bab ii landasan teori
advertisement
BAB II LANDASAN TEORI 2.1 Sistem Informasi 2.1.1 Pengertian Sistem Informasi Menurut Satzinger, Jackson, dan Burd (2010:6), sistem informasi adalah sekumpulan dari komponen yang saling berhubungan dan berfungsi untuk menyediakan mengumpulkan, output berupa memproses, informasi yang menyimpan, dibutuhkan dan untuk menyelesaikan tugas – tugas. Adapun menurut Stair, Reynolds (2008:8), sistem informasi adalah sebuah kumpulan elemen yang saling berhubungan dan komponen- komponen yang bertugas untuk mengumpulkan, memenipulasi, menyimpan, menyebarkan data dan informasi serta menyediakan pembenaran untuk mencapai suatu objektif. Connolly dan Begg (2009:66), mengatakan sistem informasi adalah sebuah sistem perangkat lunak yang memungkinkan pengguna untuk mendefinisikan, membuat, memelihara, dan mengontrol akses ke basis data. Berdasarkan beberapa penjelasan diatas, dapat disimpulkan bahwa sistem informasi adalah sekumpulan elemen atau komponen yang saling berhubungan dan berfungsi mengumpulkan, memanipulasi, memproses, dan menyebarkan output berupa data maupun informasi untuk mencapai suatu tujuan yang telah ditetapkan. 9 10 2.1.2 Komponen Sistem Informasi Menurut Stair dan Reynolds (2010:10), sistem informasi merupakan kumpulan komponen yang saling berhubungan dalam mengumpulkan, memanipulasi, dan menghasilkan serta memberikan suatu reaksi terhadap tujuan dari sistem informasi tersebut. Sehingga dapat disimpulkan dari pernyataan diatas bahwa komponen sistem informasi yang terpenting ialah input, process, output, dan feedback. Adapun menurut Marakas dan O’Brien (2014:28), sistem informasi bergantung pada sumber daya manusia, hardware, software, data, dan jaringan untuk menyokong aktifitas input, processing, output, storage dan control dalam merubah sumber data menjadi informasi. 2.2 Tata Kelola TIK 2.2.1 Pengertian Tata Kelola TIK Menurut Grembergen dan Haes (2009:1), tata kelola TIK adalah konsep yang relative baru dalam literature dan semakin mendapatkan ketertarikan lebih banyak dalam dunia akademik dan praktisi. Tata kelola TIK merupakan penentuan dan pelaksanaan atau implementasi dari proses, struktur, dan mekanisme relasional yang memudahkan pihak bisnis dan TIK dalam melaksanakan tanggung jawab mereka dalam mendukung keselarasan bisnis dan TIK serta memberikan suatu nilai TIK tersendiri dari investasi bisnis yang dilakukan. Sedangkan menurut Weill and Ross (2004:8), IT gorvernance is specifying the decision right and accountability framework to encourage desirable behavior in using IT. Dari kalimat tersebut dapat diartikan bahwa tata 11 kelola teknologi informasi merupakan framework yang spesifik dalam pengambilan keputusan dan akuntabilitas untuk mendukung kebiasaan perusahaan dalam menggunakan TI. Selain itu menurut Tarigan (2006:5), tata kelola taknologi informasi diartikan sebagai struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambik menyeimbangkan resiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya. Tata kelola TIK menjadi bagian penting dari tata kelola perusahaan dan perlu diintegrasikan ke dalamnya. Tata kelola perusahaan adalah sistem dimana perusahaan diarahkan dan dikontrol. Ketergantungan bisnis terhadap TIK telah menghasilkan fakta bahwa isu-isu tata kelola perusahaan tidak dapat diselesaikan tanpa mempertimbangkan sisi TIK. TIK berfungsi sebagai pendorong yang penting untuk mencapai nilai bisnis melalui investasi di bidang TIK itu sendiri, hal ini dapat mempengaruhi peluang strategis sebagaimana yang digariskan oleh perusahaan dan mampu memberikan masukan penting untuk rencana strategis perusahaan. Dalam mempelajari tata kelola TIK dibutuhkan pemahaman mengenai perbedaan antara tata kelola TIK/ IT Governance dengan manajemen TIK/ IT Management. Perbedaan terletak pada ruang lingkup dan perannya, jika manajemen TIK berfokus pada penyediaan pasokan internal dari layanan dan produk TIK secara efektif dan efisien serta pengaturan operasional TIK, sedangkan cakupan tata kelola TIK jauh lebih luas dan berkonsentrasi dalam melaksanakan dan mengubah TIK perusahaan untuk memenuhi 12 kebutuhan bisnis baik untuk saat ini maupun di masa depan sebagai fokus internalnya dan memenuhi kebutuhan kebutuhan pelanggan bisnis saat ini maupun dimasa depan sebagai fokus eksternalnya. 2.2.2 Prinsip Tata Kelola TIK Berikut ini adalah prinsip tata kelola TIK perusahaan berdasarkan ISO / IEC 38500 (Grembergen dan Haes, 2009:4) : 1. Tanggung jawab Orang-orang yang memiliki kewenangan dalam melakukan permintaan dan pemasokan TIK di dalam organisasi. 2. Strategi Penyelarasan strategi bisnis yang memperhitungkan kemampuan TIK saat ini dan masa depan dengan strategi TIK sendiri yang harus memenuhi kebutuhan yang telah ditentukan sesuai dengan strategi bisnis perusahaan. 3. Akuisisi Akuisisi TIK dibuat untuk alasan yang sah, atas dasar analisis yang tepat dan berkelanjutan, dengan pembuatan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan resiko baik dalam jangka pendek maupun jangka panjang. 4. Kinerja TIK sesuai dengan tujuannya untuk mendukung perusahaan, memiliki fungsi menyediakan layanan, level dari 13 layanan, dan kualitas layanan yang diperlukan untuk memnuhi kebutuhan bisnis saat ini dan masa depan. 5. Kesesuaian Setiap kebijakan, aturan, dan praktik-praktik TIK harus bersifat jelas dan dilaksanakan. 6. Perilaku manusia Kebijakan, praktik, dan keputusan TIK yang ada menunjukan rasa hormat terhadap perilaku manusia yang terlibat dalam proses tersebut. Tata kelola TIK mengintegrasikan dan mengadopsi praktik-praktik terbaik mengenai perencanaan, pengorganisasian, pengembangan, implementasi, penyampaian, dukungan, dan pemantauan serta evaluasi kinerja TIK untuk memastikan bahwa informasi perusahaan dan teknologi yang terkait, mendukung tujuan bisnisnya. Tata kelola TIK memungkinkan perusahaan untuk mendapatkan keuntungan penuh dari informasinya, sehingga memaksimalkan manfaat dan peluang untuk meningkatkan keunggulan kompetitif yang dimilikinya. 2.3 COBIT 5 Menurut ISACA (2012:15), COBIT 5 merupakan generasi terbaru dari panduan ISACA yang membahas mengenai tata kelola dan manajemen TIK. COBIT 5 dirancang berdasarkan pengalaman banyak perusahaan dan pengguna dari bidang bisnis, komunitas TIK, resiko, asuransi, dan keamanan selama lebih dari 15 tahun di dalam penggunaan COBIT itu sendiri. 14 COBIT dapat membantu perusahaan dalam menciptakan nilai TIK yang optimal dengan mewujudkan keseimbangan antara manfaat yang diharapkan dan mengoptimalkan tingkat resiko serta penggunaan sumber daya. COBIT framework 5 memiliki lima prinsip didalam pengelolaan dan manajemen TIK perusahaan, yaitu: 1. Memenuhi kebutuhan stakeholder 2. Menyediakan layanan secara menyeluruh bagi perusahaan 3. Menerapkan kerangka kerja yang terintegrasi 4. Melakukan pendekatan secara menyeluruh 5. Memisahkan antara tata kelola dan manajemen. Gambar 2.1 Prinsip COBIT 5 Disebutkan bahwa, COBIT framework 5 menyediakan prinsip-prinsip, praktek-praktek, alat-alat analisis, dan model yang diterima secara global dan dirancang untuk membantu memaksimalkan kepercayaan pimpinan bisnis dan TIK, mengenai nilai dari informasi dan aset teknologi perusahaan yang telah 15 ditinjau lebih dari 95 ahli di seluruh dunia dan secara efektif membantu perusahaan dalam mengatur dan mengelola aset tersebut. (ISACA, 2012:1; Kessinger). Keunggulan COBIT framework 5 diungkapkan pula oleh Alastair Walker, et all (2012:159) yang mengemukakan bahwa mereka telah mengidentifikasi beberapa tantangan yang dihadapi COBIT maturity model dan menawarkan model penilaian alternatif. Mereka telah mendemonstrasikan bahwa ternyata alternatif model penilaian berdasarkan ISO/IEC 15504 yaitu COBIT framework 5 memiliki kriteria penilaian yang lebih akurat, konsisten, dan objektif. Oleh karena itu mereka menyatakan bahwa model penilaian berdasarkan ISO 15504 lebih superior. COBIT 5 dikembangkan untuk mengatasi kebutuhan-kebutuhan penting seperti : 1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari informasi dan teknologi terkait mengenai apa keuntungannya, berapa tingkat resikonya, berapa biayanya, dan apa yang menjamin mereka bahwa nantinya nilai tambah yang diharapkan benar-benar tersampaikan. Hal ini dikarenakan stakeholder ingin terlibat lebih banyak dan juga menginginkan transparansi terkait bagaimana ini akan terjadi serta hasil yang akan diperoleh nantinya. 2. Membahas peningkatan ketergantungan kesuksesan perusahaan pada pihak lain seperti outsource, pemasok, konsultan, klien, cloud, dan penyedia layanan lain serta 16 beragam alat internal dan mekanisme untuk memberikan nilai tambah yang diharapkan. 3. Mengatasi jumlah informasi yang meningkat secara signifikan dengan berbagai cara memilih informasi yang relevan dan kredibel yang akan mengarahkan perusahaan kepada keputusan bisnis yang efektif dan efisien. 4. Pengelolaan TIK yang sudah semakin meresap ke dalam perusahaan. Hal ini perlu diperhatikan karena TIK perlu menjadi bagian penting dari proyek bisnis, struktur organisasi, manajemen resiko, kebijakan, kemampuan, proses, dan sebagainya. Sehingga TIK dan bisnis harus diintegrasikan dengan lebih baik. 5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru. Hal ini berkaitan dengan kreatifitas, penemuan, pengembangan produk baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih tipe pelanggan baru. Inovasi juga menyiratkan perampingan pengembangan produk, produksi dan proses supply chain agar dapat memberikan produk ke pasar dengan tingkat efisiensi, kecepatan, dan kualitas yang lebih baik. 6. Mendukung perpaduan bisnis dan TIK secara menyeluruh, dan mendukung semua aspek yang mengarah pada tata kelola dan manajemen TIK perusahaan secara efektif, seperti struktur organisasi, kebijakan, dan budaya. 17 7. Mendapatkan kontrol yang baik berkaitan dengan solusi TIK. 8. Memberikan perusahaan : • Nilai tambah melalui penggunaan TIK yang efektif dan inovatif. • Kepuasaan pengguna dengan keterlibatan dan layanan TIK yang baik. • Kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan internal. • Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TIK. 9. Menghubungkan dan jika relevan terhadap penggunaan framework dan standar lainnya seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO, dan ISO. Hal ini akan membantu stakeholder mengerti bagaimana kaitan berbagai framework dan standar serta bagaimana mereka dapat digunakan secara bersama-sama. 10. Mengintegrasikan semua framework dan panduan ISACA dengan fokus pada COBIT, Val IT, dan Risk IT akan tetapi juga mempertimbangkan BMIS, ITAF, dan TGF, sehingga COBIT 5 mencakup seluruh perusahaan dan menyediakan dasar integrasi framework dan standar lain ini menjadi satu kesatuan. 18 2.3.1 Implementasi COBIT 5 Menurut ISACA (2012:20), tujuh tahap yang terdapat dalam siklus hidup implementasi COBIT 5 adalah: a. Tahap 1 – Apa penggeraknya? Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan keinginan untuk berubah di level manajemen eksekutif, yang kemudian diwujudkan berupa kasus bisnis. Penggerak perubahan bisa berupa kejadian internal maupun eksternal, dan kondisi atau isu penting yang memberikan dorongan untuk berubah. Kejadian, tren, masalah kinerja, implementasi perangkat lunak, dan bahkan tujuan dari perusahaan dapat menjadi penggerak perubahan. Resiko yang terkait dengan implementasi dari program ini sendiri akan dideskripsikan di dalam kasus bisnis, dan dikelola sepanjang siklus hidupnya. Menyiapkan, menjaga, dan mengawasi kasus bisnis sangatlah mendasar dan penting untuk membenarkan, mendukung, dan kemudian memastikan hasil akhir yang sukses dari segala inisiatif, termasuk pengembangan GEIT. Mereka memastikan fokus yang berkelanjutan terhadap keuntungan dari program dan perwujudannya. b. Tahap 2 – Dimana kita sekarang? Tahap 2 membuat agar tujuan TIK dengan strategi dan resiko perushaaan menjadi selaras, dan memprioritaskan tujuan perusahaan, tujuan TIK, dan proses TIK yang 19 paling penting. COBIT 5 menyediakan panduan pemetaan tujuan perusahaan terhadap proses TIK untuk membantu penyeleksian. Dengan mengetahui tujuan perusahaan dan TIK, proses penting yang harus mencapai tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu kapabilitas yang ada saat ini dan dimana kekurangan yang ada. Hal ini dapat dicapai dengan cara melakukan penilaian kapabilitas proses terhadap proses - proses yang terpilih. c. Tahap 3 – Dimana kita ingin berada? Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis selisih untuk mengidentifikasi solusi potensial. Beberapa solusi akan berupa quick wins dan beberapa berupa tugas jangka panjang yang sulit. Prioritas harus diberikan kepada proyek yang lebih mudah untuk dicapai dan lebih mungkin memberikan keuntungan yang paling besar. Tugas jangka panjang perlu dipecah menjadi bagian – bagian yang lebih mudah untuk diselesaikan. d. Tahap 4 – Apa yang harus dilakukan? Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan mendefinisikan proyek yang didukung dengan kasus bisnis yang dapat dibenarkan dan mengembangkan rencana perubahan untuk implementasi. Kasus bisnis yang dibentuk dengan baik akan membantu 20 memastikan bahwa keuntungan proyek dapat teridentifikasi dan diawasi terus – menerus. e. Tahap 5 – Bagaimana kita sampai kesana? Tahap 5 mengubah solusi yang disarankan menjadi kegiatan rutin dari hari ke hari dan menetapkan perhitungan sistem pemantauan untuk memastikan kesesuaian dengan bisnis tersebut tercapai serta kinerja dapat diukur. Kesuksesan membutuhkan pendekatan, kesadaran, komunikasi, pengertian, dan komitmen dari manajemen tingkat tinggi maupun kepemilikan fari pemilik proses TIK dan bisnis yang terpengaruh. f. Tahap 6 – Apakah kita sampai kesana? Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan praktik manajemen yang telah ditingkatkan ke operasi bisnis normal dan pemantauan pencapaian dari peningkatan menggunakan metrik kinerja dan keuntungan yang diharapkan. g. Tahap 7 – Bagaimana kita menjaga momentumnya? Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum, mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh, dan meningkatkan kebutuhan akan peningkatan secara terus – menerus. Tahap ini juga memprioritaskan kesempatan meningkatkan GEIT. lebih banyak untuk 21 2.3.2 COBIT 5 Process Assessment Model Menurut ISACA (2011:1), pada tahun 2010 ISACA menemukan bahwa 89% dari sekitar 1400 responden survey menyatakan bahwa mereka memiliki kebutuhan akan penilaian kapabilitas proses TIK yang tepat dan dapat diandalkan. Gary Baker, CA, CGEIT, mengatakan bahwa COBIT PAM yang didasarkan pada COBIT 5 dan ISO/IEC 15504-2:2003 Information Technology - Process Assessment - Part 2 : Performing an assessment memenuhi kebutuhan tersebut. Baker mengemukakan bahwa, COBIT PAM menyediakan dasar bagi penilaian proses TIK perusahaan terhadap COBIT 5 dan memungkinkan penilaian kapabilitas proses untuk mendukung peningkatan dari proses – proses tersebut. Penilaian tersebut berdasarkan bukti untuk memastikan bahwa proses penilaian dapat diandalkan, konsisten, dan dapat dilakukan rutin di area tata kelola dan manajemen TIK. Menurut ISACA (2011:7), COBIT 5 PAM dibuat berdasarkan COBIT 5 dan International Organization for Standardization (ISO) / International Electrotechnical Commision (IEC) 15504. Model ini digunakan sebagai dokumen basis referensi untuk menilai performa kapabilitas TIK organisasi serta: 1. Mendefinisikan kebutuhan – kebutuhan minimum untuk melakukan dibutuhkan) penilaian (input-input yang 22 2. Mendefinisikan proses kapabilitas dalam 2 dimensi yaitu proses dan kapabilitas 3. Menggunakan indikator proses kapabilitas dan proses performa untuk menentukan apakah atribut dari setiap proses telah terpenuhi 4. Mengukur performa proses berdasarkan sebuah urutan praktik dasar dan aktifitas – aktifitas untuk memenuhi suatu hasil pekerjaan Mengukur proses kapabilitas melalui pencapaian atribut berdasarkan bukti spesifik (level 1) dan generic (level yang lebih tinggi) practices dan work products. 2.3.3 Indikator Kapabilitas Proses Menurut ISACA (2011:51), indikator kapabilitas proses adalah kemampuan proses dalam meraih tingkat kapabilitas yang ditentukan oleh atribut proses. Bukti atas indikator kapabilitas proses akan mendukung penilaian atas pencapaian atribut proses. Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat kapabilitas. Didalam enam tingkat tersebut terdapat Sembilan atribut proses. Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0 menyatakan proses yang belum diimplementasikan atau proses yang gagal untuk mencapai hasil akhirnya. Kegiatan penilaian yang dilakukan membedakan antara penilaian untuk level 1 dengan level yang lebih tinggi. Hal ini 23 dilakukan karena level 1 menentukan apakah suatu proses dapat mencapai tujuannya, dan sangat penting untuk dicapai, karena menjadi pondasi dalam meraih level yang lebih tinggi. Menurut ISACA (2012:45), dalam penilaian ditiap levelnya, hasil yang diperoleh akan diklasifikasikan dalam 4 kategori sebagai berikut : 1) N (Not achieved/tidak tercapai) Dalam kategori ini tidak ada atau hanya sedikit bukti pencapaian atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 0 – 15%. 2) P (Partially achieved/tercapai sebagian) Dalam kategori ini terdapat beberapa bukti mengenai pendekatan, dan beberapa pencapaian atribut atas proses tersebut. Range nilai yang diraih pada kategori ini berkisar 15 – 50%. 3) L (Largely achieved/secara garis besar tercapai) Dalam kategori ini terdapat bukti atas pendekatan sistematis, dan pencapaian signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori ini berkisar 50 – 85%. 4) F (Fully achieved/tercapai penuh) Dalam kategori ini terdapat bukti atas pendekatan sistematis dan lengkap, dan pencapaian penuh atas 24 atribut proses tersebut. Tidak ada kelemahan terkait atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 85 – 100%. Menurut ISACA (2011:51 - 58), untuk penilaian capability level terbagi menjadi level – level sebagai berikut : 1. Level 1 – Performed Process Pada level ini menentukan apakah suatu proses mencapai tujuannya. Ketentuan atribut proses pada level 1 adalah sebagai berikut : PA 1.1 Process Performance Pengukuran mengenai seberapa jauh tujuan dari suatu proses berhasil diraih. Pencapaian penuh atas atribut ini mengakibatkan proses tersebut meraih tujuan yang sudah ditentukan. 2. Level 2 – Managed Process Pada level ini proses diimplementasikan dalam suatu cara pengelolaan (direncanakan, dimonitor, dan disesuaikan) dan hasil pekerjaan tersebut ditetapkan dengan tepat, dikendalikan dan dipelihara. a. PA 2.1 Performance Management Mengukur sampai mana performa proses dikelola. b. PA 2.2 Work Product Management Mengukur sejauh mana hasil kerja yang dihasilkan oleh proses dikelola. Hasil kerja yang dimaksud dalam hal ini adalah hasil dari proses 25 3. Level 3 – Established Process Pada level ini proses diiimplementasi melalui suatu proses yang telah didefinisikan dan mampu untuk mencapai hasil dari proses tersebut, yang telah disepakati bersama. a. PA 3.1 Process Definition Mengukur sejauh mana proses standar dikelola untuk mendukung pengerjaan dari proses yang telah didefinisikan. b. PA 3.2 Process Deployment Mengukur sejauh mana proses standar secara efektif telah dijalankan seperti proses yang telah didefinisikan untuk mencapai hasil dari proses. 4. Level 4 – Predictable Process Pada level ini proses beroperasi didalam batasan agar mampu meraih hasil dari proses tersebut. a. PA 4.1 Process Measurement Pengukuran mengenai seberapa jauh hasil pengukuran digunakan untuk memastikan bahwa performa proses mendukung pencapaian tujuan proses dalam mendukung tujuan perusahaan. Pengukuran dapat berupa pengukuran proses ataupun pengukuran produk bahkan kedua – duanya. 26 b. PA 4.2 Process Control Pengukuran tentang seberapa jauh suatu proses secara kuantitatif dapat menghasilkan proses yang stabil, mampu, dan dapat diprediksi dalam batasan yang telah ditentukan. 5. Level 5 – Optimising Process Pada level ini proses ditingkatkan secara berkelanjutan untuk mewujudkan arah yang relevan dan target bisnis yang terproyeksi. a. PA 5.1 Process Inovation Mengukur sebuah perubahan proses yang telah diidentifikasi dari analisis penyebab umum dari adanya variasi didalam pendekatan performa inovatif untuk dan dari investigasi mendefinisikan dan melaksanakan proses. b. PA 5.2 Process Optimisation Mengukur peubahan didalam definisi, manajemen, dan performa proses agar memiliki hasil yang berdampak secara efektif untuk mencapai tujuan dari proses peningkatan. 27 2.3.4 Pemetaan Enterprise dan IT Goals COBIT 5 Berikut ini adalah gambar 2.2 pemetaan Enterprise Goals terhadap proses COBIT 5. Gambar 2.2 Pemetaan Enterprise Goals COBIT 28 Berikut ini adalah gambar 2.3 pemetaan IT Goals terhadap Enterprise Goals pada COBIT 5. Gambar 2.3 Pemetaan Hubungan Enterprise and IT Goals COBIT 5 P = Primary S = Secondary Dari gambar tersebut dapat terlihat 17 kriteria enterprise goals COBIT yang akan diselaraskan dengan IT goals serta hubungan primary maupun secondary antara setiap proses COBIT yang ada dengan panduan IT goals secara umum. 29 Berikut ini adalah gambar 2.4 pemetaan IT Goals terhadap proses COBIT 5. 30 Gambar 2.4 Pemetaan IT Processes COBIT P = Primary S = Secondary Dari gambar tersebut dapat terlihat 37 proses COBIT serta hubungan primary maupun secondary antara setiap proses COBIT yang ada dengan panduan IT goals secara umum. 31 2.3.5 COBIT 5 Process Reference Model Gambar 2.5 Model Proses COBIT 5 Gambar diatas merupakan beberapa komponen contol objectives dalam melakukan penilaian yang terdapat pada COBIT 5, dapat dilihat dengan jelas bahwa setiap poin kriteria penilaian tersebut memiliki domainnya masing – masing dan terbagi menjadi dua kriteria yaitu sisi governance dan sisi manajemen dalam menentukan penilaian yang akan dilakukan. Pada saat melakukan pemilihan control objectives untuk melakukan penilaian, hal ini didasari dari hasil pengumpulan data awal sehingga kita dapat menentukan hal kritis pada perusahaan apa saja yang harus dinilai. 32 2.3.6 Perbandingan COBIT 5 dengan Framework lain ISACA (2012), COBIT 5 merupakan gabungan dari COBIT 4.1, Val IT dan Risk IT dalam 1 kerangka kerja, dan telah diperbaharui untuk diselaraskan dengan best practice yang terkini, seperti ITIL V3 2011, TOGAF, ISO/IEC 20000, dll. Berikut ialah gambar 2.6 pemetaan beberapa framework penilaian standarisasi TIK terhadap COBIT 5. Gambar 2.6 Pemetaan Framework Lain Terhadap COBIT 5 33 2.3.7 Proses COBIT 5 yang Menjadi Titik Evaluasi Berikut ini merupakan daftar proses COBIT 5 yang dilakukan evaluasi beserta penjelasan mengenai masing – masing prosesnya : 1. Proses EDM02 – Ensure Benefits Delivery Menurut ISACA (2012:38), deskripsi dari proses EDM02 adalah memastikan penyampaian keuntungan – keuntungan dari nilai TIK yang dimiliki perusahaan dapat diterima, dimengerti, dikomunikasikan, serta dilakukan kegiatan pengidentifikasian. Tujuan dari proses ini adalah untuk memastikan bahwa penyampaian keuntungan dari penggunaan aspek – aspek TIK terhadap perusahaan dapat berjalan lancar, serta tetap mengidentifikasi dan mengelola segala kemungkinan yang dapat menyebabkan penyampaian keuntungan tersebut bermasalah. 2. Proses APO01 – Manage The IT Management Framework Menurut ISACA (2012:51), deskripsi dari proses APO01 adalah mengklarifikasi dan menjaga pengelolaan atas visi dan msi divisi IT, serta mengimplementasi dan menjaga mekanisme dan otoritas untuk mengelola informasi dan penggunaan TIK dalam perusahaan untuk mendukung tujuan pengelolaan, sejalan dengan setiap prinsip dan kebijakan. Tujuan dari proses ini adalah menyediakan pendekatan pengelolaan yang konsisten untuk memungkinkan kebutuhan pengelolaan perusahaan terpenuhi, termasuk proses manajemen, struktur organisasi, peran dan tanggung jawab, serta aktifitas yang dapat diandalkan dan diandalkan. 34 3. Proses APO02 – Manage Strategy Menurut ISACA (2012:57), deskripsi dari proses APO02 adalah mengklarifikasi dan menjaga pengelolaan strategi divisi IT, serta mengimplementasi dan menjaga mekanisme dan otoritas dari strategi TIK dengan strategi perusahaan yang telah ditetapkan. 4. Proses APO04 - Manage Innovation Menurut ISACA (2012:69), deskripsi dari proses APO04 adalah menjaga kesadaran akan tren mengenai TIK, kesempatan inovasi, dan merencanakan bagaimana caranya untuk mendapatkan keuntungan dari inovasi dalam kaitannya dengan kebutuhan bisnis. Inovasi TIK ini dapat berupa pengadaan teknologi baru maupun perbaikan teknologi yang ada dan dapat mempengaruhi perencanaan strategis ataupun keputusan arsitektural perusahaan. Tujuan dari proses tersebut adalah mencapai keunggulan kompetitif, inovasi bisnis, dan peningkatan efektifitas dan efisiensi operasional dengan mengeksploitasi perkembangan TIK. 5. Proses APO05 – Manage Portfolio Menurut ISACA (2012:73), deskripsi dari proses APO05 adalah mengeksekusi arahan strategis untuk investasi sejalan dengan visi arsitektur perusahaan dan karakteristik yang diinginkan atas investasi tersebut dan portfolio layanan terkait, dan mempertimbangkan kategori – kategori inestasi berbeda dan sumber daya serta berbagai tantangan pendanaan, berdasarkan kesesuaiannya dengan tujuan strategis, dan resiko bagi perusahaan. Memindahkan program yang terpilih kedalam portfolio layanan aktif untuk eksekusi. 35 Mengawasi performa dari semua layanan dan program, mengajukan penyesuaian apabila dibutuhkan sebagai respon dari performa layanan dan program atau perubahan dalam prioritas perusahaan. Tujuan dari proses tersebut adalah mengoptimalkan performa dari portfolio program – program dalam respon terhadap perubahan dalam prioritas dan permintaan perusahaan. 6. Proses APO06 – Manage Budget and Costs Menurut ISACA (2012:79), deskripsi dari proses APO06 adalah mengelola kegiatan TIK yang berhubungan dengan keuangan baik dalam fungsi bisnis dan fungsi TIK yang meliputi anggaran, manajemen biaya dan manfaat, serta prioritas dalam penggunaan praktek anggaran formal dan sistem pengalokasian biaya perusahaan secara adil dan merata. Konsultasi dengan stakeholder untuk mengidentifikasi dan mengontrol biaya dan manfaat dalam konteks rencana strategis dan taktis TIK, lalu mulai tindakan korektif jika diperlukan. Tujuan dari proses tersebut adalah mengembangkan kemitraan antara stakeholder perusahaan dengan stakeholder TIK untuk memungkinkan penggunaan sumber daya TIK yang efektif, efisien, transparan serta akuntabilitas nilai biaya dan nilai bisnis untuk solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan mengenai solusi dan layanan penggunaan TIK. 7. Proses APO07 – Manage Human Resource Menurut ISACA (2012:83), deskripsi dari proses APO07 adalah menyediakan pendekatan terstruktur untuk memastikan 36 penataan, penempatan, keputusan, dan keterampilan sumber daya manusia yang optimal. Hal ini termasuk mengkomunikasikan peran dan tanggung jawab, rencana pembelajaran dan pengembangan, serta ekspetasi kinerja yang didukung oleh para staf kompeten dan termotivasi. Tujuan dari proses ini adalah mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan perusahaan. 8. Proses APO08 – Manage Relationship Menurut ISACA (2012:89), deskripsi dari proses APO08 adalah mengelola hubungan antara bisnis dan TIK dengan cara yang formal dan transparan untuk memastikan fokus pada pencapaian tujuan bersama yaitu tujuan kesuksesan perusahaan yang mendukung tujuan strategis dan sesuai dengan kendalan anggaran dan toleransi resiko. Basis hubungan dasar yaitu kepercayaan, menggunakan istilah terbuka dan mudah dimengerti, bahasa umum, dan rasa kepemilikan dan akuntabilitas untuk keputusan penting. Tujuan dari proses tersebut adalah membuat hasil yang lebih baik, meningkatkan kepercayaan diri, kepercayaan akan TIK, dan penggunaan sumber daya secara efektif. 9. Proses APO09 – Manage Service Agreements Menurut ISACA (2012:93), deskriupsi dari proses APO09 adalah menyelaraskan tingkat layanan berbasis TIK dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, desain, penyebaran, persetujuan, dan pemantauan layanan TIK, tingkat layanan, dan indikator kinerja. 37 Tujuan dari proses ini adalah memastikan bahwa layanan TIK dan tingkat layanan memenuhi kebutuhan perusahaan saat ini dan masa mendatang. 10. Proses APO13 – Manage Security Menurut ISACA (2012:113), deskrispsi dari proses APO13 adalah mendefinisikan, mengoperasikan, dan mengawasi, sistem untuk manajemen keamanan informasi. Tujuan dari proses tersebut adalah menjaga agar dampak dan kejadian dari insiden keamanan informasi masih berada pada level resiko yang dapat diterima perusahaan. 11. Proses BAI02 – Manage Requirement Definition Menurut ISACA (2012:129), deskripsi dari BAI02 adalah mengidentifikasi solusi dan menganalisa persyaratan sebelum akuisisi atau pembuatan untuk memastikan bahwa semuanya sesuai dengan persyaratan strategis perusahaan yang meliputi proses bisnis, aplikasi, informasi/data, infrastruktur, dan layanan. Berkoordinasi dengan stakeholder yang terkait untuk meninjau pilihan – pilihan yang layak termasuk biaya dan manfaat, analisi resiko, dan persetujuan persyaratan serta solusi yang diusulkan. Tujuan dari proses tersebut adalah menciptakan solusi optimal yang memenuhi kebutuhan perusahaan dan dapat meminimalkan resiko. 12. Proses BAI04 – Manage Availability and Capacity Menurut ISACA (2012:141), deskripsi dari proses BAI04 adalah menyeimbangkan kebutuhan saat ini dan masa mendatang baik 38 dalam segi ketersediaan, kinerja, dan kapasitas dengan biaya efektif. Termasuk penilaian kemampuan saat ini, peramalan kebutuhan masa mendatang berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian resiko untuk merencanakan dan melaksanakan tindakan dalam memenuhi persyaratan yang teridentifikasi. Tujuan dari proses ini adalah menjaga ketersediaan layanan, manajemen sumber daya yang efisien, dan mengoptimalkan kinerja sistem melalui prediksi kinerja masa depan dan kebutuhan kapasitas. 13. Proses BAI05 – Manage Organizational Change Enablement Menurut ISACA (2012:145), deskripsi dari proses BAI05 adalah memaksimalkan keberhasilan dalam mengimplementasikan perubahan organisasi yang berkelanjutan dengan cepat dan dengan penurunan resiko, meliputi perubahan siklus hidup secara lengkap dan semua stakeholder yang terkait dalam bisnis dan TIK. Tujuan dari proses tersebut adalah menyiapkan dan melakukan komitmen dengan stakeholder untuk perubahan bisnis dan mengurangi resiko kegagalan. 14. Proses BAI07 – Manage Change Acceptance and Transitioning Menurut ISACA (2012:153), deskripsi dari proses BAI07 adalah menerima secara formal dan mengoperasionalkan solusi baru, termauk implementasi dan perencanaan, konversi sistem dan data, UAT, komunikasi, persiapan pelepasan, memasukkan proses bisnis baru atau proses bisnis yang berubah dan layanan TIK ke lingkungan produksi, dukungan masa – masa awal, dan tinjauan setelah implementasi. 39 Tujuan dari proses ini adalah mengimplementasikan solusi dengan aman dan sejalan dengan ekspetasi dan hasil yang sudah disetujui. 15. Proses BAI08 – Manage Knowledge Menurut ISACA (2012:159), deskripsi dari proses BAI08 adalah mempertahankan ketersediaan pengetahuan relevan yang saat ini sudah divalidasi dan dapat dipercaya untuk mendukung seluruh aktifitas proses dan memfasilitasikan pembuatan keputusan. Tujuan dari proses ini adalah menyediakan pengetahuan yang dibutuhkan untuk mendukung seluruh staf dalam aktifitas pekerjaannya dan meningkatkan produktifitas kinerjanya. 16. Proses BAI10 – Manage Configuration Menurut ISACA (2012:167), deskripsi dari proses BAI10 adalah mendefinisikan dan mempertahankan hubungan antara kunci sumber daya dan kemampuan yang dibutuhkan untuk penyampaian layanan TIK, meliputi pengumpulan informasi mengenai konfigurasi, menetapkan baseline, memverikasi dan mengaudit informasi, serta memperbaharui repositori konfigurasi. Tujuan dari proses tersebut adalah menyediakan informasi yang cukup tentang aset layanan untuk memungkinkan layanan secara efektif dikelola, menilai dampak perubahan dan berurusan dengan insiden layanan. 17. Proses DSS03 – Manage Problems Menurut ISACA (2012:181), deskripsi dari proses DSS03 adalah mengidentifikasi dan mengklarifikasi masalah, sebab, dan 40 resolusi dengan jangka waktu untuk mencegah terulangnya insiden dan memberikan rekomendasi untuk perbaikan. Tujuan dari proses ini adalah meningkatkan ketersediaan, memperbaiki level layanan, mengurangi biaya, dan meningkatkan kenyamanan pelanggan, serta kepuasan dengan mengurangi jumlah masalah operasional. 18. Proses DSS04 – Manage Continuity Menurut ISACA (2012:185), deskripsi dari proses DSS04 adalah menetapkan dan menjaga rencana untuk memungkinkan bisnis dan TIK merespon insiden dan gangguan dalam upaya melanjutkan operasi proses bisnis yang penting dan layanan TIK yang dibutuhkan serta menjaga ketersediaan informasi di tingkat yang bisa diterima perusahaan. Tujuan dari proses ini adalah melanjutkan operasi bisnis yang penting dan menjaga ketersediaan informasi di tingkat yang dapat diterima perusahaan ketika terjadi gangguan yang signifikan. 41 2.3.8 Penelitian Terdahulu Banyak penelitian-penelitian yang dilakukan untuk mengaudit sistem informasi yang digunakan oleh suatu perusahaan. Beberapa penelitian yang telah dilakukan sebelumnya menghasilkan berbagai indikasi yang berbeda, misalnya penelitian yang pernah dilakukan Oleh Stefanus Ariyanto (2007) dengan judul “Audit Sistem Informasi Pada PT Pelangi Haurgeulis Resources”. Hasil dari penelitiannya menunjukkan bahwa PT Pelangi Hargeulis Resources masih memiliki banyak kelemahan dalam pengelolaan TIK-nya, kesadaran dan keinginan manajemen untuk memiliki kinerja TIK yang baik memang telah ada, namun tenggelam dalam rutinitas yang menjadikan TIK hanya sebagai alat bantu dalam menyelesaikan tugas-tugas administrasi rutin saja. Manajemen juga tidak terlalu menyadari risiko dari aplikasi dan data-data perusahaan yang dikelola apa adanya. Selain itu, penelitian yang dilakukan oleh Dwi Kesuma Wardhani (2012) dengan judul “Evaluasi IT Governance Berdasarkan CobIT framework 4.1 (Studi Kasus PT Timah (Persero) Tbk).” Hasil dari penelitiannya adalah sebagian besar penerapan proses dari CobIT framework 4.1 di PT Timah (Persero) Tbk berada pada level rata-rata 3,7. Pada level kematangan ini, secara kesuluruhan proses TIK di PT Timah (Persero) Tbk berada pada skala rata-rata 3, yaitu Defined yang berarti bahwa seluruh proses telah didokumentasikan dan telah dikomunikasikan, serta dilaksanakan dengan pengembangan sistem komputerisasi yang baik, namun proses evaluasi belum dilakukan secara menyeluruh, sehingga masih ada kemungkinan dapat terjadinya penyimpangan. Kemudian penelitian yang dilakukan oleh Lina Wijaya (2012), dengan judul penelitian “Audit Sistem 42 Informasi Pada PT Duta Semesta Raya (DSR Insurance Broker)” dengan hasil penelitian bahwa sistem informasi yang diterapkan perusahaan sudah berjalan dengan baik, tetapi perlu dilakukannya perbaikan-perbaikan guna meningkatkan pertumbuhan di masa yang akan datang. Secara umum, pemisahan tugas dan tanggungjawab setiap karyawan sudah memadai, tetapi sangat diperlukannya koneksi yang kuat, proses pemantauan, dan pengecekan atas pengendalian antar departemen. Internal meeting pun sangat dianjurkan dilakukan setiap dua minggu sekali guna pembahasan aktivitas yang berkesinambungan.