistem komunikasi, internet, mobile device
dan lain-lain untuk melakukan tugas tertentu, berinteraksi dan memberikan informasi ke beragam orang dalam organisasi yang berbeda [6].
2.4 Definisi Teknologi Informasi
Teknologi informasi menurut Tata Sutabri adalah teknologi informasi adalah suatu teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu, yang digunakan keperluan pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk pengambilan keputusan [7].
2.5 Pengertian Audit
Audit adalah suatu proses yang sistematis untuk memperoleh dan menilai bukti-bukti secara objektif, yang berkaitan dengan tindakan-tindakan dan kejadian-kejadian ekonomi untuk menentukan tingkat kesesuaian dengan kriteria yang telah diterapkan dan mengkomunikasikan hasilnya kepada pihak-pihak yang berkepentingan [8]. Dan berdasarkan Undang-Undang nomor 15 tahun 2004 audit dibagi menjadi 3 jenis yaitu [9] :
1. Audit keuangan
Menentukan apakah informasi keuangan telah akurat dan dapat diandalkan (sesuai Standar Akuntansi Pemerintahan atau SAP), serta untuk memberikan opini kewajaran atas penyajian laporan keuangan.
2. Audit kinerja
Pemeriksaan atas pengelolaan keuangan negara yang terdiri atas pemeriksaan aspek ekonomi dan efisiensi serta pemeriksaan aspek efektivitas. Dalam melakukan audit kinerja, auditor juga menguji kepatuhan terhadap ketentuan perundang-undangan serta pengendalian intern. Audit kinerja menghasilkan temuan, simpulan, dan rekomendasi. Menentukan: keandalan informasi kinerja, tingkat ketaatan, pemenuhan standar mutu operasi, efisiensi, ekonomis, dan efektivitas.
3. Audit dengan tujuan tertentu
Pemeriksaan yang tidak termasuk dalam pemeriksaan keuangan dan pemeriksaan kinerja/audit operasional. Sesuai dengan definisinya, jenis audit ini dapat berupa semua jenis audit, selain audit keuangan dan audit operasional. Jenis audit ini termasuk di antaranya audit ketaatan dan audit investigatif. Audit ketaatan bertujuan untuk menentukan apakah peraturan ekstern serta kebijakan dan prosedur intern telah dipenuhi. Audit investigatif bertujuan untuk menentukan apakah kecurangan atau penyimpangan benar terjadi
2.6 Audit Sistem Informasi
Audit sistem informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya [10]. Tujuannya sendiri terbagi menjadi 4 antara lain [11]:
1. Meningkatkan keamanan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras, perangkat lunak, sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan asset. 2. Meningkatkan integritas data
Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti:kelengkapan, kebenaran dan keakuratan.
3. Meningkatkan efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
4. Meningkatkan efisiensi sistem
Efisiensi menjadi hal yang sangat penting ketika suatu computer tidak lagi memiliki kapasitas yang memadai.
Audit sistem informasi mempunyai beberapa aktivitas dalam pelaksanaan yaitu [12]:
1. Perencanaan
Tahap perencanaan dilakukan dengan cara menentukan ruang lingkup, objek yang di audit, standar evaluasi dari hasil audit dan komunikasi dengan pihak yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
2. Pemeriksaan lapangan
Tahap pemeriksaan lapangan adalah tahap dalam mengumpulkan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapkan berbagai metode pengumpulan data seperti wawancara, kuisioner ataupun melakukan survey ke lokasi penelitian.
3. Pelaporan
Tahap pelaporan adalah tahap dimana data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Perhitungan maturity level yang dilakukan mengacu pada hasil wawancara, kuisioner, survey
dan rekapilutasi hasil penyebaran kuesioner. Berdasarkan hasil maturity level yang mencemirkan kinerja saat ini dan kinerja ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan. Hal tersebut dimaksudkan untuk mengetahui kesenjangan serta mengetahui apa yang menyebabkan adanya kesenjangan tersebut.
4. Tindak lanjut
Tahap ini dilakukan dengan cara memberikan laporan hasil audit yang berupa rekomendasi tindakan perbaikan kepada pihak manajemen objek yang diteliti untuk selanjutnya wewenang perbaikan menjadi tanggung jawab pihak manajemen organisasi yang diteliti apakah rekomendasi tersebut akan diterapkan atau hanya menjadi acuan untuk perbaikan di masa yang akan datang.
2.7 Model Audit Tata Kelola Sistem Informasi
Tata kelola sistem informasi dapat didefinisikan sebagai seperangkat aturan yang memungkinkan stakeholder untuk menentukan dan memutuskan manajemen sistem informasi dan mengendalikan risiko dimana keputusan yang
dibuat berhubungan dengan sistem informasi yang akan dikelola [13]. Dengan fokus mencakup lima domain utama. Tata kelola teknologi informasi yang terdiri dari fungsi manajemennya digambarkan dan dijabarkan sebagai berikut [9]:
Gambar 2.1 Fokus Area Tata Kelola Teknologi Informasi [14]
1. IT Strategic Alignment
Domain tata kelola teknologi informasi ini merupakan titik awal dalam merancang strategi teknologi informasi sesuai dengan strategi organisasi secara menyeluruh. Dengan demikian, dimulai dengan rencana strategis organisasi,komite strategi teknologi informasi harus sejalan dengan tujuan bisnis organisasi.
2. IT Value Deliver
Tata kelola teknologi informasi menargetkan kualitas layanan teknologi informasi yang tepat dengan menggabungkan sumber daya anggaran dan faktor waktu.
3. Risk Management
Risiko pada tingkat organisasi tidak dapat dihilangkan melainkan akan tetap ada sepanjang waktu, manajemen organisasi bertanggung jawab meminimalkan risiko ke tingkat yang wajar.
4. IT Resource Management
Manajemen sumber daya berkaitan dengan manajemen sumber daya dan organisasi infrastruktur teknolgi informasi dalam sebuah organisasi. Aspek penting dari domain ini adalah masalah manajemen proyek. Manajemen proyek teknologi informasi harus benar-benar diatur sebagai proyek-proyek yang memiliki dampak besar terhadap posisi keuangan dan arah strategis organisasi.
5. Performance Measurement
Pengukuran kinerja berkaitan dengan penentuan apakah sistem teknologi informasi mencapai tujuan yang ditetapkan oleh dewan dan manajemen senior. Aktivitas audit internal dapat memberikan nilai tambah bagi organisasi dan pemangku kepentingannya apabila mempertimbangkan strategi, tujuan dan risiko-risiko; berupaya keras pada penyediaan cara untuk mengembangkan proses tata kelola, pengelolaan risiko dan pengendalian; dan secara objektif memberikan jaminan yang relevan yang bertujuan untuk [15]:
1. Membuat keputusan strategis dan operasional 2. Mengawasi pengelolaan risiko dan pengendalian
3. Pengembangan etika dan nilai-nilai yang sesuai dalam organisasi
4. Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi telah efektif
5. Mengkomunikasikan informasi risiko dan pengendalian pada area yang sesuai dalam organisasi.
6. Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara efektif di antara dewan, auditor eksternal dan internal, para penyedia jasa asuransi lainnya serta manajemen.
Dengan beberapa model framework yang banyak digunakan dari model
framework yang banyak digunakan di dunia yaitu ITIL (The IT Infrastructure Library), ISO/IEC 17799 (The International Organization for Standardization/The International Electrotechnical Commission), COSO (Committee of Sponsoring Organization of the Treadway Commision) dan
COBIT (Control Objectives for Information and realted Technology) [16].
2.7.1 ITIL
ITIL (The IT Infrastructure Library) dikembangkan oleh The Office of Government Commerce (OGC) suatu badan dibawah pemerintah Inggris, dengan bekerja sama dengan The IT Service Management Forum (ITSMF) suatu organisasi independen mengenai manajemen pelayanan teknologi informasi dan British Standard Institute (BSI) – suatu badan penetapan standar pemerintah Inggris.
ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan
framework best practice bagi IT service management. Untuk menciptakan layanan teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and
Telecommunications Agency (CCTA) yang sekarang dikenal sebagai The British Office of Government Commerce (OGC). Delapan serial buku ITIL tersebut terdiri atas [16]:
a) Software Asset Management
b) Service Support
c) Service Deliver
d) Planning to Implement Service Management
e) ICT Infrastructure Management
f) Application Management
g) Security Management 2.7.2 ISO/IEC 17799
ISO/IEC (The International Organization for Standardization/The International Electrotechnical Commission) 17799 Code of Practice for Information Security Management adalah standar internasional yang dirilis pertama kali pada Desember 2000. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework
ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini didefinisikan 11 bagian besar yang terbagi dalam 132 strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja.
Sejak edisi keduanya terbit pada 2005, ISO/IEC 17799 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali. Pada April 2007, ISO memasukkan framework
sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi [16].
2.7.3 COSO
COSO (Committee of Sponsoring Organization of the Treadway Commision) adalah organisasi swasta yang menyusun Internal Control Integrated Framework bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasal internal untuknya yang lebih efektif. Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan atau organisasi dalam beberapa langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul. Internal Control Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada 1992 dan masih diperbaharui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan / menerbitkan sertifikasi keahlian / professional bagi framework ini [16].
2.7.4 COBIT
Pada 1998 ITGI (IT Governance Institute) didirikan dengan tujuan untuk memajukan pemikiran dan standar internasional dalam memimpin dan mengendalikan teknologi informasi di sebuah perusahaan.TI yang efektif dapat membantu memastikan bahwa TI mendukung tujuan bisnis, mengoptimalkan bisnis melalui investasi di TI, dan mengelola resiko dan peluang yang berkaitan dengan TI. ITGI menawarkan penelitian, sumber daya elektronik dan studi kasus untuk membantu para pemimpin perusahaan dan dewan direksi di dalam tata kelola TI mereka. ITGI telah merancang dan menciptakan sebuah publikasi berjudul COBIT (Control Objectives for Information and related Technology) sebagai sarana dan sumber daya edukasi untuk Chief Information Officer (CIO), manajemen senior, manajemen TI dan para professional yang bertugas melakukan kendali. COBIT dikembangkan oleh IT Governance Institute, yang
merupakan bagian dari Information Systems Audit and Control Association
(ISACA).
Tema utama dari COBIT adalah orientasi bisnis. COBIT dirancang untuk digunakan tidak hanya oleh pengguna dan auditor, tetapi juga, dan yang lebih penting sebagai pedoman yang komprehensif bagi manajemen dan pemilik business process. Semakin praktik bisnis melibatkan pemberdayaan yang penuh dari pemilik business process, maka mereka memiliki tanggung jawab penuh untuk semua aspek dari business process, khususnya termasuk melakukan pengawasan yang memadai. Framework
ini dimulai dari premis sederhana dan pragmatis untuk memberikan informasi yang diperlukan organisasi untuk mencapai tujuannya, sumber daya TI harus dikelola oleh serangkaian proses alami yang telah dikelompokkan.
Pedoman tata kelola TI juga disediakan di dalam framework COBIT. Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi untuk strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan cara yang optimal dari Planning and Organizing, Acquiring and Implementing, Deliver and Support, serta
Monitoring and Evaluating dari kinerja TI. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya, sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan keuntungan kompetitif [16].
2.8 Framework COBIT 4.1
COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan teknologi informasi yang berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan di-design
dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik bisnis proses tersebut. COBIT memberikan sebuah maturity process untuk mengendalikan proses teknologi informasi sehingga pihak manajemen dapat memetakan di mana posisi perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class industry
mendefinisikan prioritas manajemen teknologi informasi yang harus didahulukan dan diimplementasikan atau dikendalikan, dan menetapkan key goal indicator dan
key performance indicator untuk menjadi landasan tolak ukur bagi mengukur keberhasilan teknologi informasi dalam mencapai tujuan dan kesesuaianya dengan kebijakan organisasi [17].
COBIT menyediakan langkah-langkah praktis terbaik yang dapat diambil dan lebih difokuskan pada pengendalian (control) yang selanjutnya dijelaskan dalam tahap dan framework proses. Manfaat dari langkah langkah praktis terbaik yang dapat diambil tersebut antara lain [18]:
1. Membantu mengoptimalkan investasi teknologi informasi yang mungkin dapat dilakukan.
2. Menjamin pengiriman service.
3. Framework COBIT menggambarkan antara business dan aplikasi.
Selain itu kerangka kerja COBIT 4.1 terdiri dari beberapa arahan yaitu sebagai berikut [19]:
1. Control Objectives
Terdiri dari 4 tujuan pengendalian tingkat tinggi (high level control objectives) dalam 4 domain yaitu: Planning and Organization, Acquisition and Implementation, Deliver andSupport dan Monitoring and Evaluation. 2. Audit Guidelines
Terdiri dari 318 tujuan-tujuan pengendalian secara rinci (detailed control objectives) untuk membantu para auditor dalam memberikan saran untuk perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik mengenai apa yang harus dilakukan, seperti: apa indikator suatu kinerja yang bagus, apa risiko yang ditimbulkan dan lain sebagainya.
4. Maturity Models
Merupakan pemetaan status maturity proses-proses teknologi informasi.
2.8.1 Proses dalam framework COBIT 4.1
Pada COBIT 4.1 terdapat pengelompokan aktivitas teknologi informasi ke dalam 4 domain yaitu Plan and Organize (PO), Acquire and
Implement (AI), Deliver and support (DS) serta Monitor and Evaluate
(ME) yang mencakup 34 high level control objective. Dan keempat domain COBIT 4.1 tersebut mempunyai keterkaitan sama lain dan dapat digambarkan sebagai berikut [20]:
Gambar 2. 2 Keterkaitan domain dalam COBIT 4.1[21]
Keempat domain dalam proses COBIT 4.1 tersebut mempunyai pengertian sebagai berikut [21]:
1. Plan and organize (PO)
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana TI secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya
2. Acquisition and Implementation (AI)
Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem ini.
3. Deliver and support (DS)
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari TI. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem TI dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem
TI tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan
4. Monitor and evaluate (ME)
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif lainnya.
Dan proses-proses yang ada dalam kerangka COBIT 4.1 dapat digambarkan sebagai berikut:
2.8.2 Domain Deliver and support (DS)
Deliver and support adalah salah satu domain pada framework COBIT 4.1 yang mempunyai fokus aspek pengiriman teknologi informasi yang mencakup proses pemenuhan layanan, pelatihan dan pendidikan untuk pengguna dan pemenuhan proses data yang sedang berjalan. Dan mempunyai 13 proses dimana proses-proses tersebut mempunyai keterangan sebagai berikut [23]:
1. DS1 Define and Manage Service
Proses ini mendefinisikan bahwa untuk mengetahui sudahkah ada komunikasi efektif antara manajemen TI dan user mengenai layanan yang dibutuhkan memerlukan dokumentasi yang telah didefinisikan dan kesepakatan pada pelayanan TI dan tingkat pelayanan. Proses ini juga mencakup pemantauan dan pelaporan pencapaian tingkat layanan secara tepat waktu ke stakeholders serta terkait akan service level aggrement yaitu perjanjian antara pihak organisasi penyedia layanan dengan pengguna layanan.
2. DS2 Manage Third-party Services
Proses ini mendefinisikan bahwa kebutuhan untuk memastikan bahwa layanan yang diberikan oleh pihak ketiga (pemasok, vendor dan mitra) memenuhi persyaratan bisnis memerlukan proses manajemen pihak ketiga yang efektif. Proses ini dilakukan dengan mendefinisikan secara jelas peran, tanggung jawab, dan harapan dalam perjanjian pihak ketiga serta mengkaji dan memantau kesepakatan efektif dan kepatuhan tersebut. Manajemen layanan pihak ketiga yang efektif meminimalkan risiko bisnis yang terkait dengan pemasok non-performing.
3. DS3 Manage Performance and Capacity
Proses ini mendefinisikan bahwa kebutuhan pengelolaan kinerja dan kapasitas sumber daya TI. Dimana dalam mengelola kinerja dan sumber daya TI memerlukan proses peninjauan secara periodik pada kinerja dan sumber daya TI yang ada saat ini. Proses ini mencakup peramalan kebutuhan masa depan berdasarkan persyaratan beban kerja, penyimpanan dan kontijensi. Proses ini memberikan kepastian bahwa sumber informasi yang mendukung kebutuhan bisnis terus tersedia.
4. DS4 Ensure Continuous Service
Proses ini mendefinisikan bahwa kebutuhan untuk menyediakan layanan TI berkelanjutan memerlukan pengembangan, pemeliharaan dan pengujian rencana kesinambungan TI, memanfaatkan penyimpanan cadangan di luar kantor dan menyediakan pelatihan rencana kontinuitas secara berkala. Proses pelayanan berkelanjutan yang efektif dapat meminimalkan kemungkinan dan dampak dari gangguan layanan TI utama terhadap fungsi dan proses bisnis utama.
5. DS5 Ensure Systems Security
Proses ini mendefinisikan bahwa kebutuhan untuk menjaga integritas informasi dan melindungi aset TI memerlukan proses manajemen keamanan. Proses ini mencakup pembentukan dan pemeliharaan peran keamanan TI dan tanggung jawab, kebijakan, standar, dan prosedur. Manajemen keamanan juga mencakup melakukan pemantauan keamanan dan pengujian berkala dan menerapkan tindakan perbaikan untuk mengidentifikasi kelemahan atau insiden keamanan. Manajemen keamanan yang efektif melindungi semua asset TI untuk meminimalkan dampak bisnis dari kerentanan dan insiden keamanan.
6. DS6 Identify and Allocate Costs
Proses ini mendefinisikan bahwa kebutuhan akan sistem pengalokasian biaya TI untuk bisnis memerlukan pengukuran akurat dari biaya TI dan kesepakatan dengan pengguna bisnis pada alokasi yang baik. Proses ini mencakup pembangunan dan pengoperasian sistem untuk menangkap, mengalokasi, dan melaporkan biaya TI kepada pengguna layanan. Sistem alokasi yang baik memungkinkan perusahaan membuat keputusan yang tepat terkait penggunaan layanan TI.
7. DS7 Educate and Train Users
Proses ini mendefinisikan bahwa edukasi yang efektif untuk semua pengguna sistem TI, termasuk yang ada di dalam TI memerlukan identifikasi kebutuhan pelatihan setiap kelompok pengguna. Selain mengidentifikasi kebutuhan, proses ini mencakup penentuan dan pelaksanaan strategi untuk pelatihan yang efektif dan mengukur
hasilnya. Program pelatihan yang efektif meningkatkan penggunaan teknologi secara efektif dengan mengurangi kesalahan pengguna, meningkatkan produktivitas dan meningkatkan kepatuhan terhadap kontrol kunci, seperti tindakan pengamanan pengguna.
8. DS8 Manage Service Desk and Incidents
Proses ini mendefinisikan bahwa ketepatan waktu dan keefektifan tanggapan terhadap pertanyaan dan masalah pengguna TI memerlukan meja layanan dan proses manajemen kejadian yang dirancang dengan baik. Proses ini mencakup pengaturan fungsi meja layanan dengan registrasi, peningkatan kejadian, analisis trend dan akar penyebab, dan resolusi. Manfaat bisnis mencakup peningkatan produktivitas melalui penyelesaian cepat permintaan pengguna. Selain itu, bisnis dapat mengatasi akar penyebab (seperti pelatihan pengguna yang buruk) melalui pelaporan yang efektif.
9. DS9 Manage the Configuration
Proses ini mendefinisikan bahwa penetapan integritas konfigurasi perangkat keras dan perangkat lunak memerlukan penetapan dan pemeliharaan repositori konfigurasi yang akurat dan lengkap. Proses ini mencakup mengumpulkan informasi konfigurasi awal, membuat baseline, memverifikasi dan mengaudit informasi konfigurasi, dan memperbaharui konfigurasi repositori sesuai kebutuhan. Manajemen konfigurasi yang efektif memfasilitasi ketersediaan sistem yang lebih besar, meminimalkan masalah produksi dan menyelesaikan masalah dengan lebih cepat.
10. DS10 Manage Problem
Proses ini mendefinisikan bahwa manajemen masalah yang efektif memerlukan identifikasi dan klasifikasi masalah, analisis akar penyebab dan penyelesaian masalah. Proses manajemen masalah juga mencakup rumusan rekomendasi untuk perbaikan, pemeliharaan catatan masalah dan penelaahan status tindakan korektif.
11. DS11 Manage Data
Proses ini mendefinisikan bahwa pengelolaan data yang efektif memerlukan identifikasi kebutuhan data. Proses pengelolaan data juga mencakup penetapan prosedur yang efektif untuk mengelola media library, backup dan pemulihan data, dan pembuangan media yang tepat. Pengelolaan data yang efektif membantu memastikan kualitas, ketepatan waktu dan ketersediaan data bisnis.
12. DS12 Manage the Physical Environtment
Proses ini mendefinisikan bahwa perlindungan untuk peralatan komputer dan personil memerlukan fasilitas fisik yang dirancang dengan baik dan dikelola dengan baik. Proses pengelolaan lingkungan fisik meliputi penentuan persyaratan lokasi fisik, pemilihan fasilitas yang tepat, dan perancangan proses yang efektif untuk memantau faktor lingkungan dan mengelola akses fisik. Pengelolaan lingkungan fisik yang efektif mengurangi gangguan bisnis dari kerusakan peralatan komputer dan personil.
13. DS13 Manage Operation
Proses ini mendefinisikan bahwa pengolahan data yang lengkap dan akurat memerlukan pengelolaan prosedur pengolahan data yang efektif dan perawatan perangkat keras yang rajin. Proses ini mencakup penentuan kebijakan dan prosedur operasi untuk pengelolaan yang efektif untuk pemrosesan terjadwal, melindungi keluaran sensitif, memantau kinerja infrastruktur dan memastikan pemeliharaan perangkat keras yang preventif. Manajemen operasi yang efektif membantu menjaga integritas data dan mengurangi penundaan bisnis dan biaya operasional TI.
2.8.3 Maturity Model
Maturity model adalah mekanisme assesment tata kelola IT yang digunakan untuk mengevaluasi maturity level dari penerapan tata kelola IT dalam suatu perusahaan. Metode ini dapat digunakan untuk membandingkan current maturity level (CML) dengan expected maturity level (EML) atau dengan standar maturity level pada industry sejenis.
Tujuan pengukuran maturity level adalah untuk menumbuhkan awareness
terhadap tata kelola IT, mengidentifikasi weakness dari penerapan tata kelola IT, dan melakukan improvement terhadap tata kelola IT [24]. Dan dapat digambarkan sebagai berikut:
Gambar 2.4 Skala Maturity Model [25]
Pengukuran efektifitas penerapan dapat diketahui melalui hasil pengidentifikasian yang telah ditentukan oleh ISACA dengan kriteria-kriteria umm tiap maturity model dapat dilihat pada tabel 2.4.
Tabel 2.1 Penilaian Skala Maturity Model [22][11][26] 0-Non-existent
Status:
Tidak ada pengakuan dari kebutuhan untuk pengendalian internal.Kontrol bukan bagian dari budaya organisasi atau suatu misi. Terdapat risiko tinggi kekurangan kontrol dan insden
Pembentukan:
Tidak ada maksud untuk menilai kebutuhan untuk kontrol internal.Insiden ditangani pada saat mereka muncul.
Maturity Index:
0-0,50
1-Initial/ad-hoc Status:
Ada beberapa pengakuan dari kebutuhan untuk pengendalian internal. Pendekatan dengan persyaratan risiko dan kontrol ad hoc tidak terogarnisir, tanpa adanya komunikasi atau pemantauan.Kekurangan tidak teridentifikasi. Karyawan tidak menyadari tanggung jawab mereka
Pembentukan:
Tidak ada kesadaran akan perlunya penilaian apa yang dibutuhkan dalam IT kontrol. Dilakukan hanya atas dasar ad hoc dan sebagai reaksi terhadap insiden yang disignafkan
Maturity Index:
0,51-1,50
2-Repeatable but intuitive Status:
Sudah terdapat kontrol namun tidak didokumentasikan. Operasi mereka tergantung pada pengetahuan dan motivasi individu. Efektivitas tidak cukup dievaluasi. Terdapat banyak kelemahan control dan tidak ditangani, yang nantinya akan berdampak parah. Tindakan manajemen untuk menyelesaikan masalah kontrol tidak diprioritaskan. Karyawan mungkin tidak menyadari tanggung jawab mereka
Pembentukan:
Penilaian kebutuhan kontrol terjadi hanya bila diperlukan untuk menentukan tingkat kematangan pada saat pengontrolan. Sebuah pendekatan lokakarya informal, yang melibatkan
manajer TI dan tim yang terlibat dalam proses, digunakan untuk menentukan pendekatan yang memadai untuk pengontrolan, pemerosesan dan untuk memotivasi rencana aksi yang telah di sepakati
Maturity Index:
1,51-2,50
3-Definied Status:
Sudah terdapat control dan sudahdidokomentasikan. Efektivitas operasi dievaluasi secara berkala dan terdapat rata-rata jumlah masalah. Sementara itu manajemen sudah menduga masalah yang dapat timbul. Beberapa kelemahan kontrol masih ada dan dampak masih bisa parah. Karyawan menyadari tanggung jawab mereka untuk kontrol
Pembentukan:
Proses TI yang penting di identifikasi berdasarkan perubahan nilai dan risiko. Perincian analisis dilakukan untuk mengidentifikasi persyaratan kontrol dan akar penyebab kesenjangan yang mengembangkan peluang perbaikan. Selain lokakarya di fasilitasi, alat-alat yang digunakan dan wawancara dilakukan untuk mendukung analisis dan memastikan bahwa pemilik proses TI memiliki dan mendorong proses penilaian dan perbaikan.
Maturity Index:
2,51-3,50
4-Managed And measurable Status:
Sudah terdapat control internal yang efektif dan mengukur risiko manajemen. Evaluasi, secara formal di dokumentasikan dan kontrol sering dilakukan. Banyak kontrol otomatis yang sudah teratur dijalankan. Manajemen dapat mendeteksi masalah yang dapat terjadi tetapi tidak semua masalah secara rutin di identifikasi. Ada konsisten tindak lanjut untuk mengatasi kelemahan kontrol
Pembentukan:
Proses TI yang utama secara teratur di definisikan dengan dukungan penuh dan kesepakatan dari pemilik proses bisnis yang relevan. Penilaian persyaratan kontrol di dasarkan. Pada kebijakan dan kematangan yang sebenarnya dari proses ini dan juga analisis menyeluruh dan terukur yang melibatkan stakeholder kunci. Akuntabilitas penilaian tersebut jelas dan ditegakan. Strategi perbaikan di dukung oleh kasus bisnis. Kinerja dalam mencapai hasil yang di inginkan secara konsisten di pantau. Ulasan kantrol eksternal diatur sesekali.
Maturity Index:
3,51-4,50
5-Optimized Status:
Sebuah risiko perusahaan dan program kontrol memberikan kontrol terus menerus yang efektif dan manajemen risiko yang terintegrasi dengan praktek perusahaan, didukung dengan otomatis real-time monitoring dengan tanggung jawab penuh untuk pemantauan. Pengendalian, manajemen risiko dan kepatuhan penegakan. Evaluasi kontrol berkelanjutan berdasarkan self-assesment dan kesenjangan serta analisis akar penyebab. Karyawan secara proaktif terlibat dalam perbaikan kontrol.
Pembentukan:
Perubahan bsinis menjadi pertimbangan utama proses teknologi informasi dan mencakup setiap kebutuhan untuk menilai kembali kemampuan proses kontrol. Teknologi informasi memproses secara teratur penilaian untuk memenuhi kebutuhan bisnis dan mereka menganggap atribut kematangan untuk menemukan cara untuk membuat kontrol yang lebih efisien dan efektif
Maturity Index:
4,51-5,00
Secara spesifik hal-hal yang menetukan maturity akan berbeda-beda pada tiap proses teknologi informasi. Maturity pada tiap-tiap proses teknologi informasi akan menentukan tingkat kedewasaan
perusahaan/organisasi yang biasanya di persentasikan dalam bentuk grafik laba-laba sebagai berikut:
Gambar 2.5 Contoh Grafik laba-laba maturity level
Selain tingkat tersebut tingkat kedewasaan atau kematangan disusun oleh atribut-atribut sebagai berikut [12]:
1. Awareness and Communication. 2. Policies, Standards and Procedures. 3. Tools and Automation (TA).
4. Skills and Expertise.
5. Responsibility and Accountability. 6. Goal Setting and Measurement.
Model pengukuran maturity dibuat berdasarkan COBIT terdiri dari
Critical Success Factors (CSF), Key Goal Indicators (KGI) dan Key Performance Indicators (KPI) dengan penjelasan sebagai berikut:
1. Critical Success Factors (CSF)
Faktor Sukses Kritis (CSF) akan memberikan pedoman kepada manajemen dalam upaya menerapkan pengendalian TI dan prosesnya. Faktor Kritis Sukses dianggap sebagai aspek penting yang perlu dilakukan terhadap proses yang memberikan kontribusi untuk proses IT dalam mencapai tujuannya. Hal ini biasanya berhubungan dengan
kemampuan dan keterampilan, fokus dan berorientasi pada tindakan, serta eksplorasi sumber [27]
2. Key Goal Indicators (KGI)
KGI adalah ukuran yang digunakan untuk menunjukkan pencapaian tujuan dari kendali yang diterapkan pada setiap proses TI. Menentukan ukuran yang mengarahkan manajemen setelah fakta apakah proses TI telah mencapai kebutuhan bisnisnya, biasanya digambarkan atas kriteria informasi [12]:
1. Ketersediaan informasi diperlukan untuk mendukung kebutuhan bisnis.
2. Ketiadaan atau kekurangan integritas dan resiko kerahasiaan. 3. Efisiensi biaya dan operasi.
4. Konfirmasi reliabilitas. 5. Efektivitas dan pemenuhan. 3. Key Performance Indicator (KPI)
KPI merupakan ukuran yang digunakan untuk menunjukkan kinerja setiap proses TI. Menetapkan ukuran untuk menentukan bagaimana proses TI dilaksanakan dengan baik yang memungkinkan tujuan tersebut tercapai [12].
2.1 Perbandingan Model Audit
Dan berikut ini adalah perbandingan antara framework COBIT 4.1 dengan model framework lainnya dimana proses perbandingan dijabarkan menggunakan tanda (+) apabila framework tersebut mempunyai proses pengelolaan terkait domain yang ada. Dan apabila framework tersebut tidak memiliki proses pengelolaan pada domain maka akan diberi tanda (-) :
a. Matrik Proses COBIT vs Standar ITIL
Berikut ini adalah perbandingan antara COBIT dengan Standar ITIL:
Tabel 2.2 Matriks Proses COBIT vs Standar ITIL [16][28]
Proses dan Domain COBIT
1 2 3 4 5 6 7 8 9 10 11 12 13
PO - - + + + - - - - +
DS + + + + + + + + + + + + +
ME - - - -
+ Adressed
- Not or rarely adressed
Pada tabel 2.1 dapat dilihat bahwa sebagian proses PO tidak dilakukan pada framework ITIL sehingga bisa dikatakan bahwa ITIL tidak terlalu fokus pada proses penyelerasan strategy perusahaan dan pengelolaan IT. Kemudian pada proses ME sama sekali tidak terdapat proses pada ITIL, hal ini menunjukan bahwa ITIL tidak melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan dating [28][16].
b. Matrik Proses COBIT vs Standar ISO
Berikut ini adalah perbandingan antara COBIT dengan ISO:
Tabel 2.3 Matrik Proses COBIT vs ISO 17799 [16][28]
Poses dan Domain COBIT
1 2 3 4 5 6 7 8 9 10 11 12 13 PO - + + + - + + + + - AI - + + + + + + DS - + + + + - + + + + + + + ME + + - - + Addressed
- Not or rarely addressed
Pada tabel 2.2 menunjukan bahwa ISO/IEC 17799 melakukan sebagian proses pada domain COBIT, Sehingga menunjukan bahwa framework ini mempunyai spektrum yang luas dalam hal pengelolaan TI akan tetapi masih belum sedalam COBIT dalam hal detail proses yang dilakukan dimana ISO/IEC terdiri dari 10 domain yaitu:
1. Security Policy yang bertujuan untuk memberikan panduan dan masukan pengelolaan dalam meningkatkan keamanan informasi.
2. Organizational security yang betujuan untuk memfasilitasi pengelolaan keamanan informasi dalam organisasi.
3. Asset classification and control yang betujuan untuk melakukan inventarisasi aset dan melindungi aset tersebut dengan efektif.
4. Personnel security yang betujuan untuk meminimalisasi resiko human error, pencurian, pemalsuan atau penggunaan peralatan yang tidak selayaknya.
5. Physical and environmental security yang betujuan untuk menghindarkan violation, deterioration atau disruption dari data yang dimiliki.
6. Communications and operations management yang bertujuan untuk memastikan penggunaan yang baik dan selayaknya dari alat-alat proses informasi.
7. Access control yang bertujuan untuk mengontrol akses informasi. 8. Systems development and maintenance yang bertujuan untuk
memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada.
9. Business continuity management yang bertujuan untuk meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses perusahaan yang mendasar dari kegagalan dan kerusakan yang besar. 10. Compliance yang bertujuan untuk menghindarkan terjadinya tindakan
pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.
Dimana berdasarkan domain ISO/IEC 17799 diatas dapat disimpulkan bahwa ISO/IEC 17799 lebih berfokus kepada kerahasiaan, integritas dan ketersediaan asset informasi tetapi tidak sedalam COBIT dengan contoh pada tabel 2.2 untuk perbandingan domain DS dengan COBIT bahwa ISO/IEC 17799 tidak menyertakan panduan pengelolaan alokasi biaya untuk sumber daya TI seperti pada COBIT pada DS6 [28][16].
c. Matrik Proses COBIT vs Standar COSO
Berikut ini adalah perbandingan antara COBIT dengan COSO:
Tabel 2.4 Matrik Proses COBIT vs COSO [16][28]
Poses dan Domain COBIT
1 2 3 4 5 6 7 8 9 10 11 12 13 PO + + + + - + + + + - AI + + + + + + + DS + - + + + - + - + - + + - ME - - - - + Addressed
- Not or rarely addressed
Pada tabel 2.3 menunjukan bahwa COSO melakukan sebagian dari proses pada domain PO, AI, DS namun tidak ada satupun proses pengerjaan yang terdapat pada domain ME dilakukan. Dan pada tabel 2.3 ini menunjukan bahwa COSO lebih banyak berfokus pada AI yaitu desain dan implementasi teknologi informasi. Sedangkan untuk proses DS, COSO lebih banyak berfokus pada pengendalian internal atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi akan tetapi salah satu kekurangannya tidak terdapat pembahasan untuk pengelolaan pihak external seperti yang terdapat pada COBIT domain DS2 [28][16].
2.2 Penelitian Terdahulu
Untuk dapat melakukan penelitian ini penulis mempelajari beberapa penelitian yang dilakukan oleh peneliti sebelumnya sebagai bahan study literatur. Dan berikut ini beberapa penelitian yang telah dilakukan sebelumnya menggunakan framework COBIT 4.1:
1. Penelitian I
Judul: Audit Tata Kelola Teknologi Informasi pada Dinas Komunikasi dan Informatika (DISKOMINFO) Kota Probolinggo Menggunakan Kerangka Kerja COBIT 4.1 domain Plan and Organise dan Acquire and Implement
Tahun: 2018
Penelitian ini bertujuan untuk mengetahui kemungkinan terjadinya penyimpangan terhadap tata kelola TI yang sudah direncanakan. Dimana peneliti menggunakan framework COBIT 4.1 dengan memilih 2 domain yaitu PO (Plan and Organise) dan AI (Acquire and Implement) untuk mengetahui tingkat kematangan tata kelola teknologi informasi pada Diskominfo kota Probolinggo dimana hasil pengukuran tingkat kematangan pada 2 domain tersebut masih belum mencapai hasil yang memuaskan yaitu berada di kisaran 1,00 sampai dengan 2,00 sehingga dari analisis tersebut dapat disimpulkan bahwa segala kegiatan, mulai dari pengadaan, pemeliharan, sampai dengan pengawasan, baik terhadap infrastruktur maupun sistem, dilakukan sesuai dengan kebutuhan tanpa dilakukan perencanaan.
2. Penelitian II
Judul: Audit Sistem informasi akademik menggunakan framework COBIT 4.1 (Studi Kasus IBI DARMAJAYA)
Nama: Neni Purwati Tahun: 2014
Penelitian ini bertujuan untuk mengukur tingkat kematangan tata kelola sistem informasi akademik di Institut Informatika dan Bisnis Darmajaya (IBI Darmajaya) yang bertujuan untuk menigkatkan kepercayan
stakeholder terhadap institusi khususnya pada kualitas layanan dan tingkat kepuasan pelanggan atau mahasiswa. Dimana pada proses pelaksanaannya penulis menggunakan framework COBIT 4.1 dengan memilih 2 domain yaitu PO (Plan and Organise) dan DS (Deliver and Support) pada proses PO2, PO7, PO8, DS10 dan DS11 dimana hasil tingkat kematangan yang didapat dari hasil analisis kedua domain tersebut berada di level 3 (defined process). Adapun saran yang diberikan oleh peneliti adalah diharapkan dapat selalu dilakukan audit untuk penelitian berikutnya agar level maturity setiap proses dapat diketahui hasilnya, sehingga selalu dapat dilakukan perbaikan berkelanjutan untuk mencapai tujuan bisnis institusi.
3. Penelitian III
Judul: Audit sistem informasi menggunakan framework COBIT 4.1 pada
E-learning UNISNU JEPARA” Nama: Noor Azizah
Tahun: 2017
Penelitian ini bertujuan mengetahui sejauh mana kinerja sistem informasi pembelajaran yaitu e-learning sebagai layanan publik yang telah diterapkan pada Universitas Islam Nahdatul Ulama (UNISNU) Jepara dan memberikan rekomendasi tata kelola perbaikan setelah mengetahui kesenjangan antara tatakelola saat ini dengan tatakelola yang diharapkan. Untuk mengetahui tingkat kematangan peneliti menggunakn framework
COBIT 4.1 dengan memilih domain DS (Deliver and Support) pada proses DS3, DS5, DS7, DS9, DS10, DS11, DS13 dengan rata-rata hasil dari pengukuran tingkat kematangan berada pada level 3 (defined process). Dan untuk rekomendasi peneliti menyarankan agar pengelolaan IT dilakukan lebih intensif terhadap penggunaan e-learning. Selain itu, perlu diadakan sosialisasi maupun pelatihan terhadap penggunaan E-learning
agar penggunaannya bisa lebih maksimal. Pihak management UPT Pusat Data dan IT juga harus berkomitmen terhadap tingkat keamanan dan pengelolaan proses-proses yang sudah cukup baik ini agar terus ditingkatkan.
4. Penelitian IV
Judul: Audit tata kelola sistem teknologi informasi dan komunikasi perguruan tinggi (Studi Kasus: STMIK PALANGKARAYA) Nama: Arliyana
Tahun: 2015
Penelitian bertujuan untuk mengukur tata kelola sistem teknologi informasi dan komunikasi yang dapat menjadi penambah nilai bagi perguruan tinggi dengan harapan dapat menjadi saran bagi pihak perguruan tinggi dalam meningkatkan peranan teknologi informasi khususnya pada akses informasi agar dapat dilakukan secara cepat, tepat dan akurat. Penelitian ini dilaksanakan menggunakan framework COBIT
4.1 dan di lakukan pada 3 domain yaitu PO (Plan and Organise), AI (Acquire and Implement), DS (Deliver and Support) pada proses PO2, PO4, PO7, A13, PO6, DS6 dengan rata-rata tingkat hasil kematangan yang didapatkan dari hasil adalah 2,78 dengan nilai. Domain terbawah yaitu PO4 dan PO6 .Salah satu rekomendasi yang diberikan peneliti untuk meningkatkan kinerja sistem teknologi informasi adalah pimpinan perguruan tinggi memberikan tugas dan tanggung jawab pelaksanaan untuk mengidentifikasi dan melakukan evaluasi sistem teknologi informasi dan komunikasi secara berkala terhadap staf dan pengelola sistem teknologi informasi dan komunikasi institusi perguruan tinggi.
5. Penelitian V
Judul: Audit sistem informasi menggunakan framework COBIT 4.1 pada PT.Aneka Solusi Teknologi
Nama: Fenny dan Johanes Fernandes Tahun: 2017
Penelitian ini bertujuan untuk anlisis dan mengetahui keamanan dan integritas data dari sistrem informasi yang digunakan pada PT. Aneka solusi teknologi yaitu sebuah perusahaan yang bergerak di bidang penyedia jasa perbaikan kualitas serta penyelesaian masalah yang terjadi pada elektronik, komputer dan mobilephone. Objek yang dijadikan bahan penelitian meliputi bagian penjualan, pembelian dan gudang dengan pelaksanaan audit menggunakan framework COBIT 4.1 dengan menggunakan 1 domain yaitu (Delivery and Support) dimana berdasarkan hasil analisis tingkat kematangan maturity level yang didapatkan adalah 3,7. Dan peneiti memberikan beberpa rekomendasi untuk peningkatan kinerja yang salah satunya adalah agar perusahaan memberikan pelatihan secara khusus kepada bgian manejerial TI untuk dapat mengelola, merawat serta memelihara keberlangsungan layanan sistem yang ada. Termasuk diantaranya pelatihan untuk audit sistem agar bisa mengevaluasi apa saja kekurangan yang terdapat pada sistem yang berjalan di perusahaan serta penanganannya.
Tabel 2.5 Persamaan dan Perbedaan Penelitian Terdahulu
Nama Peneliti Judul Penelitian Persamaan
Penelitian Perbedaan Penelitian Liliandara Wahyu Imami, Suprapto dan Yusi Tyroni Mursityo
Audit tata kelola teknologi informasi pada Dinas komunikasi dan informatika (DISKOMINFO) Kota Probolinggo menggunakan kerangka Kerja COBIT 4.1 domain Plan and Organise dan Acquire and Implement - Menggunakan COBIT 4.1 -Menggunakan Maturity level dalam proses pengukuran tata kelola - -Peneliti menggunakan diagram Responsibility assignment matrix (RACI) untuk menentukan sampel -Peneliti tidak menggunakan grafik jaring laba-laba untuk menggambarkan maturity level -Tidak melakukan Identifikasi KGI, CSF, KPI
-Proses audit Meliputi semua proses pada domain PO dan AI
Neni Purwati Audit sistem informasi akademik menggunakan Framework COBIT 4.1 (STUDI KASUS IBI DARMAJAYA) -Menggunakan COBIT 4.1 -Menggunakan domain DS proses DS10 dan DS11 --Menggunakan Maturity level dalam proses pengukuran tata kelola - Menggunakan grafik jaring laba-laba untuk menggambarkan maturity level -Melakukan Identifikasi KGI, -Menggunakan domain PO proses PO2, PO7 dan PO8
CSF, KPI
Noor Azizah Audit sistem informasi menggunakan framework COBIT 4.1 pada E-learning UNISNU JEPARA -Menggunakan COBIT 4.1 - Menggunakan domain DS proses DS3, DS5, DS7, DS9, DS10, DS11 dan DS13 --Menggunakan Maturity level dalam proses pengukuran tata kelola -Peneliti tidak menggunakan grafik jaring laba-laba untuk menggambarkan maturity level -Tidak melakukan Identifikasi KGI, CSF, KPI
Arliyana Audit tata kelola sistem teknologi informasi dan komunikasi perguruan tinggi (Studi Kasus: STMIK PALANGKARAYA) -Menggunakan COBIT 4.1 - Menggunakan grafik jaring laba-laba untuk menggambarkan maturity level - Menggunakan domain DS proses DS6 - Identifikasi KGI, CSF, KPI -Menggunakan domain PO proses PO2, PO4 ,PO6, PO7 dan AI proses A13 Fenny dan Johanes Fernandes Audit sistem informasi menggunakan framework COBIT 4.1 pada PT.Aneka Solusi Teknologi -Menggunakan COBIT 4.1 -Menggunakan grafik jaring laba-laba untuk menggambarkan maturity level -Menggunakan domain DS proses DS1-DS13 -Tidak adanya penentuan KGI, CSF ,KPI
![Gambar 2.1 Fokus Area Tata Kelola Teknologi Informasi [14]](https://thumb-ap.123doks.com/thumbv2/123dok/3069616.2323959/5.892.389.601.228.422/gambar-fokus-area-tata-kelola-teknologi-informasi.webp)
![Gambar 2. 2 Keterkaitan domain dalam COBIT 4.1[21]](https://thumb-ap.123doks.com/thumbv2/123dok/3069616.2323959/11.892.340.644.258.428/gambar-keterkaitan-domain-dalam-cobit.webp)
![Gambar 2.3 Struktur COBIT [22]](https://thumb-ap.123doks.com/thumbv2/123dok/3069616.2323959/12.892.232.699.437.1060/gambar-struktur-cobit.webp)
![Gambar 2.4 Skala Maturity Model [25]](https://thumb-ap.123doks.com/thumbv2/123dok/3069616.2323959/17.892.180.761.228.818/gambar-skala-maturity-model.webp)
