1
AUDIT SISTEM INFORMASI AKADEMIK DENGAN COBIT 5
Studi Kasus : Sekolah Tinggi Teknologi Mandala Bandung
Ahmad Sujana
Program Studi Pasca Sarjana
Magister Sistem Informasi STMIK LIKMI Bandung
ahmadsujanasttm@gmail.com
ABSTRAK
Audit Sistem Informasi SIAKAD di STT Mandala menggunakan framework COBIT 5 dengan menggunakan Proccess Assesment Model ( PAM) dengan dua domain proses yaitu Deliver Service and Suport (DSS) dan Monitor Evaluate and assess (MEA),yang terdiri dari 9 proses. Audit dilakukan secara langsung dengan menggunakan daftar pengecekkan (Checklist) untuk membantu alur audit, dimana tahapan langkah audit yang dilakukan adalah penentuan latar belakang & masalah, studi literatur, analisis objek penelitian, penentuan tools dan domain, wawancara dan observasi, kemudian dilakukan pengolahan data yang diperoleh, yang akhirnya dihasilkan kesimpulan serta saran untuk perbaikannya.
Hasil pengukuran Capability Level yang diperoleh dari hasil audit system informasi akademik (SIAKAD) STT Mandala Bandung adalah1,33. Atau dapat disimpulkan bahwa system informasi akademik (SIAKAD) STT Mandala Bandung saat ini berada pada level 1 – Performed, dan memiliki Gap antara Capability Level yang ditargetkan dengan Capability Level yang diperoleh saat ini adalah
1,67.
Kata Kunci: Audit Sistem Informasi, Process Assesment Model, COBIT 5 Framework, Capability Level, Gap, Checklist.
Abstract
The SIAKAD Information System Audit at STT Mandala uses the COBIT 5 framework using the Proccess Assessment Model (PAM) with two process domains: Deliver Service and Suport (DSS) and Monitor Evaluate and assess (MEA), consisting of 9 processes. The audit is done directly by using checklists to help the audit flow, where the steps of audit performed are the determination of background & problems, literature study, analysis of research objects, determination of tools and domains, interviews and observations, then performed data processing obtained, finally generated conclusions and suggestions for improvement.
Capability Level measurement results obtained from the audit system academic information (SIAKAD) STT Mandala Bandung is 1.33. Or it can be concluded that the academic information system (SIAKAD) STT Mandala Bandung is currently at level 1 - Performed, and has a Gap between Capability Level targeted with Capability Level is 1.67.
2
I. PENDAHULUAN
1.1 Latar Belakang
Sistem informasi akademik sangatlah penting di dalam sebuah organisasi atau manajemen informasi, saat ini dipandang sebagai aset bagi perusahaan, kedudukannya setara dengan aset-aset yang lain. Oleh karena itu perlu ada suatu pengelolaan yang baik terhadap sistem informasi tersebut. Salah satu penunjang yang paling penting dalam sebuah PT (Perguruan Tinggi) sebagai penyelenggara pendidikan adalah sistem pelayanan akademik yang baik supaya sasaran untuk pelayan akademik tercapai sesuai dengan harapan.
Pengelolaan sistem informasi akademik Sekolah Tinggi Teknologi Mandala (selanjutnya di sebut STT Mandala) sudah dilakukan, akan tetapi belum dikelola dengan menggunakan pendekatan dan metoda terstruktur, sehingga sulit untuk mengukur seberapa besar peranan sistem informasi akademik dalam mencapai visi, misi yang telah ditentukan oleh STT Mandala. Antara harapan dengan kenyataan di STT Mandala belum tercapai seperti harapan, bagaimana SIAKAD yang baik untuk memberikan pelayanan yang baik terhadap mahasiswa, belum menggunakan pendekatan dan metode terstruktur dan di STT Mandala belum pernah di lakukan audit sistem informasi akademik yang merupakan salah satu penunjang yang sangat penting dalam sebuat Perguruan Tinggi, kemudian sering terjadi kesalahan dalam sistem informasi akademik di STT Mandala misalnya pencetakan KRS yang berbeda dengan KHS. Kadang-kadang adanya perbedaan nilai antara nilai yang ada di sistem dan KHS mahasiswa, sehingga perlu adanya audit, apakah dari sistem keamanan atau dari kesalahan pengguna SIAKAD.
1.2Identifikasi Masalah
Berdasarkan latar belakang masalah yang telah di uraikan diatas maka dapat dirumuskan masalah sebagai berikut:
1. Melakukan audit sistem informasi akademik STT Mandala dengan mengukur berapa capabilty level sistem informasi akademik dan Gap antara hasil evaluasi dan target yang di harapkan.
2. Bagaimana melakukan pengukuran tingkat kapabilitas proses Sistem Informasi Akademik di STT Mandala dengan menggunakan kerangka COBIT 5.
3
1.3Tujuan Penelitian
1. Membuat perencanaan audit Sistem Informasi akademik yang akan menghasilkan dokumen dan lembar kertas yang merupakan hasil dari pengumpulan data.
2. Melaksanakan audit Sistem Informasi akademik dengan melakukan analisis Process Capability Model, kemudian menganalisa hasil dari wawancara, dan analisis terhadap kebutuhan sistem informasi akademik.
3. Memformulasikan hasil dari audit Sistem Informasi Akademik dengan melakukan evaluasi terhadap kendali dan bukti yang ada, melakukan penilaian Process Capability Model, mendokumentasikan hasil temuan, kesimpulan dan rekomendasi dari hasil audit yang di lakukan.
4. Untuk mendapatkan sistem informasi akademik (SIAKAD) yang dapat melayani atau meningkatkan pelayanan terhadap mahasiswa.
1.4Pembatasan Masalah
Agar tujuan penelitian tercapai secara efektif, maka perlu adanya pembatasan masalah sbb :
1. Pengkajian penelitian ini mengacu kepada Kerangka kerja COBIT 5 (Control Objective For Information and Related Technology) yang di keluarkan oleh ISACA, yaitu sebuah standar dalam pengelolaan IT.
2. Domain yang di bahas adalah Deliver, Service and Support (DSS)dan Monitor, Evaluate and Assess (MEA)
II. LANDASAN TEORI
2.1 Sistem Informasi
“sistem informasi adalah sebuah rangkaian prosedur formal dimana data di kelompokan, di proses menjadi informasi , dan di didistribusikan kepada si pemakai” (
kadir 2003) dari ( Hall 2001).
Dengan kata lain sistem informasi adalah sekumpulan perangkat atau komponen yang saling berhubungan dan bekerja secara bersama-sama supaya tujuan dapat tercapai, dalam hal ini sistem informasi yang dimaksud adalah sistem informasi yang berbasis komputer.
4
2.2.1 Definisi Audit Sistem Informasi
Menurut Weber (1999:10), seperti dikutif oleh Iwan Rijayana (2008), mengemukakan bahwa audit sistem informasi adalah :
“Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
Audit sistem informasi merupakan cara untuk melakukan pengujian terhadap sistem informasi yang ada di dalam organisasi untuk mengetahui apakah sistem informasi yang dimiliki telah sesuai dengan visi, misi dan tujuan organisasi, menguji kemampuan dari sistem informasi dan untuk mendeteksi kelemahan dan resiko kegagalan yang mungkin timbul.
2.2.2 Tahapan Audit Sistem Informasi
Menurut Solikin dalam Papernya“ Model Audit Sistem Informasi di Perguruan Tinggi Menggunakan Kerangka Cobit” dari Ron Weber, terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu :
1. Perencanaan Audit (Planning The Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko audit.
2. Pengujian Pengendalian (Test Of Controls)
Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik.
3. Pengujian Transaksi (Test Of Transaction)
5
4. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result) Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan harta dan kesatuan data.Beberapa jenis subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang aktiva tetap.
5. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
2.3 COBIT 5
Menurut ISACA (2012:15), COBIT5 merupakan generasi yang terbaru dari panduan ISACA yang membahas mengenai tata kelola dan manajemen IT. COBIT5 ini dibuat berdasarkan pengalaman para penggunaan COBIT selama lebih dari 15 tahun oleh banyak perusahaan dan pengguna dari bidang bisnis, komunitas IT, risiko, asuransi, dan keamanan.
Domain dalam COBIT 5 adalah sebagai berikut :
1. Evaluate, Direct and Monitor (EDM): Proses tata kelola ini menangani persetujuan dengan stakeholder, optimasi resiko dan optimalisasi sumber daya termasuk praktek dan kegiatan yang bertujuan untuk mengavaluasi strategi pilihan, memberikan arahan kepada IT dan monitoring hasil.
2. Align, Plan and Organise (APO): Memberikan arahan untuk solusi delivery (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik dan focus mengidentifikasi cara terbaik TI dapat berkontribusi dalam pencapaian tujuan bisnis. Realisasi visi strategis perlu di rencanakan, di komunikasikan dan di kelola untuk persepektif yang berbeda. Sebuah organisasi harus menempatkan dan mempunyai teknologi imprastruktur yang baik.
3. Build, Acquire and Implement ,(BAI): menyediakan solusi dan merubah layanan untuk mewujudkan strategi TI, solusi TI perlu di identifikasi di kembangkan atau di peroleh, serta di implementasikan dan diintegrasikan kedalam proses bisnis. Perubahan dan pemeliharaan system yang ada juga di cakup oleh domain ini, untuk memastikan bahwa solusi yang terus memenuhi tujuan bisnis.
6
kesinambungan, dukungan layanan bagi pengguna manajemen data dan fasilitas operasional.
5. Monitor, Evaluate and Assess (MEA): Memonitor semua proses untuk memastikan bahwa arah yang di sediakan diikuti. Semua proses TI perlu di nilai secara teratur dari waktu ke waktu untuk kualitas dan kepatuhan mereka dengan persyaratan control. Domain ini membahas manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.
III. METODE PENELITIAN
3.1SIAKAD (Sistem Informasi Akademik) STT Mandala
Sistem informasi akademik untuk mahasiswa merupakan suatu sistem yang terintegrasi untuk pengelolaan data nilai mahasiswa yang dapat diakses langsung oleh mahasiswa yang bersangkutan dengan memasukan password, sistem terpadu mahasiswa memiliki fungsi sebagai berikut:
a. Tuntutan penggunaan.
b. Melihat nilai yang sudah di tempuh.
c. Melihat mata kuliah yang sudah di tempuh. d. Menampilkan KRS, KHS yang sudah di tempuh e. Mencetak KHS persmester
3.2Metodologi Penelitian
Berdasarkan permasalahan yang di teliti dan tujuan yang akan di capai untuk penelitian ini maka di tentukan sistematika penelitian yang secara garis besar dapat di lihat pada gambar 3.1:
Studi Pustaka
Telaah Dokumen Struktur Org
7
IV. ANALISIS DAN HASIL PEMBAHASAN
8
Proses audit dilakukan dengan assesment langsung dan wawancara, wawancara dilakukan dengan pihak yang terkait untuk memperoleh informasi yang akurat dan memahami SIAKAD di STT Mandala. Assessment langsung dimana audite langsung menunjukan bukti yang di minta untuk setiap proses yang di audit, assessment langsung dilakukan karena lebih efektif, dilihat dari domain yang di audit, jadi untuk mempermudah dan mendapatkan hasil audit yang valid, maka assesment dilakukan secara langsung dengan pihak yang terkait dan pihak yang berwenang dalam pengelolaan SIAKAD di STT Mandala.
4.2 Proses Penilaian Capability Level Proses COBIT
Berdasarkan pemetaan proses COBIT dengan menggunakan Domain DSS dan MEA,
terdapat 9Proses COBIT yang akan diukur Capability Level-nya. Dalam melakukan penilaian capability level proses COBIT, masing-masing proses dicek secara bertahap apakah proses tersebut telah memenuhi persyaratan-persyaratan yang harus dipenuhi pada masing-masing level, mulai dari level 1 sampai dengan level 5. Selain itu, terdapat ketentuan kategori dari hasil penilaian di tiap levelnya, yaitu suatu proses cukup meraih kategori Largely achieved (L) dengan range nilai berkisar 50-85% atau Fully achieved (F) dengan range nilai berkisar 85%-100% untuk dapat dinyatakan bahwa proses tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut harus meraih kategori Fully achieved (F) untuk dapat melanjutkan penilaian ke level kapabilitas berikutnya.
4.3 Hasil Perhitungan Capability Level
9
Gambar 4.1 Grafik Pencapaian Capability Level COBIT Process
Pada gambar 4.1 dapat terlihat bahwa hasil audit yang dilakukan terhadap 9 proses dari domain DSS dan MEA pada Sistem Informasi Akademik (SIAKAD) STT Mandala Bandung, terdapat 1 proses yang mencapai level 3 –Established, yaitu proses DSS05 Manage Security Services. 1 proses yang mencapai level 2 – Managed, yaitu DSS02 Manage Service Requests and Incidents. Dan 7 proses yang berada di level 1, yaitu proses DSS01 Manage Operations, DSS03Manage Problems, DSS04 Manage Continuity, DSS06 Manage Business Process Controls, MEA01, MEA02, dan MEA03.
Capability Level yang diperoleh dari hasil audit sistem informasi akademik (SIAKAD) STT Mandala Bandung adalah 1,33. Atau dapat disimpulkan bahwa sistem informasi akademik (SIAKAD) STT Mandala Bandung saat ini berada pada level 1 – P erformed, dan memiliki Gap antara Capability Level yang ditargetkan dengan Capability Level yang diperoleh saat ini adalah 1,67.
4.4Penyusunan Rekomendasi Pencapaian Level 1
Disarankan pada institusi untuk membuat daftar output proses yang belum ditemukan untuk standar level 1 yaitu sebagai berikut:
1. DSS01 –Manage Operations 2. DSS03 –Manage Problems
0 0,5 1 1,5 2 2,5 3
DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 LEVEL YANG DICAPAI
10 3. DSS04 –Manage Continuity
4. DSS06 –Manage Business Process Controls
5. MEA01 –Monitor, Evaluate, and Assess Performance and Conformance 6. MEA02 – Monitor, Evaluate, and Assess System of Internal Control
7. MEA03 –Monitor, Evaluate, and Assess Compliance With External Requirements Pencapaian Level 2
Tahap berikutnya disarankan pada STT Mandala Bandung untuk membuat daftar output proses yang belum ditemukan untuk standar level 2 pada proses Manage Service Requests and Incidents
Pencapaian level 3
Dalam upaya mencapai target capability level perusahaan, disarankan perusahaan membuat SOP demi tercapainya persyaratan level 3 untuk proses DSS05 – Manage Security Services.
Level 3 untuk setiap proses cobit memiliki output proses yang sama dan terbagi menjadi dua bagian yaitu Established Process dan Process Deployment agar perusahaan dapat memenuhi kriteria level 3.
V. KESIMPULAN DAN SARAN
5.1 Kesimpulan
Berdasarkan hasil pengevaluasian yang lakukan dalam penelitian pada Pengelolaan sistem informasi akademik Sekolah Tinggi Teknologi Mandala/ SIAKAD STT Mandala Bandung dapat di simpulkan beberapa Kesimpulan sebagai berikut :
1. Audit sistem informasi akademik di Sekolah Tinggi Teknologi Mandala dilakukan menggunakan COBIT 5 Framework dan berdasarkan hasilnya menunjukan bahwa capability level pengelolaan sistem informasi akademik Sekolah Tinggi Teknologi Mandala saat ini berada pada level 1 – Performed, dan memiliki Gap antara Capability Level yang ditargetkandengan Capability Level yang diperoleh saat ini adalah 1,67. 2. Pengukuran tingkat kapabilitas proses Sistem Informasi akademik di STT Mandala dengan
11
5.2 Saran
Berdasarkan evaluasi yang telah dilakukan, adapun saran-saran yang perlu
dipertimbangkan untuk meningkatkan pengelolaan teknologi informasi yang ada di dalam perusahaan adalah:
1. STT Mandala Bandung di sarankan berfokus untuk pencapaian level 3 yang telah dijadikan target pencapaian capability level SIAKAD. Dengan memperbaiki dan melengkapi semua output dari proses-proses yang belum tercapai di level 1, proses-proses di level 2 kemudian diikuti dengan perbaikan proses untuk mencapai level 3 yang menjadi target pencapaian STT Mandala Bandung
2. STT Mandala Bandung disarankan melakukan audit sistem informasi secara internal maupun eksternal baik SIAKAD maupun Sistem informasi lainnya untuk mengetahui pencapaian kapabilitas tiap proses.
3. STT Mandala Bandung disarankan menggunakan COBIT 5 process Capability Model dimana COBIT 5 framework dapat digunakan untuk mengukur kapabilitas SIAKAD di STT Mandala Bandung
4. Pengukuran yang sudah dilaksanakan di dua domain yaitu MEA dan DSS maka STT Mandala Bandung disarankan untuk mengukur juga domain yang lain seperti BAI,APO, EDM
DAFTAR PUSTAKA
Andri Hendriadi Ade, T. Siwi Kun, Jajuli M, Pengukuran Kinerja Sistem Informasi Akademik Dengan menggunakan Kerangka Kerja Cobit 4.1 pada Domain Pland and Organize di Universitas Singaperbangsa Karawang, Majalah Ilmiah Solusi UNSIKA, ISSN 1412-86676 Vol 10 No 22, Edisi Mar-Mei 2012.
Efe Ahmet, Cobit 5 Frameworks as a Model For The Regional Develovment Agencies In Turkey, International Journal Of e-Business and e-Governance Studies Vol 5, No 1, 2013 ISSN: 2146-0744.
Fitrianah Devi danSucahyoYudhoGiri, Audit Sistem Informasi/ Teknologi Informasi dengan kerangka Cobit untuk evaluasi Manajemen Teknologi Informasi Di Universitas XYZ, Jurnal Sistem Informasi MTI-UI, Volume 4, Nomor 1, ISBN 1412-8896.
Gondodiyoto, Sanyoto, 2007, Audit Sistem informasi + Pendekatan CobIT, Edisi Revisi,MitraWacana Media, Jakarta.
12
ISACA, (2012).COBIT 5 Implementation. USA: ISACA. ISACA, (2012).COBIT 5 Enabling Processes. USA: ISACA. ISACA, (2013), Proses Asesment ModelUSA: ISACA.
IndrayaniEntin, Pengelolaan system Informasi akademi kperguruan Tinggi Berbasis Teknologi Informasi dan Komunikasi, Jurnal Penelitian Pendidikan Vol. 12 No. 1 April 2011. Kadir Abdul, 2003, PengantarSistemInformasi, Jogjakarta, Andi Offset.
Maria EvidanEndangHaryani, Audit Model Development of Academik Information sistem, International Refereed Research Journal, Vol.– II, Issue –2,April 2011.
Mario Spremic, Marijana Ivanov danBozidarJacovic, Using CobiT Methodology in Information System Auditing: Evidences from measuring the level of Operational Risks in Credit Institutions, ISBN: 978-1-61804-066-4.
Omari, Al Loali and Barners Paul, Optimising COBIT 5 for IT Governance: Examples from the Public Sector, 2nd. International Conference on Applied and Theoretical Information Systems Research, December 27-29, 2012, Taipei, Taiwan.
Solikin, Model Audit Sistem Informasi di Perguruan Tinggi dengan Menggunakan Kerangka CobIT, Paper 2004, STMIK AMIK Bandung.
Sultani, Pengembangan Aplikasi Audit Sistem Informasi Berdasarkan Cobit FrameWork di Rumah Sakit XXX, Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2012, ISBN 979 - 26 - 0255 – 0.
.
STT Mandala, 2010, Borang Unit Pengelola Program Studi, Pustaka STT mandala.
Tolga Mataracioglu and SevgiOzkan, Governing Information Security in Conjuction with Cobit and ISP 27001, Jurnal, Department of Information Systems, 06531, Ankara, TURKEY.
