Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk dengan Menggunakan Cobit Framework

Transkripsi

1 Teddy Iskandar, Irman Hermadi Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk dengan Menggunakan Cobit Framework JAM 12, 4 Diterima, September 2014 Direvisi, Oktober 2014 Disetujui, Desember 2014 Teddy Iskandar Sekolah Pascasarjana Institut Pertanian Bogor Irman Hermadi Institut Pertanian Bogor Abstract: The finance Industry develops rapidly, both Banking and Non Banking Institutions, that later this fact will bring out the competition which is getting tighter. The development is not implied not only by variety of products and finance service, but also in monetary deregulation business competency, more sophisticated finance service preferention, and Information Technology (IT) development. Based on those, IT roles, especially in Information System (IS),. As a result, the role of Information system becomes important things in supporting the banking s business and operation. It is also becoming dominant factor in winning the business competition and one way to measure IS by auditing to IS itself. IS audit that had been doing in this research was to audit IS planning and implementations process in PT. Bank XYZ, Tbk (Bank XYZ), by determining Critical Success Factor(), Key Gol Indicator (), Key Performance Indicator () and measuring Maturity Level by likert scale using Maturity Model in Cobit Framework. From this research, it could be concluded that all IS planning and implementations process in Bank XYZ have been conducted by right regulations as Cobit Framework and Maturity Level is placed between Level 2-Repeatable and Level 3-Defined. Keywords:, COBIT, Maturity Level, Maturity Model,, Jurnal Aplikasi Manajemen (JAM) Vol 12 No 4, 2014 Terindeks dalam Google Scholar Alamat Korespondensi: Teddy Iskandar, Sekolah Pascasarjana Manajemen Bisnis Institut Pertanian Bogor, teddyiskandar09@ gmail.com Abstrak: Perkembangan pesat industri keuangan, baik lembaga perbankan dan non perbankan dewasa ini dapat dirasakan membawa implikasi persaingan yang semakin ketat. Perkembangan tersebut tidak hanya diwarnai dengan gelaran produk dan jasa keuangan yang variatif, tetapi juga dengan adanya deregulasi di bidang moneter, kompetensi bisnis, preferensi jasa keuangan yang semakin canggih dan perkembangan Teknologi Informasi (TI). Sehubungan dengan hal tersebut peranan TI khususnya di bidang Sistem Informasi (SI) menjadi hal yang penting dalam mendukung bisnis dan operasional perbankan itu sendiri, serta menjadi faktor dominan dalam memenangkan persaingan usaha dan salah satu cara untuk menilai dan mengukur SI adalah dengan melakukan audit terhadap SI tersebut. Audit SI yang dilakukan dalam penelitian ini adalah mengaudit proses perencanaan dan implementasi SI di PT. Bank XYZ, Tbk (Bank XYZ) dengan cara menentukan Critical Success Factor (), Key Gol Indicator (), Key Performance Indicator () dan melakukan pengukuran Maturity Level dengan Skala Likert menggunakan Maturity Model yang ada di COBIT Framework. Dari hasil penelitian ini dapat disimpulkan bahwa secara keseluruhan proses perencanaan dan implementasi SI di Bank XYZ sudah mengikuti kaidah-kaidah yang baik dan benar sesuai dengan COBIT framework dan Maturity Level-nya berada diantara level: 2 - Repeatable dan level: 3 - Defined. Kata Kunci:, COBIT Framework, Maturity Level, Maturity Model,, 572 JURNAL APLIKASI Nama Orang MANAJEMEN VOLUME NOMOR 4 DESEMBER 2014

2 Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk Penggunaan SI di perusahaan yang bergerak dibidang bisnis semakin meningkat. SI telah menjadi nyawa bagi setiap perusahaan, tidak terkecuali perusahan yang bergerak di bisnis perbankan seperti PT. Bank XYZ, Tbk (Bank XYZ). Bahkan dalam beberapa tahun terakhir ini SI banyak digunakan tidak hanya terbatas pada proses operasional tetapi juga sudah digunakan di dalam proses bisnis, penentuan strategi bisnis dan pengambilan keputusan eksekutif. Penerapan SI dapat bermanfaat secara maksimal, jika proses perencanaan dan implementasinya sesuai dengan tujuan, visi, misi perusahaan, serta diterjemahkan ke dalam strategi bisnis dan strategi SI. Selain itu keselarasan antara strategi SI terhadap strategi bisnis dapat memberikan nilai tambah berupa competitiveadvantage dalam persaingan bisnis dan karena hal tersebut maka proses perencanaan dan implementasi SI menjadi hal yang penting serta harus dipastikan sesuai dengan strategis bisnis perusahaan, mengikuti kaidah-kaidah yang baik dan benar. Sebagai pihak regulator perbankan, Bank Indonesia (BI) melalui Surat Edaran No.9/30/DPNP tanggal 12 Desember 2007 di pasal 15 17juga menuntutpihak Bank untuk melaksanakan fungsi audit SI dan hal tersebut mendorong munculnya kebutuhan untuk melakukan audit SI di perbankan. Selain itu menurut Surendro (2005) untuk mengukur seberapa jauh keselarasan antara proses bisnis, aplikasi, dan strategi bisnis perusahaan maka audit SI menjadi hal yang perlu dilakukan. Bank XYZ sebagai salah satu industri perbankan di Indonesia dituntut untuk dapat menyusun strategi bisnis yang memperhatikan kekuatan dan kelemahan yang dimilikinya dalam mencapai keunggulan kompetitif, serta melakukan audit SI secara berkala. Untuk memenuhi PBI No.9/30/DPNP danit Strategic Plan (ITSP) tahun , Bank XYZ telah melakukan audit SI yang dilakukan oleh pihak auditor internal dan pihak auditor eksternal secara berkala, dan hasil audit SI tersebut dilaporkan ke BI dalam laporan semesteran. Selain itu O Brien dan Marakas (2009) menyatakan bahwa masalah yang umum ditemukan pada proses perencanaan SI adalah kurangnya keterlibatan pihak manajemen dan user dalam proses perencanaan, mengabaikan visi dan misi dari perusahaan, kurang memahami kondisi lingkungan dan internal perusahaan, hanya bergantung pada permintaan sebagian user saja dan tidak memandang kemajuan dari Teknologi Informasi (TI) itu sendiri. Sedangkan masalah yang umum ditemukan pada proses implementasi SI adalah kualitas sistem yang kurang baik, kurangnya komitmen dari pihak manajemen dalam proses implementasi, dan adanya penolakan dari user terhadap pengembangan dan perubahan SI. Sehubungan dengan peran SI yang sangat penting diperusahaan, adanya perubahan-perubahan yang terkait dengan lingkungan operasi SI, dan ditambah adanya permasalahan diatas, maka hal ini mendorong munculnya kebutuhan untuk melakukan audit dan kontrol terhadap segala hal yang berkaitan dengan SI. Bedasarkan kenyataan dan kondisi tersebut di atas, penelitian ini mencoba untuk melakukan audit pada proses perencanaan dan implementasi SI Bank XYZ dengan cara menentukan Critical Success Factor (), Key Gol Indicator (), Key Performance Indicator (), melakukan pengukuran maturity level dan memberikan rekomendasi kepada pihak manajemen untuk perbaikan dan peningkatan maturity level SI Bank XYZdengan menggunakan COBIT framework. Pilihan menggunakan COBIT (Control Objectives for Information and related Technology) sebagai framework dalam penelitian ini bedasarkan analisis dan penelitian-penelitian audit SI sebelumnya yang telah dilakukan, di mana Fitianahdan Sucahyo (2010) telah melakukan benchmarking antara kerangka kerja (framework) audit SI yang ada di Queensland Audit Office, Champlain (1998) dan kemudian semua kerangka audit SI tersebut dipetakan sehingga didapat sebuah kesimpulan bahwa COBIT adalah framework audit SI yang paling lengkap. Selain itu menurut penelitian yang telah dilakukan oleh Syukhri (2003) menyatakan bahwa COBIT framework bersifat universal sehingga dapat diaplikasikan pada semua jenis organisasi. METODE Ruang lingkup dalam penelitian ini adalah melakukan analisis danauditpada domain/proses perencanaan (Planning and Organisation-PO) dan implementasi (Acquisition and Implementations-AI) SI Bank XYZ dalam hal ini Aplikasi Neraca Direktorat/NDIR dengan cara menentukan,, dan mengukur TERAKREDITASI SK DIRJEN DIKTI NO. 66b/DIKTI/KEP/2011 ISSN:

3 Teddy Iskandar, Irman Hermadi maturity level (skala likert) menggunakan maturity model yang ada di COBIT framework dengan membuat dan menggunakan kuesioner, melakukan wawancara, observasi dan studi pustaka. Penelitian ini dilakukan di kantor pusat Bank XYZ selama dua bulandan menggunakan dua jenis data yaitu data primer dan data sekunder. Data primer diperoleh dari wawancara, observasi dan pengisian kuesioner yang dilakukan oleh responden internal atau karyawan Bank XYZ yang dipilih secara purposive sampling (sengaja), di mana responden yang dipilih berjumlah dua puluh orang dari level staf sampai dengan manajemen yang merupakan representative manajemen, mempunyai wewenang, keahlian/ kompetensi dan menggunakan/sebagai user dari SI NDIR. Sedangkan data sekunder diperoleh dengan cara mengumpulkan data dan informasi yang terkait dengan bidang penelitian ini baik dari media cetak, website, jurnal, tesis, disertasi, dokumen internal perusahaan dan studi pustaka. Metode pengumpulan data dan informasi di dalam penelitian ini dilakukan dengan: (1) Melakukan Informal Brainstorming Group Sessionyang dilakukan secara lansung pada salah satu responden yang bertujuan untuk menetukan masing-masing proses dan control objective dari proses perencanaan dan implementasi SI, serta menentukan, dan. (2) Membuat dan menggunakan kuesioner yang dikembangkan berdasarkan model kematangan COBIT 4.1 dan dikaitkan dengan control objective sertaatribut kematangan yang mempengaruhinya dan disebarkan ke responden. (3) Melakukan wawancara yang dilakukan secara lansung ke responden. (4) Melakukan observasi yang dilakukan secara langsung pada objek yang diteliti dengan mengadakan pengamatan dan pencatatan terhadap data dan informasi yang diperlukan serta berhubungan dengan proses perencanaan dan implementasi SIBank XYZ. (5) Melakukan studi pustaka yang diperoleh dengan membaca, mempelajari, dan mengutip dari berbagai sumber seperti buku, tesis, disertasi, jurnal, dan dokumen internal maupun ekternal yang berkaitan dengan penelitian ini. Metode analisa data yang dilakukan dalam penelitian ini dilakukan dengan mengunakan analisis deskriptif menggunakan maturity model yang ada di COBIT framework. Pada dasarnya dalam metodologi audit/assurance, metodologi pengumpulan data dan informasi yang dilakukan adalah meliputi:(1) Penelaahan dokumentasi Corporate Plan, Program Kerja, Annual Report, ITSP, Kebijakan, Prosedur dan Standar Teknik maupun Non-Teknis yang menjadi dasar pada proses pengembangan dan implementasi SI di Bank XYZ. (2) Informal Brainstorming Group Session, kuesioner, wawancara dengan responden karyawan Bank XYZ. Langkah-langkah yang dilakukan dalam pelaksanaan audit SI adalah sebagai berikut: (1) Menentukan ruang lingkup dan tujuan dari audit SI, (2) Membuat kerangka audit SI, (3) Menentukan control objectives,,, sesuai dengan ruang lingkup dalam penelitian ini (4) Melakukan audit SI sesuai COBIT framework dengan melakukan pengumpulan data dan informasi dari responden melalui kuesioner, wawancara dan observasi lansung. Dalam pembuatan kuesioner, menggunakan deskripsi dari maturity level yang ada/tertera di maturity model COBIT dan tujuan dari kuesioner ini dibuat adalah untuk mendapatkan informasi terkait dengan kondisi perusahaan yang tengah diperiksa dengan berbagai skenario yang menggambarkan setiap maturity level. Sedangkan setiap deskripsi kuesioner tingkat maturity level adalah pernyataan yang dapat bernilai sangat tidak baik, tidak baik, cukup baik, baik, atau sangat baik dan dapat dilihat sebagai suatu pernyataan yang berdiri sendiri. (5) Dari penentuan control objectives di atas, maka dibuatkan kuesioner untuk disebarkan kepada seluruh responden dengan perincian pertanyaan sebagai berikut: (a) PO1: Define a strategic IT plan (Menentukan Perencanaan Strategi TI) terdiri dari 8 pertanyaan, (b) PO2: Define the information architecture (Menentukan Arsitektur Informasi), terdiri dari 7 pertanyaan, (c) PO3: Determine technological direction (Menentukan Arahan Teknologi) terdiri dari 7 pertanyaan, (d) PO6: Communicate management aims and direction (Mengkomunikasikan Tujuan dan Arah Manajemen) terdiri dari 8 pertanyaan, (e) PO7: Manage quality human resource (Mengelola SDM TI)terdiri dari 13 pertanyaan, (f) PO9: Asses and manage IT risks (Menjamin dan Mengelola Resiko-resiko TI) terdiri dari 10 pertanyaan, (g) AI2: Acquire and maintain application software (Memperoleh dan Memelihara Aplikasi Perangkat Lunak) terdiri dari 12 pertanyaan, (h) AI3: Acquire and maintain technology infrastructure (Memperoleh dan 574 JURNAL APLIKASI Nama Orang MANAJEMEN VOLUME 12 NOMOR 4 DESEMBER 2014

4 Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk Memelihara Teknologi Infrastruktur) terdiri dari 10 pertanyaan, (i) AI6: Manage changes (Mengatur Perubahan) terdiri dari 7 pertanyaan dan (j) AI7: Install and accredit solutions and changes (Memasang dan Mengakreditasi Solusi dan Perubahan), terdiri dari 12 pertanyaan. (6) Dari hasil pengisian kuesioner, wawancara dan observasi diatas menghasilkan nilai pencapaian terhadap standar dan dapat dihitung untuk setiap maturity level dengan cara mengumpulkan seluruh jawaban dari responden dan dijumlahkan nilai pencapaian tersebut dari setiap pernyataan. Penilai menggunakan indeks hasil dengan rumus: (Soal) INDEKS = (Jawaban) Data yang terkumpul dari point 6 di atas kemudian di analisismenggunakan panduan yang ada dalam melakukan sebuah analisa I Tassurance guide dan maturity model dengan skala likert meliputi detailed control objective yang disesuaikan dengan keadaan dari Bank XYZ (berdasar pada high level control objective), dimana modelini dapat mengukur maturity level dari level pengembangan manajemen proses. Seberapa bagusnya pengembangan dan implementasi atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT. Menurut IT Governance Institute, tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi enam tingkatan, mulai dari level 0 (non-existent), level 1 (initial), level 2 (repeatable), level 3 (defined), level 4 (managed) dan level 5 (optimized). Model yang digunakan untuk mengevaluasi/mengaudit berbentuk kuesioner yang berasal dari maturity model COBIT serta bergantung pada konsep skenario, di mana setiap maturity level dianggap sebagai skenario. Pederiva (2003) mengemukakan bahwa skenario maturity level mencakup deskripsi dari organisasi dan pengontrolan internal perusahaan yang memenuhi persyaratan maturity level tertentu. Setelah proses analisis dari hasil audit SI selesai, maka tahap berikutnya adalah mendokumentasikan temuantemuan hasil audit SI dan membuat suatu kesimpulan serta rekomendasi dan solusi terhadap hasil audit SI. HASIL DAN PEMBAHASAN Sesuai dengan ruang lingkup penelitian, maka audit SI Bank XYZ dilakukan terhadap proses perencanaan dan implementasi. Sedangkan untuk penentuan control objective ditentukan bedasarkan hasil dari Informal Brainstorming Group Sessiondan kebutuhan dari proses bisnis SI Bank XYZ. Domain/ proses dan control objectives SI Bank XYZ terdapat pada Tabel 1. Sesuai dengan rumusan masalah, tujuan dan ruang lingkup penelitian ini, maka, dan pada proses perencanaan dan implementasi SI di Bank XYZ, adalah sebagai berikut: (1) Pada proses perencanan membahas mengenai strategi, taktik, dan pengidentifikasian dari SI yang bertujuan mendukung untuk mencapai tujuan dari bisnis. Realisasi dari visi dan strategi SI perlu direncanakan, dikomunikasikan dan diatur, serta melihat dari berbagai macam perspektif, seperti dari segi organisasi, segi infrastruktur teknologi, dan sebagainya, dengan perincian sebagai berikut: (a) menentukan perencanaan strategi TI (PO1) yang bertujuan untuk mencapai keseimbangan optimalisasi antara kebutuhan TI dan pencapaian dari tujuan dan kebutuhan rencana jangka panjang, dengan mentranslasikan secara periodik menjadi rencana operasional dan menetapkan tujuan jangka pendek Tabel 1. Domain/Proses dan Control Objectives SI Bank XYZ Domain/ proses Control Objectives Perencanaan SI 1. PO1: Menentukan perencanaan strategi TI 2. PO2: Menentukan arsitektur informasi 3. PO3: Menentukan arah teknologi 4.PO6: Mengkomunikasikan tujuan dan arah manajemen 5. PO7: Mengelola SDM TI 6. PO9: Menjamin dan mengelola risiko-risiko TI Implementasi SI 1. AI2: Memperoleh dan memelihara aplikasi perangkat lunak 2.AI3: Memperoleh dan memelihara teknologi infrastruktur 3. AI6: Mengatur perubahan 4.AI7: Memasang dan mengakreditasi solusi dan perubahan TERAKREDITASI SK DIRJEN DIKTI NO. 66b/DIKTI/KEP/2011 ISSN:

5 Teddy Iskandar, Irman Hermadi yang jelas serta kongkrit., dan untuk proses ini dapat dilihat pada Tabel 2, (b) menentukan arsitektur informasi (PO2) yang bertujuan untuk melakukan optimasi SI dengan membuat model SI dan menjamin SI dapat memberikan optimalisasi pemanfaatan dan kegunaan dari informasi bagi perusahaan., dan untuk proses ini dapat dilihat pada Tabel 3, (c) penentuan arah teknologi (PO3) yang mengambil keuntungan dari teknologi yang sedang berkembang, sehingga dapat diterapkan pada strategi bisnis dengan membangun dan memelihara rencana infrastruktur teknologi yang mampu merealisasikan kemampuan teknologi dalam mendukung teknologi itu sendiri., dan untuk proses ini dapat dilihat pada Tabel 4, (d) mengkomunikasikan tujuan dan arah manajemen (PO6) untuk memastikan kesadaran dan pemahaman pemakai terhadap SI dengan mengkomunikasikan kebijakan dan prosedur kepada seluruh karyawan., dan untuk proses ini dapat dilihat pada Tabel 5, (e) mengelola SDM TI (PO7) untuk memperoleh dan merawat tenaga kerja yang termotivasi dan cakap serta memaksimalkan kontribusi SDM untuk proses SI, dan untuk proses ini dapat dilihat pada Tabel 6, (f) menjamin dan mengelola resiko-risiko TI (PO9) untuk mendukung keputusan manajemen melalui pencapaian tujuan SI dan merespon ancaman dengan mereduksi kompleksitas, melakukan analisis dan indentifikasi resiko SI., dan untuk proses ini dapat dilihat pada Tabel 7. (2) Pada proses implementasi solusi TI perlu diidentifikasi, dikembangkan, diimplementasian, dan diintegrasikan ke dalam proses bisnis. Proses ini mencakup perubahan dan pemeliharaan terhadap SI, dengan perincian sebagai berikut (a) memperoleh dan memelihara aplikasi perangkat lunak (AI2) untuk menyediakan fungsi terautomasi yang mendukung proses bisnis secara efektif dengan mendefinisikan kebutuhan operasional terhadap SI., dan dan untuk proses ini dapat dilihat pada Tabel 8, (b) memperoleh dan Memelihara Infrastruktur (AI3) teknologi untuk menyediakan platform teknologi dalam mendukung SI dengan memperolah perangkat keras yang sesuai serta pengujian kinerja perangkat Tabel 2., dan Menentukan Perencanaan Strategi TI 1) Melakukan dokumentasi dari perencanaan strategi TI. 2) Rencana strategi TI mempert imbangkan resiko yang akan timbul. 3) Rencana strategi TI telah dipetakan sesuai dengan kebutuhan Bank XYZ 1) Pihak Manajemen mengerti dan memahami tujuan dari strategi SI yang terkait dengan tujuan dari Bank XYZ. 2) Perencanaan TI mencakup sebagian besar Divisi dan user di Bank XYZ. 3) Dialokasikannya anggaran terhadap TI oleh pihak Manajemen. 1) Perencanaan TI dibagi menjadi perencanaan strategi TI dan perencanaan operasional TI. 2) User ikut serta dalam perencanaan strategi TI Tabel 3., dan menetukan arsitektur informasi 1) Data ownership dialokasikan dan disetujui. 2) Fungsi data administrator SI telah ditetapkan dengan mengikuti standar. 3) Menjaga komponen infrastruktur SI tetap konsisten, seperti arsitektur informasi, kamus data, sintaks data dan tingkat keamanan. 1) Pengembangan aplikasi yang lebih cepat. 2) Terpenuhinya kebutuhan data akan keamanan, ketersediaan dan integrasi. 3) Pengurangan pengulangan data. 1) Terdapat dokumentasi klasifikasi data. 2) Pengurangan insiden yang disebabkan karena model data tidak konsisten. 576 JURNAL APLIKASI Nama Orang MANAJEMEN VOLUME 12 NOMOR 4 DESEMBER 2014

6 Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk Tabel 4., dan Menentukan Arah Teknologi. 1) Perubahan teknologi dimonitor secara rutin untuk mengamati ancaman dan kesempatan. 2) Perencanaan infrastruktur teknologi meliput i rencana akuisisi dan pelatihan berdasarkan suatu standar tertentu. 3) Adanya strategi terhadap infrastruktur teknologi untuk perubahan dari sistem yang dulu menuju sistem yang baru 1) Semakin meningkatnya jumlah teknologi dan platform yang kompatibel. 2) Berkurangnya jumlah teknologi platform yang harus dipelihara. 3) Berkurangnya waktu dan usaha untuk memberikan perawatan pada user. 1) Teknologi digunakan untuk mendukung kegiatan Bank XYZ. 2) Dilakukan proses untuk mengidentifikasikan teknologi baru yang potensial dan pemutusan apa yang akan dilakukan dengan teknologi tersebut. Tabel 5., dan Mengkomunikasikan Arah dan Tujuan Manajemen 1) Pihak manajemen memimpin dan memberikan contoh. 2) Terdapat pedoman yang praktis mengenai kebijakan dan prosedur. 3) Kebijakan kontrol informasi current dan up-to-date. 1) Meningkatnya jumlah Divisi di Bank XYZ yang telah mengerti kebijakan dan prosedur SI. 2) Jumlah prosedur dan kebijakan yang cukup mengenai kontrol TI. 1) Diterapkannya kebijakan pada prosedur operasional. 2) Manajemen mengkomunikasikan kebijakan dan prosedur secara reguler. Tabel 6, dan Proses Mengelola SDM TI 1) SDM di Divisi TI terlibat dalam pengambilan keputusan. 2) SDM di Divisi TI mendukung fungsi bisnis. 3) SDM di Divisi TI mempunyai peranan dan kewajiban yang jelas. 4) Dialokasikannya tenaga kerja yang tepat dan berkualitas. 1) Berkurangnya jumlah proyek yang terlambat karena kelalaian atau ketidakmampuan dari SDM di Divisi TI. 2) Sebagian besar Divisi di Bank XYZ telah didukung oleh SDM Divisi TI. 3) Dilakukan survey penilaian SDM di Divisi TI terhadap kinerja, moral dan kepuasan user. 1) Fungsi SDM di Divisi TI ditujukan untuk mendukung struktur organisasi Bank XYZ. 2) Diidentifikasikan fungsi yang penting secara ekspilisit pada struktur organisiasi dan SDM dengan peranan dan tanggung jawab yang jelas. Tabel 7., dan Menjamin dan Mengelola Risiko-Risiko TI 1) Terdapat kebijakan untuk mendefinisikan batasan risiko dan toleransinya. 2) Fokus penilaian terutama pada keadaan real dan bukan pada teorinya. 3) Dilakukan analisis terhadap indentifikasi risiko dan penanggulangannya. 1) Meningkatkan kepedulian teradap kebutuhan penilaian risiko. 2) Peningkatan jumlah risiko yang sudah diidentifikasi. 3) Peningkatan jumlah proses SI yang penilaian risikonya sudah di dokumentasikan secara formal. 1) Dilakukan pemonitoran terhadap laporan risiko. 2) Terdapat pelat ihan untuk memehami metodologi manajemen risiko. TERAKREDITASI SK DIRJEN DIKTI NO. 66b/DIKTI/KEP/2011 ISSN:

7 Teddy Iskandar, Irman Hermadi keras., dan untuk proses ini dapat dilihat pada Tabel 9, (c) mengatur perubahan (AI6) untuk meminimalkan kemungkinan terjadinya kekacauan, proses yang tidak terotorisasi dan error, dengan membuat sistem yang menyediakan analisis dan implementasi terhadap semua perubahan dalam SI., dan untuk proses ini dapat dilihat pada Tabel 10, (d) memasang dan mengakreditasi solusi dan perubahan (AI7) untuk meyakinkan dan mengkonfirmasikan bahwa solusi yang digunakan sesuai dengan kebutuhan., dan untuk proses ini dapat dilihat pada Tabel 11. Hasil pengukuran Maturity Level untuk proses perencanaan dan implementasi SI Bank XYZ menggunakan Maturity Model COBIT dapat dilihat pada Tabel 12 dengan perincian sebagai berikut: (1) Menentukan Perencanaan Strategi TI (PO1), Level: Repeatable, perencanaan Strategi TI (dalam hal ini NDIR) hanya dilakukan dan dimengerti oleh pihak Manajemen, serta belum didokumentasi dan disosialisasikan dengan baikdilingkungan internal. (2) Menentukan Arsitektur Informasi (PO2), Level: Repeatable, proses pendefinisian arsitektur informasi (NDIR) dilakukan secara informal dan intuitive. Arsitektur informasi dibuat bedasarkan dari masing-masing programmer di Divisi TI. (3) Menentukan Arahan Teknologi (PO3), Level: Defined, Perencanaan pengembangan infrastruktur teknologi sejalan dengan perencanaan strategis TI dan di dokumentasikan serta dikomunikasikan dengan baik, namun tidak dilakukan secara konsisten. (4) Mengkomunikasikan Tujuan dan Arah Manajemen (PO6), Level: Defined, Kebijakan, prosedur, dan standar kontrol terhadap informasi telah dikembangkan secara terstruktur, didokumentasikan, dan dikomunikasikan secara baik melalui pelatihan formal. (5) Mengelola SDM TI (PO7), Level: Defined, Tabel 8., dan Memperoleh dan Memelihara Aplikasi Perangkat Lunak 1) Manajemen mendukung menyetujui, dan mengerti metodelogi terhadap akuisisi dan implementasi perangkat lunak. 2) Praktek akuisisi perangkat lunak dimengerti, jelas dan diterima. 3) Adanya pemisahan antara aktifit as pengembangan dan pengujian perangkat lunak aplikasi. 4) Dilakukan pendekatan dan usaha dalam menghubungkan bisnis dengan aplikasi. 1) Meningkatkanya jumlah aplikasi yang selesai tepat waktu, memenuhi spesifikasi, dan sejajar dengan arsitektur teknologi SI. 2) Meningkatnya jumlah aplikasi tanpa masalah integrasi selama implementasi. 3) Berkurangnya biaya pemeliharaan setiap aplikasi 1) Berkurangnya insiden yang disebabkan ketidak sesuaian terhadap standar, seperti aplikasi yang tidak terdokumentasi, desain yang tidak disetujui, dan pengujian yang tidak memenuhi batas waktu. 2) Di dokumentasikannya perangkat lunak aplikasi secara efektif terhadap perawatan. Tabel 9., dan Mendapatkan dan Memelihara Infrastruktur Teknologi 1) Praktek akuisisi teknologi infrastruktur jelas, dimengerti, dan diterima. 2) Adanya integrasi antara plat form teknologi yang berbeda-beda. 3) Adanya metodelogi siklus hidup yang digunakan untuk memilih, mendapatkan, menjaga, dan mengganti teknologi infrastruktur 1) Berkurangnya jumlah plat form yang menyimpang dari persetujuan teknologi infrastruktur. 2) Berkurangnya jumlah masalah dalam implementasi sistem yang disebabkan oleh infrastruktur yang tidak memadai. 3) Berkurangnya perawatan dan pengembangan infrastruktur baru 1) Terintegrasinya platform yang berbeda-beda. 2) Dilakukannya perawatan yang bersifat preventif. 578 JURNAL APLIKASI Nama Orang MANAJEMEN VOLUME 12 NOMOR 4 DESEMBER 2014

8 Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk Tabel 10., dan Mengatur Perubahan 1) Dilakukan proses identifikasi dan penentuan prioritas terhadap perubahan. 2) Dilakukan pengujian menyeluruh terhadap kelayakan sebelum melakukan perubahan. 3) Terdapat proses formal serah terima dari tahap pengembangan ke operasional. 4) Terdapat dokumentasi aplikasi dan konfigurasi yang lengkap dan up-to-date. 5) Terdapat proses verifikasi kesuksesan/ kegagalan terhadap sebuah perubahan. 1) Berkurangnya jumlah gangguan yang disebabkan perubahan yang kurang diatur dengan baik. 2) Berkurangnya tingkat sumber daya dan waktu yang dibutuhkan terhadap perubahan. 3) Berkurangnya jumlah perbaikan yang bersifat gawat. 1) Berkurangnya jumlah perbaikan yang bersifat gawat dan disebabkan proses pengaturan perubahan tidak diterapkan secara reguler. 2) Dilakukan review terhadap permintaan perubahan implementasi Tabel 11., dan Memasang dan Mengakreditasi Solusi dan Perubahan 1) Dilakukan pengujian yang cukup terhadap sistem baru. 2) Diimplementasikan mekanisme feedback untuk melakukan optimasi dan peningkatan proses secara terus menerus. 3) Adanya komitmen keikutsertaan manajemen dalam pelatihan dan proses transisi 1) Berkurangnya jumlah sistem operasi yang tidak terakreditasi. 2) Berkurangnya jumlah perubahan setelah pengujian terhadap penerimaan suatu sistem. 3) Berkurangnya jumlah perubahan dalam perbaikan masalah dan diimplementasikan di produksi. 1) Proses instalasi dan akreditasi yang terotomisasi. 2) Meningkatnya kepuasan user terhadap proses instalasi dan akreditasi. Kebijakan dan prosedur dari proses reqruitment dan job desk serta tanggung jawab masing-masing SDM TI sudah terdokumentasi dengan baik. (6) Menjamin dan Mengelola Resiko-Resiko TI (PO9), Level: Defined Terdapat kebijakan, prosedur, standar dan didokumentasikan dengan baik dalam menilai resikorisiko TI.(7) Memperoleh dan Memelihara Aplikasi Perangkat Lunak (AI2), Level: Defined, Proses akuisisi dan pemeliharaan aplikasi sudah didokumentasikan, namun dalam proses akuisisi dan pemeliharaan yang telah dilakukan belum dapat memberikan solusi teknologi yang menyeluruh. (8) Memperoleh dan Memelihara Teknologi Infrastruktur (AI3), Level: Defined, Proses implementasi dan pemeliharaan infrastruktur teknologi telah mendukung kebutuhan aktivitas Bank XYZ dan searah dengan strategi sistem Bank XYZ.(9) Mengatur Perubahan (AI6), Level: Defined, Pengaturan perubahan proses TI terhadap aktivitas Bank XYZ telah dilakukan secara formal dan didokumentasikan dengan baik. (10) Memasang dan Mengakreditasi Solusi dan Perubahan (AI7), Level: Defined, Sudah terdapat prosedur instalasi, migrasi, konversi, dan akreditasi system dan didokumentasikan dengan baik.(10) Menentukan arsitektur informasi (PO2) yang bertujuan untuk melakukan optimasi SI dengan membuat model SI dan menjamin SI dapat memberikan optimalisasi pemamfaatan dan kegunaan dari informasi bagi perusahaan. Implikasi Manajerial Rumusan implikasi manajerial sebagai pertim bangan yang diusulkan dari hasil penelitian ini untuk mencapai maturity level di level managed - 4 (sudah memungkinkannya untuk memantau dan mengukur ketaatan pada prosedur sehingga dapat dengan mudah ditanggulangi apabila terjadi penyimpangan pada aktivitas. Perbaikan proses dilakukan secara konstan. Implementasi proses dilakukan secara baik. Otomasi dan perangkat yang digunakan terbatas) adalah terdapat pada Tabel 13. TERAKREDITASI SK DIRJEN DIKTI NO. 66b/DIKTI/KEP/2011 ISSN:

9 Teddy Iskandar, Irman Hermadi Tabel 12. Hasil Pengukuran Maturity Level Pada Proses Perencanaan dan Implemetasi SI Bank XYZ No Proses Indeks Pembulatan Level 1. Menentukan perencanaan strategi TI Repeatable 2. Menentukan arsitektur informasi Repeatable 3. Menentukan arahan teknologi Defined 4. Mengkomunikasikan tujuan dan arah manajemen Defined 5. Mengelola SDM TI Defined 6. Menjamin dan mengelola risiko-risiko TI Defined 7. Memperoleh dan memelihara aplikasi perangkat lunak Defined 8 Memperoleh dan memeliharan teknologi infrastruktur Defined 9. Mengatur perubahan Defined 10. Memasang dan mengakreditasi solusi dan perubahan Defined Tabel 13.Rekomendasi dari Hasil Audit pada Proses Perencanaan dan Implementasi SI Bank XYZ No Domain/Proses Rekomendasi 1. Menentukan Perencanaan Strategi TI 1. ITSP harus di pantau oleh pihak Manajemen secara regular. 2. Manajemen dan seluruh user terlibat aktif pada proses perencanaan 3. Dokumentasi terhadap proses perencanaan dilakukan secara regular. 2. Menentukan Arsitektur Informasi 1. Klasifikasi data didokumentasikan secara regular. 2. Adanya kebijakan terhadap kamus data yang bertujuan untuk menjaga kekonsistenan data. 3. Menentukan Arahan Teknologi 1. Proses perencanaan teknologi harus mempertimbangkan tren teknologi. 2. Dampak di lingkungan internal terhadap implementasi teknologi harus diperhatikan. 3. Peningkatan teknologi secara regular untuk meningkatkan ke efektivitasan dari aktivitas harus dilakukan. 4. Mengkomunikasikan Tujuan dan Arah Manajemen 1. Kendali keamanan perlu dipantau dan diperbaharui secara regular. 2. Manajemen harus aktif dalam menghimbau dan mengsosialisasikan terkait dengan menjaga lingkungan TI. 5. Mengelola SDM TI 1. Dilakukan evaluasi terkait dengan pelaksanaan dan tanggung jawab dari masing-masing personil di Divisi TI. 2. Pelatihan karyawan di Divisi TI terhadap teknik, prosedur keamanan informasi harus dilakukan secara formal dan regular. 6. Menjamin dan Mengelola Risiko-Risiko TI 1. Dilakukan analisa terhadap identifikasi risiko, metigasi risiko dan penanggulangannya. 2. Identifikasi risiko harus dimasukkan ke dalam perencanaan TI 7. Mendapatkan dan Memelihara Perangkat Lunak Aplikasi 8. Memperoleh dan Memelihara Teknologi Infrastruktur 1. Ditetapkan metodologi terhadap siklus pengembangan sistem secara konsisten. 2. Dilakukan pemisahan antara aktifitas pengembangan dan pengujian perangkat lunak aplikasi 3. Ada dokumentasi terhadap implementasi aplikasi perangkat lunak yang dilakukan secara konsisten dan regular. 1. Proses akuisisi infrastruktur teknologi perlu mempertimbangkan trek teknologi dan kebutuhan keamanan. 2. Perlu dilakukan pemantauan terhadap infrastruktur yang dimiliki. 9. Mengatur Perubahan Pengaturan perubahan perlu dipantau dan diperbahurui secara regular. 10. Memasang, Mengakreditasi Solusi dan Perubahan 1. Harus dibuatkan prosedur formal terhadap akreditasi dan instalasi system 2. Harus ada standarisasi terhadap kriteria kesuksesan pengujian 3. Manajemen ikut serta dalam menentukan kualitas sistem 580 JURNAL APLIKASI Nama Orang MANAJEMEN VOLUME 12 NOMOR 4 DESEMBER 2014

10 Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk KESIMPULAN DAN SARAN Kesimpulan Berdasarkan hasil penelitian tentang audit proses perencanaan dan implementasi sistem informasi PT Bank XYZ, Tbk menggunakan Cobit Framework dapat dibuat beberapa kesimpulan sebagai berikut : (1) Secara keseluruhan proses perencanaan dan implementasi SI di Bank XYZsudah selaras dengan proses bisnis, aplikasi, strategi bisnis dari Bank XYZ dan mengikuti kaidah-kaidah yang sesuai dengan COBITframework. (2) Maturity level pada proses perencanaan dan implementasi SI Bank XYZ (NDIR) untuk PO3, PO6, PO7, PO9, AI2, AI3, AI6 dan AI7 berada pada level: 3 - Defined. Sedangkan untuk PO1 dan PO2 berada pada level: 2 - Repeatable. Saran Saran yang dapat digunakan terkait hasil dalam penelitian ini adalah sebagai berikut: (1) Dikarenakan COBIT framework bersifat umum, maka untuk penentuan domain/proses dan control objectives kiranya perlu dilakukan penyesuaian terlebih dahulu dengan kebutuhan proses bisnis SI dan tanggung jawab dari proses SI terhadap aktivitas organisasi/perusahaan itu sendiri. (2) Sesuai dengan ruang lingkup dalam penelitian ini, maka proses audit SI yang dilakukan hanya pada SI Pendukung Bank XYZ (NDIR), diharapkan untuk penelitian selanjutnya audit SI dapat dilakukan terhadap SI lainnya yang ada di Bank XYZ, seperti SI perbankan, kemitraan dan personal productivity tool. (3) Selain itu penelitian ini hanya melakukan audit SI pada 2 (dua) domain/proses yang ada di COBIT framework yaitu perencanaan (Planning and Organisation) dan Implementasi (Acquisition and Implementations), diharapkan dalam penelitian selanjutnya audit SI dilakukan pada 2 (dua) domain/proses lain yang ada di COBIT framework yaitu Delivery and Support (DS) dan Monitoring (ME).(3) Agar maturity level pada proses perencanaan dan implementasi SI Bank XYZ berada pada level: 4 - Managed, diharapkan Bank XYZ melakukan pembenahan, perbaikan dan penyempurnanaan sesuai dengan rekomendasi dalam penelitian ini. Selain itu agar maturity level SI Bank XYZ tetap berada di level: 3 - Defined, maka diharapkan proses perencanan dan implementasi SI Bank XYZ dapat dilaksanakan secara konsisten sesuai dengan COBIT framework dan pelaksanaan audit SI di Bank XYZ dapat dilakukan secara berkala (minimal sekali dalam setahun). DAFTAR RUJUKAN Champlain, Jack, J Auditing Information System: A Comprehensive Reference Guide. NewYork: John Wiley & Son. Fitianah, D., dan Sucahyo, Yudho, G Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja COBIT Untuk Evaluasi Manajemen Teknologi Informasi di Universitas XYZ. Jurnal Sistem Informasi MTI-UI, Volume 4, Nomor 1. ISBN IT Governance Institute COBIT Mapping: Overview of International IT Guide, 2 nd Edition ISBN IT Assurance Guide: Using COBIT,Chicago Information Technology Governance Institut COBIT 4.1:Framework, Control Objective,Management Guidelines, MaturityModels. IT Governance Institut Rolling Meadows. IT Governance Institute COBIT Mapping: Mapping of ITIL v3 With COBIT 4.1. ISBN O Brien, JA and George Marakas Management Information System. NinthEdition. McGraw-Hill.Inc. Boston. Pederiva, A The COBIT Maturity Model in a Vendor Evaluation Case. Information Systems Control Jurnal, Volume 3. Ron, W Information System Control & Audit. Prentice Hall: Univ. of Queensland. Surendro, K Implementasi Tata Kelola Teknologi Informasi. Jakarta: Informatika. Syukhri Evaluasi Tingkat Kematangan Proses Delivery and Support pada Implementasi Sistem Informasi Akademik Universitas Negeri Padang bedasarkan Kerangka Kerja COBIT 4.0. Tesis Program Pascasarjana Universitas Negeri Padang. TERAKREDITASI SK DIRJEN DIKTI NO. 66b/DIKTI/KEP/2011 ISSN: