APLIKASI PENILAIAN AUDIT BERDASARKAN COBIT 4.0

Nur Cahyo Wibowo, S.Kom, M.Kom

Program Studi Teknik Informatika, Fakultas Teknologi Industri

UPN “Veteran” Jawa Timur

Jl. Raya Rungkut Madya, Gunung Anyar, Surabaya

email : cahyo.upn@gmail.com

ABSTRAK

Cobit dirumuskan oleh para pakar rekayasa

perangkat lunak internasional untuk memberikan panduan

bagi para pimpinan perusahaan yang berencana

melakukan investasi teknologi informasi yang

menguntungkan. Di dalam Cobit dijelaskan prosedur dan

metodologi bagaimana seharusnya mengatur sebuah

proyek implementasi teknologi informasi di sebuah

perusahaan mulai dari perencanaan sampai dengan

evaluasi kinerjanya. Sebaliknya, dengan sudut pandang

yang berbeda, sistem Cobit juga bisa dimanfaatkan

sebagai panduan untuk melakukan audit terhadap

kelayakan sebuah investasi teknologi informasi yang

sudah dilakukan oleh sebuah perusahaan. Namun yang

sering menjadi masalah adalah belum adanya panduan

kuantitatif untuk melakukan penilaian audit. Sehingga

proses audit lebih terasa nuansa atau faktor subjektifitas

auditor daripada aturan yang baku. Lebih dari itu, proses

audit yang umumnya melibatkan sangat banyak dokumen

namun dengan pihak staff perusahaan serta auditornya

yang sama, seringkali ditemukan standarisasi pemberian

nilai yang berbeda untuk hal-hal yang seharusnya sama.

Penelitian ini dibuat sebagai upaya untuk meminimalisasi

terjadinya kondisi-kondisi tersebut di atas. Sehingga

proses audit bisa dilakukan secara cepat dan konsisten.

Penelitian ini akan menjelaskan desain struktur data dan

aplikasi sistem Cobit yang dibangun dengan

menggunakan DBMS MS SQL Server dan MS Visual

Studio – Visual Basic 6.0. Aplikasi ini mampu melakukan

otomatisasi hasil score audit yang bisa digunakan oleh

auditor sebagai gambaran awal kelayakan sebuah

investasi teknologi informasi pada sebuah perusahaan

berdasarkan dokumen-dokumen yang tersedia.

Kata kunci: aplikasi COBIT, software engineering,

project management, software audit.

1 INTRODUCTION

Control Objectives for Information and related

Technology (COBIT®) memberikan panduan lintas

domain dan framework proses yang baik. Cobit juga

menunjukkan aktifitas ke dalam sebuah struktur yang

logis dan mudah diatur. Cobit merupakan hasil konsensus

para ahli dalam bidang manajemen proyek perangkat

lunak. Fokusnya adalah lebih banyak dalam hal

pengendalian dari pada pengerjaan. Panduan ini akan

sangat membantu investasi IT yang optimis, memastikan

penyerahan layanan dan memberikan sebuah pengukuran

daripada sebuah justifikasi ketika terjadi suatu kesalahan.

Supaya investasi IT berhasil sesuai permintaan bisnis

maka pihak manajemen harus melakukan sistem kendali

internal atau framework di dalamnya.

Audit investasi teknologi informasi memang masih belum

begitu berkembang di Indonesia. Akan tetapi kebutuhan

akan hal itu mulai muncul, khususnya untuk perusahaan

berskala menengah ke atas. Perusahaan sudah mulai

memperhatikan sejauh mana kontribusi investasi teknologi

informasi yang mereka lakukan terhadap kinerja

perusahaan.

Pada waktu booming teknologi informasi di pasaran,

sekitar tahun 90-an, perusahaan-perusahaan berlomba-

lomba untuk investasi di bidang teknologi informasi.

Namun yang terjadi sekarang justru cukup banyak

perusahaan yang gulung tikar meskipun sudah banyak

dana yang dikeluarkan untuk investasi teknologi

informasi.

Hal tersebut di atas bukanlah sesuatu yang tidak mungkin

terjadi. Karena investasi teknologi informasi yang tidak

diatur dan dikendalikan dengan baik justru akan menjadi

bom waktu bagi keruntuhan perusahaan yang

bersangkutan. Sebagai ilustrasi sederhana adalah sebagai

berikut. Sebuah perusahaan menerapkan ketentuan

perubahan media penyimpanan data dari yang semula

paper-based menjadi digital-based. Sehingga semua

berkas-berkas dipindahkan ke dalam format file dengan

dukungan aplikasi perangkat lunak yang sudah ada. Pada

masa-masa awal terlihat begitu besar efisiensi yang

dilakukan. Bisa dibayangkan kemampuan satu buah

keping CD-ROM adalah setara dengan kemampuan satu

ruang besar gudang arsip perusahaan selama satu tahun

operasional. Namun pada suatu waktu datanglah sebuah

bencana. CD-ROM data perusahaan corrupt sehingga

tidak bisa dibaca dengan lengkap. Karena belum adanya

prosedur back up berkala akhirnya data penting

perusahaan hilang.

Untuk itulah, Cobit memberikan sebuah panduan bagi

investasi teknologi informasi di perusahaan. Prosesnya

dimulai dari perencanaan hingga pemantauan dan evaluasi

proses investasi. Dengan sudut pandang terbalik Cobit

juga bisa dimanfaatkan untuk melakukan panduan proses

audit kelayakan investasi teknologi informasi yang sudah

dilakukan oleh perusahaan.

Akan tetapi yang sering menjadi masalah adalah

konsistensi nilai dan kecepatan proses audit itu sendiri. Di

dalam sistem Cobit seperti yang akan dijelaskan pada

bagian Dasar Teori terdapat interaksi antar proses yang

cukup kompleks. Sehingga masalah konsistensi penilaian

menjadi sangat penting. Maksudnya bahwa untuk

penilaian dengan melibatkan dokumen yang sama sudah

seharusnya nilai dokumen tersebut tetaplah sama, tidak

boleh berubah. Namun kenyataan di lapangan bisa saja

tidaklah demikian. Keterbatasan manusia dalam hal

ingatan dan pengambilan keputusan memang bisa saja

berubah-ubah meskipun tidak terlalu besar.

Masalah yang kedua terkait dengan audit adalah kecepatan

penghitungan nilai akhir. Proses audit manual yang saat

ini diterapkan, rata-rata membutuhkan waktu sekitar 2

sampai 3 bulan. Ini pun terkadang masih perlu beberapa

revisi. Penghitungan nilai akhir yang cepat menjadi hal

yang penting baik bagi auditor maupun perusahaan yang

diaudit. Salah satu alasan yang utama adalah time is

money. Begitu perusahaan mendapatkan nilai hasil audit,

mereka bisa segera melakukan perbaikan-perbaikan untuk

kepentingan bisnisnya. Sedangkan bagi auditor jelas biaya

operasional tim kerjanya akan bisa ditekan serta kinerja

tim audit akan dinilai lebih baik oleh perusahaan yang

diaudit jika prosesnya bisa lebih cepat.

2 MODEL, ANALISIS, DESIGN, AND

IMPLEMENTATION

Sesuai dengan rumusan masalah yang sudah dikemukakan

di atas, maka penelitian ini bertujuan untuk

mengimplementasikan sistem Cobit ke dalam sebuah

aplikasi yang bisa digunakan untuk :

Menerapkan penilaian yang konsisten.

Mempercepat perolehan nilai audit.

RUANG LINGKUP

Sistem Cobit yang dijadikan panduan bagi penelitian ini

cukup luas cakupannya. Namun penulis mengamati

adanya pola-pola yang sama yang bisa digunakan sebagai

acuan implementasi dalam ruang lingkup yang lebih luas

dan kompleks. Untuk itu dalam penelitian ini yang akan

digunakan sebagai studi kasus adalah subsistem Cobit

yaitu bagian proses PO (Plan and Organize) 1 yaitu Define

a Strategic Plan.

Dalam sistem Cobit sendiri ada 5 penilaian yang bisa

dilakukan. Diantaranya adalah penilaian terhadap

Maturity Level, Control Objective, Key Performance

Indicator, Process Key Goal Indicator, dan IT Key Goal

Indicator dari sebuah perusahaan. Yang akan dibahas di

dalam penelitian ini adalah dua penilaian yang pertama,

yaitu penilaian terhadap Maturity Level dan Control

Objective.

COBIT FRAMEWORK

Framework kendali Cobit memberikan kontribusi untuk

keperluan tersebut :

Membuat sebuah hubungan dengan kebutuhan bisnis.

Mengorganisasikan aktifitas investasi IT.

Mengidentifikasi sumber daya IT utama yang

mendesak untuk diselesaikan.

Mendefinisikan tujuan kendali manajemen yang perlu

diperhatikan.

PLAN AND ORGANISE (PO)

Domain ini mencakup strategi dan taktik, dan juga

memperhatikan identifikasi cara IT dapat memberikan

kontribusi terbaik untuk pencapaian tujuan bisnis. Lebih

jauh, realisasi visi strategis perlu untuk direncanakan,

dikomunikasikan dan diatur untuk perpsektif yang

berbeda. Akhirnya, sebuah organisasi yang tepat

sebagaimana juga infrastruktur teknologinya perlu untuk

dibuat.

ACQUIRE AND IMPLEMENT (AI)

Untuk mewujudkan strategi IT, solusi IT perlu untuk

diidentifikasi, dibangun atau diperoleh, sebagaimana juga

perlu untuk diimplementasikan dan diintegrasikan ke

dalam proses bisnis. Selain itu, perubahan dan

pemeliharaan sistem yang sudah ada juga tercakup dalam

domain ini untuk memastikan bahwa solusi senantiasa

sesuai dengan tujuan bisnis.

DELIVER AND SUPPORT (DS)

Domain ini menerangkan tentang hal-hal terkait dengan

penyerahan layanan yang dibutuhkan. Termasuk

didalamnya adalah penyerahan layanan itu sendiri,

manajemen keamanan dan kesinambungan, dukungan

layanan bagi pemakai dan manajemen data serta fasilitas

operasional.

MONITOR AND EVALUATE (ME)

Seluruh proses IT perlu untuk dipantau secara teratur. Hal

ini dimaksudkan untuk menjaga kualitas dan pemenuhan

dengan kebutuhan kendali. Domain ini membahas tentang

manajemen kinerja, pemantauan kendali internal,

pemenuhan regulasi, dan penyediaan pengaturan.

Gambar 2.1 di bawah ini menjelaskan tentang sistem

framework Cobit 4.0 secara menyeluruh.

Gambar 2.1 COBIT4.0 Framework

Dimulai dengan tujuan bisnis dan pengaturan. Kemudian

di break-down menjadi beberapa domain yang saling

berkaitan dan membentuk sebuah siklus.

DETAIL CONTROL OBJECTIVES

Ada enam control objectives di dalam subproses PO 1,

yaitu:

1. Manajemen nilai teknologi informasi.

2. Penyesuaian antara kepentingan bisnis dengan

teknologi informasi.

3. Penilaian kinerja teknologi informasi saat ini.

4. Rencana strategis penerapan teknologi informasi.

5. Rencana taktis penereapan teknologi informasi.

6. Manajemen portfolio penerapan teknologi informasi.

MATURITY LEVEL

Secara umum maturity level akan menunjukkan berada

pada tingkat manakah kinerja sebuah perusahaan. Di

dalam Cobit dikelompokkan menjadi 6 yaitu:

- Level 0 : Non Existent

- Level 1 : Initial/ Ad Hoc

- Level 2 : Repeatable but Intuitive

- Level 3 : Defined Process

- Level 4 : Managed and Measurable

- Level 5 : Optimised

DESAIN DATABASE

Untuk melakukan otomatisasi audit perlu dilakukan

terlebih dahulu standarisasi jenis dokumen yang terlibat.

Dokumen dalam penelitian ini dibedakan menjadi dua,

yaitu dokumen sistem dan dokumen yang dimiliki client.

Strategi ini sengaja dipilih karena pengalaman di lapangan

menunjukkan bahwa dokumen client itu seringkali tidak

sesuai dengan struktur model dokumen yang sudah

disediakan oleh sistem. Untuk itulah dalam desain

databasenya dibuat sebuah tabel transaksional untuk

menyimpan peta hubungan antara dokumen client dengan

dokuman sistem.

Sebagai tabel master untuk desain ini adalah tabel

dokumen sistem, tabel client, tabel control objective dan

tabel maturity level. Tabel-tabel ini akan direferensi oleh

tabel-tabel yang lain untuk membangun skema database

Cobit yang lengkap. Sedangkan tabel turunannya adalah

tabel dokumen client, tabel detail control objective dan

tabel detail maturity level.

Otomatisasi audit sebuah control objective maupun

maturity level akan ditentukan berdasar tabel peta relasi

antara dokumen client dengan dokumen sistem, peta relasi

antara control objective dengan dokumen sistem apa saja

yang terlibat dan terakhir peta relasi antara dokumen

sistem dengan maturity level. Nilai dan bobot yang berada

pada dokumen client akan dapat ditransformasikan

menjadi nilai dokumen di sistem berdasarkan bobot

dokumen internal sistem yang sudah didefinisikan

sebelumnya. Nilai transformasi ini akan bersifat

kuantitatif, murni diperoleh berdasarkan perhitungan.

Untuk penilaian dokumen yang berhubungan dengan

control objective akan disimpan di dalam tabel quantitatif

control objective. Sedangkan yang berhubungan dengan

maturity level akan disimpan ke dalam tabel quantitative

maturity level. Untuk lebih jelasnya bisa dilihat pada

Gambar 2.2 di bawah ini.

Gambar 2.2 Skema Relasi Database

Keterangan:

- DC :Dokumen client.

DCO

DS

DML

MCO MML

MDC

DC

Client

QCO QML

- MDC :Peta relasi dokumen sistem dengan dokumen

client.

- DS :Dokumen sistem.

- MCO :Peta relasi dokumen sistem dengan control

objective.

- DCO :Detail control objective.

- QCO :Quantitative control objective.

- MML :Peta relasi dokumen sistem dengan maturity

level.

- DML :Detail maturity level.

- QML :Quantitative maturity level.

Nilai transformasi dokumen yang diperoleh akan diolah

berdasarkan perhitungan untuk mendapatkan score audit

baik pada detail control objective maupun maturity level.

Ada tiga kondisi yang perlu diperhatikan yaitu:

1. Sebuah dokumen sistem direferensi oleh sebuah

dokumen client.

2. Sebuah dokumen sistem direferensi oleh banyak

dokumen client.

3. Dokumen sistem yang tidak direferensi oleh dokumen

client. Hal ini dimungkinkan terjadi ketika struktur

dokumen di sistem begitu lengkap dan detail akan

tetapi struktur dokumen di client lebih sederhana dan

global/ umum.

3 RESULT

Secara umum operasi pada aplikasi ini dikelompokkan ke

dalam tiga bagian utama, yaitu bagian tabel master, bagian

knowledge base-nya yaitu tabel-tabel yang berisikan peta

relasi, dan yang ketiga adalah bagian otomatisasi

penghitungan score audit.

Gambar 3.1 Antarmuka Utama

ANALISIS DAN UJI COBA

Sebagaimana telah disinggung pada pokok bahasan Ruang

Lingkup, maka yang akan dijadikan skenario uji coba

adalah khusus pada subproses PO 1 yaitu Define a

Strategic IT Value. Skenario uji coba dimulai dengan

kondisi dokumen client seperti yang ada pada Gambar 3.2

di bawah ini. Sebagai contoh terlihat sebuah dokumen

dengan nama IT Master Plan yang diberi kode ITMP.

Munculnya tambahan label satu, dua, tiga dan seterusnya,

hal itu dimaksudkan bahwa dokumen tersebut

diasumsikan terdiri atas beberapa bagian penyusun yang

mana untuk perusahaan satu dengan lainnya

dimungkinkan memiliki kondisi yang berbeda.

Gambar 3.2 Tabel Dokumen Client

Kemudian peta relasi antara dokumen client dengan

dokumen sistem didefinisikan sebagaimana isian tabel

yang terlihat pada Gambar 3.3 berikut ini. Salah satu

contohnya adalah mapping antara dokumen IT Strategic

Plan dengan IT Master Plan.

Gambar 3.3 Form Pemetaan Dokumen

Maka dengan kondisi peta relasi antara dokumen sistem

dengan detail control objective seperti pada Gambar 3.4 di

bawah ini:

Gambar 3.4 Form Peta Relasi CO

Akan diperoleh score audit untuk pernyataan pertama

pada PO 1 adalah sebagai berikut:

Gambar 3.5 Hasil Score CO untuk PO 1

Score akhir pada uji coba di atas adalah 0.74 yang berarti

termasuk dalam kelompok HIGH. Di dalam aplikasi ini

pengelompokan nilainya adalah sebagai berikut:

If (total <= 0.3) Then

Label.Caption = "POOR"

ElseIf (total <= 0.5) Then

Label.Caption = "LOW"

ElseIf (total <= 0.7) Then

Label.Caption = "MEDIUM"

ElseIf (total <= 0.9) Then

Label.Caption = "HIGH"

ElseIf (total <= 1) Then

Label.Caption = "COMPLETE"

End If

Gambar 3.6 Aturan Klasifikasi Score

Sedangkan untuk kondisi peta relasi antara dokumen

sistem dengan maturity level seperti gambar di bawah ini:

Gambar 3.7 Peta Relasi Maturity Level

Maka akan diperoleh skor audit maturity level untuk PO 1

adalah seperti dalam gambar berikut:

Gambar 3.8 Score Maturity Level untuk PO 1

Terlihat pada gambar di atas bahwa score ML-nya adalah

1.429… dan ini termasuk ke dalam tingkat Repeatable.

Pengelompokan ini berdasar pada aturan berikut:

If (totall <= 1) Then

Label.Caption = "INITIAL"

ElseIf (totall <= 2) Then

Label.Caption ="REPEATABLE"

ElseIf (totall <= 3) Then

Label.Caption = "DEFINED"

ElseIf (totall <= 4) Then

Label.Caption = "MANAGED"

ElseIf (totall <= 5) Then

Label.Caption = "OPTIMIZED"

End If

Gambar 3.9 Aturan Klasifikasi Maturity Level

4 CONCLUSION

Aplikasi ini dapat membantu proses audit berdasarkan

framework Cobit. Dengan aplikasi ini standar skor audit

dapat diterapkan, sehingga konsistensi penilaian dapat

dipertahankan. Selain standar nilai skor, aplikasi ini juga

mempunyai pemetaan dokumen, antara dokumen yang

disyaratkan oleh sistem dengan dokumen yang dimiliki

oleh client/ customer.

REFERENCE

[1] COBIT Framework 4.0, 2007, ISACA.

[2] John Connel, Beginning Visual Basic 6 Database

Programming, Wrox Press, 1999.

[3] Francesco Balena, Programming Microsoft Visual

Basic 6.0, Microsoft Press, 1999.