PENERAPAN DAN PENILAIAN TATA KELOLA TEKNOLOGI INFORMASI ...
Transcript of PENERAPAN DAN PENILAIAN TATA KELOLA TEKNOLOGI INFORMASI ...
1
PENERAPAN DAN PENILAIAN TATA KELOLA TEKNOLOGI
INFORMASI BERDASARKAN COBIT 5 FRAMEWORK
(STUDI KASUS PADA BPK RI)
Hervandi Putra
Pembimbing:
M.Malik
Program Studi Akuntansi
Fakultas Ekonomi Universitas Indonesia
Abstrak
Tujuan Penulisan, ialah untuk mengetahui tingkat kapabilitas pada biro TI BPK RI.
Melakukan analisa terhadap pencapaian tingkat kapabilitasnya dengan lembaga sejenis
lainnya pada negeri lain, serta membantu BPK menerapkan tata kelola TI berstandar
internasional. Metodologi yang digunakan ialah kerangka kerja COBIT 5 sebagai panduan
pengukuran tingkat kapabilitas. Hasil yang dicapai bahwa tingkat kapabilitas BPK saat ini
yaitu 2,162 yang berarti berada pada level 2 (managed process), yang mana lembaga sejenis
lainnya di luar negeri telah mencapai level 3. Kesimpulan adalah bahwa BPK RI telah
dikelola dan di implementasi dengan tepat, meskipun pencapaian tingkat kapabilitas masih
pada posisi menengah karena kurangnya persaingan yang memaksa BPK untuk melakukan
perkembangan bisnisnya.
Kata kunci : Audit Sistem Informasi, Tata Kelola Teknologi Informasi, COBIT 5
Abstract
The purpose of this evaluation, is to know the capability level on BPK RI IT bureau.
Performed an analysis achievement of the capability level with other similair institutions in
other cpuntries, as well as to help BPK RI implement IT governance with international
standard. The methodology used for the evaluation is COBIT 5 framework to measure
capability level. The achieved results are that the BPK capability level is at level 2 (managed
process) with 2,162, which other similiar institutions abroad has reached level 3. The
conclusion from this thesis are that BPK already being ran, controlled and managed
appropriately, although capability level is still at intermediate level because of the lack of
competitor and make BPKs’ business is not growing.
Key Words : Information Systems Audit, Information Technology Governance, COBIT 5
Penerapan dan..., Hervandi Putra, FE, 2014
2
Pendahuluan
Kebutuhan akan sistem informasi bagi semua jenis penggunanya menyebabkan
perkembangan teknologi yang begitu pesat dari waktu ke waktu. Penerapan teknologi
informasi pada suatu organisasi harus seimbang dengan investasi yang dikeluarkannya.
Untuk itulah perlu adanya tata kelola teknologi informasi yang baik sebagai perancang
perencanaan hingga proses dan implementasi untuk mendapatkan hasil yang optimal.
Dalam melakukan tata kelola teknologi, teradapat beberapa kerangka kerja salah
satunya adalah COBIT framework (Control Objectives for Information and Related
Technology). Kerangka kerja tata kelola teknologi informasi yang disediakan oleh COBIT
menjadi panduan bagi organisasi untuk melakukan pengendalian akan pengelolaan teknologi
informasi yang baik dan dapat membantu mencapai tujuan-tujuan organisasi. COBIT
framework bergerak sebagai integrator dari praktik tata keola teknologi informasi dan
pertimbangan dari petinggi organisasi. Berdasarkan ulasan tersebut, maka perlu adanya
mekanisme pengendalian audit sistem informasi atau audit pengelolaan teknologi informasi.
Berdasarkan uraian yang telah dipaparkan di atas pada bagian latar belakang, maka
penulis mencoba merumuskan permasalahan yang akan dibahas dalam penelitian ini adalah
sebagai berikut:
1. Bagaimana penerapan tata kelola teknologi informasi yang baik menurut COBIT
Framework 5?
2. Sudah sejauh mana BPK RI menerapkan tata kelola teknologi informasi dengan
melakukan penilaian tingkat kapabilitas berdasarkan COBIT Framework 5?
3. Apakah tata kelola teknologi informasi telah memenuhi target tingkat kapabilitas yang
sesuai dengan Badan Audit lain setingkat BPK RI?
4. Apa saja perbaikan yang dapat dilakukan BPK RI untuk meningkatkan peranan tata
kelola teknologi informasi dalam meningkatkan kinerja BPK RI?
Berdasarkan perumusan masalah di atas, maka dapat dirumuskan tujuan dari
penelitian ini, adalah:
1. Mengetahui bagaimana penerapan tata kelola TI yang dilakukan BPK RI.
2. Mengetahui sudah sejauh mana kinerja TI di BPK RI dengan menggunakan
pengukuran tingkat kapabilitas dan COBIT 5 sebagai acuan.
3. Agar bisa megoptimalkan penggunaan teknologi informasi pada BPK RI
4. Mengetahui langkah yang harus dilakukan oleh BPK RI untuk mengoptimalkan
peranan tata kelola teknologi informasi dalam meningkatkan kinerja BPK RI.
Penerapan dan..., Hervandi Putra, FE, 2014
3
Tinjauan Teoritis
Menurut ISACA (2010): “IT governance is the responsibility of the Board of
Directors and Executive Managment. It is an integral part of enterprise governance and
consist of the leadership and organizational structures and processes that ensure the
organization’s IT sustains and extends the organization’s strategy and objectives”. Sebagai
mana yang telah disebutkan bahwa IT Governance adalah tanggung jawab dari Dewan
Direksi dan manajemen eksekutif sebuah organisasi. Tata Kelola TI merupakan sebuah
bagian yang tak terpisahkan dari pengelolaan perusahaan yang terdiri dari kepemimpinan dan
struktur organisasi dan proses untuk memastikan keberlangsungan TI organisasi dan
pengembangan organisasi serta tujuan organisasi.
Keberadaan teknologi informasi saat ini telah melekat dengan keberlangsungan hidup
perushaan, sehingga pengguna harus bisa memberikan perhatian lebih terhadap teknologi
informasi dan seberapa bergantungnya bisnis perusahaan dengan penggunaan teknologi.
Menurut ITGI (2003):
Teknologi informasi sangat penting dalam mendukung dan mencapai tujuan
perusahaan.
Teknologi informasi sangat strategis terhadap bisnis (perkembangan dan
inovasi).
Due diligence semakin diperlukan relatif terhadap implikasi teknologi informasi
dalam hal merger dan akuisisi.
Tata kelola teknologi inforamsi menjadi penting karena seringkali sesuatu yang
diharapkan tidak sesuai dengan kenyataanya. Akibat dari ketidak sesuaian tersebut, maka
akan menimbulkan tata kelola teknologi informasi yang tidak efektif dan menjadi sesuatu hal
yang buruk yang harus dihadapi oleh dewan direksi, yaitu (ITGI, 2003):
Kerugian bisnis, berkurangnya reputasi, dan melemahkan posisi kompetisi.
Tenggang waktu yang telah melewati batas, biaya lebih tinggi dari yang
diperkirakan, dan kualitas lebih rendah dari yang telah diharapkan.
Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahya
kualitas penggunaan teknologi informasi.
Kegagalan dari inisiatif teknologi informasi untuk menciptakan inovasi atau
memberikan keuntungan yang telah dijanjikan.
Penerapan dan..., Hervandi Putra, FE, 2014
4
Menurut ISACA (2007), terdapat lima area yang menjadi fokus dalam tata kelola
teknologi informasi, yaitu:
Gambar 2.1-Area Fokus IT Governance
Sumber: ISACA, 2007
Strategic Alignment (Keselarasan Strategi)
Berfokus untuk memastikan hubungan bisnis dan rencana TI; mendefinisikan,
merawat, dan memvalidasi proposisi nilai dari teknologi informasi, dan
menyelaraskan operasi TI dengan operasi perusahaan.
Value Delivery (Penyampaian Nilai)
Adalah tentang menjalankan proposisi nilai seluruh siklus penyampaian informasi,
memastikan bahwa informasi yang disampaikan melalui teknologi informasi
memberikan manfaat pada strategi, terkonsentrasi pada pengoptimalan biaya dan nilai
intrinsik teknologi informasi.
Risk Management (Manajemen Risiko)
Membutuhkan kesadaran risiko oleh karyawan senior di perusahaan, pemahaman
yang jelas mengenai enterprise’s appetite for risk, memahami kepatuhan persyaratan,
adanya transparansi mengenai risiko yang signifikan di perusahaan dan menanamkan
tanggung jawab terhadap risiko dalam sebuah organisasi.
Resource Management (Pengelolaan Sumber Daya)
Adalah tentang mengoptimalkan investasi, dan pengelolaan yang tepat pada sumber
daya TI yang penting, yaitu: aplikasi, informasi, infrastruktur, dan manusia. Isu-isu
penting yang berkaitan dengan optimalisasi pengetahuan dan infrastruktur.
Penerapan dan..., Hervandi Putra, FE, 2014
5
Performance Measurement (Pengukuran Kinerja)
Penelusuran dan pemantauan terhadap penerapan strategi, penyelesaian proyek,
penggunaan sumber daya, kinerja proses dan pengiriman jasa. Sebagai contoh,
balanced scorecards menjelaskan strategi kedalam suatu tindakan untuk mencapai
target yang terukur diluar akuntansi konvensional.
COBIT (Control Objective for Information and Related Technology) adalah sebuah
kerangka kerja yang digunakan dalam mengelola teknologi informasi. COBIT sendiri disusun
oleh Information System Audit and Control Association (ISACA) dan The IT Governance
Institute (ITGI).
COBIT 5 yang merupakan integrasi dari COBIT 4.1 dengan Val IT 2.0 dan Risk IT
menjadi sebuah kerangka kerja (COBIT 5), COBIT 5 juga menambahkan identifikasi
terhadap kebutuhan stakeholders sebagai titik awal dalam proses pemetaan bisnis dengan TI.
Sejak diterbitkannya COBIT 5, mulailah bermunculan produk-produk yang berhubungan
dengan COBIT 5 seperti COBIT 5 for information security dan COBIT 5 assurance, dan
sebagainya.
COBIT bukan hanya memiliki fungsi dalam mengelola teknologi informasi saja,
tetapi COBIT juga memiliki fungsi sebagai pengendalian investasi dan risiko pada
lingkungan TI. COBIT framework digunakan sebagai panduan untuk melakukan
pengendalian terhadap teknologi informasi agar dapat mengakomodir confidenciality,
integrity, dan availability agar informasi menjadi berguna.
COBIT 5 process reference model merupakan suksesor dari proses model COBIT 4.1,
yang mana proses model Risk IT dan Val IT terintegrasi secara baik. Pada kerangka COBIT 5
ini, terdapat 37 proses tata kelola dan manajemen. 37 proses tersebut di kelompokkan
kedalam 5 domain, berbeda pada COBIT 4.1 yang menggunakan 34 proses menjadi 4
domain. 5 domain tersebut terdiri dari:
1. Evaluate, Direct and Monitor (terdiri dari 5 proses)
Sebagai tahap awal dari proses pengelolaan tata kelola teknologi yang
menjelaskan pengaturan dan pemeliharaan kerangka kerja, memastikan
manfaatnya sudah diterima, optimisasi risiko dan sumber daya serta transparansi
kepada para pemangku kepentingan.
2. Align, Plan and Organise (terdiri dari 13 proses)
Pada domain ini ada beberapa kategori yang harus di pertimbangkan seperti
formluasi kebijakan TI, strategi TI, arsitektur perusahaan, inovasi teknologi,
manajemen keuangan dan portofolio.
Penerapan dan..., Hervandi Putra, FE, 2014
6
3. Build, Acquire and Implement (terdiri dari 10 proses)
Pada domain ini hal-hal yang perlu diperhatikan seperti analisis bisnis, proyek
manajemen, evaluasi, program, sistem, perangkat lunak, dan kapasitas
manajemen.
4. Deliver, Service and Support (terdiri dari 6 proses)
Sedangkan pada domain DSS ini mempertimbangkan hal-hal seperti
ketersediaan manajemen, permasalahan manajemen, service desk dan peristiwa-
peristiwa berkaitan dengan manajemen, keamanan administrasi, operasi TI,
administrasi database.
5. Monitor, Evaluate and Assess (terdiri dari 3 proses)
Pada domain yang terakhir ada beberapa hal yang sebaiknya menjadi
pertimbangan seperti pemenuhan pengujian, pemantauan kinerja, dan
pengendalian audit.
Metodologi Penelitian
Metode yang digunakan dalam melakukan penelitian ini ialah metode penelitian kualitatif.
Penelitian ini menggunakan data pimer dan data sekunder. Data primer diperoleh dari
wawancara dengan narasumber dari bagian biro teknologi informasi BPK RI. Wawancara
dilakukan dengan mempertimbangkan keahlian narasumber agar informasi yang didapat
akurat dan dapat dipertanggungjawabkan sehingga dapat digunakan untuk mendukung proses
penelitian ini. Sedangkan untuk data sekunder diperoleh dari dokumentasi yang dimiliki oleh
BPK RI. Data sekunder juga didapat dari studi pustaka atas buku, jurnal maupun artikel
internasional yang berkaitan dengan penelitian sebagai referensi
Pada gambar disain penelitian dijelaskan beberapa tahap yang dilakukan dalam
penelitian ini, yaitu:
Tahapan 1: Identifikasi Stakeholder Drivers
Pada tahap ini para pemangku kepentingan dipengaruhi oleh jumlah dari pengendali-
pengendalinya (yang dibutuhkan para pemangku kepentingan), seperti, perubahan strategi,
perubahan dalam usaha bisnis dan peraturan daerah, dan perkembangan teknologi-teknologi
yang baru.
Tahapan 2: Identifikasi COBIT Enterprise Goals.
Pada tahapan kedua ini kebutuhan pemangku kepentingan berhubungan dengan tujuan umum
perusahaan. Kemudian dilakukan identifikasi tujuan BPK RI dan kemudian dilakukan
maping dengan tujuan bisnis menurut COBIT 5.
Penerapan dan..., Hervandi Putra, FE, 2014
7
Adapun gambaran dari desain penelitan yaitu:
Tahapan 3: Identifikasi COBIT IT-Related Goals
Pada tahapan ketiga, akan dilakukan analisa antara COBIT enterprise goals dengan COBIT
IT-Related Goals. COBIT enterprise goals yang digunakan ialah dari hasil pemetaan tujuan
bisnis BPK dengan tujuan bisnis menurut COBIT 5 yang dilakukan pada tahapan
sebelumnya.
Tahapan 4: Identifikasi IT-Process
Pada tahapan ini, berdasarkan setiap mapping IT-Related Goals akan menghasilkan IT-
processes berdasarkan COBIT 5. Dari masing-masing IT-Process berfungsi sebagai proses
dalam pengukuran tingkat kapabilitas pada penilaian tata kelola teknologi informasi.
Tahapan 5: Mengukur Tingkat Kapabilitas
Menurut ISACA (Process Assessment Model (PAM): Using COBIT 5), terdapat enam
tingkatan dalam penilaian kapabilitas proses. Dalam setiap penilaian di masing-masing
tingkatan diklasifikasikan kedalam 4 kategori sebagai bentuk dari pencapaian suatu tingkat
Identifikasi Stakeholder Drivers
(Environment, Technology Evolution, ...)
Stakeholder Needs
Risk
Optimisation
Resource
Optimisation
Benefits
Realisation
Identifikasi COBIT Enterprise Goals
Identifikasi COBIT IT-Related Goals
Identifikasi IT Process
Mengukur Capability Level
Penerapan dan..., Hervandi Putra, FE, 2014
8
kapabilitas. ISACA juga menjelaskan bahwa pemenuhan dalam suatu capability level agar
bisa melanjutkan ke level berikutnya harus mencapai kategori largely achieved (L) atau fully
achieved (F).
Rating Levels
N Not achieved 0 to 15% achievement
P Partially achieved > 15% to 50% achievement
L Largely achieved > 50% to 85% achievement
F Fully achieved > 85% to 100% achievement
Menurut ISACA (Process Assessment Model: Using COBIT 5), dalam
melakukan penilaian capability mature model terbagi menjadi enam tingkatan yang
dijelaskan sebagai berikut:
1. Level 0 – Incomplete Process
Pada tingkatan pertama, proses tidak diterapkan atau gagal dalam mencapai tujuan
dari prosesnya. Dan hanya sedikit atau tidak bukti dari setiap pencapaian sistematis
atas tujuan dari proses.
2. Level 1 – Performed Process
Pada tingkatan ini proses yang diterapkan mencapai tujuan dari prosesnya. Atribut
proses pada tingkatan pertama adalah:
PA 1.1 Process Performance
Dalam hal ini dimaksudkan mengenai sudah sejauh mana tujuan dari suatu proses
tersebut berhasil dicapai.
3. Level 2 – Managed Process
Pada tingkatan ini proses yang sedang diterapkan mencakupi perencanaan,
pengawasan, dan penyesuaian. Serta produk pekerjaannya telah ditetapkan,
dikendalikan, dan di pelihara secara tepat. Atribut proses pada tingkatan kedua
adalah:
PA 2.1 Performance Management
Dalam hal ini dimaksudkan untuk mengukur sudah sejauh mana proses dalam
pekerjaan telah di kelola.
PA 2.2 Work Product Management
Hal ini berfungsi untuk mengukur sudah sejauh mana hasil pekerjaan yang
diperoleh dari proses yang telah dikelola.
Penerapan dan..., Hervandi Putra, FE, 2014
9
4. Level 3 – Established Process
Pada tingkatan ini proses yang sudah dibuat kemudian diterapkan dengan
menggunakan proses yang didefinisikan mampu mencapai hasil dari prosesnya.
Atribut proses pada tingkatan ketiga adalah:
PA 3.1 Process Definition
Hal ini mengukur sudah sejauh mana standar proses diterapkan dalam mendukung
pengerjaan dari proses yang telah ditentukan.
PA 3.2 Process Deployment
Hal ini berfungsi mengukur sudah sejauh mana standar proses dijalankan secara
efektif pada proses yang telah dijelaskan untuk mencapai hasil pada proses
tersebut.
5. Level 4 – Predictable Process
Pada tingkatan ini proses yang telah didirikan beroperasi pada batasan yang telah
ditentukan untuk mencapai hasil dari prosesnya. Atribut proses pada tingkatan
keempat adalah:
PA 4.1 Process Measurement
Hal ini menjelaskan mengenai sudah sejauh mana hasil dari pengukuran digunakan
untuk meyakinkan bahwa performa dapat mendukung dalam mencapai tujuan dari
proses serta tujuan perusahaan
PA 4.2 Process Control
Hal ini menjelaskan mengenai sudah sejauh mana suatu proses dalam pengelolaan
kuantitatif dapat memberikan hasil yang stabil, kompeten, dan bisa diukur dalam
batasan yang telah ditentukan.
6. Level 5 – Optimising Process
Pada tingkatan ini proses diprediksi terus melakukan peningkatan untuk memenuhi
tujuan bisnis saat ini yang relevan dengan tujuan proyek. Atribut proses pada
tingkatan kelima adalah:
PA 5.1 Process Innovation
Hal ini menjelaskan pengukuran dari perubahan suatu proses berdasarkan
terdapatnya perbedaan pada performa, dan dari investigasi dengan pendekatan
inovatif dalam menjelaskan serta menerapkan proses tersebut.
PA 5.2 Process Optimisation
Hal ini menjelaskan mengenai pengukuran atas definisi, manajemen, dan proses
pekerjaan agar bisa mendukung pencapaian tujuan proses optimisasi secara efektif.
Penerapan dan..., Hervandi Putra, FE, 2014
10
Hasil Penelitian
Berdasarkan hasil penilaian yang dilakukan pada 37 proses COBIT, maka didapatlah
pencapaian level seluruh proses COBIT BPK RI. Maka dapat dilihat rata-rata proses COBIT
5 dalam BPK RI mendominasi pada level 2, seperti gambar dibawah ini:
Berdasarkan dari gambar diatas, dapat dilihat seberapa banyak proses COBIT 5 pada
setiap levelnya, yaitu:
Level 0 terdapat 1 proses
Level 1 terdapat 3 proses
Level 2 terdapat 22 proses
Level 3 terdapat 11 proses
Tidak adanya proses pada level 4 dan level 5.
Pembahasan
Dalam melakukan penilaian kapabilitas untuk mengetahui proses apa saja yang akan
di nilai tingkat kapabilitasnya, maka BPK menjelaskan tujuannya ke dalam sasaran strategis
yang kemudian di kelompokkan kedalam empat dimensi balance scorecard sebagai berikut:
Dimensi pertama yaitu dimensi financial yang mana terdapat sasaran
strategis BPK RI nomor 1 dan nomor 10 tentang pemenuhan harapan
pemangku kepentingan dan pemanfaatan anggaran.
Dimensi yang kedua yaitu dimensi customer yang mana terdapat sasaran
strategis BPK RI nomor 7 tentang peningkatan mutu kelembagaan dan
ketatalaksanaan.
0
5
10
15
20
25
level 0 level 1 level 2 level 3 level 4 level 5
Tingkat Pencapaian
level 0
level 1
level 2
level 3
level 4
level 5
Penerapan dan..., Hervandi Putra, FE, 2014
11
Dimensi yang ketiga yaitu dimensi internal yang mana terdapat sasaran
strategis BPK RI nomor 2,3,4,5,67, dan nomor 9 mengenai fungsi proses
bisnis, perubahan program bisnis, operasional dan produktifitas karyawan,
serta pemenuhan terhadap peraturan internal.
Dimensi yang keempat yaitu dimensi learning and growth yang mana
terdapat sasaran strategis BPK RI nomor 3 dan 8 tentang keahlian dan
motivasi orang-orang serta budaya untuk berinovasi.
Untuk hasil yang lebih jelas, maka hasil pemetaan sasaran strategis BPK RI terhadap
COBIT 5 enterprise goals dibuat dalam bentuk tabel sebagai berikut:
No. Enterprise goals
COBIT Tujuan dan Sasaran bisnis BPK RI
BSC
Dimension
4. Compliance with
external laws and
regulations
1. Meningkatkan efektivitas tindak
lanjut hasil pemeriksaan dan
memenuhi harapan pemangku
kepentingan. Financial
5. Financial
Transparency
10. Meningkatkan Pemanfaatan
anggaran.
6. Customer-Oriented
service culture
7. Meningkatkan mutu
kelembagaan dan
ketatalaksanaan.
Customer
11. Optimisation of
business process
functionality
2. Meningkatkan fungsi manajemen
pemeriksaan.
4. Meningkatkan percepatan
penetapan tuntutan
perbendaharaan dan pemantauan
penyelesaian ganti kerugian
negara.
7. Meningkatkan mutu
kelembagaan dan
ketatalaksanaan.
9. Meningkatkan pemenuhan
standar dan mutu sarana dan
prasarana.
Internal
Penerapan dan..., Hervandi Putra, FE, 2014
12
No. Enterprise goals
COBIT
Tujuan dan Sasaran bisnis BPK RI BSC
Dimension
13. Managed business
change programmes 3. Meningkatkan mutu pemberian
pendapat dan pertimbangan
Internal
14. Operational and
staff productivity 2. Meningkatkan fungsi manajemen
pemeriksaan.
3. Meningkatkan mutu pemberian
pendapat dan pertimbangan
4. Meningkatkan percepatan
penetapan tuntutan
perbendaharaan dan pemantauan
penyelesaian ganti kerugian
negara.
15. Compliance with
internal policies 5. Meningkatkan efektivitas
penerapan sistem pemerolehan
keyakinan mutu.
6. Pemenuhan dan harmonisasi
peraturan di bidang pemeriksaan
keuangan negara.
9. Meningkatkan pemenuhan
standar dan mutu sarana dan
prasarana.
16. Skilled and
motivated people 3. Meningkatkan mutu pemberian
pendapat dan pertimbangan.
8. Meningkatkan kompetensi SDM
dan dukungan manajemen. Learning and
Growth
17. Product and
business innovation
culture
3. Meningkatkan mutu pemberian
pendapat dan pertimbangan.
Penerapan dan..., Hervandi Putra, FE, 2014
13
Setelah diketahui tujuan perusahaan menurut COBIT 5 yang sesuai dengan sasaran
strategis BPK RI, kemudian tujuan tersebut dilakukan pemetaan terhadap IT-Related goals
menurut COBIT 5. Dari hasil pemetaan tersebut dapat diketahui tujuan TI apa saja yang
dapat mendukung tujuan dan sasaran bisnis organisasi. Berikut tabel hasil pemetaannya:
Enterprise Goals IT-related Goals
Financial
4.
Compliance with
external laws and
regulations
2 10
5. Financial transparency
6
Customer 6.
Customer-oreinted
service culture 1 7
Internal
11.
Optimisation of business
process functionality 1 7 8 9 12
13.
Managed business
change programmes 1 3 13
Internal
14.
Operational and staff
productivity 8 16
15.
Compliance with
internal policies 2 10 15
Learning
and Growth
16.
Skilled and motivated
people 16
17.
Product and business
innovation culture 9 17
Penerapan dan..., Hervandi Putra, FE, 2014
14
Kemudian pada tahapan selanjutnya akan diambil beberapa IT-Process yang relevan
dengan hasil identifikasi IT-related Goals to IT-Processes, yang mana hasilnya akan
digunakan dalam mengukur tingkat kapabilitas dan sebagai standar tata kelola teknologi yang
baik menurut COBIT 5 pada setiap proses TI nya..
IT process IT domain
EDM01, EDM02, EDM03,
EDM04, EDM05 Evaluate, Direct and Monitor
APO01, APO02, APO03, APO04,
APO05, APO06, APO07, APO08,
APO09, APO10, APO11, APO12,
APO13
Align, Plan, and Organise
BAI01, BAI02, BAI03, BAI04,
BAI05, BAI06, BAI07, BAI08,
BAI09, BAI10
Build, Acquaire and Implement
DSS01, DSS02, DSS03, DSS04,
DSS05, DSS06 Deliver, Service and Support
MEA01, MEA02, MEA03 Monitor, Evaluate and Assess
Untuk mengetahui tingkat kapabilitas biro TI BPK secara keseluruhan, maka perlu
dilakukan perhitungan nilai rata-rata dari keseluruhan proses COBIT 5 BPK yaitu:
Tingkat Kapabilitas = ( ) ( ) ( ) ( ) ( ) ( )
Tingkat Kapabilitas = 2,162
Maka dapat ditarik kesimpulan bahwa tingkat kapabilitas biro TI BPK saat ini
berada pada level 2,162. Pencapaian ini dianggap masih rendah karena:
BPK sebagai lembaga pemeriksa keuangan yang menawarkan jasa dalam
melakukan penilaian keyakinan terhadap kondisi keuangan pemerintah,
sehingga TI hanya sebagai pendukung saja bukan penggerak utama bisnis.
Penerapan dan..., Hervandi Putra, FE, 2014
15
BPK dalam hal melakukan pemeriksaan keuangan pemerintahan,
mendominasi atau memonopoli pasarnya, karena hanya BPK lah lembaga
pemeriksaan keuangan terhadap pemerintahan. Hal tersebut membuat BPK
terlambat dalam mengembangkan bisnis dalam lingkungan yang tidak
kompetitif, kurangnya paksaan untuk berkembang.
Kemudian mencoba melihat institusi sejenis yang melakukan audit terhadap
pemerintahan pada negara lain, yaitu:
Australian National Audit Office pada tahun 2009 diukur oleh KPMG
menggunakan COBIT 4.1 dan mendapatkan niali 3 (defined process) pada
perencanaan strategi Information Communication Technology (ICT), dan
mendapatkan nilai 4 (managed and measurable) pada pengukuran tingkat
kematangan.
Berdasarkan dokumen-dokumen yang dicantumkan oleh Supreme Audit
Institution of India mengenai penilaian sistem informasi pada Indian Audit
and Accounts Department, bahwa dokumen telah didokumentasikan dan
sedang tahap implementasi, yang mana dapat dikategorikan saat ini IAAD
berada pada level 3 berdasarkan asumsi penulis dengan mempertimbangkan
bukti-bukti yang di dapatkan penulis dari situs resmi IAAD.
Sementara BPK sendiri masih berada pada level 2,162 yang mana masih tertinggal
jauh dari India dan Australia. Sehingga BPK harus memberikan output terhadap proses yang
belum dimunculkan pada level 1, dan kemudian membuat POS demi tercapainya level 3
sesuai dengan level rata-rata badan audit pemerintahan setiap negara.
Kesimpulan
Berdasarkan hasil analisis dan evaluasi tata kelola TI pada BPK, maka dapat ditarik
kesimpulan bahwa:
1. Dari hasil analisis dan evaluasi dengan melakukan penilaian pada COBIT 5
menunjukkan biro TI BPK saat ini berada pada level 2 (managed process), dengan
niali 2,162. Yang mana rinciannya adalah terdapat 1 proses pada level 0, 3 proses
pada level 1, 22 proses pada level 2, 11 proses pada level 3, dan tidak adanya
proses yang mencapai level 4 dan level 5. Dengan berada pada level 2, yang mana
artinya performa proses telah dikelola yang mencakupi perencenaan, pengawasan,
dan penyesuaian. Work product-nya telah dijalankan, dikontrol, dikelola dengan
tepat.
Penerapan dan..., Hervandi Putra, FE, 2014
16
2. Apabila melihat standar akan batas nilai yang diperoleh oleh badan audit luar
negeri yang menunjukkan, bahwa seharusnya BPK dapat mencapai level 3 pada
tata kelola TI. Walaupun TI berperan sebagai pendukung, bukan sebagai peran
utama. Tetapi dengan meningkatnya tata kelola TI, dapat meningkatkan
pengendalian internal dan mempermudah auditor menjalankan pekerjaannya.
BPK yang memonopoli pasarnya, dan nyaris tidak memiliki saingan membuatnya
sulit untuk berkembang yang disebabkan juga oleh lingkungan bisnis yang tidak kompetitif.
Saran
Setelah melakukan penilitan dan evaluasi pada proses COBIT , maka didapat saran-
saran yang bisa menjadi pertimbangan bagi penelitian selanjutnya dan juga biro TI dalam
mengelola teknologi informasi, yaitu:
1. BPK RI terutama biro TI seharusnya memberikan perhatian lebih dalam
penanganan dan pengelolaan risiko, sehingga dapat mengurangi risiko yang terjadi
dan melakukan pengendalian terhadap risiko.
2. Dalam hal ini, apabila BPK berfokus hanya pada pencapaian level 3 agar setingkat
dengan badan audit pemerintahan luar negeri, maka BPK disarankan membuat
POS pada setiap prosesnya.
Dalam mencapai tujuan kedua biro TI yaitu “mewujudkan tata kelola TI BPK yang
komprehensif dan efektif”, biro TI akan lebih baik menambahkan tingkat kapabilitas dengan
skor minimal 3 pada indikator kinerja utama tujuan tersebut. Hal ini dimaksudkan agar
penerapan tata kelola TI BPK telah mengikuti standar internasional, yaitu COBIT 5.
Penerapan dan..., Hervandi Putra, FE, 2014
17
DAFTAR REFERENSI
Alvin., Soekamto, Wongso., Harsono, Riny (2013). Analisis dan Evaluasi Tata Kelola IT
Pada PT FIF Dengan Standar COBIT 5. Skripsi Universitas Bina Nusantara.
Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana
Media.
ISACA. (2012). COBIT 5 A Business Framework for the Governance and Management of
Enterprise IT. USA: ISACA.
ISACA (2010). IT Standards, Guidelines, Tools and Techniques for Audit and Assurance and
Control Professionals. ISACA
ISACA (2013). Process Assessment Model (PAM): Using Cobit 5
ISACA. (2012). COBIT 5 Enabling Processes. USA: ISACA.
ISACA. (2012). COBIT 5 Implementation. USA: ISACA.
IT Governance Institute, (2003), “Board Briefing on IT Governance,” Illinoise, USA.
Kessinger, Kristen. (2012). ISACA Issues COBIT 5 Governance Framework. Targeted News
Service, , 1.
Metode Penelitian Kualitatif: Teorri & Praktik, Imam Gunawan (2013), bumi aksara Jakarta.
Oltsik, Jon (2003). Information Security Management: Analysis and Recommendations.
English. Hype-free Consulting
Ramadhani, Dwiani (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT
framework 4,1 (studi Kasus pada PT Indonesia Power). Tesis fakultas Ekonomi
Universitas Indonesia.
Rizki Kesumawardhani, Dwi (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi
Kasus di PT Timah (Persero) Tbk). Skripsi Fakultas Ekonomi universitas Indonesia.
Syafei, Henderi. (2008). IT Governance – Support for Good Governance. Banten:
IlmuTI.com.
Sucahyo, Yudo Giri dan Fitrianah, Devi (2007). Audit Sistem Informasi dengan kerangka
Kerja COBIT untuk Evaluasi Manajemen TI di Universitas XYZ Jurnal sistem
Informas MTI-UI.
Weill, Peter. & Ross Jeanne W., (2004). IT Governance – How To Performers Manage IT
Decision Rights for Superior Results. Harvard Business School Press, Boston.
Weber, Ron (2000). Information system controls and audit. New Jersey. Prentice Hall, Inc.
Penerapan dan..., Hervandi Putra, FE, 2014