6

BAB II

KAJIAN PUSTAKA

Persaingan antara operator telekomunikasi sudah semakin transparan

dalam merebut hati pelanggan. PT. Bakrie Telecom, TBK selalu mengedepankan

produk-produk yang menarik dan inovatif dalam menghadapi kancah persaingan.

Dalam melakukan inovasi dalam meningkatkan kesejahteraan pelanggan,

perusahaan mengupayakan produk yang dihasilkan mempunyai kualitas yang

tinggi dan jasa telekomunikasi terjangkau serta mengikuti strategi pertumbuhan

berdasarkan cara unik Bakrie Telecom yaitu disruptive innovations dengan cara

melakukan inovasi persis seperti pelanggan inginkan sehingga kepercayaan dan

kepuasan pelanggan dapat terpenuhi. Dalam perusahaan telekomunikasi, proses

yang paling ditekankan dalam memenuhi kebutuhan pelanggan yaitu

pengendalian dalam proses billing.

2.1 Evaluasi Sistem Informasi

Menurut Hendarti (2010) evaluasi adalah suatu proses untuk

menyediakan informasi mengenai hasil penilaian atas permasalahan yang

ditemukan. Secara garis besar memiliki persamaan komponen pengukuran

diantaranya adalah manfaat, kemudahan, kepuasan, kemampuan untuk

mendukung pekerjaan, teknologi dan juga manusianya itu sendiri.

7

2.2 IT Governance

Menurut Huang, Zmud, & Price (2010), IT Governance merupakan

praktek – praktek tata kelola yang melibatkan upaya kepemimpinan pada suatu

organisasi yang nantinya mempengaruhi keputusan yang berkaitan dengan

teknologi informasi melalui pengambilan keputusan yang benar dan struktur dari

proses pengambilan keputusan. Fokus dari IT Governance adalah IT steering

committees dan TI yang berkaitan dengan kebijakan komunikasi yang mengadopsi

strategi penelitian dan bukti mengenai pengaruh praktek organisasi.

Setiap sumber daya pada perusahaan, mulai dari seorang receptionist

hingga seorang CIO memerlukan IT decision untuk mendapatkan keputusan yang

tepat. Begitu pula dalam merencanakan budget dan sumber daya manusianya,

perusahaan yang sukses dapat membuat manajemen TI secara komprehensif

terutama pada proses perencanaannya. Sebuah teknologi informasi haruslah

melekat pada budget dan aktivitas keamanan, yang mana pada pengelolaannya

dibutuhkan pada operasional sehari-hari. Pada perusahaan yang sukses, IT

governance haruslah dapat masuk ke semua area (Wilbanks, 2008).

Tsai et al (2011) mengatakan bahwa IT governance merupakan

mekanisme yang berguna dalam mengurangi risiko yang terkait dengan

implementasi ERP. Tujuannya adalah untuk mengeksplorasi hubungan antara

faktor – faktor penyebab risiko dan IT governance. Informasi mengenai hasil

temuan didasarkan pada bukti-bukti perusahaan dalam menyelesaikan risiko suatu

masalah dan untuk mencapai IT Governance yang efektif.

Menurut McKissack, Hooper, & Hope (2010), pentingnya informasi dan

teknologi yang telah meningkat, menimbulkan keharusan untuk memastikan

8

jaminan keamanan aset informasi. Penilaian keamanan memerlukan suatu

kerangka keamanan yang komprehensif dan efektif yang menekankan pada aspek

tata kelola perusahaan dan pengeluaran manajemen keamanan dan investasinya.

Praktek keamanan didasarkan pada praktek yang biasa digunakan untuk menilai

efektivitas fungsi keamanan dalam sebuah organisasi. Fakta membuktikan bahwa

keselarasan organisasi dan kepatuhan serta kerugiannya terkait dengan insiden

keamanan terus meningkat. Dapat ditarik kesimpulan bahwa keamanan

pengendalian didefinisikan oleh standar dan kerangka kerja yang diperlukan tetapi

tidak cukup untuk menjamin keamanan, dan alat-alat pengukuran yang sudah ada

tidak dilaksanakan atau tidak tersedia. Model baru yang dilakukan untuk

keamanan informasi yaitu dengan cara memperluas ruang lingkup kerangka kerja

yang ada dengan melakukan “praktek terbaik”. Ada pula yang menyarankan

bahwa dengan adanya analisis CSF (Critical Success Factor) dalam keamanan

informasi. Sementara memperluas pengetahuan, mereka tidak dapat mengatasi

kebutuhan untuk menilai dengan cara yang sesuai. Yang diperlukan sebenarnya

adalah sebuah kerangka kerja komprehensif dan mendukung penilaian keamanan

yang menggabungkan semua kemampuan organisasi yang relevan dan kompetitif.

Konsep penilaian dan metrik juga membantu dalam mengukur penilaian

keamanan dengan menerapkan standar keamanan pada titik awal untuk

pengembangan dan peningkatan sistem berkelanjutan.

2.3 Tools/ Best Practices

Dalam mengadopsi best practices, perusahaan tidak terbatas untuk

menggunakan 1 metode saja, melainkan dapat menggunakan beberapa best

9

practices sekaligus sesuai dengan kebutuhan perusahaan tersebut. Terdapat

beberapa best practices yang dapat digunakan di perusahaan, diantaranya

Infrastructure Library (ITIL), Control Objectives for Information and Related

Technology (COBIT), Capability Maturity Model (CMM), dan ISO 17799. ITIL

membahas mengenai pelayanan pada delivery dan support, COBIT meliputi dasar

– dasar dari IT Governance, CMM membahas mengenai pengembangan aplikasi

yang menunjukkan rating teknologi informasi pada pembanding tingkat maturity

processes, sedangkan ISO 17799 membahas mengenai tujuan pengukuran

manajemen.

Dijelaskan pula oleh Dubie (2006) bahwa framework pada organisasi

tergantung pada tujuan dari perusahaan. Banyak perusahaan berpengalaman

menggunakan ITIL untuk segera mendapatkan pencapaian hasil pengendalian

yang lebih teratur dan terarah, sedangkan COBIT dapat membantu dalam

membuktikan proses TI yang telah ditetapkan framework lain sebagai tools umum

untuk auditor. Terlampir perbandingan antar best practices dengan perbandingan

benefit dan fokus yang ditawarkan sebagai berikut:

Pemilihan kerangka kerja

Perbaikan proses dapat dilakukan selama departemen TI dan saran para ahli

manajer TI didengar yang mencampurkan serta mencocokkan praktek kerangka

kerja terbaik untuk memenuhi kebutuhan unik organisasi. Berikut adalah contoh

kerangka populer:

10

Tabel 2.1 Best-Practice Grab Bag

Kerangka kerja

terbaik Asal

Kemungkinan

besar diadopsi

oleh Dijanjikan manfaat

Information

Technology

Infrastructure

Library

Pemerintah

Inggris

Layanan

Pendukung, staf

helpdesk

Pedoman tingkat tinggi dalam

memulai pengembangan

proses untuk mendukung

layanan TI dan penyampaian

perusahaan.

Control Objectives

for Information

and Related

Technology

Information

Systems Audit and

Control

Association and

IT Governance

Institute

Manajemen TI,

sistem administrasi,

dan internal auditor

TI

Standar dan pedoman untuk

praktek keamanan dan kontrol

keuangan, yang sinkron

dengan baik dengan

persyaratan Sarbanes-Oxley.

Capability

Maturity Model

Carnegie Mellon

Software

Engineering

Institute

Aplikasi

pengembangan tim

Proses - proses perbaikan

seperti biaya dan manajemen

pada seluruh siklus hidup

aplikasi, dari pembangunan

untuk produksi.

ISO 17799

British Standards

Institute and the

International

Organization for

Standarization

Manajer Keamanan

TI

Pendekatan manajemen

keamanan di suatu organisasi

yang mencakup kebijakan,

kritis-aset klasifikasi dan

manajemen risiko.

Penggunaan kerangka kerja dan standar yang digunakan dalam organisasi

harus sesuai dengan kebutuhan spesifik dari organisasi yang disesuaikan dengan

kerangka kerjanya. Organisasi yang ingin terlibat pada suatu proses tertentu harus

sesuai dengan tingkat maturity-nya dan tahap-tahap termasuk tugas-tugas dalam

memilih standar. Sebuah organisasi yang ingin mengembangkan tingkat maturity

dalam perangkat lunaknya harus dapat mengubah kontekstual deskripsi menjadi

sebuah kerangka kerja yang mana mengaktualisasikan kegiatan spesifik dan

terstruktur (Alfaraj & Qin, 2010).Pelaksanaan standar COBIT dapat digunakan

untuk mengidentifikasikan tugas-tugas tertentu dan proses yang hilang dari

struktur organisasi. Namun penggunaannya pada organisasi diperlukan untuk

menentukan bagaimana organisasi menyelesaikan suatu masalah. Menurut

11

Alfaraj& Qin, (2010) pendekatan dibuat dengan deskripsi umum dimana

organisasi dapat mengidentifikasi proses yang sebenarnya dalam organisasi dalam

rangka memberikan rekomendasi terhadap proses dari penelitian yang dilakukan,

bahkan kepada organisasi yang tidak menggunakan kerangka kerja secara tidak

eksplisit. Hal ini dapat menghasilkan informasi pengimplementasian dari model

konteks lain (misalnya, penyediaan informasi mengenai optimasi pada kerangka

kerja yang dapat diidentifikasi dari organisasi) serta penyediaan informasi dalam

hal perbaikan proses dan peningkatan efisiensi.

Menurut McKissack, Hooper, & Hope (2010), kerangka COBIT dapat

memberikan solusi dalam pengukuran keamanan yang memberikan informasi

mengenai status kontrol dan dapat melakukan pengukuran mengenai sejauh mana

tekhnologi mendukung tujuan bisnis. Sebuah pendekatan kualitatif untuk

mengukur adanya tingkat maturity dapat dilakukan dengan COBIT.

Abu-Musa (2009) melakukan studi eksplorasi dalam upaya

mengidentifikasi mengenai COBIT framework di Saudi untuk mengevaluasi

dalam meningkat pelaksanaan organisasi. Mengenai hal ini didapatkan hasil

bahwa departemen TI memiliki tanggung jawab dalam pelaksanaan proses

COBIT di organisasi mereka. Namun sebagian responden melaporkan bahwa

proses dan domain COBIT yang digunakan tidak dilakukan pengauditan. Oleh

karena itu, penelitian ini telah memberikan hasil empiris mengenai pemanfaatan

kerangka kerja COBIT dalam IT Governance organisasi. Dengan adanya hal ini,

memungkinkan manajer dan praktisi lebih memahami, mengevaluasi, menerapkan

dan mengelola IT Governance untuk kesuksesan bisnis proses mereka. Dengan

adanya case study mengenai COBIT akan berguna untuk manajemen senior,

12

manajemen IT, akuntan, auditor, dan akademisi dalam memahami tahap

implementasi dampak dari COBIT pada IT Governance. Penelitian ini bermaksud

mengembangkan roadmap dengan adanya pelaksanaan kepatuhan-kepatuhan

COBIT.

2.4 COBIT Framework Model

Tujuan dari mengadopsi adanya framework adalah untuk menanamkan

kepatuhan dalam organisasi yang mengatur mengenai pengendalian dan perbaikan

kepatuhan manajemen dalam organisasi. Sebuah framework dibangun dari

pengalaman dan pendekatan validasi. Framework membantu mendasari

pendekatan dari berbagai pengalaman best practice yang ada. Organisasi

kemudian akan menyadari betapa pentingnya framework pada perusahaan untuk

mengukur internal proses dan kebutuhannya. Pendekatan framework yang

digunakan dilakukan berdasarkan kebijakan, standar, dan pengaturan akan

pengendalian yang disesuaikan dengan kebutuhan organisasi. Pendekatan ini akan

di implementasikan berdasarkan framework pada organisasi yang berfokus pada

pembangunan tingkat maturity pada organisasi (Schlarman, 2007).

Lapão (2011) menyatakan bahwa COBIT merupakan alat bantu

berdasarkan praktek terbaik dalam menyediakan metode bantuan pada

penyelarasan proses bisnis dengan TI. Oleh karena itu, manajer dan pengguna bisa

mendapatkan keuntungan dari pengembangan COBIT karena membantu mereka

memahami sistem TI mereka dan memutuskan tingkat keamanan dan kontrol yang

diperlukan untuk melindungi aset organisasi melalui pengembangan tata kelola

TI. Dinyatakan juga bahwa pengambilan keputusan bisa lebih efektif dengan

13

COBIT yang mana membantu manajemen dalam mendefinisikan rencana strategis

TI khususnya pada arsitektur sistem informasi. Kebutuhan akan TI seperti

layaknya hardware dan software dalam menjalankan strategi TI yang berguna

untuk melakukan layanan secara berkelanjutan, dan pemantauan kinerja sistem.

Pengguna TI mendapatkan keuntungan dari COBIT seperti adanya jaminan yang

diberikan kepada mereka dengan adanya pengendalian yang didefinisikan melalui

pengendalian, security, dan tata kelola yang baik.

COBIT merupakan kerangka paling terkenal dalam mendukung tata

kelola teknologi informasi. Hal ini didasarkan pada praktek terbaik yang berfokus

pada proses organisasi dan bagaimana kinerja dapat dinilai dan dipantau.

Kerangka kerja ini dikelola secara independen yang menggambar pengendalian

dan keamanan secara profesional. Isinya didasarkan pada penelitian yang sedang

berlangsung yang mana menyediakan sumber daya yang obyektif dan praktis

untuk semua pengguna. Hal ini memberikan praktek yang baik pada kerangka

domain dan menyajikan kegiatan yang terstruktur dan dikelola secara logis.

Namun sangat penting ditekankan bahwa kerangka kerja COBIT adalah model

tata kelola TI saja dan bukan pada organisasi secara keseluruhan (Tugas, 2010).

Tugas (2010) juga mengatakan bahwa COBIT mendefinisikan kegiatan-

kegiatan dalam model proses yang terdiri dari empat domain dan 34 proses

kontrol generik. Domain-domainnya terdiri dari Plan & Organise (PO), Acquire

& Implement (AI), Deliver & Support (DS), dan Monitor & Evaluate (ME).

Secara umumnya domain-domain ini seperti layaknya TI secara umum yaitu

merencanakan, membangun, menjalankan, dan melakukan monitor (ITGI, 2007).

Domain PO meliputi strategi dantaktik dalam mengidentifikasi cara terbaik TI

14

dapat berkontribusi untuk pencapaian tujuan bisnis. Domain AI merupakan

domain yang mengidentifikasi adanya kecocokan dan kemungkinan pada

penyediaan solusi dalam memenuhi kebutuhan bisnis. Domain DS berkaitan

dengan penyampaian aktual atau layanan yang dibutuhkan, yang mencakup

pelayanan; manajemen keamanandan kontinuitas; dukungan layanan bagi

pengguna; pengelolaan data dan fasilitas operasional. Domain ME merupakan

pengidentifikasian terhadap manajemen kinerja, pemantauan pengendalian

internal, kepatuhan terhadap peraturan dan tata kelola.

COBIT merupakan suatu kerangka kerja dalam mengendalikansumber

daya Teknologi Informasi. Kerangka ini dirancang untuk memelihara efektivitas,

efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan dan keandalan informasi

pada perusahaan. Pendekatan COBIT dirancang pada serangkaian pengendalian

yang dibutuhkan dalam memenuhi kebutuhan bisnis (Stout, 2006).

Menurut Raghavan (2007), COBIT (Control Objectives for Information

and Related Technology) merupakan kerangka kontrol yang sudah diterima oleh

seluruh dunia yang menyediakan informasi yang diperlukan bagi manajemen

dalam rangka memberikan jaminan yang wajar pada struktur kontrol TI dan

integritas informasi. Penggunaan kerangka kerja COBIT pada IT Governance

berfungsi sebagai model maping domain COBIT. Maping audit untuk tujuan

pengendalian COBIT ditujukan untuk membuat peta strategi audit, tujuan, dan

ruang lingkup COBIT sebagai tujuan pengendalian; pengembangan dan

pengelolaan pada koesioner COBIT. Kerangka ini disusun untuk melakukan

pengevaluasian efektifitas kontrol yang ada; membuat detail rencana mitigasi

resiko untuk area kontrol; mengevaluasi efektivitas pengendalian untuk setiap

15

area; dan dokumen hasil menggunakan COBIT maturity Guidelines yang terdiri

dari langkah-langkah menganalisis, mendokumentasikan, dan memvalidasi hasil,

serta melaporkannya kepada manajemen dan komite.

Menurut COBIT 4.1 (2007, p5), COBIT (Control Objectives for

Information and Related Technology) adalah sebuah framework dan supporting

toolset yang membantu manajer menjembatani gap antara tujuan untuk keperluan

pengendalian, permasalahan teknik (technical issue) dan resiko bisnis serta

mengkomunikasikan level pengendalian kepada stakeholders (IT Governance

Institute, 2005).

COBIT membantu menyokong pengembangan kebijakan yang jelas dan

langkah-langkah praktis terbaik yang dapat diambil untuk pengendalian teknologi

informasidi seluruh perusahaan.

Pengelolaan assurance, pengendalian dan security professionals.

COBIT menyediakan langkah-langkah praktis terbaik yang dapat diambil dan

lebih difokuskan pada pengendalian (control), yang selanjutnya dijelaskan dalam

domain dan framework proses.

Manfaat dari langkah-langkah praktis terbaik yang dapat diambil tersebut

antara lain:

1) Membantu mengoptimalkan investasi teknologi informasi yang

mungkin dapat dilakukan.

2) Menjamin pengiriman service.

3) Menyediakan pengukuran yang akan digunakan untuk memutuskan

ketika terjadi suatu kesalahan.

16

Kesemua hubungan antar komponen yang terdapat pada COBIT, di

rangkum dalam gambar di bawah ini:

Gambar 2.1Interrelationships of COBIT Components

Sumber : ITGI-COBIT 4.1th

ed (2007, p8)

Orientasi bisnis dari COBIT adalah menghubungkan tujuan bisnis ke

dalam tujuan teknologi informasi yang mana di hubungkan dengan adanya IT

Proses. IT Proses nantinya akan dilakukan pemeriksaan dengan menggunakan

audit guidelines menyediakan metric dan maturity models untuk mengukur

pencapaian tujuan perusahaan serta mengidentifikasikan tanggung jawab yang

terkumpul dari bisnis dan IT process owners. Berdasarkan IT Proses yang

dimiliki, nantinya akan dijabarkan lagi berdasarkan activity goals berdasarkan

keefektifan dan keefisiensian. Terdapat timbal balik antara kebutuhan bisnis akan

IT dan informasi yang dibutuhkan IT mengenai bisnis yang dijalankan. Oleh

karena itu IT harus dilakukan pengendalian dengan menggunakan control

objectives yang dimiliki oleh COBIT. Dari control objectives ini, akan di pecah

17

lagi menjadi audit guidelines pada penjabaran dan penterjemahan control

objectives dan control practices sebagai implementasi dari control objectives.

Prinsip dasar dari framework COBIT adalah untuk menyediakan informasi yang

diperlukan untuk mencapai tujuan perusahaan.

IT Proses juga diukur dengan menggunakan KPI (Key Goal Indicators)

untuk menilai performance, KGI (Key Goal Indicators) untuk menilai pencapaian

hasil, dan Maturity Models untuk menilai tingkat kematangan. Pejabaran terhadap

pengukuran tersebut didefinisikan sebagai berikut:

a. Key Performance Indicators (KPIs) kinerja proses – proses

teknologi Informasi sehubungan dengan process goals.

b. Key Goal Indicators (KGIs) kinerja proses – proses teknologi

informasi sehubungan dengan business requirements.

c. Maturity Models untuk memetakan status maturity proses-proses

teknologi informasi (dalam skala 0-5) dibandingkan dengan “The best in

the class in the Industry” dan juga International best practice.

Selain ketiga pengukuran itu, juga terdapat Critical Success Factors

(CSFs) yang berupa arahan implementasi bagi manajemen agar dapat melakukan

kontrol atas proses teknologi informasi.

COBIT dikembangkan oleh Information Technology Governance

Institute, yang merupakan bagian dari Information System Audit and Control

Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi

pada bisnis, dan karena itu bussiness process owners dan manager, termasuk juga

auditor dan user, diharapkan dapat memanfaatkan arahan ini dengan sebaik-

baiknya. Kerangka kerja COBIT ini terdiri atas beberapa arahan, yaitu:

18

1) Tujuan pengendalian: terdiri atas 4 tujuan pengendalian tingkat

tinggi (high level control objective) yang tercermin dalam 4 domain, yaitu:

plan and organise, acquire and implement, deliver and support, dan

monitor and evaluate.

2) Arahan audit: berisi sebanyak 318 tujuan-tujuan pengendalian yang

bersifat rinci (detail control objectives) untuk membantu para auditor

dalam memberikan management assurance atau saran perbaikan.

3) Arahan manajemen: berisi arahan, baik secara umum maupun

spesifik, mengenai apa saja yang harus dilakukan.

2.4.1 Domain Plan and Organise (PO)

Domain ini mencakup strategi dan taktik serta difokuskan pada

penentuan arah TI yang dapat memberikan kontribusi terbaik dalam pencapaian

tujuan-tujuan bisnis (business objectives). Selanjutnya, realisasi dari strategi yang

merupakan penjabaran dari visi dan misi perusahaan perlu untuk direncanakan,

dikomunikasikan dan diatur dengan perspektif yang berbeda.

2.4.1.1 Control Objectives PO1 (Define a Strategic IT Plan)

Control Objective PO1 merupakan suatu proses perencanaan strategis TI

yang diperlukan untuk mengelola dan memimpin semua sumber daya TI seiring

dengan strategi dan prioritas bisnis. Fungsi Teknologi Informasi dan pemegang

saham bertanggung jawab dalam menjamin hasil yang optimal serta realisasinya

diterapkan dari proyek dan portofolio pelayanan. Strategi dan prioritas bisnis akan

tercerminkan di dalam portofolio dan dilaksanakan oleh perencanaan taktis TI, yang

19

menetapkan sasaran dengan singkat, rencana tindakan dan tugas-tugas yang mudah

dimengerti dan diterima oleh kedua bisnis dan teknologi informasi.

2.4.1.2 Control Objectives PO2 (Define the Information

Architecture)

Control Objective PO2 merupakan proses memperbaiki kualitas keputusan

manajemen dengan meyakinkan bahwa informasi yang disediakan dapat diandalkan

dan aman sesuai dengan arsitekturnya, dan memungkinkan sumber daya informasi

sistem yang masuk akal dengan cara membandingkan strategi bisnis secara wajar.

Proses Teknologi Informasi ini juga diperlukan dalam rangka menambah

pertanggungjawaban atas integritas dan keamanan data dan untuk meningkatkan

keefektifan dan kontrol dalam berbagai informasi aplikasi - aplikasi dan entitas yang

memenuhi persyaratan bisnis.

2.4.1.3 Control Objectives PO3 (Determine Technological Direction)

Control Objective PO3 merupakan fungsi pelayanan informasi yang

menentukan arah teknologi dalam membantu mengelola bisnis. Hal ini memerlukan

kreasi dari perencanaan infrastruktur teknologi dan dewan arsitektur yang

menentukan dan mengelola ekspektasi yang jelas dan realistis tentang teknologi yang

mana yang dapat digunakan untuk produk, pelayanan/jasa dan mekanisme

penyampaian. Rencana diperbarui secara teratur dan meliputi aspek-aspek seperti

arsitektur sistem, arah teknologi, rencana akuisisi, standar, strategi dan kemungkinan

migrasi.

20

2.4.1.4 Control Objectives PO4 (Define the IT Processes,

Organisation and Relationships)

Control Objective PO4 merupakan pendefinisian proses IT, organisasi dan

relationship yang mempertimbangkan syarat-syarat untuk staf, skill, fungsi-fungsi

yang ada, pertanggungjawaban, kekuasaan, tugas, tanggung jawab, dan pengawasan.

Proses-proses, kebijakan-kebijakan administratif dan prosedur-prosedur berada pada

semua fungsi, dengan memfokuskan pada kontrol, kepastian mutu, pengelolaan

resiko, keamanan informasi, kepemilikan data dan sistem, serta pemisahan

tugas/kewajiban.

2.4.1.5 Control Objectives PO5 (Manage the IT Investment)

Control Objective PO5 merupakan framework yang dibuat dan dipelihara

dalam rangka mengelola program investasi Teknologi Informasi yang meliputi biaya,

keuntungan, prioritas anggaran, proses penganggaran dan pengelolaan berdasarkan

anggaran formal. Konsultasi dengan para pemegang saham dalam upaya mengenali

dan mengkontrol biaya total dan manfaatnya dalam konteks rencana strategis dan

taktis TI, dan memulai tindakan korektif pada saat dibutuhkan.

2.4.1.6 Control Objectives PO6 (Communicate Management Aims

and Direction)

Control Objective PO6 merupakan proses mengkomunikasikan tujuan dan

arah manajemen berdasarkan framework kontrol Teknologi Informasi dan penetapan

serta penyampaian kebijakan-kebijakannya. Program komunikasi dilaksanakan secara

terus-menerus dalam rangka mengutarakan misi, tujuan pelayanan, kebijakan-

kebijakan dan prosedur, yang disetujui oleh manajemen. Komunikasi mendukung

21

pencapaian dari objektif TI dan memastikan kesadaran dan pengertian terhadap bisnis

dan risiko, tujuan serta arah TI.

2.4.1.7 Control Objectives PO7 (Manage IT Human Resources)

Control Objective PO7 merupakan pengelolaan SDM IT yang dipunyai dan

dipertahankan untuk dapat menciptakan dan menyampaikan pelayanan TI kepada

bisnis. Hal ini dapat dicapai dengan mengikuti ketetapan dan penerapan yang

disetujui terlebih dulu yang membantu perekrutan, pelatihan, pengevaluasian

performa, kenaikan pangkat dan pemberhentian hubungan kerja. Proses ini

merupakan hal yang kritis, dikarenakan orang merupakan aset yang penting, dan

penentuan pada lingkungan pengendalian internal sangat tergantung atas motivasi dan

kompetensi personalia yang memenuhi persyaratan bisnis.

2.4.1.8 Control Objectives PO8 (Manage Quality)

Sistem Manajemen Kualitas (Quality Management System – QMS)

dikembangkan dan dipelihara oleh perusahaan yang meliputi perkembangan dan

proses akuisisi dan standar yang terbukti. Hal ini dapat dilaksanakan dengan

melakukan suatu perencanaan, implementasi dan mempertahankan QMS dengan

memberikan persyaratan, prosedur dan kebijakan yang berkualitas. Perbaikan terus-

menerus dapat tercapai dengan selalu mengamati, menganalisis dan bertindak pada

penyimpangan serta ketidaksesuaian yang terjadi dan manyampaikan hasil kepada

para pemegang saham.

22

2.4.1.9 Control Objectives PO10 (Manage Projects)

Control Objective PO10 merupakan proses manajemen proyek pada sebuah

program dan kerangka manajemen proyek yang digunakan untuk manajemen seluruh

proyek. Kerangka tersebut menjamin prioritas dan koordinasi yang benar dari semua

proyek. Kerangka tersebut termasuk rencana induk, pembagian sumber daya, definisi

tugas yang telah disetujui, persetujuan oleh pemakai, pendekatan yang bertahap

dalam penyampaian tugas, jaminan mutu, rencana pengujian secara resmi, dan

pengujian dan peninjauan kembali paska-implementasi setelah instalasi untuk

menjamin pengaturan resiko proyek dan nilai penyampaian bisnis.

2.4.2 Domain Acquire and Implement (AI)

Domain ini berfokus pada realisasi IT strategy yang perlu

diidentifikasikan, dikembangkan atau dipelajari sebagaimana diimplementasikan

dan diintegrasikan ke dalam proses bisnis. Sementara itu, perubahan dan

perawatan sistem yang ada tercakup dalam domain AI untuk memastikan

penyelesaian yang berkelanjutan dalam memenuhi tujuan-tujuan bisnisnya.

2.4.2.1 Control Objective AI 1 ( Identify Automated Solutions)

Control Objective AI 1 merupakan salah satu sasaran kontrol yang berfokus

pada pengidentifikasian solusi otomatisasi. Tujuan yang ingin dicapai pada proses ini

adalah menjamin efektifitas dan efisiensi sesuai dengan pendekatan yang diambil

dalam hal kepuasan pengguna. Sedangkan untuk sumber daya teknologi informasi

yang terlibat dalam proses ini antara lain sistem aplikasi, teknologi, dan fasilitas.

Proses ini meliputi kejelasan terhadap kebutuhan bisnis, pertimbangan dan berbagai

solusi yang ada, peninjauan ulang kemampuan teknologi dan ekonomi, analisis resiko

23

dan analisa rugi laba, serta keputusan final untuk membuat atau membeli solusi yang

ada.

2.4.2.2 Control Objective AI2 (Acquire and Maintain Application

Software)

Control Objective AI 2 merupakan suatu proses yang mencakup dalam

memenuhi kebutuhan bisnis yang terdiri atas desain aplikasi, pendekatan yang tepat

atas kontrol aplikasi dan kebutuhan keamanan, serta pengembangan dan konfigurasi

yang sesuai dengan standar. Proses ini bertujuan untuk menyediakan fungsi-fungsi

yang telah terotomasi dan secara efektif dan mampu mendukung proses bisnis.

2.4.2.3 Control Objective AI3 (Acquire and Maintain Technology

Infrastructure)

Control Objective AI3 merupakan proses pengadaan dan pemeliharaan

infrastruktur teknologi yang bertujuan untuk menyediakan berbagai platform yang

tepat dalam rangka mendukung aplikasi proses bisnis terkait. Hal ini memerlukan

rencana pendekatan akuisisi dan pemeliharaan serta perlindungan infrastruktur

yang sejalan dengan strategi, pengembangan, dan pengujian yang telah disepakati.

Hal ini memastikan bahwa terdapat dukungan teknologi yang berkelanjutan dalam

pengaplikasian bisnis.

2.4.2.4 Control Objective AI4 ( Enable Operation and Use)

Control Objective AI 4 merupakan proses yang membutuhkan produksi

dokumentasi, dan petunjuk manual bagi pengguna TI, dan menyediakan pelatihan

untuk memastikan penggunaan, pengoperasian aplikasi dan infrastruktur berjalan

dengan semestinya.

24

2.4.2.5 Control Objective AI5 (Procure IT Resources)

Control Objective AI 5 merupakan proses yang bertujuan untuk memperoleh

sumber daya TI yang meliputi manusia, perangkat keras, perangkat lunak dan

layanan. Hal ini membutuhkan penjelasan dan pelaksanaan prosedur pengadaan,

pemilihan vendor, persetujuan kontrak, dan proses akuisisi itu sendiri. Dengan

demikian hal ini bertujuan untuk membantu perusahaan memiliki sumber daya TI

yang dibutuhkan tepat pada waktunya dengan biaya yang efektif.

2.4.2.6 Control Objective AI6 (Manage Changes)

Control Objective AI 6 merupakan salah satu sasaran kontrol yang berfokus

pada proses pengelolaan perubahan. Perubahan yang dimaksud adalah perubahan

terhadap sistem, baik secara keseluruhan maupun sebagian dan dikelola dengan cara

yang terkendali. Tujuan dari sasaran kontrol ini adalah untuk meminimalkan adanya

kemungkinan gangguan, perubahan dan kesalahan yang tidak terotorisasi pada

prosedur, proses, sistem, dan parameter layanan dengan memfokuskan pada

efektifitas, efisiensi, integrity, dan availability.

2.4.2.7 Control Objective AI7 (Install and Accredit Solutions and

Changes)

Control Objective AI 7 merupakan salah satu sasaran kontrol yang berfokus

pada proses instalasi dan akreditasi sistem dengan memenuhi kebutuhan bisnis dalam

rangka melakukan verifikasi dan konfirmasi bahwa solusi yang ditawarkan sesuai

dengan hasil yang diharapkan. Tujuan tersebut dapat dicapai melalui adanya realisasi

suatu proses migrasi instalasi yang tepat dan sesuai, rencana implementasi dan review

pasca implementasi.

25

2.4.3 Domain Deliver and Support (DS)

Domain ini difokuskan pada actual delivery dari layanan yang

dibutuhkan, yang mana melibatkan layanan pengiriman, manajemen keamanan

dan kelancaran, pendukung layanan bagi user dan manajemen data serta fasilitas

operasional.

2.4.3.1 Control Objectives DS1 (Define and Manage Service Levels)

Control Objective DS1 merupakan proses yang memastikan kesejajaran dari

kunci layanan TI dengan strategi yang meliputi proses monitoring dan laporan rutin

kepada pemegang saham dalam penyelesaian tingkat layanan. Yang perlu dilakukan

dalam memenuhi proses ini adalah dengan mengidentifikasikan kebutuhan bisnis,

pemahaman pada tingkat service, dan monitor pencapaian level layanan. Proses ini

dapat dicapai dengan membuat persetujuan internal dan external yang sejalan dengan

kebutuhan dan kemampuan penyampaian, pelaporan tingkat service,

pengidentifikasian dan penyampaian kebutuhan service yang telah diperbaharui dan

pembuatan perencanaan strategi.

2.4.3.2 Control Objectives DS2 (Manage Third-party Services)

Tujuan dilakukan proses ini adalah agar jasa yang diberikan oleh pihak

ketiga dapat memenuhi kebutuhan organisasi. Hal ini perlu dikelola dikarenakan

untuk memenuhi proses yang juga menentukan peran dan tanggung jawab pihak

ketiga, hal yang ingin didapatkan dari pihak ketiga, membangun hubungan baik

dengan pihak ketiga, mengelola resiko, serta mengawasi kinerjanya. Apabila proses

ini dilakukan dengan baik, maka organisasi dapat meminimalkan risiko yang timbul

akibat kinerja pihak ketiga yang buruk. Proses ini dapat dicapai dengan

26

mengidentifikasi jasa supplier, resiko yang ditimbulkan oleh supplier, dan mengawasi

kinerja dari supplier.

2.4.3.3 Control Objectives DS3 (Manage Performance and Capacity)

Control Objective DS3 merupakan proses dalam mengelola kapasitas

pencapaian sumber daya TI sehingga diperlukan suatu proses meninjau ulang kembali

pencapaian sumber daya tersebut. Proses ini meliputi meramalkan kebutuhan yang

diperlukan untuk masa mendatang berdasarkan apa yang dibutuhkan, penyimpanan,

dan kebutuhan yang tidak diduga. Proses ini menyediakan jaminan sumber daya

informasi yang selalu tersedia yang mendukung kebutuhan bisnis secara terus

menerus. Proses ini dapat dicapai dengan merencanakan serta mengembangkan

kapasitas dan kemampuan, mengawasi dan melaporkan pencapaian dari sistem,

meramalkan pencapaian dari sistem di masa yang akan datang.

2.4.3.4 Control Objectives DS4 (Ensure Continuous Service)

Control Objective DS4 merupakan proses dalam memastikan,

mengembangkan, memelihara, menguji perencanaan pelayanan TI secara

berkelanjutan, memanfaatkan penggunaan offsite backup storage dan menyediakan

pelatihan secara perodik dan berkala. Sebuah proses layanan efektif yang

berkelanjutan dapat memperkecil dampak gangguan TI dalam fungsi dan proses key

business. Proses ini dapat dicapai dengan mengembangkan serta memelihara

kontinuitas TI, pelatihan dan pengujian rencana kontinuitas TI, penyimpanan salinan

rencana dan data dalam suatu lokasi tertutup.

27

2.4.3.5 Control Objectives DS5 (Ensure Systems Security)

Control Objective DS5 merupakan proses untuk mempertahankan integritas

informasi dan melindungi aset-aset yang diperlukan dalam proses manajemen

keamanan. Proses ini meliputi peran dalam menetapkan dan memelihara keamanan TI

dan pertanggungjawaban, kebijakan, standar dan prosedur yang telah dibangun.

Proses ini dapat dicapai dengan memahami kebutuhan keamanan, mengatur identitas

pengguna dan otorisasi dalam metode standarisasi, pengujian keamanan serta

pengimplementasian tindakan korektif terhadap kelemahan sistem dan ancaman.

2.4.3.6 Control Objectives DS6 (Identify and Allocate Costs)

Control Objective DS6 merupakan proses mengelola kebutuhan sistem

sehingga memudahkan dalam mengalokasikan biaya TI untuk bisnis yang

memerlukan pengukuran biaya TI yang tepat dan kesepakatan dengan pengguna

bisnis dalam pengalokasian yang baik. Proses ini meliputi pembangunan dan

penggunaan sistem untuk mengetahui, mengalokasikan dan melaporkan biaya TI

kepada pengguna layanan. Proses ini dapat diwujudkan dengan membangun dan

menyetujui pada model biaya perusahaan, menyetarakan kualitas dan jumlah dari

service yang ada, mengimplementasikan proses berdasarkan kesepakatan bersama

atas kebijakan yang diambil. Sebuah sistem mempunyai pengalokasian yang baik

memudahkan bisnis dalam membuat keputusan yang lebih tepat tentang

penggunaan layanan TI.

2.4.3.7 Control Objectives DS7 (Educate and Train Users)

Control Objective DS7 merupakan proses untuk memastikan pengguna

dapat menggunakan sistem dengan efektif dan efisien dengan melakukan pendidikan

28

dan training, serta memastikan pengguna sistem mematuhi prosedur dan kebijakan

yang berlaku. Proses ini dapat diwujudkan dengan membuat materi pelatihan,

mengadakan pelatihan, serta meninjau ulang hasil pelatihan tersebut apakah

membawa pengaruh yang berarti terhadap kinerja pengguna. Program pelatihan yang

efektif akan berpengaruh pada berkurangnya kesalahan pengguna, peningkatan

produktivitas dan peningkatan kepatuhan penguna.

2.4.3.8 Control Objectives DS8 (Manage Service Desk and

Incidents)

Control Objective DS8 merupakan proses menghasilkan respon secara

berkala dan efektif untuk menanggapi berbagai pertanyaan pengguna TI dan masalah-

masalah yang memerlukan pelayanan dan implementasi yang baik. Proses ini dapat

diwujudkan dengan mengoprasikan pelayanan dengan semestinya, melakukan

pemantauan dan pelaporan, menggambarkan prosedur dan kriteria peningkatan yang

baik.

2.4.3.9 Control Objectives DS10 (Manage Problems)

Manajemen masalah-masalah yang efektif memerlukan identifikasi dan

klasifikasi dari masalah-masalah proses manajemen masalah meliputi rekomendasi

perumusan masalah untuk perbaikan, pemeliharaan catatan-catatan masalah,

mereview status dari tindakan penyelesaian. Proses ini terfokus pada mencatat,

memantau dan menyelesaikan masalah-masalah operasional, investigasi sumber

sebab dari semua masalah yang penting dan menggambarkan solusi untuk identifikasi

masalah operasi. Proses ini dapat diwujudkan dengan menjalankan analisis sumber

29

masalah pada laporan masalah-masalah, menganalisis petunjuk-petunjuk, mengambil

alih masalah-masalah dan menjalankan penyelesaian masalah.

2.4.3.10 Control Objectives DS11 (Manage Data)

Control Objective DS11 pada proses manajemen datanya memerlukan

identifikasi akan kebutuhan data. Proses manajemen data juga meliputi pembentukan

prosedur yang efektif dalam mengelola dokumen-dokumen, menyimpan dan

memperoleh kembali data. Manajemen data yang efektif membantu menentukan

kualitas, ketepatan waktu dan ketersediaan dari data bisnis. Proses ini menekankan

pada pemeliharaan kelengkapan, ketepatan, ketersediaan dan perlindungan data yang

mana akan menjadi lebih efektif dengan backup dan recovery data, pengujian dan

pengaturan tempat penyimpanan data internal dan eksternal, serta keamanan

distribusi data.

2.4.3.11 Control Objectives DS12 (Manage the Physical

Environment)

Control Objective DS12 pada perlindungan terhadap peralatan komputer dan

perangkat-perangkat lainnya memerlukan fasilitas fisik dengan perancangan yang

baik dan pengaturan yang baik. Proses ini mencakup penetapan dan pemeliharaan

lingkungan fisik yang tepat untuk melindungi asset-aset TI dari akses, kerusakan atau

pencurian. Proses ini dapat terwujud dengan mengimplementasikan kematangan

keamanan fisik dan memilih dan mengatur fasilitas. Pengelolaan fisik yang efektif

dapat mengurangi gangguan lingkungan bisnis dari kerusakan dan pencurian

peralatan komputer dan perangkat lainnya.

30

2.4.3.12 Control Objectives DS13 (Manage Operations)

Control Objective DS13 pada pemprosesan data yang lengkap dan akurat

memerlukan manajemen yang efektif dari prosedur pemrosesan data dan

pemeliharaan yang baik pada hardware. Proses ini menekankan pada mutu layanan

operasional untuk penjadwalan pemprosesan data, melindungi output dan memantau

dan memelihara infrastruktur. Proses ini dapat tercapai dengan mengoprasikan

lingkungan TI dengan baik dengan berdasarkan pada mutu service dan menjalankan

instruksi-instruksi serta memelihara infrastruktur TI.

Pengolahan lengkap dan akurat data membutuhkan manajemen yang

efektif dari prosedur pengolahan data dan pemeliharaan rajin perangkat keras.

Proses ini meliputi kebijakan dan prosedur operasi mendefinisikan manajemen

yang efektif untuk pengolahan dijadwalkan, melindungi output yang sensitif,

pemantauan kinerja infrastruktur dan memastikan pemeliharaan preventif

perangkat keras. Pengelolaan operasi yang efektif membantu menjaga integritas

data dan mengurangi penundaan bisnis serta biaya operasi TI.

2.4.4 Domain Monitor and Evaluate (ME)

Semua proses teknologi informasi perlu dinilai secara berkala untuk

mengetahui kualitas dan pelaksanaannya terhadap pemenuhan kebutuhan

pengendalian. Domain ini difokuskan untuk mengetahui performance manajemen,

memonitor pengendalian internal, pelaksanaan peraturan dan penyediaan

pengelolaan.

31

2.4.4.1 Control Objectives ME1 (Monitor and Evaluate IT

Performance)

Control Objective ME1 merupakan proses untuk memastikan kemampuan

manajemen sudah mempunyai proses pemantauan yang efektif. Proses ini meliputi

menggambarkan petunjuk-petunjuk kemampuan yang relevan, sistematis dan laporan

secara berkala dari kemampuan dan tindakan yang cepat atas penyimpangan. Proses

ini terfokus pada memantau dan melaporkan proses-proses matrik dan

mengidentifikasi serta mengimplementasi kemampuan dari tindakan penyelesaian.

Proses ini dapat tercapai dengan menyusun dan menterjemahkan proses laporan

kemampuan kedalam laporan manajemen.

2.4.4.2 Control Objectives ME4 (Provide IT Governance)

Control Objective ME4 merupakan pembangunan kerangka kerja

governance yang efektif meliputi mengidentifikasi struktur organisasi, berbagai

proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa

investasi-investasi TI perusahaan telah berlangsung didalam kesesuaian dengan

strategi dan objektivitas perusahaan. Proses ini terfokus pada mempersiapkan laporan

komite pada strategi TI, kemampuan dan resiko-resiko dan merespon kebutuhan

governance yang berjalan dengan peraturan komite. Proses ini dapat tercapai dengan

membangun integrasi kerangka kerja IT governance menjadi corporate governance.

Manfaat mengimplementasikan COBIT sebagai framework pengelolaan

teknologi informasi adalah sebagai berikut:

32

1. Pengelolaan teknologi informasi menjadi sejalan dengan fokus

bisnis.

2. Pihak manajemen dapat memahami manfaat penerapan teknologi

informasi dalam perusahaan.

3. Adanya kepemilikan dan tanggungjawab yang jelas karena

berdasarkan pada orientasi proses.

4. Adanya penerimaan terhadap pihak ketiga dan regulators.

5. Saling berbagi pemahaman di antara semua stakeholder dengan

berdasarkan pada pemahaman akan tujuan yang sama.

6. Pemenuhan dari keperluan COSO (Committee of Sponsoring

Organisations of the Treadway Commission) untuk lingkungan

pengendalian teknologi informasi.

COBIT mendukung manajemen dalam mengoptimumkan investasi

teknologi informasi melalui ukuran-ukuran dan pengukuran yang akan

memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang

terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal

perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis

perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol

individual memenuhi tuntutan dan kebutuhan informasi serta efek terhadap

sumber daya teknologi informasi perusahaan.

33

Gambar 2.2COBIT IT Processes Defined Within the Four Domains

Sumber : ITGI-COBIT 4.1th

ed (2007, p26)

Sumber daya IT merupakan suatu elemen yang sangat disoroti COBIT,

termasuk pemenuhan kebutuhan bisnis terhadap: efektifitas, efisiensi, kerahasiaan,

keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan

informasi (effectiveness, efficiency, confidentiality, integrity, availability,

compliance, andreliability).

34

Gambar 2.3 Produk COBIT

Sumber : ITGI-COBIT 4.1th

ed (2007, p7)

Dari gambar di atas, produk COBIT meliputi:

1. Board Briefing on IT Governance, 2nd Edition

Membantu para eksekutif memahami betapa pentingnya IT Governance,

apa yang menjadi masalah dan tanggung jawab mereka dalam

pengelolaannya.

2. Management guidelines/maturity models

Membantu menentukan tanggung jawab, pengukuran kinerja, tolak ukur

dan menemukan gap dalam kapabilitasnya.

35

3. Frameworks

Mengorganisasikan objektif IT Governance dan good practices pada

domain dan proses IT serta menghubungkannya dengan kebutuhan bisnis.

4. Control Objectives

Menyediakan sebuah kumpulan komplit dari kebutuhan tingkat tinggi

yang akan dipertimbangkan oleh manajemen guna mengendalikan setiap

proses IT agar lebih efektif.

5. IT Governance Implementation Guide: Using COBIT® and

Val IT TM, 2nd

Edition

Menyediakan peta jalan yang umum untuk mengimplementasikan IT

governance dengan menggunakan COBIT dan Val IT TM Resources.

6. COBIT ® Control Practices: Guidance to Achieve Control

Objectives for Sucessful IT Governance, 2nd

Edition

Menyediakan petunjuk mengenai mengapa kontrol sangat penting untuk

perlu diimplementasikan dan bagaimana untuk mengimplementasikannya.

7. IT Assurance Guide: Using COBIT ®

Menyediakan pedoman mengenai bagaimana COBIT dapat digunakan

untuk mendukung jaminan dari keanekaragaman aktifitas bersama dengan

langkah pengujian yang diusulkan dalam proses IT dan objektif kontrol.

36

Gambar 2.4 Prinsip Dasar COBIT

Sumber : ITGI-COBIT 4.1th

ed (2007, p10)

Dengan demikian dapat disimpulkan, sumber daya IT (IT Resources)

dikelola oleh proses IT (IT Processes) untuk mencapai tujuan IT yang

menanggapi kebutuhan bisnis.

Berdasarkan COBIT 4.1, kriteria informasi untuk mencapai tujuan bisnis

meliputi:

1) Efektifitas: Memperoleh informasi yang relevan dan berhubungan

dengan proses bisnis seperti penyampaian informasi dengan benar,

konsisten, dapat dipercaya dan tepat waktu.

2) Efisiensi: Memfokuskan pada ketentuan informasi melalui

penggunaan sumber daya yang optimal.

3) Kerahasiaan: Memfokuskan proteksi terhadap informasi yang

penting orang yang tidak memiliki hak otorisasi.

37

4) Integritas: Berhubungan dengan keakuratan dan kelengkapan

informasi dengan kebenaran yang sesuai dengan harapan dan nilai bisnis.

5) Ketersediaan: Berhubungan dengan informasi yang tersedia ketika

diperlukan dalam proses bisnis sekarang dan yang akan datang.

6) Kelengkapan: Sesuai menurut hukum, peraturan dan rencana

perjanjian untuk proses bisnis.

7) Keakuratan informasi: Informasi untuk manajemen

mengoperasikan entitas dan mengatur pelatihan keuangan dan

kelengkapan laporan pertanggungjawaban.

Kaitan Tujuan Bisnis dan Tujuan Teknologi Informasi dalam COBIT

dapat dibagi menjadi 4 perspektif, yaitu:

1) Perspektif Keuangan

Dilihat dari perspektif keuangan ada 3 hal yang perlu diperhatikan, yaitu:

a. Memberikan hasil yang baik dalam investasi pada teknologi informasi

memungkinkan investasi bisnis

b. Mengelola teknologi informasi berhubungan dengan resiko bisnis

c. Meningkatkan penguasaan perusahaan dan ketransparanan

2) Perspektif Pelanggan

Dilihat dari perspektif pelanggan ada 6 hal yang perlu diperhatikan,

yaitu:

a. Meningkatkan kepuasan pelanggan dan pelayanan

b. Memajukan produk untuk dapat bersaing dan pelayanan

c. Memperkenalkan kelancaran pelayanan dan ketersediaan

d. Cepat tanggap dalam merespon perubahan bisnis

38

e. Mencapai biaya optimal dalam layanan pengiriman

f. Memperoleh kepercayaan dan informasi yang berguna untuk strategi

pembuatan keputusan

3) Perspektif Internal

Dilihat dari perspektif internal ada 6 hal yang perlu diperhatikan, yaitu:

a. Meningkatkan dan menjaga fungsi-fungsi proses bisnis

b. Meminimalkan biaya proses

c. Mematuhi hukum eksternal, peraturan dan kontrak

d. Mematuhi kebijakan internal

e. Mengatur perubahan bisnis

f. Meningkatkan dan memelihara produktifitas operasional dan staf

4) Perspektif Pembelajaran dan Pertumbuhan

Dilihat dari perspektif pembelajaran dan pertumbuhan ada 2 hal yang

perlu diperhatikan, yaitu:

a. Mengelola produk dan bisnis inovasi

b. Memperoleh dan memelihara kemampuan dan motivasi orang

2.5 Maturity Models

Berdasarkan COBIT 4.1 (2007, p17), penilaian kemampuan proses

berdasarkan maturity models COBIT adalah bagian kunci dari implementasi

pengelolaan teknologi informasi. Setelah mengidentifikasikan IT processes dan IT

controls yang vital, dengan memodelkan maturity akan dapat diketahui gap yang

terdapat di dalam kemampuan (capability) perusahaan, untuk kemudian

diidentifikasikan dan ditunjukkan kepada pihak manajemen. Rencana-rencana

39

kegiatan akan dapat dikembangkan untuk membawa proses-proses tersebut

sampai pada target level kemampuan yang diinginkan.

Lapão (2010) mengatakan bahwa dengan adanya penelitian dengan

menggunakan kerangka COBIT mengenai pengidentifikasian perencanaan

strategis, ditemukan bahwa IT Governance tidak efisien dalam melakukan

pengembangannya, terutama pada management pelayanan teknologi informasi

yang mana mempunyai dampak langsung pada kehidupan sehari-hari. Hal ini

sangatlah relevan dalam menilai kondisi maturity pada proses COBIT dan untuk

menganalisis dampaknya terhadap proses delivery. COBIT dalam rangka

menyediakan kerangka dalam membantu mengidentifikasi secara akurat risiko

yang paling penting untuk ditangani. Pada output-nya, diberikan highlight pad

kesiapan organisasi untuk berubah; pada perbedaan skill yang ada;

pengidentifikasian pada peran dan tanggung jawab manajemen layanan teknologi

informasi; termasuk pada analisis stakeholder. Untuk membantu dalam

mengidentifikasi peran dan tanggung jawab serta komunikasi, maka digunakanlah

matrik yang sesuai untuk digunakan.

Maturity dimodelkan untuk pihak manajemen dan digunakan untuk

mengontrol IT processes berdasarkan metode evaluasi dari perusahaan, sehingga

dapat digunakan untuk menilai dirinya dimulai dari level non – existent (0) ke

level optimised (5). Pendekatan ini berasal dari maturity model yang dibuat oleh

Software Engineering Institute dan digunakan untuk menilai tingkat kematangan

(maturity) dari kemampuan pengembangan software.

Maturity levels dirancang sebagai profil dari IT processes yang akan

diakui oleh pihak perusahaan sebagai penjelasan yang memungkinkan dari

40

kondisi sekarang dan kondisi di masa yang akan datang. Maturity model bukan

dirancang untuk digunakan sebagai suatu model permulaan, di mana dari satu

level tidak akan dapat menuju level yang lebih tinggi tanpa memenuhi semua

kondisi yang harus ada di level sebelumnya. Pihak manajemen akan memperoleh

manfaat jika menggunakan maturity model untuk mengembangkan ke-34 IT

processes COBIT, yaitu:

1) Dapat menilai performance perusahaan yang sebenarnya, yaitu

posisi perusahaan saat ini.

2) Dapat mengetahui status industri saat ini, dengan melakukan

perbandingan.

3) Dapat meningkatkan target perusahaan, dengan memetakan posisi

yang ingin dicapai oleh perusahaan.

4) Hasil yang diperoleh dengan mudah dapat digunakan dalam uraian

manajemen, yaitu dengan cara menampilkannya sebagai pendukung untuk

rencana ke depan dari business case yang akan dihadapi.

Teknik evaluasi yang digunakan pada Djatmiko (2007), dimana maturity

model digunakan sebagai metric untuk mengukur tingkat perkembangan sistem

informasi. Dengan Maturity model dapat digunakan juga untuk mengendalikan

proses IT dengan suatu metoda scoring sedemikian sehingga suatu organisasi

dapat menilai dirinya sendiri dan “ tidak ada” sampai “ optimized” (dari 0 sampai

5). Pendekatan ini diperoleh berdasarkan Maturity Model.

Untuk masing-masing proses IT, ada suatu skala pengukuran, berdasar

pada suatu penilaian antara “0” sampai “5”. Skala ini dihubungkan dengan

41

matuity model yang diuraikan berkisar antara “ Tidak ada” sampai “ optimized”

sebagai berikut:

Tabel 2.2 Level Model Maturity

Model Umum Maturity

Level 0 Tidak ada (Non-Existent), kurang lengkapnya yang dikenal. Organisasi

sama sekali tidak mengetahui adanya masalah.

Level 1 Inisialisasi (Initial/Ad Hoc), terdapat bukti bahwa organisasi telah

mengetahui adanya masalah yang membutuhkan penanganan.

Penanganan masalah dilakukan dengan pendekatan adhoc, berdasarkan

kasus dari perorangan. Tidak dilakukannya pengelolaan proses yang

terorganisir. Setiap proses ditangani tanpa menggunakan standar.

Level 2 Pengulangan (Repeatable but Intuitive), prosedur yang sama telah

dikembangkan dalam proses-proses untuk menangani suatu tugas, dan

diikuti oleh setiap orang yang terlibat di dalamnya. Tidak ada pelatihan

dan komunikasi dari prosedur standar tersebut. Tanggung jawab

pelaksanaan standar diserahkan pada setiap individu. Kepercayaan

terhadap pengetahuan individu sangat tinggi, sehingga kesalahaan sangat

memungkinkan terjadi.

Level 3 Terdefinisi (Defined Process), prosedur telah distandarisasikan,

didokumentasi, serta dikomunikasikan melalui pelatihan. Namun,

implementasinya diserahkan pada setiap individu, sehingga

kemungkinan besar penyimpangan tidak dapat dideteksi. Prosedur

tersebut dikembangkan sebagai bentuk formulasi dari pratek yang ada.

42

Model Umum Maturity

Level 4 Dikelola (Managed and Measurable), pengukuran dan pemantauan

terhadap kepatuhan dengan prosedur, serta pengambilan tindakan jika

proses tidak berjalan secara efektif, dapat dilakukan. Perbaikan proses

dilakukan secara konstan. Implementasi proses dilakukan secara baik.

Otomasi dan perangkat yang digunakan terbatas

Level 5 Dioptimalkan (Optimized), Implementasi proses dilakukan secara

memuaskan. Hal tersebut merupakan hasil dari perbaikan proses yang

terus menerus dan pengukuran tingkat kedewasaan organisasi. Teknologi

informasi diintergrasikan dengan aliran kerja, dan berfungsi sebagai

perangkat yang memperbaiki kualitas dan efektivitas. Organisasi lebih

responsif dalam menghadapi kompetisi bisnis.

Terdapat lima macam kemungkinan respon, dikaitkan dengan maturity

model yang direkomendasikan oleh COBIT (skala 0 – 5 ). Responden akan

memilih tingkat aktivitas yang sangat sesuai dengan kondisi saat ini. Maturity

Model akan membantu para profesional menjelaskan ke para manajer tentang

kekurangan manajemen teknologi informasi dan menetapkan target yang mereka

perlukan dengan membandingkan kontrol organisasi praktik yang terbaik.

Tingkatan maturity akan dipengaruhi oleh sasaran rinci tingkat dari control

maturity akan tergantung pada organisasi yang bergantung pada teknologi

informasi, teknologi dan terutama informasinya.

Pada tingkat maturity yang dilakukan, proses TI telah sampai pada tahap

di mana prosedur yang sama di ikuti oleh orang yang berbeda dan melakukan

43

tugas yang sama tetapi tidak ada pelatihan komunikasi formal terhadap prosedur

standar. Untuk dapat mengembangkan level, proses TI yang standar di

dokumentasikan dan dikomunikasikan melalui pelatihan. Proses TI dijalankan

melalui standarisasi, dokumentasi, dan komunikasi melalui training yang

dikuatkan pada kekuatan kunci dalam domain Acquire and Implement (AI) dan

memperbaiki kelemahan pada domain Monitor and Evaluate (ME). Tingkat

maturity pada perusahaan hanyalah sementara dan masih dapat memilih dengan

memperbaiki pengaturan internal mereka. Salah satu alasan perusahaan memiliki

tahap ini adalah tidak adanya prosedur resmi mengenai bagaimana proses

dilakukan. Prosedur biasanya dibangun oleh middle level atau low level

manajemen, namun proses baru dapat ditetapkan apabila mengikuti prosedur yang

sesuai dan harus diselaraskan dengan proses-proses yang baru. Memiliki prosedur

yang tepat merupakan menjadi masalah bagi sebagian perusahaan, dan kemudian

setelah dijalankan akan disadari bagaimana praktek terbaik yang dilakukan.

Dibutuhkan banyak revisi manual sebagai cara yang paling efektif dan efisien

dalam melaksanakan proses tersebut. Oleh karena itu, dibutuhkan beberapa saat

untuk perusahaan dalam mencapai tingkat dimana proses pendefinisian TI sudah

didokumentasikan dan diimplementasikan (Tugas, 2009).

2.6 Risk Management

Risiko bawaan pada sebuah organisasi dapat membawa masalah

keamanan sehari-hari yang mana akan terus dan berkembang. Keamanan pun

harus lebih dapat mengatasi segala risiko yang ada. Seperti halnya program

keamanan, tidak ada satu ukuran pun yang cocok dengan segala solusi. Setiap

44

teknologi dan aplikasi yang unik, perlindungannya harus sesuai dengan informasi

yang dipertaruhkan didalamnya, serta tingkat kerentanan dan risiko yang

dihadapi. Organisasi harus dapat memahami risiko dan membatasi kegiatan yang

mengekspos organisasi untuk risiko yang signifikan. Seorang IT profesional atau

manajer harus mengembangkan program keamanan yang komprehensif (Rudman,

2010).

Demikian pula untuk mengukur penggunaan teknologi informasi dalam

mengelola supply chain, saluran distribusi dapat dipandang sebagai sebuah

kesempatan untuk dapat dikembangkan seperti juga dalam tingkat regulasinya

yang tinggi. Dalam mendukung hal ini diharapkan peningkatan consumer

expenditure, infrastruktur TI dan pemanfaatan diharapkan dapat memenuhi

pertumbuhan volume pengolahan transaksi untuk mendukung operasional bisnis

sehari-hari (Tugas, 2010).

Corvellec (2009) menyebutkan bahwa manajemen risiko berguna dalam

mengidentifikasi risiko rawannya suatu kegiatan yang terdapat pada perusahaan.

Namun, tidak semua risiko ekspisit yang mengakibatkan perusahaan menghadapi

sebuah ketidakpastian. Pengendalian terhadap sebuah risiko haruslah diselaraskan

dengan praktek-praktek dalam perusahaan. Manajemen risiko haruslah dapat

memahami wawasan mengenai ruang lingkup dan sifat dari risiko dan

ketidakpastian manajemen dalam perusahaan mengenai bagaimana manajer

benar-benar dapat memahami resiko yang penting. Praktek manajerial sehari-hari

dapat dilakukan penelusuran lebih dalam untuk memperluas pandangan seseorang

mengenai apa yang dapat menimbulkan risiko. Implementasi model manajemen

dalam mengatur risiko tidak hanya dapat mengacaukan dan mengganggu praktik

45

manajemen risiko yang ada, tetapi bahkan dapat meningkatkan risiko organisasi.

Untuk menghindari bahaya tersebut, dianjurkan untuk memulai implementasi

setiap skema manajemen risiko, dimulai dengan mengamati dengan seksama

praktek manajemen risiko yang ada disekitar objek yang sedang diteliti.

Efroymson et al (2009) mengatakan bahwa framework dalam membuat

keputusan managemen sangat dibutuhkan untuk menilai resiko yang ada pada

perusahaan. Pada framework yang ada dibuatlah suatu pengidentifikasian

terhadap resiko-resiko yang ada, bagaimana pengendaliannya, dan penjelasan

mengenai informasi yang tersedia untuk menentukan distribusi resiko

potensialnya. Pada framework juga terdapat metriks yang menggambarkan stratus

object yang sedang diteliti berupa tingkat maturity-nya, penilaian terhadap

ancaman, pengaturan dan prioritas tujuan pengendalian serta pengembangan

perencanaan manajemen, dan pengembangan kriteria manajemen. Kerangka kerja

ini membantu sumber daya dalam mengelola dampak dan mengurangi

kemungkinan resiko. Dengan adanya prosedur yang jelas, pengidentifikasian

sebab akibat yang baik akan berdampak pada kelangsungan operasional

perusahaan.

Kombinasi antara laporan analisi sistem manajemen risiko perusahaan

dimana pembangunan infrastruktur dan tools dalam metode dan framework

menekankan akan pentingnya konsep budaya manajemen risiko dalam

meningkatkan daya saing perusahaan. Tujuan manajemen risiko adalah agar dapat

mengambil inisiatif dalam proses manajemen risiko dalam mencapai

keseimbangan manfaat yang harus mendukung strategi secara keseluruhan dan

46

harus menyadari semua risiko yang ada dan membangun pengendalian risiko yang

sesuai (Hua et al, 2009).

2.7 Internal Control

Luthy & Forcht (2006) menyatakan bahwa pengendalian internal pada

tahap perencanaan dan pada saat operasional, top management harus menyatakan

bahwa mereka bertanggung jawab dalam pengembangan dan pemeliharaan

internal control perusahaan yang mana sudah dilakukan suatu evaluasi sistem

perusahaan. Top management harus melaporkan mengenai evaluasi mereka atas

kontrol internal dan pasca setelah dilakukannya evaluasi dan setiap perubahan

yang memiliki pengaruh signifikan pada kontrol internal yang mana mencakup

semua pengendalian, seperti perlindungan data, kontrol akses, logika terhadap

proses yang dijalankan, dan kontrol yang berkaitan dengan perubahan. Laporan

ini harus mengungkapkan kekurangan yang signifikan dalam desain dan

operasional sistem pengendalian internal yang kurang baik sehingga dapat

mempengaruhi record, pengolahan, peringkasan, dan pelaporan data. Laporan

juga harus mengungkapkan fraud yang material maupun yang tidak dan

melaporkan karyawan atau pihak manajemen yang terlibat serta memiliki peran

penting dalam operasional perusahaan.

Compliance yang mana dikenal dengan kata kepatuhan merupakan

keadaan yang sesuai dengan pedoman yang sudah ditetapkan sebelumnya. Pada

life cycle kepatuhan menjelaskan bagaimana proses pengembangan dirancang dan

bagaimana pemantauannya. Dalam prakteknya pada pelaksanaan bisnis, selalu

ditandai oleh masalah yang tidak dapat diperkirakan dan dapat menyebabkan

ketidakpatuhan hasil maupun perilaku. Kegagalan manusia, perangkat keras,

47

ataupun perangkat lunak dapat menyebabkan penyimpangan dari proses yang

diharapkan. Penyimpangan harus dapat ditemukan, dianalisis, dan dibandingkan

sehingga sebisa mungkin dapat sesuai dengan proses bisnis yang diharapkan

sehingga untuk menilai apakah penyimpangan berdampak atau tidak terhadap

kepatuhan dan apakah perlu diterapkan tindakan pencegahannya (Gangadharan &

Luttighuis , 2010).

Dengan adanya sebuah Internal Control Framework (ICF), perusahaan

akan lebih mudah dalam memahami pengendalian untuk menilai mengenai

efektifitas pengendalian. Dengan adanya kerangka pengendalian internal, maka

manajemen dan auditor dapat melakukan evaluasi dan mengatasi kecukupan

pengendalian dalam organisasi mereka. Dengan menggunakan kasus yang

diangkat, maka terdapat kesempatan dalam menilai risiko pengendalian internal

dalam sistem informasi organisasi tersebut dan dapat pula memudahkan dalam

melakukan evaluasi tingkat organisasi secara keseluruhan dan merumuskan

rekomedasi dalam mengurangi resiko tersebut (Cereola & Cereola, 2011).

2.8 Sistem Billing

Pada saat melakukan proses billing, berdasarkan list billing yang ada

dilakukan penyaringan untuk melakukan verifikasi termasuk waktu danbiayayang

digunakan sehingga manajerdapat melakukan pengontrolan terhadap semua item.

Total item akan dilakukan peng-update-an sehingga dapat dengan mudah dapat

diketahui berikut dengan rinciannya.Tagihan disesuaikan dan dapat dibuatkan

sebuah standar sebagai templete untuk dapat digunakan kembali (Roselius, 2010).

Billing errors (2006) menyatakan bahwa beberapa tindakan yang

menyebabkan terjadinya kesalahan billing meliputi biaya yang tidak sah,

48

pelaporan dalam jumlah yang salah, biaya tambahan untuk permintaan pelanggan,

biaya barang dan jasa yang tidak diterima atau tidak disampaikan sebagaimana

mestinya, kesalahan dalam pembayaran dan kredit lainnya, kesalahan

perhitungan, serta kegagalan dalam mengirimkan laporan ke alamat pelanggan.

Menurut Willenberg & Meade (2010), implementasi terhadap adanya suatu

kepatuhan dan administasi personal pada suatu billing layaknya mencoba

menyelamatkan sebuah kapal terikat untuk tenggelam. Untuk itu pembangunan

suatu compliance dalam billing haruslah diikuti dengan inisiatif dan usaha yang

maksimal dalam mengelola proses komunikasi pada pembangunan infrastruktur.

Kolaborasi antar semua pihak dibutuhkan dalam mengelola hambatan dan

tantangan terhadap peraturan operasional untuk menghasilkan solusi operasional

yang tepat.