UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
JAWA TIMUR MENGGUNAKAN COBIT 4.1
TUGAS AKHIR
Diajukan Oleh : FARIZA AYU NURDIANI
0634010186
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INDUSTRI
Puji syukur kami panjatkan ke hadirat Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya dan segala limpahan Kekuatan-Nya sehingga dengan segala keterbatasan waktu, tenaga, pikiran dan keberuntungan yang dimiliki penyusun, akhirnya penyusun dapat menyelesaikan Skripsi yang berjudul “ AUDIT SIAMIK (SISTEM INFORMASI AKADEMIK) DALAM HAL PENGELOLAAN SDM (SUMBER DAYA MANUSIA) UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” JAWA TIMUR MENGGUNAKAN COBIT 4.1 ” tepat pada waktunya.
Skripsi dengan beban 4 SKS ini disusun guna diajukan sebagai salah satu syarat untuk menyelesaikan program Strata Satu (S1) pada program studi Teknik Informatika, Fakultas Teknologi Industri, UPN ”VETERAN” Jawa Timur.
Melalui Skripsi ini penyusun merasa mendapatkan kesempatan emas untuk memperdalam ilmu pengetahuan yang diperoleh selama di bangku perkuliahan, terutama berkenaan tentang penerapan teknologi perangkat lunak. Namun, penyusun menyadari bahwa Skripsi ini masih jauh dari sempurna. Oleh karena itu penyusun sangat mengharapkan saran dan kritik dari para pembaca untuk pengembangan yang lebih lanjut.
Surabaya, Juni 2011
ABSTRAK ... i
KATA PENGANTAR ... ii
DAFTAR ISI ... iii
DAFTAR GAMBAR ... v
DAFTAR TABEL... vi
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Perumusan Masalah ... 3
1.3 Batasan Masalah ... 3
1.4 Tujuan ... 4
1.5 Manfaat ……….. 4
1.6 Metedologi Penelitian ... 5
1.7 Sistematika Penulisan ……… 6
BAB II LANDASAN TEORI ... 8
2.1 Definisi Visi, Misi, dan Tujuan ... 8
2.2 Visi, Misi, dan Tujuan UPN “VETERAN” JATIM ... 8
2.3 Audit ... 9
2.4 Audit Sistem Informasi ... 12
2.5 Audit Teknologi Informasi di Perguruan Tinggi ... 13
2.6 IT Governance ... 17
2.7 COBIT ... 20
2.11 Control Objective ... 30
BAB III METODE PENELITIAN ... 31
3.1 Audit Subject ... 31
3.2 Audit Objective ... 37
3.3 Preaudit Planning ... 38
3.4 Audit Procedure & Steps for Data Gathering ... 39
3.5 Prosedur Komunikasi dengan Pihak Manajemen ... 41
3.6 Evaluasi Hasil Pengujian ... 42
3.7 Audit Report ... 42
BAB IV HASIL DAN PEMBAHASAN ... 52
4.1 Evaluasi Hasil Pengujian & Laporan Audit ... 43
4.2 Temuan – Rekomendasi ... 80
BAB V PENUTUP ... 86
5.1 Kesimpulan ... 86
5.2 Saran ... 87
No. Hal.
2.1 Framework COBIT 4.1 ... 21
2.2 Struktur COBIT ... 24
2.3 Hubungan Antara Komponen Dalam COBIT... 25
2.4 Audit Process COBIT Framework... 26
2.5 Tahapan Process Audit Dengan COBIT... 27
3.1 Skema Prosedure Audit……... 31
3.2 Stuktur Bagian Akademik UPN “VETERAN” Jawa Timur…... 34
4.1 Control Objective Domain Plan & Organize ... 53
4.2 Grafik Penilaian Control Objective Domain Plan & Organize …... 54
4.3 Control Objective Domain Deliver & Support... 55
4.4 Grafik Penilaian Control Objective Domain Deliver & Support ... 55
4.5 Form Kertas Kerja Maturity Level 0 …………... 64
4.6 Form Kertas Kerja Maturity Level 1……... 65
4.7 Form Kertas Kerja Maturity Level 2... 65
4.8 Form Kertas Kerja Maturity Level 3 …... 66
4.9 Form Kertas Kerja Maturity Level 4... 66
4.10 Form Kertas Kerja Maturity Level 5 …... 67
4.11 Grafik Penilaian Maturity Level Domain Plan & Organize... 67
4.12 Posisi Maturity Domain Plan & Organize pada proses PO7 ... 68
4.13 Form Kertas Kerja Maturity Level 0 ……… 69
4.14 Form Kertas Kerja Maturity Level 1 ……… 69
4.15 Form Kertas Kerja Maturity Level 2 ... 70
4.16 Form Kertas Kerja Maturity Level 3... 70
4.17 Form Kertas Kerja Maturity Level 4 ………. 71
4.18 Form Kertas Kerja Maturity Level 5 ………. 71
4.19 Grafik Penilaian Maturity Level Domain Deliver & Support ………….. 72
4.20 Posisi Maturity Domain Deliver & Support ………. 72
4.21 Form Kertas Kerja KPI PO7 ………. 74
4.22 Form Kertas Kerja KPI DS7 ………. 75
4.23 Grafik Penilaian Resiko KPI PO7 ……… 75
4.24 Grafik Penilaian Resiko KGI untuk PO7 & DS7 ………. 77
No. Hal.
2.1 Skala Pengukuran Maturity Level... 28
3.1 Kertas Kerja Maturity Level... 40
3.2 Kertas Kerja KPI,PKGI,ITKGI... 40
3.3 Kertas Kerja Kontrol Objective... 41
4.1 Form Wawancara PO7 & DS7 ... 43
4.2 Nilai Control Objective Domain Plan & Organize ... 54
4.3 Nilai Control Objective Domain Deliver & Support ... 56
4.4 Nilai Maturity Domain Plan & Organize pada proses PO7... 68
4.5 Nilai Maturity Domain Deliver & Support ... 72
4.6 Penilaian Resiko KPI PO7 ... 76
4.7 Penilaian Resiko KGI untuk PO7 & DS7 ... 78
4.8 Penilaian Resiko KGI untuk IT PO7 & DS7 ... 79
AUDIT SIAMIK (SISTEM INFORMASI AKADEMIK) DALAM HAL PENGELOLAAN SDM (SUMBER DAYA MANUSIA)
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” JAWA TIMUR MENGGUNAKAN COBIT 4.1
Penyusun : Fariza A.N
Pembimbing I : Nur Cahyo Wibowo, S.Kom, M.Kom Pembimbing II : Budi Nugroho, S.Kom
ABSTRAK
Sebagai salah satu penyelenggara pendidikan yang ada di Surabaya, perguruan tinggi UPN ”VETERAN” JATIM telah memberikan kontribusi yang baik dalam melaksanakan segala aktivitas pendidikan terutama dalam hal pelayanan akademik. SDM yang bertugas dalam pelayanan akademik sudah didukung oleh Teknologi Informasi (TI) berupa Sistem Informasi Akademik (SIAMIK). Namun terdapat permasalahan yaitu SDM yang dimiliki masih belum memiliki kemampuan yang sesuai dengan kompetensi yang diharapkan serta pengawasan dan penilaian terhadap kinerja SDM TI belum dilakukan secara periodik, adanya human error (kesalahan oleh manusia) karena pengawasan dan penilaian terhadap kinerja TI hanya dilakukan jika ada keluhan dari unit kerja mengenai layanan TI tersebut.
Untuk mengatasi permasalahan yang ada, maka perlu dilakukan audit SDM SIAMIK (Sistem Informasi Akademik). Audit SDM SIAMIK (Sistem Informasi Akademik) mengacu pada standar Control Objectives for Information
and Related Technology (COBIT) 4.1. Standar COBIT digunakan karena
mempunyai kompromi yang cukup baik dalam keluasan cakupan pengelolaan dan kedetailan proses-prosesnya serta COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI.
Penelitian ini menghasilkan temuan, yaitu telah melaksanakan hampir semua aktifitas TI dan mempunyai tingkat kematangan 0.77 pada domain PO7 adalah serta untuk DS7 adalah 0.69. Hal ini menunjukkan bahwa aktifitas-aktifitas pada proses tersebut telah diterapkan, tetapi belum dibuatkan prosedur secara tertulis dan terdokumentasi. Sehingga proses-proses yang berkaitan dengan sub domain tersebut perlu diperhatikan, dikelola dan terus dimonitor.
1.1Latar Belakang
Perkembangan kemajuan Teknologi Informasi (TI) pada saat ini telah berdampak pada seluruh aspek, khususnya pada Perguruan Tinggi (PT). Untuk itu Perguruan Tinggi (PT) berusaha memberikan pelayanan yang terbaik dengan memanfaatkan teknologi yang ada untuk mendukung suatu proses sehingga menghasilkan informasi yang cepat dan tepat, khususnya untuk memajukan suatu institusi. Proses tersebut harus didukung oleh beberapa aktivitas penunjang untuk keberhasilan proses yang ada di Perguruan Tinggi (PT).
(TI) yang hanya dilakukan jika ada keluhan dari unit kerja mengenai layanan TI tersebut.
Untuk itu perlu dilakukan audit yang dapat didefinisikan sebagai proses sistematis yang dilakukan dengan memperhatikan keobyektifan dari pihak yang kompeten dan independen dalam perolehan dan penilaian bukti-bukti terhadap tuntunan-tuntunan yang terkait pada pengelolaan SDM SIAMIK UPN “VETERAN” JATIM dengan menggunakan Cobit 4.1. Yang mengacu pada standar Control Objectives for Information and Related Technology (COBIT) 4.1. Standar COBIT digunakan karena mempunyai kompromi yang cukup baik dalam keluasan cakupan pengelolaan dan kedetailan proses-prosesnya serta COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI.
1.2Perumusan Masalah
Berdasarkan latar belakang yang telah diuraikan, didapatkan suatu perumusan permasalahan sebagai berikut:
a. Bagaimana merencanakan audit pengelolaan SDM SIAMIK UPN “VETERAN” JATIM dengan menggunakan Cobit 4.1.
b. Bagaimana melaksanakan audit pengelolaan SDM SIAMIK UPN “VETERAN” JATIM dengan menggunakan Cobit 4.1.
c. Bagaimana memformulasikan hasil audit pengelolaan SDM SIAMIK UPN “VETERAN” JATIM dengan menggunakan Cobit 4.1.
1.3Batasan Masalah
Pada pelaksanaannya pembuatan tugas akhir ini dilakukan dengan beberapa batasan sebagai berikut:
a. Tugas akhir ini memfokuskan diri pada kerangka kerja dalam Cobit 4.1yaitu berdasarkan domain Plan and Organize (PO) pada proses PO7 tentang mengelola sumber daya manusia TI dan domain Deliver and Support (DS) pada proses DS7 tentang mendidik dan melatih pengguna, dimana kedua proses tersebut yang terkait dengan audit pengelolaan SDM SIAMIK UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” JATIM. b. Output yang dihasilkan berupa dokumen Temuan dan Rekomendasi dari hasil
1.4Tujuan
Tujuan penyusunan pembuatan tugas akhir ini adalah sebagai berikut: a. Membuat perencanaan audit pengelolaan SDM sistem informasi akademik
yang menghasilkan dokumen wawancara dan lembar kertas kerja yang merupakan hasil dari pengumpulan data.
b. Melaksanakan audit pengelolaan SDM sistem informasi akademik dengan melakukan analisis maturity level, menganalisa hasil wawancara, analisis terhadap kebutuhan pengelolaan SDM (Sumber Daya Manusia) TI dan identifikasi terhadap resiko-resiko yang mungkin dihadapi.
c. Memformulasikan hasil audit pengelolaan SDM sistem informasi akademik dengan melakukan evaluasi terhadap kendali dan bukti yang ada, melakukan penilaian maturity level, mendokumentasikan temuan audit, dan menyusun laporan hasil audit (temuan, kesimpulan dan rekomendasi).
1.5Manfaat
Manfaat dalam penulisan tugas akhir ini adalah sebagai berikut:
1. Dapat memperoleh data kondisi aktual pengelolaan SDM (Sumber Daya Manusia) dan evaluasi kinerja SDM (Sumber Daya Manusia) TI di Sistem Informasi Akademik (SIAMIK) UPN “VETERAN” JATIM.
2. Untuk pengembangan yang berkelanjutan agar SDM (Sumber Daya Manusia) TI bisa berkontribusi dengan maksimal di lingkungan kerja Sistem Informasi Akademik (SIAMIK) UPN “VETERAN” JATIM.
usulan-usulan kegiatan yang perlu dilakukan) berdasarkan hasil kondisi yang diperoleh saat ini (tingkat kematangan) dan tingkat yang diinginkan (kesadaran pengelolaan yang nantinya akan bisa menjadi kebijakan di tahap selanjutnya.
4. Dapat menghasilkan dokumen (temuan dan rekomendasi) yang merupakan hasil audit SDM (Sumber Daya Manusia) Sistem Informasi Akademik (SIAMIK) UPN “VETERAN” JATIM yang dapat digunakan sebagai dokumentasi untuk pengembangan pelayanan akademik kedepannya.
1.6Metedologi Penelitian
Untuk metedologi penelitian terdapat tujuh prosedur dalam melakukan pengauditan, yaitu :
1. Audit Subject
Pengauditan didasarkan pada gambaran tempat yang akan menjadi subyek dalam proses pengauditan dimana hal ini adalah perguruan tinggi UPN “VETERAN” JATIM.
2. Audit Objective
Yang menjadi object dalam proses pengauditan adalah pihak atau bagian tertentu yang mengalami permasalahan sehingga memerlukan adanya pengauditan dalam penyelesaiannya. Dimana yang berhubungan langsung adalah pihak pengelola SDM SIAMIK UPN “VETERAN” JATIM.
3. Preaudit Planning
membuat perencanaan untuk melakukan audit pengelolaan SDM UPN “VETERAN” JATIM.
4. Audit Procedure & Steps For Data Gathering
Meliputi proses-proses yang akan dilakukan dalam audit, seperti: wawancara, pembuatan maturity, pembuatan control, dll.
5. Prosedur Komunikasi Dengan Pihak Manajemen
Salah satu tahap yang menentukan tercapainya proses wawancara sehingga hasil yang didapatkan akan dapat diolah menjadi tolak ukur nilai dalam pengauditan, dimana kita berinteraksi langsung dengan pihak yang terkait dalam penanganan SDM SIAMIK yang ada di UPN “VETERAN” JATIM. 6. Evaluasi Hasil Pengujian
Melakukan penganalisaan dari hasil-hasil yang telah didapatkan berdasarkan dengan konsep-konsep pengauditan yang telah diterapkan.
7. Audit Report
Menghasilkan sebuah bukti-bukti setelah melalui proses pengauditan dengan membuat persetujuan dari pihak yang telah dilakukan proses audit agar memperoleh keasliannya.
1.7Sistematika Penulisan
Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam empat bab, yaitu:
BAB I : PENDAHULUAN
batasan masalah yang dibuat, tujuan dari pembuatan tugas akhir dan sistematika penulisan buku ini.
BAB II : LANDASAN TEORI
Pada bab ini membahas mengenai visi dan misi UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” JAWA TIMUR. Standar COBIT 4.1 dijadikan sebagai acuan mengelola IT Governance di sebuah perusahaan agar audit sesuai dengan standar yang sudah banyak digunakan dan diakui. Selain itu dibahas tentang teori audit sistem informasi, maturity model yang digunakan untuk menunjukkan tingkat seberapa baik aktifitas untuk manajemen proses TI yang dilakukan.
BAB III : RANCANGAN AUDIT SISTEM
Pada bab ini berisi uraian mengenai gambaran institusi, menentukan tujuan utama dari audit sistem informasi, ruang lingkup, dan metode yang akan digunakan.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab ini membahas tentang mengidentifikasi kendali dan memperkirakan resiko, mengumpulkan bukti, mengevaluasi temuan, sampai dengan membuat laporan akhir hasil audit sistem informasi.
BAB V : PENUTUP
2.1 Definisi Visi, Misi, dan Tujuan
Diperlukannya penggambaran sebuah perusahaan untuk mendefinisikan strategi bisnis yang digunakan dalam pengukuruan kinerja guna memudahkan perusahaan untuk mengetahui kontribusi TI melalui pengukuran tersebut dengan menggunakan sebuah kerangka dasar yaitu harus mempunyai visi, misi, dan tujuan untuk menentukan arah perkembangannya. Namun yang harus diperhatikan, visi bukanlah mimpi, namun sesuatu yang mungkin terwujud. Sedangkan misi ditetapkan sebagai jawaban terhadap visi yang telah ditetapkan sebelumnya. Misi masih merupakan sesuatu yang memiliki arti global dan cenderung generik. Oleh karena itu, ditentukan beberapa objektif yang ingin dicapai dalam berbagai hal sehubungan dengan misi yang dicanangkan tersebut.
2.2 Visi, Misi, dan Tujuan Universitas Pembangunan Nasional “Veteran” Jawa Timur, Surabaya
Universitas Pembangunan Nasional “Veteran” Jawa Timur merupakan salah satu lembaga pendidikan tinggi mempunyai visi, misi, dan tujuan yang tertuang dalam Rencana Strategis Perusahaan, yaitu :
VISI
MISI
1. Menghasilkan Sumber Daya Manusia yang memiliki nilia-nilai moralitas, mentalitas dan intelektualitas serta jasmani yang sehat.
2. Mengembangkan ilmu pengetahuan dan teknologi menuju research university. 3. Mengembangkan sistem pemberdayaan masyarakat.
4. Meningkatkan kerjasama dalam bidang akademik dan non akademik dengan perguruan tinggi lain, pemerintah dan swasta.
TUJUAN
Menunjang pembangunan nasional di bidang pendidikan tinggi dalam rangka terciptanya sumber daya manusia yang cakap, profesional, beriman dan bertaqwa kepada Tuhan Yang Maha Esa, memiliki disiplin, tanggungjawab dan pengabdian yang tinggi serta rasa kepedulian terhadap kesejahteraan masyarakat.
2.3 Audit
Berdasarkan makna kata audire (to hear “the account balance”) tersebut memang jenis audit yang berkaitan dengan pemeriksaan akuntansi memiliki peran dominan dan sejarah yang lebih lama. Namun pada saat ini dalam perkembangannya kemudian, perkembangan bidang audit yang lain juga telah mencapai tahapan yang signifikasi, misalnya audit internal, audit teknologi informasi, dan sebagainya. Tujuan dari audit adalah untuk menentukan dan melaporkan tingkat kesamaan antara informasi yang dinilai dengan ukuran atau kriteria yang ada.
Auditing adalah sebuah proses sistematis yang dilakukan oleh seseorang yang memiliki kompetensi dan bersikap independent, mengenai perolehan dan penilaian atas bukti secara obyektif, yang dilakukan dengan melakukan pengumpulan dan penilaian atas bukti-bukti informasi yang dapat dikuantikasikan dan terkait pada suatu entitas ekonomi tertentu, berkenaan dengan pernyataan mengenai tindakan-tindakan dan kejadian-kejadian ekonomi dengan tujuan untuk menentukan tingkat kesesuaian antata pernyataan tersebut dengan kriteria yang telah ditetapkan serta untuk mengkomunikasikan hasil-hasilnya kepada pihak-pihak yang berkepentingan.
Dengan diperkenalkan COBIT, tujuan audit kini menjadi :
1. Efektifitas (effectiveness), untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
2. Efisiensi (efficiency), memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
4. Keterpaduan/integritas (integrity), berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
5. Ketersediaan (availability), berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
6. Kepatuhan pada kebijakan/aturan (compliance), sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
7. Keandalan sistem informasi/keakuratan informasi (reliability), berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.
Rangkaian Langkah Pelaksanaan Auditing :
Auditing, telah disebutkan sebelumnya, adalah sebuah kegiatan penilaian dan pengesahan yang dilakukan secara sistematis dan dikerjakan oleh mereka yang memiliki kehlian serta independen, yang dilakukan terhadap bukti-bukti aktifitas ekonomi suatu badan usaha, yang tujuannya adalah untuk menentukan serta melaporkan seberapa jauh tingkat kesesuaian aktivitas tersebut terhadap aturan-aturan yang sudah ditetapkan sebagai dasar kerjanya.
Berdasarkan pengertian auditing tersebut, maka dalam proses pelaksanaan audit itu sendiri terdapat beberapa konsep pokok, yaitu:
a. Penggunaan langkah-langkah yang sistematis, b. Memperoleh bukti-bukti transaksi dan menilainya,
d. Membuat laporan hasil pemeriksaan.
2.4 Audit Sistem Informasi
Definisi Audit Sistem Informasi (atau beberapa kalangan lebih menyukai untuk menyebut audit teknologi informasi) dapat dikemukakan sebagi berikut: a. IS Control & Audit (Weber, 1999)
“The process of collecting and evaluating evidence to determine whether a
computer system safeguards assets, maintains data integrity, allows
organizational goals to be achieved effectively, and user resources
efficiently”.
b. CISA Review Manual (ISACA, 2007)
“The process of collecting and evaluating evidence to determine whether
information system and information technology environment adequately
safeguards assets, maintain data and system integrity, provide relevant and
reliable information, achieve organizational goals effectively, consume
resources efficiently, and have in effect internal controls that provide
reasonable assurance that operational and control objectives will be meet”.
audit keuangan, audit keamanan, standar dan prosedur, ataupun yang spesifik seperti audit keamanan terhadap wireless network, audit terhadap kendali aplikasi ERP dan audit SI pada proses pengembangan SI.
2.5 Audit Teknologi Informasi di Perguruan Tinggi
Terlihat secara jelas strategi dan harapan diterapkannya teknologi informasi di segala bidang sesuai dengan konteksnya agar dapat tercipta sebuah daya saing nasional. Hal ini berarti bahwa sektor pendidikan akan menjadi salah satu komunitas yang memiliki tanggung jawab langsung maupun tidak langsung terhadap proses perencanaan, pembangunan, penerapan, dan pengembangan teknologi informasi sesuai dengan tugas dan fungsinya. Paparan berikut memperlihatkan spektrum dan domain peranan dunia pendidikan – terutama perguruan tinggi – di dalam konteks strategi pengembangan teknologi informasi di dunia pendidikan.
Proses Inti Perguruan Tinggi.
Secara prinsip, terdapat 3 (tiga) proses inti pendidikan atau core processes yang terjadi di perguruan tinggi, masing-masing adalah :
1. Pengajaran (teaching); 2. Penelitian (research); dan 3. Pelayanan (services).
Dilihat dari kacamata ilmu manajemen, ketiga proses ini merupakan produk dan jasa atau core products and services yang ditawarkan institusi kepada para pelanggannya. Agar perguruan tinggi dapat secara efektif menyelenggarakan ketiga proses tersebut, maka perlu ditunjang oleh sejumlah aktivitas pendukung terkait dengan hal-hal semacam: administrasi akademis, keuangan dan akuntansi, sumber daya manusia, infrastruktur kampus, dan lain sebagainya. Tujuan dikenali dan dikategorikannya proses dan aktivitas di dalam perguruan tinggi ini untuk membantu manajemen dalam mengalokasikan sumber daya yang dimilikinya agar dapat menunjang visi dan misi yang telah dicanangkan. Karena dilihat dari prinsip pertukaran barang dan jasa, proses inti merupakan aktivitas perusahaan yang terkait langsung dengan sumber pendapatan (revenue stream) dari institusi, sementara aktivitas pendukung dianggap sebagai suatu cost center.
Stakeholders Perguruan Tinggi
dosen, industri, komunitas, yayasan, karyawan, pemerintah, dan institusi pendidikan lain.
Produk dan jasa dari sebuah perguruan tinggi sifatnya sangat beragam yang masing-masing produk dan jasa tersebut akan memiliki pelanggannya masing-masing, baik yang bersifat eksternal (berada di luar lingkup perguruan tinggi) maupun internal (berada di dalam ruang lingkup perguruan tinggi). Permasalahan terbesar timbul ketika ternyata beragam stakeholder tersebut memiliki obyektif yang berbeda, dimana terkadang satu dengan lainnya saling bertolak belakang.
Informasi saat ini dipandang sebagai aset bagi perusahaan, kedudukannya setara dengan aset-aset yang lain. Oleh karena itu perlu ada suatu pengelolaan yang baik terhadap informasi. Audit teknologi informasi di perguruan tinggi merupakan audit yang dilakukan terhadap teknologi informasi salah satunya mengenai pengelolaan informasi yang ada di perguruan tinggi. Audit bertujuan untuk mengukur seberapa besar peranan teknologi informasi dalam mendukung pencapaian tujuan perusahaan secara efektif dan efisien, mengukur apalah informasi yang ada sudah dikelola dengan baik.
informasi. Kerangka kerja COBIT bersifat umum, oleh sebab itu harus disesuaikan dengan melihat proses bisnis dan tanggung jawab proses teknologi informasi terhadap aktivitas perguruan tinggi.
Model IT Governance dan model audit yang ada dimaksudkan untuk membuat pemetaan proses perencanaan dan pengorganisasian, akuisisi dan implementasi terhadap tingkat model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi. Alat yang digunakan untuk memetakan posisi proses sistem informasi adalah dengan menggunakan kuesioner. Sedangkan tujuan pengendalian ditetapkan dengan mempertimbangkan CSF (Critical Success Factors), KGI (Key Goal Indicators), dan KPI (Key Performance Indicators).
2.6 IT Governance
bisnis, melalui penyeimbangan keuntungan dan resiko TI beserta proses-proses yang ada didalamnya”.
IT Governance sangat diperlukan dalam pengembangan dan
implementasi teknologi informasi. Hal ini diperlukan untuk mendukung tercapainya obyektif bisnis dengan menjunjung tinggi aspek akuntabilitas, responsibilitas, dan transparansi. Lembaga riset Gartner menawarkan sebuah konsep governance yang diberi nama “Gartner’s Integrated Planning Suite” yang memiliki tujuan agar perencanaan sebuah teknologi informasi dapat sejalan dengan strategi bisnis terkait. Dalam kerangka tersebut terdapat 4 (empat) aspek yang saling terkait sehubungan dengan prinsip governance yaitu :
1. Strategic Planning
Rencana strategis sebuah perusahaan akan memicu dan mengarahkan disusunnya sebuah rencana pengembangan teknologi informasi. Dengan berpedoman kepada visi, misi, dan tujuan perusahaan maka akan di dapat gambaran yang jelas mengenai peranan dan teknologi informasi seperti apa yang akan dikembangkan. Detil dari rencana tersebut dapat dijabarkan dalam sebuah dokumen Rencana Induk Pengembangan Teknologi Informasi atau Master Plan IT.
2. Enterprise Architecture
3. Portofolio Performance Management
Karena begitu banyaknya komponen dalam arsitektur teknologi informasi yang harus dibangun dimana terbagi menjadi sejumlah kategori seperti perangkat lunak, perangkat keras, dan perangkat masnusia maka diperlukan suatu pendekatan portofolio agar terjadi optimalisasi proses pengembangan. Konsep tersebut dikembangkan berakar dari keanekaragaman perspektif atau pandangan mengenai nature dari teknologi informasi yang ingin dibangun, seperti dilihat dari segi prioritas, fungsi, utilisasi, kebutuhan, demografi, stakeholder, karakteristik sumber daya, aspek perencanaan, dan lain sebagainya.
4. Dalam perkembangannya keputusan yang diambil berdasarkan prinsip manajemen portofolio ini akan diukur kinerjanya, terutama terkait dengan bagaimana keputusan penerapan teknologi informasi tersebut akan berpengaruh terhadap kinerja bisnis perusahaan secara menyeluruh. Sehingga dapat dikatakan bahwa manajemen portofolio tersebut akan mempengaruhi strategic planning yang disusun.
2.7 COBIT
Information System Audit and Control Association (ISACA)
memperkenalkan sebuah kerangka untuk mengelola IT Governance di sebuah perusahaan yang dikenal dengan nama COBIT. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.
Saat ini COBIT telah mencapai edisi ke-4, COBIT 4.1 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi (ITGI, 2005) :
a. Gambaran luas mengenai eksekutif b. Kerangka kerja
c. Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan) d. Appendiks (pemetaan, ajuan silang dan daftar kata-kata)
Isi utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses. Selain itu, COBIT 4.1:
a. Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.
b. Menyesuaikan dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799)
d. Menghubungkan tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang bagaimana proses COBIT mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).
Pada COBIT 4.1 terdapat 4 (empat) domain utama (gambar 2.1), yaitu :
A. Plan and Organize (PO)
Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi informasi dalam mendukung tercapainya tujuan bisnis. Di dalamnya terdapat 10 (sepuluh) sub domain, yaitu:
1. PO1: Define a Strategic IT Plan
2. PO2: Define the Information Architecture 3. PO3: Determine Technological Direction
4. PO4: Define the IT Processes, Organisation and Relationships 5. PO5: Manage the IT Investment
6. PO6: Communicate Management Aims and Direction 7. PO7: Manage IT Human Resources
8. PO8: Manage Quality
9. PO9: Assess and Manage IT Risks 10.PO10: Manage Projects
B. Acquire and Implement (AI)
Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke dalam proses bisnis. Di dalamnya terdapat 7 (tujuh) sub domain yaitu:
1. AI1: Identify Automated Solutions
2. AI2: Acquire and Maintain Application Software 3. AI3: Acquire and Maintain Technology Infrastructure 4. AI4: Enable Operation and Use
7. AI7: Install and Accredit Solutions and Changes C. Deliver and Support (DS)
Domain ini fokus pada aspek penyampaian teknologi informasi kepada dukungan dan layanan teknologi informasi mencakup dukungan dan layanan teknologi informasi pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data.
Pada domain Deliver and Support terdapat 13 (tigabelas) sub domain: 1. DS1: Define and Manage Service Levels
2. DS2: Manage Third-party Services 3. DS3: Manage Performance and Capacity 4. DS4: Ensure Continuous Service
5. DS5: Ensure Systems Security 6. DS6: Identify and Allocate Costs 7. DS7: Educate and Train Users
8. DS8: Manage Service Desk and Incidents 9. DS9: Manage the Configuration
10.DS10: Manage Problems 11.DS11: Manage Data
12.DS12: Manage the Physical Environment 13.DS13: Manage Operations
D. Monitor and Evaluate (ME)
kesesuaian dengan standar yang telah ditetapkan. Pada domain ini terdapat 4 (empat) sub domain yang menjadi fokus, yaitu:
1. ME1: Monitor and Evaluate IT Performance 2. ME2: Monitor and Evaluate Internal Control 3. ME3: Ensure Regulatory Compliance
4. ME4: Provide IT Governance
Struktur COBIT pada gambar 2.2 terdiri dari executive summary yang didukung dengan perangkat implementasi, kemudian framework yang dijabarkan menjadi 3 bagian, yaitu management guidelines, audit guidelines dan detailed control objectives. Untuk management guidelines, terdapat 4 indikator pengukuran, yaitu critical succsess factor, key performance indicators, key goal indicators dan maturity models. Sedangkan detailed control objectives dijabarkan dalam beberapa control practices.
Hubungan antara komponen dalam COBIT (pada gambar 2.3) menggambarkan bahwa bisnis membutuhkan proses-proses TI yang dikendalikan oleh control objective, diaudit menggunakan audit guidelines, akan menjadi efektif dan efisien dengan activity goals dan diukur oleh Key Performance Indicators, Key Goal Indicators, dan Maturity Models.
Gambar 2.3 Hubungan antara komponen dalam COBIT
2.8 Audit Dengan COBIT
Gambar 2.4 Audit Process COBIT Framework
Dalam proses audit menggunakan COBIT, pada tahapan awal dilakukan penetapan Management Guidelines. Management Guidelines merupakan Tool untuk membantu penugasan tanggung jawab, mengukur kinerja, dan melakukan benchmark serta mengetahui gap dalam kemampuan. Keterangan di bawah ini dapat menjawab pertanyaan seperti: Sejauh mana IT harus dikontrol, dan apakah cost ditentukan berdasarkan benefit? Apakah indicator dari kinerja yang baik? Apakah yang harus dilakukan untuk mencapai kinerja yang baik? serta, Bagaimana melakukan pengukuran dan perbandingan.
(ML), Key Performance Indicator (KPI), Process Key Goal Indicator (PKGI), dan IT Key Goal Indicator (ITKGI) serta Control Objective (CO), hasil perhitungan tersebut diberi skor dan dianalisis, tahapan akhir adalah pembuatan laporan.
Gambar 2.5 Tahapan Proses Audit dengan COBIT
2.9 Maturity Level
Sebuah pengembangan teknologi informasi harus terukur dengan baik, agar mekanisme tata kelola teknologi informasi dapat berjalan secara baik dan efektif maka harus melalui tahap kematangan tertentu (Indrajit, 2004).
Dengan menggunakan Model Maturity sebuah perusahaan dapat mengukur posisi kematangannya dalam pengembangan teknologi informasi, dan secara kontinyu serta berkesinambungan harus berusaha untuk meningkatkan levelnya sampai pada tingkat tertinggi agar aspek tata kelola terhadap teknologi informasi dapat berjalan efektif dan sejalan dengan strategi yang telah ditetapkan.
Tabel 2.1 Skala pengukuran Maturity Level
Skala Penjelasan
0
Non-existentAdalah posisi kematangan terendah, suatu kondisi dimana perusahaan merasa tidak membutuhkan adanya mekanisme proses investasi teknologi yang baku, sehingga tidak ada sama seklai pengawasan terhadap investasi teknologi informasi yang dikeluarkan oleh perusahaan.
1
Initial/Ad HocSudah ada beberapa inisiatif mekanisme perencanaan, tata kelola, dan pengawasan terhadap sejumlah investasi yang dilakukan, namu sifatnya masih ad-hoc, sporadis, tidak konsisten, belum formal, dan reaktif.
2
Repeatable butIntuitive
Kondisi dimana perusahaan telah memiliki kebiasaan yang terpola untuk merencanakan dan mengelola investasi teknologi informasi dan dilakukan secara berulang-ulnag secara reaktif, namun belum melibatkan prosedur dan dokumen format.
3
Defined Process
Pada tahapan ini, perusahaan telah memiliki mekanisme dan prosedur yang jelas mengenai tata cara dan manajemen proses investasi teknologi informasi, dan telah terkomunikasikan serta tersosialisasikan dengan baik di seluruh jajaran manajemen perusahaan.
4
Managed andMeasurable
Menetapkan kondisi dimana manajemen perusahaan telah menerapakan sejumlah indikator pengukuran kinerja kuantitatif untuk memonitor efektifitas pelaksanaan manajemen investasi teknologi informasi
5
OptimisedSeperti halnya pada konsep yang lain, mengukur tingkat kematangan pemanfaatan Teknologi Informasi di dunia pendidikan akan memberikan sejumlah manfaat sebagai berikut :
Mengetahui sejauh mana sebuah institusi telah memanfaatkan secara penuh potensi TI bagi kebutuhan peningkatan kinerja pendidikan tinggi
Mengkaji kesiapan stakeholder sebuah institusi pendidikan saat ini untuk dipersiapkan manajemen perubahan yang cocok
Memperkirakan resiko yang akan dihadapi dalam proses sosialisasi pemanfaatan TI di insitusi pendidikan dilihat dari sisi tinggi rendahnya resistensi
Mengetahui target pola pikir dan pola tindak yang harus dimiliki oleh setiap stakeholder terkait dalam sebuah institusi pendidikan
Menjadi indikator aktivitas peningkatan kinerja TI di sebuah institusi pendidikan dari waktu ke waktu
Merupakan alat ukur perbandingan antara satu institusi
2.10 KPI – KGI
Key Goal Indicators (KGI) menjelaskan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakan proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada. KGI biasanya berbebtuk kriteria informasi: (a) Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis, (b) Tidak adanya resiko integritas dan kerahasiaan data, (c) Efisiensi biaya dari proses dan operasi yang dilakukan, (d) Konfirmasi reliabilitas, efektifitas dan kepatuhan (compliance). (Wasilah, 2007)
Process Key Goal Indicator (Process KGI) mendefinisikan bagaimana TI proses harus dilaksanakan untuk mendukung “IT Objective”. Information Technology Key Goal Indicator (ITKGI) mendefinisikan apa yang diharapkan bisnis dari TI. (Swastika, 2007). Penetapan KPI dan KGI dilakukan dengan mengacu pada perincian target yang ingin dicapai pada masing-masing proses dan dipetakan pada KPI–Process KGI–ITKGI yang akan ditetapkan. Kemudian dilanjutkan dengan mengidentifikasi resiko yang mungkin timbul dari aktifitas yang bersangkutan. (Wasilah, 2007).
2.11Control Objective
BAB III
RANCANGAN AUDIT SISTEM
Pada bab III ini akan dibahas prosedur audit. Ada 7 prosedur audit, yaitu: Audit Subject, Audit Objective, Preaudit Planning, Audit Procedure & Steps For Data Gathering, Prosedur Komunikasi Dengan Pihak Manajemen, Evaluasi Hasil Pengujian, dan Audit Report.
Gambar 3.1 Skema Prosedur Audit
Pada gambar 3.1 adalah langkah-langkah yang akan dilakukan oleh penulis untuk melakukan audit. Dari langkah tersebut yang akan dibahas pada bab 3 ini meliputi langkah 1, 2, 3, 4, dan 5. Untuk langkah 6 dan 7 akan dibahas lebih lengkap pada bab 4.
3.1 Audit Subject
3.1.1. Gambaran umum Institusi
Universitas Pembangunan Nasional “Veteran” Jawa Timur merupakan salah satu perguruan tinggi di Surabaya, dimana salah satu jurusannya bergerak
1. Audit Subject
2. Audit Objective
3. Preaudit Planning
4. Audit Procedure & Steps For Data Gathering
5. Prosedur Komunikasi Dengan Pihak Manajemen
6. Evaluasi Hasil Pengujian
7. Audit Report
dibidang pendidikan komputer. Sebagai sebuah perguruan tinggi yang bergerak di bidang pendidikan komputer, Universitas Pembangunan Nasional “Veteran” Jawa Timur mempunyai visi, misi, dan tujuan, yaitu :
VISI
Menjadi Universitas terdepan dalam pengembangan ilmu pengetahuan dan teknologi serta sumberdaya manusia yang dilandasi nilai dan semangat kejuangan.
MISI
1. Menghasilkan Sumber Daya Manusia yang memiliki nilia-nilai moralitas, mentalitas dan intelektualitas serta jasmani yang sehat.
2. Mengembangkan ilmu pengetahuan dan teknologi menuju research university. 3. Mengembangkan sistem pemberdayaan masyarakat.
4. Meningkatkan kerjasama dalam bidang akademik dan non akademik dengan perguruan tinggi lain, pemerintah dan swasta.
TUJUAN
Menunjang pembangunan nasional di bidang pendidikan tinggi dalam rangka terciptanya sumber daya manusia yang cakap, profesional, beriman dan bertaqwa kepada Tuhan Yang Maha Esa, memiliki disiplin, tanggungjawab dan pengabdian yang tinggi serta rasa kepedulian terhadap kesejahteraan mayarakat.
3.1.2. Bagian Pengelolaan Sumber Daya Manusia (PSDM)
yang memiliki kemampuan sesuai dengan kompetensi agar dapat memberikan layanan kepada seluruh civitas akademika dan membantu terlaksananya aktivitas di seluruh unit kerja yang ada.
3.1.3. Bagian Pengembangan dan Penerapan Teknologi Informasi (PPTI) Dalam mewujudkan visi, misi, dan tujuan institusi diperlukan penanganan pengelolaan TI di mana hal ini ditangani secara khusus oleh bagian Pengembangan dan Penelitian teknologi informasi (PPTI) yang memiliki tanggung jawab dalam hal pengembangan dan penerapan teknologi informasi yang ada di UPN “Veteran” Jatim. Bagian PPTI ini terdiri dari kepala bagian, sie pengembangan jaringan dan sie sistem informasi. Semua aplikasi yang ada di UPN “VETERAN” JATIM dikerjakan/dibangun oleh bagian PPTI, seperti:
Sistem informasi akademik,
Sistem informasi perpustakaan,
Sistem informasi absensi dosen,
Sistem informasi keuangan,
Sistem informasi pendaftaran UTS / UAS, dll.
3.1.4. Bagian Akademik UPN “Veteran” Jawa Timur
Kepala Bagian Akademik
Kasie Front Office
Kasie Back Office
Gambar 3.2 Struktur Bagian Akademik UPN ”Veteran” Jawa Timur
Gambar 3.2 menunjukkan struktur bagian akademik UPN “Veteran” Jatim yang terdiri dari kepala bagian akademik, kasie front office dan kasie back office. Secara umum kegiatan yang dilakukan oleh kepala bagian akademik adalah penerimaan mahasiswa baru, persiapan awal semester, perkuliahan, akhir semester, penyelenggaraan ujian, pengolahan nilai, yudisium, dan lain-lain. Secara umum kegiatan yang dilakukan oleh kasie back office adalah penyelenggaraan ujian, pengolahan nilai, dan proses yudisium.
3.1.5. Sistem Informasi Akademik UPN “Veteran” Jawa Timur
Jatim. Dimana salah satu sistem informasi akademik ini adalah persiapan perkuliahan, yaitu melayani pendaftaran ulang (registrasi) mahasiswa baru dan lama, perencanaan beban studi, perubahan rencana studi, cuti akademik, transkrip akademik, dll.
Sedangkan pengguna yang terlibat dalam sistem informasi akademik dibagi menjadi 2 kelompok yaitu pengguna internal dan pengguna eksternal. a. Pengguna Internal
Secara garis besar pengguna informasi di UPN “Veteran” Jatim adalah sebagai berikut:
1. Kepala Bagian Akademik, merupakan sebuah bagian yang mengatur jalannya proses administrasi di lingkungan kampus sehari-hari contoh: informasi yang diperlukan diantaranya data nilai seluruh jurusan, jumlah mahasiswa seluruh jurusan, dosen di seluruh jurusan, alumni.
menyangkut semua kegiatan yang dilakukan user dibawahnya : dosen dan mahasiswa.
3. Dosen wali, menggunakan sistem untuk memantau kemajuan studi mahasiswa bimbingannya, melakukan bimbingan jarak jauh maupun melakukan pencarian informasi akademik. Dosen wali bertanggungjawab untuk memeriksa dan memvalidasi KRS/KHS mahasiswa bimbingannya. Dosen wali juga dapat memvalidasi dan mengikuti perkembangan akademik dari mahasiswa secara online.
4. Dosen, merupakan bagian utama jalannya sebuah perkuliahan, ada beberapa hal penting yang diperlukan dosen dari sebuah sistem informasi diantaranya informasi jadwal mengajar, informasi daftar mahasiswa yang diajar, informasi kurikulum/silabus dari suatau matakuliah.
5. Mahasiswa, merupakan obyek dari sistem ini, ada beberapa informasi yang diperlukan mahasiswa dari sistem informasi, diantaranya adalah daftar nama dosen, daftar matakuliah, daftar nilai yang telah diambil.
b. Pengguna Eksternal
Selain pengguna internal ada juga pengguna eksternal lain di luar lingkungan kampus yang memerlukan informasi, diantaranya adalah:
1. Lembaga terkait, misalnya kopertis atau dikti memerlukan informasi mengenai biodata siswa, daftar nilai siswa, daftar dosen, dll.
Manusia: sumber daya manusia pada institusi sebagian besar dapat memahami dan menggunakan aplikasi-aplikasi yang ada serta teknologi yang tersedia dikarenakan setiap terdapat penggunaan TI yang baru, maka pihak institusi akan mengadakan pelatihan terhadap penggunaan TI tersebut, tetapi penjadwalan tentang pelaksanaan pelatihan belum terstruktur dengan baik sehingga masih ada beberapa staf yang belum memahami tahap-tahap dalam menyelesaikan suatu permasalahan.
3.2 Audit Objective
Bagian pengelolaan Akademik UPN “Veteran” Jatim menyadari bahwa salah satu faktor sukses untuk keberhasilan dan keberlangsungan suatu organisasi adalah manajemen efektif SDM dari informasi dan teknologi informasi. Namun terdapat permasalahan dalam audit pengelolaan SDM sistem informasi akademik yang ada saat ini dan menjadi alasan penulis untuk melakukan Audit Pengelolaan SDM Sistem Informasi Sistem Informasi Akademik di UPN “Veteran” Jatim, yaitu SDM yang dimiliki masih belum memiliki kemampuan yang sesuai dengan kompetensi yang diharapkan serta pengawasan dan penilaian terhadap kinerja Teknologi Informasi (TI) yang hanya dilakukan jika ada keluhan dari unit kerja mengenai layanan TI tersebut.
Sehingga audit pengelolaan SDM sistem informasi akademik bertujuan untuk: 1. Mengoptimalkan penggunaan sumber daya manusia.
2. Meningkatkan penyampaian informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, akurat, lengkap, dapat dipercaya dan tepat waktu.
4. Meningkatkan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
5. Menyediakan informasi ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
6. Meningkatkan dokumentasi.
3.3 Preaudit Planning
3.4 Audit Procedure & Steps For Data Gathering
Data yang berkaitan dengan audit pengelolaan SDM sistem informasi akademik UPN “Veteran” Jatim nantinya akan didapatkan dengan melakukan wawancara terhadap pihak yang akan diaudit (auditee) yaitu kepala bagian akademik dan pengembangan SDM UPN “Veteran” Jatim, selain wawancara juga dilakukan proses pengamatan dimana waktunya sesuai dengan jadwal yang telah disepakati antara auditee dengan auditor.
Untuk mendapatkan data yang berkaitan dengan sistem informasi akademik nantinya memakai kertas kerja. Poin-poin yang akan dievaluasi sesuai dengan domain yang telah ditentukantukan, yaitu :
1. Plan and Organize
Domain ini mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Dengan menggunakan salah satu proses yang terkait dengan pengauditan adalah PO7 : mengelola sumber daya manusia TI.
2. Deliver and Support
Berikut contoh form audit yang digunakan sebagai bahan wawancara dan observasi pelaksanaan audit. Tabel 3.1 menunjukkan Form Kertas Kerja Maturity Level. Tabel 3.2 menunjukkan KPI, PKGI, ITKGI. Tabel 3.3 menunjukkan Form Kertas Kerja Control Objective.
Tabel 3.1 Kertas Kerja Maturity Level
Tabel 3.3 Kertas Kerja Control Objective
3.5 Prosedur Komunikasi Dengan Pihak Manajemen
3.6 Evaluasi Hasil Pengujian
Pembuatan kertas kerja dan pertanyaan-pertanyaan wawancara yang digunakan untuk mengumpulkan fakta tiap proses yang ada di sistem informasi akademik saat ini, dimana pertanyaan yang diajukan dalam kertas kerja maupun wawancara dibuat dan aktivitas proses masing-masing control process sesuai management guidelines dari COBIT yang dikembangkan sesuai dengan yang akan diaudit. Untuk pembahasan lebih detil akan dibahas pada bab IV.
3.7 Audit Report
Pada bab ini membahas tentang identifikasi kendali dan memperkirakan resiko, mengumpulkan bukti, mengevaluasi temuan, sampai dengan membuat rekomendasi audit sistem informasi.
4.1 Evaluasi Hasil Pengujian & Laporan Audit
Menjelaskan tentang bagaimana melakukan pengidentifikasi kendali dan memperkirakan resiko, mengumpulkan bukti, memaparkan temuan-temuan hasil audit yang dibagi menurut domain Plan & Organize pada proses PO7 : mengelola sumber daya manusia TI dan pada domain Deliver & Support pada proses DS7 : mendidik dan melatih pengguna yang dilakukan pada Bagian Akademik UPN “Veteran” Jatim. Penilaian yang dilakukan dihasilkan dari wawancara dengan pihak-pihak yang berkepentingan. Berikut ini adalah Tabel 4.1 form wawancaranya:
Tabel 4.1 Form Wawancara PO7 & DS7
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
1. Apakah ada wawancara yang dilakukan untuk menjadi pegawai disini?
2. Dalam perekrutan pegawai disini apakah melewati beberapa tahapan test?
3. Apakah setiap pegawai disini memiliki kesadaran untuk melakukan perencanaan teknologi?
4. Apakah ada pegawai yang berusaha merealisasikan
perencanaannya tersebut kepada atasannya?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
5. Apakah atasan tersebut meresponnya?
6. Apakah ada kelanjutan implementasi dari perencanaan tersebut?
7. Apakah terdapat struktur organisasi untuk SDM IT SIAMIK UPN “VETERAN” JATIM?
8. Apakah ada dokumennya?
9. Apakah dalam struktur organisasi terdapat kepala atau staff yang menangani bagian perencanaan teknologi?
10. Apakah ada dokumennya?
11. Apakah di UPN “VETERAN” JATIM sering dilakukan
pelatihan?
12. Apakah pernah dibuat pelatihan yang dapat meningkatkan kesadaran individu?
13. Apakah pegawai disini bekerja sesuai dengan keahliannya?
14. Apakah setiap pegawai memiliki ketergantungan kepada pegawai lainnya?
15. Apakah ada pegawai yang memiliki tanggung jawab kerja lebih dari satu?
16. Perlukah dilakukan evaluasi untuk tiap pegawai dalam melakukan perencanaan kerja?
17. Perlukah adanya perubahan agar tiap pegawai memiliki perencanaan teknologi?
18. Apabila kurangnya kesadaran dalam perencanaan, apakah perlu dilakukan penghentian pekejaan?
19. Apakah perlu dibuat dokumen sebagai evaluasi?
20. Apakah dalam struktur organisasi terdapat fungsi yang menegaskan apabila terdapat permasalahan dalam SDM IT?
21. Apakah sering terdapat laporan tentang permasalahan IT?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
23. Apakah permasalahan tersebut dapat diselesaikan dengan baik?
24. Apakah ada seseorang yang bertanggung jawab terhadap permasalahan yang terjadi di IT?
25. Apakah terdapat sanksi yang menegaskan apabila terdapat personil yang tidak bertanggung jawab terhadap pekerjaannya?
26. Apakah pegawai disini memiliki skill yang kompeten untuk bekerja di bidangnya?
27. Apakah prosedur penerimaan pegawai sudah sesuai dengan prosesnya?
28. Apakah pegawai yang bekerja disini sesuai dengan bidangnya masing-masing?
29. Apakah kemampuan jasmani diperlukan untuk penunjang dalam pekerjaan?
30. Apakah kemampuan tentang pemahaman agama diperlukan?
31. Apakah pengalaman organisasi diperlukan?
32. Apakah diperlukan pelatihan rutin untuk pegawai yang bekerja di bidangnya masing-masing?
33. Apakah terdapat penilaian individu untuk masing-masing pegawai untuk keefektifannya dalam bekerja?
34. Apakah sudah dilakukan evaluasi untuk kebutuhan personil SDM IT?
35. Apakah tiap individu memiliki target perencanaan yang harus dilakukan?
36. Apakah ada bagian dalam pengembangan SIAMIK ini yang tidak sesuai dengan prosedur yang ada?
37. Apakah ada jadwal yang mengatur rencana project?
38. Apakah dana yang ada sesuai dengan perencaaan?
39. Apakah proses penurunan dana memakan waktu yang lama?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
41. Apakah dibuat dokumen untuk operasioanal personel?
42. Apakah ada dokumen struktur organisasi SDM IT?
43. Apakah ada dokumen untuk setiap bagian yang ada dalam struktur organisasi, apabila telah melakukan pelatihan?
44. Apakah ada dokumen untuk tiap personel atau SDM IT, sebagai acuan binbingan dalam melakukan pekerjaan?
45. Apakah ada dokumen apabila tiap personel telah melakukan evaluasi kerja?
46. Apakah ada dokumen pegawai yang sudah tidak lagi menjabat atau bekerja?
47. Apakah ada dokumen untuk tiap-tiap project yang telah dikerjakan?
48. Apakah ada dokumen untuk persetujuan pendanaan terhadap project yang akan dikerjakan?
49. Apakah dalam struktur organisasi terdapat bagian yang mengatur tentang perkembangan bisnis di UPN “VETERAN” JATIM?
50. Apakah dalam struktur organisasi terdapat bagian yang mengatur tentang perkembangan teknologi terbaru?
51. Apakah pernah ada penambahan bagian dalam kepengurusan organisasi?
52. Apakah ada seseorang yang bertanggung jawab untuk perkembangan skill SDM IT di UPN “VETERAN” JATIM?
53. Apakah sering diadakan evaluasi kerja?
54. Apakah ada penilaian tertentu agar pegawai tersebut dapat diterima kerja atau tidak?
55. Apakah kedisiplinan waktu diperlukan?
56. Apakah terdapat tunjangan-tunjangan untuk pegawai yang bekerja disini?
57. Apakah pernah ada kenaikan gaji?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
59. Apakah diperlukan sanksi untuk tiap pegawai apabila melakukan kesalahan?
60. Apakah ada pegawai yang langsung mengalami pemecatan?
61. Apakah ada promosi jabatan?
62. Apakah tiap-tiap bagian dalam kepengurusan memiliki anggaran?
63. Apakah pelatihan diperlukan untuk pegawai yang akan direkrut?
64. Apakah pelatihan tidak harus dilakukan?
65. Apakah ada prosedur atau acuan, bagaimana cara melakukan perekrutan personil?
66. Apakah ada prosedur atau acuan, untuk melakukan proses SDM IT?
67. Apakah ada prosedur atau acuan, tentang bagaimana cara melakukan penilaian terhadap kemampuan individu disini?
68. Apakah ada prosedur atau acuan, mengapa harus dibentuk struktur organisasi?
69. Apakah ada prosedur atau acuan, mengapa diperlukan adanya training personil?
70. Apakah ada prosedur atau acuan, mengapa diperlukan evaluasi kerja pada tiap-tiap pegawai?
71. Apakah diperlukan proses untuk melakukan perekrutan personel sebelum membuat dokumennya?
72. Apakah diperlukan proses untuk membuat struktur organisasi sebelum membuat dokumennya?
73. Apakah diperlukan proses untuk melakukan training sebelum membuat dokumennya?
74. Apakah diperlukan proses untuk membuat prosedur personil sebelum membuat dokumennya?
75. Apakah diperlukan proses untuk evaluasi kerja sebelum membuat dokumennya?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
dalam penmilihannya?
77. Apakah ada test khusus dalam penentuan perekrutan personil?
78. Apakah ada factor orang dalam yang dapat meloloskan orang-orang tertentu dalam perekrutan personil?
79. Apakah ada penilaian tersendiri untuk menilai kinerja pegawai?
80. Apakah pelatihan yang dilakukan berhubungan dengan kebutuhan untuk SDM IT?
81. Apakah pelatihan itu memenuhi target yang maksimal?
82. Apakah setelah melakukan pelatihan, personil disini memiliki ide-ide yang lebih baik?
83. Apakah pelatihan itu membawa perubahan yang signifikan untuk perkembangan SDM IT?
84. Apakah personil disini memiliki kemampuan bisnis yang baik?
85. Apakah mereka dapat melakukan management bisnis untuk SDM IT di UPN “VETERAN” JATIM?
86. Apakah management bisnis yang ada di UPN “VETERAN” JATIM berkembang dengan baik?
87. Apakah system SIAMIK yang ada di UPN “VETERAN” JATIM ditangani oleh personil yang memang ahli dibidangnya?
88. Apakah penanganan system ini cukup baik?
89. Apakah personil untuk SIAMIK ini kekurangan tenaga ahli?
90. Apakah sudah pernah dilakukan perubahan atau perombakan dalam system ini?
91. Apakah system SIAMIK ini sudah terkoordinasi dengan baik?
92. Apakah sering dilakukan perawatan terhadap system ini?
93. Apakah ada personil yang tidak ahli dibidangnya, menangani system ini?
94. Apakah ada personil atau pegawai yang mengatur tentang perkembangan berkelanjutan untuk SIAMIK di UPN
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
“VETERAN” JATIM?
95. Apakah personil atau pegawai disini sudah berkompeten dibidangnya?
96. Apakah disini masih kekurangan staff ahli khusus yang berkompeten dibidangnya?
97. Apakah ada peraturan khusus yang mengatur tentang SDM IT?
98. Apakah UU pekerja diterapkan disini?
99. Apakah sebelumya disini pernah dilakukan proses audit SDM IT?
100.Apakah pernah dilakukan sosialisasi kepada pegawai disini, tentang ketetapan-ketetapan apa saja yang harus dipenuhi?
101.Apakah pernah dilakukan studi banding ?
102.Apakah kinerja SDM IT disini pernah mendapatkan penilaian dari sebuah lembaga tertentu?
103.Apakah pendapatan yang diterima sudah sesuai dengan kinerja para pegawai?
104.Apakah di SDM IT ada perencanaan-perencanaan bila ada perubahan bisnis di bidang IT?
105.Apakah SDM IT sudah dipersiapkan sesuai dengan teknologi yang update?
106.Untuk pengembangan skill IT, apakah sudah optimal?
107.Kebanyakan SDM IT digunakan untuk strategi suatu perusahaan, apakah selama ini sudah diterapkan ke arah sana?
108.Apakah sarana dan prasarana yang ada sudah cukup optimal untuk mendukung kemampuan SDM IT?
109.Apakah kurangnya pelatihan kepada SDM IT dapat
mempengaruhi kinerja SDM tersebut?
110.Apakah SDM IT disini memiliki respek yang baik terhadap masalah yang timbul?
111.Apakah ada prosedur untuk menangani masalah-masalah yang muncul?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
112.Apakah pegawai disini memiliki hubungan kinerja yang baik?
113.Apakah kebutuhan-kebutuhan untuk pelatihan dan pendidikan SDM IT disini telah terpenuhi?
114.Apakah untuk mendapatkan kebutuhan-kebutuhan itu
membutuhkan proses yang lama?
115.Apakah pernah dilakukan standarisasi untuk SDM IT disini?
116.Apakah pegawai disini ada yang pernah melakukan inisiatif untuk mengikuti pelatihan sendiri?
117.Apakah organisasi atau management disini melakukan penerapan system yang sesuai dengan prosedurnya?
118.Apakah hal-hal tertentu yang dapat mendukung kinerjaSDM IT sudah banyak diterapkan dan dilakukan?
119.Apakah kinerja disini sudah mengikuti proses yang sesuai?
120.Apakah pelatihan itu penting untuk dilakukan?
121.Apakah SDM disini memiliki pemahaman yang baik untuk mengatasi masalah perilaku yang terjadi?
122.Apakah komunikasi diperlukan untuk mengatasi masalah yang ada?
123.Apakah program pelatihan dan pendidikan yang dibuat sudah sesuai dengan target atau tujuannya?
124.Apakah pernah dibuat pelatihan untuk mengidentifikasi pegawai yang bekerja disini?
125.Apakah ada dokumentasinya?
126.Apakah dokumentasinya dibuat sesuai dengan pelatihan-pelatihan yang dibuat?
127.Apakah ada standarisasi, untuk melakukan pelatihan dan pendidikan yang benar?
128.Apakah ada pengaman untuk melindungi asset-aset yang penting, apabila terjadi penyimpangan yang mendadak?
Hasil Pertanyaan Pertanyaan untuk PO7 & DS7
(Mengelola Sumber Daya Manusia TI)
Ya Tidak
dan pendidikan?
130.Pelatihan dan pendidikan dapat memberikan hasil yang nyata untuk tiap-tiap SDM IT, apakah benar?
131.Apakah pelatihan dan pendidikan merupakan komponen penting yang dapat mendukung karir SDM IT?
132.Apakah management disini mendukung pelatihan dan pendidikan yang dilakukan disini?
133.Apakah management disini mengikuti pelatihan dan pendidikan?
134.Apakah semua pegawai disini mendapatkan pelatihan dan pendidikan yang sama?
135.Apakah diperlukan perubahan dan peninjauan untuk pelatihan dan pendidikan?
136.Apakah sudah sesuai dengan prosedur atau aturannya?
137.Apakah diperlukan pembaharuan untuk pelatihan dan pendidikan SDM IT?
138.Apakah ada pihak lain yang mengatur perubahan untuk pelatihan dan pendidikan SDM IT?
139.Apakah pernah dilakukan penganalisaan masalah hingga keakar permasalahannya?
140.Apakah ada keputusannya?
141.Apakah hasil keputusan yang didapatkan sesuai dengan prosedurnya?
142.Apakah disini pernah dilakukan proses audit SDM IT?
Audit dengan COBIT
informasi. Kerangka kerja COBIT bersifat umum, oleh sebab itu harus disesuaikan dengan melihat proses bisnis dan tanggung jawab proses teknologi informasi terhadap aktivitas perguruan tinggi. Keberadaan COBIT dapat dipakai sebagai metode dalam proses audit sistem informasi. Keterangan di bawah ini dapat menjawab pertanyaan seperti: Sejauh mana IT harus dikontrol, dan apakah cost ditentukan berdasarkan benefit? Apakah indicator dari kinerja yang baik? Apakah yang harus dilakukan untuk mencapai kinerja yang baik? Serta, Bagaimana melakukan pengukuran dan perbandingan.
Berdasarkan COBIT penilaian dilakukan menggunakan 3 pengukuran, yaitu: Control Objective, Maturity Level, dan tingkat resiko yang diukur dengan KPI, PKGI, serta ITKGI.
4.1.1 Control Objective
Tolok ukur untuk mencapai business goal yang diinginkan yang berupa statement yang berisi tentang hasil atau fungsi yang diinginkan. Dilakukan dengan mengimplementasikan control procedures dalam IT proses tertentu. Merupakan karakteristik dari proses yang terkelola dengan baik. Merupakan best practice management objectives umum untuk semua aktifitas IT.
a. Control Objective pada domain Plan & Organize pada proses PO7 :
mengelola sumber daya manusia TI. yang dilakukan pada Bagian
Akademik UPN “Veteran” Jatim. Gambar 4.1 menjelaskan tentang control objective pada domain PO yang memiliki rata-rata sebesar 7, sedangkan untuk gambar 4.2 berisi tentang grafik penilaian Control Objective dimana PO7.7 memiliki nilai yang besar. Untuk Tabel 4.2 berisi tentang detil nilai yang telah didapatkan setelah melalui proses control objective.
Gambar 4.2 Grafik Penilaian Control Objective Domain Plan & Organize
Tabel 4.2 Nilai Control Objective Domain Plan & Organize
Gambar 4.3 Control Objective
Domain Deliver & Support
Tabel 4.3 Nilai Control Objective Domain Deliver & Support
yang mengikuti pelatihan. Tidak ada dokumentasi mengenai pelatihan baik itu materi pelatihan atau pelaksana pelatihan.
4.1.2 Maturity Level
Maturity Level atau tingkat kematangan membahas pilihan strategis dan perbandingan (benchmarking). Untuk kendali terhadap proses IT, sehingga manajemen dapat memetakan di mana organisasi berada, di mana organisasi tersebut berdiri dibandingkan dengan organisasi lain yang terbaik di dalam industri, serta terhadap standar internasional di mana organisasi tersebut ingin berada. Tingkat kematangan inilah yang menjadi tolak ukur dalam menilai efektifitas manajemen SDM IT dalam pengelolaan Sistem Informasi Akademik di UPN “Veteran” Jatim.
Maturity Model menunjukkan tingkat seberapa baik aktifitas untuk manajemen proses IT yang dilakukan. Terdiri dari 6 level yang berisi statement-statement. Statement menyatakan kondisi yang harus dipenuhi untuk mencapai level tersebut yang nantinya dilakukan penilaian yang menghasilkan nilai maturity.
a. Maturity Level pada domain Plan & Organize pada proses PO7 : mengelola sumber daya manusia TI yang dilakukan pada Bagian Akademik UPN “Veteran” Jatim.
Level 0
a. Kurangnya kesadaran dalam perencanaan teknologi pada suatu organisasi.
b. Tidak adanya management IT yang dapat meluruskan permasalahan dalam IT (seakan-akan permasalahan dibiarkan).
c. Tidak adanya personal atau kelompok yang bertanggung jawab untuk management SDM IT.
Level 1
a. Management mengenali kebutuhan untuk SDM IT . b. Tidak adanya perencanaan untuk operational project.
c. Tidak adanya document yang formal, dimana document tersebut dikonsentrasikan pada operational project dan operational personal IT. d. Tidak adanya personal,kelompok atau management yang mengatur dan
memperhatikan tentang perkembangan bisnis dan perubahan teknologi khususnya didepartement IT.
e. Harus mempunyai solusi yang kompleks untuk perkembangan skills dan tingkatan kompetisi.
Level 2
a. Mengendalikan kebutuhan project secara spesifik dengan membuat strategy untuk menjalankan kebutuhan SDM IT.
c. Diadakannya training untuk setiap personal SDM IT yang baru. Level 3
a. Adanya definisi dan sebuah proses document pada SDM IT. b. Setiap SDM IT harus mempunyai perencanaan atau schedule.
c. Setiap personal IT harus menjalankan strategi yang telah dibuat oleh SDM IT.
d. Mendesign training untuk pengembangan SDM IT sesuai dengan kebutuhan atau permintaan.
e. Adanya perkembangan teknologi dan kemampuan management bisnis deprogram training yang telah didesign oleh SDM IT.
Level 4
a. Adanya tanggung jawab untuk pemeliharaan dan perkembangan pada SDM IT (Individu atau Kelompok) dengan keahlian yang khusus. b. Proses dalam pemeliharaan dan perkembangan SDM IT bersifat
responsive atau tanggap untuk melakukan perubahan.
c. Organisasi SDM IT harus memiliki standarisasi yang digunakan untuk mengendalikan apabila terjadi penyimpangan-penyimpangan terhadap rencana yang telah dibuat.dengan memfokuskan pada pertumbuhan dan perputaran yang ada disetiap personal IT.
d. Adanya tinjauan kompensasi dan performance untuk dibandingkan dengan organisasi IT atau perusahaan IT yang lain.
e. SDM IT harus proaktif dalam membuat Account Carier (gaji) pada department.
Level 5
b. Menyiapkan SDM IT sesuai dengan technology yang berkembang. Dengan mengoptimalkan setiap kemampuan yang ada pada SDM IT. c. SDM IT dipersiapkan dengan responsive pada strategy direksi.
d. Seluruh komponen SDM IT harus konsisten dengan perusahaan yang maju, untuk melakukan antara lain: kompensasi, performance reviews, partisipasi di industri forum, saling bertukar ilmu pengetahuan, mengadakan training dan mentoring.
e. Training program untuk semua perkembangan technology yang terbaru.
b. Maturity Level pada domain Deliver & Support pada proses DS7 : mendidik dan melatih pengguna yang dilakukan pada Bagian Akademik UPN “Veteran” Jatim.
Level 0
a. Kurang lengkapnya pada pelatihan dan program pengajaran.
b. Suatu organisasi kurang menyadari adanya masalah yang berkaitan dengan pelatihan.
c. Kurangnya komunikasi antar organisasi apabila terdapat masalah-masalah yang muncul.
Level 1
a. Suatu organisasi mempunyai kebutuhan-kebutuhan untuk pelatihan dan pendidikan yang harus dipenuhi.
b. Tidak adanya standarisasi proses yang dapat mencapai dan melengkapi kebutuhan-kebutuhan SDM IT.
d. Perlunya menerapkan pelatihan-pelatihan yang berhubungan dengan masalah perilaku etis, system keamanan kesadaran, dan praktik keamanan.
e. Secara keseluruhan pendekatan management tidak memiliki hubungan apapun baik secara komunikasi, dan tidak konsisten dengan isu-isu pendekatan yang ditujukan untuk pelatihan dan pendidikan.
Level 2
a. Pentingnya sebuah kesadaran untuk menunjang program pelatihan dan pendidikan, termasuk segala proses yang berhubungan dengan SDM IT.
b. Pelatihan SDM merupakan hal pokok yang dapat menentukan kinerja dari tiap individu.
c. Memerlukan proses untuk pengembangan pelatihan secara informal. d. Dalam pelatihan diperlukan pemahaman tentang cara mengatasi
masalah perilaku.
e. Pengetahuan tiap individu mempengaruhi cara penyelesaian masalah yang sedang terjadi.
f. Memerlukan sebuah komunikasi yang baik untuk menghadapi isu-isu masalah yang sedang terjadi.
Level 3
a. Beberapa program pelatihan dan pendidikan yang dibuat bertujuan untuk mengidentifikasikan karyawan dan manager.
