Analisis Proses Bisnis dan Audit Sistem Informasi Menggunakan COBIT 4.1 (Studi Kasus: PT. Bank Central Asia Subang).

(1)

iv

Universitas Kristen Maranatha

ABSTRAK

PT. Bank Central Asia merupakan sebuah perusahaan milik swasta yang bergerak dalam bidang perbankan.Saat ini Bank Central Asia sudah menggunakan sistem informasi yang mendukung kebutuhan bisnis perusahaan. Laporan penelitian yang berjudul Analisis Proses Bisnis Dan Audit Sistem Informasi Menggunakan Cobit 4.1, memiliki pokok dan tujuan pembahasan yaitu untuk penilaian dukungan teknologi informasi yang ada terhadap kebutuhan bisnis perusahaan dalam menangani transaksi nasabah yang bersifat finansial dan non-finansial, cara perusahaan dalam melakukan pelatihan dan cara perusahaan dalam menjaga keamanan infrastruktur dan data perusahaan. Teori yang digunakan adalah teori mengenai system informasi, audit sistem informasi, dan teori umum mengenai COBIT versi 4.1 serta teori lainnya yang mendukung. Metode penelitian yang digunakan adalah observasi perusahaan dan melakukan wawancara.

(2)

v

ABSTRACT

PT. Bank Central Asia is a privately owned company engaged in banking. Currently, Bank Central Asia are already using information systems that support the business needs of the company. The research report titled Business Processes Analysis and Audit of Information Systems Using COBIT 4.1, has aprincipal purpose of the discussion is to assess existing information technology support to the business needs of the company in handling customer transactions that are financially and non-financially, the way companies conduct training and how companies in the infrastructure and security of corporate data. The theory used are the theory of information systems, information systems auditing, and general theory of COBIT version 4.1 as well as other theories that support. The research method used are company observation and by conducting interviews.

(3)

vi

1.6 Sistematika Penyajian ... 7

BAB II KAJIAN TEORI ... 8

2.3 Audit Teknologi Informasi... 16

2.4 COBIT 4.1 ... 17

2.4.1 Kerangka Kerja COBIT ... 19

2.4.2 Domain COBIT ... 20

2.5 Domain dan Control Objective yang dipilih dalam Laporan Tugas Akhir... 24

(4)

vii

BAB III ANALISIS DAN EVALUASI ... 43

3.1 Latar Belakang Perusahaan ... 43

3.2 Integrated Deposit System (IDS) ... 44

3.3 Proses Bisnis dan Flowchart ... 45

3.3.1 Proses Bisnis Pembuatan Buku Tabungan ... 45

3.3.2 Proses Bisnis Transaksi Setoran ... 48

3.3.3 Proses Bisnis Transaksi Tarikan ... 50

3.4 Analisis Menggunakan COBIT 4.1 ... 56

3.4.1 AI2 Acquire and Maintain Application Software ... 56

(5)

viii

DAFTAR GAMBAR

Gambar 1 Contoh Sistem Flowchart ... 10

Gambar 2 Contoh Conceptual Flowchart dan Detail Flowchart... 11

Gambar 3 Kerangka Kerja COBIT ... 23

Gambar 4 Screenshoot sistem IDS ... 45

Gambar 5 Flowchart Proses Bisnis Pembuatan Buku Tabungan ... 47

Gambar 6 Flowchart Proses Bisnis Transaksi Setoran ... 49

Gambar 7 Flowchart Proses Bisnis Transaksi Tarikan Melalui Tabungan ... 51

Gambar 8 Flowchart Proses Bisnis Transaksi Tarikan Melalui Cek ... 53

(6)

ix

DAFTAR TABEL

(7)

x

DAFTAR LAMPIRAN

LAMPIRAN A HASIL WAWANCARA ... A.1 LAMPIRAN B KEBIJAKAN PENGAMANAN INFORMASI ... B.1 LAMPIRAN C KEWAJIBAN/TANGGUNG JAWAB KARYAWAN DALAM

(8)

1

BAB I PENDAHULUAN

1.1 Latar Belakang Masalah

Sistem pelayanan perbankan saat ini sangat mempengaruhi tingkat

kepuasaan para nasabah dalam melakukan transaksi keuangan. Salah satu hal

utama bagi perusahaan perbankan adalah berusaha memberikan pelayanan

terbaik kepada seluruh nasabah dimanapun mereka berada. Semakin mudah

nasabah dalam melakukan transaksi keuangan semakin tinggi juga tingkat

kepuasaan para nasabah. Salah satu contoh sistem aplikasi perbankan yang

dapat mempermudah nasabah dalam melakukan transaksi keuangan yaitu

Integrated Banking Operation System atau lebih sering disebut Integrated

Deposit System (IDS), IDS adalah sistem aplikasi perbankan yang terintegrasi

dimana sistem aplikasi tabungan, giro, deposito dan sistem-sistem aplikasi lain

dihubungkan ke satu database utama yang nantinya akan digunakan untuk

membuat laporan keuangan bank. IDS bertujuan untuk mempermudah nasabah

dalam melakukan transaksi penyimpanan keuangan dimanapun mereka berada.

Salah satu perusahaan perbankan yang menerapkan sistem aplikasi

Integrated Deposit System (IDS) yaitu PT. Bank Central Asia. PT. Bank Central

Asia merupakan perusahaan perbankan swasta yang mempunyai jumlah

nasabah terbesar di Indonesia dan perusahaan perbankan yang selalu

mencoba memberikan layanan terbaik kepada seluruh nasabah. Tetapi banyak

perusahaan perbankan yang sering kali melupakan tahapan untuk menganalisis

keberadaan sistem pelayanan perbankan seperti kontrol dan pengamanan

yang ada pada sistem, maintenance dan backup pada sistem dan kesadaran

perusahaan melakukan pelatihan terhadap karyawan sehingga dapat

mengoperasikan sistem pelayanan perbankan tersebut dengan baik. Terkadang

perusahaan melupakan tahapan dalam melakukan analisis penaggulangan

(9)

2

Universitas Kristen Maranatha penting dalam perusahaan seperti software, hardware dan data nasabah dapat

terjaga dengan baik. Dengan mengetahui keseluruhan tahapan tersebut dengan

menggunakan framework COBIT 4.1, maka diharapkan dapat diketahui apakah

kinerja dari sistem aplikasi tersebut berlangsung baik untuk dipertahankan atau

kurang baik untuk diperbaiki.

1.2 Rumusan Masalah

Berdasarkan latar belakang masalah yang telah diuraikan pada bagian 1.1,

maka rumusan masalah dalam tugas akhir ini adalah sebagai berikut :

1. Proses bisnis apa saja yang ditangani oleh sistem Integrated Deposit

Systems (IDS)?

2. Bagaimana perusahaan dalam menerapkan kontrol pada sistem

Integrated Deposit Systems (IDS)?

3. Apakah ada aplikasi keamanan yang menjaga keamanan sistem?

4. Apakah ada kesadaran perusahaan untuk mendukung karyawannya

dalam menggunakan sistem Integrated Deposit Systems (IDS)?

5. Bagaimana cara perusahaan dalam melakukan training untuk karyawan?

6. Bagaimana perusahaan dalam menanggapi adanya resiko atau masalah

dalam kelangsungan usaha pelayanan perbankan dimasa yang akan

datang?

7. Bagaimana upaya perusahaan dalam menjaga kemanan data?

8. Apakah ada prosedur tertulis yang mendukung karyawan dalam

penggunaan sistem dan prosedur pemeliharaan infrastruktur bila terjadi

(10)

3

1.3 Tujuan Pembahasan

Berdasarkan rumusan masalah yang telah diuraikan pada bagian 1.2, maka

tujuan pembahasan dalam tugas akhir ini adalah sebagai berikut :

1. Mengetahui proses bisnis yang ditangani oleh sistem Integrated Deposit

Systems (IDS).

2. Mengetahui cara perusahaan dalam menerapkan kontrol pada sistem

Integrated Deposit Systems (IDS).

3. Mengetahui adanya ada aplikasi keamanan yang menjaga keamanan

sistem.

4. Mengetahui kesadaran perusahaan untuk mendukung karyawannya

dalam menggunakan sistem Integrated Deposit Systems (IDS).

5. Mengetahui cara perusahaan dalam melakukan training untuk karyawan.

6. Mengetahui cara perusahaan dalam menanggapi adanya resiko atau

masalah dalam kelangsungan usaha pelayanan perbankan dimasa yang

akan datang.

7. Mengetahui upaya perusahaan dalam menjaga kemanan data.

8. Mengetahui adanya prosedur tertulis yang mendukung karyawan

dalam penggunaan sistem dan prosedur pemeliharaan infrastruktur

bila terjadi hal yang tidak terduga.

1.4 Ruang Lingkup Kajian

Ruang Lingkup Kajian yang dipakai meliputi :

1. Melakukan audit di PT. Bank Central Asia Subang.

2. Penjelasan mengenai proses bisnis yang dapat ditangani oleh sistem

Integrated Deposit Systems (IDS).

3. Penjelasan mengenai kontrol yang ada pada sistem.

4. Penjelasan mengenai ada aplikasi keamanan yang menjaga keamanan

(11)

4

Universitas Kristen Maranatha 5. Penjelasan mengenai upaya perusahaan untuk mendukung

karyawannya dalam menggunakan sistem Integrated Deposit Systems

(IDS).

6. Penjelasan mengenai cara perusahaan dalam melakukan training untuk

karyawan.

7. Penjelasan mengenai cara perusahaan dalam menanggapi adanya

resiko atau masalah dalam kelangsungan usaha dimasa yang akan

datang.

8. Penjelasan mengenai prosedur tertulis yang mendukung karyawan

dalam penggunaan sistem dan prosedur pemeliharaan infrastruktur bila

terjadi hal yang tidak terduga.

9. Melakukan pengauditan menggunakan Framework COBIT 4.1 dengan

Domain dan Control Objective sebagai berikut:

a. AI2 Acquire and Maintain Application Software

i. AI2.3 Control Application and Auditability

Menerapkan kontrol bisnis yang tepat ke dalam kontrol

aplikasi otomatis.

ii. AI2.4 Application Security and Availability

Pengalamatan aplikasi keamanan dan ketersediaan

persyaratan menanggapi adanya resiko.

iii. AI2.10 Application Software Maintenance

Mengembangkan strategi dan rencana untuk pemeliharaan

perangkat lunak.

b. AI4 Enable and Operation Use

i. AI4.1 Planning for Operations Solutions

Dokumentasi semua teknis, operasional dan aspek

penggunaan sehingga semua orang yang menggunakan

dan menjaga aplikasi dapat melaksanakan tanggung jawab

(12)

5

Universitas Kristen Maranatha ii. AI4.2 Knowledge Transfer to Business Management

Memberikan pengetahuan kepada manajemen bisnis.

iii. AI4.3 Knowledge Transfer to End Users

Memberikan pengetahuan kepada end users.

iv. AI4.4 Knowledge Transfer to Operations and Support Staff

Memberikan pengetahuan dan keterampilan kepada staff

operasi dan staff pendukung.

c. DS7 Educate and Train Users

i. DS7.1 Identification of Education and Training Needs

Membangun dan secara teratur memperbaharui kurikulum

untuk setiap kelompok sasaran karyawan.

ii. DS7.2 Delivery of Training and Education

Mengidentifikasikan kelompok sasaran dan anggota,

mekanisme pengiriman yang efisien, pelatih, dan mentor.

iii. DS7.3 Evaluation of Training Received

Mengevaluasi pendidikan dan pelatihan.

d. DS10 Manage Problems

i. DS10.1 Identification and Classification of Problems

Langkah-langkah yang terlibat dalam klasifikasi masalah

serupa dengan langkah-langkah dalam mengklasifikasikan

insiden untuk menentukan kategori, dampak, keadaan yang

mendesak dan prioritas. Mengelompokkan masalah yang

sesuai dalam kelompok-kelompok terkait atau domain.

e. DS11 Manage Data

i. DS11.2 Storage and Retention Arrangement

Menerapkan prosedur yang efektif dan efisien untuk

penyimpanan data, pengarsipan untuk memenuhi tujuan

bisnis, serta kebijakan kemanan organisasi dan

(13)

6

Universitas Kristen Maranatha f. DS11.5 Backup and Restoration

Menerapkan prosedur untuk backup dan pemulihan sistem,

aplikasi, data, dan dokumentasi sesuai dengan

persayaratan bisnis.

g. DS13 Manage Operation

i. DS13.1 Operations Procedures and Instructions

Menentukan, menerapkan, dan memelihara prosedur untuk

operasi teknologi informasi.

ii. DS13.5 Preventive Maintenance for Hardware

Mendefinisikan dan menerapkan prosedur untuk menjamin

pemeliharaan infrastruktur yang tepat.

1.5 Sumber Data

Metode yang dilakukan yaitu :

1. Studi Pustaka

Studi pustaka dilakukan untuk memahami dan mempelajari teori – teori

yang digunakan dalam COBIT 4.1.

2. Metode Survey

Metode ini dilakukan untuk mengetahui dan mempelajari cara kerja

Sistem aplikasi Integrated Deposit System (IDS) yang ada di PT. Bank

Central Asia Subang.

Pengumpulan Informasi menggunakan :

a. Wawancara (Interview)

Wawancara (Interview) adalah suatu model pengumpulan data

dengan mengajukan pertanyaan-pertanyaan atau tanya jawab

secara langsung kepada pembimbing lapangan dari perusahaan

tersebut untuk megetahui proses bisnis yang ada di PT. Bank

(14)

7

Universitas Kristen Maranatha b. Observasi

Metode observasi atau pengamatan merupakan salah satu

metode pengumpulan data / fakta yang cukup efektif. Observasi

merupakan pengamatan langsung yaitu suatu kegiatan yang

bertujuan untuk memperoleh informasi yang diperlukan dengan

cara melakukan pengamatan dan pencatatan dengan peninjauan

langsung ke perusahaan atau instansi.

1.6 Sistematika Penyajian

Intisari dari setiap bab yang terdapat pada laporan tugas akhir ini adalah

sebagai berikut :

BAB I PENDAHULUAN

BAB I Pendahuluan membahas mengenai latar belakang masalah,

rumusan masalah, tujuan pembahasan, ruang lingkup kajian, dan

sumber data.

BAB II KAJIAN TEORI

BAB II Kajian Teori membahas mengenai teori-teori yang

digunakan untuk melakukan analisis proses bisnis yang ada di

perusahaan menggunakan COBIT 4.1.

BAB III ANALISIS DAN EVALUASI

BAB III Analisis dan evaluasi membahas mengenai hasil dari audit

yang telah dilakukan, seperti langkah-langkah audit, hasil

wawancara, hasil observasi dan hasil analisis.

BAB IV SIMPULAN DAN SARAN

BAB IV Simpulan dan saran membahas mengenai simpulan dari

pembahasan yang dilakukan dari hasil analisis dan saran untuk

(15)

73 Universitas Kristen Maranatha

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Maka berdasarkan hasil analisis pada bab III, dibuat beberapa simpulan

dari control objective dalam COBIT 4.1 meliputi :

1. Diketahui proses bisnis yang ada pada PT. Bank Central Asia yaitu proses

pembuatan buku tabungan, proses transaksi setoran, dan proses transaksi

tarikan. Ada tiga proses dalam melakukan transaksi tarikan yaitu transaksi

tarikan melalui tabungan, transaksi tarikan melalui cek, dan transaksi tarikan

melalui Bilyet Giro (BG).

2. Dari hasil penelitian diperoleh simpulan, proses AI2.3 pada domain Acquire

and Implement memiliki tingkat kematangan Defined, karena sudah

dijelaskan adanya kontrol untuk setiap digit karakter data rekening tetapi

teller masih melakukan kontrol secara manual jika melakukan input nomor

rekening bila transaksi dilakukan. Terdapat juga dokumentasi materi tentang

pemeriksaan validasi bila teller salah dalam menginputkan data. Adanya log

dan history dikantor pusat tetapi tidak dapat dipublikasikan.

3. Proses AI2.4 pada domain Acquire and Implement memiliki tingkat

kematangan Defined, karena adanya aplikasi kemanan berupa antivirus dan

adanya keamanan pada sistem yang SA (security Administrator) sesuai limit

user ID masing-masing karyawan dan dilakukan saat sign on pada awal hari.

Terdapat prosedur kebijakan pengamanan informasi dan prosedur kewajiban

dan tanggung jawab karyawan dalam pengamanan informasi perusahaan.

4. Proses AI4 pada domain Acquire and Implement memiliki tingkat

kematangan Repetable but Intuitive karena adanya kesadaran dalam

melakukan training kepada setiap divisi, end users, dan support staff

terdapat juga prosedur dan materi training yang terdokumentasi kecuali

(16)

74

Universitas Kristen Maranatha 5. Proses DS7 pada domain Delivery and Support memiliki tingkat kematangan

Repetable but Intuitive karena adanya identifikasi kebutuhan pelatihan bila

adanya karyawan baru dan upgrade versi pada sistem tetapi tidak ada

dokumentasi tertulis mengenai identifikasi kebutuhan pelatihan. Terdapat

kurikulum pelatihan yang didokumentasikan dengan baik tetapi tidak adanya

pembaharuan kurikulum, ada proses pembelajaran formal yang dilakukan

pihak training centre yang membahas tentang kode etik dan kemanan dalam

perusahaan.

6. Proses DS10 pada domain Delivery and Support memiliki tingkat

kematangan Managed and Measurable karena adanya prosedur

pengelompokan masalah, tanggung jawab yang jelas, pengukuran dampak

masalah yang terjadi dan adanya revisi bila terjadi perubahan prosedur.

7. Proses AI2.10 pada domain Acquire and Implement dan proses DS11 pada

domain Delivery and Support memiliki tingkat kematangan Defined karena

adanya kesadaran dalam menjaga keamanan data dengan melakukan

maintenance dan backup secara berkala di setiap akhir hari. Adanya

prosedur tertulis tentang penyimpanan server dan prosedur backup.

8. Proses DS13 pada domain Delivery and Support memiliki tingkat

kematangan Defined karena adanya prosedur materi tentang penggunaan

sistem dan prosedur pemeliharaan infrastruktur bila terjadi hal yang tidak

terduga.

4.2 Saran

Maka berdasarkan hasil analisis pada bab III, dibuat beberapa saran

berdasarkan control objective dalam COBIT 4.1 meliputi :

1. Perusahan sebaiknya menerapkan kontrol yang otomatis pada sistem untuk

(17)

75

Universitas Kristen Maranatha 2. Perusahaan sebaiknya melakukan evaluasi setelah dilakukannya pelatihan

untuk memastikan bahwa karyawan yang mengikuti pelatihan telah mengerti

dengan benar setiap materi yang telah diberikan.

3. Tidak semua sistem pada proses TI di PT. Bank Central Asia Subang

diuraikan dalam analisis COBIT, oleh karena itu diharapkan penulis yang

baru melakukan penelitian untuk mengkaji dan menguraikan secara detail

(18)

xi

DAFTAR PUSTAKA

Retrieved September 26,2011, from

http://www.klikbca.com/individual/silver/company.html

Oktober 4,2012, from http://www.karirbca.com/ver2/app/sitemap/

Nanang, S. (2009). Pengukuran Kinerja Teknologi Informasi Menggunakan

Framework COBIT versi. 4.1, ping test dan caat pada PT. Bank “x” TBK. Di

Bandung. Retrieved September 23, 2011, from

http://journal.uii.ac.id/index.php/Snati/article/view/1090/980

Rincen.(2009). Definisi dan Simbol Flowchart Algoritma Dan Pemograman

1.Retrieved September 13, 2011, from

http://www.findtoyou.co.id/ebook/get/FZ36666D/2-definisi-dan-simbol-flowchart-a-pengertian-dasar-flowchart.html

Ritchi, Hamzah (2008). Identifikasi Pengendalian Aplikasi Dalam Proses Dalam

Analisis Bisnis. Retrieved November 1, 2011, from

http://pustaka.unpad.ac.id/wp-content/uploads/2009/01/identifikasi_pengendalian_aplikasi.pdf

Rizki., Hero, Y. M., Rengga, A., (2011). Aplikasi Tata Kelola Dan Audit Sistem

Informasi Menggunakan FrameworkCOBIT Pada Domain PO dan AI. Retrieved

September 23,2011, from http://repo.eepis-its.edu/1253/1/PAPER.pdf