Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk dengan Menggunakan Cobit Framework

(1)

Nama Orang

JURNAL APLIKASI MANAJEMEN | VOLUME 12 | NOMOR 4 | DESEMBER 2014 572

Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk dengan

Menggunakan Cobit Framework

Teddy Iskandar

Sekolah Pascasarjana Institut Pertanian Bogor Irman Hermadi

Institut Pertanian Bogor

Abstract: The finance Industry develops rapidly, both Banking and Non Banking Institu- tions, that later this fact will bring out the competition which is getting tighter. The develop- ment is not implied not only by variety of products and finance service, but also in monetary deregulation business competency, more sophisticated finance service preferention, and Information Technology (IT) development. Based on those, IT roles, especially in Informa- tion System (IS),. As a result, the role of Information system becomes important things in supporting the banking’s business and operation. It is also becoming dominant factor in winning the business competition and one way to measure IS by auditing to IS itself. IS audit that had been doing in this research was to audit IS planning and implementations process in PT. Bank XYZ, Tbk (Bank XYZ), by determining Critical Success Factor(CSF), Key Gol Indicator (KGI), Key Performance Indicator (KPI) and measuring Maturity Level by likert scale using Maturity Model in Cobit Framework. From this research, it could be concluded that all IS planning and implementations process in Bank XYZ have been conducted by right regulations as Cobit Framework and Maturity Level is placed between Level 2-Repeatable and Level 3-Defined.

Keywords: CSF, COBIT, Maturity Level, Maturity Model, KPI, KGI

Abstrak: Perkembangan pesat industri keuangan, baik lembaga perbankan dan non perbankan dewasa ini dapat dirasakan membawa implikasi persaingan yang semakin ketat. Perkembangan tersebut tidak hanya diwarnai dengan gelaran produk dan jasa keuangan yang variatif, tetapi juga dengan adanya deregulasi di bidang moneter, kompetensi bisnis, preferensi jasa keuangan yang semakin canggih dan perkembangan Teknologi Informasi (TI). Sehubungan dengan hal tersebut peranan TI khususnya di bidang Sistem Informasi (SI) menjadi hal yang penting dalam mendukung bisnis dan operasional perbankan itu sendiri, serta menjadi faktor dominan dalam memenangkan persaingan usaha dan salah satu cara untuk menilai dan mengukur SI adalah dengan melakukan audit terhadap SI tersebut. Audit SI yang dilakukan dalam penelitian ini adalah mengaudit proses perencanaan dan implementasi SI di PT. Bank XYZ, Tbk (Bank XYZ) dengan cara menentukan Critical Success Factor (CSF), Key Gol Indicator (KGI), Key Per- formance Indicator (KPI) dan melakukan pengukuran Maturity Level dengan Skala Likert menggunakan Maturity Model yang ada di COBIT Framework. Dari hasil penelitian ini dapat disimpulkan bahwa secara keseluruhan proses perencanaan dan implementasi SI di Bank XYZ sudah mengikuti kaidah-kaidah yang baik dan benar sesuai dengan COBIT framework dan Maturity Level-nya berada diantara level: 2 - Repeatable dan level: 3 - Defined.

Kata Kunci: CSF, COBIT Framework, Maturity Level, Maturity Model, KPI, KGI

Alamat Korespondensi:

Teddy Iskandar, Sekolah Pascasarjana Manajemen Bisnis Institut Pertanian Bogor, E-mail: teddyiskandar09@

gmail.com Jurnal Aplikasi Manajemen (JAM) Vol 12 No 4, 2014 Terindeks dalam Google Scholar

JAM 12, 4

Diterima, September 2014 Direvisi, Oktober 2014 Disetujui, Desember 2014

572

(2)

Penggunaan SI di perusahaan yang bergerak dibidang bisnis semakin meningkat. SI telah menjadi nyawa bagi setiap perusahaan, tidak terkecuali perusahan yang bergerak di bisnis perbankan seperti PT. Bank XYZ, Tbk (Bank XYZ). Bahkan dalam beberapa tahun terakhir ini SI banyak digunakan tidak hanya terbatas pada proses operasional tetapi juga sudah digunakan di dalam proses bisnis, penentuan strategi bisnis dan pengambilan keputusan eksekutif.

Penerapan SI dapat bermanfaat secara maksi- mal, jika proses perencanaan dan implementasinya sesuai dengan tujuan, visi, misi perusahaan, serta diterjemahkan ke dalam strategi bisnis dan strategi SI. Selain itu keselarasan antara strategi SI terhadap strategi bisnis dapat memberikan nilai tambah berupa competitiveadvantage dalam persaingan bisnis dan karena hal tersebut maka proses perencanaan dan implementasi SI menjadi hal yang penting serta harus dipastikan sesuai dengan strategis bisnis perusahaan, mengikuti kaidah-kaidah yang baik dan benar. Sebagai pihak regulator perbankan, Bank Indonesia (BI) melalui Surat Edaran No.9/30/DPNP tanggal 12 Desember 2007 di pasal 15–17juga menuntutpihak Bank untuk melaksanakan fungsi audit SI dan hal tersebut mendorong munculnya kebutuhan untuk melakukan audit SI di perbankan. Selain itu menurut Surendro (2005) untuk mengukur seberapa jauh keselarasan antara proses bisnis, aplikasi, dan strategi bisnis perusahaan maka audit SI menjadi hal yang perlu dilakukan.

Bank XYZ sebagai salah satu industri perbankan di Indonesia dituntut untuk dapat menyusun strategi bisnis yang memperhatikan kekuatan dan kelemahan yang dimilikinya dalam mencapai keunggulan kompe- titif, serta melakukan audit SI secara berkala. Untuk memenuhi PBI No.9/30/DPNP danIT Strategic Plan (ITSP) tahun 2008–2013, Bank XYZ telah melakukan audit SI yang dilakukan oleh pihak auditor internal dan pihak auditor eksternal secara berkala, dan hasil audit SI tersebut dilaporkan ke BI dalam laporan semesteran.

Selain itu O’Brien dan Marakas (2009) menyatakan bahwa masalah yang umum ditemukan pada proses perencanaan SI adalah kurangnya keterlibatan pihak manajemen dan user dalam proses perenca- naan, mengabaikan visi dan misi dari perusahaan, kurang memahami kondisi lingkungan dan internal

perusahaan, hanya bergantung pada permintaan seba- gian user saja dan tidak memandang kemajuan dari Teknologi Informasi (TI) itu sendiri. Sedangkan masalah yang umum ditemukan pada proses implementasi SI adalah kualitas sistem yang kurang baik, kurangnya komitmen dari pihak manajemen dalam proses imple- mentasi, dan adanya penolakan dari user terhadap pengembangan dan perubahan SI. Sehubungan dengan peran SI yang sangat penting diperusahaan, adanya perubahan-perubahan yang terkait dengan lingkungan operasi SI, dan ditambah adanya permasalahan diatas, maka hal ini mendorong munculnya kebutuhan untuk melakukan audit dan kontrol terhadap segala hal yang berkaitan dengan SI.

Bedasarkan kenyataan dan kondisi tersebut di atas, penelitian ini mencoba untuk melakukan audit pada proses perencanaan dan implementasi SI Bank XYZ dengan cara menentukan Critical Success Factor (CSF), Key Gol Indicator (KGI), Key Per- formance Indicator (KPI), melakukan pengukuran maturity level dan memberikan rekomendasi kepada pihak manajemen untuk perbaikan dan peningkatan maturity level SI Bank XYZdengan menggunakan COBIT framework.

Pilihan menggunakan COBIT (Control Objecti- ves for Information and related Technology) seba- gai framework dalam penelitian ini bedasarkan anali- sis dan penelitian-penelitian audit SI sebelumnya yang telah dilakukan, di mana Fitianahdan Sucahyo (2010) telah melakukan benchmarking antara kerangka kerja (framework) audit SI yang ada di Queensland Audit Office, Champlain (1998) dan kemudian semua kerangka audit SI tersebut dipetakan sehingga didapat sebuah kesimpulan bahwa COBIT adalah framework audit SI yang paling lengkap. Selain itu menurut penelitian yang telah dilakukan oleh Syukhri (2003) menyatakan bahwa COBIT framework bersifat universal sehingga dapat diaplikasikan pada semua jenis organisasi.

METODE

Ruang lingkup dalam penelitian ini adalah melakukan analisis danauditpada domain/proses perencanaan (Planning and Organisation-PO) dan implementasi (Acquisition and Implementations-AI) SI Bank XYZ dalam hal ini Aplikasi Neraca Direktorat/NDIR dengan cara menentukan CSF, KGI, KPI dan mengukur

(3)

maturity level (skala likert) menggunakan maturity model yang ada di COBIT framework dengan mem- buat dan menggunakan kuesioner, melakukan wawan- cara, observasi dan studi pustaka.

Penelitian ini dilakukan di kantor pusat Bank XYZ selama dua bulandan menggunakan dua jenis data yaitu data primer dan data sekunder. Data primer diperoleh dari wawancara, observasi dan pengisian kuesioner yang dilakukan oleh responden internal atau karyawan Bank XYZ yang dipilih secara purposive sampling (sengaja), di mana responden yang dipilih berjumlah dua puluh orang dari level staf sampai dengan manajemen yang merupakan representative manajemen, mempunyai wewenang, keahlian/ kom- petensi dan menggunakan/sebagai user dari SI NDIR.

Sedangkan data sekunder diperoleh dengan cara mengumpulkan data dan informasi yang terkait dengan bidang penelitian ini baik dari media cetak, website, jurnal, tesis, disertasi, dokumen internal perusahaan dan studi pustaka.

Metode pengumpulan data dan informasi di dalam penelitian ini dilakukan dengan: (1) Melakukan Informal Brainstorming Group Sessionyang dilaku- kan secara lansung pada salah satu responden yang bertujuan untuk menetukan masing-masing proses dan control objective dari proses perencanaan dan imple- mentasi SI, serta menentukan CSF, KGI dan KPI.

(2) Membuat dan menggunakan kuesioner yang dikembangkan berdasarkan model kematangan COBIT 4.1 dan dikaitkan dengan control objective sertaatribut kematangan yang mempengaruhinya dan disebarkan ke responden. (3) Melakukan wawancara yang dilakukan secara lansung ke responden. (4) Melakukan observasi yang dilakukan secara langsung pada objek yang diteliti dengan mengadakan pengamatan dan pencatatan terhadap data dan informasi yang diperlu- kan serta berhubungan dengan proses perencanaan dan implementasi SIBank XYZ. (5) Melakukan studi pustaka yang diperoleh dengan membaca, mempela- jari, dan mengutip dari berbagai sumber seperti buku, tesis, disertasi, jurnal, dan dokumen internal maupun ekternal yang berkaitan dengan penelitian ini.

Metode analisa data yang dilakukan dalam penelitian ini dilakukan dengan mengunakan analisis deskriptif menggunakan maturity model yang ada di COBIT framework. Pada dasarnya dalam metodo- logi audit/assurance, metodologi pengumpulan data

dan informasi yang dilakukan adalah meliputi:(1) Penelaahan dokumentasi Corporate Plan, Program Kerja, Annual Report, ITSP, Kebijakan, Prosedur dan Standar Teknik maupun Non-Teknis yang menjadi dasar pada proses pengembangan dan implementasi SI di Bank XYZ. (2) Informal Brainstorming Group Session, kuesioner, wawancara dengan responden karyawan Bank XYZ.

Langkah-langkah yang dilakukan dalam pelaksanaan audit SI adalah sebagai berikut: (1) Menentukan ruang lingkup dan tujuan dari audit SI, (2) Membuat kerangka audit SI, (3) Menentukan control objecti- ves, CSF, KGI, KPIsesuai dengan ruang lingkup dalam penelitian ini (4) Melakukan audit SI sesuai COBIT framework dengan melakukan pengumpulan data dan informasi dari responden melalui kuesioner, wawancara dan observasi lansung. Dalam pembuatan kuesio- ner, menggunakan deskripsi dari maturity level yang ada/tertera di maturity model COBIT dan tujuan dari kuesioner ini dibuat adalah untuk mendapatkan informasi terkait dengan kondisi perusahaan yang tengah diperiksa dengan berbagai skenario yang menggam- barkan setiap maturity level. Sedangkan setiap des- kripsi kuesioner tingkat maturity level adalah pernya- taan yang dapat bernilai sangat tidak baik, tidak baik, cukup baik, baik, atau sangat baik dan dapat dilihat sebagai suatu pernyataan yang berdiri sendiri. (5) Dari penentuan control objectives di atas, maka dibuatkan kuesioner untuk disebarkan kepada seluruh responden dengan perincian pertanyaan sebagai berikut: (a) PO1:

Define a strategic IT plan (Menentukan Perenca- naan Strategi TI) terdiri dari 8 pertanyaan, (b) PO2:

Define the information architecture (Menentukan Arsitektur Informasi), terdiri dari 7 pertanyaan, (c) PO3: Determine technological direction (Menentu- kan Arahan Teknologi) terdiri dari 7 pertanyaan, (d) PO6: Communicate management aims and direc- tion (Mengkomunikasikan Tujuan dan Arah Manaje- men) terdiri dari 8 pertanyaan, (e) PO7: Manage quality human resource (Mengelola SDM TI)terdiri dari 13 pertanyaan, (f) PO9: Asses and manage IT risks (Menjamin dan Mengelola Resiko-resiko TI) terdiri dari 10 pertanyaan, (g) AI2: Acquire and maintain application software (Memperoleh dan Memelihara Aplikasi Perangkat Lunak) terdiri dari 12 pertanyaan, (h) AI3: Acquire and maintain technology infrastructure (Memperoleh dan

(4)

Memelihara Teknologi Infrastruktur) terdiri dari 10 pertanyaan, (i) AI6: Manage changes (Mengatur Pe- rubahan) terdiri dari 7 pertanyaan dan (j) AI7: Install and accredit solutions and changes (Memasang dan Mengakreditasi Solusi dan Perubahan), terdiri dari 12 pertanyaan. (6) Dari hasil pengisian kuesioner, wawancara dan observasi diatas menghasilkan nilai pencapaian terhadap standar dan dapat dihitung untuk setiap maturity level dengan cara mengumpulkan seluruh jawaban dari responden dan dijumlahkan nilai pencapaian tersebut dari setiap pernyataan. Penilai menggunakan indeks hasil dengan rumus:

 (Soal) INDEKS =

 (Jawaban)

Data yang terkumpul dari point 6 di atas kemudian di analisismenggunakan panduan yang ada dalam melakukan sebuah analisa I Tassurance guide dan maturity model dengan skala likert meliputi detailed control objective yang disesuaikan dengan keadaan dari Bank XYZ (berdasar pada high level control objective), dimana modelini dapat mengukur maturity level dari level pengembangan manajemen proses.

Seberapa bagusnya pengembangan dan implementasi atau kapabilitas manajemen tergantung pada tercapai- nya tujuan-tujuan COBIT. Menurut IT Governance Institute, tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi enam tingkatan, mulai dari level 0 (non-existent), level 1 (initial), level 2 (re- peatable), level 3 (defined), level 4 (managed) dan level 5 (optimized). Model yang digunakan untuk meng- evaluasi/mengaudit berbentuk kuesioner yang berasal dari maturity model COBIT serta bergantung pada konsep skenario, di mana setiap maturity level dianggap sebagai skenario. Pederiva (2003) mengemukakan

bahwa skenario maturity level mencakup deskripsi dari organisasi dan pengontrolan internal perusahaan yang memenuhi persyaratan maturity level tertentu.

Setelah proses analisis dari hasil audit SI selesai, maka tahap berikutnya adalah mendokumentasikan temuan- temuan hasil audit SI dan membuat suatu kesimpulan serta rekomendasi dan solusi terhadap hasil audit SI.

HASIL DAN PEMBAHASAN

Sesuai dengan ruang lingkup penelitian, maka audit SI Bank XYZ dilakukan terhadap proses perencanaan dan implementasi. Sedangkan untuk penentuan control objective ditentukan bedasarkan hasil dari Informal Brainstorming Group Sessiondan kebutuhan dari proses bisnis SI Bank XYZ. Domain/ proses dan control objectives SI Bank XYZ terdapat pada Tabel 1.

Sesuai dengan rumusan masalah, tujuan dan ruang lingkup penelitian ini, maka CSF, KGI dan KPI pada proses perencanaan dan implementasi SI di Bank XYZ, adalah sebagai berikut: (1) Pada proses perencanan membahas mengenai strategi, taktik, dan pengidentifikasian dari SI yang bertujuan mendukung untuk mencapai tujuan dari bisnis. Realisasi dari visi dan strategi SI perlu direncanakan, dikomunikasikan dan diatur, serta melihat dari berbagai macam per- spektif, seperti dari segi organisasi, segi infrastruktur teknologi, dan sebagainya, dengan perincian sebagai berikut: (a) menentukan perencanaan strategi TI (PO1) yang bertujuan untuk mencapai keseimbangan optimalisasi antara kebutuhan TI dan pencapaian dari tujuan dan kebutuhan rencana jangka panjang, dengan mentranslasikan secara periodik menjadi rencana operasional dan menetapkan tujuan jangka pendek

Domain/ proses Contro l Objectives

Perencanaan SI 1. PO1: Menentukan perencanaan strategi TI 2. PO2: Menentukan arsitektur informasi 3. PO3: Menentukan arah tekno logi

4.PO6: Mengkomu nikasikan tujuan dan arah manajemen 5. PO7: Mengelo la SDM TI

6. PO9: Menjamin d an mengelola risiko -risiko TI

Implementasi SI 1. AI2: Memperoleh dan memelihara ap likasi p erangkat lunak 2.AI3: Memperoleh dan memelihara teknolo gi infrastruktur 3. AI6: Mengatur perubahan

4.AI7: Memasang dan mengakreditasi solusi dan perubahan Tabel 1. Domain/Proses dan Control Objectives SI Bank XYZ

(5)

yang jelas serta kongkrit. CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 2, (b) menentukan arsitektur informasi (PO2) yang bertujuan untuk melakukan optimasi SI dengan membuat model SI dan menjamin SI dapat memberikan optimalisasi peman- faatan dan kegunaan dari informasi bagi perusahaan.

CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 3, (c) penentuan arah teknologi (PO3) yang mengambil keuntungan dari teknologi yang sedang berkembang, sehingga dapat diterapkan pada strategi bisnis dengan membangun dan memelihara rencana infrastruktur teknologi yang mampu merealisasikan kemampuan teknologi dalam mendukung teknologi itu sendiri. CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 4, (d) mengkomunikasikan tujuan dan arah manajemen (PO6) untuk memastikan kesa- daran dan pemahaman pemakai terhadap SI dengan mengkomunikasikan kebijakan dan prosedur kepada seluruh karyawan. CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 5, (e) mengelola SDM TI (PO7) untuk memperoleh dan merawat tenaga kerja yang termotivasi dan cakap serta memaksimalkan

kontribusi SDM untuk proses SI CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 6, (f) menjamin dan mengelola resiko-risiko TI (PO9) untuk mendukung keputusan manajemen melalui pencapaian tujuan SI dan merespon ancaman dengan mereduksi kompleksitas, melakukan analisis dan indentifikasi resiko SI. CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 7.

(2) Pada proses implementasi solusi TI perlu diidentifikasi, dikembangkan, diimplementasian, dan diintegrasikan ke dalam proses bisnis. Proses ini mencakup perubahan dan pemeliharaan terhadap SI, dengan perincian sebagai berikut (a) memperoleh dan memelihara aplikasi perangkat lunak (AI2) untuk menyediakan fungsi terautomasi yang mendukung proses bisnis secara efektif dengan mendefinisikan kebutuhan operasional terhadap SI. CSF, KGI dan KPI dan untuk proses ini dapat dilihat pada Tabel 8, (b) memperoleh dan Memelihara Infrastruktur (AI3) teknologi untuk menyediakan platform teknologi dalam mendukung SI dengan memperolah perangkat keras yang sesuai serta pengujian kinerja perangkat

Tabel 3. CSF, KGI dan KPI menetukan arsitektur informasi CSF

1) Data o wnership d ialokasikan dan d isetu jui.

2) Fu ngsi data ad ministrator SI telah ditetapkan deng an mengikuti stand ar.

3) Menjaga ko mponen infrastruktur SI tetap konsisten, seperti arsitektur info rmasi, kamus data, sintaks data dan tingkat keamanan.

KGI

1) Pengembangan aplikasi yang lebih cepat.

2) Terpenuhinya kebutuhan data akan keamanan, ketersed iaan dan integrasi.

3) Pengurangan pengulangan data.

KPI

1) Terdapat dokumentasi k lasifikasi data.

2) Pengurangan insiden yang disebabkan karena model data tidak konsisten.

Tabel 2. CSF, KGI dan KPI Menentukan Perencanaan Strategi TI CSF

1) Melakukan do kumentasi dari perencanaan strategi TI.

2) Rencana strategi TI mempert imbangkan resiko yang akan timbul.

3) Rencana strategi TI telah dipetakan sesuai dengan kebutuhan Bank XYZ KGI

1) Pihak Manajemen mengerti dan memahami tujuan dari strategi SI yang terkait dengan tuju an dari Bank X YZ.

2) Perencanaan TI mencakup sebagian besar Divisi d an user di Bank XYZ.

3) Dialokasikannya anggaran terhadap TI oleh p ihak Manajemen.

KPI

1) Perencanaan TI dibagi menjadi perencanaan strategi TI dan perencanaan operasio nal TI.

2) User ikut serta dalam perencanaan strategi TI

(6)

Tabel 4. CSF, KGI dan KPI Menentukan Arah Teknologi. CSF CSF

1) Perubahan teknologi dimo nitor secara rutin untuk mengamati ancaman dan kesempatan.

2) Perencanaan infrastruktur teknolo gi meliput i rencana aku isisi dan pelatihan berdasarkan suatu standar tertentu.

3) Adanya strategi terhadap infrastruktur tekno logi untuk perubahan dari sistem yang dulu menu ju sistem yang baru

KGI

1) Semakin meningk atnya ju mlah tekno logi dan platform yang kompatibel.

2) Berkurangnya jumlah tekno log i platform yang harus dipelihara.

3) Berkurangnya waktu dan usaha untuk memberikan perawatan pada user.

KPI

1) Tekno log i digunakan untuk mendukung kegiatan Bank XYZ.

2) Dilakukan proses untuk meng identifikasikan teknologi baru yang potensial dan pemutusan apa yang akan dilakukan dengan tekno logi tersebut.

Tabel 5. CSF, KGI dan KPI Mengkomunikasikan Arah dan Tujuan Manajemen CSF

1) Pihak manajemen memimpin d an memberikan co nto h.

2) Terdapat pedo man yang praktis mengenai kebijakan dan prosedur.

3) Kebijakan ko ntrol informasi current dan up-to-date.

KGI

1) Meningkatnya jumlah Div isi di Bank XY Z yang telah mengerti kebijakan dan prosedur SI.

2) Jumlah prosedur dan kebijakan yang cukup mengenai ko ntrol TI.

KPI

1) Diterapkannya kebijakan pada pro sedur operasional.

2) Manajemen mengkomu nikasikan kebijakan dan prosedur secara reguler.

Tabel 6 CSF, KGI dan KPIProses Mengelola SDM TI CSF

1) SDM di Divisi TI terlibat dalam pengambilan keputusan.

2) SDM di Divisi TI menduku ng fungsi bisnis.

3) SDM di Divisi TI mempunyai peranan dan kewajiban yang jelas.

4) Dialokasikannya tenaga kerja yang tepat dan berkualitas.

KGI

1) Berkurangnya jumlah proyek yang terlambat karena kelalaian atau ketidakmampuan dari SDM d i Divisi TI.

2) Sebag ian besar Divisi di Bank XYZ telah diduku ng oleh SDM Divisi TI.

3) Dilakukan survey penilaian SDM di Divisi TI terhadap kinerja, mo ral dan kepuasan user.

KPI

1) Fungsi SDM di Divisi TI ditujukan u ntuk mendukung struktur organisasi Bank XYZ.

2) Diidentifikasikan fungsi yang penting secara ekspilisit pada struktur organisiasi dan SDM dengan per anan dan tanggung jawab yang jelas.

Tabel 7. CSF, KGI dan KPI Menjamin dan Mengelola Risiko-Risiko TI CSF

1) Terdapat kebijakan untuk mendefinisikan batasan risiko dan toleransinya.

2) Fo kus penilaian terutama pada keadaan real dan bu kan pada teorinya.

3) Dilakukan analisis terhadap indentifikasi risiko dan penanggulangannya.

KGI

1) Meningkatkan kepedulian teradap kebutuhan penilaian risiko.

2) Peningkatan jumlah risiko yang sudah diidentifikasi.

3) Peningkatan jumlah pro ses SI yang penilaian risik onya sudah di do kumentasikan secara formal.

KPI

1) Dilakukan pemonitoran terhadap laporan risiko.

2) Terdapat pelat ihan untuk memehami meto do logi manajemen risiko.

(7)

keras. CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 9, (c) mengatur perubahan (AI6) untuk meminimalkan kemungkinan terjadinya kekacauan, proses yang tidak terotorisasi dan error, dengan membuat sistem yang menyediakan analisis dan implementasi terhadap semua perubahan dalam SI.

CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 10, (d) memasang dan mengakreditasi solusi dan perubahan (AI7) untuk meyakinkan dan mengkonfirmasikan bahwa solusi yang digunakan sesuai dengan kebutuhan. CSF, KGI dan KPI untuk proses ini dapat dilihat pada Tabel 11.

Hasil pengukuran Maturity Level untuk proses perencanaan dan implementasi SI Bank XYZ menggunakan Maturity Model COBIT dapat dilihat pada Tabel 12 dengan perincian sebagai berikut: (1) Menentukan Perencanaan Strategi TI (PO1), Level:

Repeatable, perencanaan Strategi TI (dalam hal ini

NDIR) hanya dilakukan dan dimengerti oleh pihak Manajemen, serta belum didokumentasi dan disosiali- sasikan dengan baikdilingkungan internal. (2) Menen- tukan Arsitektur Informasi (PO2), Level: Repeatable, proses pendefinisian arsitektur informasi (NDIR) dilakukan secara informal dan intuitive. Arsitektur informasi dibuat bedasarkan dari masing-masing pro- grammer di Divisi TI. (3) Menentukan Arahan Tekno- logi (PO3), Level: Defined, Perencanaan pengem- bangan infrastruktur teknologi sejalan dengan perencanaan strategis TI dan di dokumentasikan serta dikomunikasikan dengan baik, namun tidak dilakukan secara konsisten. (4) Mengkomunikasikan Tujuan dan Arah Manajemen (PO6), Level: Defined, Kebijakan, prosedur, dan standar kontrol terhadap informasi telah dikembangkan secara terstruktur, didokumentasikan, dan dikomunikasikan secara baik melalui pelatihan formal. (5) Mengelola SDM TI (PO7), Level: Defined,

Tabel 8. CSF, KGI dan KPI Memperoleh dan Memelihara Aplikasi Perangkat Lunak CSF

1) Manajemen mendukung menyetujui, dan mengerti metodelogi terhadap akuisisi dan implementasi perangkat lunak.

2) Praktek akuisisi perangkat lunak dimengerti, jelas dan diterima.

3) Adanya pemisahan antara aktifit as pengembangan dan pengujian perangk at lunak ap likasi.

4) Dilakukan pendekatan dan usaha dalam meng hu bu ngkan bisnis dengan aplikasi.

KGI

1) Meningkatkanya jumlah ap likasi yang selesai tepat waktu, memenuhi spesifikasi, dan sejajar deng an arsitektur teknologi SI.

2) Meningkatnya jumlah aplikasi tanpa masalah integ rasi selama implementasi.

3) Berkurangnya biaya pemeliharaan setiap aplikasi KPI

1) Berkurangnya insiden yang disebabkan ketidak sesuaian terhadap standar, seperti ap likasi yang tidak terdokumentasi, desain yang tidak disetujui, dan p engujian yang tidak memenuhi batas waktu.

2) Di do kumentasikannya perangkat lu nak aplikasi secara efektif terhadap perawatan.

Tabel 9. CSF, KGI dan KPI Mendapatkan dan Memelihara Infrastruktur Teknologi CSF

1) Praktek akuisisi teknologi infrastruktur jelas, dimengerti, dan d iterima.

2) Adanya integrasi antara plat form tekno log i yang berbeda-beda.

3) Adanya meto delo gi sik lus hidup yang d igunakan u ntuk memilih, mendap atkan, menjaga, dan mengganti teknologi infrastruktur

KGI

1) Berkurangnya jumlah plat form yang menyimpang dari persetujuan teknolo gi infrastruktur.

2) Berkurangnya ju mlah masalah dalam implementasi sistem yang disebabkan o leh infrastruktur yang tidak memadai.

3) Berkurangnya perawatan dan pengembangan infrastruktur baru KPI

1) Terintegrasinya platfo rm yang berbeda-beda.

2) Dilakukannya perawatan yang bersifat preventif.

(8)

Kebijakan dan prosedur dari proses reqruitment dan job desk serta tanggung jawab masing-masing SDM TI sudah terdokumentasi dengan baik. (6) Menjamin dan Mengelola Resiko-Resiko TI (PO9), Level:

Defined Terdapat kebijakan, prosedur, standar dan didokumentasikan dengan baik dalam menilai resiko- risiko TI.(7) Memperoleh dan Memelihara Aplikasi Perangkat Lunak (AI2), Level: Defined, Proses akui- sisi dan pemeliharaan aplikasi sudah didokumentasikan, namun dalam proses akuisisi dan pemeliharaan yang telah dilakukan belum dapat memberikan solusi teknologi yang menyeluruh. (8) Memperoleh dan Memelihara Teknologi Infrastruktur (AI3), Level:

Defined, Proses implementasi dan pemeliharaan infrastruktur teknologi telah mendukung kebutuhan aktivitas Bank XYZ dan searah dengan strategi sistem Bank XYZ.(9) Mengatur Perubahan (AI6), Level:

Defined, Pengaturan perubahan proses TI terhadap aktivitas Bank XYZ telah dilakukan secara formal dan didokumentasikan dengan baik. (10) Memasang

dan Mengakreditasi Solusi dan Perubahan (AI7), Level: Defined, Sudah terdapat prosedur instalasi, migrasi, konversi, dan akreditasi system dan didokumentasikan dengan baik.(10) Menentukan arsitektur informasi (PO2) yang bertujuan untuk melakukan optimasi SI dengan membuat model SI dan menjamin SI dapat memberikan optimalisasi pemamfaatan dan kegunaan dari informasi bagi perusahaan.

Implikasi Manajerial

Rumusan implikasi manajerial sebagai pertim bangan yang diusulkan dari hasil penelitian ini untuk mencapai maturity level di level managed - 4 (sudah memungkinkannya untuk memantau dan mengukur ketaatan pada prosedur sehingga dapat dengan mudah ditanggulangi apabila terjadi penyimpangan pada aktivitas. Perbaikan proses dilakukan secara konstan.

Implementasi proses dilakukan secara baik. Otomasi dan perangkat yang digunakan terbatas) adalah terdapat pada Tabel 13.

Tabel 10.CSF, KGI dan KPI Mengatur Perubahan CSF CSF

1) Dilakukan pro ses identifikasi d an penentuan prioritas terhadap perubahan.

2) Dilakukan pengu jian menyeluruh terhadap kelayakan sebelum melakukan perubahan.

3) Terdapat pro ses formal serah terima dari tahap pengembangan ke operasional.

4) Terdapat dokumentasi aplikasi dan konfigurasi yang lengkap dan up-to-date.

5) Terdapat pro ses verifikasi kesuk sesan/ kegagalan terhadap sebuah perubahan.

KGI

1) Berkurangnya jumlah gangguan yang disebabkan perubahan yang kurang d iatur dengan baik.

2) Berkurangnya tingkat sumber daya dan waktu yang dibutuhkan terhadap perubahan.

3) Berkurangnya jumlah perbaikan yang bersifat gawat.

KPI

1) Berkurangnya jumlah perbaikan yang bersifat gawat dan disebabkan proses pengaturan perubahan tidak d iterapkan secara regu ler.

2) Dilakukan review terhadap permintaan perubahan implementasi

Tabel 11.CSF, KGI dan KPI Memasang dan Mengakreditasi Solusi dan Perubahan CSF

1) Dilakukan pengu jian yang cukup terhadap sistem baru.

2) Diimp lementasikan mekanisme feedback u ntuk melakukan optimasi dan peningkatan proses secara terus menerus.

3) Adanya ko mitmen keikutsertaan manajemen dalam pelatihan dan pro ses transisi KGI

1) Berkurangnya jumlah sistem o perasi yang tidak terakreditasi.

2) Berkurangnya jumlah perubahan setelah pengujian terhadap penerimaan suatu sistem.

3) Berkurangnya jumlah perubahan dalam perbaikan masalah dan diimplementasikan di produksi.

KPI

1) Proses instalasi dan akreditasi yang teroto misasi.

2) Meningkatnya kepuasan user terhadap proses instalasi dan akreditasi.

(9)

Tabel 12. Hasil Pengukuran Maturity Level Pada Proses Perencanaan dan Implemetasi SI Bank XYZ

No Proses Inde ks Pembulatan Level

1. Menentukan perencanaan strategi TI 2.46 2 Repeatable

2. Menentukan arsitektur informasi 2.49 2 Repeatable

3. Menentukan arahan teknologi 3.2 3 Defined

4. Mengkomunikasikan tujuan dan arah manajemen 3.1 3 Defined

5. Mengelola SDM TI 3.3 3 Defined

6. Menjamin dan mengelola risiko-risiko TI 3.24 3 Defined 7. Memperoleh dan memelihara aplikasi perangkat lunak 3.24 3 Defined 8 Memperoleh dan memeliharan teknologi infrastruktur 3.05 3 Defined

9. Mengatur perubahan 3.16 3 Defined

10. Memasang dan mengakreditasi solusi dan perubahan 3.07 3 Defined

Tabel 13.Rekomendasi dari Hasil Audit pada Proses Perencanaan dan Implementasi SI Bank XYZ

No Domain/Proses Rekomendasi

1. Menentukan Perencanaan Strategi TI 1. IT SP harus di pantau oleh pihak Manajemen secara regular.

2. Manajemen dan seluruh user terlibat aktif pada proses perencanaan

3. Dokumentasi terhadap proses perencanaan dilakukan secara regular.

2. Menentukan Arsitektur Informasi 1. Klasifikasi data didokumentasikan secara regular.

2. Adanya kebijakan terhadap kamus data yang bertujuan untuk menjaga kekonsistenan data.

3. Menentukan Arahan Teknologi 1. Proses perencanaan teknologi harus mempertimbangkan tren teknologi.

2. Dampak di lingkungan internal terhadap implementasi tekno logi harus diperhatikan.

3. Peningkatan teknologi secara regular untuk meningkatkan ke efektivitasan dari aktivitas harus dilakukan.

4. Mengko munikasikan Tujuan dan Arah

Manajemen 1. Kendali keamanan perlu dipantau dan diperbaharui secara regu lar.

2. Manajemen harus aktif dalam menghimbau dan mengsosialisasikan terkait dengan menjaga lingkungan TI.

5. Mengelola SDM TI 1. Dilakukan evaluasi terkait dengan pelaksanaan dan tanggung jawab dari masing-masing personil di Divisi TI.

2. Pelatihan karyawan di Divisi TI terhadap teknik, prosedur keamanan informasi harus dilakukan secara formal dan regular.

6. Menjamin dan Mengelo la Risiko-Risiko TI 1. Dilakukan analisa terhadap identifikasi risiko , met igasi risiko dan penanggulangannya.

2. Identifikasi risiko harus dimasukkan ke dalam perencanaan TI 7. Mendapatkan dan Memelihara Perangkat

Lunak Aplikasi 1. Ditetapkan metodologi terhadap siklus pengembangan sistem secara ko nsisten.

2. Dilakukan pemisahan antara aktifitas pengembangan dan pengujian perangkat lunak aplikasi

3. Ada dokumentasi terhadap implementasi aplikasi perangkat lunak yang dilakukan secara konsisten dan regular.

8. Mempero leh dan Memelihara

Teknologi Infrastruktur 1. Proses akuisisi infrastruktur teknologi perlu mempertimbangkan trek teknologi dan kebutuhan keamanan.

2. Perlu dilakukan pemantauan terhadap infrastruktur yang dimiliki.

9. Mengatur Perubahan Pengaturan perubahan perlu d ipantau dan diperbahurui secara regular.

10. Memasang, Mengakreditasi

Solusi dan Perubahan 1. Harus dibuatkan prosedur formal terhadap akreditasi dan instalasi system

2. Harus ada standarisasi terhadap kriteria kesuksesan pengujian 3. Manajemen ikut serta dalam menentukan kualitas sistem

(10)

KESIMPULAN DAN SARAN Kesimpulan

Berdasarkan hasil penelitian tentang audit proses perencanaan dan implementasi sistem informasi PT Bank XYZ, Tbk menggunakan Cobit Framework dapat dibuat beberapa kesimpulan sebagai berikut : (1) Secara keseluruhan proses perencanaan dan implementasi SI di Bank XYZsudah selaras dengan proses bisnis, aplikasi, strategi bisnis dari Bank XYZ dan mengikuti kaidah-kaidah yang sesuai dengan COBITframework. (2) Maturity level pada proses perencanaan dan implementasi SI Bank XYZ (NDIR) untuk PO3, PO6, PO7, PO9, AI2, AI3, AI6 dan AI7 berada pada level: 3 - Defined. Sedangkan untuk PO1 dan PO2 berada pada level: 2 - Repeatable.

Saran

Saran yang dapat digunakan terkait hasil dalam penelitian ini adalah sebagai berikut: (1) Dikarenakan COBIT framework bersifat umum, maka untuk pe- nentuan domain/proses dan control objectives kira- nya perlu dilakukan penyesuaian terlebih dahulu dengan kebutuhan proses bisnis SI dan tanggung jawab dari proses SI terhadap aktivitas organisasi/perusahaan itu sendiri. (2) Sesuai dengan ruang lingkup dalam penelitian ini, maka proses audit SI yang dilakukan hanya pada SI Pendukung Bank XYZ (NDIR), diharapkan untuk penelitian selanjutnya audit SI dapat dilakukan terhadap SI lainnya yang ada di Bank XYZ, seperti SI perbankan, kemitraan dan personal productivity tool. (3) Selain itu penelitian ini hanya melakukan audit SI pada 2 (dua) domain/proses yang ada di COBIT framework yaitu perencanaan (Planning and Orga- nisation) dan Implementasi (Acquisition and Imple- mentations), diharapkan dalam penelitian selanjutnya audit SI dilakukan pada 2 (dua) domain/proses lain yang ada di COBIT framework yaitu Delivery and Support (DS) dan Monitoring (ME).(3) Agar matu- rity level pada proses perencanaan dan implemen- tasi SI Bank XYZ berada pada level: 4 - Managed, diharapkan Bank XYZ melakukan pembenahan,

perbaikan dan penyempurnanaan sesuai dengan reko- mendasi dalam penelitian ini. Selain itu agar maturity level SI Bank XYZ tetap berada di level: 3 - Defined, maka diharapkan proses perencanan dan implementasi SI Bank XYZ dapat dilaksanakan secara konsisten sesuai dengan COBIT framework dan pelaksanaan audit SI di Bank XYZ dapat dilakukan secara berkala (minimal sekali dalam setahun).

DAFTAR RUJUKAN

Champlain, Jack, J. 1998. Auditing Information System: A Comprehensive Reference Guide. NewYork: John Wiley & Son.

Fitianah, D., dan Sucahyo, Yudho, G. 2010. Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja COBIT Untuk Evaluasi Manajemen Teknologi Informasi di Universitas XYZ. Jurnal Sistem Informasi MTI-UI, Volume 4, Nomor 1. ISBN 1412- 8896.

IT Governance Institute. 2006. COBIT® Mapping: Over- view of International IT Guide, 2^nd Edition® ISBN 1- 933284-31-5.

IT Assurance Guide: Using COBIT,Chicago. 2007.

Information Technology Governance Institut. 2007. COBIT 4.1:Framework, Control Objective,Management Guidelines, MaturityModels. IT Governance Institut Rolling Meadows.

IT Governance Institute. 2008. COBIT® Mapping: Map- ping of ITIL v3 With COBIT® 4.1. ISBN 978-1-60420- 035-5.

O’Brien, JA and George Marakas. 2009. Management In- formation System. NinthEdition. McGraw-Hill.Inc.

Boston.

Pederiva, A. 2003. The COBIT Maturity Model in a Vendor Evaluation Case. Information Systems Control Jurnal, Volume 3.

Ron, W. 1999. Information System Control & Audit.

Prentice Hall: Univ. of Queensland.

Surendro, K. 2005. Implementasi Tata Kelola Teknologi Informasi. Jakarta: Informatika.

Syukhri. 2013. Evaluasi Tingkat Kematangan Proses De- livery and Support pada Implementasi Sistem Informasi Akademik Universitas Negeri Padang bedasarkan Kerangka Kerja COBIT 4.0. Tesis Pro- gram Pascasarjana Universitas Negeri Padang.