PENERAPAN PENGENDALIAN INTERNAL TERKAIT KEAMANAN SISTEM INFORMASI AKADEMIK
Esther Indriana Limpeleh
Program Studi Akuntansi Fakultas Ekonomika dan Bisnis Universitas Kristen Satya Wacana
Pendahuluan
Sistem informasi merupakan salah satu aset penting terkait kegiatan suatu perusahaan atau organisasi, terlebih bagi organisasi berbasis akademik yang menggunakan sistem informasi untuk mengatur berbagai kegiatan akademik dimulai dari pengolahan data sampai kegiatan pembelajaran (Purwanto, 2017).
Tetapi dengan berkembangnya zaman, tindakan illegal terkait sistem informasi akademik demi keuntungan pribadi juga semakin meningkat. Pada Tahun 2019, seorang dosen di Universitas Islam Negeri Sultan Maulana Hasanudin (UINSMH) meretas server universitas karena kedapatan telah melakukan absen online palsu selama 2 tahun. Pelaku tersebut diketahui memiliki password untuk mengakses server sehingga mempermudah melakukan peretasan. Hal ini mengakibatkan sistem akademik dan pegawai universitas menjadi offline dan tidak dapat diakses untuk beberapa waktu (Rifa’i, 2019).
Hal yang hampir sama juga terjadi pada salah satu universitas di Kota Manado yaitu Universitas Sam Ratulangi. Melalui situs berita online yang ditulis oleh Manewus (2017), seorang mahasiswa menyewa jasa hacker untuk mengubah nilai – nilai akademik miliknya. Atas kejadian tersebut, pihak kampus juga mendapati 167 mahasiswa lainnya yang melakukan hal yang sama. Tetapi hacker yang melakukan peretasan dalam kejadian ini tidak berhasil ditemukan karena pelaku menyediakan jasanya menggunakan sistem MLM (Multilevel Marketing).
Pada tahun 2020 lalu, Politeknik Negeri Manado yang merupakan salah satu perguruan tinggi Indonesia terlebih menjadi salah satu perguruan tinggi yang
2
diminati di daerah Kota Manado, melunjurkan sistem informasi akademik miliknya bernama eLearning POLIMDO. eLearning ini digunakan sebagai kunci utama dalam pelaksanaan kegiatan pembelajaran Politeknik Negeri Manado, mulai dari pengambilan presensi mahasiswa, pengiriman tugas dan materi, sampai pelaksanaan tes dan komunikasi berbasis video. Tetapi walaupun digunakan sebagai kunci utama pembelajaran, belum ada bukti konkret yang menunjukkan bahwa Politeknik Negeri Manado telah menerapkan pengendalian internal yang dapat mengamankan sistem dari berbagai bentuk kejahatan yang ada.
Pada penelitian sebelumnya terkait keamanan sistem informasi akademik seperti Saepudin (2020) berpendapat, adanya kebijakan pengendalian yang berhubungan dengan keamanan sistem harus mencakup prosedur mengenai pengelolaan aset sistem sampai informasi yang ada didalamnya. Pada penelitian tersebut, Saepudin menggunakan Indeks KAMI sebagai alat pengukurannya tetapi, kemudian mengemukakan bahwa masih diperlukan penelitian lain terkait keamanan sistem informasi akademik dengan menggunakan jenis framework audit lainnya. Hal itu kemudian di dukung oleh Winanti & Dzulhan (2018) yang melakukan penelitian di program studi sistem informasi UNIKOM, disini Winanti dan Dzulhan berpendapat bahwa penelitian terkait keamanan sistem tetaplah harus dilakukan menggunakan framework audit lain seperti COBIT sebagai perbandingannya.
Terkait dengan COBIT, Bozkus Kahyaoglu & Caliyurt (2018) sebelumnya menyatakan, kerangka kerja seperti COBIT dapat membantu manajemen dalam menghubungkan pengendalian internal, masalah teknik dan risiko bisnis yang ada.
Rubino, Vitolla, & Garzoni (2017) juga menambahkan bahwa dengan menerapkan kerangka kerja IT seperti COBIT, dapat membantu manajemen dan auditor untuk menilai sistem pengendalian internal yang ada. Penelitian dengan menggunakan COBIT sebelumnya juga telah dilakukan oleh Miftahurrizqi, Windiarti, & Prabowo (2021), dimana keamanan sistem informasi akademik diteliti dengan menggunakan salah satu domain COBIT 5 yaitu DSS05. Tetapi dalam penelitian tersebut penulis menyatakan bahwa, masih diperlukan penelitian lain yang menggunakan seluruh domain dari framework COBIT, sehingga dapat dilakukan kegiatan audit tata kelola sistem informasi akademik secara keseluruhan.
3
Dengan dirilisnya sistem informasi akademik (eLearning POLIMDO) sebagai kunci utama pembelajaran online di Politeknik Negeri Manado ditambah dengan fenomena yang menunjukkan bahwa belum adanya bukti mengenai tingkat pengamanan Politeknik Negeri Manado terhadap sistem informasi akademik yang ada maka, memunculkan pertanyaan yang menjadi fokus penelitian peneliti yaitu bagaimana penerapan pengendalian internal terkait keamanan sistem informasi akademik eLearning POLIMDO jika dilihat dengan menggunakan kerangka kerja COBIT terbaru yaitu COBIT 2019?
Adapun tujuan dari dilakukannya penelitian ini yaitu untuk memahami praktik pengendalian internal yang diterapkan Politeknik Negeri Manado, terkait keamanan sistem informasi akademik eLearning POLIMDO dengan menggunakan kerangka kerja COBIT 2019.
Tinjauan Literatur
Pengendalian Internal
Pengendalian internal memiliki faktor penting dalam penerapan keamanan perusahaan atau organisasi. Fithriani, Pituringsih, & Firmansyah (2020) menyatakan pengendalian internal yang efektif bisa membantu menjaga aset, menjamin manajemen akan laporan keuangan yang akurat dan terpercaya, serta membantu memenuhi kepatuhan hukum yang berlaku. Pernyataan tersebut sejalan dengan definisi pengendalian internal menurut International Federation of Accountants (IFAC) yaitu, pengendalian internal merupakan proses yang didesain, diimplementasikan serta dirawat oleh pihak yang memiliki tanggung jawab atas tata kelola, manajemen dan personel lainnya untuk menyediakan jaminan yang wajar atas pencapaian entitas terkait dengan keandalan laporan keuangan, efektivitas serta efisiensi operasi dan kepatuhan pada hukum yang berlaku (Agoes, 2017).
Kerangka kerja pengendalian yang dikeluarkan oleh para profesional bidang seperti COSO, COBIT dan ISO dapat membantu sebagai dasar bagi manajemen
4
dalam merencanakan dan mengaplikasikan sebuah sistem pengendalian internal yang sesuai untuk perusahaan. Van Wyk & Rudman (2019) sebelumnya, melakukan penelitian mengenai pengembangan daftar periksa yang sesuai bagi perusahaan untuk mengidentifikasi dan mengevaluasi resiko, serta merumuskan pengendalian internal yang sesuai dalam menangani resiko tersebut. Pada penelitiannya, Van Wyk dan Rudman menggunakan kerangka kerja COBIT 5 untuk mengidentifikasi sekaligus mengembangkan pengendalian yang sesuai bagi perusahaan. Hasil yang didapat berdasarkan penelitian tersebut adalah, dengan menggunakan kerangka kerja COBIT manajemen dimudahkan dalam mengidentifikasi kemungkinan terjadinya resiko serta dapat diterapkan pengendalian internal yang tepat. Penelitian lain seperti Snyman & Kruger (2021) mengenai pengembangan kerangka kerja dalam mengevaluasi perilaku terkait keamanan informasi, mendapatkan hasil yaitu dengan mengaplikasikan konsep kerangka kerja, perilaku terkait keamanan informasi dapat diidentifikasi dan dievaluasi oleh perusahaan, serta perusahaan bisa mempengaruhi perubahaan terkait perilaku keamanan sesuai dengan yang diinginkannya.
COBIT 2019
ISACA pertama kali memperkenalkan COBIT atau Control Objectives for Information and Related Technology di tahun 1996 sebagai kerangka kerja yang digunakan untuk melaksanakan kegiatan audit TI. Tetapi bersamaan dengan adanya perkembangan teknologi, COBIT telah menjadi kerangka kerja yang memberikan panduan dan standar bagi manajemen dalam membantu dalam mengoptimalkan teknologi informasi, dan mengirimkan layanan serta ukuran yang jelas jika terjadi kecurangan (Anastasia & Atrinawati, 2020).
Pada bulan November 2018, ISACA memperkenalkan versi terbaru dari COBIT yaitu COBIT 2019, dimana dalam versi terbarunya terdapat 11 Design Factor yang dapat membantu pembuatan desain sistem informasi perusahaan. Design – design tersebut antara lain, Enterprise Strategy, Enterprise Goals, IT Risk Profile, IT Related Issues, Threat Landscape, Compliance Requirement, Role of IT, Sourcing Model of IT, IT Implementation Methods, Technology Adoption Strategy dan Enterprise Size. 11 Design factor ini bertujuan untuk menentukan perancangan
5
sistem yang cocok bagi perusahaan, berdasarkan kondisi sebenarnya yang dilihat dari beberapa sisi (Anastasia & Atrinawati, 2020; Muchsinul et al., 2021).
Gambar 1. Design Factor COBIT 2019
Selain dari 11 Design Factor, terdapat juga 5 domain yang menjadi pemenuhan tujuan tata kelola dan manajemen yaitu, EDM (Evaluate, Direct and Monitor) untuk tujuan tata kelola, APO (Align, Plan and Organize), DSS (Deliver, Service, and Support), BAI (Build, Acquire, and Implement) dan MEA (Monitor, Evaluate and Assess) untuk pemenuhan terkait tujuan manajemen.
Gambar 2. Framework COBIT 2019
Domain APO (Align, Plan and Organize) mengkaji mengenai keseluruhan organisasi dalam merencanakan dan mendukung aktivitas teknologi informasi.
Domain BAI (Build, Acquire and Implement) adalah bagaimana organisasi
6
memperlakukan prinsip, akuisisi dan implementasi solusi terkait teknologi informasi beserta penyatuannya ke dalam proses bisnis perusahaan. Domain berikutnya yaitu DSS (Deliver, Service and Support), mengenai pengiriman informasi sistem operasional bersama dengan pendukung serta pengamanan terkaitnya. Sedangkan MEA (Monitor, Evaluate and Assess) membahas tentang pelaksanaan pengawasan dan kesesuaian teknologi informasi akan kemampuan target, objektivitas pengendalian internal dan persyaratan eksternal lainnya.
Domain terakhir adalah EDM (Evaluate, Direct and Monitor), yang lebih cenderung kepada pemberian jaminan dan evaluasi tata kelola terhadap pilihan strategi yang ada, serta pengarahan manajemen terhadap strategi yang telah dipilih ditambah dengan pemantauannya dalam pencapaian strategi.
Keamanan Sistem Informasi Akademik
Dalam zaman yang modern ini, penggunaan sistem informasi akademik telah menjadi sebuah aset penting bagi universitas ataupun organisasi akademik lainnya. Sistem informasi akademik yang bertujuan untuk mendukung kegiatan akademik universitas, biasanya digunakan dalam mengatur pengelolaan data – data akademik sehingga dapat menjadi informasi yang bermanfaat bagi semua pengguna sistem di lingkungan universitas (Budhy & Hendra, 2021).
Adanya informasi berharga ini, yang kemudian menjadi alasan mengapa diperlukan sebuah keamanan sistem informasi akademik. Adanya keamanan sistem informasi akademik memungkinkan Top Management universitas untuk mengawasi dan mengurangi kendala yang dapat mengganggu proses berjalannya sistem, serta melindungi data – data yang ada didalamnya. Tetapi dalam membentuk keamanan sistem informasi akademik terdapat 3 aspek yang harus diperhatikan yaitu kerahasiaan, integritas dan ketersediaan (Amirul, Fadlil, & Riadi, 2022),
a. Kerahasiaan yaitu informasi dari sistem hanya dapat diakses oleh pihak yang memiliki wewenang.
b. Integritas adalah informasi yang disediakan sistem bersifat akurat dan dapat dipertanggung jawabkan.
7
c. Ketersediaan adalah informasi yang dibutuhkan telah dimiliki oleh sistem.
Dan selain dari 3 aspek tadi, terdapat juga 2 daerah besar yang harus diperhatikan dalam membangun keamanan sistem informasi akademik yaitu keamanan sistem secara fisik dan logika (Winanti & Dzulhan, 2018)
Metode Penelitian
Dalam penelitian ini peneliti meneliti mengenai praktik pengendalian internal yang telah diterapkan Politeknik Negeri Manado terkait keamanan sistem informasi akademik, dilihat berdasarkan COBIT 2019. Data yang dipakai dalam penelitian ini adalah data primer, yang berisikan informasi mengenai pengendalian internal yang telah diterapkan oleh Politeknik Negeri Manado berdasarkan framework COBIT 2019 terhadap sistem informasi akademik eLearning POLIMDO.
Data tersebut didapatkan melalui kegiatan wawancara dan survei dengan staf tim IT Politeknik Negeri Manado, yaitu staf yang memiliki tanggung jawab langsung terhadap proses pengelolaan dan penyimpanan data sistem, serta memiliki latar belakang sistem informasi dan telah dilatih kembali oleh Politeknik Negeri Manado mengenai eLearning POLIMDO sehingga dapat memberikan jawaban yang sesuai terkait pertanyaan penelitian yang ada. Data yang diterima akan dikumpulkan kedalam Google Form untuk mempermudah mengumpulan dan penyimpanan data penelitian. Kegiatan wawancara juga dilakukan sebanyak 2 kali yaitu untuk analisis Design Factor dan analisis Capability Level. Pertanyaan untuk analisis Design Factor akan berisi mengenai strategi dan fokus sasaran dari Politeknik Negeri Manado, resiko dan masalah yang berkemungkinan ataupun telah dialami oleh eLearning POLIMDO, peran dan sifat terkait sistem, serta besarnya organisasi berdasarkan banyaknya pengawai yang ada didalamnya. Pertanyaan – pertanyaan ini diambil berdasarkan 11 Design Factor COBIT 2019 yang ada pada COBIT 2019: Designing an Information and Technology Governance Solution.
Sedangkan untuk analisis Capability Level, akan berisikan pertanyaan mengenai aktivitas – aktivitas domain hasil dari analisis Design Factor. Pertanyaan –
8
pertanyaan tersebut diambil dari akvitas domain yang tersedia di dalam COBIT 2019: Governance and Management Objectives.
Teknik analisis yang digunakan pada penelitian ini dibagi dalam 3 bagian yaitu menentukan Design Factor Politeknik Negeri Manado berdasarkan COBIT 2019, melihat Capability Level yang ada, serta penarikan kesimpulan. Tahapan pertama yaitu menentukan Design Factor berdasarkan COBIT 2019, peneliti memahami dasar – dasar perusahaan seperti, strategi, tujuan serta resiko bisnis yang mungkin terjadi berdasarkan kriteria 11 Design Factor COBIT 2019 (Anastasia &
Atrinawati, 2020). Tahapan yang kedua adalah melihat Capability Level yang ada.
Setelah Design Factor telah dilaksanakan, peneliti mendapatkan domain – domain yang merupakan fokus kegiatan Politeknik Negeri Manado. Domain ini kemudian menjadi acuan dalam mengetahui tingkat Capability Level yang telah diterapkan oleh Politeknik Negeri Manado terkait eLearning POLIMDO. Kemudian domain ini juga menjadi acuan peneliti dalam mengetahui bagaimana penerapan pengendalian internal Politeknik Negeri Manado terkait keamanan sistem informasi akademik miliknya. Untuk yang terakhir adalah penarikan kesimpulan, yaitu hasil penelitian yang memberikan jawaban atas pertanyaan fokus penelitian berdasarkan hasil dari analisis data (Violetta & Kristianti, 2021).
Hasil dan Pembahasan
Design Factor Politeknik Negeri Manado
Pada tahap ini peneliti menentukan ruang lingkup awal sistem tata kelola yang digunakan Politeknik Negeri Manado. Analisis dilihat berdasarkan strategi, sasaran dan kemungkinan resiko yang dapat muncul di sistem informasi akademik Politeknik Negeri Manado.
a. Enterprise Strategy
9
Gambar 3. Design Factor 1: Enterprise Strategy
Dalam COBIT 2019, Enterprise Strategy bertujuan untuk melihat fokus utama dari strategi perusahaan atau organisasi, dan dalam hal ini COBIT membaginya menjadi 4 jenis yaitu Growth (Blok berwarna biru), Innovation (Blok berwarna orange), Cost Leadership (Blok berwarna abu – abu) serta Client Service (Blok berwarna kuning). untuk analisis Enterprise Strategy, poin Innovation dan Client Service. Hasil dari analisis Enterprise Strategy ialah Innovation dan Client Service mencapai level 5, yang berarti Politeknik Negeri Manado memiliki fokus strategi untuk terus memberikan inovasi – inovasi baru terkait bidang akademik, dan untuk dapat terus meningkatkan layanan bagi mahasiswa maupun masyarakat di sekitar kampus. Hal tersebut diambil dari hasil wawancara dengan salah satu staf yang memberikan jawaban, yaitu:
“Karena Politeknik ini sebuah kampus, maka fokus utamanya adalah untuk memberikan layanan dan terus membuat inovasi baru, baik bagi mahasiswa yang belajar maupun masyarakat sekitar kampus.”
b. Enterprise Goals
1
5 1
5
0 1 2 3 4 5
Growth/Acquisition
Innovation/Differentiation
Cost Leadership
Client Service/Stability
Design Factor 1 Enterprise Strategy Importance of different strategies (Input)
10
Gambar 4. Design Factor 2: Enterprise Goals
Enterprise Goals ditentukan berdasarkan goals atau tujuan yang ingin dicapai Politeknik Negeri Manado terkait fokus strategi yang sudah ditentukan sebelumnya.
COBIT 2019 membagi tujuan perusahaan berdasarkan 4 dimensi yang berbeda yaitu Finance (EG01 – EG04), Customer (EG05 – EG07), Internal (EG08 – EG11) dan Growth (EG12 & EG13). Dari hasil tabel diatas dapat terlihat bahwa Politeknik Negeri Manado memiliki nilai tinggi pada Customer (EG05 – EG07) dan Growth (EG13). Hasil tersebut didapatkan berdasarkan hasil kutipan wawancara yaitu;
“Lanjutan yang sebelumnya, kan politeknik fokusnya di layanan dan inovasi, sehingga kita (Politeknik Negeri Manado) harus memberikan inovasi baru, cara – cara baru untuk memastikan bahwa mahasiswa dapat terus mendapatkan informasi belajar yang berkualitas selama berkuliah, apalagi waktu pandemi yang lalu.”
Sehingga dapat disimpulkan bahwa, Politeknik Negeri Manado memiliki tujuan yaitu untuk meningkatkan layanan kepada mahasiswa maupun masyarakat sekitar kampus sesuai dengan poin EG05, Lalu untuk memberikan layanan yang secara berkelanjutan dan terus tersedia sesuai EG06, untuk dapat memberikan informasi yang berkualitas kepada mahasiswa seperti EG07, serta untuk dapat terus
1 1 1 1
5 5 5 4 1
4 3
4 5
EG01—Portfolio of competitive products … EG02—Managed business risk EG03—Compliance with external laws and …
EG04—Quality of financial information EG05—Customer-oriented service culture EG06—Business-service continuity and … EG07—Quality of management information
EG08—Optimization of internal business … EG09—Optimization of business process costs
EG10—Staff skills, motivation and … EG11—Compliance with internal policies
EG12—Managed digital transformation … EG13—Product and business innovation
Design Factor 2 Enterprise Goals (Input)
11
memberikan inovasi dalam bidang akademik secara keseluruhan maupun dalam kampus sendiri yaitu EG13.
c. IT Risk Profile
Gambar 5. Design Factor 3: IT Risk Profile
Pada bagian ini, peneliti melihat resiko yang berkemungkinan terjadi pada sistem informasi akademik Politeknik Negeri Manado (eLearning POLIMDO).
Dengan berdasarkan hasil yang didapatkan, terlihat bahwa resiko terbesar berada pada Program & project lifecycle management dan Hardware Incident dengan nilai 12, lalu diikuti dengan IT operational infrastructure incident dengan nilai 10. Hal ini berarti dalam pemenuhan tujuan terkait lifecycle eLearning POLIMDO, pihak IT Politeknik Negeri Manado masih belum bisa memberikan memastikan bahwa output dari eLearning POLIMDO yang berupa informasi pelajaran setiap mata kuliah telah terserap dengan baik oleh mahasiswa. Hal tersebut didasari dengan kutipan wawancara yaitu;
0 2 4 6 8 10 12 14
IT investment decision making, portfolio…
Program & projects life cycle management IT cost & oversight IT expertise, skills & behavior Enterprise/IT architecture IT operational infrastructure incidents
Unauthorized actions Software adoption/usage problems Hardware incidents Software failures Logical attacks (hacking, malware, etc.) Third-party/supplier incidents Noncompliance Geopolitical Issues Industrial action Acts of nature Technology-based innovation
Environmental Data & information management
Design Factor 3 IT Risk Profile
Risk Rating of IT Risk Scenario Categories (Input)
12
“Kalau resiko, kita membuat eLearning ini agar mahasiswa dapat terus belajar walau ada pandemi. Tetapi dari kita sendiri hanya bisa membuat atau mendesain agar sistem dapat terakses, mahasiswanya mau beneran belajar dan mengerti itu tidak bisa dipastikan.”
Selanjutnya yang berkemungkinan memiliki resiko tinggi ialah Hardware Incident dan IT operational infrastructure incident, yang berarti eLearning POLIMDO memiliki resiko tinggi akan kerusakan hardware maupun pada pengopersional ITnya. Hal ini dikarenakan semua perangkat keras yang berhubungan dengan eLearning POLIMDO tersimpan di dalam kampus sehingga jika terjadi pemadaman listrik ataupun insiden lain terhadap perangkat keras dapat berpengaruh langsung pada sistem informasi akademik eLearning POLIMDO. Data yang ada didalam eLearning POLIMDO juga masih diisi secara manual melalui dosen maupun karyawan kampus sehingga dapat menimbulkan resiko kesalahan input data dalam sistem. Kedua hasil tersebut disimpulkan berdasarkan hasil kutipan wawancara yaitu;
“eLearning ini posisinya semua ada di kampus baik untuk pengelolaan pemasukan data sampai perangkat kerasnya. Sehingga bisa berkemungkinan ada data mahasiswa yang dimasukkan salah karena dimasukan secara manual oleh staf, ataupun jika listriknya padam, sistem juga ikut offline.”
d. IT-Related Issue
13
Gambar 6. Design Factor 4: IT Related Issues
Bagian ini meninjau pada masalah yang dihadapi oleh Politeknik Negeri Manado terkait dengan eLearning POLIMDO. Dari tabel diatas, dapat terlihat bahwa Politeknik Negeri Manado tidak memiliki masalah yang serius terkait dengan eLearning POLIMDO, tetapi masih terdapat beberapa hal yang patut menjadi pertimbangan yaitu Significant IT related incident, Failure to meet IT- related regulatory, dan Excessively high cost of IT yang masing – masing mencapai level 2. Hal ini memiliki arti bahwa Politeknik Negeri Manado mengalami masalah terkait IT yaitu kehilangan data karena adanya kerusakan perangkat, tidak tercapai sepenuhnya tujuan dari dibuat eLearning POLIMDO dikarenakan ada dosen yang menolak untuk menggunakan eLearning dengan alasan sulitnya penggunaan teknologi baru, dan limitnya dana yang diberikan terkait pengembangan eLearning POLIMDO. Tetapi masalah – masalah yang dihadapi oleh Politeknik Negeri Manado tidaklah memiliki dampak yang besar sehingga mengganggu berjalannya proses belajar mengajar serta masih bisa ditangani oleh pihak kampus. Ketiga hasil tersebut diambil berdasarkan hasil kutipan wawancara yaitu;
0 1 2 3
Frustration between different IT entities…
Frustration between business departments…
Significant IT-related incidents, such as…
Service delivery problems by the IT…
Failures to meet IT-related regulatory or…
Regular audit findings or other assessment…
Substantial hidden and rogue IT spending,…
Duplications or overlaps between various…
Insufficient IT resources, staff with…
IT-enabled changes or projects frequently…
Reluctance by board members, executives…
Complex IT operating model and/or…
Excessively high cost of IT Obstructed or failed implementation of…
Gap between business and technical…
Regular issues with data quality and…
High level of end-user computing, creating…
Business departments implementing their…
Ignorance of and/or noncompliance with…
Inability to exploit new technologies or…
Design Factor 4 IT-Related Issues Importance of IT-Related Issues (Input)
14
“Paling sering biasanya, terdapat dosen yang masih bingung dalam menggunakan sistem, walaupun telah ajarkan tetapi kesulitan masih dapat dialami dosen sehingga terkadang terdapat dosen yang tidak mau untuk menggunakan eLearning. Perangkat dari eLearning ini juga disimpan semua di dalam kampus termasuk bagian untuk menyimpan datanya, oleh karena itu jika terjadi masalah perangkat, data yang dimasukkan 1 minggu terakhir bisa hilang. Terlebih biaya yang terkait sistem ini relatif cukup besar sehingga kami dari tim IT juga harus menyesuaikan dengan anggaran yang diberikan.”
e. Threat Landscape
Gambar 7. Design Factor 5: Threat Landscape
Pada Design Factor ini akan menganalisis tingkat pengaruh dari ancaman yang dapat dihadapi oleh Politeknik Negeri Manado terkait eLearning POLIMDO, dilihat secara internal maupun eksternal kampus. Kategori Normal untuk ancaman yang berasal dari internal kampus dan masih bisa ditangani oleh pihak Politeknik Negeri Manado, dan kategori High adalah ancaman dari luar kampus dan Politeknik Negeri Manado tidak memiliki kuasa dalam mencegahnya. Berdasarkan hasil tabel diatas dapat terlihat bahwa tingkat ancaman masih sebagian besar berada pada keadaan Normal yaitu sebesar 70%, yang berarti ancaman yang dihadapi oleh eLearning POLIMDO sebagian besar berasal dari bagian internal kampus dan masih bisa ditangani oleh pihak kampus seperti, hilangnya koneksi server karena listrik yang padam, maupun kegagalan hardware dari eLearning POLIMDO.
Sedangkan 30% sisanya berasal dari ancaman diluar kampus tetapi pengaruh yang 30%
70%
Design Factor 5 IT Threat Landscape
High Normal
15
dimilikinya tidak cukup besar terhadap eLearning POLIMDO, ancaman yang dimaksud ialah bentuk ancaman akan perubahan regulasi akademik yang dikeluarkan pihak pemerintah. Hasil dari analisis Threat Landscape didasari oleh hasil kutipan wawancara yaitu;
“Karena ancaman sebagian besar berasal dari dalam kampus seperti listrik padam, masalah perangkat, ancaman – ancaman tersebut masih bisa dihadapi. Kalau untuk ancaman dari luar tidak memiliki pengaruh yang signifikan karena biasanya ancaman tersebut hanya seperti adanya perubahan peraturan Pendidikan.”
f. Compliance Requirement
Gambar 8. Design Factor 6: Compliance Requirement
Dalam Design Factor ini membantu perusahaan atau organisasi dalam mengklasifikasi persyaratan yang dibutuhkan berdasarkan kategori yang sudah disediakan. Dalam COBIT 2019, kategori dibagi menjadi 3 yaitu Low Compliance Requirement untuk perusahaan yang membutuhkan persyaratan lebih sedikit dibandingkan perusahaan atau organisasi disekitarnya, Normal Compliance Requirement untuk persyaratan umum di berbagai industri dan High Compliance Requirement, untuk persyaratan dikhususkan pada bidang perusahaan atau organisasi. Berdasarkan kutipan hasil wawancara, yaitu;
“Untuk persyaratan, Politeknik Negeri Manado memiliki persyaratan yang dibutuhkan pada umumnya seperti ada surat izin bangunan, akte perguruan
20%
80%
0%
Design Factor 6 Compliance Requirements
High Normal Low
16
tinggi dan mungkin sudah terdapat surat akreditasi untuk program studi kampus.”
Sehingga dapat ditemukan hasil bahwa masuk kedalam kategori Normal Compliance sebesar 80% dan 20% pada High Compliance Requirement. Hal ini mengimplikasikan bahwa Politeknik Negeri Manado adalah organisasi yang dalam proses mendirikannya hanya membutuhkan pemenuhan persyaratan seperti organisasi lain yaitu Izin Mendirikan Bangunan (IMB) dan akte pendirian perguruan tinggi, ditambah dengan pemenuhan khusus terkait bidang pendidikan seperti surat akreditasi untuk membuktikan standar mutu kampus.
g. Role of IT
Gambar 9. Design Factor 7: Role of IT
Role of IT membantu perusahaan dalam mengidentifikasi peran IT dalam perusahaan atau organisasinya. Dalam penelitian ini, peneliti mengidentifikasi peran dari eLearning POLIMDO terhadap Politeknik Negeri Manado, dan berdasarkan hasil gambar diatas dapat terlihat bahwa eLearning POLIMDO poin Support mencapai level 5. Hal ini berarti eLearning POLIMDO berperan tinggi sebagai pendukung atau Support kegiatan utama Politeknik Negeri Manado, yaitu sebagai bantuan dalam menunjang kegiatan akademik kampus, seperti pemberian dan pemasukan tugas, tes, nilai sampai pemberian layanan video untuk kegiatan perkuliahan. Sedangkan poin factory yang mencapai level 2 memiliki arti bahwa
5
2
1
1
0 1 2 3 4 5
Support
Factory
Turnaround
Strategic
Design Factor 7 Role of IT (Input)
17
sistem informasi akademik, walaupun digunakan dalam proses utama yaitu belajar mengajar tidak akan memiliki dampak besar seperti menghentikan berjalannya proses maupun pelayanan kampus jika terjadi masalah. Hasil tersebut didapatkan berdasarkan kutipan hasil wawancara, yaitu;
“Peran dari eLearning ialah untuk menjadi pendukung agar kegiatan belajar mengajar dapat terus berjalan, terkhususnya pada saat pandemi lalu. Tetapi walaupun digunakan untuk proses belajar mengajar, jika terjadi masalah tidak langsung menghentikan proses belajar mengajar karena masih terdapat aplikasi lain yang menjadi alternatif.”
h. Sourcing Model for IT
Gambar 10. Design Factor 8: Sourcing Model for IT
Design Factor ini membantu dalam mengklasifikasi model sumber daya yang digunakan perusahaan atau organisasi terkait IT. COBIT 2019 mengidentifikasi 3 model sumber daya yang dapat diterapkan yaitu, Outsourcing dimana perusahaan menggunakan pihak ke 3 dalam menangani IT miliknya, Cloud untuk perusahaan yang sebagian besar dari IT miliknya berada di penyimpanan online, dan Insourced yaitu untuk perusahaan yang keseluruhan IT disediakan secara mandiri. Berdasarkan hasil kutipan wawancara yaitu;
“eLearning ini semua perangkatnya berada di kampus, mulai dari pemrosesan server, penyimpanan sampai orang – orang yang menanganinya sehingga kita (Politeknik Negeri Manado) sudah tidak
0%
0%
100%
Design Factor 8 IT Sourcing Model (Input) Outsourcing Cloud Insourced
18
menggunakan pihak ketiga ataupun penyimpanan online untuk eLearning POLIMDO.”
Maka mendapatkan hasil yaitu Insourced mengambil 100%, yang berarti bahwa eLearning POLIMDO secara keseluruhan telah memenuhi kebutuhan IT miliknya secara mandiri atau dapat dikatakan telah disediakan oleh Politeknik Negeri Manado tanpa menggunakan bantuan pihak ke 3, mulai dari perangkat keras untuk berjalannya proses server sampai tempat penyimpanan data – data yang digunakan.
i. IT Implementation Methods
Gambar 11. Design Factor 9: IT Implementation Methods
Design Factor 9 membantu dalam mengidentifikasi metode IT yang digunakan perusahaan. Dalam desain ini terdapat 3 jenis implementasi yang berbeda yaitu Agile, untuk metode dimana bagian IT secara mandiri telah dapat melakukan penyesuaian jika terjadi perubahan, DevOps untuk metode yang jika terjadi perubahan pihak IT dapat melakukan perubahan tetapi membutuhkan lebih banyak penguraian dari sistem yang sudah ada, serta Traditional untuk metode dimana jika terjadi perubahan maka akan dilakukan secara subsequence oleh bidang – bidang yang berbeda sebelum akhirnya sistem bisa digunakan.
100%
0%
0%
Design Factor 9 IT Implementation Methods Agile DevOps Traditional
19
Pada Gambar 11 dapat terlihat Politeknik Negeri Manado dalam kaitannya dengan eLearning POLIMDO telah menggunakan metode Agile secara 100% yang berarti bahwa, jika terjadi perubahan terhadap sistem informasi akademik, pihak IT telah dapat menyelesaikannya secara mandiri perubahan yang ada tanpa harus menunggu uraian ataupun penyelesaian dari bidang lain. Hasil dari analisis tersebut didapatkan berdasarkan kutipan hasil wawancara yaitu;
“Terkait dengan perubahan, jika ada yang ingin diubah dari sistem seperti karena ada masalah dan lain - lain, maka dari tim IT sendiri yang akan langsung melakukan perubahan.”
j. Technology Adoption Strategy
Gambar 12. Design Factor 10: Technology Adoption Strategy
Pada Design Factor berikutnya, berfokus pada sikap perusahaan atau organisasi terhadap perkembangan teknologi yang ada. COBIT 2019 memperkenalkan 3 jenis sikap yaitu, First Mover untuk perusahaan yang akan langsung mengadopsi teknologi baru yang keluar sehingga dapat menjadi yang terdepan, Follower untuk perusahaan yang mengadopsi teknologi baru jika telah terbukti kemampuannya, serta Slow Adopter untuk perusahaan yang dalam hal ini
‘terlambat’ dalam mengadopsi teknologi baru. Berdasarkan jawaban yang diberikan oleh narasumber yaitu;
0%
100%
0%
Design Factor 10 Technology Adoption Strategy First mover Follower Slow adopter
20
“Jika terdapat teknologi – teknologi baru, kita (Politeknik Negeri Manado) biasanya lihat dulu ini fungsi dan review yang diberikan seperti apa karena tidak semua perkembangan teknologi baru bisa terhubung dengan sistem eLearning.”
Maka dalam analisis IT Implementation Methods, Politeknik Negeri Manado mendapatkan hasil analisis yang menunjukkan angka 100% untuk sikap Follower dengan artian bahwa Politeknik Negeri Manado lebih cenderung untuk menunggu terbuktinya kemampuan dan kesesuaian suatu perkembangan teknologi sebelum akhirnya digunakan untuk meningkatkan kemampuan sistem kampus.
k. Enterprise Size
Untuk Design Factor terakhir digunakan untuk menganalisis ukuran dari perusahaan atau organisasi berdasarkan jumlah karywan yang ada didalamnya.
COBIT 2019 membagi ukuran perusahaan menjadi 2 yaitu Large Enterprise untuk perusahaan yang memiliki karyawan tetap lebih dari 250 orang, dan Small &
Medium Enterprise untuk perusahaan yang memiliki karyawan 50–250 orang.
Berdasarkan hasil wawancara kutipan yang ada, yaitu;
“Politeknik kalau dihitung semua ada sekitar 582 karyawan termasuk 385 dosen, 190 lebih pegawai dan 7 di tim IT.”
Dari hasil kutipan wawancara tersebut dapat disimpulkan bahwa Politeknik Negeri Manado masuk pada kategori Large Enterprise dengan jumlah karyawan tetap yang lebih dari 250 orang yaitu sebanyak 582 orang.
l. All Design Factor
Setelah semua informasi telah dikumpulkan dan dianalisis menggunakan Design Factor COBIT 2019, peneliti mendapat hasil yang merupakan domain yang menjadi Core Model Politeknik Negeri Manado terkait eLearning POLIMDO berdasarkan COBIT 2019.
21
Gambar 13. All Design Factor
Dalam COBIT sendiri terdapat 40 proses domain yang berbeda dari Core Model yang ada. Terkait dengan hal ini, domain yang bersifat positif memiliki arti bahwa proses tersebut merupakan prioritas bagi Politeknik Negeri Manado, sedangkan domain yang bersifat negatif menandakan bahwa proses tersebut bukanlah prioritas bagi kegiatan Politeknik Negeri Manado terkait eLearning POLIMDO. Berdasarkan hasil tabel diatas, dapat disimpulkan bahwa Core Model dari Politeknik Negeri Manado adalah APO09 dan DSS01 yang dimana kedua domain tersebut berada di rentang 25-50 yang diharapkan berada pada Capability Level 2.
22 Capability Level
Bagian selanjutnya ialah menghitung Capability Level yang telah diterapkan Politeknik Negeri Manado terkait sistem informasi akademik miliknya yaitu eLearning POLIMDO. Pada bagian ini Capability Level akan dihitung berdasarkan domain Core Model yang sebelumnya telah didapatkan, dalam bagian ini juga peneliti akan mengetahui lebih jauh bentuk pengendalian internal yang telah diterapkan Politeknik Negeri Manado terkait keamanan eLearning POLIMDO.
a. APO09
Domain APO atau Align, Plan and Organize merupakan domain yang berorientasi pada rencana dan pengaturan IT. Pada COBIT 2019, domain APO09 dideskripsikan sebagai domain yang digunakan untuk mengecek penyelarasan produk serta layanan pendukung IT dengan tingkat layanan yang diharapkan dan dibutuhkan perusahaan. Oleh karena itu tujuan dari domain ini ialah, untuk memastikan bahwa tingkat produk dan layanan dari IT dapat memenuhi kebutuhan perusahaan saat ini maupun di masa mendatang.
Berdasarkan wawancara yang telah dilakukan dengan pihak IT Politeknik Negeri Manado, didapatkan hasil bahwa Capability Level yang dimiliki terkait domain APO09 telah mencapai level 3 dimana semua aktivitasnya baik pada Level 2 dan 3 telah terlaksanakan sebesar 85% - 100%. Bentuk aktivitas yang sudah terlaksana antara lain dapat mendesain kembali eLearning POLIMDO jika terdapat kendala maupun kebutuhan baru, dapat menganalisis perbandingan maupun perjanjian baru yang terkait dengan eLearning POLIMDO, serta memfinalisasikan perjanjian tersebut dengan pihak manajemen kampus. Saat mencapai Level 4, pihak IT politeknik belum bisa melaksanakan beberapa aktivitas yang berada pada level tersebut, salah satunya ialah melakukan revisi terkait perjanjian layanan dengan penyedia layanan. Dengan tercapainya Level 3 untuk APO09 maka pihak IT Politeknik telah memenuhi dan melampaui Target Level dari Core Model yang sudah ditetapkan sebelumnya.
Nama Domain Capability Level Target Level Gap Analysis
23 APO09 – Managed Service
Agreement 3 2 -1
Gambar 14. Capability Level APO09
Terkait dengan keamanan, berdasarkan domain ini dapat diketahui bahwa Politeknik Negeri Manado telah dapat mengidentifikasi jika terdapat kesenjangan yang masih harus ditingkatkan terkait eLearning POLIMDO, hal tersebut dilaksanakan bersamaan dengan pelaporan dan peninjauan berulang dilakukan setidaknya sebulan sekali pada software dan hardware server untuk melihat, jika terdapat gangguan ataupun kendala pada eLearning POLIMDO.
b. DSS01
DSS (Deliver, Service and Support) merupakan domain yang berfokus pada pemberian layanan dan dukungan terkait IT yang ada. DSS01 secara khusus bertujuan untuk memberikan hasil produk dan layanan operasional IT yang sesuai dengan rencana atau strategi yang sudah ditetapkan. COBIT 2019 juga sebelumnya mendeskripsikan DSS01 sebagai domain yang mengkoordinasikan dan melaksanakan kegiatan, serta prosedur operasional yang diperlukan terkait pemberian layanan IT yang bersumber dari dalam maupun luar perusahaan atau organisasi.
Dengan beralaskan wawancara yang telah dilakukan, diperoleh hasil yaitu Capability Level yang dimiliki Politeknik Negeri Manado terkait DSS01 dapat mencapai Level 5. Hal ini dikarenakan Politeknik Negeri Manado telah melaksanakan 85% - 100% aktivitas – aktivitas yang ada pada level 2 – 5 domain DSS01, dimulai dari telah dibuatnya prosedur aktivitas terkait eLearning POLIMDO, terdapatnya verifikasi terkait data – data yang masuk, sampai telah terdapatnya Log Event untuk memantau kegiatan di dalam eLearning POLIMDO.
Dengan tercapainya Capability Level 5 terkait domain DSS01, membuat Gap Analysis menunjukkan angka -3 yang berarti kemampuan Politeknik Negeri Manado terkait eLearning POLIMDO telah berhasil mencapai serta melebihi Level Target yang sebelumnya ditetapkan.
Nama Domain Capability Level Target Level Gap Analysis
24
DSS01 – Managed Operations 5 2 -3
Gambar 15. Capability Level DSS01
Terkait dengan keamanannya selain yang telah disebutkan sebelumnya, Politeknik Negeri Manado juga telah memasang beberapa pengaman pada ruang IT seperti, akses ruangan dibatasi fingerprint dan adanya CCTV baik dalam maupun diluar ruangan. Terkhususkan untuk ruang penyimpanan data dan server, telah terpasang alat detektor asap beserta penyejuk udara (AC) untuk menjaga perangkat mengalami overheating. Ruangan tersebut juga telah memiliki jadwal penjagaan yang berlaku pada saat jam kantor dan seorang penjaga yang bertugas diluar jam kantor. Dalam servernya sendiri, masing – masing pengguna eLearning POLIMDO telah diberikan password yang berbeda untuk mengakses server, bersamaan dengan pembatasan akses berdasarkan status pengguna tersebut. Bentuk pengamanan seperti Firewall juga telah dipasang dalam server eLearning POLIMDO yang secara terjadwal akan diperiksa oleh pihak IT.
Kesimpulan
Berdasarkan hasil dari penelitian yang telah dilakukan, dapat disimpulkan bahwa Politeknik Negeri Manado telah menerapkan pengendalian internal terkait keamanan berdasarkan COBIT 2019. Politeknik Negeri Manado telah melaksanakan kegiatan peninjauan kembali yang dilakukan sebulan sekali untuk melihat jika terdapat gangguan atau kendala pada server, telah diberikannya password beserta limit akses kepada masing – masing pengguna berdasarkan status yang dimiliki, telah mengaplikasikan sebuah Firewall didalam eLearning POLIMDO sehingga dapat mencegah terjadinya pembobolan, jadwal penjagaan serta petugas yang bertugas diluar jam kantor juga telah dibentuk oleh kampus bersamaan, dengan telah dipasangnya CCTV, penyejuk udara, detektor asap dan kunci dalam bentuk fingerprint sebagai keamanan fisik pada ruangan penyimpanan data dan server dari sistem informasi akademik eLearning POLIMDO.
Bentuk – bentuk pengamanan tersebut juga membantu Politeknik Negeri Manado dalam meningkatkan Capability Level miliknya, sehingga hasil dari
25
analisis Capability Level dapat menunjukkan bahwa Politeknik Negeri Manado berhasil melampaui Capability Level yang ditentukan, yaitu dengan domain APO09 yang mencapai Level 3 dari Target level yang ditentukan yaitu Level 2 dan DSS01 mencapai Level 5 dari Target Level 2.
Oleh karena itu, direkomendasikan kepada Politeknik Negeri Manado untuk dapat mempertahankan pengendalian internal terkait keamanan miliknya karena pengendalian yang diterapkan telah berhasil melampaui Target Level yang didapatkan berdasarkan COBIT 2019 saat ini. Tetapi jika Politeknik Negeri Manado pada kemudian hari ingin meningkatkan Capability Level miliknya, maka dapat dilakukan dengan menerapkan aktivitas – aktivitas lain yang belum diterapkan sesuai dengan domain COBIT 2019, seperti bagian IT dapat lebih aktif dalam proses dilakukan perjanjian dengan pihak ke 3 penyedia layanan eLearning POLIMDO atau mengurangi resiko kehilangan data dengan dipakainya sistem penyimpan online, sehingga dapat meningkatkan Target Level untuk keperluan perluasan pengembangan tingkat kemampuan eLearning POLIMDO.
Dalam penelitian ini juga masih terdapat keterbatasan yaitu narasumber yang digunakan dalam pengumpulan data hanya sebanyak 2 orang sehingga data yang dikumpulkan dapat menjadi terbatas dengan tingkat bias yang cukup tinggi, penelitian ini juga hanya menjelaskan mengenai faktor keamanan dari penerapan pengendalian internal sistem informasi akademik. Oleh karena itu diharapkan bagi penelitian selanjutnya, agar dapat melakukan penelitian dengan fokus faktor yang berbeda seperti tingkat efektivitas dan manfaat bagi pengguna sistem, bersamaan dengan menggunakan jumlah narasumber yang lebih banyak untuk menurunkan tingkat bias dan memperkuat hasil penelitian.
