PENERAPAN DAN PENILAIAN TATA KELOLA TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 FRAMEWORK (STUDI KASUS PADA BPK RI)

Transkripsi

1 1 PENERAPAN DAN PENILAIAN TATA KELOLA TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 FRAMEWORK (STUDI KASUS PADA BPK RI) Hervandi Putra Pembimbing: M.Malik Program Studi Akuntansi Fakultas Ekonomi Universitas Indonesia Abstrak Tujuan Penulisan, ialah untuk mengetahui tingkat kapabilitas pada biro TI BPK RI. Melakukan analisa terhadap pencapaian tingkat kapabilitasnya dengan lembaga sejenis lainnya pada negeri lain, serta membantu BPK menerapkan tata kelola TI berstandar internasional. Metodologi yang digunakan ialah kerangka kerja COBIT 5 sebagai panduan pengukuran tingkat kapabilitas. Hasil yang dicapai bahwa tingkat kapabilitas BPK saat ini yaitu 2,162 yang berarti berada pada level 2 (managed process), yang mana lembaga sejenis lainnya di luar negeri telah mencapai level 3. Kesimpulan adalah bahwa BPK RI telah dikelola dan di implementasi dengan tepat, meskipun pencapaian tingkat kapabilitas masih pada posisi menengah karena kurangnya persaingan yang memaksa BPK untuk melakukan perkembangan bisnisnya. Kata kunci : Audit Sistem Informasi, Tata Kelola Teknologi Informasi, COBIT 5 Abstract The purpose of this evaluation, is to know the capability level on BPK RI IT bureau. Performed an analysis achievement of the capability level with other similair institutions in other cpuntries, as well as to help BPK RI implement IT governance with international standard. The methodology used for the evaluation is COBIT 5 framework to measure capability level. The achieved results are that the BPK capability level is at level 2 (managed process) with 2,162, which other similiar institutions abroad has reached level 3. The conclusion from this thesis are that BPK already being ran, controlled and managed appropriately, although capability level is still at intermediate level because of the lack of competitor and make BPKs business is not growing. Key Words : Information Systems Audit, Information Technology Governance, COBIT 5

2 2 Pendahuluan Kebutuhan akan sistem informasi bagi semua jenis penggunanya menyebabkan perkembangan teknologi yang begitu pesat dari waktu ke waktu. Penerapan teknologi informasi pada suatu organisasi harus seimbang dengan investasi yang dikeluarkannya. Untuk itulah perlu adanya tata kelola teknologi informasi yang baik sebagai perancang perencanaan hingga proses dan implementasi untuk mendapatkan hasil yang optimal. Dalam melakukan tata kelola teknologi, teradapat beberapa kerangka kerja salah satunya adalah COBIT framework (Control Objectives for Information and Related Technology). Kerangka kerja tata kelola teknologi informasi yang disediakan oleh COBIT menjadi panduan bagi organisasi untuk melakukan pengendalian akan pengelolaan teknologi informasi yang baik dan dapat membantu mencapai tujuan-tujuan organisasi. COBIT framework bergerak sebagai integrator dari praktik tata keola teknologi informasi dan pertimbangan dari petinggi organisasi. Berdasarkan ulasan tersebut, maka perlu adanya mekanisme pengendalian audit sistem informasi atau audit pengelolaan teknologi informasi. Berdasarkan uraian yang telah dipaparkan di atas pada bagian latar belakang, maka penulis mencoba merumuskan permasalahan yang akan dibahas dalam penelitian ini adalah sebagai berikut: 1. Bagaimana penerapan tata kelola teknologi informasi yang baik menurut COBIT Framework 5? 2. Sudah sejauh mana BPK RI menerapkan tata kelola teknologi informasi dengan melakukan penilaian tingkat kapabilitas berdasarkan COBIT Framework 5? 3. Apakah tata kelola teknologi informasi telah memenuhi target tingkat kapabilitas yang sesuai dengan Badan Audit lain setingkat BPK RI? 4. Apa saja perbaikan yang dapat dilakukan BPK RI untuk meningkatkan peranan tata kelola teknologi informasi dalam meningkatkan kinerja BPK RI? Berdasarkan perumusan masalah di atas, maka dapat dirumuskan tujuan dari penelitian ini, adalah: 1. Mengetahui bagaimana penerapan tata kelola TI yang dilakukan BPK RI. 2. Mengetahui sudah sejauh mana kinerja TI di BPK RI dengan menggunakan pengukuran tingkat kapabilitas dan COBIT 5 sebagai acuan. 3. Agar bisa megoptimalkan penggunaan teknologi informasi pada BPK RI 4. Mengetahui langkah yang harus dilakukan oleh BPK RI untuk mengoptimalkan peranan tata kelola teknologi informasi dalam meningkatkan kinerja BPK RI.

3 3 Tinjauan Teoritis Menurut ISACA (2010): IT governance is the responsibility of the Board of Directors and Executive Managment. It is an integral part of enterprise governance and consist of the leadership and organizational structures and processes that ensure the organization s IT sustains and extends the organization s strategy and objectives. Sebagai mana yang telah disebutkan bahwa IT Governance adalah tanggung jawab dari Dewan Direksi dan manajemen eksekutif sebuah organisasi. Tata Kelola TI merupakan sebuah bagian yang tak terpisahkan dari pengelolaan perusahaan yang terdiri dari kepemimpinan dan struktur organisasi dan proses untuk memastikan keberlangsungan TI organisasi dan pengembangan organisasi serta tujuan organisasi. Keberadaan teknologi informasi saat ini telah melekat dengan keberlangsungan hidup perushaan, sehingga pengguna harus bisa memberikan perhatian lebih terhadap teknologi informasi dan seberapa bergantungnya bisnis perusahaan dengan penggunaan teknologi. Menurut ITGI (2003): Teknologi informasi sangat penting dalam mendukung dan mencapai tujuan perusahaan. Teknologi informasi sangat strategis terhadap bisnis (perkembangan dan inovasi). Due diligence semakin diperlukan relatif terhadap implikasi teknologi informasi dalam hal merger dan akuisisi. Tata kelola teknologi inforamsi menjadi penting karena seringkali sesuatu yang diharapkan tidak sesuai dengan kenyataanya. Akibat dari ketidak sesuaian tersebut, maka akan menimbulkan tata kelola teknologi informasi yang tidak efektif dan menjadi sesuatu hal yang buruk yang harus dihadapi oleh dewan direksi, yaitu (ITGI, 2003): Kerugian bisnis, berkurangnya reputasi, dan melemahkan posisi kompetisi. Tenggang waktu yang telah melewati batas, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diharapkan. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahya kualitas penggunaan teknologi informasi. Kegagalan dari inisiatif teknologi informasi untuk menciptakan inovasi atau memberikan keuntungan yang telah dijanjikan.

4 4 Menurut ISACA (2007), terdapat lima area yang menjadi fokus dalam tata kelola teknologi informasi, yaitu: Gambar 2.1-Area Fokus IT Governance Sumber: ISACA, 2007 Strategic Alignment (Keselarasan Strategi) Berfokus untuk memastikan hubungan bisnis dan rencana TI; mendefinisikan, merawat, dan memvalidasi proposisi nilai dari teknologi informasi, dan menyelaraskan operasi TI dengan operasi perusahaan. Value Delivery (Penyampaian Nilai) Adalah tentang menjalankan proposisi nilai seluruh siklus penyampaian informasi, memastikan bahwa informasi yang disampaikan melalui teknologi informasi memberikan manfaat pada strategi, terkonsentrasi pada pengoptimalan biaya dan nilai intrinsik teknologi informasi. Risk Management (Manajemen Risiko) Membutuhkan kesadaran risiko oleh karyawan senior di perusahaan, pemahaman yang jelas mengenai enterprise s appetite for risk, memahami kepatuhan persyaratan, adanya transparansi mengenai risiko yang signifikan di perusahaan dan menanamkan tanggung jawab terhadap risiko dalam sebuah organisasi. Resource Management (Pengelolaan Sumber Daya) Adalah tentang mengoptimalkan investasi, dan pengelolaan yang tepat pada sumber daya TI yang penting, yaitu: aplikasi, informasi, infrastruktur, dan manusia. Isu-isu penting yang berkaitan dengan optimalisasi pengetahuan dan infrastruktur.

5 5 Performance Measurement (Pengukuran Kinerja) Penelusuran dan pemantauan terhadap penerapan strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pengiriman jasa. Sebagai contoh, balanced scorecards menjelaskan strategi kedalam suatu tindakan untuk mencapai target yang terukur diluar akuntansi konvensional. COBIT (Control Objective for Information and Related Technology) adalah sebuah kerangka kerja yang digunakan dalam mengelola teknologi informasi. COBIT sendiri disusun oleh Information System Audit and Control Association (ISACA) dan The IT Governance Institute (ITGI). COBIT 5 yang merupakan integrasi dari COBIT 4.1 dengan Val IT 2.0 dan Risk IT menjadi sebuah kerangka kerja (COBIT 5), COBIT 5 juga menambahkan identifikasi terhadap kebutuhan stakeholders sebagai titik awal dalam proses pemetaan bisnis dengan TI. Sejak diterbitkannya COBIT 5, mulailah bermunculan produk-produk yang berhubungan dengan COBIT 5 seperti COBIT 5 for information security dan COBIT 5 assurance, dan sebagainya. COBIT bukan hanya memiliki fungsi dalam mengelola teknologi informasi saja, tetapi COBIT juga memiliki fungsi sebagai pengendalian investasi dan risiko pada lingkungan TI. COBIT framework digunakan sebagai panduan untuk melakukan pengendalian terhadap teknologi informasi agar dapat mengakomodir confidenciality, integrity, dan availability agar informasi menjadi berguna. COBIT 5 process reference model merupakan suksesor dari proses model COBIT 4.1, yang mana proses model Risk IT dan Val IT terintegrasi secara baik. Pada kerangka COBIT 5 ini, terdapat 37 proses tata kelola dan manajemen. 37 proses tersebut di kelompokkan kedalam 5 domain, berbeda pada COBIT 4.1 yang menggunakan 34 proses menjadi 4 domain. 5 domain tersebut terdiri dari: 1. Evaluate, Direct and Monitor (terdiri dari 5 proses) Sebagai tahap awal dari proses pengelolaan tata kelola teknologi yang menjelaskan pengaturan dan pemeliharaan kerangka kerja, memastikan manfaatnya sudah diterima, optimisasi risiko dan sumber daya serta transparansi kepada para pemangku kepentingan. 2. Align, Plan and Organise (terdiri dari 13 proses) Pada domain ini ada beberapa kategori yang harus di pertimbangkan seperti formluasi kebijakan TI, strategi TI, arsitektur perusahaan, inovasi teknologi, manajemen keuangan dan portofolio.

6 6 3. Build, Acquire and Implement (terdiri dari 10 proses) Pada domain ini hal-hal yang perlu diperhatikan seperti analisis bisnis, proyek manajemen, evaluasi, program, sistem, perangkat lunak, dan kapasitas manajemen. 4. Deliver, Service and Support (terdiri dari 6 proses) Sedangkan pada domain DSS ini mempertimbangkan hal-hal seperti ketersediaan manajemen, permasalahan manajemen, service desk dan peristiwaperistiwa berkaitan dengan manajemen, keamanan administrasi, operasi TI, administrasi database. 5. Monitor, Evaluate and Assess (terdiri dari 3 proses) Pada domain yang terakhir ada beberapa hal yang sebaiknya menjadi pertimbangan seperti pemenuhan pengujian, pemantauan kinerja, dan pengendalian audit. Metodologi Penelitian Metode yang digunakan dalam melakukan penelitian ini ialah metode penelitian kualitatif. Penelitian ini menggunakan data pimer dan data sekunder. Data primer diperoleh dari wawancara dengan narasumber dari bagian biro teknologi informasi BPK RI. Wawancara dilakukan dengan mempertimbangkan keahlian narasumber agar informasi yang didapat akurat dan dapat dipertanggungjawabkan sehingga dapat digunakan untuk mendukung proses penelitian ini. Sedangkan untuk data sekunder diperoleh dari dokumentasi yang dimiliki oleh BPK RI. Data sekunder juga didapat dari studi pustaka atas buku, jurnal maupun artikel internasional yang berkaitan dengan penelitian sebagai referensi Pada gambar disain penelitian dijelaskan beberapa tahap yang dilakukan dalam penelitian ini, yaitu: Tahapan 1: Identifikasi Stakeholder Drivers Pada tahap ini para pemangku kepentingan dipengaruhi oleh jumlah dari pengendalipengendalinya (yang dibutuhkan para pemangku kepentingan), seperti, perubahan strategi, perubahan dalam usaha bisnis dan peraturan daerah, dan perkembangan teknologi-teknologi yang baru. Tahapan 2: Identifikasi COBIT Enterprise Goals. Pada tahapan kedua ini kebutuhan pemangku kepentingan berhubungan dengan tujuan umum perusahaan. Kemudian dilakukan identifikasi tujuan BPK RI dan kemudian dilakukan maping dengan tujuan bisnis menurut COBIT 5.

7 7 Adapun gambaran dari desain penelitan yaitu: Identifikasi Stakeholder Drivers (Environment, Technology Evolution,...) Stakeholder Needs Benefits Realisation Risk Optimisation Resource Optimisation Identifikasi COBIT Enterprise Goals Identifikasi COBIT IT-Related Goals Identifikasi IT Process Mengukur Capability Level Tahapan 3: Identifikasi COBIT IT-Related Goals Pada tahapan ketiga, akan dilakukan analisa antara COBIT enterprise goals dengan COBIT IT-Related Goals. COBIT enterprise goals yang digunakan ialah dari hasil pemetaan tujuan bisnis BPK dengan tujuan bisnis menurut COBIT 5 yang dilakukan pada tahapan sebelumnya. Tahapan 4: Identifikasi IT-Process Pada tahapan ini, berdasarkan setiap mapping IT-Related Goals akan menghasilkan ITprocesses berdasarkan COBIT 5. Dari masing-masing IT-Process berfungsi sebagai proses dalam pengukuran tingkat kapabilitas pada penilaian tata kelola teknologi informasi. Tahapan 5: Mengukur Tingkat Kapabilitas Menurut ISACA (Process Assessment Model (PAM): Using COBIT 5), terdapat enam tingkatan dalam penilaian kapabilitas proses. Dalam setiap penilaian di masing-masing tingkatan diklasifikasikan kedalam 4 kategori sebagai bentuk dari pencapaian suatu tingkat

8 8 kapabilitas. ISACA juga menjelaskan bahwa pemenuhan dalam suatu capability level agar bisa melanjutkan ke level berikutnya harus mencapai kategori largely achieved (L) atau fully achieved (F). Rating Levels N Not achieved 0 to 15% achievement P Partially achieved > 15% to 50% achievement L Largely achieved > 50% to 85% achievement F Fully achieved > 85% to 100% achievement Menurut ISACA (Process Assessment Model: Using COBIT 5), dalam melakukan penilaian capability mature model terbagi menjadi enam tingkatan yang dijelaskan sebagai berikut: 1. Level 0 Incomplete Process Pada tingkatan pertama, proses tidak diterapkan atau gagal dalam mencapai tujuan dari prosesnya. Dan hanya sedikit atau tidak bukti dari setiap pencapaian sistematis atas tujuan dari proses. 2. Level 1 Performed Process Pada tingkatan ini proses yang diterapkan mencapai tujuan dari prosesnya. Atribut proses pada tingkatan pertama adalah: PA 1.1 Process Performance Dalam hal ini dimaksudkan mengenai sudah sejauh mana tujuan dari suatu proses tersebut berhasil dicapai. 3. Level 2 Managed Process Pada tingkatan ini proses yang sedang diterapkan mencakupi perencanaan, pengawasan, dan penyesuaian. Serta produk pekerjaannya telah ditetapkan, dikendalikan, dan di pelihara secara tepat. Atribut proses pada tingkatan kedua adalah: PA 2.1 Performance Management Dalam hal ini dimaksudkan untuk mengukur sudah sejauh mana proses dalam pekerjaan telah di kelola. PA 2.2 Work Product Management Hal ini berfungsi untuk mengukur sudah sejauh mana hasil pekerjaan yang diperoleh dari proses yang telah dikelola.

9 9 4. Level 3 Established Process Pada tingkatan ini proses yang sudah dibuat kemudian diterapkan dengan menggunakan proses yang didefinisikan mampu mencapai hasil dari prosesnya. Atribut proses pada tingkatan ketiga adalah: PA 3.1 Process Definition Hal ini mengukur sudah sejauh mana standar proses diterapkan dalam mendukung pengerjaan dari proses yang telah ditentukan. PA 3.2 Process Deployment Hal ini berfungsi mengukur sudah sejauh mana standar proses dijalankan secara efektif pada proses yang telah dijelaskan untuk mencapai hasil pada proses tersebut. 5. Level 4 Predictable Process Pada tingkatan ini proses yang telah didirikan beroperasi pada batasan yang telah ditentukan untuk mencapai hasil dari prosesnya. Atribut proses pada tingkatan keempat adalah: PA 4.1 Process Measurement Hal ini menjelaskan mengenai sudah sejauh mana hasil dari pengukuran digunakan untuk meyakinkan bahwa performa dapat mendukung dalam mencapai tujuan dari proses serta tujuan perusahaan PA 4.2 Process Control Hal ini menjelaskan mengenai sudah sejauh mana suatu proses dalam pengelolaan kuantitatif dapat memberikan hasil yang stabil, kompeten, dan bisa diukur dalam batasan yang telah ditentukan. 6. Level 5 Optimising Process Pada tingkatan ini proses diprediksi terus melakukan peningkatan untuk memenuhi tujuan bisnis saat ini yang relevan dengan tujuan proyek. Atribut proses pada tingkatan kelima adalah: PA 5.1 Process Innovation Hal ini menjelaskan pengukuran dari perubahan suatu proses berdasarkan terdapatnya perbedaan pada performa, dan dari investigasi dengan pendekatan inovatif dalam menjelaskan serta menerapkan proses tersebut. PA 5.2 Process Optimisation Hal ini menjelaskan mengenai pengukuran atas definisi, manajemen, dan proses pekerjaan agar bisa mendukung pencapaian tujuan proses optimisasi secara efektif.

10 10 Hasil Penelitian Berdasarkan hasil penilaian yang dilakukan pada 37 proses COBIT, maka didapatlah pencapaian level seluruh proses COBIT BPK RI. Maka dapat dilihat rata-rata proses COBIT 5 dalam BPK RI mendominasi pada level 2, seperti gambar dibawah ini: 25 Tingkat Pencapaian level 0 level 1 level 2 level 3 level 4 level 5 0 level 0 level 1 level 2 level 3 level 4 level 5 Berdasarkan dari gambar diatas, dapat dilihat seberapa banyak proses COBIT 5 pada setiap levelnya, yaitu: Level 0 terdapat 1 proses Level 1 terdapat 3 proses Level 2 terdapat 22 proses Level 3 terdapat 11 proses Tidak adanya proses pada level 4 dan level 5. Pembahasan Dalam melakukan penilaian kapabilitas untuk mengetahui proses apa saja yang akan di nilai tingkat kapabilitasnya, maka BPK menjelaskan tujuannya ke dalam sasaran strategis yang kemudian di kelompokkan kedalam empat dimensi balance scorecard sebagai berikut: Dimensi pertama yaitu dimensi financial yang mana terdapat sasaran strategis BPK RI nomor 1 dan nomor 10 tentang pemenuhan harapan pemangku kepentingan dan pemanfaatan anggaran. Dimensi yang kedua yaitu dimensi customer yang mana terdapat sasaran strategis BPK RI nomor 7 tentang peningkatan mutu kelembagaan dan ketatalaksanaan.

11 11 Dimensi yang ketiga yaitu dimensi internal yang mana terdapat sasaran strategis BPK RI nomor 2,3,4,5,67, dan nomor 9 mengenai fungsi proses bisnis, perubahan program bisnis, operasional dan produktifitas karyawan, serta pemenuhan terhadap peraturan internal. Dimensi yang keempat yaitu dimensi learning and growth yang mana terdapat sasaran strategis BPK RI nomor 3 dan 8 tentang keahlian dan motivasi orang-orang serta budaya untuk berinovasi. Untuk hasil yang lebih jelas, maka hasil pemetaan sasaran strategis BPK RI terhadap COBIT 5 enterprise goals dibuat dalam bentuk tabel sebagai berikut: No. Enterprise goals BSC Tujuan dan Sasaran bisnis BPK RI COBIT Dimension 4. Compliance with external laws and 1. Meningkatkan efektivitas tindak lanjut hasil pemeriksaan dan regulations memenuhi harapan pemangku kepentingan. Financial 5. Financial Transparency 10. Meningkatkan Pemanfaatan anggaran. 6. Customer-Oriented 7. Meningkatkan mutu service culture kelembagaan dan ketatalaksanaan. Customer 11. Optimisation of business process functionality 2. Meningkatkan fungsi manajemen pemeriksaan. 4. Meningkatkan percepatan penetapan tuntutan perbendaharaan dan pemantauan penyelesaian ganti kerugian negara. Internal 7. Meningkatkan mutu kelembagaan dan ketatalaksanaan. 9. Meningkatkan pemenuhan standar dan mutu sarana dan prasarana.

12 12 No. Enterprise goals COBIT 13. Managed business change programmes 14. Operational and staff productivity 15. Compliance with internal policies 16. Skilled and motivated people 17. Product and business innovation culture Tujuan dan Sasaran bisnis BPK RI 3. Meningkatkan mutu pemberian pendapat dan pertimbangan 2. Meningkatkan fungsi manajemen pemeriksaan. 3. Meningkatkan mutu pemberian pendapat dan pertimbangan 4. Meningkatkan percepatan penetapan tuntutan perbendaharaan dan pemantauan penyelesaian ganti kerugian negara. 5. Meningkatkan efektivitas penerapan sistem pemerolehan keyakinan mutu. 6. Pemenuhan dan harmonisasi peraturan di bidang pemeriksaan keuangan negara. 9. Meningkatkan pemenuhan standar dan mutu sarana dan prasarana. 3. Meningkatkan mutu pemberian pendapat dan pertimbangan. 8. Meningkatkan kompetensi SDM dan dukungan manajemen. 3. Meningkatkan mutu pemberian pendapat dan pertimbangan. BSC Dimension Internal Learning and Growth

13 13 Setelah diketahui tujuan perusahaan menurut COBIT 5 yang sesuai dengan sasaran strategis BPK RI, kemudian tujuan tersebut dilakukan pemetaan terhadap IT-Related goals menurut COBIT 5. Dari hasil pemetaan tersebut dapat diketahui tujuan TI apa saja yang dapat mendukung tujuan dan sasaran bisnis organisasi. Berikut tabel hasil pemetaannya: Enterprise Goals IT-related Goals Compliance with Financial 4. external laws and regulations Financial transparency 6 Customer Customer-oreinted service culture 1 7 Optimisation of business process functionality Internal 13. Managed business change programmes Internal Operational and staff productivity 8 16 Compliance with internal policies Learning and Growth Skilled and motivated people 16 Product and business innovation culture 9 17

14 14 Kemudian pada tahapan selanjutnya akan diambil beberapa IT-Process yang relevan dengan hasil identifikasi IT-related Goals to IT-Processes, yang mana hasilnya akan digunakan dalam mengukur tingkat kapabilitas dan sebagai standar tata kelola teknologi yang baik menurut COBIT 5 pada setiap proses TI nya.. IT process IT domain EDM01, EDM02, EDM03, EDM04, EDM05 Evaluate, Direct and Monitor APO01, APO02, APO03, APO04, APO05, APO06, APO07, APO08, APO09, APO10, APO11, APO12, APO13 Align, Plan, and Organise BAI01, BAI02, BAI03, BAI04, BAI05, BAI06, BAI07, BAI08, BAI09, BAI10 Build, Acquaire and Implement DSS01, DSS02, DSS03, DSS04, DSS05, DSS06 Deliver, Service and Support MEA01, MEA02, MEA03 Monitor, Evaluate and Assess Untuk mengetahui tingkat kapabilitas biro TI BPK secara keseluruhan, maka perlu dilakukan perhitungan nilai rata-rata dari keseluruhan proses COBIT 5 BPK yaitu: Tingkat Kapabilitas = ( ) ( ) ( ) ( ) ( ) ( ) Tingkat Kapabilitas = 2,162 Maka dapat ditarik kesimpulan bahwa tingkat kapabilitas biro TI BPK saat ini berada pada level 2,162. Pencapaian ini dianggap masih rendah karena: BPK sebagai lembaga pemeriksa keuangan yang menawarkan jasa dalam melakukan penilaian keyakinan terhadap kondisi keuangan pemerintah, sehingga TI hanya sebagai pendukung saja bukan penggerak utama bisnis.

15 15 BPK dalam hal melakukan pemeriksaan keuangan pemerintahan, mendominasi atau memonopoli pasarnya, karena hanya BPK lah lembaga pemeriksaan keuangan terhadap pemerintahan. Hal tersebut membuat BPK terlambat dalam mengembangkan bisnis dalam lingkungan yang tidak kompetitif, kurangnya paksaan untuk berkembang. Kemudian mencoba melihat institusi sejenis yang melakukan audit terhadap pemerintahan pada negara lain, yaitu: Australian National Audit Office pada tahun 2009 diukur oleh KPMG menggunakan COBIT 4.1 dan mendapatkan niali 3 (defined process) pada perencanaan strategi Information Communication Technology (ICT), dan mendapatkan nilai 4 (managed and measurable) pada pengukuran tingkat kematangan. Berdasarkan dokumen-dokumen yang dicantumkan oleh Supreme Audit Institution of India mengenai penilaian sistem informasi pada Indian Audit and Accounts Department, bahwa dokumen telah didokumentasikan dan sedang tahap implementasi, yang mana dapat dikategorikan saat ini IAAD berada pada level 3 berdasarkan asumsi penulis dengan mempertimbangkan bukti-bukti yang di dapatkan penulis dari situs resmi IAAD. Sementara BPK sendiri masih berada pada level 2,162 yang mana masih tertinggal jauh dari India dan Australia. Sehingga BPK harus memberikan output terhadap proses yang belum dimunculkan pada level 1, dan kemudian membuat POS demi tercapainya level 3 sesuai dengan level rata-rata badan audit pemerintahan setiap negara. Kesimpulan Berdasarkan hasil analisis dan evaluasi tata kelola TI pada BPK, maka dapat ditarik kesimpulan bahwa: 1. Dari hasil analisis dan evaluasi dengan melakukan penilaian pada COBIT 5 menunjukkan biro TI BPK saat ini berada pada level 2 (managed process), dengan niali 2,162. Yang mana rinciannya adalah terdapat 1 proses pada level 0, 3 proses pada level 1, 22 proses pada level 2, 11 proses pada level 3, dan tidak adanya proses yang mencapai level 4 dan level 5. Dengan berada pada level 2, yang mana artinya performa proses telah dikelola yang mencakupi perencenaan, pengawasan, dan penyesuaian. Work product-nya telah dijalankan, dikontrol, dikelola dengan tepat.

16 16 2. Apabila melihat standar akan batas nilai yang diperoleh oleh badan audit luar negeri yang menunjukkan, bahwa seharusnya BPK dapat mencapai level 3 pada tata kelola TI. Walaupun TI berperan sebagai pendukung, bukan sebagai peran utama. Tetapi dengan meningkatnya tata kelola TI, dapat meningkatkan pengendalian internal dan mempermudah auditor menjalankan pekerjaannya. BPK yang memonopoli pasarnya, dan nyaris tidak memiliki saingan membuatnya sulit untuk berkembang yang disebabkan juga oleh lingkungan bisnis yang tidak kompetitif. Saran Setelah melakukan penilitan dan evaluasi pada proses COBIT, maka didapat saransaran yang bisa menjadi pertimbangan bagi penelitian selanjutnya dan juga biro TI dalam mengelola teknologi informasi, yaitu: 1. BPK RI terutama biro TI seharusnya memberikan perhatian lebih dalam penanganan dan pengelolaan risiko, sehingga dapat mengurangi risiko yang terjadi dan melakukan pengendalian terhadap risiko. 2. Dalam hal ini, apabila BPK berfokus hanya pada pencapaian level 3 agar setingkat dengan badan audit pemerintahan luar negeri, maka BPK disarankan membuat POS pada setiap prosesnya. Dalam mencapai tujuan kedua biro TI yaitu mewujudkan tata kelola TI BPK yang komprehensif dan efektif, biro TI akan lebih baik menambahkan tingkat kapabilitas dengan skor minimal 3 pada indikator kinerja utama tujuan tersebut. Hal ini dimaksudkan agar penerapan tata kelola TI BPK telah mengikuti standar internasional, yaitu COBIT 5.

17 17 DAFTAR REFERENSI Alvin., Soekamto, Wongso., Harsono, Riny (2013). Analisis dan Evaluasi Tata Kelola IT Pada PT FIF Dengan Standar COBIT 5. Skripsi Universitas Bina Nusantara. Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra Wacana Media. ISACA. (2012). COBIT 5 A Business Framework for the Governance and Management of Enterprise IT. USA: ISACA. ISACA (2010). IT Standards, Guidelines, Tools and Techniques for Audit and Assurance and Control Professionals. ISACA ISACA (2013). Process Assessment Model (PAM): Using Cobit 5 ISACA. (2012). COBIT 5 Enabling Processes. USA: ISACA. ISACA. (2012). COBIT 5 Implementation. USA: ISACA. IT Governance Institute, (2003), Board Briefing on IT Governance, Illinoise, USA. Kessinger, Kristen. (2012). ISACA Issues COBIT 5 Governance Framework. Targeted News Service,, 1. Metode Penelitian Kualitatif: Teorri & Praktik, Imam Gunawan (2013), bumi aksara Jakarta. Oltsik, Jon (2003). Information Security Management: Analysis and Recommendations. English. Hype-free Consulting Ramadhani, Dwiani (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT framework 4,1 (studi Kasus pada PT Indonesia Power). Tesis fakultas Ekonomi Universitas Indonesia. Rizki Kesumawardhani, Dwi (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi Kasus di PT Timah (Persero) Tbk). Skripsi Fakultas Ekonomi universitas Indonesia. Syafei, Henderi. (2008). IT Governance Support for Good Governance. Banten: IlmuTI.com. Sucahyo, Yudo Giri dan Fitrianah, Devi (2007). Audit Sistem Informasi dengan kerangka Kerja COBIT untuk Evaluasi Manajemen TI di Universitas XYZ Jurnal sistem Informas MTI-UI. Weill, Peter. & Ross Jeanne W., (2004). IT Governance How To Performers Manage IT Decision Rights for Superior Results. Harvard Business School Press, Boston. Weber, Ron (2000). Information system controls and audit. New Jersey. Prentice Hall, Inc.