Post on 31-Mar-2020
i
EVALUASI TATA KELOLA TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK COBIT 5 PADA PT. JASA MARGA
(PERSERO), Tbk
SKRIPSI
Diajukan Sebagai Syarat untuk Memperoleh Gelar Sarjana Strata Satu
Program Studi Sistem Informasi
Disusun Oleh :
SHALLY PUTRI NUR AMALIA
1113093000035
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2017 M / 1439 H
i
EVALUASI TATA KELOLA TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK COBIT 5 PADA PT. JASA MARGA
(PERSERO), Tbk
SKRIPSI
Diajukan Sebagai Syarat untuk Memperoleh Gelar Sarjana Strata Satu
Program Studi Sistem Informasi
Disusun Oleh :
SHALLY PUTRI NUR AMALIA
1113093000035
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2017 M / 1439 H
ii
EVALUASI TATA KELOLA TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK COBIT 5 PADA PT. JASA MARGA
(PERSERO), Tbk
SKRIPSI
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu
Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Disusun Oleh:
SHALLY PUTRI NUR AMALIA
1113093000035
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2017 M / 1439 H
iii
iv
v
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-
BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN
SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI
ATAU LEMBAGA MANAPUN.
Jakarta, November 2017
SHALLY PUTRI NUR AMALIA
1113093000035
vi
ABSTRAK
Shally Putri Nur Amalia – 1113093000035. Evaluasi Tata Kelola Teknologi
Informasi Menggunakan Framework COBIT 5 Pada PT. Jasa Marga (Persero),
Tbk. Di bawah bimbingan Ibu Fitroh dan Ibu Suci Ratnawati.
PT. Jasa Marga (Persero), Tbk merupakan suatu perusahaan Badan Usaha Milik
Negara (BUMN) yang berperan penting dalam pengadaan jalan bebas hambatan
di Indonesia dan telah menerapkan konsep tata kelola TI di bawah pengawasan
Divisi IT. Penerapan tata kelola TI ini bertujuan untuk menyelaraskan antara
pengelolaan TI dengan strategi bisnis perusahaan. Permasalahan yang ditemukan
diantaranya, adanya indikasi ketidakpatuhan pegawai terhadap peraturan dan
kebijakan yang berlaku serta kurang optimalnya kegiatan pengawasan dan
evaluasi pada kinerja TI. Untuk itu, perlu dilakukan evaluasi untuk mengetahui
capability level tata kelola TI. Metode penelitian ini menggunakan framework
COBIT 5 yang berfokus pada proses MEA01 (Monitor, Evaluate and Asses
Performance and Conformance) dan MEA02 (Monitor, Evaluate and Asses the
System of Internal Control). Penelitian ini menggunakan Process Assessment
Model (PAM) yang terdiri dari Initiation, Planning the Assessment, Briefing, Data
Collection, Data Validation, Process Attribute Level dan Reporting the Result.
Hasil penelitian ini menunjukkan bahwa capability level untuk proses MEA01 dan
MEA02 berada pada level 1 (performed process) yang artinya PT. Jasa Marga
(Persero), Tbk sudah melaksanakan seluruh aktifitas tata kelola namun masih
banyak proses yang belum mencapai tujuan bisnisnya. Sedangkan tingkat
capability level yang diharapkan pada proses MEA01 dan MEA02 berada di level
2 (managed process). Sehingga untuk dapat mencapai level yang diharapkan pada
masing-masing proses, perusahaan harus dapat memenuhi semua capaian atau
dokumentasi yang ada di level 1, seperti membuat kebijakan untuk tindak lanjut
terkait ketidakpatuhan pegawai serta standar dan prosedur untuk mekanisme baru
dalam kegiatan pengawasan.
Kata Kunci: Tata Kelola Teknologi Informasi, COBIT 5, Assessment Process
Activities, Capability Level.
V Bab + XVII Halaman + 204 Halaman + 28 Gambar + 76 Tabel + Daftar Pustaka
+ Lampiran
Pustaka Acuan (38, 2007–2017)
vii
KATA PENGANTAR
Alhamdulillah hirabbil alamin segala puji dan syukur penulis
panjatkan kepada Allah SWT atas segala rezeki, rahmat, nikmat,hidayah dan
karunia-Nya sehingga penulis dapat menyelesaikan Skripsi ini. Shalawat beserta
salam semoga selalu tercurah kepada junjungan Nabi Muhammad SAW beserta
para keluarga, dan para sahabat semoga kita selaku ummatnya mendapatkan
syafa’at dari beliau di akhirat nanti. Amin.
Skripsi ini berjudul “Evaluasi Tata Kelola Teknologi Informasi
Menggunakan Framework COBIT 5 Pada PT. Jasa Marga (Persero), Tbk”
yang disusun untuk memenuhi salah satu syarat dalam menyelesaikan program S1
pada program studi Sistem Informasi di Universitas Islam Negeri Syarif
Hidayatullah Jakarta.
Dalam penyusunan Skripsi ini penulis telah mendapat banyak
bantuan dan bimbingan serta semangat dari berbagai pihak. Pada kesempatan ini
penulis ingin menyampaikan ucapan terima kasih kepada pihak-pihak yang telah
mendukung terselesaikannya skripsi ini. Rasa terima kasih yang sebesar-besarnya
penulis sampaikan kepada:
1. Bapak Dr. Agus Salim, M.Si selaku Dekan Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah.
2. Ibu Nia Kumaladewi, MMSI selaku Ketua Program Studi Sistem Informasi
Fakultas Sains dan Teknologi.
viii
3. Ibu Meinarini Catur Utami, MT selaku Sekretaris Program Studi Sistem
Informasi Fakultas Sains dan Teknologi.
4. Ibu Fitroh, M.Kom selaku Dosen Pembimbing I yang secara bijaksana dan
kooperatif telah memberikan bimbingan dengan sabar, bantuan dan dukungan
baik secara moral maupun teknis dalam penyelesaian skripsi ini.
5. Ibu Suci Ratnawati, MTI selaku Dosen Pembimbing II yang telah
meluangkan waktu, memberikan motivasi, masukan dan dukungan baik
secara moral maupun teknis selama proses penyusunan skripsi ini.
6. Ibu Diah Eka Yulianti selaku Senior Specialist IT Control Monitoring yang
bersedia menjadi pembimbing lapangan selama penulis melaksanakan
penelitian di Kantor Pusat PT. Jasa Marga (Persero), Tbk. Saran, arahan, ilmu
dan waktu luang dari beliau sangat membantu pengerjaan skripsi ini.
7. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu,
motivasi dan nasehat selama penulis duduk di bangku perkuliahan.
8. Bapak Randy, Ibu Ayu dan Ibu Rina serta seluruh staff yang berada di Divisi
IT karena sudah meluangkan waktunya untuk membantu dan bekerjasama
dengan Penulis selama pelaksanaan penelitian berlangsung.
9. Kedua orang tua penulis, Papah Jarkoni dan Mamah Kurniawati, Nenek
penulis Fatimah dan Adik-adik penulis Faisal dan Amelia yang selalu
memberikan do’a yang melimpah, dukungan dan motivasi dalam
menyelesaikan skripsi ini. Ya Allah, selalu jaga kesehatan dan sayangi
mereka.
ix
10. Terimakasih kepada teman-teman seperjuangan, “Power Rangers” (Sindi,
Tyas, Arba, Cici, Lana, Widya) yang telah menemani dari awal kuliah,
memberikan canda, tawa, dukungan, semangat dan motivasi kepada penulis.
11. Keluarga Besar Sistem Informasi 2013 yang menjadi rekan penulis saat
berdiskusi dan berbagi ilmu, terima kasih untuk kebersamaan dan kerjasama
selama ini. Semoga kita sukses dunia dan akhirat.
12. Kawan-kawan kelompok KKN Cemerlang yang telah menjadi rekan penulis
saat melaksanakan pengabdian kepada masyarakat di Desa Curug, Jasinga.
Farah, Irma, Nabila, Wilda, Shofi, Angga, Bayu, Hendy, Adi, Iqbal. Semoga
komunikasi selalu terjaga.
13. Semua pihak yang tidak dapat disebutkan satu persatu yang telah membantu
hingga terselesaikannya skripsi ini.
Penulis sadar bahwa penyusunan skripsi ini masih jauh dari
sempurna, maka dari itu penulis sangat menerima kritik dan saran yang
konstruktif agar penyusunan skripsi ini menjadi lebih baik lagi.
Akhir kata, semoga skripsi ini dapat bermanfaat bagi semua pihak
terutama teman-teman Sistem Informasi UIN Syarif Hidayatullah Jakarta, baik
sebagai bahan karya tulis berupa informasi, perbandingan maupun dasar untuk
penelitian materi lebih lanjut.
Jakarta, November 2017
Shally Putri Nur Amalia
1113093000035
x
DAFTAR ISI
JUDUL ............................................................................................................... i
HALAMAN JUDUL .......................................................................................... ii
LEMBAR PERSETUJUAN ............................................................................... iii
PENGESAHAN UJIAN .................................................................................... iv
PERNYATAAN ................................................................................................. v
ABSTRAK ......................................................................................................... vi
KATA PENGANTAR ....................................................................................... vii
DAFTAR ISI ...................................................................................................... x
DAFTAR GAMBAR ......................................................................................... xiv
DAFTAR TABEL .............................................................................................. xvi
BAB I .................................................................................................................... 1
PENDAHULUAN ................................................................................................ 1
1.1 Latar Belakang ........................................................................................... 1
1.2 Rumusan Masalah ...................................................................................... 6
1.3 Ruang Lingkup dan Batasan Penelitian ..................................................... 7
1.4 Tujuan Penelitian ....................................................................................... 8
1.5 Manfaat Penelitian ..................................................................................... 9
1.6 Pertanyaan Penelitian ............................................................................... 10
1.7 Metodologi Penelitian .............................................................................. 10
1.7.1 Teknik Pengumpulan Data ................................................................ 10
1.7.2 Teknik Analisis Data ........................................................................ 11
1.8 Sistematika Penulisan .............................................................................. 13
BAB II ................................................................................................................... 1
LANDASAN TEORI .......................................................................................... 15
2.1 Evaluasi Tata Kelola Teknologi Informasi .............................................. 15
2.1.1 Evaluasi ............................................................................................. 15
2.1.2 Teknologi Informasi ......................................................................... 16
xi
2.1.3 Tata Kelola Teknologi Informasi ...................................................... 16
2.1.4 Tujuan dan Kegunaan Tata Kelola Teknologi Informasi ................. 17
2.2 Kerangka Kerja (Framework) Tata Kelola Teknologi Informasi ............ 18
2.2.1 Information Technology Infrastructure Library (ITIL) .................... 18
2.2.2 International Standards Organization (ISO) .................................... 19
2.2.3 Committee of Sponsoring Organization of the Treadway Commission
(COSO) ....................................................................................................... 20
2.2.4 Control Objective for Information and related Technology (COBIT) 20
2.2.5 Perbandingan COBIT Dengan Framerwork Lain ............................ 22
2.3 Perbedaan COBIT 5 dan COBIT 4.1 ....................................................... 24
2.4 COBIT 5 ................................................................................................... 25
2.4.1 Komponen COBIT 5 ......................................................................... 29
2.4.1.1 Principles (Prinsip) pada COBIT 5 ............................................... 29
2.4.1.2 Tujuh Enablers .............................................................................. 33
2.4.2 Implementasi COBIT 5 ..................................................................... 34
2.4.3 Process Reference Model .................................................................. 37
2.4.4 Pemetaan IT Goals terhadap Proses COBIT 5 ................................. 42
2.4.5 Process Capability Indicator ............................................................ 44
2.4.6 RACI Chart ....................................................................................... 61
2.4.7 COBIT Process Assesment Model (PAM) ........................................ 67
2.4.8 Assessment Process Activities ........................................................... 69
2.4.9 Rating Scale ...................................................................................... 71
2.4.10 Determining the Capability Level ..................................................... 72
2.5 Fokus Area Tata Kelola Teknologi Informasi ......................................... 73
2.5.1 MEA01 (Monitor, Evaluate and Assess Performance and
Conformance) ............................................................................................ 79
2.5.2 MEA02 (Monitor, Evaluate and Asses the System of Internal Control)
........................................................................................................... 80
2.5.3 Identifikasi Kebutuhan Dokumen ..................................................... 80
2.6 Pengendalian Internal ............................................................................... 90
2.7 Metodologi Penelitian .............................................................................. 93
xii
2.7.1 Teknik Pengumpulan Data ............................................................... 93
2.7.2 Metode Luftman ................................................................................ 98
2.7.3 Metode Purposive Sampling ........................................................... 102
2.7.4 Teknik Analisis Data ...................................................................... 103
2.8 Skala Pengukuran ................................................................................... 104
BAB III ............................................................................................................... 15
METODOLOGI PENELITIAN ........................................................................ 107
3.1 Desain Penelitian .................................................................................... 107
3.2 Prosedur Penelitian ................................................................................. 107
3.3 Populasi dan Sampel Penelitian ............................................................. 108
3.4 Teknik Pengumpulan Data ..................................................................... 109
3.4.1 Observasi ....................................................................................... 109
3.4.2 Wawancara ...................................................................................... 110
3.4.3 Studi Pustaka ................................................................................... 111
3.5 Teknik Analisis Data .............................................................................. 111
3.5.1 Initiation .......................................................................................... 111
3.5.2 Planning the Assessment ................................................................. 112
3.5.3 Briefing ........................................................................................... 112
3.5.4 Data Collection ............................................................................... 112
3.5.5 Data Validation ............................................................................... 113
3.5.6 Process Attribute Level ................................................................... 113
3.5.7 Reporting the Result ........................................................................ 114
3.6 Instrumen Penelitian ............................................................................... 115
3.6.1 Kuesioner ........................................................................................ 115
3.6.2 Dokumentasi ................................................................................... 117
3.7 Kerangka Berpikir Penelitian ................................................................. 119
BAB IV ............................................................................................................. 107
HASIL DAN PEMBAHASAN ......................................................................... 120
4.1 Initiation ................................................................................................. 120
4.1.1 Sejarah PT. Jasa Marga (Persero), Tbk ........................................... 120
4.1.2 Logo Perusahaan ............................................................................. 122
xiii
4.1.3 Visi dan Misi PT. Jasa Marga (Persero), Tbk ................................. 123
4.1.4 Struktur Organisasi PT. Jasa Marga (Persero), Tbk ....................... 123
4.1.5 Struktur Organisasi Divisi IT .......................................................... 124
4.1.6 Tata Kelola TI PT. Jasa Marga (Persero), Tbk ............................... 128
4.1.7 Pengendalian Internal PT. Jasa Marga (Persero), Tbk .................... 130
4.2 Planning the Assessment ........................................................................ 132
4.3 Briefing ................................................................................................... 148
4.4 Data Collection ...................................................................................... 149
4.4.1 MEA01 Monitor, Evaluate and Asses Performance and Conformance .
......................................................................................................... 149
4.4.2 MEA02 Monitor, Evaluate and Asses the System of Internal Control ...
......................................................................................................... 152
4.5 Data Validation ...................................................................................... 157
4.5.1 Rekapitulasi Jawaban Kuesioner MEA01 ...................................... 157
4.5.2 Rekapitulasi Jawaban Kuesioner MEA02 ...................................... 161
4.6 Process Attribut Level ............................................................................ 169
4.6.1 Penentuan Nilai dan Tingkat Kapabilitas MEA01 ......................... 170
4.6.2 Penentuan Nilai dan Tingkat Kapabilitas MEA02 ......................... 174
4.6.3 Pencapaian Proses pada PT. Jasa Marga (Persero), Tbk ................ 180
4.7 Reporting the Result ............................................................................... 184
4.7.1 Gap dan Rekomendasi .................................................................... 185
4.7.1.1 Gap dan Rekomendasi Proses MEA01 ....................................... 185
4.7.1.2 Gap dan Rekomendasi Proses MEA02 ....................................... 190
BAB V ............................................................................................................... 120
PENUTUP ......................................................................................................... 197
5.1 Kesimpulan ............................................................................................ 197
5.2 Saran ....................................................................................................... 198
DAFTAR PUSTAKA ....................................................................................... 197
LAMPIRAN-LAMPIRAN ................................................................................. 203
xiv
DAFTAR GAMBAR
Gambar 2.1 Evolusi COBIT ........................................................................ 22
Gambar 2.2 Cakupan antara COBIT 5 dengan framework lain ................... 26
Gambar 2.3 Prinsip COBIT 5 ...................................................................... 30
Gambar 2.4 The Governance Objective: Value Creation ............................ 30
Gambar 2.5 Governance and Management Key Areas ................................ 32
Gambar 2.6 Implementasi COBIT 5 ............................................................ 34
Gambar 2.7 Model Referensi Proses ............................................................ 38
Gambar 2.8 Pemetaan Proses COBIT 5 ....................................................... 42
Gambar 2.9 Pemetaan Proses COBIT 5 ....................................................... 43
Gambar 2.10 Model Kapabilitas Proses ......................................................... 44
Gambar 2.11 RACI Chart MEA01 (Monitor, Evaluate and Assess Performance
and Conformance) ................................................................. 62
Gambar 2.12 RACI Chart MEA02 (Monitor, Evaluate and Asses the System of
Internal Control) .................................................................... 63
Gambar 2.13 Assesment Indicators ................................................................ 68
Gambar 2.14 Assesment Process Activities .................................................... 69
Gambar 2.15 Rating Scale ............................................................................. 72
Gambar 2.16 Detrtmining Capability Level ................................................... 73
Gambar 2.17 Metode Penelitian Identifikasi Masalah dalam Menentukan Proses
Domain .................................................................................. 74
Gambar 2.18 Enterprise Goals ...................................................................... 75
Gambar 2.19 Mapping COBIT 5 IT-Related Goals ....................................... 76
Gambar 2.20 Mapping COBIT 5 Process ...................................................... 78
Gambar 2.21 Hubungan GWP untuk Cpability Level .................................... 88
Gambar 2.22 Gap Kematangan Penyelarasan Strategis ................................. 100
Gambar 3.1 Kerangka Berpikir Assessment COBIT 5 ................................. 119
Gambar 4.1 Logo PT. Jasa Marga (Persero), Tbk ....................................... 122
xv
Gambar 4.2 Struktur Organisasi PT. Jasa Marga (Persero), Tbk ................. 124
Gambar 4.3 Struktur Organisasi Divisi IT ................................................... 125
Gambar 4.4 Diagram Representasi Nilai Kapabilitas MEA01 .................... 174
Gambar 4.5 Diagram Representasi Nilai Kapabilitas MEA02 .................... 180
xvi
DAFTAR TABEL
Tabel 2.1 Perbandingan Framework Tata Kelola TI .................................. 23
Tabel 2.2 Performed Process ..................................................................... 45
Tabel 2.3 Performance Management ......................................................... 46
Tabel 2.4 Work Product Management ........................................................ 48
Tabel 2.5 Process Definition ...................................................................... 49
Tabel 2.6 Process Deployment ................................................................... 51
Tabel 2.7 Process Measurement ................................................................. 54
Tabel 2.8 Process Control .......................................................................... 56
Tabel 2.9 Process Innovation ..................................................................... 58
Tabel 2.10 Process Optimisation .................................................................. 60
Tabel 2.11 Identifikasi Stakeholder Needs ................................................... 74
Tabel 2.12 Domain Hasil Pemetaan IT Goals .............................................. 79
Tabel 2.13 Penelitian Sejenis ........................................................................ 95
Tabel 2.14 Tabel Skor Skala Likert .............................................................. 104
Tabel 2.15 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas ......... 106
Tabel 3.1 Jadwal Penelitian ........................................................................ 108
Tabel 3.2 Daftar Responden ....................................................................... 109
Tabel 3.3 Dokumentasi Proses MEA01 ..................................................... 117
Tabel 3.4 Dokumentasi Proses MEA02 ..................................................... 117
Tabel 4.1 Identifikasi RACI Chart MEA01.01 .......................................... 132
Tabel 4.2 Identifikasi RACI Chart MEA01.02 .......................................... 132
Tabel 4.3 Identifikasi RACI Chart MEA01.03 .......................................... 133
Tabel 4.4 Identifikasi RACI Chart MEA01.04 .......................................... 133
Tabel 4.5 Identifikasi RACI Chart MEA01.05 .......................................... 133
Tabel 4.6 Identifikasi RACI Chart MEA02.01 .......................................... 134
Tabel 4.7 Identifikasi RACI Chart MEA02.02 .......................................... 134
Tabel 4.8 Identifikasi RACI Chart MEA02.03 .......................................... 135
xvii
Tabel 4.9 Identifikasi RACI Chart MEA02.04 .......................................... 135
Tabel 4.10 Identifikasi RACI Chart MEA02.05 .......................................... 136
Tabel 4.11 Identifikasi RACI Chart MEA02.06 .......................................... 136
Tabel 4.12 Identifikasi RACI Chart MEA02.07 .......................................... 137
Tabel 4.13 Identifikasi RACI Chart MEA02.08 .......................................... 137
Tabel 4.14 Tabel Rincian Kuesioner pada MEA01.01 ................................. 138
Tabel 4.15 Tabel Rincian Kuesioner pada MEA01.02 ................................. 139
Tabel 4.16 Tabel Rincian Kuesioner pada MEA01.03 ................................. 139
Tabel 4.17 Tabel Rincian Kuesioner pada MEA01.04 ................................. 140
Tabel 4.18 Tabel Rincian Kuesioner pada MEA01.05 ................................. 141
Tabel 4.19 Tabel Rincian Kuesioner pada MEA02.01 ................................. 142
Tabel 4.20 Tabel Rincian Kuesioner pada MEA02.02 ................................. 143
Tabel 4.21 Tabel Rincian Kuesioner pada MEA02.03 ................................. 144
Tabel 4.22 Tabel Rincian Kuesioner pada MEA02.04 ................................. 145
Tabel 4.23 Tabel Rincian Kuesioner pada MEA02.05 ................................. 146
Tabel 4.24 Tabel Rincian Kuesioner pada MEA02.06 ................................. 146
Tabel 4.25 Tabel Rincian Kuesioner pada MEA02.07 ................................. 147
Tabel 4.26 Tabel Rincian Kuesioner pada MEA02.08 ................................. 147
Tabel 4.27 Jadwal Penelitian ........................................................................ 149
Tabel 4.28 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.01 .. 157
Tabel 4.29 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.02 .. 158
Tabel 4.30 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.03 .. 159
Tabel 4.31 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.04 .. 160
Tabel 4.32 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.05 .. 161
Tabel 4.33 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.01 .. 162
Tabel 4.34 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.02 .. 163
Tabel 4.35 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.03 .. 164
Tabel 4.36 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.04 .. 165
Tabel 4.37 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.05 .. 166
Tabel 4.38 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.06 .. 167
Tabel 4.39 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.07 .. 167
xviii
Tabel 4.40 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.08 .. 168
Tabel 4.41 Tingkat Kapabilitas MEA01 ....................................................... 173
Tabel 4.42 Tingkat Kapabilitas MEA02 ....................................................... 179
Tabel 4.43 Tabel Proses MEA01 PA 1.1 Process Performance .................. 181
Tabel 4.44 Tabel Proses MEA02 PA 1.1 Process Performance .................. 182
Tabel 4.45 Gaps dan Rekomendasi Proses MEA01.01 ................................ 186
Tabel 4.46 Gaps dan Rekomendasi Proses MEA01.02 ................................ 187
Tabel 4.47 Gaps dan Rekomendasi Proses MEA01.03 ................................ 188
Tabel 4.48 Gaps dan Rekomendasi Proses MEA01.04 ................................ 188
Tabel 4.49 Gaps dan Rekomendasi Proses MEA01.05 ................................ 189
Tabel 4.50 Gaps dan Rekomendasi Proses MEA02.01 ................................ 191
Tabel 4.51 Gaps dan Rekomendasi Proses MEA02.02 ................................ 192
Tabel 4.52 Gaps dan Rekomendasi Proses MEA02.03 ................................ 192
Tabel 4.53 Gaps dan Rekomendasi Proses MEA02.04 ................................ 193
Tabel 4.54 Gaps dan Rekomendasi Proses MEA02.05 ................................ 194
Tabel 4.55 Gaps dan Rekomendasi Proses MEA02.06 ................................ 195
Tabel 4.56 Gaps dan Rekomendasi Proses MEA02.07 ................................ 195
Tabel 4.57 Gaps dan Rekomendasi Proses MEA02.08 ................................. 196
i
1
BAB I
PENDAHULUAN
Bab ini membahas mengenai latar belakang permasalahan, identifikasi
masalah, rumusan masalah, batasan masalah, tujuam penelitian, metodologi
penelitian dan sistematika penulisan yang dilakukan oleh penulis.
1.1 Latar Belakang
Perkembangan teknologi informasi (TI) saat ini dipandang sebagai media
pendukung suatu organisasi atau perusahaan dalam mencapai tujuan bisnis dan
membuat teknologi informasi diharuskan untuk dapat berbaur dalam setiap proses
bisnis dari organisasi (Hilmawan, 2015). Organisasi atau perusahaan
menempatkan teknologi informasi sebagai suatu hal yang dapat mendukung
pencapaian rencana strategis perusahaan untuk mencapai visi, misi dan tujuan
organisasi atau perusahaan tersebut (Candra & Atastina, 2015). Teknologi
informasi yang diterapkan perlu diatur dengan baik agar dapat sejalan dengan
pencapaian strategi bisnis. Untuk mengatur penerapan teknologi informasi,
dikembangkan suatu cara untuk melakukan pengelolaan terhadap teknologi
informasi yaitu dengan tata kelola TI (IT Governance).
Tata kelola TI adalah kumpulan kebijakan, proses aktivitas dan prosedur
untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis
atau strategi organisasi (Oltsik, 2009). Tata kelola TI merefleksikan adanya
penerapan prinsip-prinsip organisasi dengan fokus kepada kegiatan manajemen
2
dan penggunaan TI untuk pencapaian organisasi (Weill & Ross, 2007).Dapat
disimpulkan bahwa tata kelola teknologi informasi adalah suatu sistem untuk
mengarahkan atau mengontrol organisasi untuk mencapai tujuannya dengan
menambahkan suatu teknologi informasi dalam prosesnya.
Berdasarkan Keputusan Menteri Badan Usaha Milik Negara (BUMN)
mengenai tata kelola perusahaan yang baik Good Corporate Governance (GCG)
yang tercantum pada Peraturan Menteri BUMN No. PER-01/MBU/2011 tanggal 1
Agustus 2011 tentang penerapan tata kelola yang baik pada BUMN yang
menyebutkan bahwa “BUMN wajib menerapkan tata kelola secara konsisten dan
berkelanjutan serta menjalankan operasional perusahaan dengan berpegang pada
prinsip-prinsip GCG, yaitu transparansi, akuntabilitas, responsibilitas,
independensi dan kewajaran”. Hal ini dilakukan untuk meningkatkan efisiensi dan
efektivitas teknologi informasi untuk meningkatkan nilai dari penerapan teknologi
informasi.
PT. Jasa Marga (Persero), Tbk merupakan suatu perusahaan Badan Usaha
Milik Negara (BUMN) yang berperan penting dalam pengadaan jalan bebas
hambatan yang ada di Indonesia. Dengan melihat kepada Peraturan Menteri
BUMN yang telah disebutkan sebelumnya, maka PT. Jasa Marga (Persero), Tbk
saat ini sedang berusaha menerapkan tata kelola TI secara optimal. Dapat
diketahui melalui salah satu misi PT. Jasa Marga (Persero), Tbk adalah
meningkatkan mutu dan efisiensi jasa pelayanan tol melalui penggunaan teknologi
yang optimal dan penerapan kaidah-kaidah manajemen perusahaan modern
3
dengan tata kelola yang baik. Dan unit kerja yang bertugas dalam tata kelola TI di
PT. Jasa Marga (Persero), Tbk adalah Divisi IT (Information Technology).
Adapun sebagai acuan pada Peraturan Menteri BUMN Republik Indonesia
Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi BUMN Nomor
PER-02/MBU/2013 Pasal 2 (ayat 1) yang menjelaskan Pemanfaatan dan
Pengembangan Teknologi Informasi BUMN dilakukan berdasarkan pada tata
kelola teknologi informasi dan pada (ayat 2) Tata kelola teknologi informasi
sebagaimana dimaksud pada ayat (1), disusun dan ditetapkan oleh Direksi dengan
mengacu pada Good Coorporate Governance (GCG) dan sesuai Framework tata
kelola teknologi informasi. Sehingga saat ini Divisi IT telah menerapkan standar
dalam pelaksanaan tata kelola TI di PT. Jasa Marga (Persero), Tbk yaitu antara
lain pembuatan Pedoman dan Standar Tata Kelola TI yang dikembangkan dengan
framework COBIT 4.1.
Dalam observasi dan wawancara yang peneliti lakukan kepada Ibu Diah Eka
yang merupakan senior specialist IT control & monitoring di Divisi IT PT. Jasa
Marga (Persero), Tbk, ditemukan beberapa masalah terkait pelaksanaan tata kelola
TI di PT. Jasa Marga (Persero), Tbk. Masalah pertama adalah kurang optimalnya
penggunaan Pedoman dan Standar Tata Kelola TI yang merupakan turunan dari
Kebijakan Tata Kelola Perusahaan di PT. Jasa Marga (Persero), Tbk, dimana
adanya indikasi ketidak patuhan pegawai terhadap peraturan atau kebijakan yang
tercantum dalam Pedoman dan Standar Tata Kelola TI tersebut yang
mengakibatkan kesenjangan antara tujuan dan kinerja TI. Salah satu contohnya,
yang tertulis pada Pedoman dan Standar Tata Kelola TI dimana bagian IT
4
Operation pada Divisi IT yang bertanggung jawab dalam pembangunan,
pengembangan dan pengawasan sistem informasi yang ada di perusahaan.
Sementara, berdasarkan kondisi lapangan, departemen atau divisi lain dapat
membuat atau membeli aplikasi baru tanpa harus koordinasi maupun komunikasi
dengan Divisi IT. Hal ini mengakibatkan aplikasi yang diterapkan seringkali tidak
sesuai dengan standar perusahaan dan menjadikan kurang maksimalnya
pemanfaatan sumber daya TI yang ada.
Masalah lain yang terjadi adalah mengenai kegiatan pengawasan atau
monitoring yang ada pada Divisi IT, dimana pengawasan hanya dilakukan setelah
ada keluhan dari user mengenai kinerja TI yang bermasalah. Hal ini menyebabkan
masalah yang terjadi seringkali tidak dapat terdefinisi dengan benar sehingga sulit
dalam pemberian solusi dan merencanakan perbaikan. Hal ini juga berpengaruh
pada tingkat keberhasilan pelaksanaan suatu program kerja, dimana pada kegiatan
pengadaan program kerja TI, analisis dan evaluasi baru dilakukan ketika program
kerja tersebut tidak dapat mencapai tujuan yang telah direncanakan sehingga
sering terjadi keterlambatan waktu dalam setiap tahapan pengerjaan program,
bahkan beberapa program pada akhirnya tidak terealisasikan. Hal ini
menyebabkan pelaksanaan program lainnya menjadi terhambat.
Menurut Peraturan Menteri BUMN No. PER-01/MBU/2011 Pasal 44 (1)
yang menyebutkan bahwa “BUMN wajib melakukan pengukuran atas kualitas
penerapan GCG yang dilaksanakan berkala setiap 2 (dua) tahun dalam 2 bentuk
yaitu 1) Penilaian (assessment) atas pelaksanaan GCG dan 2) Evaluasi (review)
atas tindak lanjut rekomendasi perbaikan hasil penilaian sebelumnya”.
5
Berdasarkan peraturan tersebut Evaluasi Tata Kelola TI sudah dilakukan di
beberapa perusahaan BUMN seperti PT. Kereta Api Indonesia dan PT. Angkasa
Pura yang bertujuan untuk mengukur tingkat implementasi praktik tata kelola TI
sekaligus mendapatkan rekomendasi untuk perbaikannya di masa mendatang.
Sehingga untuk mengatasi permasalahan terkait pelaksanaan tata kelola yang telah
dijelaskan di atas, PT. Jasa Marga (Persero), Tbk memerlukan suatu evaluasi guna
mengetahui tingkat kepatuhan pegawai terhadap peraturan dan kebijakan internal
serta melihat sejauh mana tingkat pengawasan terhadap kinerja TI yang
berpengaruh pada keberhasilan dan kesesuaian suatu kinerja.
Tata kelola teknologi informasi mempunyai banyak tools untuk melakukan
penilaian dan pengukuran indikator dalam membantu organisasi mengelola
penggunaan TI mereka, seperti International Standards Organization (ISO),
Information Technology Infrastructure Library (ITIL), Projects in Controlled
Environments (PRINCE) dan Control Objectives for Information and Technology
(COBIT) (Jogiyanto, 2011). Pada penelitian ini peneliti menggunakan framework
COBIT 5 sebagai tools untuk melakukan evaluasi tata kelola TI. Peneliti memilih
COBIT 5 karena menurut ISACA dalam modul Framework yang membantu
perusahaan dalam memenuhi sasaran mereka untuk tata kelola dan manajem TI
perusahaan (ISACA, 2012). COBIT 5 sudah mendefinisikan dan menjelaskan
secara rinci mengenai tata kelola dan manajemen proses. Dimana manajemen
proses tersebut sudah mewakili semua proses yang biasa ditemukan dalam suatu
perusahaan terkait kegiatan pengelolaan TI.
6
Pada framework COBIT 5 untuk menentukan proses yang akan dikaji lebih
lanjut dalam penelitian, perlu dilakukan tahapan mapping terhadap IT-related
goal dengan melihat fakta-fakta yang ada di PT. Jasa Marga (Persero), Tbk.
Berdasarkan masalah yang telah disebutkan, maka peneliti mengusulkan
melakukan evaluasi tata kelola TI pada proses MEA01 (Monitor, Evaluate and
Asses Performance and Conformance) dan MEA02 (Monitor, Evaluate and Asses
the System of Internal Control). Sehingga Divisi IT PT. Jasa Marga (Persero), Tbk
mampu mengetahui tingkat kapabilitas kinerja dan kesesuaian serta pengendalian
internal dalam pengelolaan tata kelola TI.
Berdasarkan uraian di atas, maka penulis bermaksud akan melakukan
penelitian yang berjudul “Evaluasi Tata Kelola Teknologi Informasi
Menggunakan Framework COBIT 5 Pada PT. Jasa Marga (Persero), Tbk”.
1.2 Rumusan Masalah
Berdasarkan latar belakang yang telah diuraikan di atas, maka dapat diidentifikasi
permasalahan yang ada pada PT. Jasa Marga (Persero), Tbk adalah sebagai
berikut:
1) Adanya indikasi ketidakpatuhan pegawai terhadap peraturan dan
kebijakan yang berlaku di perusahaan yang mengakibatkan
kesenjangan antara tujuan dan kinerja TI.
2) Kurang terdokumentasinya beberapa kegiatan terkait dengan program
dan layanan TI sehingga sulit dilakukan evaluasi apabila terjadi
masalah dengan kegiatan tersebut.
7
3) Pengawasan dan evaluasi terhadap kinerja TI hanya dilakukan jika ada
keluhan dari user mengenai kinerja TI sehingga penyebab masalah
tidak terdefinisi dengan benar.
4) Seringkali terjadi keterlambatan waktu dalam penyelesaian setiap
tahapan pengerjaan program kerja TI sehingga menyebabkan
terhambatnya pelaksanaan program kerja lainnya.
5) Belum pernah dilakukan evaluasi tata kelola TI pada PT. Jasa Marga
(Persero), Tbk menggunakan framework COBIT 5.
Berdasarkan identifikasi masalah yang telah dijelaskan di atas, maka hal ini
menarik untuk dapat dilakukan penelitian, sehingga peneliti melakukan evaluasi
tata kelola TI. Harapan dari penelitian ini adalah dapat menjadi bahan
pertimbangan bagi manajemen strategis untuk mempertimbangkan pembaharuan
atau penambahan kebijakan dan prosedur pada pedoman dan standar tata kelola TI
yang berlaku. Serta dapat menjadi kelanjutan dari penelitian mengenai tata kelola
yang berada disuatu perusahaan.
1.3 Ruang Lingkup dan Batasan Penelitian
Adapun ruang lingkup dan batasan dalam penelitian ini adalah sebagai berikut:
1) Penelitian ini dilakukan untuk mengetahui capability level terhadap
penerapan tata kelola TI di PT. Jasa Marga (Persero), Tbk khususnya
pada Divisi IT.
8
2) Evaluasi tata kelola teknologi informasi ini menggunakan kerangka
kerja (framework) COBIT 5 (ISACA, 2012) yang berfokus pada
domain MEA01 (Monitor, Evaluate and Asses Performance and
Conformance) dan MEA02 (Monitor, Evaluate and Asses the System
of Internal Control).
3) Tahapan yang digunakan pada evaluasi ini adalah Assessment Process
Activities yang meliputi Initiation, Planning the Assessment, Briefing,
Data Collection, Data Validation, Process Attribute Level dan
Reporting the Result (ISACA, 2012).
4) Teknik yang digunakan untuk pengambilan sampel adala teknik
purposiive sampling (Sugiyono, 2010) dengan kriteria berdasarkan
RACI Chart COBIT 5 (ISACA, 2012).
5) Skala pengukuran capability level pada penelitian ini menggunakan
skala Likert (Sugiyono, 2009) dan Rating Scale (ISACA, 2012).
1.4 Tujuan Penelitian
Tujuan dari dilaksanakannya penelitian ini dengan menggunakan framework
COBIT 5 pada proses MEA01 dan MEA02 adalah:
1) Mengetahui capability level kondisi saat ini dan kondisi yang
diharapkan pada proses MEA01 (Monitor, Evaluate and Asses
Performance and Conformance) dan MEA02 (Monitor, Evaluate and
Asses the System of Internal Control) COBIT 5 di PT. Jasa Marga
(Persero), Tbk.
9
2) Mengetahui gap yang ada pada proses MEA01 (Monitor, Evaluate
and Asses Performance and Conformance) dan MEA02 (Monitor,
Evaluate and Asses the System of Internal Control) COBIT 5 di PT.
Jasa Marga (Persero), Tbk.
3) Mengetahui faktor-faktor yang mempengaruhi belum optimalnya
pengimplementasian tata kelola TI di PT. Jasa Marga (Persero), Tbk.
1.5 Manfaat Penelitian
Adapun manfaat penelitian yang dilakukan adalah sebagai berikut:
1) Memahami langkah-langkah dalam melakukan evaluasi tata kelola
teknologi informasi dengan framework COBIT 5.
2) Memahami proses dan kondisi tata kelola teknologi informasi yang
terdapat pada PT. Jasa Marga (Persero), Tbk.
3) Memberikan pemahaman dalam mengukur capability level dari tata
kelola teknologi informasi pada proses MEA01 (Monitor, Evaluate
and Asses Performance and Conformance) dan MEA02 (Monitor,
Evaluate and Asses the System of Internal Control).
4) Diharapkan dapat memberikan rekomendasi untuk menjadi salah satu
referensi acuan bagi perusahaan dalam memperbaiki tata kelola
teknologi informasi sesuai dengan framework COBIT 5.
10
1.6 Pertanyaan Penelitian
Berdasarkan identifikasi masalah dan tujuan pada penelitian ini, maka pertanyaan
penelitian dalam hal ini:
1) Bagaimana melakukan evaluasi tata kelola teknologi informasi di PT.
Jasa Marga (Persero), Tbk menggunakan framework COBIT 5 dengan
fokus pada kepatuhan pegawai dan kesesuaian kinerja melalui domain
MEA01 (Monitor, Evaluate and Asses Performance and
Conformance) dan MEA02 (Monitor, Evaluate and Asses the System
of Internal Control)?
1.7 Metodologi Penelitian
Metode penelitian merupakan sekumpulan peraturan, prosedur yang digunakan
peneliti untuk memperoleh informasi dengan tujuan dan kegunaan tertentu
(Sugiyono, 2010). Pada penelitian ini metode penelitian yang digunakan terdiri
dari:
1.7.1 Teknik Pengumpulan Data
Pada penelitian ini dilakukan pengumpulan data. Data yang digunakan yaitu:
1) Data primer adalah data yang diperoleh langsung di lapangan, yaitu:
a. Observasi
Peneliti mengumpulkan data dengan cara mengamati secara
langsung terhadap kegiatan yang berlangsung di PT. Jasa Marga
(Persero), Tbk guna mendapatkan informasi terkait evaluasi tata
kelola teknologi informasi.
11
b. Wawancara
Wawancara dilakukan dengan mengajukan pertanyaan untuk
menggali berbagai informasi mengenai permasalahan dan
kebutuhan pada pengelolaan TI di PT. Jasa Marga (Persero),
Tbk.
c. Kuesioner
Kuesioner yang digunakan pada penelitian ini menggunakan
skala pengukuran likert, dengan pertanyaan yang mengacu pada
aktivitas yang terdapat pada Key Management Practice proses
MEA01 (Monitor, Evaluate and Asses Performance and
Conformance) dan MEA02 (Monitor, Evaluate and Asses the
System of Internal Control) COBIT 5.
2) Data Sekunder adalah data yang diperoleh dari sumber yang telah ada
yang berhubungan dengan topik dan permasalahan pada penelitian,
yaitu:
a. Studi Pustaka
Peneliti melakukan studi pustaka dengan mempelajari teori-teori
dan penelitian sebelumnya yang berkaitan dengan evaluasi tata
kelola teknologi informasi.
1.7.2 Teknik Analisis Data
Dalam penelitian ini, penulis menggunakan teknik analisis data berdasarkan
COBIT 5 Assessment Process Activities, yaitu menajemen proyek dasar dari
12
best practce dan memberikan penilaian pada enam tahap untuk menjamin
hasil evaluasi sesuai bisnis pada tujuan bisnis (ISACA, 2012). Berikut poses
capability dalam melakukan evaluasi tujuh tahap yang berkelanjutan:
1) Initiation
Pada tahapan ini, peneliti melakukan pengumpulan data primer
berupa informasi tekait tata kelola teknologi informasi yang
terdapat pada PT. Jasa Marga (Persero), Tbk.
2) Planning the Assesment
Tahap ini adalah dengan melakukan perencanaan penilaian
capability level, yaitu dengan membuat kuesioner dengan skala
pengukuran Likert.
3) Briefing
Pada tahapan ini, peneliti memberikan arahan kepada responden
berkaitan dengan tahapan yang akan dilakukan dalam proses
evaluasi.
4) Data Collection
Peneliti melakukan pengumpulan data berupa hasil temuan yang
ditemukan di PT. Jasa Marga (Persero), Tbk.
5) Data Validation
Pada tahapan ini, peneliti melakkan pengolahan data serta
rekapitulasi jawaban sebagai bentuk validasi data dari hasil
kuesioner yang telah diisi oleh responden.
13
6) Process Attribute Level
Tahap ini peneliti melakukan perhitunngan hasil rekapitulasi
jawaban dari tahapan sebelumnya, guna mendapatkan capability
level yang terdapat pada PT. Jasa Marga (Persero), Tbk.
7) Reporting the Result
Pada tahapan terakhir, peneliti melaporkan hasil evaluasi berupa
hasil temuan dan analisa gap yang ditemukan serta usulan
rekomendasi yang diberikan kepada PT. Jasa Marga (Persero),
Tbk.
1.8 Sistematika Penulisan
Sistematika penulisan skripsi terbagi dalam 5 (lima) bab. Isi dari masing-masing
bab adalah sebagai berikut:
BAB I PENDAHULUAN
Bab ini akan dibahas mengenai latar belakang, rumusan
masalah, ruang lingkup, tujuan yang hendak dicapai, manfaat
yang diharapkan, metode penelitian serta sistematika penulisan
dari masing-masing bab.
BAB II LANDASAN TEORI
Bab ini akan dibahas mengenai teori-teori umum maupun teori
khusus yang berhubungan dengan penelitian dan hasil penelitian
14
atau produk sebelumnya. Teori-teori ini akan digunakan sebagai
dasar dalam pemecahan masalah.
BAB III METODOLOGI PENELITIAN
Bab ini menguraikan tentang metodologi yang digunakan dalam
pelaksanaan dan analisis penelitian yang mencakup metode
pengumpulan data dan metode analisis data dalam usulan model
tata kelola TI.
BAB IV HASIL DAN PEMBAHASAN
Bab ini akan dibahas mengenai profil PT. Jasa Marga (Persero),
Tbk secara singkat serta pembahasan dari hasil analisis tata
kelola teknologi informasi yang berisi hasil temuan dan
rekomendasi model tata kelola TI dengan menggunakan
framework COBIT 5.
BAB V PENUTUP
Bab ini merupakan penutup yang berisi kesimpulan dari uraian
hasil penelitian serta dan kesimpulan dari batasan hasil
penelitian ini serta saran untuk peneliti selanjutnya.
1
15
BAB II
LANDASAN TEORI
Bab ini membahas mengenai definisi dan teori-teori yang digunakan sebagai
acuan atau dasar dalam penelitian yang berhubungan dengan bidang Tata Kelola
TI dengan menggunakan framework COBIT 5 yang berfokus pada MEA01
(Monitor, Evaluate and Assess Performance and Conformance) dan MEA02
(Monitor, Evaluate and Assess The System of Internal Control).
2.1 Evaluasi Tata Kelola Teknologi Informasi
2.1.1 Evaluasi
Evaluasi adalah pemberian nilai terhadap kualitas sesuatu. Selain dari itu, evaluasi
juga dapat dipandang sebagai proses merencanakan, memperoleh dan
menyediakan informasi yang sangat diperlukan untuk membuat alternatif-
alternatif keputusan (Purwanto, 2007).
Evaluasi merupakan kegiatan yang terencana untuk mengetahui keadaan
sesuatu objek menggunakan instrumen dan hasilnya dibandingkan dengan tolak
ukur untuk memperoleh kesimpulan (Yunanda, 2009).
Dari penjelasan di atas dapat disimpulkan bahwa evaluasi adalah penilaian
terhadap kinerja suatu objek guna memperoleh informasi yang nantinya akan
digunakan untuk memperbaiki hal-hal yang memang perlu diperbaiki melalui
suatu rekomendasi solusi.
16
2.1.2 Teknologi Informasi
Teknologi informasi adalah istilah umum yang menjelaskan teknologi apapun
yang membantu manusia dalam membuat, mengubah, menyimpan,
mengkomunikasikan dan atau menyebarkan informasi. Teknologi informasi
menyaukan komputasi dan komunikasi berkecepatan tinggi untuk suara, data dan
video (Williams et al, 2007).
Teknologi Informasi merupakan penerapan teknologi komputer yang berupa
perangkat keras dan perangkat lunak untuk menciptakan, menyimpan, pertukaran
dan menggunakan informasi dalam berbagai bentuk (Fauziyah, 2010). Saat ini
teknologi informasi sudah banyak diterapkan diberbagai organisasi. Keberhasilan
penerapan TI pada suatu organisasi berarti organisasi tersebut telah menerapkan
beberapa inovasi-inovasi TI untuk mendapatkan keuntungan di organisasi mereka
(Huda & Hussin, 2016). Penggunaan TI dapat membantu organisasi untuk
mempromosikan proesionalismenya jika dilakukan dengan cara yang benar,
menambah nilai organisasi, membantu menyelesaikan masakah, memberikan
edukasi dan lain-lain (Huda & Hidayah, 2015).
2.1.3 Tata Kelola Teknologi Informasi
Tata kelola teknologi informasi adalah bagian yang terintegrasi dari pengelolaan
perusahaan yang mencakup kepemimpinan, struktur serta proses organisasi yang
memastikan bahwa teknologi informasi perusahaan dapat dipergunakan dalam
mempertahankan dan memperluas strategi dan tujuan organisasi (Surendro, 2009).
17
Tata kelola teknologi informasi akan memungkinkan organisasi
mendapatkan keuntungan penuh dari informasi yang dimilikinya, sehingga
memaksimalkan manfaat, mengkapitalisasi peluang dan mendapatkan keuntungan
kompetitif. Tata kelola teknologi informasi juga mengidentifikasi kelemahan
kontrol dan menjamin adanya implementasi perbaikan yang dapat terukur secara
efisien dan efektif (Surendro, 2009).
Tata kelola teknologi informasi adalah sistem dimana TI dalam perusahaan
diarahkan dan dikontrol. Struktur tata kelola TI menentukan pembagian hak dan
tanggung jawab antar pihak yang berbeda, seperti direktur, manager bisnis dan
manajer TI dan mendefinisikan berbagai aturan dan prosedur untuk membuat
keputusan TI (Brand dan Boonen, 2007).
Berdasarkan definisi di atas dapat disimpulkan bahwa tata kelola teknologi
informasi adalah usaha yang dilakukan oleh organisasi untuk menjamin
pengelolaan teknologi informasi agar selaras dengan strategi bisnis dengan cara
penilaian kapasitas organisasi yang dilakukan oleh dewan direksi, manajemen
eksekutif atau manajemen teknologi informasi.
2.1.4 Tujuan dan Kegunaan Tata Kelola Teknologi Informasi
Kegunaan tata kelola teknologi informasi adalah untuk mengatur penggunaan TI,
serta untuk memastikan kinerja teknologi informasi sesuai dengan tujuan berikut
(Surendro, 2009):
1) Keselarasan TI dengan perusahaan dan realisasi keuntungan-
keuntungan yang dijanjikan dari penerapan TI.
18
2) Penggunaan TI agar memungkinkan perusahaan mengeksploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3) Penggunaan sumber daya TI yang bertanggung jawab.
4) Penanganan manajemen resiko yang terkait TI secara cepat.
2.2 Kerangka Kerja (Framework) Tata Kelola Teknologi Informasi
Tata kelola teknologi informasi memiliki berbagai standard dalam melakukan
penilaian dan pengukuran indikator untuk membantu organisasi dalam mengelola
teknologi informasi mereka, seperti: Information Technology Infrastructure
Library (ITIL), International Standards Organization (ISO) 17799 (ISO, 2005),
The Open Group Architecture Freamework (TOGAF), Committee of Sponsoring
Organization of the Treadway Commission (COSO) dan Control Objectives for
Information and related Technology (COBIT) (ITGI, 2007). Perkembangan TIK
saat ini masih membutuhkan framework atau panduan yang dapat dipercaya dan
mencakup berbagai sudut pandang yang mudah dipahami serta sederhana untuk
dapat mengukur kinerja yang dicapai oleh suatu proyek dan satu dari
tantangannya adalah bagaimana TIK membangun proyek yang dapat mengatur
lebih baik untuk dapat meningkatkan kesempatan dari kesuksesan proyek tersebut
(Subiyakto dan Ahlan, 2013).
2.2.1 Information Technology Infrastructure Library (ITIL)
Information Technology Infrastructure Library (ITIL) adalah seperangkat konsep
dan praktik untuk mengelola layanan TI, pengembangan dan operasi TI. ITIL
19
memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar
komprehensif tugas dan prosedur yang di dalamnya setiap organisasi dapat
menyesuaikan dengan kebutuhannya sendiri (Jogiyanto & Abdillah, 2011).
ITIL merupakan standar yan dikeluarkan pemerintah United Kingdom (UK)
sebagai kerangka kerja yang diacu oleh best practice proses dan prosedur
manajemen operasional. Pada dasarnya kerangka kerja ITIL bertujuan secara
berkelanjutan meningkatkan efisiensi operasional TI dan kualitas layanan
pelanggan, Kerangka yang diberikan belum memberikan panduan pengelolaan TI
yang memenihi kebutuhan di tingkat yang lebih tinggi (high level objective)
diperusahaan seperti kerangka kerja pada COBIT (Sarno, 2009).
2.2.2 International Standards Organization (ISO)
ISO (The International Organization for Standardization) bertujuan memperkuat
tiga elemen dasar keamanan informasi, yaitu (1) Confidentiality, memastikan
bahwa informasi hanya dapat diakses oleh yang berhak; (2) Integrity, menjaga
akurasi dan selesainya informasi dan metode pemrosesan; serta (3) Availability,
memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi
dan aset yang terhubung dengannya ketika memerlukannya (Kaban, 2009).
Namun ISO memiliki kelemahan dimana ISO adalah suatu pedoman yang
berdiri sendiri atau tidak terintegrasi dengan rerangka sistem tata kelola TI yang
lebih luas. Oleh karena itu, ISO lebih tepat digunakan untuk kepentingan teknis,
tidak digunakan sebagai pedoman umum dalam tata kelola TI. ISO diletakan pada
level operasional (Jogiyanto & Abdillah, 2011).
20
2.2.3 Committee of Sponsoring Organization of the Treadway Commission
(COSO)
COSO (Committee of Sponsoring Organization of the Treadway Commission)
merupakan sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan
kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate
governance (Jogiyanto & Abdillah, 2011).
COSO dapat diterjemahkan sebagi pengendalian internal yaitu suatu proses
yang dipengaruhi oleh dewan komisaris suatu entitas, manajemen dan personel
lain, dirancang untuk menyediakan keyakinan yang memadai berkaitan dengan
pencapaian tujuan dalam beberapa kategori (Gondodiyoto, 2007). Kategori
tersebut yaitu:
1) Efektifitas dan efisiensi kegiatan.
2) Keandalan pelaporan keuangan.
3) Ketaatan pada peraturan dan ketentuan yang berlaku.
2.2.4 Control Objective for Information and related Technology (COBIT)
Control Objective for Information and related Technology (COBIT) merupakan a
set o best practices (framework) bagi pengelolaan teknologi informasi (IT
Management) yang disusun oleh The IT Governance Institute (ITGI). Secara
definisi COBIT adalah sekumpulan teknologi best practices untuk IT governanc
yang dapat membantu auditor, pengguna (user) dan manajemen untuk
menjembatani gap antara risiko bisnis, kebutuhan kontrol dan masalah-masalah
teknis TI (Gondodiyoto, 2007).
21
COBIT menyediakan standar dalam kerangka kerja domain yang terdiri dari
sekumpulan proses TI yang mempresentasikan aktivitas yang dapat dikendalikan
dan terstruktur. Kerangka kerja COBIT mennyediakan keterkaitan yang jelas
antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Dengan
demikian, COBIT mendukung tata kelola TI dengan penyediaan kerangka kerja
yang memastikan bahwa: TI selaras dengan kebutuhan bisnis, TI yang
mendukung bisnis dengan lebih baik dan mampu memaksimumkan manfaat,
penggunaan sumber daya TI yang bertanggung jawab serta resiko TI dikelola
dengan tepat (Sarno, 2009).
COBIT bermanfaat bagi auditor karena merupakan teknik yag dapat
membantu dalam identifikasi IT control issues. Sedangkan para manajer
memperoleh manfaat dalam keputusan investasi di bidang TI serta
infrastrukturnya, menyusun strategic IT plan, menentukan information
architecture, dan keputusan atas procurement (pengadaan/pembelian). Disamping
itu, dengan keterandalan sistem informasi yang ada pada perusahaannya
diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada
(Gondodiyoto, 2007).
ITGI mengambil peranan yang penting dalam pengembangan publikasi.
Hanya berselang dua tahun kemudian dengan tambahan baru COBIT ingin terus
membangun dirinya sebagai kerangka kerja yang berlaku umum untuk tata kelola
TI pada perusahaan. Pada 2007 rilis COBIT versi 4.1 yang kemudian dilakukan
penambahan dengan Val (Value) IT 2.0 yakni, nilai investasi dengan TI dan Risk
IT, yakni resiko penggunaan dengan TI. Dan saat ini yang terakhir adalah COBIT
22
5 yang melengkapi seluruh cakupan pada versi COBIT yang sebelumnya.
Menjadikan COBIT 5 sebagai suatu framework yang melihat pada tujuan bisnis
nilai tata kelola pada TI yang digunakan pada perusahaan (ISACA, 2012).
Gambar 2.1 Evolusi COBIT (ISACA,2012)
COBIT 5 merupakan generasu terbaru dari panduan ISACA yang
membahas mengenai tata kelola dan manajemen TI. COBIT dibuat berdasarkan
pengalaman penggunaab COBIT selama lebih dari 15 tahun oleh banyak
perusahaan dan pengguna dari bidang bisnis, komunitas TI, risiko, asuransi dan
keamanan.
2.2.5 Perbandingan COBIT Dengan Framerwork Lain
Berikut ini perbandingan framework Control Objective for Information and
Related Technology (COBIT) dengan framework lain, yaitu Information
Technology Infrastructure Library (ITIL), International Standards Organization
(ISO) 17799 dan Committee of Sponsoring Organization of the Treadway
Commission (COSO) (Jogiyanto, 2011) dan (Kaban, 2009):
23
Tabel 2.1 Perbandingan Framework Tata Kelola TI
Framework
Tata Kelola
TI
Keunggulan Kekurangan
ITIL
1) ITIL berokus pada pelayanan
costumer.
2) ITIL membantu implementasi dari
sebuah kerangka kerja untuk
pengelolaan layanan teknologi
informasi.
1) ITIL tidak terlalu fokus pada
proses penyelarasan strategi
perusahIaan dengan
pengelolaan TI.
2) ITIL tidak melakukan
pengawasan yang akan
memastikan kesesuaian
pengelolaan TI dengan
keadaan perusahaan di masa
yang akan datang.
ISO 17799
1) ISO bersifat lebih rinci dibanding
COBIT dalam sistem tata kelola
keamanan informasi.
2) ISO dikatakan bersifat teknis,
sehingga lebih cenderung menjadi
pilihan bagi manajer TI dan
manajer keamanan informasi.
3) ISO memberi petunjuk struktur dan
konten kebijakan keamanan
informasi.
1) ISO menjadi pedoman yang
berdiri sendiri atau tidak
terintegrasi dengan kerangka
sistem tata kelola TI yang
lebih luas.
2) ISO lebih tepat digunakan
untuk kepentingan teknis,
tidak digunakan sebagai
pedoman umum dalam sistem
tata kelola organisasi.
COSO
1) COSO okus kepada proses
penyelarasan TI dengan strategi
perusahaan.
2) COSO fokus dalam hal desain dan
implementasi TI.
1) COSO tidak melakukan
pengawasan yang akan
memastikan kesesuaian
pengelolaan TI dengan
keadaan perusahaan di masa
yang akan datang.
COBIT
1) COBIT mempunyai spektrum
proses TI yang lebih luas dan lebih
mendetil.
2) COBIT membantu dalam
memahami sistem TI melalui
pengembangan model tata kelola
TI.
3) COBIT membantu manajemen
dalam mendeinisikan rencana
strategis TI, mendefinisikan
informasi, arsitektur dan
pemantauan kinerja sistem TI.
4) COBIT membantu
mengidentifikasi isu-isu kendali TI
dalam infrastruktur TI perusahaan.
1) COBIT kurang memberikan
informasi yang lebih
terperinci bila dibandingkan
dengan ISO dalam tata kelola
di bidang keamanan.
24
Berdasarkan hasil perbandingan tersebut, maka penulis memilih COBIT
sebagai framework yang digunakan untuk melakukan evaluasi tata kelola
teknologi informasi pada Divisi IT PT. Jasa Marga (Persero), Tbk. Hal tersebut
dikarenakan COBIT mempunyai pembahasan proses TI yang lebih luas dan
mendetail serta mewakili hampir keseluruhan proses yang biasa ditemukan di
perusahaan terkait kegiatan TI, seperti proses TI terhadap inovasi TI, resiko TI,
strategi TI, manajemen TI, pengawasan TI hingga sumber daya manusia selaku
pengguna TI. Selain itu, penggunaan COBIT dapat mendukung penyelarasan
antara TI dengan kebutuhan bisnis perusahaan (Sarno, 2009). Sehingga, pemilihan
framework COBIT tersebut, diharapkan dapat memberikan usulan rekomendasi
terhadap permasalahan yang ditemukan.
2.3 Perbedaan COBIT 5 dan COBIT 4.1
Terdapat perbedaan diantara COBIT 5 dengan versi COBIT sebelumnya yaitu
COBIT 4.1 (ISACA, 2012), yaitu:
1) Prinsip baru dalam tata kelola TI organisasi yaitu Governance of
Enterprise IT (GEIT). COBIT 5 lebih berorientasi pada prinsip
dibandingkan dengan proses.
2) COBIT menekankan pada enabler. Pada COBIT 4.1 tidak
menyebutnya sebagai enabler. Sedangkan COBIT 5 menyebutkan
secara spesifik bagian-bagian enabler.
3) COBIT 5 mendefinisikan model referensi proses yang baru dengan
tambahan domain governance dan beberapa proses yang baru dengan
25
modifikasi proses pada versi sebelumnya. COBIT 5 mengintegrasikan
konten pada COBIT 4.1, Risk IT dan Val IT.
4) COBIT 5 menyelaraskan dengan best practice yang ada seperti ITIL
v3 dan TOGAF.
2.4 COBIT 5
COBIT 5 mendefinisikan dan menjelaskan secara rinci sejumlah tata kelola
dan manajemen proses. COBIT 5 menyediakan referensi model proses yang
mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait
dengan kegiatan TI. Model proses yang diusulkan bukan hanya sekedar model
proses tetapi suatu model yang bersifat komprehensif. Setiap perusahaan harus
mendefinisikan bidang prosesnya sendiri, dengan mempertimbangkan situasi
tertentu dalam perusahaan tersebut. COBIT 5 juga menyediakan kerangka kerja
untuk mengukur dan memantau kinerja TI, berkomunikasi dengan layanan dan
mengintegrasikan praktik pengelolaan terbaik (ISACA, 2012). Berikut ini
merupakan cakupan antara COBIT 5 dan framework lain:
26
Gambar 2.2 Cakupan antara COBIT 5 dengan framework lain (ISACA, 2012)
COBIT 5 memiliki dua area utama yaitu area tata kelola (governance) dan
area manajemen (management). Penata kelolaan (govern) terkait dengan hal – hal
apa yang mendasari tata kelola tersebut yang ditentukan melalui pendefinisian
strategi dan kontrol. Sedangkan pengelolaan (manage) terkait dengan bagaiman
tata kelola tersebut dilaksanakan dan cakupan dari pengelolaan (manage) yang
ditentukan melalui rencana taktis (ISACA, 2012). COBIT 5 dikembangkan untuk
mengatasi kebutuhan-kebutuhan penting seperti:
1) Membantu stakeholder dalam menentukan apa yang mereka harapkan
dari informasi dan teknologi terkait seperti keuntungan apa, pada
tingkat risiko berapa, dan pada biaya berapa dan bagaimana prioritas
mereka dalam menjamin bahwa nilai tambah yang diharapkan benar-
benar tersampaikan. Perbedaaan ini dan terkadang konflik mengenai
harapan harus dihadapi secara efektif. Stakeholder tidak hanya ingin
27
terlibat lebih banyak tapi juga menginginkan transparansi terkait
bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh.
2) Membahas peningkatan ketergantungan kesuksesan perusahaan pada
perusahaan lain dan rekan TI, seperti outsource, pemasok, konsultan,
klien, cloud, dan penyedia layanan lain, serta pada beragam alat
internal dan mekanisme untuk memberikan nilai tambah yang
diharapkan.
3) Mengatasi jumlah informasi yang meningkat secara signifikan.
Bagaimana perusahaan memilih informasi yang relevan dan kredibel
yang akan mengarahkan perusahaan kepada keputusan bisnis yang
efektif dan efisien? Informasi juga perlu untuk dikelola secara efektif
dan model informasi yang efektif dapat membantu untuk
mencapainya.
4) Mengatasi TI yang semakin meresap ke dalam perusahaan. TI
semakin menjadi bagian penting dari bisnis. Seringkali TI yang
terpisah tidak cukup memuaskan walaupun sudah sejalan dengan
bisnis. TI perlu menjadi bagian penting dari proyek bisnis, struktur
organisasi, manajemen risiko, kebijakan, kemampuan, proses, dan
sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang
sehingga semakin banyak orang dalam perusahaan yang memiliki
kemampuan TI akan dilibatkan dalam keputusan dan operasi TI. TI
dan bisnis harus diintegrasikan dengan lebih baik.
28
5) Menyediakan panduan lebih jauh dalam area inovasi dan teknologi
baru. Hal ini berkaitan dengan kreativitas, penemuan, pengembangan
produk baru, membuat produk saat ini lebih menarik bagi pelanggan,
dan meraih tipe pelanggan baru. Inovasi juga menyiratkan
perampingan pengembangan produk, produksi dan proses supply
chain agar dapat memberikan produk ke pasar dengan tingkat
efisiensi, kecepatan, dan kualitas yang lebih baik.
6) Mendukung perpaduan bisnis dan TI secara menyeluruh, dan
mendukung semua aspek yang mengarah pada tata kelola dan
manajemen TI perusahaan yang efektif, seperti struktur organisasi,
kebijakan, dan budaya.
7) Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.
8) Memberikan perusahaan:
a. Nilai tambah melalui penggunaan TI yang efektif dan inovatif,
b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang
baik,
c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan
kebijakan internal,
d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan
TI.
9) Menghubungkan dan bila relevan, menyesuaikan dengan framework
dan standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO,
dan ISO. Hal ini akan membantu stakeholder mengerti bagaimana
29
kaitan berbagai framework, berbagai standar antar satu sama lain, dan
bagaimana mereka bisa digunakan bersama-sama.
10) Mengintegrasikan semua framework dan panduan ISACA dengan
fokus pada COBIT, Val IT, dan Risk IT, tetapi juga
mempertimbangkan BMIS, ITAF, dan TGF, sehingga COBIT 5
mencakup seluruh perusahaan dan menyediakan dasar untuk integrasi
dengan framework dan standar lain menjadi satu kesatuan framework.
Berdasarkan penjelasan di atas dapat disimpulkan bahwa COBIT 5
membantu perusahaan menciptakan nilai yang optimal pada TI dengan menjaga
keseimbangan antara manfaat, pengoptimalan resiko dan penggunaan sumer daya.
COBIT memungkinkan informasi dan teknologi yang terkait untuk diatur dan
dikelola dengan baik pada seluruh perusahaan, mengingat kepentingan yang
berhubungan dengan pemangku kepentingan TI baik internal maupun eksternal.
2.4.1 Komponen COBIT 5
Framewoek COBIT memiliki komponen yang terdiri dari 5 (lima) principles dan
7 (tujuh) enablers (ISACA, 2012).
2.4.1.1 Principles (Prinsip) pada COBIT 5
Prinsip dan faktor pendukung secara umum COBIT 5 berguna untuk perusahaan
dari berbagai ukuran, baik yang bersifat niaga maupun yang tidak untuk mencari
laba di sektor publik (ISACA, 2012). Berikut penjelasan prinsip COBIT 5:
30
Gambar 2.3 Prinsip COBIT 5 (ISACA, 2012)
1) Meeting stakeholder needs, berguna untuk pendefinisan prioritas untuk
implementasi, perbaikan, dan jaminan. Kebutuhan stakeholder
diterjemahkan ke dalam Goals Cascade menjadi tujuan yang lebih
spesifik, dapat ditindaklajuti dan disesuaikan, dalam konteks: Tujuan
perusahaan (Enterprise Goal), Tujuan yang terkait IT (IT-related Goal),
Tujuan yang akan dicapai enabler (Enabler Goal). Selain itu sistem tata
kelola harus mempertimbangkan seluruh stakeholder ketika membuat
keputusan mengenai penilaian manfaat, sumber daya dan risiko.
Gambar 2.4 The Governance Objective: Value Creation (ISACA, 2012).
31
2) Covering enterprise end-to-end, bermanfaat untuk mengintegrasikan tata
kelola TI perusahaan ke dalam tata kelola perusahaan. Sistem tata kelola
TI yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola
perusahaan dengan mulus. Prinsip kedua ini juga meliputi semua fungsi
dan proses yang dibutuhkan untuk mengatur dan mengelola TI
perusahaan dimanapun informasi diproses. Dalam lingkup perusahaan,
COBIT 5 menangani semua layanan TI internal maupun eksternal, dan
juga proses bisnis internal dan eksternal.
3) Applying a single intergrated framework, sebagai penyelarasan diri
dengan standar dan framework lain, sehingga perusahaan mempu
menggunakan COBIT 5 sebagai framework tata kelola umum dan
integrator. Selain itu prinsip ini menyatukan semua pengetahuan yang
sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL
IT, Risk IT, BMIS, ITAF, dll).
4) Enabling a holistic approach, yakni COBIT 5 memandang bahwa setiap
enabler saling memperngaruhi satu sama lain dan menentukan apakah
penerapan COBIT 5 akan berhasil.
5) Separating governance from management, COBIT membuat perbedaan
yang cukup jelas antara tata kelola dan manajemen. Kedua hal tersebut
mencakup berbagai kegiatan yang berbeda, memerlukan struktur
organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.
32
Gambar 2.5 Governance and Management Key Areas (ISACA, 2012)
Perbedaan dari Governance (tata kelola) dengan Management
(Manajemen) yaitu:
a. Governance dimana dewan direksi dibawah kepemimpinan ketua yang
bertanggung jawab untuk memastikan bahwa tujuan perusahaan dapat
dicapai dengan melakukan evaluasi terhadap kebutuhan, kondisi, dan
pilihan stakeholder, menerapkan arah melalui prioritas dan pengambilan
keputusan terhadap arah dan tujuan yang telah disepakati.
b. Management (Manajemen) dimana eksekutif manajemen dibawah
pimpinan CEO yang bertanggung jawab dalam melakukan perencanaan,
membangun, menjalankan dan memonitor aktifitas-aktifitas yang sejalan
dengan arah yang ditetapkan oleh badan tata kelola untuk mencapai
tujuan perusahaan.
33
2.4.1.2 Tujuh Enablers
Enablers adalah sekumpulan faktor yang mempengaruhi sesuatu yang akan
dikerjakan oleh organisasi (ISACA, 2012). Dalam hal ini terkait pengelolaan
teknologi informasi di organisasi. Terdapat 7 kategori enabler, sebagai berikut:
1) Prinsip, Kebijakan dan Kerangka Kerja (Principles, Policies and
Framework)
Prinsip, kebijakan dan kerangka kerja adalah alat atau pendorong
untuk menerjamahkan tingkah laku ke dalam panduan praktis untuk
manajemen sehari-hari.
2) Proses (Processses)
Proses menjelaskan tentang sekumpulan kegiatan yang terorganisir
untuk mencapai tujuan tertentu dan menghasilkan sekumpulan output
dalam mendukung pencapaian tujuan IT.
3) Struktur Organisasi (Organizational Structures)
Struktur organisasi adalah entitas dalam organisasi sebagai kunci
dalam membuat keputusan.
4) Budaya, Etika dan Perilaku (Culture, Ethics and Behaviour)
Budaya, etika dan perilaku individu dan organisasi merupakan faktor
keberhasilan dalam kegiatan tata kelola dan manajemen.
5) Informasi (Information)
Informasi dalam organisasi terdiri dari informasi yang dihasilkan dan
digunakan informasi dibutuhkan agar organisasi dapat berjalan dengan
baik.
34
6) Layanan, Infrastruktur dan Aplikasi (Service, Infrastructure and
Application)
Layanan, infrastruktur dan aplikasi melibatkan infrastruktur teknologi
dan aplikasi yang menyediakan proses dan layanan teknologi
informasi bagi organisasi.
7) Orang, Kemampuan dan Kompetensi (People, Skills and
Competencies)
Berhubungan dengan sesorang individu dan kebutuhan untuk
memenuhi semua aktifitas untuk mencapai kesuksesan dan membuat
keputusan yang tepat dengan langkah yang tepat.
2.4.2 Implementasi COBIT 5
Terdapat tujuh siklus tahapan dalam implementasi tata kelola teknologi informasi
pada framework COBIT 5 (ISACA, 2012), yaitu:
Gambar 2.6 Implementasi COBIT 5 (ISACA, 2012)
35
1) Tahap 1 – Initiate Programme
Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan
keinginan untuk berubah di level manajemen eksekutif, yang
kemudian diwujudkan berupa kasus bisnis. Penggerak perubahan bisa
berupa kejadian internal maupun eksternal, dan kondisi atau isu
penting yang memberikan dorongan untuk berubah. Kejadian, tren,
masalah kinerja, implementasi perangkat lunak, dan bahkan tujuan
dari perusahaan dapat menjadi penggerak perubahan.
Risiko yang terkait dengan implementasi dari program ini
sendiri akan dideskripsikan di dalam kasus bisnis, dan dikelola
sepanjang siklus hidupnya. Menyiapkan, menjaga, dan mengawasi
kasus bisnis sangatlah mendasar dan penting untuk pembenaran,
mendukung, dan kemudian memastikan hasil akhir yang sukses dari
segala inisiatif, termasuk pengembangan Governance of Enterprise IT
(GEIT). Mereka memastikan fokus yang berkelanjutan terhadap
keuntungan dari program dan perwujudannya.
2) Tahap 2- Define Problems and Opportunnities
Tahap 2 membuat agar tujuan IT dengan strategi dan risiko
perusahaan sejajar, dan memprioritaskan tujuan perusahaan, tujuan IT,
dan proses IT yang paling penting. COBIT 5 menyediakan panduan
pemetaan tujuan perusahaan terhadap tujuan IT terhadap proses IT
untuk membantu penyeleksian. Dengan mengetahui tujuan perusahaan
36
dan IT, proses penting yang harus mencapai tingkat kapabilitas
tertentu dapat diketahui.
Manajemen perlu mengetahu kapabilitas yang ada saat ini dan di
mana kekurangan terjadi. Hal ini dapat dicapai dengan cara
melakukan penilaian kapabilitas proses terhadap proses-proses yang
terpilih.
3) Tahap 3 – Define Road Map
Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis
selisih untuk mengidentifikasi solusi potensial. Beberapa solusi akan
berupa quick wins dan beberapa berupa tugas jangka panjang yang
lebih sulit. Prioritas harus diberikan kepada proyek yang lebih mudah
untuk dicapai dan lebih mungkin memberikan keuntungan yang paling
besar. Tugas jangka panjang perlu dipecah menjadi bagian-bagian
yang lebih mudah untuk diselesaikan.
4) Tahap 4 – Plan Programme
Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan
mendefinisikan proyek yang didukung dengan kasus bisnis yang bisa
dibenarkan, dan mengembangkan rencana perubahan untuk
implementasi. Kasus bisnis yang dibuat dengan baik akan membantu
memastikan bahwa keuntungan proyek teridentifikasi, dan diawasi
secara terus menerus. Tujuan tahap ini adalah menerjemahkan
kesempatan untuk memperbaiki proses yang dipilih.
37
5) Tahap 5 – Execute Plan
Tahap 5 mengubah solusi yang disarankan menjadi kegiatan sehari-
hari dan menetapkan perhitungan dan sistem pemantauan untuk
memastikan kesesuaian dengan bisnis tercapai dan kinerja dapat
diukur.
Kesuksesan membutuhkan pendekatan, kesadaran dan
komunikasi, pengertian dan komitmen dari manajemen tingkat tinggi
dan kepemilikan dari pemilik proses IT dan bisnis yang terpengaruh.
6) Tahap 6 – Realese Benefits
Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan
praktik manajemen yang telah ditingkatkan ke operasi bisnis normal
dan pemantauan pencapaian dari peningkatan menggunakan metrik
kinerja dan keuntungan yang diharapkan.
7) Tahap 7 – Review Effectiveness
Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum,
mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh,
dan meningkatkan kebutuhan akan peningkatan secara terus-menerus.
2.4.3 Process Reference Model
Dalam COBIT 5 terdapat model referensi proses yang digunakan untuk
menentukan proses tata kelola dan manajemen. Model tersebut mewakili semua
proses yang biasa ditemukan dalam perusahaan yang berhubungan dengan
38
aktivitas TI, serta menyediakan model sebagai referensi yang mudah dipahami
dalam operasional TI dan oleh manajemen bisnis.
Gambar 2.7 Model Referensi Proses (ISACA, 2012)
COBIT dibagi menjadi dua bagian dimana dalam tata kelola terdapat (5)
lima proses tata kelola dan dalam manajemen terdapat empat domain dengan 32
(tiga puluh dua) proses TI. Tujuannya adalah sebagai referensi yang daoat
dipahami dalam operasional TI dan manajer bisnis dan akan menghasilkan tujuan
yang optimal yang berhubungan denga aktivitas TI, berikut penjelasannya:
1) Evaluate, Direct, and Monitor (EDM)
Proses tata kelola ini terkait dengan tujuan tata pemangku kepentingan
dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup
praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan
strategis, memberikan arahan kepada TI dan pemantauan hasilnya.
Berikut domain proses EDM:
39
a. EDM01 (Ensure Governance Framework Setting and
Maintenance)
b. EDM02 (Ensure Benefits Delivery)
c. EDM03 (Ensure Risk Optimisation)
d. EDM04 (Ensure Reosurce Optimisation)
e. EDM05 (Ensure Stakeholder Transparency)
2) Align, Plan and Organise (APO)
Proses manajemen ini memberikan arah untuk pengiriman solusi (BAI)
dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup
strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI
agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi
strategis perlu direncanakan, dikomunikasikan dan dikelola untuk
perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur
teknologi, harus dimasukkan ke dalam tempatnya. Berikut domain proses
APO:
a. APO01 (Manage The IT Management Framework)
b. APO02 (Manage Strategy)
c. APO03 (Manage Enterprise Architecture)
d. APO04 (Manage Innovation)
e. APO05 (Manage Portfolio)
f. APO06 (Manage Budget and Costs)
g. APO07 (Manage Human Resources)
h. APO08 (Manage Relationships)
40
i. APO09 Manage Service Agreements (Mengelola Perjanjian
Layanan)
j. APO10 (Manage Suppliers)
k. APO11 (Manage Quality)
l. APO12 (Manage Risk)
m. APO13 (Manage Security)
3) Build, Acquire and Implement (BAI)
Proses manajemen ini memberikan solusi dan melewatinya sehingga
akan berubah menjadi layanan. Untuk mewujudkan strategi TI, solusi TI
perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan
dan pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk
memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut domain
proses BAI:
a. BAI01 (Manage Programmes and Project)
b. BAI02 (Manage Requirements Definition)
c. BAI03 (Manage Solutions Identification and Build)
d. BAI04 (Manage Availability and Capacity)
e. BAI05 (Manage Organisational Change Enablement)
f. BAI06 (Manage Changes)
g. BAI07 (Manage Change Acceptance and Transitioning)
h. BAI08 (Manage Knowledge)
i. BAI09 (Manage Assets)
j. BAI10 (Manage Configuration)
41
4) Deliver, Service and Support (DSS)
Proses manajemen ini menerima solusi dan dapat digunakan bagi
pengguna akhir. Domain ini berkaitan dengan pengiriman aktual dan
dukungan layanan yang dibutuhkan, yang meliputi pelayanan,
pengelolaan keamanan dan kelangsungan, dukungan layanan bagi
pengguna, dan manajemen data dan fasilitas operasional. Berikut domain
proses DSS:
a. DSS01 (Manage Operations)
b. DSS02 (Manage Service Requests and Incidents)
c. DSS03 (Manage Problems)
d. DSS04 (Manage Continuity)
e. DSS05 (Manage Security Services)
f. DSS06 (Manage Business Process Controls)
5) Monitor, Evaluate, and Assess (MEA)
Proses manajemen ini memonitor semua proses untuk memastikan bahwa
arah yang disediakan diikuti. Semua proses TI perlu dinilai secara teratur
dari waktu ke waktu untuk mengontrol kualitas dan kepatuhan mereka.
Domain ini tertuju pada manajemen kinerja, pemantauan pengendalian
internal, kepatuhan terhadap peraturan dan tata kelola. Berikut domain
proses MEA:
a. MEA01 (Monitor, Evaluate and Assess Performance and
Conformance)
b. MEA02 (Monitor, Evaluate and Assess The System of Internal
Control)
42
c. MEA03 (Monitor, Evaluate and Assess Compliance with External
Requirements)
2.4.4 Pemetaan IT Goals terhadap Proses COBIT 5
Berikut ini adalah gambar pemetaan IT Goals terhadap proses COBIT 5.
Gambar 2.8 Pemetaan Proses COBIT 5 (ISACA, 2012)
43
Gambar 2.9 Pemetaan Proses COBIT 5 (ISACA, 2015)
P = Primary
S = Secondary
44
Dari gambar di atas dapat dilihat 3 proses COBIT serta hubungna primary
maupun secondary antara proses-proses COBIT yang ada dengan panduan IT
goals secara umum.
2.4.5 Process Capability Indicator
Indikator kapabilitas proses adalah kemampuan proses dalam meraih tingkat
kapabilitas yang ditentukan oleh atribut proses (ISACA, 2012). Bukti indikator
kemampuan proses mendukung tingkat pencapaian atribut proses dalam dimensi
kemampuan tingkat 1 sampai 5. Level 0 tidak termasuk jenis indikator
pengukuran, karena mencerminkan proses tidak dilaksanakan atau proses yang
gagal bahkan sebagian untuk mencapai hasil tersebut. Level 0 ditandai dengan
belum atau sebagian memiliki proses pencapaian tujuan pada perusahaan. Berikut
ini model kapabilitas proses pada COBIT 5:
Gambar 2.10 Model Kapabilitas Proses (ISACA, 2012)
45
1) Level 0 Incomplete Process
Pada level ini tidak dilaksanakan atau gagal untuk mencapai tujuan.
Pada tingkat ini, ada sedikit atau tidak ada bukti dari setiap pencapaian
yang sistematis dari proses tujuan.
2) Level 1 – Performed Process
Pada level ini menentukan apakah suatu proses mencapai tujuannya.
Ketentuan atribut proses pada level 1 adalah sebagai berikut:
a. Process Activity (PA) 1.1 Process Performance
Pengukuran mengenai seberapa jauh tujuan dari suatu proses
berhasil diraih. Pencapaian penuh atas atribut ini mengakibatkan
proses tersebut meraih tujuan yang sudah ditentukan, seperti
ditunjukkan dalam tabel dibawah ini.
Tabel 2.2 Performed Process
PA 1.1 Process Performance
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
Proses meraih tujuan
yang sudah
ditentukan.
GP 1.1.1 Meraih Hasil
Proses. Ada bukti
bahwa praktik-praktik
dasar dilakukan.
Hasil kerja telah
dibuat sehingga
menyediakan bukti
atas hasil proses.
3) Level 2 – Managed Process
Performa proses pada tahap ini dikelola yang mencakup perencanaan,
monitor, dan penyesuaian. Work products-nya dijalankan, dikontrol,
dikelola dengan tepat. Ketentuan atribut proses pada level 2 adalah
sebagai berikut:
46
a. Process Activity 2.1 Performance Management
Mengukur sampai mana performa proses di kelola. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah
ini.
Tabel 2.3 Performance Management
PA 2.1 Performance Management
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
a. Objektif
performa dari
proses
teridentifikasi.
GP 2.1.1 Identifikasikan
objektif performa dari
proses. Objektif performa,
digabungkan dengan
assumsi dan batasan,
didefinisikan dan
dikomunikasikan.
GWP 1.0
Dokumentasi
Proses harus
menguraikan
lingkup proses
GWP 2.0 Rencana
Proses harus
menyediakan detil-
detil dari objektif
performa proses.
b. Performa dari
proses
direncanakan
dan dimonitor.
GP 2.1.2 Merencanakan
dan memonitor
performa dari proses
untuk memenuhi objektif
yang telah ditentukan.
Dasar mengukur performa
proses yang berhubungan
dengan objektif
bisnis ditetapkan dan
dimonitor. Termasuk
didalam dasar tersebut
adalah key milestones,
aktivitas-aktivitas yang
diperlukan,estimasi dan
jadwal.
GWP 2.0 Rencana
Proses harus
menggambarkan
secara detil objektif
performa proses.
GWP 9.0 Performa
Proses catatannya
harus
menggambarkan
hasil yang detil.
Catatan: Pada level
ini, setiap catatan
performa proses
dapat berbentuk
report, daftar
masalah, dan catatan
informal.
c. Performa dari
proses
disesuaikan
untuk memenuhi
perencanaan
GP 2.1.3 Menyesuaikan
performa dari proses.
Mengambil tindakan
ketika performa yang
direncanakan tidak
tercapai. Tindakan
meliputi identifikasi dari
GWP 4.0 Catatan
Kualitas harus
menyediakan detil
dari tindakan yang
dilakukan ketika
performa tidak
mencapai target.
47
masalah performa dan
penyesuaian rencana dan
jadwal menjadi lebih
sesuai.
d. Tanggung jawab
dan otoritas dari
melakukan
proses
didefinisikan,
ditugaskan, dan
dikomunikasika
n.
GP 2.1.4 Mendefinisikan
tanggung jawab dan
otoritas dalam melakukan
proses. Tanggung jawab
kunci dan otoritas dalam
menjalankan aktivitas
kunci dari proses di
definisikan, ditugaskan
dan
dikomunikasikan.Pengala
man yang
dibutuhkan,pengetahuan
dan keahlian ditetapkan.
Dokumentasi
Proses harus
menyediakan detil
dari pemilik proses
dan siapa saja yang
terlibat, bertanggung
jawab,
dikonsultasikan
dan/atau
diinformasikan
(RACI).
GWP 2.0 Rencana
Proses harus
meliputi detil dari
process
communication plan
demikian juga
pengalaman dan
keahlian yang
dibutuhkan dari
menjalankan proses.
e. Sumber daya
dan informasi
yang dibutuhkan
untuk
menjalankan
proses
diidentifikasi,
disediakan,
dialokasikan dan
digunakan.
GP 2.1.5 Identifikasi dan
sediakan sumber daya
untuk melakukan proses
sesuai dengan rencana.
Sumber daya dan
informasi yang
dibutuhkan untuk
menjalankan aktivitasa
kunci dari proses
diidentifikasi,
disediakan, dialokasikan
dan digunakan.
GWP 2.0 Rencana
Proses harus
menyediakan detil
dari proses
perencanaan
pelatihan dan proses
perencanaan sumber
daya.
f. Antarmuka
antara pihak
yang terlibat
dikelola untuk
memastikan
komunikasi
efektif dan tugas
yang jelas antar
pihak yang
terlibat.
GP 2.1.6 Mengelola
antarmuka antara pihak
yang terlibat. Individu dan
grup yang terlibat dengan
proses diidentifikasi,
tanggung jawab
didefinisikan dan
mekanisme komunikasi
yang efektif diterapkan.
GWP 1.0
Dokumentasi
Proses harus
menyediakan detil
dari invidu dan grup
yang
terlibat(supplier,
customer, dan
RACI). GWP 2.0
Rencana proses
harus menyediakan
detil dari process
48
communication
plan..
b. Process Activity 2.2 Work Product Management
Mengukur sejauh mana hasil kerja yang dihasilkan oleh proses
dikelola. Hasil kerja yang dimaksud dalam hal ini adalah hasil
dari proses. Sebagai hasil pencapaian penuh atribut ini,
ditunjukkan dalam tabel dibawah ini.
Tabel 2.4 Work Product Management
PA 2.2 Work Product Management
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
a. Kebutuhan akan
hasil kerja
proses
ditetapkan.
GP 2.2.1 Menetapkan
kebutuhan untuk
kerja, meliputi struktur
isi dan kriteria kualitas.
GWP 3.0 Rencana
kualitas harus
menyediakan detil dari
kriteria kualitas dan isi
dari hasil kerja.
b. Kebutuhan
untuk
dokumentasi dan
kontrol dari
hasil kerja
ditetapkan.
GP 2.2.2 Menetapkan
kebutuhan dari
dokumentasi dan
kontrol dari hasil kerja.
Ini harus meliputi
identifikasi dari
ketergantungan,
persetujuan dan
kemudahan dalam
melacak kebutuhan.
GWP 1.0
Dokumentasi proses
harus menyediakan
detil dari kontrol
(matrix kontrol)
GWP 3.0 Rencana
kualitas harus
menyediakan detil dari
hasil kerja, kriteria
kualitas, dokumentasi
yang dibutuhkan dan
kontrol perubahan.
c. Hasil kerja
diidentifikasi
dengan baik,
didokumentasik
an dan
dikontrol.
GP 2.2.3 Identifikasi,
dokumentasi, dan
kontrol hasil kerja.
Hasil kerja adalah
subjek dari kontrol
perubahan, begitu juga
dengan perubahan versi
dan managemen
konfigurasi.
GWP 3.0 Recana
Kualitas harus
menyediakan detil dari
hasil kerja, kriteria
kualitas, kebutuhan
dokumentasi dan
kontrol perubahan.
GP 2.2.4 Ulas kembali GWP 4.0 Catatan
49
d. Hasil kerja di
ulas kembali
sesuai dengan
rencana
pengaturan dan
disesuaikan
sesuai
kebutuhan
untuk mencapai
kebutuhan.
dan menyesuaikan
hasil kerja untuk
memenuhi kebutuhan
yang telah didefinisikan.
Hasil kerja adalah
subjek terdapat
pengulasan kembali
terhadap kebutuhan
yang disesuaikan
dengan pengaturan yang
direncanakan dan isu-isu
lain yang muncul
diselesaikan .
Kualitas harus
menyediakan jejak
audit dari pengulasan
kembali yang telah
dilakukan.
4) Level 3 – Established Process
Proses yang telah dibangun kemudian diimplementasi menggunakan
proses yang telah didefinisikan yang mampu untuk mencapai hasil
dari proses. Ketentuan atribut proses pada level 3 adalah sebagai
berikut:
a. Process Activity 3.1 Process Definition
Mengukur sejauh mana proses standar dikelola untuk
mendukung pengerjaan dari proses yang telah didefinisikan.
Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam
tabel dibawah ini.
Tabel 2.5 Process Definition
PA 3.1 Process Definition
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
a. Proses standard,
meliputi
panduan dasar
yang layak,
dedifinisikan
GP 3.1.1
Mendefinisikan
standard dari proses
yang mendukung
pengerjaan dari proses
yang telah
GWP 5.0 Kebijakan
dan standard harus
menyediakan detil dari
objektif organisasi
untuk proses, standard
minimum dari
50
sehingga
mendeskripsikan
elemen
fundamental
yang harus ada
dalam proses
yang didefinisi.
didefinisikan. Sebuah
proses standard
didefinisikan yang
mengidentifikasi
elemen proses
fundamental dan
menyediakan panduan
dan prosedur untuk
mendukung
implementasi dan
panduan tentang
bagaimana standard
tersebut dapat diubah
saat dibutuhkan.
performa, prosedur
standard, dan pelaporan
dan kebutuhan
monitoring. Bukti yang
diperlukan pada level
ini bukan hanya pada
adanya kebijakan dan
standard tapi juga
dengan diterapkannya
kebijakan dan standard
tersebut.
b. Urutan dan
interaksi dari
proses standard
dengan proses
lainnya
ditetapkan
GP 3.1.2 Menetapkan
urutan dan interaksi
antar proses sehingga
dapat bekerja sebagai
sistem yang
terintegrasi dalam
proses. Urutan
standard proses dan
interaksi dengan
proses lain ditentukan
dan dikelola ketika
sebuah proses
diimplementasikan
pada bagian lain dalam
organisasi.
GWP 5.0 Kebijakan
dan standard harus
menyediakan proses
pemetaaan dengan detil
dari proses standard
dengan urutan yang
diharapkan dan
interaksinya. Bukti yang
diperlukan pada level
ini bukan hanya pada
adanya kebijakan dan
standard tapi juga
dengan diterapkannya
kebijakan dan standard
tersebut.
c. Kompetensi
yang
dibutuhkan dan
peran untuk
melakukan
proses
diidentifikasi
sebagai bagian
dari proses
standard
GP 3.1.3
Mengidentifikasi
peran dan
kompetensi dari
menjalankan proses
standard.
GWP 5.0 Kebijakan
dan standard harus
menyediakan detil dan
kompetensi dari proses
yang dilakukan. Bukti
yang diperlukan pada
level ini bukan hanya
pada adanya kebijakan
dan standard tapi juga
dengan diterapkannya
kebijakan dan standard
tersebut.
d. Infrastruktur
yang diperlukan
dan lingkungan
kerja yang
dibutuhkan
untuk
melakukan
GP 3.1.4 Identifikasi
infrastruktur yang
dibutuhkan dan
lingkungan kerja
untuk melakukan
proses
standard.Infrastruktur
(fasilitas, alat, metode,
GWP 5.0 Kebijakan
dan standard harus
mengidentifikasi
kebutuhan minimum
dari infrastruktur dan
lingkungan kerja untuk
melakukan proses.
Bukti yang diperlukan
51
proses
diidentifikasi
sebagai bagian
dari proses
standard.
dll) dan lingkungan
kerja untuk melakukan
proses standard
diidentifikasi.
pada level ini bukan
hanya pada adanya
kebijakan dan
standard tapi juga
dengan diterapkannya
kebijakan dan standard
tersebut
e. Metode yang
sesuai untuk
monitoring
kefektifan dan
kesesuaian dari
proses
ditetapkan.
GP 3.1.5 Menetapkan
metode yang sesuai
untuk memonitor
kefektifan dan
kesesuaian dengan
proses standard,
meliputi pemastian
terhadap kriteria yang
layak dan data yang
dibutuhkan untuk
memonitor kefektifan
dan kesesuaian dari
proses didefinisikan,
dan menetapkan
kebutuhan untuk
melakukan audit
internal dan ulas
kembali managemen.
GWP 5.0 Kebijakan
dan standard harus
menyediakan detil dari
objektif organisasi
terhadap proses,
standard minimum
performa proses,
prosedur standard, dan
pelaporan serta
kebutuhan monitoring.
Bukti yang diperlukan
pada level ini bukan
hanya pada adanya
kebijakan dan standard
tapi juga dengan
diterapkannya kebijakan
dan standard tersebut.
GWP 4.0 Catatan
kualitas dan GWP 9.0
Catatan performa
proses harus
menyediakan bukti dari
ulas kembali yang telah
dilakukan .
b. Process Activity 3.2 Process Deployment
Mengukur sejauh mana proses standard secara efektif telah
dijalankan seperti proses yang telah didefinisikan untuk
mencapai hasil dari proses. Sebagai hasil pencapaian penuh
atribut ini, ditunjukkan dalam tabel dibawah ini.
Tabel 2.6 Process Deployment
PA 3.2 Process Deployment
Hasil atas
Pencapaian Penuh Praktik Umum (GPs)
Hasil Kerja Umum
(GWPs)
52
Atribut
a. Sebuah proses
yang telah
didefinisikan
dijalankan
berdasarkan
standard proses
yang telah
ditentukan.
GP 3.2.1 Menjalankan
sebuah proses yang
telah didefinisikan yang
memuaskan konteks.
Ketika proses yang sama
digunakan pada area yang
berbeda pada organisasi,
proses tersebut dilakukan
berdasarkan proses
standard, diatur selayak
mungkin, dengan
konformasi pada
kebutuhan yang telah
didefinisikan pada proses
yang telah diverifikasi.
GWP 5.0
Kebijakan dan
standard harus
mendefinisikan
standard yang harus
diikuti oleh seluruh
impelementasi dari
proses. Bukti yang
diperlukan pada
level ini bukan
hanya pada adanya
kebijakan dan
standard tapi juga
dengan
diterapkannya
kebijakan dan
standard tersebut.
b. Peran yang
dibutuhkan,
tanggung jawab
dan otoritas
yang dibutuhkan
untuk
menjalankan
proses yang telah
didefinisikan
ditugaskan dan
dikomunikasika
n.
GP 3.2.2 Menugaskan
dan
mengkomunikasikan
peran, tanggung jawab
dan otoritas untuk
menjalankan proses yang
telah didefinisikan. Ketika
prosess yang sama
digunakan pada area yang
berbeda dalam organisasi,
Otoritas dan peran untuk
melakukan aktivitas dari
proses telah ditugaskan
dan dikomunikasikan.
GWP 5.0
Kebijakan dan
standard harus
menyediakan detil,
tanggung jawab dan
otoritas untuk
melakukan aktivitas
dari proses.Bukti
yang diperlukan
pada level ini bukan
hanya pada adanya
kebijakan dan
standard tapi juga
dengan
diterapkannya
kebijakan dan
standard tersebut.
c. Personil yang
melakukan
proses yang
didefinisikan
kompeten dalam
basis edukasi
yang sesuai,
pelatihan dan
pengalaman.
GP 3.2.3 Memastikan
kompetensi yang
dibutuhkan untuk
menjalankan performa
dari proses yang
didefinisikan. Ketika
proses yang sama
digunakan dalam area
yang berbeda pada
organisasi, kompetensi
yang layak untuk personil
yang ditugaskan
diidentifikasikan dan
pelatihan yang sesuai
disediakan untuk
GWP 1.0
Dokumentasi
proses harus
menyediakan detil
dari kompetensi dan
pelatihan yang
dibutuhkan
GWP 2.0 Rencana
proses harus
meliputi detil dari
process
communication plan,
rencana pelatihan
dan rencana sumber
daya untuk setiap
53
menjalankan proses yang
disediakan, dialokasikan
dan digunakan.
instansi dari proses.
d. Sumber daya
yang dibutuhkan
dan informasi
yang diperlukan
untuk
melakukan
proses yang
didefinisikan
disediakan,
dialokasikan dan
digunakan.
GP 3.2.4 Menyediakan
sumber daya dan
informasi untuk
mendukung performa
dari proses yang
didefinisikan. Ketika
proses yang sama
digunakan dalam area
yang berbeda dalam
organisasi, kebutuhan
sumber daya manusia dan
informasi untuk
melakukan proses
disediakan, dialokasikan
dan digunakan.
GP 2.0 Rencana
proses harus
meliputi detil dari
rencana sumber daya
untuk setiap instansi
dari proses.
e. Infrastruktur
dan lingkungan
kerja untuk
melakukan
proses yang
didefinisikan
disediakan,
dikelola, dan
diperlihara.
GP 3.2.5 Menyediakan
proses infrastruktur
yang layak untuk
mendukung performa dari
proses yang didefinisikan.
Ketika proses yang sama
digunakan dalam area
yang berbeda dalam
organisasi, dukungan
organisasi yang
dibutuhkan, infrastruktur,
dan lingkungan kerja
disediakan, dialokasikan
dan digunakan.
GWP 2.0 Rencana
proses harus
meliputi detil dari
proses infrastruktur
dan lingkungan kerja
dari setiap instansi
dari proses.
f. Data yang layak
dikumpulkan
dan dianalisis
sebagai dasar
untuk mengerti
tingkah laku
dari proses,
untuk
mendemonstrasi
kan kecocokan
dan kefektifan,
dan
mengevaluasi
dimana
perbaikan terus-
menerus dari
proses dapat
GP 3.2.6
Mengumpulkan dan
menganalisis data
mengenai performa dari
proses untuk
mendemonstrasikan
kecocokan dan kefektifan.
Data yang dibutuhkan
untuk memonitor
kefektifan dan kesesuaian
dari proses diseluruh
organisasi didefinisikan,
dikumpulkan dan
dianalisis sebagai dasar
dari perbaikan terus-
menerus.
GWP 4.0 Catatan
kualitas dan GWP
9.0 Catatan
performa proses
harus menyediakan
bukti dari alat ulas
kembali yang
dilakukan untuk
setiap instansi dari
proses.
54
dilakukan.
5) Level 4 – Predictable Process
Proses yang telah dibangun kemudian dioperasikan dengan batasan-
batasan agar mampu meraih harapan dari proses tersebut. Ketentuan
atribut proses pada level 4 adalah sebagai berikut:
a. Process Activity 4.1 Process Measurement
Pengukuran mengenai seberapa jauh hasil pengukuran
digunakan untuk memastikan bahwa performa proses
mendukung pencapaian tujuan proses untuk mendukung tujuan
perusahaan. Pengukuran bisa berupa pengukuran proses ataupun
pengukuran produk atau kedua-duanya. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah
ini.
Tabel 2.7 Process Measurement
PA 4.1 Process Measurement
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
a. Informasi yang
dibutuhkan
proses untuk
mendukung
tujuan bisnis
telah ditetapkan.
GP 4.1.1
Identifikasikan
kebutuhan informasi,
dalam hubungannya
dengan tujuan bisnis.
Tujuan bisnis dan
informasi yang
dibutuhkan pemegang
kepentingan telah
ditetapkan sebagai
dasar untuk
menentukan tujuan
pengukuran performa
proses.
GWP 6.0 Rencana
peningkatan proses
harus menyediakan
tujuan peningkatan
proses dan
menyarankan
tindakan peningkatan.
55
b. Tujuan
pengukuran
proses didapatkan
dari kebutuhan
informasi.
GP 4.1.2 Dapatkan
tujuan pengukuran
proses dari kebutuhan
informasi.
GWP 7.0 Rencana
pengukuran proses
harus menyediakan
detil dari tujuan
pengukuran yang
disarankan.
c. Tujuan
kuantitatif untuk
performa proses
dalam
mendukung
tujuan
perusahaan telah
ditetapkan.
GP 4.1.3 Tetapkan
tujuan kuantitatif atas
performa dari proses,
berdasarkan kesesuaian
proses dengan tujuan
perusahaan. Tujuan
pengukuran kuantitatif
telah ditetapkan dan
secara eksplisit
menggambarkan tujuan
perusahaan dan telah
dipastikan realistis dan
berguna oleh
manajemen dan pelaku
proses.
GWP 7.0 Rencana
pengukuran proses
harus menyediakan
detil dari ukuran dan
indikator pengukuran.
d. Pengukuran dan
frekuensinya
telah
diidentifikasi dan
ditetapkan sejalan
dengan tujuan
pengukuran
proses dan tujuan
kuantitatif atas
performa
prosesnya.
GP 4.1.4
Identifikasikan
pengukuran produk
dan proses yang
mendukung pencapaian
tujuan kuantitatif atas
performa proses.
Pengukuran mendetil
untuk produk dan
proses telah
diidentifikasi,
sekaligus dengan
frekuensi pengumpulan
data dan pengukuran,
juga mekanisme
verifikasi.
GWP 7.0 Rencana
pengukuran proses
menyediakan detil
dari ukuran dan
indikator pengukuran
sekaligus prosedur
pengumpulan data
dan prosedur analisa.
e. Hasil pengukuran
dikumpulkan,
dianalisa dan
dilaporkan untuk
memantau
seberapa jauh
tujuan kuantitatif
proses tercapai.
GP 4.1.5
Mengumpulkan hasil
pengukuran produk
dan proses dengan
melakukan proses yang
telah ditentukan. Hasil
pengukuran
dikumpulkan,
dianalisa, dan
dilaporkan sesuai
rencana yang telah
ditetapkan.
GWP 7.0 Rencana
pengukuran proses
harus menyediakan
detil atas prosedur
analisa yang
disarankan.
GWP 9.0 Catatan
performa proses
harus menyediakan
detil atas pengukuran
yang telah
dikumpulkan dan
dianalisa.
56
f. Hasil pengukuran
digunakan untuk
menggambarkan
performa proses.
GP 4.1.6
Menggunakan hasil
pengukuran untuk
memantau dan
memverifikasi
pencapaian atas tujuan
performa proses. Hasil
pengukuran dianalisa
untuk memastikan
pencapaian terhadap
tujuan performa proses.
Teknik yang sesuai
digunakan untuk
memahami performa
dan kapabilitas proses
dalam batasan yang
sudah ditentukan.
GWP 9.0 Catatan
performa proses
harus menyediakan
detil atas pengukuran
yang sudah
dikumpulkan dan
dianalisa.
b. Process Activity 4.2 Process Control
Pengukuran tentang seberapa jauh suatu proses secara kuantitatif
bisa menghasilkan proses yang stabil, mampu, dan bisa
diprediksi dalam batasan telah ditentukan. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah
ini.
Tabel 2.8 Process Control
PA 4.2 Process Control
Hasil atas Pencapaian
Penuh Atribut
Praktik Umum
(GPs)
Hasil Kerja Umum
(GWPs)
a. Teknik analisa dan
kontrol telah
ditentukan dan
diaplikasikan.
GP 4.2.1 Tentukan
teknik analisa dan
kontrol yang sesuai
untuk mengontrol
performa proses.
Metode untuk
mengukur efektivitas
kontrol telah
didefinisikan dan
divalidasi.
GWP 1.0
Dokumentasi proses
harus menyediakan
detil pengontrolan
(matriks kontrol)
GWP 8.0 Rencana
pengendalian proses
harus ada dan
menjelaskan
pendekatan
pengukuran untuk
setiap proses.
57
b. Pengontrolan batas
variasi telah
ditetapkan untuk
performa proses
normal.
GP 4.2.2 Tetapkan
parameter yang
cocok untuk
mengontrol performa
proses. Definisi
standar atas proses
dimodifikasi untuk
memasukkan metode
pengendalian proses
dan batasan
pengontrolan telah
ditetapkan.
GWP 8.0 Rencana
pengontrolan proses
harus ada dan
menjelaskan batasan
pengontrolan untuk
performa normal.
c. Data pengukuran
dianalisa untuk
mengetahui
penyebab khusus
atas suatu variasi.
GP 4.2.3 Analisa
hasil pengukuran
proses dan produk
untuk
mengidentifikasikan
variasi dan performa
proses. Hasil
pengukuran
pengontrolan proses
dianalisa untuk
menentukan masalah
yang perlu
diperhatikan dan
diteruskan untuk
penanggulangan.
GWP 9.0 Catatan
performa proses
harus menyediakan
detil atas pengukuran
yang telah
dikumpulkan dan
dianalisa.
d. Tindakan koreksi
diambil untuk
memecahkan
penyebab khusus
variasi.
GP 4.2.4 Identifikasi
dan
implementasikan
tindakan koreksi
untuk mengatasi
sumber masalah.
Tindakan koreksi
diambil untuk
mengatasi masalah
pengontrolan proses
dan hasilnya dipantau
dan dievaluasi.
GWP 9.0 Catatan
performa proses
harus menyediakan
detil atas pengukura
yang telah
dikumpulkan dan
dianalisa.
e. Batasan kontrol
ditetapkan kembali
(apabila
dibutuhkan)
sebagai respon
terhadap tindakan
koreksi.
GP 4.2.5 Tetapkan
kembali batasan
kontrol setelah
tindakan koreksi.
Batasan kontrol
proses dimodifikasi
sesuai kebutuhan
setelah tindakan
koreksi dilakukan.
GWP 8.0 Rencana
pengendalian proses
harus ada dan
menjelaskan batasan
kontrol untuk peforma
normal.
58
6) Level 5 – Optimising Process
Proses yang terprediksi secara terus-menerus ditingkatkan untuk
memenuhi tujuan bisnis saat ini dan tujuan proyek. Ketentuan atribut
proses pada level 5 adalah sebagai berikut:
a. Process Activity 5.1 Process Innovation
Mengukur sebuah perubahan proses yang telah diidentifikasi
dari analisis penyebab umum dari adanya variasi di dalam
performa, dan dari investigasi pendekatan inovatif untuk
mendefinisikan dan melaksanakan proses. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah
ini.
Tabel 2.9 Process Innovation
PA 5.1 Process Innovation
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
a. Tujuan dari
peningkatan
masing-masing
proses
diidentifikasi
untuk mendukung
tujuan bisnis yang
relevan.
GP 5.1.1
Mendefinisikan tujuan
peningkatan proses
untuk mendukung
tujuan bisnis yang
relevan. Arahan untuk
inovasi proses telah
diatur. Tujuan
peningkatan proses
secara kualitatif dan
kuantitatif didasarkan
pada potensi inovasi
proses seperti visi dan
goals yang telah
didefinisikan dan
GWP 7.0 Rencana
peningkatan proses
harus menyediakan
tujuan peningkatan
proses dan tindakan
yang dilakukan
untuk peningkatan
tersebut.
59
didokumentasikan.
b. Data yang tepat
dianalisis agar
dapat
mengidentifikasi
penyebab umum
dari variasi
performa proses.
b. Data yang tepat
dianalisis agar dapat
mengidentifikasi
penyebab umum dari
variasi performa
proses.
GWP 9.0 Catatan
performa proses
harus menyediakan
penjelasan mengenai
kumpulan dan
analisa pengukuran.
c. Data yang tepat
dianalisis agar
dapat
mengidentifikasi
peluang untuk
pelaksanaan
praktik terbaik
dan inovasi.
GP 5.1.3 Identifikasi
peluang peningkatan
proses berdasarkan
inovasi dan praktik
terbaik. Peluang
peningkatan proses
diidentifikasi
berdasarkan
perbandingan dengan
praktik terbaik industry.
GWP 6.0 Rencana
peningkatan proses
harus menyediakan
penjelasan mengenai
analisis praktik
terbaik.
d. Peluang
peningkatan yang
bermula dari
teknologi baru
dan konsep proses
baru
diidentifikasikan.
GP 5.1.4 Didasarkan
pada peluang
peningkatan dari
teknologi dan konsep
proses baru. Peluang
peningkatan proses
diidentifikasi
berdasarkan review dan
analisis mengenai
inovasi teknologi dan
konsep proses, yang
dilanjutkan pada
perubahan lingkungan
bisnis termasuk
munculnya risiko bisnis.
GWP 6.0 Rencana
peningkatan proses
harus menyediakan
penjelasan mengenai
analisis peluang
peningkatan
teknologi.
e. Strategi
implementasi
dibuat untuk
mencapai tujuan
dari peningkatan
proses.
GP 5.1.5 Definisikan
strategi implementasi
berdasarkan visi dan
tujuan peningkatan
jangka panjang. Strategi
peningkatan proses
didefinisikan dan
divalidasi berdasarkan
goal dan objektif dari
peningkatan. Komitmen
untuk meningkatkan
didemokan oleh
manager dan pemilik
proses.
Rencana
peningkatan proses
harus menyediakan
penjelasan mengenai
strategi
implementasi untuk
peningkatan proses.
60
b. Process Activity 5.2 Process Optimisation
Mengukur perubahan untuk definisi, manajemen, dan performa
proses agar memiliki hasil yang berdampak secara efektif untuk
mencapai tujuan dari proses peningkatan. Sebagai hasil
pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah
ini.
Tabel 2.10 Process Optimisation
PA 5.2 Process Optimisation
Hasil atas
Pencapaian Penuh
Atribut
Praktik Umum (GPs) Hasil Kerja Umum
(GWPs)
a. Dampak dari
perubahan yang
telah dilakukan di
nilai
kesesuaiannya
dengan tujuan
dari proses yang
telah didefinisikan
dan proses
standar.
GP 5.2.1 Menilai
dampak dari masing-
masing perubahan
yang telah dilakukan
apakah telah sesuai
dengan tujuan dari
proses standard dan
proses yang telah
didefinisikan. Dampak
dari perubahan yang
telah dilakukan dinilai
kesesuaiannya agar
dapat menentukan
dampak dari kualitas
produk dan performa
proses apakah telah
sesuai dengan proses
lain yang berhubungan.
GWP 6.0 Rencana
peningkatan proses
harus menyediakan
rincian mengenai
pendekatan kualitas
proyek peningkatan
proses.
b. Implementasi dari
perubahan yang
telah disetujui
dikelola untuk
memastikan
bahwa perbedaan-
perbedaan
performa proses
dimengerti dan
dilakukan
setelahnya.
GP 5.2.2 Mengelola
implementasi dari
perubahan yang telah
disetujui untuk
memilih area dari
proses standar dan
proses yang telah
didefinisi sesuai
dengan strategi
implementasi.
Implementasi dari
perubahan yang telah
GWP 6.0 Rencana
peningkatan proses
harus menyediakan
rincian mengenai
strategi implementasi
peningkatan proses
dan perubahan yang
terdiri dari:
- GWP 1.0
Dokumentasi proses
- GWP 3.0 Rencana
kualitas
61
disetujui dikelola
sesuai dengan
manajemen perubahan
dan proses pendukung
perubahan .
- GWP 5.0 Kebijakan
dan standar.
c. Berdasarkan
performa saat ini,
keefektivitasan
perubahan proses
dievaluasi
berdasarkan
persyaratan
produk dan
tujuan proses
untuk
menentukan hasil
memiliki
penyebab umum
atau khusus.
GP 5.2.3 Berdasarkan
performa saat ini,
evaluasi
keefektivitasan
perubahan proses
sesuai dengan
performa proses, tujuan
kapabilitas, dan tujuan
bisnis. Keefektifitasan
perubahan membuat
proses tersebut perlu
diukur, dievaluasi, dan
dilaporkan setelah
implementasi.
GWP 6.0 Rencana
peningkatan proses
harus menyediakan
rincian mengenai
pendekatan kualitas
proyek peningkatan
proses.
2.4.6 RACI Chart
Dalam memahami aturan dan bertanggung jawab untuk setiap proses adalah kunci
dari efektifitas pengendalian. COBIT 5.0 menyediakan sebuah RACI Chart yaitu
sebuah matrik dari semua aktivitas atau wewenang dalam mengambil keputusan
yang dilakukan dalam sebuah organisasi terhadap semua orang atau peran untuk
setiap proses (ITGI, 2007).
1) Responsible: menjelaskan tentang siapa yang bertanggung jawab
dalam mendapatkan tugas yang harus dilakukan serta memastikan
aktifitas-aktifitas atau kegiatan operasional berjalan dengan sukses.
2) Accountable: menjelaskan tentang siapa yang akhirnya bertanggung
jawab atas keberhasilan tugas dan memiliki otoritas untuk
memutuskan suatu perkara.
62
3) Consulted: menjelaskan tentang siapa yang diperlukan sarannya dan
berkontribusi akan kegiatan tersebut.
4) Informed: menjelaskan tentang siapa yang perlu mengetahui hasil dari
suatu keputusan atau tindakan.
Brikut ini merupakan diagram RACI berdasarkan framework COBIT 5
untuk MEA01 (Monitor, Evaluate and Assess Performance and Conformance)
dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control):
Gambar 2.11 RACI Chart MEA01 (Monitor, Evaluate and Assess Performance and
Conformance) (ISACA, 2012)
63
Gambar 2.12 RACI Chart MEA02 (Monitor, Evaluate and Asses the System of Internal
Control) (ISACA, 2012)
Berikut ini adalah penjelasan mengenai struktur organisasi berdasarkan RACI
Chart COBIT 5 (ISACA, 2012):
1) Board adalah kelompok eksekutif paling senior dan/atau direktur non-
eksekutif dari organisasi yang bertanggung jawab untuk tata kelola
organisasi dan memiliki control keseluruhan sumber daya.
2) Chief Executive Officer (CEO) adalah orang yang memiliki
kedudukan tinggi yang bertanggung jawab dari manajemen
keseluruhan organisasi.
3) Chief Financial Officer (CFO) adalah seseorang yang memiliki
jabatan senior pada organisasi yang bertanggung jawab untuk semua
64
aspek manajemen keuangan, termasuk resiko dan control keuangan
dan rekening terpercaya dan akurat.
4) Chief Operating Officer (COO) adalah seseorang yang memiliki
jabatan senior pada organisasi yang bertanggung jawab untuk operasi
organisasi.
5) Chief Risk Officer (CRO) adalah seseorang yang memiliki jabatan
senior pada organisasi yang bertanggung jawab untuk semua aspek
manajemen resiko di seluruh organisasi. Bertugas mengawasi resiko
yang berhubungan dengan TI.
6) Chief Information Officer (CIO) adalah pejabat senior pada
organisasi yang bertanggung jawab untuk menyelaraskan TI dan
strategi bisnis dan akuntabel untuk perencanaan, sumber daya dan
mengelola pengiriman layanan dan solusi untuk mendukung tujuan TI
organisasi.
7) Chief Information Security Officer (CISO) adalah pejabat senior
pada organisasi yang bertanggung jawab untuk keamanan informasi
organisasi dalam segala bentuknya.
8) Business Executive adalah sebuah manajemen individu senior yang
bertanggung jawab untuk operasi unit bisnis tertentu atau anak
perusahaan.
9) Business Process Owner adalah seseorang yang bertanggung jawab
pada proses kinerja untuk mewujudkan tujuannya, mendorong
perbaikan proses dan menyetujui perubahan proses.
65
10) Strategy (IT Executive) Committee adalah sekelompok eksekutif
senior yang ditunjukan oleh dewan untuk memastikan bahwa dewan
terlibat dalam pengambilan keputusan yang berkaitan dengan TI.
Komite ini bertanggung jawab untuk mengelola portofolio investasi
IT-enabled, layana TI dan asset TI. Memastikan nilai yang
disampaikan dan resiko dikelola. Komite ini biasanya dipimpin oleh
anggota dewan.
11) (Project and Programme) Steering Committee adalah sekelompok
pemanku kepentingan dan ahli yang bertanggung jawab untuk
bimbingan program dan proyek, termasuk pengelolaan dan
pemantauan rencana, alokasi sumber daya dan manajemen program
dan risiko proyek.
12) Architecture Board adalah sekelompok pemangku kepentingan dan
ahli yang bertanggung jawab pada organisasi terkait arsitektur dan
keputusan untuk menetapkan kebijakan dan standar arsitektur.
13) Enterprise Risk Committee adalah kelompok eksekutif dari
organisasi yang bertanggung jawab untuk kolaborasi tingkat
organisasi untuk mendukung manajemen resiko organisasi.
14) Head of Human Resources adalah pejabat senior pada organisasi
yang betanggung jawab untuk perencanaan dan kebijakan terhadap
semua sumber daya manusia di organisasi.
15) Compliance adalah seseorang yang bertanggung jawab untuk
bimbingan pada hokum, peraturan dan kepatuhan terhadap kontrak.
66
16) Audit adalah seseorang yang bertanggung jawab atas penyediaan
audit internal.
17) Head of Architecture adalah seorang individu senior untuk proses
arsitektur enterprise.
18) Head of Development adalah seseorang individu senior yang
bertanggung jawab terkait proses TI, proses pembangunan solusi.
19) Head of IT Operations adalah seseorang individu senior yang
bertanggung jawab atas lingkungan dan infrastrutur operasional TI.
20) Head of IT Administration adalah seorang individu senior yang
bertanggung jawab terkait TI, catatan dan betanggung jawab untuk
mendukung TI terkait masalah administratif.
21) Programme and Project Management Office (PMO) adalah
seseorang yang bertanggung jawab untuk mendukung program dan
proyek manajer, mengumpulkan, menilai dan melaporkan informasi
tentang pelaksabaab program dan proyek konstituen.
22) Value Management Office (VMO) adalah seseorang yang bertindak
sebagai secretariat untuk mengelola portofolio investasi dan layanan,
termasuk menilai dan memberi nasihat tentang peluang investasi,
manajemen control dan menciptakan nilai dari investasi dan jasa.
23) Service Manage adalah seorang individu yang mengelola
pengembangan, implementasi, evaluasi dan pengelolaan berkelanjutan
baru dan yang sudah ada.
67
24) Information Security Manage adalah seorang individu yang
mengelola, desain, mengawasi dan/atau menilai keamanan informasi
suatu organisasi.
25) Business Continuity Manager adalah seorang individu yang
mengelola, merancang, mengawasi dan/atau menilai kemampuan
kelangsungan usaha suatu organisasi, untuk memastikan bahwa fungsi
organisasi tetap beroperasi pada saat kritis.
26) Privacy Officer adalah seorang yang bertanggung jawab untuk
memantau risiko dan dampak bisnis undang-undang privasi dan untuk
membimbing dan koordinasi pelaksaan kebijakan dan kegiatan yang
akan memastikan bahwa arahan privasi terpenuhi. Privacy Officer
juga disebut sebagai petugas perlindungan data.
2.4.7 COBIT Process Assesment Model (PAM)
Model ini merupakan dasar untuk penilaian kemampuan proses TI suatu
perusahaan pada COBIT 5 dan program pelatihan dan sertifikasi bagi para penilai.
Proses penilaian ini dibuktikan dengan mengaktifkan proses penilaian yang dapat
diandalkan, konsisten dan berulang di bidang tata kelola dan manajemen TI.
Model penilaian memungkinkan penilaian oleh perusahaan untuk mendukung
perbaikan proses. Penilai dapat memisahkan bagian-bagian untuk memilih proses
yang akan dinilai. Pemetaan ini meliputi:
1) Menghubungkan tujuan perusahaan dengan tujuan TI perusahaan.
2) Menghubungkan tujuan TI perusahaan dengan tujuan proses TI.
68
3) Sebuah Framework untuk memilih bidang area.
COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan
indikator untuk bimbingan pada interpretasi dari tujuan proses perusahaan. Ada
dua jenis indikator penilaiannya, yaitu:
1) Indikator proses atribut kapabilitas/kemampuan (process capability
attribute) untuk kemampuan pada tingkat 0-5.
2) Indikator proses kinerja (process performance) untuk kemampuan
pada tingkat 1.
Indikator proses atribut kapabilitas/kemampuan digunakan di proses
penilaian kapabilitas COBIT 5 berupa:
1. Praktik Umum (Generic Practice (GP))
2. Hasil Kerja Umum (Generic Work Product (GWP))
Gambar 2.13 Assessment Indicators (ISACA, 2012)
69
2.4.8 Assessment Process Activities
Assesment Process Activities merupakan tahapan-tahapan aktifitas dalam
melakukan proses penilaian capability level untuk perusahaan (ISACA, 2012):
Gambar 2.14 Assesment Process Activities (ISACA, 2012)
1) Initiation
Initiation merupakan tahapan pertama dalam Assessment Process
Activities yang ada pada Process Assessment Model COBIT 5.
Bertujuan untuk menjelaskan hasil identifikasi dari beberapa
informasi yang dapat dikumpulkan.
2) Planning the Assessment
Tahap kedua adalah dilakukan rencana penilaian yang bertujuan untuk
mendapatkan hasil evaluasi penilaian capability level. Dengan
pengisian kuesioner oleh pihak-pihak yang terkait sesuai dengan
diagram RACI yang bertujuan untuk mendapatkan hasil evaluasi
penilaian capability level.
70
3) Briefing
Tahap ketiga adalah peneliti melakukan pengarahan kepada tim
penilai sehingga memahai masukan, proses dan keluaran dalam unit
organisasi yang akan di nilai dengan cara menentukan jadwal
kuesioner, menghubungi responden sesuai RACI Chart, Pengumpulan
dokumentasi, dan pelaporan.
4) Data Collection
Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan
yang terdapat di perusahaan yang bertujuan untuk mendapatkan bukti-
bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan.
5) Data Validation
Tahap kelima adalah dilakukan validasi data yang bertujuan untuk
mengetahui hasil perhitungan kuesioner agar mendapatkan evaluasi
penilaian capability level.
6) Process Attribute Level
Tahap keenam adalah dilakukan proses memberi level pada atribut
yang ada di setiap indikator, yang bertujuan untuk menunjukkan hasil
capability level dari hasil perhitungan kuesioner pada tahap-tahap
sebelumnya dan melakukan analisis gap pada tahapan berikutnya.
7) Reporting the Result
Tahap ketujuh adalah membuat laporan hasil evaluasi yang bertujuan
untuk memberikan rekomendasi kepada perusahaan dengan COBIT 5
untuk memiliki beberapa ketentuan yang harus dipenuhi.
71
2.4.9 Rating Scale
Atribut peringkat menggunakan skala peringkat standar yang terdiri dari:
1) N (Not achieved/tidak tercapai)
Pada skala peringkat ini tidak ada atau hanya sedikit bukti atas
pencapaian atribut di dalam proses penilaian. Skala peringkat nilai
yang diraih adalah 0-15%.
2) P (Partially achieved/tercapai sebagian)
Pada skala peringkat ini terdapat beberapa bukti mengenai pendekatan
dan beberapa pencapaian atribut di dalam proses penilaian. Skala
peringkat nilai yang diraih adalah 15-50%.
3) L (Largely achieved/tercapai sebagian besar)
Pada skala peringkat ini terdapat bukti atas pendekatan sistematis dan
pencapaian signifikan atas proses tersebut, walaupun masih ada
kelemahan pada atribut ini di dalam proses penialaian. Skala peringkat
nilai yang diraih adalah 50-85%.
4) F (Fully achieved/tercapai penuh)
Pada skala peringkat ini terdapat bukti atas pendekatan sistematis,
lengkap dan adanya pencapaian penuh atas atribut proses tersebut.
Tidak adanya kelemahan pada atribut proses. Skala peringkat nilai
yang diraih adalah 85-100%.
72
Gambar 2.15 Rating Scale (ISACA, 2012)
2.4.10 Determining the Capability Level
Capability level untuk setiap proses ditetapkan oleh apakah atribut proses pada
tiap level mencapai rating largely atau fully dan apakah proses atribut untuk level
yang dilewatinya telah mencapai rating fully. Suatu proses cukup meraih kategoril
largely achieved (L) atau fully achieved (F) untuk dapat dinyatakan bahwa proses
tersebut telah meraih suatu capability level tersebut, namun proses tersebut harus
meraih kategori fully achieved (F) untuk dapat melanjutkan penilaian ke
capability level berikutnya. Jadi misalnya suatu proses untuk meraih capability
level 3, maka level 1 dan 2 proses tersebut harus mencapai kategori fully achieved
(F), sementara level kapabilitas 3 cukup mencapai kategori Largely achieved (L)
atau Fully achieved (F). Berikut dibawah ini akan digambarkan batasan tiap level
dan rating yang harus dicapai (ISACA ,2012).
73
Gambar 2.16 Determining Capability Level (ISACA, 2012)
2.5 Fokus Area Tata Kelola Teknologi Informasi
Dalam proses pemilihan domain diperlukan proses identifikasi masalah sehingga
penentuan domain lebih tepat sasaran (Fitroh, Siregar, & Rustamaji, 2017).
Domain proses yang dipilih untuk evaluasi tata kelola TI berdasarkan kebutuhan
perusahaan dan didukung oleh kerangka COBIT 5 tentang pemetaan IT Goals
terhadap proses-proses COBIT (Gambar 2.10). Tahapan pemilihan domain adalah
sebagai berikut:
74
Gambar 2.17 Metode Penelitian Identifikasi Masalah dalam Menentukan Proses Domain
(Fitroh, Siregar, & Rustamaji, 2017).
Langkah yang pertama peneliti melakukan wawancara dengan Divisi IT di
PT. Jasa Marga (Persero), Tbk mengenai struktur organisasi, visi dan misi, uraian
tugas dan fungsi serta kondisi dan masalah yang terjadi di perusahaan. Fakta yang
ditemukan pada Divisi IT yaitu terdapat beberapa permasalahan mengenai adanya
indikasi ketidak patuhan pegawai terhadap kebijakan internal perusahaan dan
kurang optimalnya pengawasan dan evaluasi terhadap kinerja TI. Maka dilakukan
pemetaan stakeholder needs sebagai berikut:
Tabel 2.11 Identifikasi Stakeholder Needs
Kode Stakeholder needs
SN-1
Pengoptimalan kegiatan monitoring dan evaluasi dalam mengawasi
kepatuhan pegawai terhadap kebijakan TI serta kesesuaian kinerja agar
selaras dengan strategi bisnis di PT. Jasa Marga (Persero), Tbk.
75
Dari tabel hasil pemetaan stakeholder needs diatas dapat diketahui bahwa
saat ini kebutuhan perusahaan berfokus pada kepatuhan pegawai terhadap
kebijakan internal. Kemudian stakeholder needs tersebut dipetakan dalam
enterprise goals COBIT 5 sebagai berikut:
Gambar 2.18 Enterprise Goals
Berdasarkan hasil pemetaan tersebut, serta melihat fakta yang ditemukan
pada Divisi IT, maka enterprise goals yang selaras dan dipilih dalam penelitian ini
adalah nomor lima belas (15) Compliance with internal policies. Tahapan yang
dilakukan selanjutnya adalah melakukan pemetaan terhadap IT-related goals,
sebagai berikut:
1. S
takeh
old
er
va
lue o
f b
usi
ness
in
vest
men
ts
2. P
ort
ofo
lio
of
co
mp
eti
tive p
rod
ucts
an
d s
erv
ices
3. M
an
ag
ed
bu
sin
ess
ris
k (
safe
gu
ard
ing
of
ass
ets
4. C
om
pli
an
ce w
ith
exte
rna
l la
ws
an
d r
eg
ula
tio
ns
5. F
ina
ncia
l tr
an
spa
ren
cy
6. C
ust
om
er-
ori
en
ted
serv
ice c
ult
ure
7. B
usi
ness
serv
ice c
on
tin
uit
y a
nd
ava
ila
bil
ity
8. A
gil
e r
esp
on
ses
to a
ch
an
gin
g b
usi
ness
en
vir
on
men
t
9. In
form
ati
on
-ba
sed
str
ate
gic
decis
ion
ma
kin
g
10
. O
pti
mis
ati
on
of
serv
ice d
eli
very
co
sts
11
. O
pti
mis
ati
on
of
bu
sin
ess
pro
cess
fu
ncti
on
ali
ty
12
. O
pti
mis
ati
on
of
bu
sin
ess
pro
cess
co
sts
13
. M
an
ag
ed
bu
sin
ess
ch
an
ged
pro
gra
mm
es
14
. O
pera
tio
na
l a
nd
sta
ff p
rod
ucti
vit
y
15
. C
om
pli
an
ce w
ith
in
tern
al
po
licie
s
16
. S
kil
led
an
d m
oti
va
ted
peo
ple
17
. P
rod
uct
an
d b
usi
ness
in
no
va
tio
n c
ult
ure
Kode Stakeholder Needs
SN-1
Pengawasan dan evaluasi
yang optimal terhadap
pelaksanaan TI di
perusahaan dan kepatuhan
pegawai terhadap tata kelola
teknologi informasi PT. Jasa
Marga (Persero), Tbk.
Enterprise Goal
76
Gambar 2.19 Mapping COBIT 5 IT-Related Goals
Berdasarkan gambar di atas, enterprise goals nomor lima belas (15)
Compliance with internal policies memiliki hubungan primary dengan IT-related
goals nomor lima belas (15) IT compliance with internal policies. Tahapan
selanjutnya adalah melakukan pemetaan terhadap Enabler Goals sebagai berikut:
77
78
Gambar 2.20 Mapping COBIT 5 Process
Dari hasil pemetaan di atas dapat diketahui bahwa IT-related goals dari IT
Compliance with internal policies memiliki 4 proses COBIT yang primary atau
memiliki hubungan penting, yaiu sebagai berikut:
79
Tabel 2.12 Domain Hasil Pemetaan IT Goals
No. Domain Uraian
IT Compliance With Internal Policies
1. EDM03 (Ensure Risk Optimisation)
2. APO01 (Manage the IT Management Framework)
3. MEA01 (Monitor, Evaluate and Assess Performance and
Conformance)
4. MEA02 (Monitor, Evaluate and Asses the System of
Internal Control)
Setelah melihat fakta yang ditemukan pada Divisi IT PT. Jasa Marga
(Persero), Tbk dan melakukan kuesioner (pra penelitian) oleh pihak Divisi IT,
pihak divisi IT menentukan proses domain yang selaras dan dipilih untuk dikaji
lebih lanjut dalam penelitian ini adalah MEA01 (Monitor, Evaluate and Assess
Performance and Conformance) dan MEA02 (Monitor, Evaluate and Asses the
System of Internal Control).
2.5.1 MEA01 (Monitor, Evaluate and Assess Performance and Conformance)
Proses MEA01 adalah bagaimana mengumpulkan, memvalidasi, dan
mengevaluasi bisnis, TI dan tujuan proses dan metrics. Mengawasi proses yang
tidak sesuai dengan ketentuan dan tujuan yang ditentukan dan menyediakan
kegiatan pelaporan yang sistematik dan tepat waktu (ISACA, 2012). Tujuan dari
proses tersebut adalah menyediakan transparansi performa dan kesesuaian dan
mendorong pencapaian tujuan.
80
2.5.2 MEA02 (Monitor, Evaluate and Asses the System of Internal Control)
Proses MEA02 adalah bagaimana secara terus-menerus mengawasi dan
mengevaluasi lingkungan kontrol, termasuk penilaian diri sendiri, dan review dari
assurance independen. Memungkinkan management untuk mengidenfitikasi
kekurangan kontrol dan ketidakefektifan dan menginisialisasi aksi perbaikan.
Merancang, mengorganisasi, dan mempertahankan standar untuk penilaian
kontrol internal dan aktivitas assurance (ISACA, 2012).
Tujuan dari proses ini adalah mendapatkan tranparansi bagi stakeholder
kunci untuk kecukupan pada kontrol sistem internal yang akan membuat mereka
percaya pada kegiatan operational perusahaan, kepercayaan pada pencapaian dari
tujuan. perusahaan, dan pemahaman cukup terhadap risiko yang tersisa.
2.5.3 Identifikasi Kebutuhan Dokumen
Dalam melakukan penilaian proses pengawasan, evaluasi dan penilaian pada
kinerja, kesesuaian dan sistem pengendalian internal di PT. Jasa Marga (Persero),
Tbk berdasarkan framework COBIT 5, maka diperlukan identifikasi kebutuhan
dokumen yang perlu disiapkan oleh perusahaan dalam pelaksanaan evaluasi.
Pencapaian level kapabilitas 1 pada PT. Jasa Marga (Persero), Tbk, dapat dilihat
dengan melakukan pengecekan dokumentasi sesuai dengan aktivitas proses
MEA01 (Monitor, Evaluate and Assess Performance and Conformance) dan
MEA02 (Monitor, Evaluate and Asses the System of Internal Control) yang telah
terlaksana berdasarkan framework COBIT 5.
81
Berikut ini adalah daftar dokumentasi aktivitas level kapabilitas 1
berdasarkan aktivitas yang terdapat pada proses MEA01 (Monitor, Evaluate and
Assess Performance and Conformance):
1) MEA01.01 Menetapkan Pendekatan Monitoring
a. Identifikasi pemangku kepentingan (misalnya, manajemen,
pemilik proses dan penguna).
b. Pengikutsertaan stakeholders dalam komunikasi persyaratan
perusahaan dan tujuan untuk monitoring.
c. Evaluasi yang dilakukan perusahaan dengan menggunakan alat
yang digunakan dalam mengumpulkan data dan laporan
(misalnya, aplikasi pengawasan bisnis).
d. Penyesesuaian antara tujuan dan matrik (misalnya, kinerja, nilai,
resiko) dengan bukti data hasil kinerja.
e. Kesepakatan alur manajemen dan kontrol proses perubahan
dalam pengawasan dan pelaporan.
f. Pengalokasian sumber daya dalam melakukan monitoring.
g. Validasi yang dilakukan secara berkala dalam mengidentifikasi
stakeholders, kebutuhan dan sumberdaya baru atau yang diubah.
2) MEA01.02 Mengatur Tujuan Kinerja dan Kesesuaian
a. Pendefinisian dan peninjauan secara berkala terhadap tujuan dan
matrik dengan para stakeholders.
b. Komunikasi usulan perubahan kinerja dan kesesuaian target dan
toleransi dengan stakeholders.
82
c. Publikasi perubahan target dan toleransi kepada pengguna
informasi.
d. Evaluasi antara tujuan dan matrik yang spesifik, terukur dan
dapat dicapai secara relevan.
3) MEA01.03 Mengumpulkan Proses Kinerja dan Kesesuaian Data
a. Pengumpulan data dari proses kinerja yang ditetapkan.
b. Penilaian efensiensi, kesesuaian dan validasi integrasi dari data
yang dikumpulkan.
c. Pengumpulan data untuk mendukung pengukuran pencapaian
tujuan kinerja.
d. Penyelarasan antara data yang terkumpul dengan laporan hasil
kinerja perusahaan.
e. Penggunaan sistem dan alat-alat yang cocok untuk mengelola
format dari data yang dianalisis.
4) MEA01.04 Menganalisis dan Melaporkan Kinerja
a. Perancangan laporan proses kinerja yang ringkas dan mudah
dipahami dan disesuaikan dengan berbagai kebutuhan
manajemen dan audien.
b. Membandingkan antara nilai kinerja dengan target dan tolak
ukur internal perusahaan.
c. Penyesuaian antara rekomendasi perubahan yang diberikan
dengan tujuan dan matrik.
d. Mendistribusikan laporan kepada pemangku kepentingan terkait.
83
e. Menganalisa penyebab target tidak terealisasi.
f. Penyesuaian antara kelayakan dan pencapaian target kinerja
dengan sistem kompensasi penghargaan organisasi.
5) MEA01.05 Memastikan Pelaksanaan Tindakan Perbaikan
a. Peninjauan respon, pilihan dan rekomendasi dari manajemen
dalam menangani masalah dan penyimpangan.
b. Pembagian tanggung jawab untuk tidakan perbaikan.
c. Penelusuran terhadap hasil tidakan perbaikan.
d. Pelaporan dari hasil tindakan yang dilakukan.
Berikut ini daftar level kapabilitas 1 berdasarkan aktivitas yang terdapat
pada proses MEA02 (Monitor, Evaluate and Asses the System of Internal
Control):
1) MEA02.01 Memantau Pengendalian Internal
a. Pengawasan pengendalian dan evaluasi internal berdasarkan
standar tata kelola organisasi dan kerangka kerja industri yang
berlaku.
b. Pertimbangan oleh manajemen untuk melakukan evaluasi
independen dari pengendalian internal sistem (misalnya, dengan
audit internal atau rekan-rekan).
c. Identifikasi batas-batas sistem pengendalian internal TI.
d. Pengendalian internal organisasi dan pengecualian pelaporan,
tindak lanjut analisis, serta tindakan korektif yang diutamakan
organisasi lalu dilaksanakan sesuai dengan manajemen resiko.
84
e. Pemeliharaan sistem pengendalian internal TI, mengingat
perubahan yang sedang berlangsung dalam bisnis dan resiko TI
serta lingkungan pengendalian organisasi.
f. Evaluasi kinerja framework pengendalian IT, benchmarking
terhadap standar industri yang berlaku.
g. Penilaian terkait status penyedia layanan eksternal pengendalian
internal dan mengkonfirmasi bahwa penyedia layanan mematuhi
persyaratan hukum dan peraturan kewajiban kontrak.
2) MEA02.02 Mengulas Proses Bisnis Keefektifan Pengendalian
a. Memahami dan memprioritaskan resiko untuk tujuan organisasi.
b. Identifikasi pengendalian utama dan pengembangan strategi
yang sesuai untuk memvalidasi pengendalian.
c. Mengembangkan dan menerapkan prosedur keefektifan biaya
agar informasi yang didapatkan berdasarkan kriteria.
d. Identifikasi informasi yang persuasif menunjukkan apakah
lingkungan pengendalian internal beroperasi secara efektif.
e. Perlindungan bukti efektivitas pengendalian.
3) MEA02.03 Melaksanakan Kontrol Penilaian Diri
a. Mempertahankan rencana dan ruang lingkup serta
mengidentifikasi kriteria evaluasi untuk melakukan penilaian
diri dengan mempertimbangkan standar audit internal.
b. Penentuan frekuensi penilaian diri secara berkala, mengingat
keefektifan dan eisiensi pemantauan yang tengah berlangsung.
85
c. Penetapan tanggung jawab terkait penilaian diri kepada individu
yang tepat untuk menjamin objektivitas dan kompetensi.
d. Peninjauan independen untuk menjamin objektivitas dari
penilaian diri dan memungkinkan berbagi praktek pengendalian
internal yang baik dari perusahaan lain.
e. Membandingkan hasil penilaian diri terhadap standar industri
dan kerangka kerja yang baik.
f. Pelaporan hasil penilaian diri dan benchmarking untuk tindakan
perbaikan.
g. Pendekatan yang konsisten dalam melakukan kontrol penilaian
diri dan koordinasi dengan auditor internal dan eksternal.
4) MEA02.04 Mengidentifikasi dan Melaporkan Kekurangan
Pengendalian
a. Pengecualian pengendalian dan menetapkan tanggung Jawab
untuk menyelesaikan pengendalian dan melaporkan statusnya.
b. Pertimbangan resiko lembaga untuk membangun batasan
eskalasi pengecualian pengendalian dan kerusakan.
c. Mengkomunikasikan prosedur untuk peningkatan kontrol
pengecualian masalah, analisis akar penyebab masalah dan
pelaporan kepada pemilik proses serta stakeholders.
d. Keputusan pengecualian pengendalian harus dikomunikasikan
kepada individu yang bertanggung jawab serta
86
menginformasikannya kepada pemilik proses yang terkena
dampak dan para stakeholders.
e. Penindak lanjut dari semua pengecualian pengendalian guna
memastikan bahwa persetujuan tindakan telah ditangani.
f. Identifikasi dan penerapan tindakan perbaikan yang timbul dari
penilaian pengendalian dan pelaporan.
5) MEA02.05 Memastikan bahwa Penyedia Jaminan Independen dan
Berkualitas
a. Kepatuhan terhadap kode etik dan standar yang berlaku
(misalnya, Kode Etik Profesional ISACA, ISO) dan standar
jaminan lainnya.
b. Organisasi membangun kemandirian penyedia assurance.
c. Kompetensi dan kualifikasi penyedia assurance.
6) MEA02.06 Menginisiasi Rencana Assurance/Jaminan
a. Penentuan para pengguna untuk menginisiasi assurance.
b. Penilaian resiko level tinggi dan atau penilaian tentang
kemampuan proses untuk mendiagnosis resiko dan
mengidentifikasi proses TI yang kritis.
c. Pemilihan, penyesuaian dan pencapaian kesepakatan tentang
tujuan pengendalian untuk proses penting yang akan menjadi
dasar penilaian kontrol.
7) MEA02.07 Menginisiasi Ruang Lingkup Assurance/Jaminan
87
a. Penentuan ruang lingkup dengan mengidentifikasi tujuan
lembaga dan IT untuk lingkungan sumber daya, serta semua
entitas auditable yang relevan dalam perusahaan dan eksternal
perusahaan.
b. Penentuan rencana keterlibatan dan kebutuhan sumber daya.
c. Praktik yang dilakukan dalam mengumpulkan dan mengevaluasi
informasi dari proses yang dikaji untuk keperluan pengendalian
serta evaluasi resiko yang ada.
d. Mengesahkan desain pengendalian dan capaian guna
menentukan apakah tingkat efektivitas mendukung resiko yang
dapat diterima (yang dibutuhkan oleh organisasi).
e. Menentukan praktik untuk mengidentifikasi sisa resiko (dalam
persiapan untuk pelaporan).
8) MEA02.08 Melaksanakan Inisiatif Assurance/Jaminan
a. Pemahaman tentang subjek assurance.
b. Penentuan ruang lingkup tujuan pengendalian utama untuk
subjek assurance.
c. Pengujian efektifitas desain pengendalian dari tujuan
pengendalian utama.
d. Penambahan alternatif dalam menguji hasil dari tujuan
pengendalian utama.
e. Manajemen mendokumentasikan dampak kelemahan
pengendalian.
88
f. Komunikasi terhadap manajemen selama pelaksanaan inisiatif
sehingga ada pemahaman yang jelas tentang pekerjaan yang
dilakukan dan kesepakatan serta penerimaan temuan awal dan
rekomendasi.
g. Pengawasan kegiatan assurance dan memastikan pekerjaan
telah selesai untuk memenuhi tujuan dan kualitas yang dapat
diterima.
h. Keselarasan laporan dengan kerangka acuan, ruang lingkup dan
disepakati pada standar pelaporan yang mendukung hasil
inisiatif dan memungkinkan fokus jelas pada masalah utama dan
tindakan penting.
Untuk penilaian kapabilitas level 2 sampai dengan level 5, dokumen-
dokumen yang dibutuhkan untuk penilaian dan sekaligus berperan sebagai bukti
pengelolaan proses yang dilaksanakan tersebut adalah:
Gambar 2.21 Hubungan GWP untuk Cpability Level (ISACA,2012)
89
1) Dokumentasi proses: Nama proses, pemilik proses, ruang lingkup
proses, peranan proses, peta proses, diagram RACI, matriks kontrol
internal, dan prosedur proses.
2) Rencana proses: Tujuan performa proses, pengurusan sumber daya
proses, komunikasi proses, infrastruktur proses, lingkungan kerja,
kebutuhan kemampuan dan pengalaman, dan kebutuhan pelatihan.
3) Rencana kualitas: Pernyataan kebijakan kualitas dan tujuan, isi hasil
kerja, kriteria kualitas hasil kerja sebagai dasar review dan
persetujuan, dokumentasi hasil kerja, dan pengendalian perubahan
hasil kerja.
4) Catatan kualitas: Catatan review hasil kerja terhadap ketentuan dan
tindakan yang diambil.
5) Kebijakan dan standar: Tujuan dan tanggung jawab proses, batas
performa minimum proses, pemetaan proses standar, termasuk urutan
yang diharapkan dan interaksi antar proses, prosedur yang
standarisasi, peran dan kompetensi yang dibutuhkan untuk melakukan
proses, infrastuktur dan lingkungan kerja untuk melakukan proses,
ketentuan pelaporan dan pemantauan termasuk audit.
6) Rencana peningkatan proses: Tujuan peningkatan proses, analisis
terhadap best practice, kesempatan pengembangan teknologi, tindakan
peningkatan, rencana implementasi peningkatan, dan pendekatan
kualitas proyek.
90
7) Rencana pengukuran proses: Tujuan pengukuran, indicator
pengukuran yang disarankan, prosedur pengumpulan data, dan
prosedur analisis.
8) Rencana pengendalian proses: Teknik pengendalian, pendekatan
pengukuran, dan batasan performa normal.
9) Catatan performa proses: Catatan review terhadap ketentuan dan
tindakan yang diambil.
Perincian dari dokumen yang dibutuhkan untuk penilaian masing masing
level adalah sebagai berikut:
1) Level 2: 1, 2, 3, dan 4.
2) Level 3: 1, 2, 4, 5, dan 9.
3) Level 4: 1, 6, 7, 8, dan 9.
4) Level 5: 6 dan 9.
2.6 Pengendalian Internal
Pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran
yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian
dan keandalan data akuntansi, mendorong efisiensi dan mendorong terjadinya
kebijakan manajemen. Definisi sistem pengendalian internal tersebut menekankan
tujuan yang hendak dicapai dan bukan pada unsur-unsur yang membentuk sistem
tersebut, dengan demikian pengertian pengendalian internal tersebut di atas
91
berlaku baik dalam perusahaan yang mengolah informasinya secara manual,
dengan mesin pembukuan maupun dengan komputer (Mulyadi, 20014).
Tujuan dirancangnya sistem pengendalian internal dari kaca pandang terkini
dan yang sudah mencakup lingkup yang lebih luas pada hakikatnya adalah untuk
melindungi harta milik perusahaan, mendorong kecermatan dan kehandalan data
dan pelaporan, meningkatkan efektivitas dan efisiensi usaha serta mendorong
ditaatinya kebijakan manajemen yang telah digariskan dan aturan-aturan
(termasuk undang-undang) yang ada (Gondodiyoto, 2007). Faktor-faktor yang
menyebabkan makin pentingnya sistem pengendalian internal (Gondodiyoto,
2007), antara lain:
1) Perkembangan kegiatan dan skalanya menyebabkan kompleksitas
struktur, sistem dan prosedur suatu organisasi makin rumit. Untuk
dapat mengawasi operasi organisasi, manajemen hanya mengandalkan
kepercayaan atas berbagai laporan dan analisa.
2) Tanggung jawab utama untuk melindungi aset organisasi, mencegah
dan menemukan kesalahan-kesalahan serta kecurangan-kecurangan
yang terletak pada management, sehingga management harus
mengatur sistem pengendalian internal yang sesuai untuk memenuhi
tanggung jawab tersebut.
3) Pengawasan dari satu orang (saling cek) merupakan cara yang tepat
untuk menutup kekurangan-kekurangan yang bisa terjadi pada
manusia. Saling cek ini merupakan salah satu karakteristik sistem
pengendalian internal yang baik.
92
4) Pengawasan yang “built-in” langsung pada sistem berupa
pengendalian intern yang baik dianggap lebih tepat daripada
pemeriksaan secara langsung dan detai oleh pemeriksa (khususnya
yang berasal dari luar organisasi).
Gondodiyoto melanjutkan, ada beberapa asumsi dasar yang perlu dipahami
mengenai pengendalian internal bagi suatu entitas organisasi atau perusahaan
(Gondodiyoto, 2007), yaitu:
1) Sistem pengendalian internal merupakan management responsibility.
Bahwa sesungguhnya yang paling berkepentingan terhadap sistem
pengendalian internal suatu entitas organisasi/perusahaan adalah
manajemen (lebih tegasnya lagi ialah top management/direksi), karena
dengan sistem pengendalian internal yang baik itulah top management
dapat mengharapkan kebijakannya dipatuhi, aktiva atau harta
perusahaan dilindungi dan penyelenggaraan pencatatan berjalan baik.
2) Top management bertanggung jawab menyusun sistem pengendalian
internal, tentu saja dilaksanakan oleh para staffnya. Dalam
penyusunan team yang akan ditugaskan untuk merancang sistem
pengendalian internal, harus dipilih anggotanya dari para
ahli/kompeten, termasuk berkaitas dengan TI.
3) Sistem pengendalian internal seharusnya bersifat generik, mendasar
dan dapat diterapkan pada setiap perusahaan pada umumnya (tidak
boleh jika hanya berlaku untuk suatu perusahaan tertentu saja,
melainkan harus ada hal-hal yang bersifat dasar yang berlaku umum).
93
4) Sistem pengendalian internal adalah reasonable assurance, artinya
tingkat rancangan yang kita desain adalah yang paling optimal. Sistem
pengendalian yang baik adalah bukan yang paling maksimal, apalagi
harus dipertimbangkan dengan cost benefit-nya.
5) Sistem pengendalian internal mempunyai keterbatasan-keterbatasan
atau constraints, misalnya adalah sebaik-baiknya kontrol tetapi jika
para pegawai yang melaksanakannya tidak cakap atau kolusi maka
tujuan pengendalian itu mungkin tidak tercapai.
6) Sistem pengendalian internal harus selalu dan terus menerus
dievaluasi, diperbaiki, disesuaikan dengan perkembangan kondisi dan
teknologi.
2.7 Metodologi Penelitian
Metode yang digunakan dalam penelitian ini adalah sebagai berikut:
2.7.1 Teknik Pengumpulan Data
1) Observasi
Observasi adalah melakukan pengamatan secara langsung ke obyek
penelitian untuk melihat dari dekat kegiatan yang dilakukan.
Observasi atau pengamatan merupakan suatu teknik atau cara
mengumpulkan data dengan jalan mengadakan pengamatan terhadap
kegiatan yang sedang berlagsung (Guritno et al, 2011).
Observasi adalah teknik pengumpulan data dengan cara
mengamati secara langsung maupun tidak tentang hal-hal yang
94
diamati dan mencatatnya pada alat observasi. Sedangkan “check list”
atau daftar cek yang merupakan pedoman observasi yang berisikan
daftar dari semua aspek yang diamati, sebagai instrument yang
digunakan pada kuesioner (Sanjaya, 2013).
2) Wawancara
Wawancara (interview), adalah teknik penelitian yang dilaksanakan
dengan cara dialog baik secara langsung (tatap muka) maupun melalui
saluran media tertentu antara pewawancara dengan yang
diwawancarai sebagai sumber data (Sanjaya, 2013).
Pedoman wawancara dapat berisi uraian penelitian yang
biasanya dituangkan dalam bentuk daftar pertanyaan agar proses
wawancara dapat berjalan dengan baik. Isi pertanyaan dapat berupa
fakta, data pengtahuan, konsep, pendapat, atau evaluasi responden
berkenaan dengan topik permasalahan yang sedang dikaji (Sudaryono
et al, 2011).
Wawancara merupakan suatu pendekatan komunikasi karena
terjadi proses komunikasi untuk mendapatkan datanya. Pendekatan
komunikasi berbeda dengan pendekatan observasi. Pendekatan
observasi tidak berinteraksi langsung dengan objek datanya,, tetapi
hanya observasi saja, maka pendekatan ini baik untuk mengamati
proses, kondisi, kejadian-kejadian atau perilaku manusia. Akan tetapi
pendekatan komunikasi karena berinteraksi dengan respondennya,
95
maka baik digunaka untuk mengumpulkan data, sikap, motivasi, opini,
ekspektasi atau niat dari respondennya.
3) Studi Pustaka
Metode ini dilakukan dengan cara membaca buku-buku dan website
referensi yang dapat dijadikan sebagai rujukan bagi keseluruhan
proses studi, agar kebenaran hasil studi dapat dipertanggung-
jawabkan. Data yang dikumpulkan melalui metode studi pustaka ini
berguna untuk mendukung data - data yang telah didapat melalui
metode yang sudah dilakukan sebelumnya (Jogiyanto, 2008). Berikut
ini adalah studi pustaka penelitian sejenis yang digunakan pada
penelitian ini:
Tabel 2.13 Penelitian Sejenis
No. Nama Tahun Judul Kerangka
Kerja
1 Suryo
Suminar 2014
Evaluasi Tata Kelola Teknologi
Informasi Menggunakan
Framework COBIT 5 Fokus
Proses Manage Security (APO13)
dan Manage Security Service
(DSS05) Studi Kasus: PPIKSN-
BATAN
COBIT 5
Penelitian ini bertujuan mengetahui capability level untuk kondisi keamaan
sistem saat ini (as is) dan kondisi yang diinginkan (to be) pada domain
(APO13) dan Manage Security Service (DSS05) di PPIKSN berdasarkan
COBIT 5. Hasil perhitungan capability level berada pada level 2 (Managed
Process) yang artinya proses pada APO13 dan DSS05 telah dilakukan
dengan cara yang direncanakan berdasarkan dengan rencana kerja organisasi,
dimonitor untuk hasilnya dan dilaporkan pada laporan akuntabilitas
organisasi serta disesuaikan dengan visi misi dari PPIKSN-BATAN
96
2
Fajrin Rizkia
Pratiwi
Suwarno
2014
Evaluasi Tata Kelola Teknologi
Informasi Menggunakan
Framework COBIT 5 Fokus Pada
Proses Manage Relationship
(APO08) (Studi Kasus : PT. OTO
Multiartha)
COBIT 5
Penelitian ini bertujuan untuk menghasilkan analisis terhadap proses
penagihan untuk memonitoring Field Collector guna mengevaluasi
keselarasan tujuan TI dan bisnis. Hasil perhitungan nilai capability level pada
penelitian ini sebesar 2,76 sedangkat target capability level adalah 4,00.
Untuk dapat mengatasi gap yang ada maka PT. OTO Multiartha
direkomendasikan untuk membuat dokumen SLA (Service Level Agreement)
sebagai bentuk pencapaian atas performansi yang telah dicapai.
3 Sahbani
Siregar 2016
Evaluasi Tata Kelola Teknologi
Informasi Berdasarkan Framework
COBIT 5 Pada Pusat Informasi
dan Hubungan Masyarakat
Kementrian Agama RI (Fokus
EDM03, APO01, MEA02)
COBIT 5
Pada penelitian ini, Process Assessment Model (PAM) COBIT 5 digunakan
sebagai metode yang compatible untuk tujuan penilaian kapabilitas proses.
Hasil dari penelitian ini menunjukkan capability level pada proses EDM03,
APO01 dan MEA02 berada pada level 2 (Managed Process), dengan tingkat
kapabilitas yang diharapkan berada di level 4. Dalam penelitian ini, peneliti
memberikan rekomendasi agar membuat program manajemen resiko
keamanan informasi, membuat kebijakan tegas terkait ketidakpatuhan
pegawai pada regulasi danmembuat perencanaan sumber daya manusia.
4 Nur Indah
Fitrianingsih 2014
Audit Digital Library UIN Sunan
Kalijaga Yogyakarta
Menggunakan Framework COBIT
5
COBIT 5
Penelitian ini berfokus pada proses BAI04 (Manage Availability and
Capacity) dan MEA01 (Monitor, Evaluate and Asses Performance and
Conformance) dengan hasil penelitian untuk proses BAI04 dan MEA01
berada pada level 2 (Managed Process), kondisi dimana proses telah
mencapai tujuannya dengan melakukan pengelolaan (direncanakan,
dimonitor dan disesuaikan), hasil dari proses secara tepat ditetapkan,
97
dikendalikan dan dipertahankan.
5 Fadjri
Prasetya 2014
Usulan Tata Kelola Teknologi
Informasi Pada Rumah Sakit Pusat
Pertamina Menggunakan
Framework COBIT 5 Fokus pada
Proses Manage Inovation
(APO04)
COBIT 5
Penelitian ini melakukan usulan tata kelola teknologi informasi pada RSPP
yang difokuskan pada proses APO04 (Manage Inovation). Capability level
pada APO04 RSPP berada di level 3 Established Process artinya RSPP harus
sudah memiliki ketetapan dalam mengelola inovasi, namun dalam
penerapannya belum semua Generic Practice pada level 3 terpenuhi.
Sedangkan untuk kondisi yang diharapkan adalah level 4 Predictable
Process yang direkomendasikan perlu adanya SOP.
4) Kuesioner
Metode ini dilakukan dengan cara menyebarkan kertas kuesioner yang
berisi pertanya-pertanyaan yang dibuat untuk mendapatkan informasi
yang relevan dengan tujuan survei dan memperoleh informasi dengan
reabilitas dan validitas setinggi mungkin (Jogiyanto, 2008).
Kuesioner merupakan instrumen penelitian berupa daftar
pertanyaan atau pernyataan secara tertulis yang harus dijawab atau
diisi oleh responden sesuai dengan petunjuk pengisiannya (Sanjaya,
2013).
98
2.7.2 Metode Luftman
Luftman telah membangun sebuah metode yang dapat membantu sebuah
perusahaan mengetahui tingkat kematangan strategis yang dimiliki oleh
perusahaan tersebut. Metode Luftman ini di kenal dengan sebutan Framework
Luftman atau model kematangan penyelarasan strategis Luftman. Dengan
mengetahui posisi kematangan penyelarasan strategis pada perusahaan maka
upaya untuk memperkecil hal-hal yang menjadi faktor penghambat (inhibitors)
dan meningkatkan faktor pendukung (enabler) dapat dilakukan dengan baik.
Terdapat 5 (lima) tingkat kematangan penyelarasan strategis yang dijabarkan pada
metode Luftman dibawah ini (Lutman & Kempaiah, 2007), yaitu :
1) Initial/Ad Hoc Process
Pada tingkat kematangan ini, dapat dikatakan bahwa tidak terdapat
keselarasan maupun harmonisasi pada sisi bisnis dan teknologi
informasi yang ada. Perusahaan yang memiliki karakteristik pada
tingkat ini, sangat kecil kemungkinannya untuk mencapai keselarasan
terhadap komponen-komponen bisnis dan teknologi informasi.
2) Committed Process
Perusahaan yang berada pada tingkatan kematangan ini didefinisikan
telah memiliki kemauan dan kesadaran dalam membangun komitmen
bersama serta mulai menjalankan komitmen tersebut untuk mencapai
keselarasan pada keadaan yang lebih baik.
99
3) Established Focused Process
Perusahaan yang telah mencapai tingkat kematangan ini, ada
penyelarasan strategis yang mencirikan bahwa dengan kematangan
penyelarasan strategis yang di bangun maka perusahaan sudah lebih
berkonsentrasi pada kegiatan-kegiatan yang dapat mewujudkan tujuan
bisnis tertentu dan pada tingkat ini perusahaan sudah dapat dikatakan
sebagai perusahaan yang sudah selaras namun dibutuhkan
peningkatan yang lebih baik ke tingkat berikutnya.
4) Improved/Managed Process
Pada tingkat kematangan ini perusahaan menunjukkan bahwa
perusahaan telah menerapkan konsep teknologi informasi sebagai
value center pada perusahaannya.
5) Optimized Process
Dalam tingkat kematangan ini, semua kegiatan-kegiatan sudah
terintegrasi dengan sangat baik, perencanaan strategis yang akan
dibangun pun telah secara bersama-sama didiskusikan oleh
manajemen bisnis dan teknologi informasi.
Berikut ini merupakan gambaran tingkat gap penyelarasan strategis antara
teknologi informasi bisnis dan bisnis yang dijabarkan oleh Luftman.
100
Gambar 2.22 Gap Kematangan Penyelarasan Strategis (Luftman & Kempaiah, 2007)
Berdasarkan gambar diatas dapat dijelaskan bahwa semakin tinggi level atau
tingkat kematangan strategi yang dimiliki oleh sebuah perusahaan maka akan
semakin kecil atau sempit jarak antara strategi teknologi informasi dengan strategi
bisnis dan akan dapat membantu perusahaan dalam meningkatkan keselarasan
antara strategi teknologi informasi dan strategi bisnis (Lutman & Kempaiah,
2007). Langkah selanjutnya yang harus diambil adalah memusatkan energi
perusahaan pada hal yang dapat memaksimalkan alignment dan meminimalkan
faktor penghambatnya. Berikut ini adalah gambar enam kriteria penyelarasan
strategi bisnis dan strategi teknologi informasi menurut model Luftman, yaitu:
1) Komunikasi (Communications )
Terjadinya aktivitas pertukaran informasi yang teratur antara bisnis
dan TI, dimana adanya ketidak sesuaian antara bisnis dan TI yaitu
kurang maksimalnya pemanfaatan TI pada proses bisnis. Mengingat
lingkungan organisasi yang dinamis, saling berbagi pengetahuan
dalam organisasi yang dilakukan secara berkelanjutan.
101
2) Kompetensi/ Nilai pengukuran (Competency/ValueMeasurement)
Seringkali TI tidak dapat menunjukkan kapabilitas mereka untuk
bisnis dalam konteks yang dimengerti oleh bisnis karena nilai dari
metrik bisnis dan TI berbeda. Biasanya Service Level Agreement
(SLA) diperlukan agar pihak bisnis mengerti sejaub mana komitmen
TI dalam pemberian layanan kepada bisnis.
3) Tata kelola (Governance)
Kriteria tata kelola dipengaruhi oleh faktor-faktor seperti:
a. Peran TI dan bisnis dalam rencana strategis masing-masing
pihak.
b. Praktik struktur oraganisasi, kepada siapa top level management
di bidang TI bertanggung jawab dalam struktur organisasi.
c. Penempatan pendanaan investasi TI.
d. Prioritas investasi TI dan tujuan umum dari investasi TI.
4) Kemitraan (Partnership)
Keseimbangan peran bisnis dan TI dalam organisasi merupakan hal
penting dalam keselarasan bisnis dengan TI. Faktor-faktor yang
mempengaruhi kriteria ini yaitu pandangan organisasi dalam
kontribusi masing-masing pihak bisnis dan TI, kepercayaan yang
terjalin antara kedua belah pihak dan keseimbangan dalam
menanggung resiko.
102
5) Ruang lingkup dan arsitektur (Scope &Architecture)
Kriteria ini bertujuan untuk menilai kematangan TI, sejauh mana TI
mampu dalam berkontribusi pada hal berikut:
a. Mendukung back office dan front office organisasi.
b. Mendukung infrastruktur yang fleksibel dan transparan untuk
semua mitra bisnis dan pelanggan.
c. Mengevaluasi dan menerapkan teknologi baru secara efektif.
d. Menjadi enabler bagi proses dan strategi organisasi.
6) Keahlian (Skills)
Keahlian organisasi mencakup seluruh pertimbangan sumber daya
manusia pada organisasi. Pertimbangan-pertimbangan tersebut
mencakup pelatihan. Feedback terhadap kinerja, kemampuan
berinovasi dan peluang karir. Kesiapan TI organisasi dalam menerima
perubahan, potensi belajar dan mengadaptasi ide-ide baru.
2.7.3 Metode Purposive Sampling
Purposive sampling adalah teknik untuk menentukan sampel penelitian dengan
beberapa pertimbangan tertentu yang bertujuan agar data yang diperoleh nantinya
bisa lebih representatif (Sugiyono, 2010). Purposive sampling merupakan metode
penetapan sampel dengan memilih beberapa sampel tertentu yang dinilai sesuai
dengan tujuan atau masalah penelitian dalam sebuah populasi (Nursalam, 2008).
Dapat disimpulkan bahwa pengertian teknik purpose sampling adalah teknik
mengambil sampel yang dilakukan secara sengaja dan telah sesuai dengan semua
103
persyaratan sampel yang akan diperlukan. Di bawah ini adalah syarat yang
dibutuhkan dalam menentukan sampel pada purposive sampling:
1) Penentuan karakteristik populasi yang akan diambil, harus dilakukan
dengan cermat di dalam studi pendahuluan yang dapat dipercaya.
2) Pengambilan sampel harus didasarkan atas ciri-ciri, sifat atau
karakteristik tertentu, di mana semua hal tersebut merupakan ciri-ciri
pokok populasi dari sampel yang akan diambil.
3) Subjek yang akan digunakan sebagai sampel, harus benar-benar
merupakan subjek yang paling banyak mengandung ciri-ciri yang
terdapat pada populasi keseluruhan sampel tersebut.
2.7.4 Teknik Analisis Data
Metode analisis data pada penelitian ini menggunakan Assessment Process
Activities yang terdapat pada framework COBIT 5 khususnya pada proses MEA01
(Monitor, Evaluate and Assess Performance and Conformance) dan MEA02
(Monitor, Evaluate and Asses the System of Internal Control) (ISACA, 2012).
1) COBIT 5 Assessment Process Activities
Assessment Process Activities adalah manajemen proyek dasar dari
praktik yang baik dan memberikan penilaian pada enam tahap untuk
menjamin hasil evaluasi sesuai pada tujuan orgnisasi. Berikut enam
tahap evaluasi tata kelola (ISACA, 2012): Initiation, Planning the
Assessment, Data Collection, Data Validation, Process Attribute Level
and Reporting the Result.
104
2.8 Skala Pengukuran
Dalam penelinian ini peneliti menggunakan skala pengukuran yaitu Skala Likert.
Skala Likert berwujud pertanyaan-pertanyaan sikap yang ditulis, disusun dan
dianalisis sedemikian rupa sehingga respons seseorang terhadap pertanyaan
tersebut dapat diberikan angka (skor) dan kemudia dapat diinterpretasikan
(Risnita, 2012). Skala Likert tidak terdiri dari hanya satu stimulus atau satu
pertanyaan saja melainkan selalu berisi banyak item (multiple item measure).
Penelitian yang paling sering menggunakan skala ini adalah bila penelitian
menggunakan jenis penelitian survey deskriptif. Nama skala ini diambil dari nama
penciptanya Rensis Likert, yang menerbitkan suatu laporan yang menjelaskan
penggunaannya.
Skala Likert digunakan untuk mengukur sikap, pendapat dan persepsi
seseorang atau sekelompok orang tentang fenomena sosial (Sugiyono & Azwar,
2009). Biasanya disediakan lima pilihan skala dengan format sebagai berikut:
Tabel 2.14 Tabel Skor Skala Likert (Sugiyono, 2009)
No. Keterangan Skor
Positif Negatif
1. Sangat Setuju 5 1
2. Setuju 4 2
3. Ragu-ragu 3 3
4. Tidak Setuju 2 4
5. Sangat Tidak Setuju 1 5
Dalam menentukan nilai dan tingkat kapabilitas dari MEA01 (Monitor,
Evaluate and Assess Performance and Conformance) dan MEA02 (Monitor,
105
Evaluate and Asses the System of Internal Control) peneliti menggunakan metode
perhitungan likert yang digunakan oleh Krisdanto Surendro pada bukunya yang
berjudul Implementasi Tata Kelola TI. Maka didapatkan rumus penilaian sebagai
berikut:
1) Menghitung Rekapitulasi Jawaban Kuesioner
𝐶 = 𝐻
𝐽𝑅 𝑋 100%
Keterangan:
C : Rekapitulasi jawaban kuesioner Capability Level dalam bentuk
presentase.
H : Jumlah jawaban kuesioner Capability Level pada masing-masing
pilihan jawaban a, b, c, d, e atau f di setiap aktifitas.
JR : Jumlah Responden/Narasumber
2) Menghitung Nilai dan Capability Level
𝑁𝐾 = (𝐿𝑃 𝑥 𝑁𝑘𝑎) + (𝐿𝑃 𝑥 𝑁𝑘𝑏) + (𝐿𝑃 𝑥 𝑁𝑘𝑐) + (𝐿𝑃 𝑥 𝑁𝑘𝑑) + (𝐿𝑃 𝑥 𝑁𝑘𝑒) + (𝐿𝑃 𝑥 𝑁𝑘𝑓)
100
Keterangan:
NK : Nilai kematangan pada proses tata kelola TI.
LP : Level percentage (tingkat presentase pada setiap distribusi jawaban
kuesioner capability level).
106
Nk : Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai
dan tingkat kematangan.
Pada penelitian ini dilakukan pembedaan istilah antara nilai kapabilitas dan
tingkat kapabilitas. Nilai kapabilitas dapat bernilai tidak bulat (bilangan pecahan),
yang mempresentasikan proses pencapaian menuju suatu tingkat kapabilitas
tertentu. Sedangkat tingkat kapabilitas lebih menunjukkan tahapan atau kelas yang
dicapai dalam proses kapabilitas, yang dinyatakan dalambilangan bulat (Surendro,
2009).
Tabel 2.15 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas
Rentang nilai Jawaban Nilai Kapabilitas Tingkat Kapabilitas
0 - 0,50 a 0,00 0 Incomplete Process
0,51 – 1,50 B 1,00 1 Performed Process
1,51 – 2,50 C 2,00 2 Managed Process
2,51 – 3,50 D 3,00 3 Established Process
3,51 – 4,50 E 4,00 4 Predictable Process
4,51 – 5,00 F 5,00 5 Optimizing Process
15
107
BAB III
METODOLOGI PENELITIAN
Bab ini membahas mengenai metodologi penelitian yang dilakukan peneliti
terhadap analisa evaluasi capability level berdasarkan framework COBIT 5 di
Divisi IT pada PT. Jasa Marga (Persero), Tbk. Berikut ini dijelaskan lebih lanjut
metodologi penelitian yang dilakukan:
3.1 Desain Penelitian
Metode penelitian yang digunakan pada penelitian ini adalah metode kualitatif
dengan menggunakan studi kasus sebagai objeknya, yaitu suatu cara yang
sistematis dalam melihat suatu kejadian, mengumpulkan data, menganalisis
informasi dan melaporkan hasilnya. Dalam studi kasus ini, data yang digunakan
adalah data primer dan data sekunder. Data primer didapat dari metode
pengumpulan data berupa wawancara, observasi dan kuesioner serta data
sekunder yang didapat dari metode pengumpulan data yaitu studi pustaka.
3.2 Prosedur Penelitian
Merujuk pada pendekatan dan strategi penelitian yang sudah dijelaskan
sebelumnya, penelitian ini dilakukan menggunakan tujuh tahap yang secara
prosedural dan berurutan seperti diperlihatkan pada kerangka berpikir penelitian
gambar 3.1 yang terdiri dari tahap: Initiation, Planning the Assessment, Briefing,
Data Collection, Data Validation dan Reporting the Result (ISACA, 2012).
108
Berikut adalah penggambaran proses alur dari ketujuh tahapan dalam penelitian
ini yang mengacu pada tahapan COBIT 5 dari ISACA (2012). Penelitian secara
langsung di PT. Jasa Marga (Persero), Tbk berjalan dan dilakukan dalam kurun
waktu 4 bulan mulai dari Juli 2017 sampai dengan bulan Oktober 2017, urutan
waktu pelaksanaannya dapat dilihat pada tabel 3.1.
Tabel 3.1 Jadwal Penelitian
Jadwal Penelitian Juli Agustus September Oktober
Pembagian Kuesioner
Pengumpulan Dokumen
Rekapitulasi Hasil
Kuesioner
Pelaporan Hasil
Penelitian
3.3 Populasi dan Sampel Penelitian
Populasi dalam penelitian ini adalah staff pada Divisi IT di kantor pusat PT. Jasa
Marga (Persero), Tbk. Berdasarkan laporan jumlah karyawan yang diperoleh dari
Wakil Kepala Divisi IT, jumlah karyawan saat ini di Divisi IT per Juli 2017
adalah sebanyak 68 orang. Tahap selanjutnya peneliti mengambil teknik sampling
melalui metode purposive sampling. Metode purposive sampling ini merupakan
metode dalam menenentukan responden yang dianggap mampu atau memenuhi
kriteria yang ditentukan. Kriteria yang dimaksud dalan penelitian ini adalah
dimana setiap key management practice memiliki RACI Chart yang bertanggung
jawab terhadap aktivita-aktivitas di dalamnya.
Sehingga responden penelitian didapatkan dari hasil konversi struktur
organisasi perusahaan dengan diagram RACI Chart yang terdapat pada COBIT 5.
109
Konversi struktur organisasi yang dilakukan adalah dengan menyelaraskan fungsi
dan tugas dari RACI Chart dengan struktur organisasi Divisi IT. Berikut ini
adalah hasil dari identifikasi RACI Chart pada proses MEA01 (Monitor, Evaluate
and Asses Performance and Conformance) dan MEA02 (Monitor, Evaluate and
Asses the System of Internal Control) yang telah dikonversikan dengan struktur
organisasi Divisi IT:
Tabel 3.2 Daftar Responden
No Responden Jumlah
1. President Divisi IT 3
2. President IT Development 4
3. President IT Operation 2
4. Senior IT Control & Management 3
5. Manager Service Desk 1
6. Manager IT Compliance 1
7. Manager IT Operation Management 1
8. Manager IT Decision & EIS 1
Jumlah 16
Keterangan tugas pokok terdapat pada BAB IV.
3.4 Teknik Pengumpulan Data
Pada penelitian ini, teknik pengumpulan data yang digunakan adalah observasi,
wawancara, dan studi pustaka. Berikut ini adalah penjelasan terkait kegiatan
pengumpulan data yang dilakukan:
3.4.1 Observasi
Observasi dilakukan dengan mengumpulkan data yang diambil dari hasil
pengamatan langsung terhadap objek yang menjadi penelitian. Observasi pada PT.
Jasa Marga (Persero), Tbk dimulai pada 16 Maret 2017 hingga 16 Juni 2017
110
dilakukan seminggu sekali di kantor pusat PT. Jasa Marga (Persero), Tbk
khususnya pada Divisi IT yang beralamat pada Plaza Tol Taman Mini Indah,
Jakarta. Pengumpulan data melalui observasi dilakukan dengan melihat langsung
bagaimana proses pengendalian internal serta kesesuaian kinerja yang berjalan.
Kegiatan ini dilakukan dibawah bimbingan Ibu Diah sebagai senior specialist IT
control & monitoring pada Divisi IT.
3.4.2 Wawancara
Wawancara ini dilakukan dengan melakukan diskusi dan tanya jawab dengan
Bapak Randy selaku Kepala Divisi IT dan Ibu Diah selaku senior specalist IT
control & monitoring. Pelaksanaan wawancara dilakukan berdasarkan kebutuhan
informasi dan data-data yang diperlukan dalam analisis proses bisnis yang
berjalan di perusahaan. Wawancara dilakukan untuk mengetahui terkait kegiatan
pengawasan, evaluasi dan penilaian pada kesesuaian kinerja dan pengendalian
internal di PT. Jasa Marga (Persero), Tbk.
Pertanyaan yang diajukan berkaitan dengan tugas dan wewenang, tugas
pokok dan fungsi, ruang lingkup kerja di Divisi IT, layanan TI yang diterapkan,
permasalahan dan dampak dari penerapan sistem yang ada, pengelolaan TI dan
harapan terhadap pengelolaan TI ke depannya yang lebih baik. Sehingga dari
wawancara tersebut didapatkan data yang diperlukan dalam penelitian seperti
hasil temuan, kesenjangan dan kendala yang terjadi berkaitan dengan kegiatan
pengawasan, evaluasi dan penilaian serta penentuan proses domain. (Hasil
wawancara terdapat pada lampiran).
111
3.4.3 Studi Pustaka
Studi pustaka dilakukan dengan mempelajari teori-teori yang berkaitan dengan
tata kelola teknologi informasi dan COBIT 5. Teori-teori tersebut berasal dari
buku-buku, jurnal, e-book dan penelitian-penelitian yang mendukung skripsi ini.
Penelitian sejenis dengan topik penelitian ini dapat dilihat pada BAB II tabel
2.12 Penelitian Sejenis. Studi literatur sejenis diperoleh dari penelitian dengan
topik yang sama mengenai tata kelola teknologi informasi. Topik penelitian
tersebut berasal dari UIN Syarif Hidayatullah Jakarta dan Universitas lainnya.
Studi literatur yang menjadi acuan utama pada penelitian ini yaitu jurnal COBIT 5
yang dikeluarkan oleh ISACA pada tahun 2012-2013 dengan judul COBIT 5
Framework, COBIT 5 Enabling Process, COBIT 5 Implementation, COBIT 5
Process Assessment Model dan COBIT 5 Process Reference Guide.
3.5 Teknik Analisis Data
Dalam penelitian ini, peneliti menggunakan Assessment Process Activities yang
terdapat pada COBIT 5 dalam melakukan analisis data dan proses penilaian
capability level sebagai berikut:
3.5.1 Initiation
Pada tahap initiation ini peneliti melakukan pengumpulan data yang akan di
analisis pada tahap selanjutnya. Tahap ini dilakukan dengan memahami kondisi
yang sebenarnya dari perusahaan yang akan dievaluasi termasuk hukum dan
aturan yang ada di perusahaan. Tujuannya adalah untuk identifikasi awal pada PT.
112
Jasa Marga (Persero), Tbk yang mencakup struktur organisasi, proses TI, user,
fasilitas yang tersedia, serta kebijakan yang berlaku. Hal ini dilakukan dengan
metode pengumpulan data yaitu observasi dan wawancara secara langsung pada
Divisi IT di PT. Jasa Marga (Persero), Tbk.
3.5.2 Planning the Assessment
Pada tahapan ini dilakukan perencanaan penilaian dengan pembuatan kuesioner
dengan menggunakan skala Likert yang akan diisi oleh responden yang telah
ditentukan dengan pemetaan RACI Chart. Data kuesioner tersebut akan
digunakan sebagai data primer dalam menganalisis evaluasi capability level
proses pengawasan, evaluasi dan penilaian kesesuaian kinerja dan pengendalian
internal.
3.5.3 Briefing
Pada tahap ini peneliti akan menjelaskan jadwal penelitian yang akan dilakukan
dan berdiskusi dengan para responden yang terdapat pada RACI Chart sehingga
memahami aktivitas pada perusahaan dan proses yang akan dinilai, pengumpulan
dokumen-dokumen yang dibutuhkan, hasil rekapitulasi jawaban kuesioner hingga
pada tahap reporting atau pelaporan hasil penilaian.
3.5.4 Data Collection
Pada tahap ini, dilakukan pengumpulan data berupa hasil temuan berdasarkan
proses MEA01 (Monitor, Evaluate and Asses Performance and Conformance)
113
dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control). Hasil
temuan digunakan sebagai bukti pencapaian proses pada level 1. Tahapan ini
dilakukan dengan metode observasi serta wawancara secara langsung pada Divisi
IT PT. Jasa Marga (Persero), Tbk, berdasarkan setiap aktivitas yang terdapat pada
proses yang telah ditentukan.
3.5.5 Data Validation
Pada tahap ini peneliti melakukan validasi terhadap kuesioner yang telah dijawab
oleh para responden sesuai dengan tabel diagram RACI MEA01 (Monitor,
Evaluate and Asses Performance and Conformance) dan MEA02 (Monitor,
Evaluate and Asses the System of Internal Control). Meliputi rekapitulasi jawaban
masing-masing responden, rekapitulasi hasil perhitungan kuesioner dengan
menggunakan skala Likert pada masing-masing proses, sampai tahap interprestasi
data yang menunjukan posisi capability level saat ini dan capability level yang
diharapkan.
3.5.6 Process Attribute Level
Pada tahap ini, dilakua penentuan capability level proses MEA01 (Monitor,
Evaluate and Asses Performance and Conformance) dan MEA02 (Monitor,
Evaluate and Asses the System of Internal Control) berdasarkan hasil perhitungan
rekapitulasi pada tahap sebelumnya yaitu Data Validation. Perhitungan ini
disesuaikan dengan rumus dan ketentuan yang ada pada bab II. Kemudian
dilakukan pembuktian pencapaian proses melalui dokumentasi berdasarkan Goal
114
Work Product yang terdapat pada COBIT 5 dengan menggunakan rating scale
untuk melihat level yang dicapai pada PT. Jasa Marga (Persero), Tbk.
3.5.7 Reporting the Result
Pada tahap ini peneliti akan melaporkan hasil evaluasi yang dilakukan terhadap
proses MEA01 (Monitor, Evaluate and Asses Performance and Conformance)
dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control) berupa
hasil gap atau kesenjangan dan rekomendasi yang diusulkan oleh peneliti untuk
memperbaiki gap yang ada pada perusahaan sesuai dengan ketentuan yang harus
dipenuhi berdasarkan framework COBIT 5.
1) Penentuan gap
Dalam langkah ini diprosesnya hasil dari kuesioner yang
menghasilkan kondisi terkini (as is) dan kondisi yang diharapkan (to
be). Kondisi tersebut diambil berdasarkan kuesioner capability level
sehingga menghasilkan analisis gap atau kesenjangan dan deskripsi
terhadap proses MEA01 (Monitor, Evaluate and Asses Performance
and Conformance) dan MEA02 (Monitor, Evaluate and Asses the
System of Internal Control) pada PT. Jasa Marga (Persero), Tbk
2) Rekomendasi
Rekomendasi yang diberikan diperoleh dari gap dan temuan yang
telah dilaksanakan yang akan menjadi pertimbangan utama dalam
mendefinisikan perancangan solusi perbaikan, untuk dapat
115
memberikan suatu usulan perbaikan untuk PT. Jasa Marga (Persero),
Tbk.
3.6 Instrumen Penelitian
Instrumen atau alat penelitian yang digunakan untuk mengumpulkan data dalam
penelitian ini adalah sebagai berikut:
3.6.1 Kuesioner
Kuesioner berisi pernyataan tertulis yang diberikan kepada responden di Divisi IT
Kantor Pusat PT. Jasa Marga (Persero), Tbk. Pembuatan kuesioner berdasarkan
Key Management Practice yang terdapat pada proses MEA01 (Monitor, Evaluate
and Asses Performance and Conformance) dan MEA02 (Monitor, Evaluate and
Asses the System of Internal Control) sebagai berikut:
1) MEA01
a. MEA01.01 : Menetapkan Pendekatan Monitoring
b. MEA01.02 : Mengatur Kinerja dan Menyesuaikan Tujuan
c. MEA01.03 : Mengumpulkan Proses Kinerja dan Kesesuaian
Data
d. MEA01.04 : Menganalisis dan Melaporkan Kinerja
e. MEA01.05 : Memastikan Pelaksanaan Tindakan Perbaikan
2) MEA02
a. MEA02.01 : Memantau Pengendalian Internal
b. MEA02.02 : Mengulas Kontrol Keefektifan Proses Bisnis
c. MEA02.03 : Melaksanakan Kontrol Penilaian Mandiri
116
d. MEA02.04 : Mengidentifikasi dan Melaporkan Kekurangan
Pengendalian
e. MEA02.05 : Memastikan bahwa Penyedia Assurance/Jaminan
Independen dan Berkualitas
f. MEA02.06 : Menginisiasi Rencana Assurance/Jaminan
g. MEA02.07 : Menginisiasi Ruang Lingkup Assurance/Jaminan
h. MEA02.08 : Melaksanakan Inisiatif Assurance/Jaminan.
Kuesioner ini dibuat dengan menggunakan skala Likert (Sugiyono, 2009)
yang dikelompokkan berdasarkan aktivitas-aktivitas yang terdapat pada masing
masing key management practice pada MEA01 dan MEA02 dimana pada tiap
kelompok terdapat dua pertanyaan yang masing-masing mewakili kondisi saat ini
(as is) dan kondisi yang diharapkan (to be).
Masing-masing pertanyaan tersebut mempunyai 6 (enam) pilihan jawaban
yang menunjukan tingkat kematangan terhadap atribut tertentu pada aktivitas key
management practice. Pilihan tersebut dari a sampai f secara berturut-turut
merepresentasikan tingkat kematangan yang semakin meningkat, dimana a=0,
b=1, c=2, d=3, e=4 dan f=5. Hal tersebut menunjukkan level 0 incomplete
process, level 1 perfomed process, level 2 managed process, level 3 established
process, level 4 predictable process dan level 5 optimising process. (Kuesioner
terdapat pada lampiran).
Responden untuk kuesioner didapatkan dari identifikasi diagram RACI yang
digambarkan pada fungsional struktur COBIT 5 dan fungsional struktur Divisi IT
yang telah dijelaskan di sub bab sebelumnya. Dalam penelitian ini, peneliti
117
mendampingi responden dalam pengisian kuesioner dengan melakukan
wawancara atau bertanya secara langsung menggunakan pertanyaan-pertanyaan
yang telah dibuat berdasarkan COBIT 5.
3.6.2 Dokumentasi
Dokumentasi dilakukan untuk mengumpulkan data-data yang bersifat
dokumenter. Pengumpulan data dokumentasi untuk menilai kelengkapan dari
proses atribut yang telah dicapai oleh Divisi IT di PT. Jasa Marga (Persero), Tbk
pada proses MEA01 dan MEA02. Pengumpulan dokumentasi ini dilakukan
menggunakan tabel proses yang dibuat berdasarkan Goal Work Product atau Hasil
Kerja Umum dari proses yang ditentukan pada COBIT 5. Berikut adalah tabel
proses dari proses MEA01 dan MEA02:
Tabel 3.3 Dokumentasi Proses MEA01
Monitor, Evaluate and Assess Performance and Conformance
Base Practies Work Product Exist
MEA01.01
Monitoring kebutuhan
Tujuan dan metrik monitoring yang
telah disetujui
MEA01.02 Monitoring target
MEA01.03 Data monitoring yang telah diolah
MEA01.04 Laporan Kinerja
MEA01.05 Tindakan dan tugas perbaikan
Status dan hasil tindakan
Tabel 3.4 Dokumentasi Proses MEA02
Monitor, Evaluate and Assess Performance and Conformance
Base Practies Work Product Exist
MEA02.01
Hasil pemantauan dan review
pengendalian internal
Hasil benchmarking dan evaluasi
118
lainnya
MEA02.02 Bukti efektivitas pengendalian
MEA02.03
Rencana dan kriteria self-assessment
Hasil self-assessment
Hasil review self-assessment
MEA02.04 Kontrol kekurangan
Tindakan perbaikan
MEA02.05 Hasil evaluasi penyedia jaminan
MEA02.06
Penilaian tingkat tinggi
Rencana jaminan
Kriteria Penilaian
MEA02.07
Cakupan penilaian jaminan
Rencana keterlibatan
Review praktik jaminan
MEA02.08 Hasil peninjauan jaminan
Laporan review jaminan
Tabel proses ini nantinya akan dinilai dengan menggunakan skala rating
atau rating scale (ISACA,2012). Dari work product pada tabel proses tersebut
nantinya akan diselaraskan dengan dokumen yang ada di Divisi IT PT. Jasa
Marga (Persero), Tbk, yang kemudian dinilai dengan rating scale. Dalam rating
scale terdapat 4 tingkatan atau level yang menunjukkan Not achieved = 0-15%;
Partially achieved = 15-50%; Largely achieved = 50-85%; Fully achieved = 85-
100%. (Hasil penilaian terdapat pada sub bab 4.6.3 Process Attribut Level).
119
3.7 Kerangka Berpikir Penelitian
Metode penelitian yang akan digunakan dalam penelitian ini yan
digambarkan dalam kerangka berpikir penelitian berikut:
Gambar 3.1 Kerangka Berpikir Assessment COBIT 5 (ISACA, 2007)
107
120
BAB IV
HASIL DAN PEMBAHASAN
Bab ini membahas mengenai hasil analisa evaluasi capability level yang
berfokus pada proses yang dipilih dari hasil pemetaan IT-related goal berdasarkan
framework COBIT 5 di Divisi IT pada PT. Jasa Marga (Persero), Tbk dengan
menggunakan Assessment Process Activities sebagai metode analisa data. Berikut
dijelaskan lebih lanjut hasil dan pembahasan yang didapat dalam penelitian:
4.1 Initiation
Tahap initiation yang merupakan tahapan pertama dalam Assessment Process
Activities yang terdapat pada Process Assessment Model COBIT 5. Initiation
dilakukan untuk memperoleh informasi mengeai organisasi dan kondisi organisasi
saat ini serta mengetahui apa yang menjadi ekspetasi organisasi di masa akan
datang. Berikut ini hasil dari tahap Initiation yang didapatkan peneliti.
4.1.1 Sejarah PT. Jasa Marga (Persero), Tbk
Dalam rangka percepatan perekonomian antar daerah dan mewujudkan jalan yang
bebas hambatan Pemerintah mendirikan sebuah perusahaan yang khusus bergerak
dalam bidang penyelenggaraan jalan tol dengan nama PT. Jasa Marga (Persero),
Tbk (Indonesia Highway Corporation) berdasarkan Akta Nomor: 1 tanggal 1
Maret 1978. PT. Jasa Marga (Persero), Tbk didirikan tahun 1978 ketika jalan
bebas hambatan pertama yang menghubungkan Jakarta dengan Bogor selesai
121
dibangun. Dengan pertimbangan agar biaya pengoperasian dan pemeliharaan ruas
jalan tersebut dapat dilakukan secara mandiri tanpa membebani anggaran
Pemerintah, Menteri Pekerjaan Umum ketika itu, Ir. Sutami mengusulkan
pendirian sebuah persero untuk mengelola jalan tersebut. Terbitlah Peraturan
Pemerintah No. 4 tahun 1978 tentang Penyertaan Modal Negara Republik
Indonesia untuk pendirian persero.
PT. Jasa Marga (Persero), Tbk adalah sebuah institusi yang ada di
Indonesia yang berperan penting dalam pengadaan jalan bebas hambatan yang
ada di Indonesia. Melalui Peraturan Pemerintah No. 4 Tahun 1978, Pemerintah
resmi mendirikan PT. Jasa Marga (Persero), Tbk pada tanggal 1 Maret 1978 yang
memiliki tugas utama untuk merencanakan, membangun, mengoperasikan serta
memelihara jalan tol serta kelengkapannya agar jalan tol dapat berfungsi sebagai
jalan bebas hambatan yang memberikan manfaat lebih tinggi daripada jalan umum
bukan tol.
Sejak itu PT. Jasa Marga (Persero), Tbk bersama Pemerintah terus
membangun jalan tol baru di wilayah Jabodetabek, Cirebon, Semarang, Surabaya
dan Medan. Sampai dengan akhir tahun 80-an, PT. Jasa Marga (Persero), Tbk
adalah satu-satunya penyelenggara jalan tol di Indonesia, hingga kemudian
Pemerintah mulai mengikutsertakan pihak swasta untuk berpartisipasi dalam
pembangunan jalan tol.
Sesuai Undang Undang No. 38 tahun 2004 tentang Jalan yang berlaku sejak
18 Oktober 2004, fungsi PT. Jasa Marga (Persero), Tbk telah berubah dari
penyelenggara jalan tol yang berfungsi sebagai regulator menjadi investor jalan
122
tol yang juga akan mendapat ijin konsesi penyelenggaraan jalan tol dari
Pemerintah. PT. Jasa Marga (Persero), Tbk telah bersaing dengan investor jalan
tol swasta dalam membangun, mengoperasikan dan memelihara jalan tol.
4.1.2 Logo Perusahaan
Gambar 4.1 Logo PT. Jasa Marga (Persero), Tbk, (Jasa Marga, 2017)
Makna dari logo tersebut adalah:
1) Konfigurasi jalan membentuk huruf “J” (huruf pertama nama
Perseroan) yang merupakan cermin perjalanan historis Perseroan,
mencitrakan Perseroan semakin dinamis.
2) Warna biru dan kuning pada logo mencerminkan harapan dan masa
depan, serta semangat dan komitmen.
3) Bola berwarna biru menunjukkan bahwa Jasa Marga menuju
perusahaan yang memiliki standar global. Pelayanan jalan tol terus
dikembangkan untuk memenuhi standar tersebut.
123
4.1.3 Visi dan Misi PT. Jasa Marga (Persero), Tbk
VISI
“Menjadi Perusahaan Jalan Tol Nasional Terbesar, Terpercaya dan
Berkesinambungan”.
MISI
Memaksimalkan Pengembangan Kawasan untuk Meningkatkan
Kemajuan Masyarakat dan Keuntungan Perusahaan.
Meningkatkan Mutu dan Efisiensi Jasa Pelayanan Tol Melalui
Penggunaan Teknologi yang Optimal dan Penerapan Kaidah-Kaidah
Manajemen Perusahaan Modern dengan Tata Kelola yang Baik
Menjalankan Usaha Jalan Tol di Seluruh Rantai Nilai Secara
Profesional dan Berkesinambungan.
Memimpin Pembangunan Jalan Tol di Indonesia untuk Meningkatkan
Konektivitas Nasional.
Meningkatkan Kepuasan Pelanggan dengan Pelayanan Prima.
4.1.4 Struktur Organisasi PT. Jasa Marga (Persero), Tbk
PT. Jasa Marga (Persero), Tbk dipimpin oleh Ir. Desi Arryani, M.M sebagai
Direktur Utama yang memiliki hak memberikan komando kepada beberapa
bidang. Bidang tersebut antara lain adalah Bidang Keuangan, Bidang
Pengembangan, Bidang Operasi I, Bidang Operasi II dan Bidang Sumber Daya
Manusia (SDM) dan Umum yang mana bidang-bidang tersebut memiliki beberapa
Divisi di bawahnya.
124
Gambar 4.2 Struktur Organisasi PT. Jasa Marga (Persero), Tbk (Jasa Marga, 2017).
4.1.5 Struktur Organisasi Divisi IT
Dalam penelitian ini peneliti akan fokus pada permasalahan yang terjadi dalam
ruang lingkup Divisi IT. President Information Technology membawahi 4 (empat)
departemen yaitu IT Planning, IT Development, IT Operation dan IT Control &
Monitoring. Tugas Divisi IT adalah bertanggung jawab pada kesiapan dan
ketersediaan perangkat teknologi informasi, menyelenggarakan kegiatan
pemeliharaan, analisis dan evaluasi serta memberikan solusi dan konsultasi
teknologi untuk mencapai tujuan dan strategi bisnis perusahaan. Berikut adalah
struktur organisasi Divisi IT:
125
Gambar 4.3 Struktur Organisasi Divisi IT (Jasa Marga, 2017).
Divisi IT terdiri atas Departemen IT Planning, Departemen IT Development,
Departemen IT Operation dan Departemen IT Control & Monitoring. Tugas
pokok tiap departemen adalah:
1. Departemen IT Planning
Departemen IT Planning memiliki tugas melakukan perencanaan dan
pengembangan strategi sistem dan teknologi informasi sesuai
kebutuhan perusahaan serta melakukan perancangan implementasi dan
pemeliharaan sistem informasi perusahaan yang terintegrasi yang
mampu mendukung upaya perusahaan dalam rangka meningkatkan
kinerja.
126
Subdepartemen
a. IT System Analysis & Portofolio memiliki tugas melakukan
pendistribusian, penyimpanan, pengendalian dan pemusnahan
dokumen serta harus memastikan bahwa semua departemen
dalam organisasi mengikuti prosedur yang sama yang berkaitan
dengan dokumen.
b. IT Platform & Architechture memiliki tugas mengkordinir
perencanaan arsitektur TI dengan membangun suatu pendekatan
arsitektural TI untuk keseluruhan sistem perusahaan.
2. Departemen IT Development
Departemen IT Planning bertanggung jawab menyiapkan kapasitas
perencanaan sehingga pelayanan kepada user terpelihara secara
konsisten dan selalu mengupdate pengetahuan tentang perkembangan
TI serta mendukung perencanaan dengan melakukan pembangunan
dan pengembangan sistem.
Subdepartemen
a. IT Decision Support & EIS bertugas untuk melakukan
spesifikasi program secara detil melalui hasil analisis dan
evaluasi yang telah dilakukan serta menentukan secara tepat
tidakan selanjutnya pada program yang dituju.
b. Toll Collection Devicesn bertugas melakukan kegiatan
pemantauan dan evaluasi sistem operasional pengumpulan tol
dan mendukung perencanaan untuk kelancaran operasional toll
127
c. Traffic Infocomm Devices bertugas mengawasi dan
mengembangkan kegiatan informasi dan komunikasi aktivitas
pada setiap gerbang tol.
3. Departemen IT Operation
Departemen IT Operation bertanggung jawab pada penyediaan
layanan infrastruktur termasuk aplikasi, jaringan komputer
(LAN/WAN) dan membantu dalam mengidentifikasi perubahan
infrastruktur yang dibutuhkan untuk mendukung sistem serta
membuat dan mengawasi anggaran TI (budget) dengan pengeluaran.
Subdepartemen
a. IT Infrastructure memiliki tugas melakukan instalasi,
konfigurasi dan perawatan layanan jaringan serta merencanakan
dan memberikan dukungan untuk implementasi infrastruktur
jaringan komputer.
b. IT Application & Database memiliki tugas untuk memastikan
bahwa semua sistem perusahaan berfungsi dengan lancar,
merancang dan mengkoordinasi secara keseluruhan dari
database serta membuat dokumen sistem dan penggunanya.
c. IT Operation Management memiliki tugas untuk memberikan
orientasi kepada pegawai baru mengenai aplikasi atau sistem
yang digunakan saat ini dan rencana atau strategi TI secara
umum.
128
4. Departemen IT Control & Monitoring
Departemen IT Control & Monitoring bertugas merencanakan,
mengembangkan serta mengawasi semua kegiatan yang terkait dengan
bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi
sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan
dibocorkan ke pihak-pihak yang tidak berkepentingan.
Subdepartemen
a. IT Compliance memiliki tugas memelihara kecukupan, standard
dan kesiapan sistem atau infrastruktur untuk memastikan
pengoperasiannya dapat efektif dan efisien.
b. IT Security memiliki tugas mengelola dan memeriksa kegiatan
manajemen risiko serta menerapkan prosedur IT dan proses
untuk memastikan data terproteksi secara maksimum.
c. Service Desk bertugas untuk menyelidiki keluhan user dan
masalah ketidaksuaian pada layanan dan infrastruktur TI serta
menerapkan tindakan koreksi yang tepat dan menerapkan
prosedur darurat dalam kasus terjadinya kegagalan atau
kerusakan sistem.
4.1.6 Tata Kelola TI PT. Jasa Marga (Persero), Tbk
Pengelolaan Perusahaan berdasarkan prinsip Good Corporate Governance (GCG)
pada dasarnya merupakan upaya untuk menjadikan GCG sebagai kaidah dan
pedoman bagi pengelola perusahaan dalam menjalankan aktivitas bisnisnya.
129
Penerapan prinsip-prinsip GCG sangat diperlukan agar Perusahaan dapat bertahan
dan tangguh dalam menghadapi persaingan yang semakin ketat. GCG diharapkan
dapat menjadi sarana untuk mencapai visi, misi dan tujuan perusahaan secara
lebih baik.
Perusahaan menyadari bahwa Penerapan GCG secara sistematis dan
konsisten merupakan kebutuhan yang harus dilaksanakan. Penerapan GCG pada
perusahaan diharapkan akan dapat memacu perkembangan bisnis, akuntabilitas
serta mewujudkan nilai pemegang saham dalam jangka panjang tanpa
mengabaikan kepentingan stakeholders lainnya. Dalam pelaksanaan
penerapannya, PT. Jasa Marga (Persero), Tbk memiliki peraturan agar Tata Kelola
Perusahaan berjalan secara efektif, yaitu sebagai berikut:
1. Pelaksana di tingkat Perusahaan dipimpin oleh Direksi.
2. Setiap Pimpinan Unit Kerja bertanggungjawab mengendalikan
kegiatan Tata Kelola Perusahaan dan memastikan bahwa asas-asas
GCG dan Pedoman Perilaku dilaksanakan secara konsisten di unit
kerjanya masing masing.
3. Dalam rangka memastikan penerapan GCG di Perusahaan, maka
Kepala Unit Kerja yang tercantum di bawah ini harus melaksanakan
tugas dan tanggung jawab sebagai berikut:
a. Sekretaris Perusahaan, bertanggungjawab untuk
mengkoordinasikan dan mengintegrasikan isi Pedoman Tata
Kelola Perusahaan (Code of Corporate Governance) dan
Pedoman Perilaku (Code of Conduct) secara keseluruhan serta
130
melakukan pemutakhiran dan mensosialisasikan ke seluruh
Karyawan.
b. Kepala Satuan Pengawasan Intern, bertanggungjawab untuk
memastikan bahwa proses kerja/kegiatan yang dilakukan oleh
seluruh unit kerja termasuk efektivitas pengelolaan risiko,
proses tata kelola dan etika bisnis telah sesuai dengan peraturan
dan ketentuan yang berlaku.
Sebagai komitmen penerapan GCG di Perusahaan, maka Dewan Komisaris,
Direksi, dan Karyawan menandatangani Pakta Integritas.
4.1.7 Pengendalian Internal PT. Jasa Marga (Persero), Tbk
Sistem Pengendalian Internal (SPI) pada PT. Jasa Marga (Persero), Tbk
terdiri dari 5 (lima) unsur yaitu: lingkungan pengendalian, penilaian risiko,
kegiatan pengendalian, informasi dan komunikasi serta pemantauan pengendalian
intern. Penerapan kelima unsur tersebut dilaksanakan menyatu serta menjadi
bagian integral dari akuntabilitas seluruh kegiatan Perusahaan.
1. Kegiatan Pengendalian terdiri dari:
Review atas kinerja Perusahaan
Pembinaan sumber daya manusia
Pengendalian atas pengelolaan sistem informasi
Pengendalian fisik atas aset
Pemisahan fungsi
Otorisasi atas transaksi dan kejadian yang penting
131
Pencatatan yang akurat dan tepat waktu atas transaksi dan
kejadian
Pembatasan akses atas sumber daya dan pencatatannya
Akuntabilitas terhadap sumber daya dan pencatatannya
Dokumentasi yang baik atas sistem pengendalian intern serta
transaksi dan kejadian penting
2. Direksi wajib menetapkan suatu sistem pengendalian internal yang
efektif untuk mengamankan investasi dan aset perusahaan yang antara
lain mencakup lingkungan pengendalian, pengkajian, dan pengelolaan
risiko aktivitas pengendalian, sistem informasi dan komunikasi serta
monitoring.
3. SPI membantu Direktur Utama dalam melaksanakan audit intern
keuangan perusahaan dan operasional perusahaan serta menilai
pengendalian, pengelolaan dan pelaksanannya serta memberikan
saran-saran perbaikan.
4. Direksi menindaklanjuti laporan hasil audit SPI.
5. Komite Audit menilai pelaksanaan kegiatan serta hasil audit yang
dilakukan oleh SPI, memberikan rekomendasi penyempurnaan sistem
pengendalian manajemen, memastikan telah terdapatnya prosedur
review yang memuaskan terhadap segala informasi yang dikeluarkan
perusahaan serta mengidentifikasi hal-hal yang memerlukan perhatian
Dewan Komisaris.
132
4.2 Planning the Assessment
Tahap kedua adalah dilakukan perencanaan penilaian dengan pembuatan
kuesioner untuk MEA01 dan MEA02 yang bertujuan untuk mendapatkan hasil
evaluasi penilaian capability level. Pengisian kuesioner dilakukan oleh beberapa
pegawai PT. Jasa Marga (Persero), Tbk khususnya Divisi IT yang ditentukan
berdasarkan RACI Chart yang ada pada standar COBIT 5 dan disesuaikan dengan
fungsi dan jabatan kerja di Divisi IT. Berikut ini adalah daftar responden yang
telah dipetakan ke struktur organisasi Divisi IT:
Tabel 4.1 Identifikasi RACI Chart MEA01.01 (Menetapkan Pendekatan
Monitoring)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Executives President IT Development
2 Chief Information Officer President Divisi IT
3 Chief Financial Officer Manager IT Operation Management
4 Chie Operating Oficer President IT Operation
Tabel 4.2 Identifikasi RACI Chart MEA01.02 (Mengatur Kinerja dan
Menyesuaikan Tujuan)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Head Development President IT Development
3 Head IT Operations President IT Operation
4 Service Manager Manager Service Desk
133
Tabel 4.3 Identifikasi RACI Chart MEA01.03 (Mengumpulkan Proses Kinerja
dan Kesesuaian Data)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Head Development President IT Development
3 Head IT Operations President IT Operation
4 Service Manager Manager Service Desk
Tabel 4.4 Identifikasi RACI Chart MEA01.04 (Menganalisis dan Melaporkan
Kinerja)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Head Development President IT Development
3 Head IT Operations President IT Operation
4 Service Manager Manager Service Desk
Tabel 4.5 Identifikasi RACI Chart MEA01.05 (Memastikan Pelaksanaan
Tindakan Perbaikan)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Head Development President IT Development
3 Head IT Operations President IT Operation
4 Service Manager Manager Service Desk
134
Tabel 4.6 Identifikasi RACI Chart MEA02.01 (Memantau Pengendalian
Internal)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Audit Senior Specialist IT Control &
Monitoring
2 Business Continuity Manager President IT Development
3 Business Process Owners President IT Development
4 Chief Risk Officer Manager IT Decision & EIS
5 Compliance Manager IT Compliance
6 Head Development President IT Development
7 Head IT Administration President Divisi IT
8 Head IT Operations President IT Operation
9 Information Security Manager Senior Specialist IT Control &
Monitoring
10 Privacy Officer Senior Specialist IT Control &
Monitoring
11 Project Management Office President IT Development
12 Service Manager Manager Service Desk
Tabel 4.7 Identifikasi RACI Chart MEA02.02 (Mengulas Kontrol Keefektifan
Proses Bisnis)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Audit Senior Specialist IT Control &
Monitoring
2 Business Process Owners President IT Development
3 Chief Financial Officer Manager IT Operation Management
4 Compliance Manager IT Compliance
135
Tabel 4.8 Identifikasi RACI Chart MEA21.03 (Melaksanakan Kontrol Penilaian
Mandiri)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Audit Senior Specialist IT Control &
Monitoring
2 Business Continuity Manager President IT Development
3 Business Process Owners President IT Development
4 Chief Risk Officer Manager IT Decision & EIS
5 Compliance Manager IT Compliance
6 Head Development President IT Development
7 Head IT Administration President Divisi IT
8 Head IT Operations President IT Operation
9 Information Security Manager Senior Specialist IT Control &
Monitoring
10 Privacy Officer Senior Specialist IT Control &
Monitoring
11 Project Management Office President Divisi IT
12 Service Manager Manager Service Desk
Tabel 4.9 Identifikasi RACI Chart MEA02.04 (Mengidentifikasi dan
Melaporkan Kekurangan Pengendalian)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Audit Senior Specialist IT Control &
Monitoring
2 Business Continuity Manager President IT Development
3 Business Process Owners President IT Development
4 Compliance Manager IT Compliance
136
5 Head Development President IT Development
6 Head IT Administration President Divisi IT
7 Head IT Operations President IT Operation
8 Information Security Manager Senior Specialist IT Control &
Monitoring
9 Privacy Officer Senior Specialist IT Control &
Monitoring
10 Project Management Office President Divisi IT
11 Service Manager Manager Service Desk
Tabel 4.10 Identifikasi RACI Chart MEA02.05 (Memastikan bahwa Penyedia
Assurance/Jaminan Independen dan Berkualitas)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Chief Information Officer President Divisi IT
Tabel 4.11 Identifikasi RACI Chart MEA02.06 (Menginisiasi Rencana
Assurance/Jaminan)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Chief Information Officer President Divisi IT
137
Tabel 4.12 Identifikasi RACI Chart MEA02.07 (Menginisiasi Ruang Lingkup
Assurance/Jaminan)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Executives President IT Development
2 Business Process Owners President IT Development
3 Chief Information Officer President Divisi IT
4 Chief Operating Officer President IT Operation
Tabel 4.13 Identifikasi RACI Chart MEA02.08 (Melaksanakan Inisiatif
Assurance/Jaminan)
No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga
(Persero), Tbk
1 Business Process Owners President IT Development
2 Chief Information Officer President Divisi IT
Pada tahapan planning the assessment ini, dibuat kuesioner untuk penilaian
proses MEA01 (Monitor, Evaluate and Asses Performance and Conformance)
dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control) dengan
menggunakan skala Likert. Kuesioner ini dibuat berdasarkan aktivitas-aktivitas
yang terdapat pada setiap prosesnya berdasarkan COBIT 5. (Kuesioner dapat
dilihat di lampiran).
Hasil yang didapatkan berupa rincian jawaban responden dimana kuesioner
yang dibuat menggunakan skala Likert dengan skala a=1, b=2, c=3, d=4, e=5 dan
f=6. Setiap satu pernyataan pada kuesioner tersebut terdiri dari pernyataan dari
138
level 0 incomplete process, level 1 performed process, level 2 managed process,
level 3 established process, level 4 predictable process sampai level 5 optimising
process. Untuk pengolahan data dari rincian jawaban ini berupa rekapitulasi
jawaban yang terdapat pada tahap Data Validation. Berikut adalah rincian
jawaban responden untuk setiap aktivitas yang terdapat pada proses:
1) MEA01.01 (Menetapkan Pendekatan Monitoring)
Tabel 4.14 Tabel Rincian Kuesioner pada MEA01.01
Berdasarkan tabel rincian kuesioner MEA01.01 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 2 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 3 as is: b = 2, c = 2 ; to be c = 1, d = 3
Aktifitas 4 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 5 as is: b = 2, c = 2 ; to be c = 3, d = 1
Aktifitas 6 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 7 as is: b = 3, c = 1 ; to be c = 3, d = 1
139
2) MEA01.02 (Mengatur Kinerja dan Menyesuaikan Tujuan)
Tabel 4.15 Tabel Rincian Kuesioner pada MEA01.02
Berdasarkan tabel rincian kuesioner MEA01.02 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 2 as is: b = 2, c = 2 ; to be c = 1, d = 3
Aktifitas 3 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 4 as is: b = 3, c = 1 ; to be c = 2, d = 2
3) MEA01.03 (Mengumpulkan Proses Kinerja dan Kesesuaian Data)
Tabel 4.16 Tabel Rincian Kuesioner pada MEA01.03
140
Berdasarkan tabel rincian kuesioner MEA01.03 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 2 as is: a = 1, b = 3 ; to be c = 3, d = 1
Aktifitas 3 as is: b = 4 ; to be c = 3, d = 1
Aktifitas 4 as is: b = 4 ; to be c = 3, d = 1
Aktifitas 5 as is: b = 4 ; to be c = 3, d = 1
4) MEA01.04 (Menganalisis dan Melaporkan Kinerja)
Tabel 4.17 Tabel Rincian Kuesioner pada MEA01.04
Berdasarkan tabel rincian kuesioner MEA01.04 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 2 as is: b = 3, c = 1 ; to be c = 2, d = 2
141
Aktifitas 3 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 4 as is: b = 2, c = 2 ; to be c = 1, d = 3
Aktifitas 5 as is: a = 1, b = 2, c = 1 ; to be c = 2, d = 2
Aktifitas 6 as is: b = 3, c = 1 ; to be c = 2, d = 2
5) MEA01.05 (Memastikan Pelaksanaan Tindakan Perbaikan)
Tabel 4.18 Tabel Rincian Kuesioner pada MEA01.05
Berdasarkan tabel rincian kuesioner MEA01.05 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 2 as is: a = 1, b = 1, c = 2 ; to be c = 1, d = 3
Aktifitas 3 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 4 as is: b = 3, c = 1 ; to be c = 2, d = 2
142
6) MEA02.01 (Memantau Pengendalian Internal)
Tabel 4.19 Tabel Rincian Kuesioner pada MEA02.01
Berdasarkan tabel rincian kuesioner MEA02.01 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 8, c = 4 ; to be c = 5, d = 7
Aktifitas 2 as is: b = 7, c = 5 ; to be c = 4, d = 8
Aktifitas 3 as is: b = 8, c = 4 ; to be c = 8, d = 4
Aktifitas 4 as is: b = 8, c = 4 ; to be c = 4, d = 8
Aktifitas 5 as is: b = 8, c = 4 ; to be c = 4, d = 8
Aktifitas 6 as is: b = 8, c = 4 ; to be c = 5, d = 7
Aktifitas 7 as is: b = 8, c = 4 ; to be c = 5, d = 7
143
7) MEA02.02 (Mengulas Kontrol Keefektifan Proses Bisnis)
Tabel 4.20 Tabel Rincian Kuesioner pada MEA02.02
Berdasarkan tabel rincian kuesioner MEA02.02 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 3, c = 1 ; to be c = 1, d = 3
Aktifitas 2 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 3 as is: b = 3, c = 1 ; to be c = 2, d = 2
Aktifitas 4 as is: b = 4 ; to be c = 3, d = 1
Aktifitas 5 as is: b = 3, c = 1 ; to be c = 2, d = 2
144
8) MEA02.03 (Melaksanakan Kontrol Penilaian Mandiri)
Tabel 4.21 Tabel Rincian Kuesioner pada MEA02.03
Berdasarkan tabel rincian kuesioner MEA02.03 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 8, c = 4 ; to be c = 5, d = 7
Aktifitas 2 as is: b = 10, c = 2 ; to be c = 5, d = 7
Aktifitas 3 as is: b = 10, c = 2 ; to be c = 5, d = 7
Aktifitas 4 as is: b = 8, c = 4 ; to be c = 5, d = 7
Aktifitas 5 as is: b = 9, c = 3 ; to be c = 4, d = 8
Aktifitas 6 as is: b = 8, c = 4 ; to be c = 5, d = 7
Aktifitas 7 as is: b = 10, c = 2 ; to be c = 5, d = 7
145
9) MEA02.04 (Mengidentifikasi dan Melaporkan Kekurangan Pengendalian)
Tabel 4.22 Tabel Rincian Kuesioner pada MEA02.04
Berdasarkan tabel rincian kuesioner MEA02.04 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 10, c = 1 ; to be c = 5, d = 6
Aktifitas 2 as is: b = 10, c = 1 ; to be c = 4, d = 7
Aktifitas 3 as is: b = 10, c = 1 ; to be c = 8, d = 3
Aktifitas 4 as is: b = 6, c = 5 ; to be c = 3, d = 8
Aktifitas 5 as is: b = 6, c = 5 ; to be c = 3, d = 8
Aktifitas 6 as is: b = 6, c = 5 ; to be c = 3, d = 8
146
10) MEA02.05 (Memastikan bahwa Penyedia Assurance/Jaminan
Independen dan Berkualitas)
Tabel 4.23 Tabel Rincian Kuesioner pada MEA02.05
Berdasarkan tabel rincian kuesioner MEA02.05 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 2 ; to be d = 2
Aktifitas 2 as is: b = 2 ; to be d = 2
Aktifitas 3 as is: b = 1, c = 1 ; to be d = 2
11) MEA02.06 (Menginisiasi Rencana Assurance/Jaminan)
Tabel 4.24 Tabel Rincian Kuesioner pada MEA02.06
Berdasarkan tabel rincian kuesioner MEA02.06 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 2 ; to be d = 2
Aktifitas 2 as is: b = 2 ; to be d = 2
Aktifitas 3 as is: b = 2 ; to be d = 2
147
12) MEA02.07 (Menginisiasi Ruang Lingkup Assurance/Jaminan)
Tabel 4.25 Tabel Rincian Kuesioner pada MEA02.07
Berdasarkan tabel rincian kuesioner MEA02.07 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 4 ; to be c = 2, d = 2
Aktifitas 2 as is: b = 4 ; to be c = 2, d = 2
Aktifitas 3 as is: b = 3, c = 1 ; to be c = 1, d = 3
Aktifitas 4 as is: b = 3, c = 1 ; to be c = 1, d = 3
Aktifitas 5 as is: b = 4 ; to be c = 2, d = 2
13) MEA02.08 (Melaksanakan Inisiatif Assurance/Jaminan)
Tabel 4.26 Tabel Rincian Kuesioner pada MEA02.08
148
Berdasarkan tabel rincian kuesioner MEA02.08 dapat dijabarkan sebagai berikut:
Aktifitas 1 as is: b = 2 ; to be c = 2
Aktifitas 2 as is: b = 2 ; to be c = 2
Aktifitas 3 as is: b = 2 ; to be c = 2
Aktifitas 4 as is: b = 1, c = 1 ; to be c = 1, d = 1
Aktifitas 5 as is: b = 2 ; to be c = 2
Aktifitas 6 as is: b = 1, c = 1 ; to be c = 1, d = 1
Aktifitas 7 as is: b = 2 ; to be c = 2
Aktivitas 8 as is: b = 2 ; to be c = 2
4.3 Briefing
Tahapan ketiga yang dilakukan adalah dengan membuat penentuan jadwal
penelitian yang akan dijabarkan dan diarahkan kepada tim responden. Tahapan ini
dilakukan dengan berdiskusi dengan pihak divisi IT mengenai dokumen yang
dibutuhkan untuk menjadi bahan input, proses yang akan dilakukan pada
penelitian ini dan output apa yang akan dihasilkan dari penelitian ini. Pada diskusi
149
tersebut, peneliti memberitahukan pelaksanaan pembagian kuesioner yaitu mulai
tanggal 31 Juli 2017 sampai 11 Aguatus 2017, pengumpulan dokumen untuk
kelengkapan dokumen capability level mulai dari 14 Agustus 2017 sampai 3
September 2017, hasil rekapitulasi kuesioner mulai dari 5 Sepetember 2017
sampai 19 September 2017 dan pelaporan dari hasil penilaian pada tanggal 25
September 2017 sampai 6 Oktober 2017. Dengan jadwal sebagai berikut:
Tabel 4.27 Jadwal Penelitian
Jadwal Penelitian Juli Agustus September Oktober
Pembagian Kuesioner
Pengumpulan Dokumen
Rekapitulasi Hasil
Kuesioner
Pelaporan Hasil
Penelitian
4.4 Data Collection
Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan yang
terdapat pada PT. Jasa Marga (Persero), Tbk yang bertujuan untuk mendapatkan
bukti-bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan,
sebagaimana dijelaskan sebagai berikut:
4.4.1 MEA01 Monitor, Evaluate and Asses Performance and Conformance
Tujuan dari proses tersebut adalah menyediakan transparansi performa dan
kesesuaian dan mendorong pencapaian tujuan. Data collection MEA01 pada
Divisi IT PT. Jasa Marga (Persero), Tbk adalah sebagai berikut:
150
1) MEA01.01 Menetapkan Pendekatan Monitoring
Divisi IT pada PT. Jasa Marga (Persero), Tbk sudah melakukan
kegiatan monitoring dengan menggunakan aplikasi service desk
sebagai alat bantu untuk memantau permasalahan yang terjadi pada
infrastruktur TI, kegiatan tersebut dapat dibuktikan melalui Laporan
Performance . Adanya dokumen Master Plan TI yang mencakup
perencanaan monitoring kebutuhan dan mengatur tujuan dan metrik
monitoring yang telah disetujui. Terdapat pedoman untuk proses
identifikasi kegiatan yang dilakukan oleh stakeholder yang ada pada
Pedoman dan Standar Tata Kelola TI. Adanya proses pengikutsertaan
stakeholder dalam mengkomunikasikan tujuan monitoring dan
validasi dalam mengidentifikasi stakeholder, kebutuhan serta
sumberdaya melalui rapat dengan pihak terkait, walaupun kegiatan
tersebut belum dilakukan secara berkala.
2) MEA01.02 Mengatur Kinerja dan Menyesuaikan Tujuan
Adanya proses pendefinisian dan pembahasan terhadap tujuan dan
matrik dengan para stakeholders yang dilakukan bersamaan dengan
komunikasi usulan perubahan kinerja dan kesesuaian target melalui
rapat koordinasi namu hal tersebut tidak terdokumentasi. Divisi IT
belum melakukan evaluasi antara tujuan dan matrik yang spesifik
terukur dan dapat dicapai secara relevan. Adanya rencana untuk
melakukan publikasi perubahan target dan toleransi kepada pengguna
151
informasi tetapi belum dilkasanakan. Tidak ditemukan adanya bukti
proses terkait penentuan monitoring target kinerja Divisi IT.
3) MEA01.03 Mengumpulkan dan Memproses Data Kinerja dan
Kesesuaian
Divisi IT memiliki panduan dalam menentukan pengumpulan data
untuk mendukung pengukuran pencapaian tujuan kinerja dalam
Pedoman dan Standar Tata Kelola TI. Dalam Pedoman dan Standar
Tata Kelola TI ini juga menjelaskan keselarasan data yang terkumpul
dengan laporan hasil kinerja. Namun hasil dari data monitoring yang
telah diolah dapat dilihat pada dokumen annual report. Selain itu,
tidak ditemukan adanya kebijakan dan standar mengenai penggunaan
sistem dan alat-alat yang cocok untuk mengolah format dari data yang
dianalisis.
4) MEA01.04 Menganalisis dan Melaporkan Kinerja
Adanya panduan mengenai perancangan laporan proses kinerja yang
ringkas dan mudah dipahami serta disesuaikan dengan berbagai
kebutuhan manajemen dan audien melalui Pedoman dan Standar Tata
Kelola TI. Ditemukannya dokumentasi yang berkaitan dengan adanya
proses analisa penyebab target tidak terealisasi dan rekomendasi yang
diberikan berdasarkan tujuan dan matrik melalui Laporan
Performance. Namun rekomendasi yang diberikan tidak optimal
dalam menyelesaikan masalah terkait tidak terealisasinya target. Tidak
ditemukannya dokumentasi mengenai pendistribusian laporan kepada
152
stakeholder. Divisi IT juga belum melakukan perbandingan antara
nilai kinerja dengan target dan tolak ukur internal perusahaan.
5) MEA01.05 Memastikan Pelaksanaan Tindakan Perbaikan
Adanya proses yang dilakukan PT. Jasa Maga (Persero), Tbk untuk
peninjauan, respon dan rekomendasi dari manajemen dalam
menangani masalah dan penyimpangan namun hal tersebut tidak
terdokumentasikan. Tidak ditemukan juga dokumen yang menjelaskan
tindakan perbaikan yang dilakukan serta status dan hasil tindakan
tersebut. Divisi IT juga belum melakukan pembagian tanggung jawab
untuk tindakan perbaikan.
4.4.2 MEA02 Monitor, Evaluate and Asses the System of Internal Control
Tujuan dari proses ini adalah mendapatkan tranparansi bagi stakeholder kunci
untuk kecukupan pada kontrol sistem internal. Data collection MEA01 pada
Divisi IT PT. Jasa Marga (Persero), Tbk adalah sebagai berikut:
1) MEA02.01 Memantau Pengendalian Internal
Adanya proses pemantauan pengendalian internal terkait efisiensi dan
efektifitas pengendalian berdasarkan satandar tata kelola PT. Jasa
Marga (Persero), Tbk yang terdokumentasi dalam dokumen annual
report. Pada dokumen tersebut sudah mencakup bagaimana tindak
analisis dan tindakan korektif yang harus dilaksanakan oleh Divisi IT.
Terdapat panduan untuk proses identifikasi batas-batas sistem
pengendalian internal dan pemeliharaan sistem pengendalian internal
153
yang ada pada Pedoman dan Standar Tata Kelola TI. Namun tidak
ditemukan dokumen terkait proses penilaian terhadap status penyedia
layanan eksternal untuk pengendalian internal. PT. Jasa Marga
(Persero), Tbk juga sudah melakukan bechmarking dengan Malaysia
Productivity Corporation dan Angkasa Pura I, namun tidak ditemukan
evidence laporan dari hasil benchmarking tersebut.
2) MEA02.02 Mengulas Proses Bisnis Keefektifan Pengendalian
Adanya bukti efektivitas pengendalian internal yang dilakukan oleh
PT. Jasa Marga (Persero), Tbk yang terdapat pada Master Plan TI.
Pedoman dan Standar Tata Kelola TI menunjukkan prosedur untuk
serangkaian kegiatan pengendalian yang terencana sebagai bahan
acuan pihak dewan direksi dan pihak manajemen untuk memastikan
apakah lingkungan pengendalian beroperasi secara efektif. Adanya
proses identifikasi pengendalian dan pengembangan strategi yang
digunakan untuk memvalidasi pengendalian yang juga terdapat
Master Plan TI. Namun, tidak ditemukannya bukti terkait proses
mempertahankan bukti efektivitas dari pengendalian.
3) MEA02.03 Melaksanakan Kontrol Penilaian Diri
Adanya proses perencanaan untuk mengidentikfikasi kriteria evaluasi
dalam melakukan penilaian diri yang dilakukan dengan mengacu pada
standar audit internal yang terdokumentasi pada Master Plan TI.
Dalam dokumen tersebut juga sudah terdapat penetapan tanggung
jawab terkait penilaian mandiri kepada individu atau pihak lain yang
154
dianggap tepat untuk menjamin objektivitas dan kompetensi yang
ditetapkan. Untuk hasil penilaian mandiri dibuktikan dengan laporan
assessment maturity level yang juga mencakup hasil tinjauan dari
penilaian. Selain itu, terdapat proses penilaian terhadap standar
kerangka kerja yang baik yang mengacu pada Keputusan Sekretaris
Menteri BUMN Nomor: SK-16/S.MBU/2012 tentang
Indikator/Parameter Penilaian dan Evaluasi Atas Penerapan Tata
Kelola Perusahaan yang Baik (GCG) pada BUMN yang menghasilkan
laporan hasil penilaian dan skor kondisi kinerja tata kelola di
perusahaan.
4) MEA02.04 Mengidentifikasi dan Melaporkan Kekurangan
Pengendalian
Adanya dokumen yang menunjukan bahwa kontrol internal masih
perlu di tingkatkan yang terdapat pada Master Plan TI. Dimana hal itu
telah dilaporkan kepada pihak terkait dan para stakeholder. Belum
danya tidakan perbaikan yang dilakukan oleh Divisi IT baik
mengoreksi bukti-bukti hasil proses, akar penyebab munculnya resiko
TI dan rekomendasi dari analisis penyebab munculnya masalah. Serta
belum ada bukti proses yang menekankan komunikasi untuk
meningkatkan pengendalian internal PT. Jasa Marga (Persero), Tbk.
Seperti diketahui Divisi IT pada PT. Jasa Marga (Persero), Tbk
melakukan tidakan perbaikan dengan cara merumuskan peraturan
155
mengenai tata kelola TI yang baik sesuai dengan yang ada pada
pedoman tata kelola prusahaan.
5) MEA02.05 Memastikan bahwa Penyedia Jaminan Independen dan
Berkualitas
Adanya kode etik yang berlaku untuk seluruh pegawai di PT. Jasa
Marga (Persero), Tbk sebagai suatu pola aturan, tata cara, pedoman
etis secara tertulis ketika melakukan kegiatan atau bekerja maupun
berperilaku berdasarkan prinsip-prinsip moral yang ada yang
dibuktikan dalam dokumen Pedoman Etika dan Perilaku. Divisi IT
pada PT. Jasa Marga (Persero), Tbk belum membangun kemandirian
penyedia assurance, namun terdapat perencanaan assurance yang
tercantum pada Master Plan TI. Selain itu, belum ada dokumen yang
menjelaskan tingkat kompetensi dan kualifikasi penyedia assurance.
6) MEA02.06 Menginisiasi Rencana Assurance/Jaminan
Tidak ditemukan adanya inisiasif PT. Jasa Marga (Persero), Tbk
dalam membuat rencana dan kriteria serta penilaian tingkat tinggi
dalam pengendalian internal. Namun terdapat proses terkait
pemilihan, penyesuaian dan pencapaian kesepakatan tentang tujuan
pengendalian untuk proses penting yang akan menjadi dasar penilaian
kontrol yang mengacu pada Keputusan Sekretaris Menteri BUMN
Nomor: SK-16/S.MBU/2012 tentang Indikator/Parameter Penilaian
dan Evaluasi Atas Penerapan Tata Kelola Perusahaan yang Baik
(GCG) pada BUMN.
156
7) MEA02.07 Menginisiasi Ruang Lingkup Assurance/Jaminan
Belum adanya penetapan ruang lingkup dalam mengidentifikasi tujuan
PT. Jasa Marga (Persero), Tbk dan TI untuk lingkungan sumber daya.
Selain itu, tidak ditemukan adanya penetapan rencana dan ulasan
praktik assurance. Namun, Divisi IT melakukan pengumpulan
informasi dari proses yang dikaji untuk keperluan pengendalian serta
evaluasi resiko yang hanya ketika terjadi masalah pada kinerja TI.
Belum adanya bukti praktik secara rutin yang dilakukan dalam
mengumpulkan dan mengevaluasi informasi dari proses yang dikaji.
Selain itu belum ada penetapan praktik dalam mengesahkan desain
pengendalian dan capaian guna menentukan apakah tingkat efektivitas
yang mendukung resiko yang dapat diterima.
8) MEA02.08 Melaksanakan Inisiatif Assurance/Jaminan
Belum adanya ulasan terkait lingkup assurance yang ditetapkan dan
disetujui dewan pengawas untuk tujuan pengendalian. Belum adanya
pengujian efektivitas desain pengendalian dari tujuan pengendalian
internal. Belum adanya dokumentasi dampak kelemahan pengendalian
dari pihak manajemen. Belum adanya komunikasi terhadap
manajemen selama pelaksanaan inisiatif sehingga ada pemahaman
yang jelas tentang pekerjaan yang dilakukan dan kesepakatan serta
penerimaan temuan awal dan rekomendasi.
157
4.5 Data Validation
Tahap ini adalah melakukan validasi data dari kuesioner yang telah
didistribusikan kepada responden sesuai dengan tabel RACI dengan menggunakan
skala likert dan mendapatkan evaluasi penilaian capability level.
4.5.1 Rekapitulasi Jawaban Kuesioner MEA01
Jawaban dari responden yang teridentifikasi dalam tabel RACI pada proses
MEA01 (Monitor, Evaluate and Assess Performance and Conformance). Dari
hasil jawaban responden yang terdapat pada Planning the Assessment selanjutnya
dapat dibuat suatu rekapitulasi, sebagai berikut:
Tabel 4.28 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.01
(Menetapkan Pendekatan Monitoring)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1 Identifikasi stakeholders as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
2
Pengikutsertaan stakeholders
dalam komunikasi untuk
kegiatan monitoring
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
3
Penggunaan alat dalam
mengumpulkan data dan
laporan evaluasi
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 25,00 75,00 0,00 0,00
4 Penyesuaian antara tujuan
dan matrik
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
5
Kesepakatan manajemen
dalam pengawasan dan
pelaporan
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
6 Pengalokasian sumber daya
dalam melakukan monitoring
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
158
7
Validasi dalam
mengidentifikasi
stakeholders, kebutuhan dan
sumber daya
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
Kondisi saat ini 0,00 67,86 32,14 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 57,14 42,85 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk menetapkan pendekatan monitoring berada
pada tingkat 1 dengan presentase 67,86%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 2 dengan presentase 57,14%.
Tabel 4.29 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.02
(Mengatur Kinerja dan Menyesuaikan Tujuan)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Peninjauan secara berkala
terhadap tujuan dan matrik
dengan stakeholders
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
2
Komunikasi perubahan
kinerja dan kesesuaian target
dengan stakeholders
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
3 Publikasi perubahan target
kepada pengguna informasi
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
4 Evaluasi tujuan dan matrik
yang spesifik
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
Kondisi saat ini 0,00 68,75 31,25 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 56,25 43,75 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
159
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk mengatur kinerja dan menyesuaikan tujuan
berada pada tingkat 1 dengan presentase 68,75%, sedangkan kondisi yang
diharapkan mayoritas responden menilai pada tingkat 2 dengan presentase
56,25%.
Tabel 4.30 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.03
(Mengumpulkan Proses Kinerja dan Kesesuaian Data)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Pengumpulan data dari
proses kinerja yang
ditetapkan
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
2
Penilaian efisiensi dan
kesesuaian dari data yang
ditetapkan
as is 25,00 75,00 0,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
3
Pengumpulan data untuk
mendukung pencapaian
tujuan kinerja
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
4 Penyelarasan antara data
dengan laporan hasil kinerja
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
5 Penggunaan sistem yang
cocok untuk mengelola data
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,00 0,00 0,00
Kondisi saat ini 5,00 90,00 5,00 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 70,00 30,00 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk mengumpulkan proses kinerja dan
kesesuaian data berada pada tingkat 1 dengan presentase 90%, sedangkan kondisi
160
yang diharapkan mayoritas responden menilai pada tingkat 2 dengan presentase
70%.
Tabel 4.31 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.04
(Menganalisis dan Melaporkan Kinerja)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1 Perancangan laporan
proses kinerja
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
2 Perbandingan antara nilai
kinerja dengan target
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
3
Penyesuaian antara
rekomendasi dengan
tujuan dan matrik
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
4 Pendistribusian laporan
kepada stakeholders
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 20,00 0,00 0,00
5 Analisa penyebab target
tidak terealisasi
as is 25,00 50,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
6
Penyesuaian antara
pencapaian target kinerja
dengan penghargaan
organisasi
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
Kondisi saat ini 4,16 66,67 29,16 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 54,16 45,83 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk menganalisis dan melaporkan kinerja berada
pada tingkat 1 dengan presentase 66,67%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 2 dengan presentase 54,16%.
161
Tabel 4.32 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.05
(Memastikan Pelaksanaan Tindakan Perbaikan)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Peninjauan rekomendasi
dari manajemen dalam
menangani masalah
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
2
Pembagian tanggung
jawab untuk tindakan
perbaikan
as is 25,00 25,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 25,00 75,00 0,00 0,00
3 Penelusuran terhadap
tindakan perbaikan
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
4 Pelaporan hasil tindakan
yang dilakukan
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
Kondisi saat ini 6,25 62,50 31,25 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 43,75 56,25 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk memastikan tindakan perbaikan berada pada
tingkat 1 dengan presentase 62,50%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 3 dengan presentase 56,25%.
4.5.2 Rekapitulasi Jawaban Kuesioner MEA02
Jawaban dari responden yang teridentifikasi dalam tabel RACI pada proses
MEA02 (Monitor, Evaluate and Assess the System of Internal Control). Dari hasil
162
jawaban responden yang terdapat pada Planning the Assessment selanjutnya dapat
dibuat suatu rekapitulasi, sebagai berikut:
Tabel 4.33 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.01
(Memantau Pengendalian Internal)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Pengawasan pengendalian
dan evaluasi internal
berdasarkan standar yang
berlaku
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
2
Mempertimbangkan
evaluasi independen dari
pengendalian internal
as is 0,00 58,33 41,67 0,00 0,00 0,00
to be 0,00 0,00 33,33 66,67 0,00 0,00
3
Identifikasi batas-batas
sistem pengendalian
internal
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 66,67 33,33 0,00 0,00
4
Pengendalian internal
organisasi dan tindakan
korektif yang sesuai
dengan manajemen resiko
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 33,33 66,67 0,00 0,00
5 Pemeliharaan sistem
pengendalian internal TI
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 33,33 66,67 0,00 0,00
6
Evaluasi kinerja
framework pengendalian
TI
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
7
Penilaian penyedia layanan
eksternal mematuhi hukum
dan kewajiban kontrak
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
Kondisi saat ini 0,00 65,47 34,52 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 41,67 58,33 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
163
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk memantau pengendalian internal berada pada
tingkat 1 dengan presentase 65,47%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 3 dengan presentase 58,33%.
Tabel 4.34 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.02
(Mengulas Kontrol Keefektifan Proses Bisnis)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Memahami dan
memprioritaskan resiko
untuk tujuan organisasi
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 25,00 75,00 0,00 0,00
2
Identifikasi pengendalian
dan pengembangan strategi
yang sesuai.
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
3
Mengembangkan dan
menerapkan prosedu
keefektifan biaya
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
4 Identifikasi informasi yang
persuasif
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 75,00 25,0 0,00 0,00
5 Perlindungan bukti
efektivitas pengendalian
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
Kondisi saat ini 0,00 80,00 20,00 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 55,00 45,00 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk mengulas kontrol keefektifan proses bisnis
berada pada tingkat 1 dengan presentase 80%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 2 dengan presentase 50%.
164
Tabel 4.35 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.03
(Melaksanakan Kontrol Penilaian Mandiri)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Mempertahankan rencana
untuk melakukan penilaian
diri standar audit internal
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
2
Penentuan frekuensi
penilaian diri secara
berkala
as is 0,00 83,33 16,67 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
3
Penetapan tanggung jawab
penilaian diri kepada
individu
as is 0,00 83,33 16,67 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
4
Peninjauan independen
untuk menjamin
objektivitas dari penilaian
diri
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
5
Perbandingan hasil
penilaian diri terhadap
standar industri dan
kerangka kerja yang baik
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 66,67 33,33 0,00 0,00
6
Pelaporan hasil penilaian
diri untuk tindakan
perbaikan
as is 0,00 66,67 33,33 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
7
Pendekatan yang konsisten
dalam melakukan kontrol
penilaian diri
as is 0,00 83,33 16,67 0,00 0,00 0,00
to be 0,00 0,00 41,67 58,33 0,00 0,00
Kondisi saat ini 0,00 75,00 25,00 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 48.82 51,18 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk melaksanakan kontrol penilaian mandiri
165
berada pada tingkat 1 dengan presentase 75%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 3 dengan presentase 51.18%.
Tabel 4.36 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.04
(Mengidentifikasi dan Melaporkan Kekurangan Pengendalian)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Mengidentifikasi
pengecualian pengendalian
dan menetapkan tanggung
jawab untuk pelaporan
as is 0,00 90,91 9,09 0,00 0,00 0,00
to be 0,00 0,00 45,46 54,54 0,00 0,00
2
Pertimbangan resiko untuk
membangun batasan
pengecualian pengendalian
as is 0,00 90,91 9,09 0,00 0,00 0,00
to be 0,00 0,00 36,36 63,64 0,00 0,00
3
Komunikasi prosedur
untuk peningkatan analisis
akar penyebab masalah
dan pelaporan
as is 0,00 90,91 9,09 0,00 0,00 0,00
to be 0,00 0,00 72,73 27,27 0,00 0,00
4
Komunikasi pengecualian
pengendalian kepada
individu yang bertanggung
jawab
as is 0,00 54,54 45,46 0,00 0,00 0,00
to be 0,00 0,00 27,27 72,73 0,00 0,00
5
Penindak lanjut
pengecualian pengendalian
guna memastikan
persetujuan tindakan telah
ditangani
as is 0,00 54,54 45,46 0,00 0,00 0,00
to be 0,00 0,00 27,27 72,73 0,00 0,00
6 Identifkasi dan penerapan
tindakan perbaikan
as is 0,00 54,54 45,46 0,00 0,00 0,00
to be 0,00 0,00 27,27 72,73 0,00 0,00
Kondisi saat ini 0,00 72,72 27,28 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 46,97 53,03 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
166
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk mengidentifikasi dan melaporkan
kekurangan pengendalian berada pada tingkat 1 dengan presentase 72,72%,
sedangkan kondisi yang diharapkan mayoritas responden menilai pada tingkat 3
dengan presentase 53,03%.
Tabel 4.37 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.05
(Memastikan bahwa Penyedia Assurance/Jaminan Independen dan Berkualitas)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Kepatuhan terhadap kode
etik dan standar yang
berlaku
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 0,00 100 0,00 0,00
2 Membangun kemandirian
penyedia assurance
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 0,00 100 0,00 0,00
3
Kompetensi dan
kualifikasi penyedia
assurance
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 0,00 100 0,00 0,00
Kondisi saat ini 0,00 83,33 16,67 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 0,00 100 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk memastikan bahwa penyedia assurance
indpenden dan berkualitas berada pada tingkat 1 dengan presentase 83,33%,
sedangkan kondisi yang diharapkan mayoritas responden menilai pada tingkat 3
dengan presentase 100%.
167
Tabel 4.38 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.06
(Menginisiasi Rencana Assurance/Jaminan)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1 Penentuan pengguna untuk
menginisiasi assurance
as is 0,00 100 0,00 100 0,00 0,00
to be 0,00 0,00 0,00 0,00 0,00 0,00
2
Proses untuk mendiagnosis
resiko dan proses TI yang
kritis
as is 0,00 100 0,00 100 0,00 0,00
to be 0,00 0,00 0,00 0,00 0,00 0,00
3
Kesepakatan tujuan
pengendalian untuk proses
yang akan menjadi dasar
penilaian kontrol
as is 0,00 100 0,00 100 0,00 0,00
to be 0,00 0,00 0,00 0,00 0,00 0,00
Kondisi saat ini 0,00 100 0,00 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 0,00 100 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini menginisiasi rencana assurance/jaminan berada
pada tingkat 1 dengan presentase 100%, sedangkan kondisi yang diharapkan
mayoritas responden menilai pada tingkat 2 dengan presentase 100%.
Tabel 4.39 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.07
(Menginisiasi Ruang Lingkup Assurance/Jaminan)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1
Penentuan ruang lingkup
untuk entitas auditable
yang relevan
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
2 Penentuan rencana
keterlibatan dan kebutuhan
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
168
sumber daya
3
Mengevaluasi informasi,
proses dan resiko untuk
keperluan pengendalian
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 25,00 75,00 0,00 0,00
4
Mengesahkan desain
pengendalian untuk
menentukan tingkat
efektivitas
as is 0,00 75,00 25,00 0,00 0,00 0,00
to be 0,00 0,00 25,00 75,00 0,00 0,00
5
Menentukan praktik untuk
mengidentifikasi sisa
resiko yang dapat diterima
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
Kondisi saat ini 0,00 90,00 10,00 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 60,00 40,00 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk menginisiasi ruang lingkup
assurance/jaminan berada pada tingkat 1 dengan presentase 90%, sedangkan
kondisi yang diharapkan mayoritas responden menilai pada tingkat 2 dengan
presentase 60%.
Tabel 4.40 Rekapitulasi Jawaban Kuesioner Capability Level MEA02.08
(Melaksanakan Inisiatif Assurance/Jaminan)
No Aktivitas Status Distribrusi Jawaban
a (%) b (%) c (%) d (%) e (%) f (%)
1 Pemahaman tentang subjek
assurance
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 100 0,00 0,00 0,00
2
Penentuan ruang lingkup
tujuan pengendalian untuk
assurance
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 100 0,00 0,00 0,00
3 Pengujian efektivitas as is 0,00 100 0,00 0,00 0,00 0,00
169
desain pengendalian to be 0,00 0,00 100 0,00 0,00 0,00
4
Penambahan alternatif
dalam menguji hasil dari
pengendalian
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
5
Mendokumentasikan
dampak kelemahan
pengendalian
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 100 0,00 0,00 0,00
6
Komunikasi terhadap
manajemen selama
pelaksanaan inisiatif
as is 0,00 50,00 50,00 0,00 0,00 0,00
to be 0,00 0,00 50,00 50,00 0,00 0,00
7
Pengawasan kegiatan
assurance dan memastikan
pekerjaan telah selesai
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 100 0,00 0,00 0,00
8
Keselarasan laporan
dengan acuan, ruang
lingkup dan kesepakatan
standar
as is 0,00 100 0,00 0,00 0,00 0,00
to be 0,00 0,00 100 0,00 0,00 0,00
Kondisi saat ini 0,00 87,50 12,50 0,00 0,00 0,00
Kondisi yang diharapkan 0,00 0,00 87,50 12,50 0,00 0,00
Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)
Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden
dalam menilai kondisi saat ini untuk melaksanakan inisiatif assurance/jaminan
berada pada tingkat 1 dengan presentase 87,50%, sedangkan kondisi yang
diharapkan mayoritas responden menilai pada tingkat 3 dengan presentase
87,50%.
4.6 Process Attribut Level
Tahap keenam dengan memberi level pada setiap sub proses, yang bertujuan
untuk menunjukkan hasil nilai kapabilitas dan tingkat kapabilitas dari hasil
170
perhitungan kuesioner pada tahap-tahap sebelumnya dan melakukan analisis gap
pada tahapan berikutnya.
4.6.1 Penentuan Nilai dan Tingkat Kapabilitas MEA01
Berdasarkan tabel rekapitulasi jawaban kuesioner menjelaskan bahwa jawaban
dari responden beragam-ragam, oleh karena itu pemahaman dalam melakukan
operasional harus ditingkatkan lagi. Berikut ini adalah hasil penentuan nilai dan
capability level pada MEA01 (Monitor, Evaluate and Assess Performance and
Conformance) di PT. Jasa Marga (Persero), Tbk sebagai berikut:
1) Nilai Capability MEA01.01 (Menetapkan Pendekatan Monitoring)
As is:
𝐶𝐿 = (0 𝑥 0) + (67,86 𝑥 1) + (32,14 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,32
To be :
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (57,14 𝑋 2) + (42,85 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,42
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.01 yaitu 1,32 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,42 yang berarti berada
pada level 2 Managed Process.
171
2) Nilai Capability MEA01.02 (Mengatur Kinerja dan Menyesuaikan Tujuan)
As is:
𝐶𝐿 = (0 𝑥 0) + (68,75 𝑥 1) + (31,25 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,31
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (56,25 𝑥 2) + (43,75 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,43
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.02 yaitu 1,31 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,43 yang berarti berada
pada level 2 Managed Process.
3) Nilai Capability MEA01.03 (Mengumpulkan Proses Kinerja dan
Kesesuaian Data)
As is:
𝐶𝐿 = (5 𝑥 0) + (90 𝑥 1) + (5 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (70 𝑥 2) + (30 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,3
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.03 yaitu 1 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,3 yang berarti berada
pada level 2 Managed Process.
172
4) Nilai Capability MEA01.04 (Menganalisis dan Melaporkan Kinerja)
As is:
𝐶𝐿 = (4,16𝑥 0) + (66,67 𝑥 1) + (29,16 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,24
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (54,16 𝑥 2) + (56,25 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,45
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.04 yaitu 1,24 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,45 yang berarti berada
pada level 2 Managed Process.
5) Nilai Capability MEA01.05 (Memastikan Pelaksanaan Tindakan Perbaikan)
As is:
𝐶𝐿 = (6,25 𝑥 0) + (62,50 𝑥 1) + (29,16 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,25
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (43,75 𝑥 2) + (56,25 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,56
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.01 yaitu 1,25 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,56 yang berarti berada
pada level 2 Managed Process.
173
6) Tingkat Kapabilitas MEA01
Tabel 4.41 Tingkat Kapabilitas MEA01
No Sub Proses Nilai Kapabilitas Tingkat Kapabilitas
As is To be As is To be
1 MEA01.01 1,32 2,42 1 2
2 MEA01.02 1,31 2,43 1 2
3 MEA01.03 1 2,3 1 2
4 MEA01.04 1,24 2,45 1 2
5 MEA01.05 1,25 2,5 1 2
Rata-rata 1,22 2,42 1 2
Dari tabel di ata menjelaskan bahwa nilai untuk kondisi saat ini (as is) pada
MEA01 adalah 1,22 sehingga menempatkan proses MEA01 di PT. Jasa Marga
(Persero), Tbk khususnya pada Divisi IT berada di level 1 yaitu Performed
Process. Artinya adalah pada MEA01 (Monitor, Evaluate and Assess
Performance and Conformance) terdapat penerapan proses yang telah dilakukan
dan mencapai tujuan prosesnya.
Sedangkan untuk kondisi yang diharapka (to be) sebesar 2,42 atau berada di
level 2 yaitu Managed Process. Artinya adalah untuk tercapainya kapabilitas
tersebut, maka PT. Jasa Marga (Persero), Tbk memerlukan suatu pengaturan yang
matang berupa perencanaan, monitor dan penyesuaian serta implementasi pada
proses monitor, evaluasi dan penilaian kesesuaian dan kinerja yang selaras dengan
perencanaan tersebut. Yang berarti direncanakan berdasarkan kinerja organisasi,
dimonitor untuk hasilnya dilaporkan pada laporan akuntabilitas organisasi dan
disesuaikan sesuai dengan visi misi PT. Jasa Marga (Persero), Tbk. Berikut ini
174
hasil representasi diagram MEA01 (Monitor, Evaluate and Assess Performance
and Conformance):
Gambar 4.4 Diagram Representasi Nilai Kapabilitas MEA01
4.6.2 Penentuan Nilai dan Tingkat Kapabilitas MEA02
Berikut ini adalah hasil penentuan nilai dan capability level pada
MEA01 (Monitor, Evaluate and Assess Performance and
Conformance) di PT. Jasa Marga (Persero), Tbk sebagai berikut:
1) Nilai Capability MEA02.01 (Memantau Pengendalian Internal)
As is:
𝐶𝐿 = (0 𝑥 0) + (65,47 𝑥 1) + (34,52 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,36
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (41,67 𝑥 2) + (58,33 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,58
175
Nilai kapabilitas kondisi saat ini (as is) pada MEA02.01 yaitu 1,36 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,58 yang berarti berada
pada level 2 Managed Process.
2) Nilai Capability MEA02.02 (Mengulas Kontrol Keefektifan Proses
Bisnis)
As is:
𝐶𝐿 = (0 𝑥 0) + (80 𝑥 1) + (20 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,2
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (55 𝑥 2) + (45 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,45
Nilai kapabilitas kondisi saat ini (as is) pada MEA02.02 yaitu 1,2 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,5 yang berarti berada
pada level 2 Managed Process.
3) Nilai Capability MEA02.03 (Melaksanakan Kontrol Penilaian Mandiri)
As is:
𝐶𝐿 = (0 𝑥 0) + (75 𝑥 1) + (25 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,25
To be:
176
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (48.82 𝑥 2) + (51.18 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,09
Nilai kapabilitas kondisi saat ini (as is) pada MEA02.03 yaitu 1,25 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,09 yang berarti berada
pada level 2 Managed Process.
4) Nilai Capability MEA02.04 (Mengidentifikasi dan Melaporkan
Kekurangan Pengendalian)
As is:
𝐶𝐿 = (0 𝑥 0) + (72,72 𝑥 1) + (27,28 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,27
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (46,97 𝑥 2) + (53,03 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,53
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.03 yaitu 1 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,53 yang berarti berada
pada level 3 Established Process.
5) Nilai Capability MEA02.05 (Memastikan bahwa Penyedia
Assurance/Jaminan Independen dan Berkualitas)
As is:
177
𝐶𝐿 = (0 𝑥 0) + (83,33 𝑥 1) + (16,67 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,16
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (0 𝑥 2) + (100 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 3
Nilai kapabilitas kondisi saat ini (as is) pada MEA02.05 yaitu 1,16 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 3 yang berarti berada pada
level 3 Established Process.
6) Nilai Capability MEA02.06 (Menginisiasi Rencana
Assurance/Jaminan)
As is:
𝐶𝐿 = (0 𝑥 0) + (100 𝑥 1) + (0 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (0 𝑥 2) + (100 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 3
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.06 yaitu 1 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 3 yang berarti berada pada
level 3 Established Process.
7) Nilai Capability MEA02.07 (Menginisiasi Ruang Lingkup
Assurance/Jaminan)
178
As is:
𝐶𝐿 = (0 𝑥 0) + (90 𝑥 1) + (10 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,1
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (60 𝑥 2) + (40 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2.4
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.07 yaitu 1,1 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,4 yang berarti berada
pada level 2 Managed Process.
8) Nilai Capability MEA02.08 (Melaksanakan Inisiatif
Assurance/Jaminan)
As is:
𝐶𝐿 = (0 𝑥 0) + (87,50 𝑥 1) + (12,50 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 1,12
To be:
𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (87,50 𝑥 2) + (12,50 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)
100= 2,12
Nilai kapabilitas kondisi saat ini (as is) pada MEA01.03 yaitu 1 artinya
tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk
nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,12 yang berarti berada
pada level 2 Managed Process.
179
9) Tingkat Kapabilitas MEA02
Tabel 4.42 Tingkat Kapabilitas MEA02
No Sub Proses Nilai Kapabilitas Tingkat Kapabilitas
As is To be As is To be
1 MEA02.01 1,36 2,58 1 3
2 MEA02.02 1,2 2,45 1 2
3 MEA02.03 1,25 2,09 1 2
4 MEA02.04 1,27 2,53 1 3
5 MEA02.05 1,16 3 1 3
6 MEA02.06 1 3 1 3
7 MEA02.07 1,1 2,4 1 2
8 MEA02.08 1,12 2,12 1 2
Rata-rata 1,18 2,50 1 2
Dari tabel di ata menjelaskan bahwa nilai untuk kondisi saat ini (as is) pada
MEA02 adalah 1,18 sehingga menempatkan proses MEA02 di PT. Jasa Marga
(Persero), Tbk khususnya pada Divisi IT berada di level 1 yaitu Performed
Process. Artinya adalah pada MEA02 (Monitor, Evaluate and Assess the System
of Internal Control) terdapat penerapan proses yang telah dilakukan dan mencapai
tujuan prosesnya.
Sedangkan untuk kondisi yang diharapka (to be) sebesar 2,50 atau berada di
level 2 yaitu Managed Process. Artinya adalah untuk tercapainya kapabilitas
tersebut, maka PT. Jasa Marga (Persero), Tbk dalam menjalankan proses yang ada
pada MEA02 harus sesuai dengan proses yang telah didefinisikan secara detil.
Sehingga tidak hanya pengaturan yang matang dalam pelaksanaan proses, namun
dalam implementasi proses sesuai dengan pengaturan tersebut. Pada tingkat ini
180
PT. Jasa Marga (Persero), Tbk bukan hanya memiliki kebijakan dan standar tetapi
juga harus diimplementasikan. Berikut ini hasil representasi diagram MEA02
(Monitor, Evaluate and Assess the System of Internal Control):
Gambar 4.5 Diagram Representasi Nilai Kapabilitas MEA02
4.6.3 Pencapaian Proses pada PT. Jasa Marga (Persero), Tbk
Dalam penelitian ini telah dilakukan kegiatan pengamatan untuk kelengkapan dari
proses atribut yang telah dicapai oleh Divisi IT di PT. Jasa Marga (Persero), Tbk.
Seperti diketahui pada subbab sebelumnya telah dilakukan penentuan nilai dan
tingkat kapabilitas masing-masing proses, yang menghasilkan Proses MEA01 dan
MEA02 saat ini berada di level 1 (Performed Process). Artinya adalah organisasi
harus dapat memenuhi proses atribut pada level 1.
Pada level 1 menurut Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs)
yang ada pada COBIT 5, maka Divisi IT di PT. Jasa Marga (Persero), Tbk harus
dapat menyediakan bukti bahwa adanya proses yang ingin atau telah dilakukan
181
dalam hal MEA01 (Monitor, Evaluate and Assess Performance and
Conformance) dan MEA02 (Monitor, Evaluate and Asses the System of Internal
Control). Untuk lebih jelasnya peneliti telah menjelaskan bukti tersebut dalam
poin 4.4 Data Collection yang dapat dilihat di atas.
Dalam hal ini tingkat kapabilitas dari masing-masing proses di atas tidak
serta merta berakhir sampai disitu saja. Perlu adanya pemeriksaan syarat-syarat
kapabilitas proses tersebut dari level 1 sampai 5 yang harus dipenuhi PT. Jasa
Marga (Persero), Tbk. Pemeriksaan ini mengacu pada process capability
indicators yang tercantum dalam kerangka kerja COBIT 5, pencapaian itu
dilakukan supaya mencapai level kapabilitas yang diharapkan. Berikut ini adalah
tabel yang menjelaskan pencapaian Divisi IT PT. Jasa Marga (Persero), Tbk untuk
proses MEA01 (Monitor, Evaluate and Assess Performance and Conformance):
Tabel 4.43 Tabel Proses MEA01 PA 1.1 Process Performance
Monitor, Evaluate and Assess Performance and Conformance
Base Practies Work Product Exist Evidence
MEA01.01
Monitoring kebutuhan √ Master Plan TI
Tujuan dan metrik monitoring yang
telah disetujui √ Master Plan TI
MEA01.02 Monitoring target - -
MEA01.03 Data monitoring yang telah diolah √ Annual Report
MEA01.04 Laporan Kinerja √ Laporan
Performance
MEA01.05 Tindakan dan tugas perbaikan - -
Status dan hasil tindakan - -
Rata-rata Skor 57,14%
182
Dari tabel di atas diketahui bahwa terdapat dokumen Master Plan TI
sebagai bukti berjalannya monitoring terhadap Divisi IT di PT. Jasa Marga
(Persero), Tbk. Laporan kinerja Divisi IT juga dapat dilihat pada dokumen
Laporan Performance. Namun banyak kegiatan lain dari proses MEA01 yang
belum berjalan atau terdokumentasikan di PT. Jasa Marga (Persero), Tbk, seperti
target monitoring, tindakan dan tugas perbaikan serta status dan hasil tindakan
perbaikan, sehingga tidak ditemukan bukti dari proses-proses tersebut.
Berdasarkan pencapaian PA 1.1 Process Performance yang dijelaskan di
atas, maka diketahui skor pencapaian PA 1.1 process performance adalah 57,14%
yang termasuk dalam tingkat penilaian L (Largely Achieved). Tingkat penilaian L
menunjukkan bahwa PT. Jasa Marga (Persero), Tbk sudah memenuhi syarat
pencapaian level 1 (performed process). Namu belum bisa melanjutkan penilaian
ke level 2 atau selanjutnya karena syarat yang harus dipenuhi yakni mencapai
tingkat penilaian fully achieved (85%) pada level 1. Berikut ini adalah tabel yang
menjelaskan pencapaian Divisi IT PT. Jasa Marga (Persero), Tbk untuk proses
MEA02 (Monitor, Evaluate and Asses the System of Internal Control):
Tabel 4.44 Tabel Proses MEA02 PA 1.1 Process Performance
Monitor, Evaluate and Assess Performance and Conformance
Base Practies Work Product Exist Evidence
MEA02.01
Hasil pemantauan dan review
pengendalian internal √ Annual Report
Hasil benchmarking dan evaluasi
lainnya - -
MEA02.02 Bukti efektivitas pengendalian √ Master Plan TI
183
MEA02.03
Rencana dan kriteria self-assessment √ Master Plan TI
Hasil self-assessment √ Assessment
Maturity Level
Hasil review self-assessment √ Assessment
Maturity Level
MEA02.04 Kontrol kekurangan √ Master Plan TI
Tindakan perbaikan √ Master Plan TI
MEA02.05 Hasil evaluasi penyedia jaminan √ Assessment GCG
MEA02.06
Penilaian tingkat tinggi - -
Rencana jaminan √ Master Plan TI
Kriteria Penilaian - -
MEA02.07
Cakupan penilaian jaminan - -
Rencana keterlibatan - -
Review praktik jaminan - -
MEA02.08 Hasil peninjauan jaminan - -
Laporan review jaminan - -
Rata-rata Skor 52,94%
Berdasarkan tabel di atas diketahui bahwa terdapat dokumen Master Plan
TI sebagai bukti berjalannya proses pengendalian efektivitas dan hasil
pemantauan dan review pengendalian internal pada Divisi IT di PT. Jasa Marga
(Persero), Tbk. Dokumen assessment maturity level sebagai bukti hasil rencana,
kriteria dan review self-assessment dan hasil dari kontrol kekurangan dan tindakan
perbaikan, rencana jaminan yang juga dibuktikan dengan Master Plan TI serta
hasil evaluasi penyedia jaminan yang terdapat pada laporan Assessment GCG.
Namun masih banyak kegiatan lain dari proses MEA02 yang belum berjalan atau
terdokumentasikan di PT. Jasa Marga (Persero), Tbk, sehingga tidak ditemukan
bukti dari proses-proses tersebut.
184
Berdasarkan pencapaian PA 1.1 Process Performance yang dijelaskan di
atas, maka diketahui skor pencapaian PA 1.1 process performance adalah 52,94%
yang termasuk dalam tingkat penilaian L (Largely Achieved). Tingkat penilaian L
menunjukkan bahwa PT. Jasa Marga (Persero), Tbk sudah memenuhi syarat
pencapaian level 1 (performed process). Namu belum bisa melanjutkan penilaian
ke level 2 atau selanjutnya karena syarat yang harus dipenuhi yakni mencapai
tingkat penilaian fully achieved (85%) pada level 1.
4.7 Reporting the Result
Reporting the result adalag tahap ketujuh berdasarkan process assessment model
yang membahas tentang laporan dan hasil proses penilaian dari tahap-tahap
sebelumnya. Dalam hal ini akan dipaparkan gaps atau kesenjangan yang terdapat
pada setiap proses serta rekomendasi untuk mencapai tingkat kapabilitas proses
yang diharapkan pada PT. Jasa Marga (Persero), Tbk khususnya di Divisi IT.
Berdasarkan jawaban dari kuesioner setiap proses yang diberikan kepada
beberapa responden dengan menggunakan skala Likert. Diketahui bahwa nilai
yang dimiliki Proses MEA01 (Monitor, Evaluate and Assess Performance and
Conformance untuk kondisi as is adalah 1,22 yakni berada pada level 1
(Performed Process) dan nilai proses MEA02 (Monitor, Evaluate, and Assess The
System of Internal Control) adalah 1,18 dengan tingkat kapabilitas yakni level 1
(Performed Process). Hasil yang diperoleh ini masih belum dapat dipastikan
kebenarannya karena hanya berdasarkan pandangan dari pihak instansi. Oleh
185
karena itu, peneliti memastikannya dengan rating scale yang ada pada COBIT 5
untuk menelusuri bukti pencapaian instansi pada level-level tersebut.
Dalam tata kelola teknologi informasi pada COBIT 5 terdapat beberapa
ketentuan yang harus dipenuhi oleh perusahaan agar dapat mencapai good
governance. Gaps didapatkan dari nilai tingkat kapabilitas kondisi as is pada
setiap proses terhadap nilai tingkat kapabilitas kondisi to be. Sementara,
rekomendasi diberikan sesuai dengan pemenuhan syarat untuk mencapai tingkat
kapabilitas yang diharapkan. Pada proses MEA01 dan MEA02 rekomendasi
diberikan untuk memenuhi semua work product yang ada di level 1 (Performed
Process).
4.7.1 Gap dan Rekomendasi
Dalam hal ini akan dipaparkan gaps antara capability level saat ini dan capability
level yang diharapkan PT. Jasa Marga (Persero), Tbk khususnya pada Divisi IT.
Penjelasannya akan digambarkan dalam bentuk tabel yang berisi gaps dan
rekomendasi untuk Divisi IT dalam mencapai tingkat kapabilitas yang diharapkan.
4.7.1.1 Gap dan Rekomendasi Proses MEA01
Nilai yang didapatkan pada proses MEA01 (Monitor, Evaluate, and Assess
Performance and Conformance) adalah 1,22 berada pada level 1 (Performed
Process), sementara level yang diharapkan berada pada level 2 (Managed
Process) yaitu dimana kebijakan dan prosedur terkait telah dijalankan, dikontrol
dan dikelola dengan tepat. Gaps dan rekomendasi ini didapat dari hasil
186
pemenuhan proses yang sudah dipaparkan pada tahap-tahap sebelumnya sehingga
rekomendasi yang diberikan sesuai dengan kebutuhan organisasi saat ini. Maka
rekomendasi untuk Divisi IT di PT. Jasa Marga (Persero), Tbk pada proses
MEA01 yakni untuk mencapai level yang diharapkan tersebut.
Rekomendasi yang diberikan untuk proses MEA02 yakni berupa
pemenuhan process attribute sesuai dengan temuan yang didapatkan pada tahap
pemenuhan indikator kapabilitas proses sebelumnya. Berikut adalah tabel
penjabaran gaps dan rekomendasi pada proses MEA01:
Tabel 4.45 Gaps dan Rekomendasi Proses MEA01.01
Key Management Practice Keterangan
MEA01.01 Menetapkan Pendekatan Monitoring
Analisa Gap
Tidak semua pihak pada Divisi IT terlibat dengan para stakeholder untuk
mengkomunikasikan kebutuhan dan tujuan proses serta komunikasi ini
belum dilakukan secara berkala.
Divisi IT belum melakukan perencanaan yang terdokumentasi mengenai
pengalokasian sumber daya dalam melakukan monitoring.
Divisi IT belum optimal dalam melakukan monitoring secara terus
menerus. Dimana monitoring yang dilakukan hanya ketika terdapat
keluhan mengenai TI dari user.
Divisi IT belum melakukan evaluasi untuk menilai kesesuaian antara tujuan
dan matrik dengan bukti hasil kinerja yang dilakukan.
Rekomendasi
Seluruh pihak di Divisi IT hendaknya terlibat secara langsung dengan para
stakeholder untuk mengkomunikasikan kebutuhan dan tujuan yang
diharapkan serta direkomendasikan komunikasi ini untuk dilakukan secara
berkala. Perencanaan ini juga harus didokumentasikan untuk kebutuhan
evaluasi di masa yang akan datang. Divisi IT juga perlu membuat prosedur
yang lebih rinci untuk mendukung komunikasi tersebut.
187
Perlu adanya standar dan prosedur yang menjelaskan terkait
pendokumentasian kegiatan pengalokasian sumber daya dalam melakukan
monitoring.
Divisi IT direkomendasikan untuk membuat standar dan prosedur secara
tertulis untuk mekanisme baru terkait kegiatas monitoring dan evaluasi
yang dilakukan oleh Divisi IT yang menjelaskan secara rinci mengenai
ketetapan waktu pelaksanaan dan pelaporan secara rutin.
Divisi IT direkomendasikan untuk membuat kebijakan secara tertulis untuk
pelaksanaan evaluasi terhadap kesesuaian hasil kinerja yang kemudian
dibuatkan standar dan prosedur terkait kegiatan tersebut.
Tabel 4.46 Gaps dan Rekomendasi Proses MEA01.02
Key Management Practice Keterangan
MEA01.02 Mengatur Tujuan Kinerja dan
Kesesuaian
Analisa Gap
Divisi IT belum melakukan pendokumentasian terkait hasil kegiatan
pendefinisian dan peninjauan secara berkala terhadap tujuan dan metrik
dengan para stakeholder melalui rapat koordinasi.
Adanya rencana untuk melakukan publikasi target perubahan kepada
pengguna, tetapi belum dilaksanakan.
Divisi IT belum melakukan dokumentasi terkait kegiatan monitoring target
untuk kinerja TI
Rekomendasi
Divisi IT direkomendasikan untuk membuat standar dan prosedur untuk
kegiatan peninjauan terhadap tujuan dan metrik dengan stakeholder yang
dilakukan melalui rapat koordinasi dimana dalam prosedur itu mencakup
pembuatan dokumentasi untuk hasil proses yang telah dilaksanakan.
Perlu adanya kebijakan secara tertulis untuk kegiatan publikasi target
perubahan kepada pengguna agar dapat terlaksana.
Membuat perencanaan untuk kegiatan evaluasi antara tujuan dan matrik
188
yang spesifik dan dapat dicapai secara relevan. Divisi IT juga dapat
menambahkan perencanaan tersebut ke dalam master plan TI agar dapat
mendukung proses tersebut terlaksana.
Tabel 4.47 Gaps dan Rekomendasi Proses MEA01.03
Key Management Practice Keterangan
MEA01.03 Mengumpulkan Proses Kinerja dan
Kesesuaian Data
Analisa Gap
Divisi IT telah mengumpulkan data dari proses yang telah dilakukan,
namun belum secara otomatis, dimana belum menggunakan sistem atau
alat-alat untuk mengelola format dari data yang dianalisis.
Divisi IT belum melakukan penilaian efisiensi, kesesuaian dan validasi
integritas dari data kinerja yang dikumpulkan.
Rekomendasi
Divisi IT direkomendasikan untuk membuat perencanaan yang
dicantumkan dalam master plan TI untuk penggunaan sistem dan alat-alat
untuk mengolah data yang dianalisis guna membantu dalam penyusunan
data secara sistematis.
Divisi IT direkomendasikan untuk membuat standar dan prosedur terkait
kegiatan kualitas penilaian efisiensi, kesesuaian dan validasi integritas dari
data yang dikumpulkan agar nantinya hasil kegiatan tersebut dapat
terdokumentasikan.
Tabel 4.48 Gaps dan Rekomendasi Proses MEA01.04
Key Management Practice Keterangan
MEA01.04 Menganalisis dan Melaporkan Kinerja
Analisa Gap
Divisi IT belum optimal dalam memberikan rekomendasi untuk
penyelesaian masalah terkait target yang tidak terealisasi.
Belum terlaksananya proses menghubungkan pencapaian target kinerja
189
karyawan untuk mendapatkan kompensasi penghargaan.
Divisi IT belum melakukan perbandingan antara nilai kinerja dengan target
dan tolak ukur perusahaan.
Divisi IT belum melakukan pendistribusian laporan kinerja kepada
stakeholder.
Rekomendasi
Divisi IT direkomendasikan untuk mengumpulkan lebih banyak evidence
terkait kinerja yang tidak memnuhi target agar lebih memahami penyebab
masalah yang terjadi sehingga rekomendasi yang diberikan akan lebih
mudah untuk disesuaikan dengan tujuan awal kinerja tersebut.
Divisi IT direkomendasikan untuk membuat kebijakan secara tertulis terkait
kompensasi penghargaan untuk karyawan yang memenuhi pencapaian
target kinerja.
Divisi IT direkomendasikan untuk membuat standar dan prosedur terkait
kegiatan perbandingan antara nilai kinerja dengan target dan tolak ukur
perusahaan agar mendukung kegiatan tersebut dapat terlaksana serta
mendokumentasikan hasil kegiatan yang dilakukan.
Direkomendasikan Divisi IT agar mendistribusikan laporan kinerja kepada
stakeholder dan mendokumentasikan kegiatan pendistribusian tersebut
untuk membuktikan kegiatan tersebut telah dilaksanakan.
Tabel 4.49 Gaps dan Rekomendasi Proses MEA01.05
Key Management Practice Keterangan
MEA01.05 Memastikan Pelaksanaan Tindakan
Perbaikan
Analisa Gap
Divisi IT belum melakukan dokumentasi proses terhadap peninjauan
manajemen terkait pilihan dan rekomendasi terhadap masalah dan
penyimpangan.
Divisi IT belum melakukan dokumentasi terkait pembagian tanggung
jawab untuk tindakan perbaikan.
Divisi IT belum melakukan penelusuran terhadap hasil tindakan perbaikan
190
terhadap apakah kinerja organisasi telah berjalan semestinya dan belum
melakukan dokumentasi terkait hasil tindakan yang dilakukan.
Rekomendasi
Divisi IT direkomendasikan untuk membuat standar dan prosedur untuk
kegiatan peninjauan tanggapan dari manajemen terkait pilihan dan
rekomendasi untuk mengatasi masalah dan penyimpangan yang terjadi
sehingga kegiatan tersebut juga dapat terdokumentasi dengan baik sebagai
bukti kegiatan tersebut terlaksana.
Perlu ditetapkan pembagian tanggungg jawab yang khusus bertugas dan
menangani tindakan perbaikan mengenai TI. Perbaruan struktur Divisi IT
dapat mengacu pada jajaran jabatan yang terdapat pada RACI Chart
COBIT 5. Pembagian tersebut juga perlu didokumentasikan.
Divisi IT direkomendasikan untuk membuat standar dan prosedur terkait
penelusuran terhadap hasil tindakan perbaikan sehinggan memudahkan
untuk mengidentifikasi tindakan perbaikan dan dokumentasi ke dalam
laporan performance.
4.7.1.2 Gap dan Rekomendasi Proses MEA02
Nilai yang didapatkan pada proses MEA02 (Monitor, Evaluate, and Assess
Performance and Conformance) adalah 1,18 berada pada level 1 (Performed
Process), sementara level yang diharapkan berada pada level 2 (Managed
Process) yaitu dimana kebijakan dan prosedur terkait telah dijalankan, dikontrol
dan dikelola dengan tepat. Gaps dan rekomendasi ini didapat dari hasil
pemenuhan proses yang sudah dipaparkan pada tahap-tahap sebelumnya sehingga
rekomendasi yang diberikan sesuai dengan kebutuhan organisasi saat ini. Maka
rekomendasi untuk Divisi IT di PT. Jasa Marga (Persero), Tbk pada proses
MEA02 yakni untuk mencapai level yang diharapkan tersebut.
191
Rekomendasi yang diberikan untuk proses MEA02 yakni berupa
pemenuhan process attribute sesuai dengan temuan yang didapatkan pada tahap
pemenuhan indikator kapabilitas proses sebelumnya. Berikut adalah tabel
penjabaran gaps dan rekomendasi pada proses MEA02:
Tabel 4.50 Gaps dan Rekomendasi Proses MEA02.01
Key Management Practice Keterangan
MEA02.01 Memantau Pengendalian Internal
Analisa Gap
Terdapat pelaksanaan benchmarking dan evaluasi lainnya dengan beberapa
perusahaan namun kegiatan tersebut belum mengalami langkah progresif.
Hal itu disebabkan karena kegiatan hanya sebatas pelaksanaan saja, tidak
ada laporan terkait dan kegiatan tida terdokumentasikan.
Adanya hasil pemantauan pengendalian internal yang ditulis setiap tahun.
Namun tidak dirumuskan secara rinci dan tidak terdefinisi dengan jelas
sehingga dapat mempersulit pihak manajemen saat melakukan penilaian.
Rekomendasi
PT. Jasa Marga (Persero), Tbk direkomendasikan untuk membuat standar
dan prosedur secara tertulis kepada setiap divisi termasuk Divisi IT untuk
membuat laporan hasil benchmarking dan evaluasi lainnya saat
melaksanakan aktivitas tersebut. Laporan tersebut berguna untuk membantu
PT. Jasa Marga (Persero), Tbk dalam mengidentifikasi dan
membandingkan permasalahan ysng terjadi dan faktor penyebabnya.
Divisi IT harus membuat suatu kebijakan dan standar secara tertulis untuk
diberlakukan dalam melakukan pemantauan pengendalian internal dan
membuat ulasannya. Untuk dapat mengawasi operasi organisasi,
manajemen hanya mengandalkan kepercayaan atas berbagai laporan dan
analisa (Gondodiyoto, 2007). Hasil dari aktivitas itu juga harus dicatat
sebagai penerus informasi dilingkungan organisasi atau diantara organisasi
yang berbeda (Gondodiyoto, 2007).
192
Tabel 4.51 Gaps dan Rekomendasi Proses MEA02.02
Key Management Practice Keterangan
MEA02.02 Mengulas Proses Bisnis Keefektifan
Pengendalian
Analisa Gap
Adanya bukti efektifitas pengendalian yang dimiliki PT. Jasa Marga
(Persero), Tbk. Namun tergabung dalam Master Plan TI dan tidak
terpelihara dengan baik. Dimana PT. Jasa Marga (Persero), Tbk belum
melakukan perencanaan secara tertulis berkaitan dengan mempertahankan
bukti keefektifan pengendalian.
Rekomendasi
PT. Jasa Marga (Persero), Tbk direkomendasikan untuk membuat standar
dan prosedur untuk memelihara bukti dari pengendalian yang msih
tergabung di dalam master plan TI. Hal itu dapat dilakuakan dengan
membuat suatu database yang menyimpan bukti evaluasi, operasi dan
pemeliharaan.
Bukti tersebut dapat didokumentasikan dalam bentuk hardcopy maupun
softcopy. Standar dan prosedur ini perlu untuk bukti kagiatan pemeliharaan
pengendalian sehingga sangat efektif jika dijadikan sebagai bahan evaluasi
karena sistem pengendalian internal harus terus menerus dievaluasi,
diperbaiki dan disesuaikan dengan perkembangan kondisi teknologi.
Tabel 4.52 Gaps dan Rekomendasi Proses MEA02.03
Key Management Practice Keterangan
MEA02.03 Melakukan Kontrol Penilaian Mandiri
Analisa Gap
Adanya rencana panilaian mandiri yang sudah terancang dari Divisi IT
namun rencana tersebut belum ditindaklanjuti terkait frekuensi untuk
penilaian mandiri secara konsisten.
Hasil penilaian mandiri saat ini telah dilaporkan secara tertulis. Namun
belum terorganisir dengan rapih dan penilaian yang dilakukan hanya
sebatas di Divisi IT saja.
193
Rekomendasi
Divisi IT direkomendasikan untuk menganalisis rencana penilaian dari
setiap bidang sebagai bahan penilaiannya untuk ditindaklanjuti. Perlu
mengadakan rapat internal yang rutin untuk membuat rencana penilaian
dimasa yang akan datang dan untuk menentukan frekuensi penilaian
mandiri agar dilakukan secara berkala.
Perlu adanya standar dan prosedur yang menjelaskan secara rinci kegiatan
penilaian mandiri yang dapat ditambahkan pada Pedoman dan Standar Tata
Kelola TI saat ini.
Divisi IT direkomendasikan untuk membuat database yang memuat seluruh
records dari hasil penilaian mandiri. Selain itu, ruang lingkup penilaian
mandiri diperluas ke seluruh divisi data departemen yang ada di PT. Jasa
Marga (Persero), Tbk. Perlu SOP terkait hal ini.
Tabel 4.53 Gaps dan Rekomendasi Proses MEA02.04
Key Management Practice Keterangan
MEA02.04 Mengidentifikasi dan Melaporkan
Kekurangan Penngendalian
Analisa Gap
Divisi IT saat ini masih mengalami kekurangan kendali dalam pelaksanaan
pengendalian internal. Walaupun adanya perencanaan perbaikan, namun
belum ada respon terkait dari top management.
Terkait kekurangan pada pelaksanaan pengendalian internal ini dapat
disebabkan karena Divisi IT belum melakukan perencanaan proses
pelacakan kepatuhan pegawai terhadap kebijakan dan prosedur yang ada.
Divisi IT belum melakukan dokumentasi tertulis terkait tindak lanjut dari
semua kekurangan pengendalian guna memastikan kekurangan telah
ditangani.
Divisi IT belum melakukan dokumentasi kebijakan terkait proses
mengkomunikasikan dan menginformasikan kekurangan pengendalian
kepada para stakeholder.
194
Rekomendasi
Divisi IT direkomendasikan untuk membuat standar dan prosedur yang
diberlakukan untuk menganalisis akar penyebab kurangnya pelaksanaan
pengendalian internal.
Divisi IT direkomendasikan untuk membuat perencanaan secara tertulis
untuk proses pelacakan kepatuhan pegawai terhadap kebijakan dan
prosedur. Perlu adanya sosialisasi yang dilakukan di seluruh divisi tentang
kebijakan dan prosedur yang berlaku. Rekomendasi tersebut dapat
ditambahkan ke dalam Master Plan IT agar dapat terlaksana.
Perlu dibuatkannya kebijakan mengenai analisa dan pengambilan tindakan
terhadap ketidakpatuhan pegawai.
Perlu adanya standar dan prosedur terkait pendokumentasian pada proses
tindak lanjut dari hasil analisis kekurangan pengendalian untuk memastikan
penanganan kekurangan tersebut.
Divisi IT direkomendasikan untuk membuat kebijakan tertulis dalam
pelaksanaan komunikasi dengan stakeholder serta menginformasikannya
kepada pemilik proses terkait dengan kekurangan pengendalian.
Tabel 4.54 Gaps dan Rekomendasi Proses MEA02.05
Key Management Practice Keterangan
MEA02.05 Memastikan bahwa Penyedia
Assurance Independen dan Berkualitas
Analisa Gap
Adanya penyedia jaminan eksternal yang telah melakukan penilaian pada
aspek tata kelola TI. Namun belum ada penilaian untuk tingkat kompetensi
dan kualifikasi penyedia assurance.
Divisi IT belum melakukan perencanaan proses analisis kepatuhan pegawai
terhadap kode etik dan standar yang berlaku.
Rekomendasi
Divisi IT direkomendasikan menbuat standar dan prosedur untuk
melakukan penilaian terhadap penyedia assurance agar memenuhi
kompetensi dan kualifikasi yang diharapkan. Karena pihak auditor
195
eksternal merupakan pihak yang termasuk berkepentingan terhadap sistem
pengendalian internal (Gondodiyoto, 2017).
Divisi IT direkomendasikan untuk membuat perencanaan secara tertulis
pada proses analisa kepatuhan pegawai terhadap kode etik dan standar yang
berlaku. Perlu adanya kebijakan dalam analisa dan pengambilan tindakan
terhadap ketidakpatuhan pegawai.
Tabel 4.55 Gaps dan Rekomendasi Proses MEA02.06
Key Management Practice Keterangan
MEA02.06 Menginisiasi Rencana Assurance
Analisa Gap
Belum adanya penentuan kriteria penilaian dalam pemantauan kepatuhan
pegawai terhadap prosedur dan kebijakan internal di Divisi IT.
Rekomendasi
Divisi IT direkomendasikan untuk membuat kabijakan dan standar yang
diberlakukan untuk menentukan kriteria dan merencanakan penilaian resiko
level tinggi atau penilaian tentang kondisi aktual kepatuhan pegawai
terhadap prosedur yang berlaku. SOP diperlukan untuk mendukung
kegiatan tersebut.
Tabel 4.56 Gaps dan Rekomendasi Proses MEA02.07
Key Management Practice Keterangan
MEA02.07 Menginisiasi Ruang Lingkup
Assurance
Analisa Gap
Belum adanya ruang lingkup jaminan yang ditetapkan dan disetujui dengan
manajemen bedasarkan tujuan pengendalian internal.
Belum adanya penanggungjawab yang terdapat di struktur organisasi yang
bertugas dalam menilai jaminan kinerja dari internal kontrol.
Belum adanya praktik ulasan assurance yang dilakukan dalam
mengumpulkan dan mengevaluasi informasi dari proses yang dikaji.
196
Rekomendasi
Divisi IT direkomendasikan untuk membuat standar dan prosedur yang
diberlakukan untuk mengidentifikasi tujuan organisasi dan TI dalam
lingkungan sumber daya organisasi dengan bantuan dari pihak eksternal
yang berkompeten.
Perlu dilakukan identifikasi sisa resiko berdasarkan laporan setiap bidang.
Hal ini penting untuk dapat mengawasi operasi organisasi karena
manajemen hanya mengandalkan kepercayaan atas berbagai laporan dan
analisa. Sistem pengendalian yang baik adalah bukan yang paling maksimal
tetapi yang paling optimal.
Tabel 4.57 Gaps dan Rekomendasi Proses MEA02.08
Key Management Practice Keterangan
MEA02.08 Melaksanakan Inisiatif Assurance
Analisa Gap
Belum adanya hasil ulasan terkait batas pelaksanaan pengendalian internal
untuk ditetapkan dan disetujui oleh top management di Divisi IT.
Divisi IT belum melakukan dokumentasi kebijakan terkait kegiatan
komunikasi kepada manajemen selama pelaksanaan inisiatif untuk
perencanaan assurance.
Rekomendasi
Divisi IT direkomendasikan untuk membuat kebijakan dan standar yang
berlaku untuk membuat rencana tindak lanjut penyelesaian masalah internal
termasuk regulasi otoritas bidang TI untuk mengelola TI yang jelas dan
tegas di PT. Jasa Marga (Persero), Tbk. Dengan membuat dokumentasi dan
laporan sebagai bahan evaluasi.
Perlu adanya prosedur tertulis untuk kegiatan terakait komunikasi kepada
manajemen selama pelaksanaan inisiatif untuk perencanaan assurance
sehingga ada pemahaman dan kesepakatan yang jelas tentang pekerjaan
yang dilakukan.
120
197
BAB V
PENUTUP
Bab ini membahas mengenai kesimpulan dari pembahasan pada bab
sebelumnya serta saran untuk perbaikan dalam penerapan Tata Kelola TI yang
berfokus pada monitoring, evaluasi dan penilaian kinerja dan kesesuaian serta
monitoring, evaluasi dan penilaian sistem pengendalian internal, sehingga
capability level yang diharapkan dapat tercapai oleh Divisi IT di PT. Jasa Marga
(Persero), Tbk.
5.1 Kesimpulan
Berdasarkan hasil analisis dan uraian dari pembahasan bab sebelumnya, maka
kesimpulan yang dapat peneliti berikan adalah sebagai berikut:
1) Berdasarkan hasil evaluasi tata kelola teknologi informasi dengan
menggunakan framework COBIT 5 pada Divisi IT di PT. Jasa Marga
(Persero), Tbk. Maka diketahui tingkat kapabilitas yang didapatkan
pada proses MEA01 (Monitor, Evaluate and Assess Performance and
Conformance) saat ini berada di level 1 (Performed Process) dengan
nilai kapabilitas sebesar 1,22. Sementara tingkat kapabilitas yang
diharapkan berada di level 2 (Managed Process) dengan nilai
kapabilitas sebesar 2,42.
2) Pada proses MEA02 (Monitor, Evaluate and Assess System of Internal
Control) berada di level 1 (Performed Process) dengan nilai
198
kapabilitas sebesar 1,18. Sementara tingkat kapabilitas yang
diharapkan berada di level 2 (Managed Process) dengan nilai
kapabilitas sebesar 2,5.
3) Diantara rentang nilai pada level 1 dengan level 2 terdapat gap sebesar
1,2 untuk MEA01 dan 1,32 untuk MEA02. Dengan kata lain untuk
mencapai level yang diharapkan tersebut, Divisi IT harus dapat
memenuhi terlebih dahulu indikator-indikator kapabilitas proses Work
Products/Generic Work Product (WPs/GWPs) pada level 1 yang
masih belum terpenuhi.
4) Penelitian ini dapat menjadi bahan pertimbangan bagi para pengambil
keputusan atau tingkat manajerial tertinggi di PT. Jasa Marga
(Persero), Tbk khususnya Divisi IT dalam rencana pengembangan
pedoman dan standar tata kelola TI dengan memperhatikan faktor-
faktor penghambat dalam pengimplementasiannya.
5.2 Saran
Berdasarkan kesimpulan dan analisa yang telah dibahas sebelumnya, maka
peneliti memberikan saran untuk peneliti selanjutnya berdasarkan batasa-batasan
dalam pelaksanaan penelitian, sebagai berikut:
1) Dari hasil penelitian yang telah dilakukan, peneliti memberikan saran
untuk peneliti selanjutnya agar dapat meninjau kembali dan dapat
memperbaiki hal-hal berikut:
199
a. Dalam pemilihan domain yang akan digunakan sebaiknya
memilih IT-related goals lebih dari satu sehingga memberikan
pilihan domain yang lebih banyak dan memberikan ruang
lingkup pembahasan masalah yang lebih luas.
b. Pada pembuatan pertanyaan dalam kuesioner, sebaiknya
memperbaiki tata bahasa yang digunakan karena mempengaruhi
pengertian para responden agar tidak terjadi pemahaman yang
bias.
c. Pemilihan pihak yang akan terlibat dalam kegiatan evaluasi
melalui RACI Chart, sebaiknya tidak terpaku pada Responsible
saja tetapi juga melibatkan Accountable, Consulted dan
Informed dalam mecari data atau informasi secara langsung
maupun tidak langsung.
2) Untuk pihak Divisi IT agar dapat terus melakukan peningkatan dalam
kontrol dan dokumentasi pada setiap kegiatan yang berkaitan dengan
TI, karena bukti itu sangat berguna sebagai bahan evaluasi di masa
yang akan datang.
3) PT. Jasa Marga (Persero), Tbk diharapkan untuk selalu
mengembangkan pedoman tata kelola TI sesuai framework yang
digunakan dan memperhatikan penerapannya melalui sosialisasi
secara menyeluruh karena mayoritas pegawasi masih belum memiliki
kesadaran akan pentingnya tata kelola TI di perusahaan.
197
200
DAFTAR PUSTAKA
Candra, R. K., & Atastina, I. (2015). Audit Teknologi Informasi Menggunakan
Framework COBIT 5 Pada Domain DSS (Delivery, Service and Support) di
iGracias Telkom University. Telkom University, 5-20.
Fauziyah. (2010). Pengantar Teknologi Informasi. Bandung: Muara Indah.
Fitroh, Siregar, S., & Rustamaji, E. (2017). Determining Evaluated Domain
Process through Problem Identification using COBIT 5 Framework. Cyber
and IT Service Management, 108.
Gondodiyoto, S. (2007). Audit Sistem Informasi: Pendekatan COBIT. Jakarta:
Mitra Wacana Media.
Guritno, S., Sudaryono, & Rahardja, U. (2011). Theort and Application of IT
Research: Metodologi Penelitian Teknologi Informasi. Yogyakarta: ANDI.
Hilmawan, H. (2015). Analisis Tata Kelola Teknologi Informasi Menggunakan
Kerangka Kerja COBIT 5 Pada AMIK JTC Semarang. Jurnal Teknologi
dan Sistem Komputer, 3, 247-252.
Huda, M., & Hidayah, N. A. (2015). A Conceptual Model of Social Technology
Implementation. Seminar Prosiding SENATKOM 2015.
Huda, M., & Hussin, H. (2016). Evaluation Model of Information Technology
Innovation Effectiveness: Case of Higher Education Institutions in
Indonesia.
Indrajit, Richardus Eko. (2011). Manajemen Organisasi dan Tata Kelola
Teknologi Informasi. Graha Ilmu: Yogyakarta.
ISACA. (2012). A Business Framework for the Governance and Management of
Enterprise IT. USA: IT Governance Institute.
ISACA. (2012). Enabling Process. USA: ISACA.
ISACA. (2012). Implementation. USA: ISACA.
ISACA. (2012). Process Assessment Model (PAM): Using COBIT 5. USA:
ISACA.
ITGI. (2007). IT Governance Implementation Guide 2nd Edition. USA: IT
Govenance Institute
Jogiyanto. (2008). Metodologi Penelitian SIstem Informasi. Yogyakarta: ANDI.
201
Jogiyanto, H. (2011). Sistem Tata Kelola Teknologi Informasi. Yogyakarta: Andi.
Jogiyanto, H., & Abdillah, W. (2011). Sistem Tatakelola Teknologi Informasi.
Yogyakarta: ANDI.
Kaban, I. (2009). Tata Kelola Teknologi informasi (IT Governance). Jurnal
Jurusan Komputerisasi Akuntansi, Fakultas Ilmu Komputer, Universitas
Bina Nusantara, CommIT, Vol. 3 No. 1.
Lutman, J., & Kempaiah. (2007). An Update on Business-IT Alignment: A Line
Has Been Drawn. MIS Quarterly Executive, 6(3): 165-177.
Mulyadi. (20014). Sistem Akuntasi. Yogyakarta: Salemba Empat.
Nursalam. (2008). Konsep dan Penerapan Metodologi Penelitian Ilmu
Keperawatan. Jakarta: Salemba Medika.
Oltsik, J. (2009). Information Security Management: Analysis and
Recommendations. English: Hype-free Consulting.
Purwanto, N. (2007). Prinsip-Prinsip dan Teknik Evaluasi Pengajaran. Bandung:
Rosdakarya.
Risnita. (2012). Pengembangan Skala Model Likert. Edu-Bio, Vol 3, Hal 86-98.
Sanjaya, W. (2013). Penelitian Pendidikan: Jenis, Metode dan Prosedur. Jakarta:
Kharisma Putra Utama.
Sarno, R. (2009). Audit Sistem dan Teknologi Informasi. Surabaya: ITS Press.
Siregar, Sahbani. (2016). Evaluasi Tata Kelola Teknologi Informasi Berdasarkan
Framework COBIT 5 Pada Pusat Informasi dan Hubungan Masyarakat
Kementrian Agama RI (Fokus EDM03, APO01, MEA02). Jakarta: UIN
Syarif Hidayatullah
Subiyakto, A., & Ahlan, A. (2013). A Coherent Framework or Understanding
Critical Success Factors of ICT Project Environment. International
Conference on Research and Innovation in Information System (ICRIIS).
Subiyakto, A., Ahlan, A. R., Kartiwi, M., Putra, S. J., & Durachman, Y. (2016).
The User Satisfication Perspective of the Informastion System Projects.
Indonesia Journal if Electrical Engineering and Computer Science, Vol 4,
No. 1 October 2016. pp 215-223.
Sugiyono. (2010). Metode Penelitian Kuantitatif dan Kualitatif dan R&D.
Bandung: Alfabeta.
Sugiyono, & Azwar. (2009). Skala Likert. Dipetik Juli 26, 2017, dari
http://repository.upi.edu/622/6/S_PPB_0808368_Chapter3.pdf
202
Suminar, Suryo. 2014. Evaluasi Tata Kelola Teknologi Informasi Menggunakan
Framework COBIT 5 Fokus Proses Manage Security (APO13) dan Manage
Security Service (DSS05). Jakarta: UIN Syarif Hidayatullah.
Supriyana. (2010). Model Arsitektur Bisnis, Sistem Informasi dan Teknologi di
Bakosurtanal Berbasis TOGAF.
Surendro, K. (2009). Implementasu Tata Kelola Teknologi Informasi. Bandung:
Informatika.
Wakhinuddin. (2009). Analisa Gap. Dipetik Juli 26, 2017, dari
http://wakhinuddin.wordpress.com/2009/11/24/analisis-gap/
Weill, P., & Ross, J. (2007). IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results. Boston: Harvard Business School
Press.
Williams et al. (2007). Using Information Technology: Pengenalan Praktis Dunia
Komputer dan Komunikasi. Yogyakarta: ANDI.
Yunanda. (2009). Pengertian Evaluasi.
203
LAMPIRAN-LAMPIRAN
204
Hasil Wawancara
Nama : Bapak Randy Prasetia Putra, M.TI
Jabatan : President Divisi IT
Tanggal : 18 Mei 2017
Tempat : Kantor Pusat PT. Jasa Marga (Persero), Tbk
Berikut hasil wawancara peneliti dengan Kepala Divisi IT:
1. Apa jabatan bapak dala PT. Jasa Marga (Persero), Tbk?
Jawab:
Kepala divisi IT atau dalam struktur organisasi disebut President Divisi IT
2. Adakah visi dan misi PT. Jasa Marga (Persero), Tbk? Apa visi dan misi
tersebut?
Jawab:
PT. Jasa Marga (Persero), Tbk memiliki visi “Menjadi Perusahaan Jalan Tol
Nasional Terbesar, Terpercaya dan Berkesinambungan” dan memiliki misi:
Memaksimalkan Pengembangan Kawasan untuk Meningkatkan Kemajuan
Masyarakat dan Keuntungan Perusahaan.
Menjalankan Usaha Jalan Tol di Seluruh Rantai Nilai Secara Profesional
dan Berkesinambungan.
Memimpin Pembangunan Jalan Tol di Indonesia untuk Meningkatkan
Konektivitas Nasional.
205
3. Sistem informasi apa yang digunakan di PT. Jasa Marga (Persero), Tbk?
Jawab:
Sistem informasi di PT. Jasa Marga (Persero), Tbk menggunakan ERP
(Enterprise Resource Planning) berbasis Oracle e-bussiness Suite untuk
mengintegrasikan berbagai fungsi bisnis seperti finance, human resource dan
logistic.
4. Adakah perencanaan strategis yang digunakan Divisi IT dalam menjalankan
pengelolaan teknologi informasi?
Jawab:
Ada, di sini disebut Master Plan Teknologi Informasi yang dirancang setiap
lima tahun dalam menerapkan pengelolaan teknologi informasi.
5. Adakah laporan evaluasi kinerja perusahaan untuk mengentahui kinerja
perusahaan minimal setahun sekali?
Jawab:
Ya, ada dibuktikan dengan dokumen Annual Report yang dibuat setiap tahun.
6. Apa saja kendala yang ditemui dalam pengelolaan teknologi informasi di PT.
Jasa Marga (Persero), Tbk?
Jawab:
Seperti halnya rencana yang ada di Divisi IT sudah dijelaskan di dokumen
master plan TI, namun pada pelaksanaannya banyak program kerja yang
terlambat waktu penyelesaiannya sehingga menghambat program kerja
lain untuk dikerjakan. Bahkan ada beberapa program yang sudah dalam
tahap pengerjaan menjadi tidak terealisasikan.
206
Kemudian pada standar dan prosedur yang ada di PT. Jasa Marga
(Persero), Tbk sudah dijelaskan bahwa Divisi IT yang bertanggung jawab
dalam pembangunan, pengembangan dan pengawasan sistem informasi
yang ada di perusahaan. Namun, ditemukan beberapa aplikasi yang kami
(divisi IT) tidak mengetahui asalnya dari mana, sehingga beberapa aplikasi
menjadi tidak digunakan.
7. Apa yang menyebabkan masalah mengenai pelaksanaan program kerja
tersebut?
Jawab:
Kemungkinan yang pertama adalah karena kurangnya analisis pada tahap
awal pelaksanaan program, seperti analisis waktu, biaya dan tujuan.
Kemungkinan yang kedua adalah karena kurangnya pengawasan pada setiap
tahapan pengerjaan, apakah tahapan yang sedang dikerjakan sudah sesuai
atau belum itu yang kurang diawasi sehingga ketika masalah muncul dan
pengerjaan jadi terhambat,, masalah yang terjadi jadi kurang jelas
penyebabnya.
8. Apakah di PT. Jasa Marga (Persero), Tbk terdapat pengendalian internal?
Jawab:
Ya, ada. Namun fungsinya belum terlalu optimal karena masih banyak
pegawai yang tidak mematuhi kebijakan dan prosedur perusahaan. Dimana
dalam prosedurnya, pengendalian internal berfungsi untuk mendorong
pegawai agar dipatuhinya kebijakan dan prosedur yang ada dalam
perusahaan.
207
Hasil Wawancara
Nama : Ibu Diah Eka Yulianti, S.Kom
Jabatan : Senior Specialist IT Control & Monitoring
Tanggal : 20 Maret 2017
Tempat : Kantor Pusat PT. Jasa Marga (Persero), Tbk
Berikut hasil wawancara peneliti dengan Senior Specialist IT Control &
Monitoring:
1. Bagaimana penerapan tata kelola teknologi informasi pada PT. Jasa Marga
(Persero), Tbk? Apakah sudah sesuai standard?
Jawab:
Belum memenuhi standard yang berlaku, namun sudah ada usaha untuk
menuju standard tersebut.
2. Bagaimana kegiatan monitoring untuk pengelolaan TI di PT. Jasa Marga
(Persero), Tbk? Apakah sudah optimal?
Jawab:
Kegiatan monitoring untuk pengelolaan TI memang belum optimal, dimana
pengawasan baru dilakukan ketika ada keluhan dari user mengenai masalah
TI. Sehingga awal mula terjadi masalah sulit terdefinisi dengan baik yang
menyebabkan solusi yang diberikan seringkali tidak pas dengan yang
dibutuhkan.
208
3. Apakah terdapat manual book dan SOP dalam penggunaan teknologi
informasi di PT. Jasa Marga (Persero), Tbk?
Jawab:
Ada, di PT. Jasa Marga (Persero), Tbk SOP tergabung dalam dokumen
Pedoman dan Standar Tata Kelola TI, yang berisi prosedur-prosedur untuk
setiap kegiatan di perusahaan. Contohnya yang terkait Divisi IT terdapat
dokumen Prosedur Pengelolaan Proyek Teknologi Informasi, dokumen
tersebut menjadi satu dalam Pedoman dan Standar Tata Kelola TI.
4. Apakah di PT. Jasa Marga (Persero), Tbk pernah dilakukan audit?
Jawab:
Untuk manajemen setiap satu tahun sekali melakukan audit untuk ISO
9001:2015 Manajemen Mutu, ISO 14001:2015 Standar Lingkungan dan ISO
45001:2016 Manajemen Kesehatan dan Keselamatan Kerja. Untuk Divisi IT
sendiri pernah dilakukan evaluasi menggunaka COBIT 4.1 pada tahun 2016,
namun hanya penilaian secara umum, sehingga rekomendasi yang diberikan
tidak untuk seluruh permasalahan yang ada di Divisi IT.
5. Adakah hambatan maupun kesulitan yang dihadapi dalam penerapan tata
kelola teknologi informasi?
Jawab:
Ya, ditemukan kendala dalam melakuka pengelolaan tata kelola teknologi
informasi. Masalah utama yang terjadi adalah karena ketidakpatuhan pegawai
terhadap peraturan yang ada di Pedoman dan Standar Tata Kelola TI sehingga
masih terjadi kendala dalam menerapkan tata kelola yang baik.
209
KUESIONER
ANALISA TATA KELOLA TEKNLOGI INFORMASI PADA DOMAIN MONITOR,
EVALUATE AND ASSESS DI PT. JASA MARGA (Persero), Tbk
CAPABILITY LEVEL
Kuesioner ini merupakan bagian dari penelitian skripsi dari Shally Putri Nur
Amalia Program Studi Sistem Informasi, Universitas Islam Negeri Syarif Hidayatullah Jakarta,
yang bertujuan untuk memperoleh data ataupun opini dari Bapak/Ibu yang bekerja di PT. Jasa
Marga (Persero), Tbk sebagai pihak yang terkait khususnya bagian yang termasuk pada RACI
COBIT 5.0 dalam MEA01 (Monitor, Evaluate and Assess Performance and Conformance)
dan MEA02 (Monitor, Evaluate and Assess the System of Internal Control).
Kuesioner Capability Level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk kondisi yang
diharap kan (to be). Untuk mempermudah narasumber menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
dikelompokkan menurut atribut kematangan dan pada setiap pertanyaan memiliki 2 (dua)
jawaban yang masing-masing mewakili kondisi terkini dan kondisi yang diharapkan. Masing-
masing pertanyaan mempunyai 6 (enam) pilihan jawaban yang menunjukkan tingkat
kematangan terhadap atribut tertentu pada proses pengelolaan konfigurasi. Pilihan tersebut dari
a sampai f secara berturut-turut mempresentasikan tingkat kematangan yang semakin
meningkat terhadap sesuatu, yaitu a=0, b=1, c=2, d=3, e=4 dan f=5.
Pada kolom “Jawaban”, narasumber dapat memilih salah satu jawaban yang di
anggap bisa mewakili kondisi kematangan baik yang saat ini maupun yang diharapkan, terkait
dengan atribut kematangan tertentu dengan memberikan tanda ceklis (√) pada tempat yang
tersedia. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan selanjutnya akan
dilakukan analisis yang dapat menjadi dasar pendefinisian rancangan solusi untuk perbaikan
dalam proses monitor, evaluate and assess.
Untuk kebutuhan di atas mohon kiranya Bapak/Ibu sebagai narasumber dapat
memberikan jawaban atas pertanyaan-pertanyaan yang diberikan dalam kuesioner ini untuk
kemudian dapat saya olah dalam penelitian skripsi ini. Terimakasih atas perhatian dan
waktunya.
Nama Narasumber
Jabatan Narasuber
Unit/Bidang/Subbid
210
Keterangan Indikator Kapabilitas
a = 0 → Tidak adanya proses yang dilaksanakan atau gagal untuk mencapai tujuan.
b = 1 → Adanya proses namun belum ditentukan apakah suatu proses sudah memberikan hasil
yang sesuai.
c = 2 → Adanya perencanaan, monitoring dan penyesuaian pada pelaksanaan proses.
d = 3 → Adanya implementasi proses yang telah mampu dalam mencapai hasil proses.
e = 4 → Adanya proses dan dijalankan secara konsisten dengan batasan-batasan agar mampu
meraih tujuan dari proses tersebut.
f = 5 → Adanya proses dan terprediksi terus-menerus ditingkatkan untuk memenuhi tujuan bisnis
dan tujuan proyek perusahaan.
1.) MEA01 (Monitor, Evaluate and Assess Performance and Conformance)
MEA01.01 (Menetapkan Pendekatan Monitoring)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana identifikasi kegiatan yang
dilakukan pemangku kepentingan
(misalnya, manajemen, pemilik proses
dan penguna).
Sejauh mana pengikutsertaan
stakeholders dalam komunikasi
persyaratan perusahaan dan tujuan untuk
monitoring.
Sejauh mana keselarasan dalam
mempertahankan monitoring secara terus
menerus.
Sejauh mana evaluasi yang dilakukan
perusahaan dengan menggunakan alat
yang digunakan dalam mengumpulkan
data dan laporan (misalnya, aplikasi
pengawasan bisnis).
Sejauh mana kesesuaian antara tujuan
dan matrik (misalnya, kinerja, nilai,
resiko) dengan bukti data hasil kinerja.
211
Sejauh mana alur manajemen dan kontrol
proses perubahan dalam pengawasan dan
pelaporan.
Sejauh mana pengalokasian sumber daya
dalam melakukan monitoring.
Sejauh mana validasi yang dilakukan
secara berkala dalam mengidentifikasi
stakeholders, kebutuhan dan sumberdaya
baru atau yang diubah.
MEA01.02 (Mengatur Kinerja dan Menyesuaikan Tujuan)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana pendefinisian dan
peninjauan secara berkala terhadap
tujuan dan matrik dengan para
stakeholders.
Sejauh mana komunikasi usulan
perubahan kinerja dan kesesuaian target
serta toleransi dengan stakeholders.
Sejauh mana dilakukan publikasi
perubahan target dan toleransi kepada
pengguna informasi.
Sampai saat ini, sejauh mana dilakukan
evaluasi antara tujuan dan matrik yang
spesifik, terukur dan dapat dicapai secara
relevan.
212
MEA01.03 (Mengumpulkan Proses Kinerja dan Kesesuaian Data)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Bagaimana tingkat pengumpulan data
dari proses kinerja yang ditetapkan.
Sejauh mana penilaian efensiensi,
kesesuaian dan validasi integrasi dari
data yang dikumpulkan.
Sampai saat ini, bagaimana proses
pengumpulan data untuk mendukung
pengukuran pencapaian tujuan kinerja.
Sejauh mana keselarasan antara data
yang terkumpul dengan laporan hasil
kinerja perusahaan.
Bagaimana penggunaan sistem dan alat-
alat yang cocok untuk mengelola format
dari data yang dianalisis.
MEA01.04 (Menganalisis dan Melaporkan Kinerja)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Bagaimana tingkat prancangan laporan
proses kinerja yang ringkas dan mudah
dipahami dan disesuaikan dengan
berbagai kebutuhan manajemen dan
audien.
Bagaimana perbandingan antara nilai
kinerja dengan target dan tolak ukur
internal perusahaan.
Sejauh mana kesesuaian antara
rekomendasi perubahan yang diberikan
dengan tujuan dan matrik.
Sejauh mana tingkat analisa penyebab
target tidak terealisasi.
Sejauh mana tingkat pendistribusian
213
laporan kepada stakeholders.
Bagamana kesesuaian antara kelayakan
dan pencapaian target kinerja dengan
sistem kompensasi penghargaan
organisasi.
MEA01.05 (Memastikan Pelaksanaan Tindakan Perbaikan)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana peninjauan, respon, pilihan
dan rekomendasi dari manajemen dalam
menangani masalah dan penyimpangan.
Bagaimana pembagian tanggung jawab
untuk tidakan perbaikan.
Sejauh mana tingkat penelusuran
terhadap hasil tidakan perbaikan.
Bagaimana tingkat laporan dari hasil
tindakan yang dilakukan.
2.) MEA02 (Monitor, Evaluate and Assess the System of Control Internal)
MEA02.01 (Memantau Pengendalian Internal)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana tingkat kegiatan
pengawasan, pengendalian dan evaluasi
pada efisiensi serta efektifitas internal
berdasarkan standar tata kelola
organisasi dan kerangka kerja
perusahaan yang berlaku.
Sejauh mana manajemen
mempertimbangankan evaluasi
independen dari sistem pengendalian
internal.
214
Sejauh mana tingkat identifikasi batas-
batas sistem pengendalian internal TI
(misalnya mempertimbangkan
bagaimana organisasi pengendalian
internal TI memperhitungkan
pengembangan outsourcing dan atau
kegiatan produksi.
Sampai saat ini, sejauh mana tingkat
kegiatan terkait pengendalian internal
organisasi, tindak lanjut analisis dan
tindakan korektif yang diutamakan
organisasi dilaksanakan sesuai dengan
manajemen resiko (misalnya,
mengklasifikasikan pengecualian tertentu
sebagai resiko utama dan lain-lain
sebagai resiko tidak utama).
Sejauh mana tingkat pemeliharaan sistem
pengendalian internal TI, mengingat
perubahan yang sedang berlangsung
dalam bisnis dan resiko TI serta
lingkungan pengendalian organisasi.
Sejauh mana tingkat evaluasi kinerja
framework pengendalian IT terhadap
standar industri yang berlaku.
Bagaimana tingkat penilaian terkait
status penyedia layanan eksternal untuk
pengendalian internal dan
mengkonfirmasi bahwa penyedia layanan
mematuhi persyaratan hukum dan
peraturan kewajiban kontrak.
MEA02.02 (Mengulas Proses Bisnis Keefektifan Pengendalian)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana organisasi memahami dan
memprioritaskan resiko untuk tujuan
215
organisasi.
Bagaimana proses identifikasi
pengendalian utama dan pengembangan
strategi yang cocok untuk memvalidasi
pengendalian.
Sejauh mana tingkat pengembangan dan
penerapan prosedur keefektifan agar
informasi yang didapatkan sesuai dengan
kriteria.
Sampai saat ini, bagaimana proses
identifikasi informasi yang persuasif
menunjukkan apakah lingkungan
pengendalian internal beroperasi secara
efektif.
Sejauh mana mempertahankan bukti
efektivitas dari pengendalian.
MEA02.03 (Melaksanakan Kontrol Penilaian Mandiri)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana tingkat mempertahankan
rencana dan ruang lingkup serta
mengidentifikasi kriteria evaluasi untuk
melakukan penilaian mandiri dengan
mempertimbangkan standar audit
internal.
Sejauh mana tingkat penentuan frekuensi
penilaian mandiri secara berkala..
Bagaimana tingkat penetapan tanggung
jawab terkait penilaian mandiri kepada
individu yang tepat untuk menjamin
objektivitas dan kompetensi.
Sejauh mana tingkat tinjauan independen
untuk menjamin objektivitas dari
penilaian dan memungkinkan berbagi
praktek pengendalian internal yang baik
216
dari perusahaan lain.
Sampai saat ini, sejauh mana tingkat
perbandingan hasil penilaian terhadap
standar industri dan kerangka kerja yang
baik.
Sejauh mana tingkat pelaporan hasil
penilaian dan perbandingan untuk
tindakan perbaikan.
Sejauh mana terkait pendekatan yang
konsisten dalam melakukan kontrol
penilaian diri dan koordinasi dengan
auditor internal dan eksternal.
MEA02.04 (Mengidentifikasi dan Melaporkan Kekurangan Pengendalian)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana tingkat identifikasi laporan
dan catatan kekurangan pengendalian
dan penetapan tanggung jawab untuk
menyelesaikan pengendalian.
Sejauh mana tingkat pertimbangan resiko
perusahaan untuk membangun batasan
peningkatan kekurangan pengendalian
dan kesalahan.
Sejauh mana keputusan kekurangan
pengendalian harus dikomunikasikan
kepada individu yang bertanggung jawab
serta menginformasikannya kepada
pemilik proses yang terkena dampak dan
para stakeholders.
Sejauh mana tingkat tindak lanjut dari
semua kekurangan pengendalian guna
memastikan bahwa persetujuan tindakan
telah ditangani.
Sejauh mana tingkat komunikasi
prosedur untuk peningkatan
217
pengendalian pengecualian masalah,
analisis akar penyebab masalah dan
pelaporan kepada pemilik proses.
Sampai saat ini sejauh mana tingkat
identifikasi dan penerapan tindakan
perbaikan yang timbul dari penilaian
pengendalian dan pelaporan.
MEA02.05 (Memastikan bahwa Penyedia Assurance/Jaminan Independen dan Berkualitas)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Bagaimana tingkat penyedia jaminan
yang independen dan berkualitas.
Sejauh mana tingkat kepatuhan terhadap
kode etik dan standar yang berlaku
(misalnya, Kode Etik Profesional
ISACA, ISO) dan standar jaminan
lainnya.
Sejauh mana organisasi membangun
kemandirian penyedia assurance.
Sampai saat ini bagaimana tingkat
kompetensi dan kualifikasi penyedia
assurance.
MEA02.06 (Menginisiasi Rencana Assurance/Jaminan)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana tingkat penentuan para
pengguna untuk menginisiasi assurance.
Sejauh mana tingkat penilaian resiko
level tinggi dan/atau penilaian tentang
kemampuan proses untuk mendiagnosis
resiko dan mengidentifikasi proses TI
yang kritis.
218
Sejauh mana tingkat pemilihan,
penyesuaian dan pencapaian kesepakatan
tentang tujuan pengendalian untuk proses
penting yang akan menjadi dasar
penilaian kontrol
MEA02.07 (Menginisiasi Ruang Lingkup Assurance/Jaminan)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e F a b c d e f
Sejauh mana tingkat penentuan ruang
lingkup assurance dengan
mengidentifikasi tujuan perusahaan dan
IT untuk lingkungan sumber daya, serta
semua entitas auditable yang relevan
dalam perusahaan dan eksternal
perusahaan
Bagaimana tingkat penetapan rencana
suatu jaminan dalam menentukan
kebutuhan sumber daya.
Sejauh mana tingkat praktik yang
dilakukan dalam mengumpulkan dan
mengevaluasi informasi dari proses yang
dikaji untuk keperluan pengendalian
serta evaluasi resiko yang ada.
Sejauh ini bagaimana tingkat tindakan
dalam mengesahkan desain pengendalian
dan capaian guna menentukan apakah
tingkat efektivitas mendukung resiko
yang dapat diterima (yang dibutuhkan
oleh organisasi).
Sejauh mana tingkat manajemen
menentukan praktik untuk
mengidentifikasi sisa resiko (dalam
persiapan untuk pelaporan).
219
MEA02.08 (Melaksanankan Inisisatif Assurance/Jaminan)
Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)
a b c d e f a b c d e f
Sejauh mana pemahaman tentang subjek
assurance.
Sejauh mana tingkat penentuan ruang
lingkup tujuan pengendalian utama untuk
subjek assurance.
Sejauh mana tingkat pengujian efektifitas
desain pengendalian dari tujuan utama
pengendalian.
Sejauh mana tingkat alternatif/tambahan
dalam menguji hasil dari tujuan utama
pengendalian.
Sejauh mana tingkat manajemen
mendokumentasikan dampak kelemahan
pengendalian.
Sejauh mana tingkat komunikasi
terhadap manajemen selama pelaksanaan
inisiatif sehingga ada pemahaman yang
jelas tentang pekerjaan yang dilakukan
dan kesepakatan serta penerimaan
temuan awal dan rekomendasi.
Bagaimana tingkat pengawasan kegiatan
assurance dan kerja yang dilakukan
setelah memenuhi tujuan dan kualitas
yang dapat diterima.
Sejauh mana manajemen dengan laporan
(selaras dengan kerangka acuan, ruang
lingkup dan disepakati pada standar
pelaporan) yang mendukung hasil
inisiatif dan memungkinkan fokus pada
masalah utama dan tindakan penting.
220
DOKUMENTASI
Pedoman dan Standar Tata Kelola TI PT.
Jasa Marga (Persero), Tbk
Annual Report PT. Jasa Marga (Persero), Tbk
Master Plan Divisi IT
221
Keputusan Vice P resident IT Tentang Pemberlakuan
Pedoman dan Standar Tata Kelola TI di Divisi IT
222
Salah Satu Prosedur pada Pedoman dan
Standar Tata Kelola TI: Prosedur Pengelolaan
Proyek Teknologi Informasi
Lembar Pengesahan Prosedur
yang Berlaku di Divisi IT
Laporan Performance Kinerja TI pada Divisi IT
223
Pedoman Etika dan Perilaku PT. Jasa Marga (Persero), Tbk
224
Hasil Self Assessment oleh
Divisi IT
Hasil Evaluasi Penyedia Jaminan (Assessment GCG)
225
226
227
228