6

BAB II

TINJAUAN PUSTAKA

Pembahasan bab ini antara lain latar belakang perusahaan yang meliputi

sejarah, visi dan misi perusahaan, struktur organisasi, tujuan dan sasaran serta

peraturan yang mengatur tentang Audit SI/TI. Dasar teori berisikan penjelasan

mengenai teori-teori penunjang yang digunakan dalam pembahasan permasalahan

dalam penelitian ini antara lain mengenai COBIT 4.1 secara detail dan pengujian

audit.

2.1 Latar Belakang Perusahaan

PT. X (Persero) Bandar Udara Ngurah Rai Bali adalah sebuah perusahaan

Badan Usaha Milik Negara (BUMN) yang memberikan pelayanan lalu lintas

udara dan bisnis bandar udara di Indonesia yang menitikberatkan pelayanan pada

kawasan Indonesia bagian tengah dan kawasan Indonesia bagian timur.

2.1.1 Sejarah PT. X Bandar Udara Ngurah Rai Bali

Sejarah Perseroan sebagai pelopor pengusahaan kebandarudaraan secara

komersial di Indonesia bermula dari Perusahaan Negara (PN) Angkasa Pura

Kemayoran yang dibentuk pada tanggal 15 November 1962 dengan Peraturan

Pemerintah (PP) Nomor 33 tahun 1962. Tugas pokoknya adalah pengelolaan dan

pengusahaan Bandar Udara Kemayoran Jakarta yang saat itu merupakan satu-

satunya bandar udara internasional yang melayani penerbangan dari dan ke luar

negeri selain penerbangan domestik. Setelah melalui masa transisi selama dua

tahun, terhitung sejak 20 Februari 1964 PN Angkasa Pura Kemayoran resmi

mengambil alih secara penuh aset dan operasional Pelabuhan dara Kemayoran

Jakarta dari Pemerintah. Tanggal 20 Februari 1964 itulah yang kemudian

ditetapkan sebagai hari jadi Perseroan. Dalam perkembangannya, untuk lebih

memperluas cakupan kerja mengelola bandar udara lain di wilayah Indonesia,

berdasarkan PP Nomor 21 tahun 1965 PN Angkasa Pura Kemayoran berubah

7

nama menjadi Perusahaan Negara (PN) Angkasa Pura sejak tanggal 17 Mei 1965.

Berdasarkan PP Nomor 37 tahun 1974, status badan hokum perusahaan diubah

menjadi Perusahaan Umum (Perum). Tutupnya Bandar Udara Internasional

Kemayoran sejak tanggal 1 Oktober 1985, seluruh kegiatan operasi perusahaan

dialihkan ke Bandar Udara Soekarno-Hatta. Pembagian wilayah pengelolaan

Bandar udara, berdasarkan PP Nomor 25 tahun 1987, sejak tanggal 19 Mei 1987

Perum Angkasa Pura berubah nama menjadi Perum Perseroan bersamaan dengan

dibentuknya Perum Perseroan I yang khusus bertugas mengelola Bandar Udara

Soekarno-Hatta dan Halim Perdanakusuma. Berdasarkan PP Nomor 5 Tahun

1992, bentuk Perusahaan Umum (Perum) diubah menjadi Perseroan Terbatas (PT)

yang sahamnya dimiliki sepenuhnya oleh Negara Republik Indonesia sehingga

namanya menjadi PT Angkasa Pura 1 (Persero) dengan Akta Notaris Muhani

Salim, SH tanggal 3 Januari 1993 dan telah memperoleh persetujuan Menteri

Kehakiman dengan keputusan Nomor: C2-470.HT.01.01 Tahun 1993 tanggal 24

April 1993 serta diumumkan dalam Berita Negara Republik Indonesia Nomor 52

tanggal 29 Juni 1993 dengan Tambahan Berita Negara Republik Indonesia

Nomor: 2914/1993. Perubahan Anggaran Dasar Perusahaan terakhir adalah

berdasarkan keputusan Rapat Umum Pemegang Saham tanggal 14 Januari 1998

dan telah diaktakan oleh Notaris Imas Fatimah, SH Nomor 30 tanggal 18

September 1998. Perubahan Anggaran Dasar tersebut telah mendapat pengesahan

dari Menteri Kehakiman Republik Indonesia Nomor: C2-25829. HT.01.04 Tahun

1998 tanggal 19 November 1998 dan dicantumkan dalam Berita Negara Republik

Indonesia Nomor 50 tanggal 22 Juni 1999 dengan Tambahan Berita Negara

Republik Indonesia Nomor 3740/1999.

2.1.2 Sejarah Bandar Udara Internasional Ngurah Rai- Bali

Berawal dari Tuban Bandara Ngurah Rai di bangun pada tahun 1930 oleh

Departement Voor Verkeer En Waterstaats (semacam departemen pekerjaan

umum). Landasan pacu berupa Airstrip sepanjang 700 meter dari rumput di

tengah ladang dan pekuburan di desa Tuban, masyarakat sekitar menamakan

Airstrip ini sebagai Pelabuhan Udara Tuban.

8

Pelabuhan Udara Tuban tahun 1942 Airstrip South Bali dibom oleh tentara

Jepang, yang kemudian dikuasai untuk tempat mendaratkan pesawat tempur dan

pesawat angkut mereka. Airstrip yang rusak akibat pengeboman diperbaiki oleh

tentara Jepang dengan menggunakan Pear Still Plate (sitem plat baja). Lima

berikutnya 1942-1947, Airstrip mengalami perubahan. Panjang landas pacu

menjadi 1200 meter dari semula 700 meter. Tahun 1949 dibangun gedung

terminal dan menara pengawas penerbangan sederhana yang terbuat dari kayu.

Komunikasi penerbangan menggunakan Transciever kode morse. Pelabuhan

Udara Internasional Tuban untuk meningkatkan Pariwisata Bali, pemerintah

Indonesia kembali membangun gedung terminal Internasional dan perspanjangan

landasan pacu kearah barat yang semula 1200 meter menjadi 2700 meter dengan

overun 2 x 100 meter. Proyek yang berlangsung dari tahun 1963-1969 diberi

nama proyek Airport Tuban dan sekaligus sebagai Internasional Pelabuhan Udara

Tuban. Proses reklamasi pantai sejauh 1500 meter dilakukan dengan mengambil

material batu kapur yang berasal dari Ungasan dan batu kali serta pasir dari sungai

Antosari-Tabanan. Seiring selesai Temporary Terminal dan Runway pada proyek

Airport Tuban, pemerintah meresmikan pelayanan penerbangan Internasional di

Pelabuhan Udara Tuban, tanggal 10 agustus 1966.

Pelabuhan Internasional Ngurah Rai penyelesaian pengembangan pelabuhan

Udara Tuban ditandai oleh peresmian Presiden Soeharto pada tanggal 1 agustus

1969,yang sekaligus menjadi momen perubahan nama dari pelabuhan Udara

Tuban menjadi pelabuhan Udara Internasional Ngurah Rai (Bali International

Airport Ngurah Rai). Mengantisipasi lonjakan penumpang dan cargo, maka pada

tahun 1975 sampai dengan 1978 pemerintah Indonesia kembali membangun

fasilitas-fasilitas penerbangan,antara lain dengan membangun teminal

Internasional Baru. Gedung terminal lama selanjutnya di alih fungsikan menjadi

Terminal Domestik, sedangkan terminal Domestik yang lama digunakan sebagai

gedung cargo,usaha jasa catering dan gedung serbaguna. Pengembangan Fasilitas

Bandara dan Keselamatan Penerbangan (FBUKP) tahap 1 proyek FBUKP tahap 1

(1990-1992) meliputi perluasan terminal yang lengkapi dengan Aviobridge,

perpanjangan landasan pacu 3000 meter, relokasi Taxiway, perluasan Apron,

9

pengembangan gedung Cargo, gedung operasi serta pengembangan fasilitas

Navigasi Udara dan fasilitas Catu Bahan Bakar Pesawat Udara.

Pengembangan fasilitas bandara dan keselamatan penerbanagan (FBUKP)

tahap 2 proyek FBUKP tahap 2 (1998-2000), pengembangan Bandara dikerjakan

oleh Direktorat Jenderal Perhubungan Udara,antara dengan memamfaatkan hutan

bakau seluas 12 Ha untuk digunakan sebagai Fasilitas Keselamatan Penerbangan.

Pengembangan Fasilitas Bandara dan Keselamatan Bandara dan Keselamatan

Penerbangan (FBUKP) tahap. Rencana proyek FBUKP tahap 3 meliputi

pengembangan gedung terminal, gedung parkir,dan Apron. Luas terminal

Domestik saat ini hanya akan dikembangkan hingga total luas mencapai 12.000 m

yang nantinya akan digunakan sebagai terminal Internasional. Eksisting Terminal

Internasional akan dialih fungsikan menjadi terminal Domestic. Kondisi tersebut,

Bandara Ngurah Rai akan mampu menampung hingga 25 juta penumpang.

2.1.3 Visi dan Misi Perusahaan

Perusahaan pastilah memiliki visi dan misi untuk menyokong kinerja

perusahaan. Berikut merupakan visi dan misi dari PT. X Bandar Udara Ngurah

Rai Bali.

2.1.3.1 Visi Perusahaan

Menjadi salah satu dari sepuluh perusahaan pengelola bandar udara

terbaik di Asia.

2.1.3.2 Misi Perusahaan

PT. X Bandar Udara Ngurah Rai Bali mempunyai beberapa misi penting

yang di pakai pedoman untuk melakukan semua aktifitas di perusahaan yaitu :

a) Meningkatkan nilai pemangku kepentingan

b) Menjadi mitra pemerintah dan pendorong pertumbuhan ekonomi

c) Mengusahakan jasa kebandarudaraan melalui pelayanan prima yang

memenuhi standar keamanan, keselamatan, dan kenyamanan

d) Meningkatkan daya saing perusahaan melalui kreatifitas dan inovasi

e) Memberikan kontribusi positif terhadap lingkungan hidup

10

2.1.4 Lima Arah Strategis Perusahaan

PT. X Bandar Udara Ngurah Rai Bali memiliki lima arah strategis untuk

kemajuan perusahaan. Lima arah strategis ini dipakai sebagai pedoman untuk

mengembangkan perusahaan kedepannya.

Gambar 2.1 Lima Arah Strategis Perusahaan

a. Service Excellence

1. Peningkatan CSI

2. Peremajaan Alat-alat Produksi

3. Pelaksanaan Pembangunan Bandara DPS,BPN,T2 SUB

4. Pemenuhan Jumlah SDM dan Fasilitas Produksi

b. Revenue Enhancement

1. Optimalisasi sistem kerjasama dengan mitra/konsesioner

2. Peningkatan Pendapatan Aeronautika dan Non Aeronautika

3. Pembentukan anak perusahaan

c. Reasonable Cost

1. Efektifitas penggunaan anggaran

2. Menjaga keseimbangan peningkatan pendapatan terhadap peningkatan

biaya

11

d. Environment

1. Penyaluran program Kemitraan

2. Pemberian Dana Program Bina Lingkungan

3. Penerapan Eco Green Airport

4. Dampak sosial&ekonomi serta penyerapan tenaga kerja lokal

e. Sound Organization

1. Restrukturisasi organisasi

2. Workshop budaya baru perusahaan

3. Pencanangan Center For Excelent

4. Management training melalui strategic patnership

5. Penetapan Master Plan IT

6. Reaktivasi training untuk berbagai level

Sumber : http://www.angkasapura1.co.id/5-arah-strategis

2.1.5 Struktur Organisasi Perusahaan

Setiap perusahaan pastilah memiliki struktur organisasi untuk mengatur

kinerja dan proses bisnis yang terjadi dalam perusahaan tersebut. PT. X Bandar

Udara Ngurah Rai Bali dengan jangkauan pasar yang luas memiliki struktur

organisasi yang kompleks.

12

Gambar 2.2 Bagan Struktur Organisasi PT.Angkasa Pura I Ngurah Rai Bali

http://bali-airport.com/

Organisasi ini dikepalai oleh Seorang Kepala Cabang yang dibantu oleh Tujuh

Section Head yaitu Airport Operation Dept. Head, Airport Readiness Dept.

Head, Airport Security Dept. Head, SMS QM & Cs Dept. Head, Sales Dept.Head,

Finance & IT Dept. Head, Shared Service Dept. Head. Terdapat tujuh divisi

utama pada organisasi perusahaan ini yang masing-masing diawasi oleh jajaran

Section Head. Bagan struktur organisasi perusahaan di PT. X Bandar Udara

Ngurah Rai Bali dapat dilihat pada gambar 2.2.

13

2.2 Metode Penelitian

Pengertian Penelitian menurut Kerlinger (1986) adalah proses penemuan

yang mempunyai karakteristik sistematis, terkontrol, empiris, dan mendasarkan

pada teori dan hipotesis atau jawaban sementara. Menurut Yoseph dan Yoseph,

1979, penelitian adalah art and science guna mencari jawaban terhadap suatu

permasalahan. Seni dan ilmiah maka penelitian juga akan memberikan ruang-

ruang yang akan mengakomodasi adanya perbedaan tentang apa yang dimaksud

dengan penelitian. Metodologi penelitian adalah sekumpulan peraturan, kegiatan,

dan prosedur yang digunakan oleh pelaku suatu disiplin ilmu. Metodologi juga

merupakan analisis teoritis mengenai suatu cara atau metode. Penelitian

merupakan suatu penyelidikan yang sistematis untuk meningkatkan sejumlah

pengetahuan, juga merupakan suatu usaha yang sistematis dan terorganisasi untuk

menyelidiki masalah tertentu yang memerlukan jawaban. Hakekat penelitian dapat

dipahami dengan mempelajari berbagai aspek yang mendorong penelitian untuk

melakukan penelitian (Sukardi:2003).

2.2.1 Metode Penelitian Kualitatif

Pendekatan penelitian kualitatif sering disebut dengan naturalistic inquiry

atau inkuiri alamiah. Macam, cara atau corak analisis data kualitatif suatu

penelitian, perbuatan awal yang senyatanya dilakukan adalah membaca fenomena.

Setiap data kualitatif mempunyai karakteristiknya sendiri. Teori dalam penelitian

kualitatif disusun melalui dasar yang ditemukan selalui induktif. Data kualitatif

berada secara tersirat di dalam sumber datanya. Sumber data kualitatif adalah

catatan hasil observasi, transkrip wawancara mendalam (depth interview), analisis

konten dan dokumen-dokumen terkait berupa tulisan ataupun gambar. Penelitian

kualitatif adalah penelitian yang tidak menggunakan model-model matematik,

statistik atau komputer. Proses penelitian dimulai dengan menyusun asumsi dasar

dan aturan berpikir yang akan digunakan dalam penelitian. Penelitian kualitatif

merupakan penelitian yang dalam kegiatannya peneliti tidak menggunakan angka

dalam mengumpulkan data dan dalam memberikan penafsiran terhadap hasilnya.

Hasil penelaahan pustaka yang dilakukan Moleong atas hasil dari mensintesakan

14

pendapatnya Bogdan dan Biklen (1982:27-30) dengan Lincoln dan Guba

(1985:39-44) ada sebelas ciri penelitian kualitatif, yaitu :

1. Penelitian kualitatif mennggunakan latar alamiah atau pada konteks dari

suatu keutuhan (enity)

2. Penelitian kualitatif instrumennya adalah manusia, baik peneliti sendiri

atau dengan bantuan orang lain

3. Penelitian kualitatif menggunakan metode kualitatif

4. Penelitian kualitatif menggunakan analisis data secara induktif

5. Penelitian kualitatif lebih menghendaki arah bimbingan penyusunan teori

subtantif yang berasal dari data

6. Penelitian kualitatif mengumpulkan data deskriptif (kata-kata dan gambar)

bukan angka-angka

7. Penelitian kualitatif lebih mementingkan proses daripada hasil

8. Penelitian kualitatif menghendaki adanya batas dalam penelitiannya atas

dasar fokus yang timbul sebagai masalah dalam penelitian

9. Penelitian kualitatif meredefinisikan validitas, realibilitas dan objektivitas

dalam versi lain dibandingkan dengan yang lazim digunakan dalam

penelitian klasik

10. Penelitian kualitatif menyusun desain yang secara terus menerus

disesuaikan dengan kenyataan lapangan (bersifat sementara)

11. Penelitian kualitatif menghendaki agar pengertian dan hasil interpretasi

yang diperoleh dirundingkan dan disepakati oleh manusia yang dijadikan

sumber data.

Karakteristik metodologi penelitian secara jelas akan mewarnai setiap langkah

kegiatan dalam pelaksanaan penelitian. Kurangnya pemahaman peneliti terhadap

karakteristik metodologi tersebut dapat berakibat terhadap rendahnya kualitas

penelitian yang dilakukan. Beberapa karakteristik penelitian kualitatif antara lain

sebagai berikut:

1. Permasalahan Masa Kini

Subjek peristiwa yang diteliti bukan masa lampau seperti dalam penelitian

sejarah. Dengan demikian penelitian kualitatif bersifat empirik dengan

15

sasaran penelitiannya yang berupa beragam permasalahan yang terjadi di

masa kini.

2. Natural Setting

Topik penelitian kualitatif diarahkan pada kondisi asli apa adanya, sesuai

dengan dimana, dan kapan subjek penelitian berada. Sasaran penelitian

berada dalam posisi kondisi asli seperti apa adanya secara alami tanpa

rekayasa penelitian.

3. Bersifat Holistik

Penelitian kualitatif memandang berbagai masalah selalu berada dalam

kesatuannya tidak terlepas dari kondisi yang lain yang menyatu dalam

suatu konteks. Berbagai variabel yang dikaji tidak bisa dipahami secara

terpisah dari posisi keterkaitanya dalam suatu konteks keseluruhan.

4. Memusatkan pada deskripsi

Penelitian kualitatif memusatkan pada kegiatan ontologis, sehingga data

yang dikumpulkan terutama berupa kata kata, kalimat atau gambar

memiliki makna yang lebih nyata daripada sekedar angka atau frekuensi.

5. Analisis induktif

Penelitian kualitatif menekankan pada analisis induktif. Data yang

dikumpulkan bukan dimaksudkan untuk mendukung atau menolak

hipotesis penelitian, tetapi abstraksi disusun sebagai kekhususan yang

telah terkumpul dan dikelompokkan melalui proses pengumpulan data

yang dilakukan secara teliti.

Penelitian kualitatif menuntut keteraturan, ketertiban dan kecermatan dalam

berpikir, tentang hubungan data yang satu dengan data yang lain dan konteksnya

dalam masalah yang akan diungkapkan. Beberapa alasan mengenai maksud

dilakukannya penelitian kualitatif antara lain(Iskandar, 2009):

1. Untuk menanggulangi banyaknya informasi yang hilang seperti yang

dialami oleh penelitian kuantitatif, sehingga intisari konsep yang ada

dalam data dapat diungkap.

16

2. Untuk menanggulangi kecenderungan menggali data empiris dengan

tujuan membuktikan kebenaran hipotesis berdasarkan berpikir deduktif

seperti dalam penelitian kuantitatif.

3. Untuk menanggulangi kecenderungan pembatasan variabel yang

sebelumnya, seperti dalam penelitian kuantitatif, padahal permasalahan

dan variabel dalam masalah sosial sangat kompleks.

4. Untuk menanggulangi adanya indeks-indeks kasar seperti dalam penelitian

kuantitatif yang menggunakan pengukuran enumirasi (perhitungan)

empiris, padahal inti sebenarnya berada pada konsep-konsep yang timbul

dari data.

2.2.2 Metode Penelitian Deskriptif

Penelitian deskriptif adalah penelitian yang bertujuan untuk

mendeskripsikan apa yang saat ini berlaku dan di dalamnya terdapat upaya

mendeskripsikan, mencatat, analisis dan menginterprestasikan kondisi-kondisi

yang sekarang ini terjadi. Penelitian deskriptif bertujuan untuk memperoleh

informasi-informasi mengenai keadaan saat ini serta melihat kaitan antara

variabel-variabel yang ada. Penelitian ini tidak menguji hipotesa atau tidak

menggunakan hipotesa, melainkan hanya mendeskripsikan informasi apa adanya

sesuai dengan variabel-variabel yang diteliti. Penelitian semacam ini sering

dilakukan guna mengambil kebijakan atau keputusan untuk melakukan atau

memberi solusi dalam memecahkan masalah.

Beberapa karakteristik penelitian deskriptif antara lain sebagai berikut:

1. Bertujuan untuk mendeskripsikan variabel-variabel utama subjek studi,

misalnya mengenai umur, jenis kelamin, pendidikan, pekerjaan, ekonomi

dan lain-lain yang disesuaikan dengan tujuan penelitian.

2. Penelitian deskriptif murni tidak membutuhkan kelompok kontrol sebagai

pembanding karena yang dicari adalah fenomena tertentu atau untuk

memperoleh gambaran tentang hal-hal yang berkaitan dengan masalah

kesehatan.

17

3. Terdapatnya hubungan sebab akibat hanya merupakan perkiraan yang

didasarkan atas tabel silang yang disajikan. Penyajian data hasil penelitian

dapat berupa tabel distribusi frekuensi, tabel silang dan grafik.

4. Hasil penelitian hanya disajikan sesuai dengan data yang diperoleh tanpa

dilakukan analisis yang mendalam.

5. Pengumpulan data dilakukan dalam satu saat atau satu periode tertentu dan

setiap subjek studi penelitian hanya diamati satu kali.

Menurut Robert C. Bogdan (1992, p.30) menyatakan bahwa "Qualitative

research is descriptive". Ahli tersebut menyatakan penelitian kualitatif

adalah deskriptif yang dimaksud dalam mengumpulkan data, seluruh data

dituliskan apa adanya dengan upaya mengilustrasikan kondisi sebenarnya

yang terjadi pada objek. Penelitian yang dilakukan secara deskriptif adalah

penelitian yang digunakan dengan metode untuk mengumpulkan data hasil

survei dengan pengamatan sederhana. Selanjutnya peneliti menggolongkan

kejadian-kejadian tersebut berdasarkan pengamatan melalui kuisioner,

pengumpulan pendapat, dan pengamatan fisik.

2.3 Metode Pengumpulan Data

Teknik pengumpulan data dalam penelitian merupakan faktor penting

demi keberhasilan penelitian. Hal ini berkaitan dengan bagaimana cara

mengumpulkan data, siapa sumbernya, dan apa alat yang digunakan. Jenis sumber

data adalah mengenai dari mana data diperoleh. Data diperoleh dari sumber

langsung (data primer) atau data diperoleh dari sumber tidak langsung (data

sekunder). Metode pengumpulan data merupakan teknik atau cara yang dilakukan

untuk mengumpulkan data. Metode menunjuk suatu cara sehingga dapat

diperlihatkan penggunaannya melalui angket, wawancara, pengamatan, tes,

dokumentasi dan sebagainya. Sedangkan instrumen pengumpul data merupakan

alat yang digunakan untuk mengumpulkan data. Instrumen dapat berupa lembar

cek list, kuesioner (angket terbuka / tertutup), pedoman wawancara, foto dan

lainnya.

18

2.3.1 Sumber Data

Sumber data terbagi menjadi dua yaitu data primer dan data sekunder.

Data primer adalah data yang diperoleh peneliti secara langsung (dari tangan

pertama), sementara data sekunder adalah data yang diperoleh peneliti dari

sumber yang sudah ada. Contoh data primer adalah data yang diperoleh dari

responden melalui kuesioner, kelompok fokus, dan panel, atau juga data hasil

wawancara peneliti dengan nara sumber. Contoh data sekunder misalnya catatan

atau dokumentasi perusahaan berupa absensi, gaji, laporan keuangan publikasi

perusahaan, laporan pemerintah, data yang diperoleh dari majalah, dan lain

sebagainya.

2.3.2 Wawancara

Wawancara merupakan teknik pengumpulan data yang dilakukan melalui

tatap muka dan tanya jawab langsung antara pengumpul data maupun peneliti

terhadap nara sumber atau sumber data. Wawancara pada penelitian sampel besar

biasanya hanya dilakukan sebagai studi pendahuluan karena tidak mungkin

menggunakan wawancara pada 1000 responden, sedangkan pada sampel kecil

teknik wawancara dapat diterapkan sebagai teknik pengumpul data (umumnya

penelitian kualitatif). Wawancara terbagi atas wawancara terstruktur dan tidak

terstruktur. Wawancara terstruktur artinya peneliti telah mengetahui dengan pasti

apa informasi yang ingin digali dari responden sehingga daftar pertanyaannya

sudah dibuat secara sistematis. Peneliti juga dapat menggunakan alat bantu tape

recorder, kamera photo, dan material lain yang dapat membantu kelancaran

wawancara. Wawancara tidak terstruktur adalah wawancara bebas, yaitu peneliti

tidak menggunakan pedoman wawancara yang berisi pertanyaan yang akan

diajukan secara spesifik, dan hanya memuat poin-poin penting masalah yang ingin

digali dari responden. Wawancara dapat dilaksanakan melalui dua cara yaitu

wawancara tatap muka dan wawancara via telepon. Wawancara tatap muka

memiliki beberapa kelebihan antara lain dapat membangun hubungan dan

memotivasi responden, dapat mengklarifikasi pertanyaan, menjernihkan keraguan,

serta menambah pertanyaan baru, dapat membaca isyarat non verbal serta dapat

19

memperoleh data lebih banyak. Kekurangan dari wawancara tatap muka yaitu

dalam pengerjaannya membutuhkan waktu yang lama, biaya besar jika responden

yang akan diwawancara berada di beberapa daerah terpisah, Responden mungkin

meragukan kerahasiaan informasi yang diberikan, pewawancara perlu dilatih,

dapat menimbulkan bias pewawancara, responden bias menghentikan wawancara

kapanpun. Wawancara via telepon memiliki beberapa kelebihan, antara lain biaya

lebih sedikit dan lebih cepat dari warancara tatap muka, dapat menjangkau daerah

geografis yang luas, anomalitas lebih besar dibanding wawancara pribadi (tatap

muka). Sedangkan kelemahannya antara lain isyarat non verbal tidak bisa dibaca,

wawancara harus diusahakan singkat, nomor telepon yang tidak terpakai bias

dihubungi, dan nomor yang tidak terdaftar pun dihilangkan dari sampel.

2.3.3 Kuisioner

Kuisioner adalah daftar pertanyaan tertulis yang telah disusun sebelumnya.

Pertanyaan- pertanyaan yang terdapat dalam kuisioner, atau daftar pertanyaan

tersebut cukup terperinci dan lengkap dan biasanya sudah menyediakan pilihan

jawaban (kuesioner tertutup) atau memberikan kesempatan responden menjawab

secara bebas (kuesioner terbuka). Penyebaran kuesioner dapat dilakukan dengan

beberapa cara seperti penyerahan kuesioner secara pribadi, melalui surat, dan

melalui email. Masingmasing cara ini memiliki kelebihan dan kelemahan, seperti

kuesioner yang diserahkan secara pribadi dapat membangun hubungan dan

memotivasi respoinden, lebih murah jika pemberiannya dilakukan langsung dalam

satu kelompok, respon cukup tinggi. Namun kelemahannya adalah organisasi

kemungkinan menolak memberikan waktu perusahaan untuk survey dengan

kelompok karyawan yang dikumpulkan untuk tujuan tersebut.

2.3.4 Teknik Sampling

Kata lain dari sampel adalah “contoh”. Sedangkan pengambilan sampel

dari suatu populasi disebut penarikan sampel atau sampling. Populasi yang ditarik

sampelnya pada waktu merencanakan suatu penelitian disebut target population,

sedangkan populasi yang akan diteliti pada waktu melakukan penelitian disebut

20

sampling population. Masalah yang akan dihadapi dalam penarikan sampel ini

adalah pada penarikan sampel dan ukuran besar sampel. Hal ini sangat tergantung

pada sifat populasi, terutama pada ketersebaran anggota dalam wilayah penelitian

atau dalam kategori-kategori tertentu atau juga tergantung pada variasi populasi.

Sampel dapat ditentukan berdasarkan pertimbangan masalah, tujuan, hipotesis,

metode dan instrumen penelitian di samping pertimbangan waktu, tenaga dan

pembiayaan. Agar diperoleh sampel yang refresentatif, harus diupayakan agar

setiap subjek dalam populasi memiliki peluang yang sama menjadi unsur sampel.

Semakin tinggi atau besar variasi dari populasi, maka makin besar sampel yang

dibutuhkan. Penarikan sampel ini, terdapat dua macam teknik yang sering atau

umumnya dilakukan, yaitu probability sampling dan nonprobability sampling.

Mengenai besarnya sampel tidak ada ketentuan yang baku atau rumus yang pasti,

karena sahnya sampel terletak pada sifat dan karakteristiknya mendekati populasi

atau tidak, bukan pada besar atau banyaknya. Minimal sampel sebanyak 30

subjek. Hal ini didasarkan atas perhitungan atau syarat pengujian yang lazim

digunakan dalam statistik. Nonprobability sampling ialah teknik sampling yang

tidak memberikan kesempatan (peluang) pada setiap anggota populasi untuk

dijadikan anggota sampel. Purposive sampling dikenal juga dengan sampling

pertimbangan. Purposive sampling merupakan salah satu jenis dari teknik

nonprobability sampling yang digunakan peneliti jika peneliti mempunyai

pertimbannganpertimbangan tertentu di dalam pengambilan sampelnya atau

penentuan sampel untuk tujuan tertentu. oleh karena itu, sampling ini cocok untuk

studi kasus yang mana aspek dari kasus tunggal yang representatif diamati dan

dianalisis. Purposive sampling juga dapat didefinisakan sebagai suatu proses

pengambilan sampel dengan menentukan terlebih dahulu jumlah sampel yang

hendak diambil, kemudian pemilihan sampel dilakukan dengan berdasarkan

tujuan-tujuan tertentu, asalkan tidak menyimpang dari ciri-ciri sampel yang

ditetapkan(Ted Palys. 2008). Beberapa keuntungan menggunakan sampel dalam

suatu penelitian diantara sebagai berikut :

21

a. Memudahkan peneliti untuk jumlah sampel lebih sedikit dibandingkan

dengan menggunakan populasi dan apabila populasinya terlalu besar

ditakutkan akan terlewati.

b. Penelitian lebih efisien (dalam arti penghematan uang, waktu dan biaya)

c. Lebih teliti dan cermat dalam mengumpulkan data, artinya jika subjeknya

banyak di khawatirkan adanya bahaya bias dari orang yang

mengumpulkan data, karena sering dialami oleh staf bagian pengumpul

data yang mengalami kelelahan sehingga pencatatan data tidak akurat.

d. Penelitian lebih efektif, jika penelitian bersifat destruktif (merusak) yang

menggunakan spesemen akan hemat dan bisa dijangkau tanpa merusak

semua bahan yang ada serta bisa digunakan untuk menjaring populasi

yang jumlanya banyak. Sedangkan besar kecilnya sampel yang diambil

akan dipengaruhi oleh beberapa faktor.

2.3.5 Etika dalam Pengumpulan Data

Etika diperlukan dalam pengumpulan data untuk memberi batasan-batasan

pengumpul data dalam menjalankan tugasnya. Beberapa etika yang harus

diperhatikan ketika mengumpulkan data antara lain :

a. Memperlakukan informasi yang diberikan responden dengan memegang

prinsip kerahasiaan dan menjaga pribadi responden merupakan salah

satu tanggung jawab peneliti.

b. Peneliti tidak boleh mengemukakan hal yang tidak benar mengenai sifat

penelitian kepada subjek. Dengan demikian, peneliti harus

menyampaikan tujuan dari penelitian kepada subjek dengan jelas.

c. Informasi pribadi atau yang terlihat mencampuri sebaiknya tidak

ditanyakan, dan jika hal tersebut mutlak diperlukan untuk penelitian,

maka penyampaiannya harus diungkapkan dengan kepekaan yang tinggi

kepada responden, dan memberikan alasan spesifik mengapa informasi

tersebut dibutuhkan untuk kepentingan penelitian.

d. Apapun sifat metode pengumpulan data, harga diri dan kehormatan

subjek tidak boleh dilanggar.

22

e. Tidak boleh ada paksaan kepada orang untuk merespon survei dan

responden yang tidak mau berpartisipasi tetap harus dihormati.

f. Subjek tidak boleh dihadapkan pada situasi yang mengancam mereka,

baik secara fisik maupun mental.

g. Tidak boleh ada penyampaian yang salah atau distorsi dalam

melaporkan data yang dikumpulkan selama pwngumpulan data.

2.4 Tata Kelola TI

Tatakelola (governance) merupakan sesuatu proses yang dilakukan oleh

suatu organisasi atau masyarakat untuk mengatasi permasalahan yang terjadi.

Istilah tatakelola (governance) juga sering dikaburkan dengan istilah

pemerintahan (government), yang mana keduanya mempunyai arti yang berbeda.

Pemerintahan (government) dibangun untuk menjalankan tatakelola (governance).

Saat ini model dan prinsip tatakelola organisasi telah berkembang luas. Berbagai

standar dan pendekatan dipersyaratkan agar organisasi dapat menjalankannya.

The IT Governance Institute (ITGI) mendefinisikan tatakelola teknologi

informasi sebagai suatu bagian integral dari tatakelola perusahaan yang terdiri atas

kepemimpinan, struktur dan proses organisasional yang memastikan bahwa

teknologi informasi organisasi berlanjut serta meningkatkan tujuan dan strategi

organisasi. Sementara itu, Weill dan Ross (2004) mendefinisikan tatakelola TI

sebagai penspesifikasian hak keputusan dan kerangka akuntabilitas untuk

mengarahkan perilaku yang diinginkan dalam penggunaan TI. Mereka juga

menegaskan bahwa tatakelola TI tidak sekedar tentang pembuatan keputusan

spesifik tetapi lebih pada penentuan siapa yang secara sistematis membuat dan

berkontribusi pada keputusan tersebut. Untuk melakukan tata kelola TI yang baik,

maka perlu dilakukan langkah-langkah sebagai berikut :

a. Penentuan tingkat integrasi dan pengendalian organisasi atas investasi TI

pada suatu organisasi bisnis.

b. Adanya keselarasan integrasi antara TI dengan aktivitas bisnis mulai dari

tingkat lini, fungsi dan bidang pada organisasi.

23

c. Nilai-nilai instrinsik TI harus dimasukkan secara penuh kedalam setiap

aspek bisnis bukan hanya pada fungsi TI saja.

d. Perlu adanya rencana strategis dan tata kelola yang baik untuk organisasi.

e. Perlu adanya penyelarasan TI dengan tujuan organisasi dengan

memperhatikan sumber daya internal maupun eksternal.

f. Dalam penggunaan TI perlu adanya penyeleksian TI untuk efisiensi dan

efektifitas organisasi.

g. Penentuan kebijakan, baik secara nasihat, regulasi maupun informasional

pada setiap lini, fungsi dan bidang pada organisasi.

h. Pengkajian kinerja terkait keselarasan penggunaan TI dengan aktivitas

bisnis perlu dievaluasi dan dijadikan sebagai peningkatan kinerja

organisasi selanjutnya.

Sumber :

Andi.

Informasi. Yogyakarta.

2.4.1 Konsep Sistem Tatakelola TI

Konsep sistem tatakelola TI dijelaskan dalam perspekif struktur dan

perspektif proses. Sebagai struktur, tatkeloal TI dapat dilihat dari komponen dan

struktur yang membangun sistem tersebut. Dan sebagai suatu proses, tatakelola TI

dilihat dari implementasi serangkaian prosedur dan mekanisme antarkomponen

struktur dalam aktivitas nyata organisasi.

2.4.1.1 Struktur Sistem Tatakelola TI

Struktur sistem teknologi informasi menunjukkan komponen dan elemen

yang membangun stuktur sistem tersebut. Para pemangku kepentingan akan lebih

mudah menjelaskan dan mengurai sistem teknologi informasi dengan

menggunakan perspektif komponen atau struktur karena apa pun bentuk sistem

24

teknologi informasi maka struktur dan komponennya adalah sama, yaitu

komponen input, proses, output, kendali, simpanan dan teknologi.

Tata kelola teknologi informasi sebagai suatu sistem juga dapat diurai dan

dijelaskan dari perspektif struktur. Struktur tatakelola TI menunjukkan komponen

yang membangun sistem tatakelola TI, yaitu :

a. Archetype

Archetype menunjukkan struktur hak keputusan dan akuntabilitas

pembuatan keputusan terkait tatakelola TI, menunjukkan siapa yang

memilik hak dan besarnya proporsi keputusan yang terkait dengan

tatakelola TI.

b. Aktivas manusia

Aktivas manusia menunjukkan para pihak yang terlibat dalam proses

perancangan, implementasi dan pengawasan sistem tatakelola TI.

Komponen ini lebih mengarah pada peran dan fungsi masing-masing

pihak dalam siste tatakelola TI.

c. Kendali dan regulasi

Kendali dna regulasi menunjukkan seperangkat aturan yang menjadi

persyaratan agar diadopsi oleh organisasi yang menerapkan sistem

tatakelola TI. Komponen ini bersifat best practice yang dibangun oleh

lembaga berwenang dan menjadi panduan bagi organisasi dalam

mengembangkan sistem tatakelola TI. Beberapa regulasi yang terkait

sistem tatakelola TI yaitu COBIT, ISO 17799, ITIL dan Sarbanes-Oxley.

2.4.1.2 Proses Sistem Tatakelola TI

Komponen sistem tatakelola TI merupakan persyaratan yang harus

dipenuhi agar tatakelola TI dapat terbangun dalam bentuk sistem, namun sistem

tersebut tidak dapat menghasilkan manfaat jika tidak bekerja dengan baik. Sebagai

suatu proses, sistem tatakelola TI dapat dilihat dari peran dan fungsi masing-

masing komponen yang membentuk struktur tatakelola TI. Proses sistem

tatakelola TI dapat dilihat dari proses perancangan tatakelola TI, proses keputusan

TI, mekanisme penyelarasan strategi bisnis dan TI, mekanisme implementasi

25

keputusan TI, mekanisme pengawasan dan pengarahan perilaku pengguna dan

mekanisme evaluasi kerja TI.

Gambar 2.3 Proses Tatakelola TI

(Sumber : HM, Jogiyanto dan Wily Abdilah. 2011. Sistem Tatakelola Teknologi Informasi.

Yogyakarta: Andi.)

2.4.2 Area Fokus Tata Kelola TI

Pada dasarnya, tata kelola TI berkaitan dengan dua permasalahan utama yaitu

TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan

bisnis dan resiko yang terkait dengan TI akan ditangani dengan penentuan

penanggung jawab permasalahan tersebut dalam perusahaan. Penyelarasan bisnis dan

TI yang mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari tata

kelola TI. Terdapat 5 area yang menjadi fokus menurut tata kelola TI seperti pada

gambar 2.5, diantaranya penyelarasan strategis (strategic alignment), penyampaian

Proses Perancangan Tatakelola TI

Proses Keputusan TI

Mekanisme Penyelarasan Strategi

Bisnis dan TI

Mekanisme Evaluasi Kinerja TI

Mekanisme Pengawasan

Mekanisme Implementasi

Keputusan TI

Mekanisme Penyerahan Perilaku

Pengguna

26

nilai (value delivery), pengelolaan sumber daya (resource management), pengelolaan

risiko (risk management), dan pengukuran kinerja (performance measurement).

Gambar 2.4 Area Fokus Tata Kelola TI

www.itgi.org

Area yang menjadi fokus menurut tata kelola TI tersebut adalah sebagai berikut :

a. Strategic Alignment (Penyelarasan Strategis)

Berfokus pada hubungan bisnis dan rencana TI; mendefinisikan,

mempertahankan dan memvalidasi proposisi nilai teknologi informasi, dan

menyelaraskan operasi TI dengan operasi perusahaan secara keseluruhan.

b. Value Delivery (Penyampaian Nilai)

Value Delivery adalah tentang menjalankan proposisi nilai seluruh siklus

information delivery, memastikan bahwa informasi yang disampaikan

melalui teknologi informasi, memberikan manfaat yang dijanjikan, fokus

pada pengoptimalan biaya dan nilai intrinsik TI.

c. Resource Management (Pengelolaan Sumber Daya)

Resource Management adalah tentang mengoptimalkan investasi, dan

pengelolaan yang tepat. Sumber daya TI yang penting diantaranya :

aplikasi, informasi, infrastruktur dan manusia, serta yang berkaitan dengan

optimalisasi pengetahuan dan infrastruktur.

d. Risk Management (Manajemen Risiko)

Adanya peringatan risiko oleh senior corporate officer, pemahaman yang

jelas mengenai enterprise’s appetite for risk, memahami kepatuhan

27

persyaratan, adanya transparansi tentang risiko yang signifikan di

perusahaan.

e. Performance Measurement (Pengukuran Kinerja)

Meliputi aktivitas audit dan penilaian, serta pengukuran terhadap kinerja

secara berkelanjutan.

Sumber :

IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

HM, Jogiyanto dan Wily Abdilah. 2011. Sistem Tatakelola Teknologi Informasi. Yogyakarta:

Andi.

2.4.3 Model Tata Kelola TI

Terdapat berbagai jenis model/tools yang dapat digunakan sebagai alat

untuk mengetahui tingkat kematangan tatakelola teknologi informasi di dalam

suatu perusahaan ataupun organisasi. Model-model tata kelola teknologi informasi

tersebut diantaranya adalah sebagai berikut :

1. The IT Infrastructure Library (ITIL)

ITIL dikembangkan oleh The Office of Government Commerce (OGC)

suatu badan pemerintah di Inggris yang bekerja sama dengan The IT Servive

Management Forum (ITSMF) dan British Standard Institute (BSI). ITIL

merupakan suatu framework pengelolaan layanan teknologi informasi (IT Service

Management-ITSM) yang sudah banyak digunakan oleh industri-industri

pengembangan perangkat lunak. ITSM memfokuskan diri pada 3 (tiga) tujuan

utama, yaitu:

Menyelaraskan layanan TI dengan kebutuhan sekarang dan akan

datang dari bisnis dan pelangganya;

Memperbaiki kualitas layanan TI;

Mengurangi biaya jangka panjang dari pengelolaan layanan yang

dilaksanakan.

Standar ITIL berfokus pada pelayanan pelanggan dan tidak menyertakan

proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.

28

2. COSO

COSO merupakan kependekan dari Commite of Sponsoring Organization

of the Treadway Commision, sebuah organisasi di Amerika yang bertujuan untuk

mengembangkan kualitas pelaporan financial mencakup etika bisnis, kontrol

internal dan corporate governance. COSO framework terdiri dari 3 domain, yaitu:

a. Komponen kontrol COSO

COSO mengidentifikasi 5 jenis komponen kontrol yang diintegrasikan

dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol

internal yang terdiri dari:

Monitoring

Information and communications

Control activities

Risk assessment

Control environment

b. Sasaran kontrol internal

Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai

berikut:

Operations, efisiensi dan efektifitas operasi dalam mencapai sasaran

bisnis yang juga meliputi tujuan performansi dan keuntungan;

Financial reporting; persiapan pelaporan anggaran financial yang dapat

dipercaya;

Compliance; pemenuhan hukum dan aturan yang dapat dipercaya.

c. Unit/aktivitas terhadap organisasi

Unit ini mengidentifikasikan unit/aktifitas pada organisasi yang

menghubungkan kontrol internal. Kontrol internal menyangkut

keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal

seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.

3. ISO/IEC 17799.

ISO/IEC 17799 dikembangkan oleh The International Organization for

Standarization (ISO) dan The International Electrotechnical Commision (IEC).

29

ISO/IEC 17799 bertujuan untuk lebih memperdalam 3 (tiga) elemen dasar

keamanan informasi, yaitu :

a. Confidentiality, bagian ini fokus pada memastikan bahwa informasi hanya

dapat diakses oleh yang berhak;

b. Integrity, bagian ini fokus pada menjaga akurasi dan selesainya informasi

dan metode pemrosesan;

c. Availability, bagian ini fokus pada memastikan bahwa user yang

terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung

dengannya ketika diperlukan.

2.5 Definisi Audit TI

Audit SI/TI yang pada awalnya lebih dikenal sebagai EDP Audit

(Electronic Data Processing) telah mengalami perkembangan yang

pesat.Perkembangan Audit SI/TI ini didorong oleh kemajuan teknologi dalam

sistemkeuangan, meningkatnya kebutuhan akan kontrol TI, dan pengaruh dari

komputeritu sendiri untuk menyelesaikan tugas-tugas penting.

Ron Weber (1999) mendefinisikan Audit SI/TI sebagai proses

pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah

sistem informasi dapat melindungi aset, teknologi informasi yang ada telah

memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian

Tujuan Bisnis secara efektif dengan menggunakan sumber daya secara efektif.

Menurut ICASA, CISA Review (2004) audit SI/TI didefinisikan sebagai proses

sistematis yang dilakukan dengan memperhatikan keobjektifan dari pihak yang

kompeten dan indpenden dalam prolehan dan penilaian bukti-bukti terhadap

tuntutan-tuntutan yang terkait dengan hal-hal atau kejadian yang bersifat

ekonomis, tujuan dari kegiatan audit adalah memberikan gambaran kondisi

tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan

terhadap sekumpulan standar yang terdefinisi.

Riyanto Sarno (2009) mendefinisikan istilah audit SI/TI sebagai aktivitas

pengumpulan dan pengevaluasian bukti untuk penentuan apakah proses TI yang

berlangsung dalam perusahaaan telah dikelola sesuai dengan standar dan

30

dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah

telah memenuhi tujuan bisnis secara efektif. Dengan demikian, audit SI/TI dapat

menekankan pada penggunaan keterpaduan antara uji kepatutan maupun uji

secarasubstantif yang komposisi atau banyaknya digunakan secara seimbang

sesuai dengan kondisi proses yang diaudit. Pada hakekatnya audit sistem

informasi juga perlu dilakukan untuk memeriksa tingkat kematangan atau

kesiapan organisasi dalam melakukan pengelolaan TI. Adapun elemen utama dari

aktivitas peninjauan yang dilakukan dalam audit SI/TI dapat diklasifikasikan ke

dalam tinjauan penting berikut:

a. Tinjauan terkait dengan fisik dan lingkungan, yaitu hal-hal yang terkait

dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembapan

dan faktor lingkungan lain.

b. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem

operasi, sistem manajemen database, seluruh prosedur administrasi sistem

dan pelaksanannya.

c. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan

eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan

terhadap firewall, daftar kontrol akses router, port scanning serta

pendeteksian akan gangguan maupun ancaan terhadap sistem.

d. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup

dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi

pemulihan bencana/kontinuitas bisnis yang dimiliki.

e. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data

yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak

dari kurangnya kontrol yang ditetapkan.

Tinjauan tersebut dapat memberikan gambaran yang lebih jelas terhadap

manajemen terkait dengan kondisi eksisting proses bisnis yang terkait dengan TI.

Sebagai contoh, perangkat lunak mungkin telah didesain dan diimplementasi

dengan seluruh fitur keamanan yang ada, tetapi password milik super-user tidak

diubah dari yang diinisialisasikan oleh sistem di awal sehingga memungkinkan

pengaksesan data penting secara langsung.

31

Menurut Sanyoto (2007) panduan yang dipergunakan dalam audit SI/TI

untuk di Indonesia adalah standar Atestasi, dan aturan-aturan yang dikeluarkan

oleh organisasi akuntansi (IAI, AICPA atau CICA), maupun yang lebih

khususlagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian

internal lazimnya adalah COBIT. Berbeda dengan general audit yang bersifat

kewajiban hukum, audit IT Governance lebih bersifat memberikan keyakinan

pada top management apakah pengelolaan informasi di perusahaannya sudah baik.

Karena yang diaudit ialah tata kelola TI (IT Governance), maka yang diperiksa

antara lain adalah teknologi informasi itu sendiri dan istilah audit around

computer dan audit through the computer tidak relevan lagi. Audit SI

dimaksudkan untuk memberikan informasi kepada manajemen puncak agar

mempunyai “a clear assessment” terhadap sistem informasi yang

diimplementasikan pada organisasi tersebut. Perlu dipahami bahwa audit SI tidak

harus selalu merupakan penugasan lengkap mencakup seluruh aspek, melainkan

beberapa aspek penting sesuai kebutuhan organisasi. Jadi terdapat beberapa jenis

penugasan audit sistem informasi, misalnya seperti mengidentifikasi sistem yang

ada, memahami seberapa besar sistem informasi mendukung kebutuhan strategis

perusahaan, menganalisis tingkat kepentingan informasi, mengidentifikasi apakah

ada kesenjangan (gap) antara sistem dengan kebutuhan dan lain sebagainya.

2.5.1 Peranan Audit dalam Tata Kelola TI

Teknologi informasi saat ini menjadi bagian yang tak terpisahkan dalam

perusahaan, bukan lagi menjadi fungsi terpisah yang tidak terintegrasi dengan

bisnis. Bagaimana TI diaplikasikan dalam perusahaan akan mempengaruhi

seberapa jauh perusahaan telah mencapai visi, misi ataupun tujuan strategisnya.

Karena itulah, perusahaan perlu mengevaluasi pengelolaa TI tersebut yang

menjadi kian penting sebagai bagian dari tata kelola perusahaan secara

keseluruhan. Audit memainkan peranan penting dalam pengimplementasian tata

kelola TI diperusahaan. Besarnya resiko yang mungkin muncul akibat penerapan

TI disuatu perusahaan, membuat audit SI/TI semakin penting untuk dilakukan.

Beberapa alasan penting mengapa audit SI/TI perlu dilakukan antara lain :

32

a. Kerugian akibat kehilangan data

Data telah menjadi salah satu aset terpenting bagi perusahaan. Peran TI

dalam mengamankan data tersebut menjadi aspek yang perlu diperhatikan.

Hal tersebut mengingat kehilangan data mungkin akan berakibat terhadap

terhentinya aktivitas bisnis yang penting di perusahaan.

b. Resiko kebocoran data

Data bagi sebagian besar perusahaan merupakan sumber data yang tidak

ternilai. Informasi mengenai pelanggaran misalnya, bisa menjadi daya

saing perusahaan. Melalui proses audit, dapat diketahui kemungkinan

kebocoran data pelanggaran perusahaan.

c. Penyalahgunaan komputer

Kejahatan komputer kian meningkat seiring dengan perkembangan

teknologi informasi dan komunikasi. Kejahatan tersebut bisa muncul dari

pihak luar (hacker atau cracker) karena ingin mengambil keuntungan

sebanyak-banyaknya atau kebanggan pribadi, maupun oleh karyawan

perusahaan sendiri karena merasa tidak puas dengan kebijakan perusahaan.

d. Kerugian akibat kesalahan proses perhitungan

Salah satu alasan penggunaan TI adalah kemampuan dalam mengelola

data secara tepat dan akurat namun bukan tanpa resiko kesalahan. Resiko

tersebut akan menjadi semakin besar tanpa didukung dengan keberadaan

mekanisme pengembangan yang memadai yang evaluasi implementasinya

dapat dievalusi melalui audit sistem informasi.

e. Tingginya nilai investasi perangkat keras dan perangkat lunak

Investasi yang dikeluarkan untuk proyek TI sering kali besar namun

pengukuran manfaat yang diberikan TI terhadap bisnis sering kali sulit

diukur karena melibatkan banyak faktor dan kepentingan. Keberadaan

audit SI akan membantu pihak manajemen dalam memastikan penggunaan

TI sesuai dengan standar pengelolaan yang baik, kebijakan, hukum dan

33

regulasi yang berlaku sehingga dapat diarahkan untuk mendukung

pencapaian tujuan bisnis.

2.6 COBIT

Control Objective for Information and related Technology,

disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi

informasi. COBIT ialah menyediakan kebijakan yang jelas dan good practice

untuk IT governance, membantu manajemen senior dalam memahami dan

mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan

kerangka IT governance dan petunjuk control objective yang detail untuk

manajemen, pemilik proses bisnis, user dan auditor.

2.6.1 Definisi COBIT

Control Objective for Information and Related Technology atau yang biasa

disebut COBIT adalah sebuah set dari best practices (framework) bagi

pengelolaan teknologi informasi (IT management). COBIT disusun oleh the IT

Governance Institute (ITGI) dan Information System Audit and Control

Association (ISACA) tepatnya Information System Audit And Control

Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada

tahun 1996, edisi kedua pada tahun 1998, edisi ketiga pada tahun 2000 dan saat

ini adalah edisi keempat pada Desember 2005. COBIT juga merupakan

sekumpulan dokumentasi dan panduan yang mengarahkan pada tata kelola TI

yang dapat membantu auditor, manajemen, dan pengguna (user) untuk

menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan permasalahan

teknis. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat

membantu dalam identifikasi masalah kontrol TI. COBIT berguna bagi pengguna

TI karena memperoleh keyakinan atas kehandalan sistem aplikasi yang

dipergunakan. Para manajer memperoleh manfaat dalam keputusan investasi di

bidang TI serta infrastrukturnya, menyusun rencana TI yang strategis (strategic IT

plan), menentukan arsitektur informasi (information architecture) dan keputusan

atas procurement (pengadaan/pembelian) mesin. COBIT mendukung manajemen

34

dalam mengoptimumkan investasi TI melalui ukuran-ukuran yang akan

memberikan sinyal bahaya bila suatu kesalahan atau resiko akan terjadi. Sumber

daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk

pemenuhan kebutuhan bisnis terhadap efektivitas, efisiensi, kerahasiaan,

keterpaduan, etersediaan, kepatuhan, pada aturan dan keandalan informasi.

2.6.2 Komponen COBIT

Institute IT Governance telah melakukan penelitian dan bekerja sama

untuk menetapkan acuan manajemen untuk COBIT Framework dengan berbagai

kalangan misalnya analis, para pakar di dunia industri dan akademisi. Hasil dari

penelitian tersebut menetapkan 4 pedoman manajemen COBIT Framework yaitu

model maturity, Critical Sucesses Factor (CSF), Key Goals Indicator (KGI) dan

Key Performances Indicator (KPI), menetapkan pedoman audit dengan rincian

tiga puluh empat (34) proses untuk mengukur dan menilai proses TI dan

menetapkan tujuan pengendalian secara detail yang sangat berguna dan

dibutuhkan oleh auditor, para IT users, dan para manajer, seperti ditunjukkan pada

gambar 2.5 di bawah ini mengenai produk keluarga COBIT.

Gambar 2.5 Produk Keluarga COBIT

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

35

Paket keluarga COBIT secara lengkap dijelaskan sebagai berikut yang terdiri dari:

1. Executive Summary terdiri dari ikhtisar eksekutif yang memberikan

kesadaran dan pemahaman menyeluruh tentang konsep-konsep kunci dan

prinsip COBIT.

2. Framework membantu dalam mengorganisir tujuan tata kelola TI dan

praktek terbaik oleh proses dan domain TI, kemudian menghubungkannya

ke persyaratan bisnis.

3. Detailed Control objective memberikan wawasan kritis yang diperlukan

untuk menggambarkan kebijakan yang jelas dan latihan yang baik untuk

kontrol TI. Termasuk di sini pernyataan dari hasil yang diinginkan atau

tujuan yang ingin dicapai dan terdiri atas 4 tujuan pengendalian

tingkattinggi (high-level control objectives) yang tercermin dalam 4

domain,yaitu Planning & Organization, Acquisition & Implementation,

Delivery & Support, Dan Monitoring & Evaluate .

4. Audit Guidelines berisi sebanyak 318 tujuan-tujuan pengendalian yang

bersifat rinci (detailed control objectives) untuk membantu para auditor

dalam memberikan management assurance dan saran perbaikan.

5. Implementation Tool Set berisi management awareness dan diagnostic

pengendalian TI, panduan untuk penerapan (implementation guide),

pertanyaan yang paling sering diajukan (FAQ), studi kasus dari organisasi

saat ini yang menggunakan COBIT dan slide presentasi yang dapat

digunakan untuk memperkenalkan COBIT ke dalam organisasi. Set

perlengkapan ini dirancang untuk memfasilitasi pelaksanaan COBIT

dalam memberikan pelajaran mengenai organisasi yang cepat dan telah

berhasil menerapkan COBIT di lingkungan kerjanya dan dapat membantu

manajemen dalam memilih pilihan implementasi.

6. Management Guidelines yang dilengkapi pula dengan CSF, KPI, KGI,

maturity models untuk setiap prosesnya yang dapat memberikan bantuan

berupa penetapan tanggung jawab, pengukuran kinerja, perbandingan dan

kesenjangan dalam kemampuan (gap in capability).

36

Semua komponen COBIT saling berhubungan, memberikan dukungan untuk

kebutuhan pemerintahan, manajemen, pengendalian dan jaminan dari pengguna

yang berbeda, seperti yang ditunjukkan pada gambar 2.6 di bawah ini.

Gambar 2.6 Hubungan antar Komponen pada COBIT

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

Berdasarkan gambar diatas, terlihat hubungan antara komponen COBIT

yang dimulai dari business goals yang memenuhi persyaratan IT goals dan IT

Processed yang pengelolaannya dilakukan untuk memastikan bahwa informasi

dalam perusahaan dan TI yang terkait telah mendukung tujuan bisnis, sumber

daya serta resiko TI dikelola secara tepat. Proses-proses TI dipecah menjadi

aktivitas-aktivitas kunci yang dilakukan menurut RACI Chart.

RACI Chart (Responsible, Accountable, Consulted and Informed Chart)

yang digunakan untuk melihat tingkat dukungan struktur organisasi terhadap

proses-proses COBIT yang sudah dinilai tingkat kematangannya (maturity level).

Proses TI akan melalui tahapan pengukuran kinerja, hasil dan tingkat kematangan.

37

Pengukuran kinerja akan dilakukan identifikasi Critical Success Factor (CSF)

yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran

kinerja bagi setiap proses. Kriteria pengukuran kinerja tersebut dilambangkan

dengan indikator-indikatornya, yaitu indikator sasaran (Key Goal Indicator-KGI)

dan indikator kinerja (Key Performance Indicator-KPI). Critical Success Factor

dan indikator-indikator yang berelasi ditentukan dari COBIT.

Penentuan indikator sasaran dan indikator kinerja dari system informasi

dilakukan agar aktivitas-aktivitas terkendali sehingga memberikan jaminan bahwa

sasaran proses IT tersebut tercapai. Pengukuran terhadap tingkat kematangan

menggunakan maturity model atau model maturitas adalah untuk membantu

dalam melakukan benchmarking dan pembuatan keputusan dalam meningkatkan

kapabilitas. Hasil dari pengukuran masih dibagi ke dalam masingmasing control

objectives dan belum menggambarkan operasi internal yang dibutuhkan oleh

organisasi untuk mencapai tujuan bisnisnya.

Proses pengukuran dikombinasikan dengan proses pemetaan control

objectives COBIT ke dalam proses internal yang diperlukan oleh organisasi untuk

mencapai tujuan IT mereka. COBIT dapat dipakai sebagai alat yang komprehensif

untuk menciptakan IT Governance pada suatu perusahaan. COBIT

mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap

antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta

menyediakan referensi best business practices yang mencakup keseluruhan TI dan

kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur

aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif, yang

dapat digambarkan melalui gambar kerangka kerja tujuan kontrol teknologi

informasi di bawah ini :

38

Gambar 2.7 Kerangka Kerja Tujuan Kontrol TI

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya

melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila

suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen harus

memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik,

artinya dapat mendukung proses bisnis perusahaan yang secara jelas

menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan

dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.

Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk

pemenuhan kebutuhan bisnis terhadap : efektivitas, efisiensi, kerahasiaan,

keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan

informasi (effectiveness, efficiency, confidentiality, integrity, availability,

compliance, dan reliability). Kriteria kerja COBIT tersebut meliputi :

39

Tabel 2.1 Kriteria kerja COBIT

2.6.3 Kerangka Kerja COBIT

Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik

(best practices) dan bersifat generik, digunakan sebagai acuan dalam enentukan

sasaran kendali (Control objective) dan proses-proses TI yang diperlukan dalam

pengelolaan TI. Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali

untuk TI didekati dengan melihat informasi yang dibutuhkan untuk mendukung

sasaran dan kebutuhan bisnis, dan melihat informasi sebagai hasil paduan dari

berbagai penggunaan sumber daya TI yang harus di kelola melalui proses TI.

40

Gambar 2.8 Konsep Dasar Kerangka Kerja COBIT

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

Kerangka kerja COBIT terdiri dari 3 level control objectives, dimulai dari

level yang paling bawah yaitu Activities yang merupakan kegiatan rutin yang

memiliki konsep siklus hidup. Kumpulan activities dikelompokkan ke dalam

proses TI (IT processes), kemudian proses-proses TI yang memiliki permasalahan

yang sama dikelompokkan ke dalam domain.

2.6.3.1 Proses TI (IT Processes)

Kerangka kerja COBIT mendefiniskan 34 proses TI yang dikelompokkan

ke dalam 4 domain utama, yaitu :

a) Planning & Organisation (PO). Domain ini menitikberatkan pada proses

perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.

Lebih lanjut lagi, realisasi visi strategi perlu direncanakan,

dikomunikasikan dan dikelola untuk sudut pandang yang berbeda. Suatu

pengorganisasian yang memadai seperti infrastruktur teknologi harus

ditempatkan sebagaimana mestinya.

b) Acquisition & Implementation (AI). Domain ini menjelaskan bahwa untuk

merealisasikan strategi TI, maka solusi TI perlu untuk diidentifikasikan,

dikembangkan atau didapatkan, dan juga untuk diimplementasikan dan

diintegrasikan kedalam proses-proses bisnis. Perubahan dalam dan

41

pemeliharaan atas sistem-sistem yang sudah ada dicakup dalam domain ini

untuk memastikan bahwa siklus hidup dilanjutkan untuk sistem tersebut.

c) Delivery & Support (DS). Domain ini menitik beratkan pada proses

pelayanan TI dan dukungan teknisnya. Permasalahan pemenuhan layanan

TI, keamanan sistem, kesinambungan layanan, pelatihan, dan pendidikan

untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain ini

mencakup pemrosesan aktual dengan system aplikasi, yang seringkali

diklasifikasikan menurut pengendalian aplikasi.

d) Monitor & Evaluate (ME). Domain ini menitikberatkan pada proses

pengawasan pengelolaan TI pada organisasi, termasuk pemeriksaan

internal dan eksternal. Seluruh kendali-kendali yang diterapkan pada

proses-proses TI harus diawasi dan dinilai kelayakannya secara berkala.

Penekanan pada domain ini adalah pada pengawasan manajemen atas

independen yang diberikan dengan melakukan audit internal dan eksternal

atau diperoleh dari sumber-sumber alternatif.

Setiap domain memiliki karakteristik yang berbeda. Peran dan fungsi dari

masing-masing domain adalah sesuai dengan siklus struktur kerangka kerja

COBIT seperti pada gambar 2.9 di bawah. Gambar tersebut terdapat sumber daya

TI yang secara prinsip tersedia dalam jumlah terbatas. Menyediakan informasi

yang mendukung sasaran dan kebutuhan bisnis, maka penggunaan sumber daya TI

perlu diatur dan dilakukan sesuai siklus langkah-langkah yang terbagi kedalam

empat domain tersebut.

42

Gambar 2.9 Definisi Proses IT COBIT dengan 4 domain

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

COBIT juga bertujuan untuk menangani tujuan bisnis (business objective)

di sebuah perusahaan. Control objectives telah memperjelas dalam mengendalikan

hubungan dengan tujuan bisnis untuk mendukung penggunaan yang signifikan

diluar dari komunitas audit. Control objectives juga didefinisikan sebagai cara

yang berorientasi pada proses serta mengikuti prinsip bisnis dari rekayasa ulang.

43

Penggunaan klasifikasi dari domain-domain termasuk juga high-level

control-objectives, sebuah indikasi dari persyaratan bisnis untuk informasi dari

domain tersebut, serta dampak utama dari sumber daya TI dengan tujuan

pengendalian, dapat digunakan secara bersama-sama membentuk sebuah COBIT

framework. Kerangka ini pun didasarkan pada aktivitas penelitian yang

mengidentifikasi 34 high-level control-objectives dan 318 tujuan pengendalian

secara rinci. Masing-masing domain yang terdiri dari high-level control-objectives

tersebut dijelaskan pada tabel 2.2 berikut:

Tabel 2.2 Proses Teknologi Informasi (IT Processes)

Proses Perencanaan & Persiapan (Plan and Organise)

Domain Proses TI (IT Process)

PO 01 Menentukan Rencana TI yang Stategis

PO 02 Menentukan Arsitektur Informasi

PO 03 Menentukan Arah Teknologi

PO 04 Mementukan Proses TI, Struktur Organisasi dan Hubungan

PO 05 Mengelola Investasi TI

PO 06 Mengkomunikasikan Arah dan Tujuan Manajemen

PO 07 Mengelola Sumber Daya Manusia di Bidang TI

PO 08 Mengelola Kualitas

PO 09 Mengelola dan Menilai Resiko TI

PO 10 Mengelola Proyek

Proses Memperoleh dan Menerapkan (Acquire and Implement)

Domain Proses TI (IT Process)

AI 01 Mengidentifikasi Solusi Otomatis

AI 02 Memperoleh dan Memelihara Aplikasi Perangkat Lunak

44

AI 03 Memperoleh serta Memelihara Infrastruktur Teknologi

AI 04 Mengaktifkan Operasi dan Penggunaan

AI 05 Pengadaan Sumber Daya Ti

AI 06 Pengelolaan Perubahan

AI 07 Instalasi, Akreditasi Solusi dan Perubahan

Proses Memberi dan Mendukung (Deliver and Support)

Domain Proses TI (IT Process)

DS 01 Menetapkan dan Mengelola Tingkat Pelayanan

DS 02 Pengelolaan Jasa Pihak Ketiga

DS 03 Mengelola Kinerja dan Kapasitas

DS 04 Memastikan Pelayanan yang Berkelanjutan

DS 05 Memastikan Keamanan Sistem

DS 06 Mengidentifikasi dan Mengalokasikan Biaya

DS 07 Pendidikan dan Pelatihan untuk Pengguna

DS 08 Pengelolaan Service Desk dan Insiden

DS 09 Pengelolaan Konfigurasi

DS 10 Pengelolaan Masalah

DS 11 Pengelolaan Data

DS 12 Pengelolaan Lingkungan Fisik

DS 13 Pengelolaan Pekerjaan

Proses Memantau dan Mengevaluasi (Monitor and Evaluate)

Domain Proses TI (IT Process)

ME 01 Memantau dan Mengevaluasi Kinerja TI

ME 02 Memantau dan Mengevaluasi Pengendalian Internal

45

ME 03 Menjamin Kepatuhan dengan Persyaratan Eksternal

ME 04 Menyediakan Tata Kelola TI

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA : IT Governance Institute . Page

171)

Masing-masing proses TI tersebut juga dilengkapai dengan control

objective sehingga kerangka kerja COBIT menyediakan keterkaitan yang jelas

antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Berikut ini

adalah proses TI pendukung tata kelola TI berdasarkan COBIT.

Tabel 2.3 Proses TI Pendukung Tata Kelola TI berdasarkan COBIT

Berdasarkan tabel 2.3 diatas, maka COBIT mendukung tata kelola TI

dengan menyediakan kerangka kerja yang memastikan bahwa TI selaras dengan

kebutuhan bisnis, TI yang mendukung bisnis dengan lebih baik dan mampu

46

memaksimumkan manfaat, penggunaan sumber daya TI yang bertanggung jawab

serta resiko TI dikelola dengan tepat. Proses-proses TI yang didefinisikan dalam

kerangka kerja COBIT akan mendukung pemenuhan fokus area yang berbeda

beda dalam tata kelola TI. Dukungan dan pemenuhan tersebut dapat

dikelompokkan menjadi dua jenis yakni dukungan primer (P) dan sekunder (S)

seperti yang terlihat pada tabel diatas.

2.6.3.2 Kebutuhan Bisnis

COBIT mengidentifikasikan kebutuhan bisnis perusahaan yang terbagi ke

dalam tujuh kriteria informasi yang kemudian dikelompokkan ke dalam tiga

aspek, yaitu :

1. Quality requirements

a. Efektivitas yaitu Untuk memperoleh informasi yang relevan dan

berhubungan dengan proses bisnis seperti penyampaian informasi

dengan benar, konsisten, dapat dipercaya dan tepat waktu.

b. Efisiensi yaitu memfokuskan pada ketentuan informasi melalui

penggunaan sumber daya yang optimal.

2. Security requirements

a. Kerahasiaan yaitu memfokuskan proteksi terhadap informasi yang

penting dari orang yang tidak memiliki hak otorisasi.

b. Integritas yaitu berhubungan dengan keakuratan dan kelengkapan

informasi sebagai kebenaran yang sesuai dengan harapan dan nilai

bisnis.

c. Ketersediaan yaitu berhubungan dengan informasi yang tersedia ketika

diperlukan dalam proses bisnis sekarang dan yang akan datang.

3. Fiduciary requirements

a. Kepatuhan yaitu sesuai menurut hukum, peraturan dan rencana

perjanjian untuk proses bisnis.

b. Keakuratan informasi yaitu berhubungan dengan ketentuan kecocokan

informasi untuk manajemen mengoperasikan entitas dan mengatur

pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.

47

2.6.3.3 Sumber Daya TI

Menurut IT Governance Institute Team (2000) pada buku Audit Guidelines

page 13-14, kerangka kerja COBIT mendefinisikan sumber daya TI ke dalam lima

kategori, yaitu :

1. Data merupakan objek-objek yang diartikan dalam pengertian yang

luas, terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.

2. Aplication system meliputi prosedur manual dan aplikasi komputer.

3. Technology meliputi perangkat keras, sistem operasi, sistem manajemen

database, jaringan (networking), multimedia dan sebagainya.

4. Facilities semua sumber daya untuk menyimpan dan mendukung

system informasi.

5. People meliputi keahlian staff, kesadaran dan produktivitas untuk

Merencanakan,mengorganisasikan, memperoleh, menyampaikan,

mendukung, mengawasi dan mengevaluasi layanan dan sistem

informasi.

2.6.4 Model Kematangan COBIT

Pengukuran kinerja TI bertujuan agar kontribusi yang diberikan TI dapat

selaras dan terarah dengan startegi yang ditetapkan pihak manajemen, diperlukan

analisis kinerja dari penggunaan TI yang menggambarkan penilaian kemampuan

kerja sehingga dapat diketahui pemenuhan terhadap pencapaian yang diharapkan.

Bila dikaitkan dengan sasaran dan tujuan perusahaan, maka pengukuran kinerja TI

dapat dijadikan sebagai dasar untuk penilaian keberhasilan atau kegagalan

aktivitas yang berhubungan dengan TI dalam memenuhi tujuan TI dan lebih jauh

lagi tujuan bisnis terkait. Paparan berikut akan menjelaskan mengenai Maturity

Model, Critical Success Factors, Key Goal Indicators, dan Key Performance

Indicators dengan mengacu pada Framework COBIT. Suatu organisasi harus

memahami sistem TI yang dimilikinya agar dapat menentukan pengendalian dan

perbaikan yang tepat bagi sistem TI tersebut. Maturity modeling bagi manajemen

dan pengendalian terhadap proses TI didasarkan pada metode yang digunakan

48

untuk mengevaluasi organisasi. COBIT mempunyai model kematangan (maturity

models) untuk mengontrol proses-proses TI dengan menggunakan metode

penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang

dimilikinya dari skala non-existent sampai dengan optimized (dari 0 sampai 5).

Maturity models ini akan memetakan hal-hal sebagai berikut:

1. Current status dari organisasi untuk melihat posisi organisasi saat ini.

2. Current status dari standar internasional sebagai perbandingan

tambahan.

3. Current status dari kebanyakan industri saat ini sebagai perbandingan.

4. Strategi organisasi dalam rangka perbaikan level yang ingin dicapai

oleh organisasi. Pemetaan yang dimaksudkan adalah setelah mengetahui kondisi

organisasi, maturity model akan memberikan peluang kepada organisasi untuk

melakukan perbandingan terhadap tuntutan standar internasional, terhadap praktik

terbaik di lingkungan organisasi, dan terhadap strategi organisasi. Dapat

membantu manajemen organisasi untuk menentukan kekurangan manajemen TI,

dan membantu organisasi untuk menentukan sasaran berdasarkan perbandingan

sebelumnya. Secara khusus, pengendalian tingkat kematangan akan tergantung

pada kebutuhan organisasi terhadap TI, kecanggihan teknologi dan nilai dari

informasinya. Skala maturity model akan membantu untuk menjelaskan

kekurangan manajemen proses TI kepada pihak manajemen dan membantu

menentukan target yang ingin dicapai. Berikut ini merupakan penentuan range

nilai dari 0 (non-existent) sampai dengan 5 (optimized) yang dijabarkan dalam

maturity model sebagai berikut:

49

Gambar 2.10 Grafik Maturity Model

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

Masing-masing dari 34 proses TI, memiliki skala pengukuran tambahan,

berdasarkan peringkat "0" sampai “5”. Skala ini berhubungan dengan deskripsi

generik dari model kematangan kualitatif mulai dari "Non Existent" sampai

dengan "Optimized" dengan penjelasan pada tabel 2.4 sebagai berikut :

Tabel 2.4 Tingkat Kedewasaan (Maturity level) dalam COBIT

Level 0

Tidak ada (Non-existent), organisasi belum mengenal isu permasalahan

yang harus diarahkan atau diselesaikan. Setiap proses atau masalah

yang ada tidak terdefinisi dengan jelas.

Level 1

Inisialisasi (Initial), organisasi telah memiliki bukti dalam mengenal

permasalan-permasalahan yang ada, namun perlu diarahkan. Secara

umum organisasi belum memiliki standar pengelolaan yang terorganisir

dan terdokumentasi dengan baik sehingga perlu ada pendekatan yang

dilakukan untuk tiap individu yang terkait dalam organisasi.

Level 2

Dapat diulang (Repetable), level ini telah mengalami perkembangan,

telah ada prosedur untuk menjalankan proses yang didefinisikan, belum

ada pelatihan formal & prosedur komunikasi yang standar. Tanggung

jawab & kepercayaan diberikan pada tiap individu tanpa ada standar

baku pengopersian sehingga kadang terjadi kesalahan.

50

Level 3

Ditetapkan (Defined), sudah ada prosedur yang memiliki standar dan

didokumentasikan dengan baik, sudah ada pelatihan formal untuk

mengkomunikasikan prosedur dan kebijakan yang dibuat. Namun pada

tahap implementasinya masih tergantung pada individu apakah mau

melakukan prosedur yang ditetapkan atau tidak. Prosedur yang dibuat

masih terbatas pada bentuk formalisasi dari praktek yang ada.

Level 4

Diatur (Managed), prosedur dan kebijakan yang ada sudah dilakukan

secara efektif, dapat dipantau dan diukur sehingga apabila terjadi

kesalahan sudah memiliki sederetan prosedur untuk tindakan perbaikan

yang akan dilakukan. Perbaikan dilakukan secara konsisten dan

memberikan praktek dan hasil terbaik. Sudah digunakan peralatan dan

teknologi namun belum otomasi dan masih terbatas.

Level 5

Dioptimalkan (optimized), proses yang dilakukan telah dilakukan

upaya perbaikan yang berkelanjutan sehingga menghasilkan proses dan

hasil yang terbaik. Sudah ada penggunaan teknologi informasi yang

terintegrasi untuk melakukan otomatisasi dilingkungan organisasi,

sudah tersedia alat dan pendukung lainnya yang dapat meningkatkan

kualitas dan efektifitas kinerja,dan organisasi sudah stabil dan dapat

beradaptasi dengan baik.

Keuntungan dari pendekatan maturity model adalah bahwa hal tersebut

relatif mudah bagi manajemen untuk menempatkan diri pada skala dan

memperhatikan apa yang terlibat jika ingin meningkatkan kinerja. Skala 0-5

didasarkan pada skala kematangan sederhana yang menunjukkan bagaimana

proses berkembang dari “non-existent” ke “optimized”. Tingkat kedewasaan dan

kemampuan juga identik dengan peningkatan resiko manajemen dan peningkatan

efisiensi.

51

2.6.4.1 Faktor Sukses Kritis (Critical Success Factors-CSF)

Menurut IT Governance Institute Team. 2000. COBIT Management

Guidelines (page 14-16) Critical Success Factors (CSF) dapat memberikan

panduan kepada manajemen dalam menerapkan kontrol TI dan prosesnya. Critical

Success Factors merupakan hal yang penting dilakukan untuk proses yang

berkontribusi dengan proses TI dalam mencapai tujuannya dan biasanya

berhubungan dengan kemampuan dan keterampilan, terfokus dan berorientasi

pada aksi, dan pemanfaatan sumber daya. Prinsip dan model ini mengidentifikasi

sejumlah Critical Success Factors yang biasanya berlaku untuk semua proses

yang memiliki hubungan dengan apa yang menjadi standar, siapa yang

membuatnya, siapa yang mengkontrol atau membutuhkan tindakan dan lain

sebagainya seperti di bawah ini.

1. Proses ditetapkan dan didokumentasikan

2. Kebijakan ditetapkan dan didokumentasikan

3. Akuntabilitas jelas

4. Dukungan kuat / komitmen dari manajemen

5. Konsisten dalam mengukur praktek.

Siklus kontrol TI beserta proses pengendaliannya merupakan

perbandingan dari norma-norma, standar dan sasaran yang kemudian dijadikan

dasar untuk membentuk sebuah tindakan yaitu berupa proses pengendalian.

Output yang dihasilkan dari proses pengendalian tersebut adalah berupa control

terhadap informasi. Hal ini dilakukan berulang dan kembali lagi ke awal siklus.

Lebih lanjut dalam mengembangkan Critical Success Factors dapat

diperoleh juga dengan memeriksa tujuan dan pemantauan terhadap kerangka

pedoman tata kelola TI. Beberapa norma sederhana yang dijadikan dasar adalah

untuk hal-hal di bawah ini yaitu :

1. TI harus selaras dengan bisnis

2. TI memungkinkan untuk bisnis dan memaksimalkan manfaatnya

3. Sumber daya TI digunakan secara bertanggung jawab

4. Resiko terkait TI harus dikelola dengan tepat.

52

Model kontrol standar, biasanya akan terjadi pada lapisan yang berbeda,

pimpinan tim melaporkan dan menerima arahan dari manajernya, kemudian

manajer melaporkan ke eksekutif dan eksekutif kepada dewan direksi. Laporan

juga menunjukkan penyimpangan dari target yang biasanya sudah termasuk

rekomendasi untuk tindakan pendukung. Beberapa hal yang harus dicatat bahwa

prinsip-prinsip kontrol yang dibutuhkan memiliki tingkatan yang berbeda, yaitu

pada tingkat strategis, taktis dan administrasi. Biasanya ada empat jenis kegiatan

di setiap tingkatan yang mengikuti satu sama lain, yaitu perencanaan (plan),

melakukan (do), memeriksa (check) dan mengoreksi (correct) . Siklus pengaturan

TI dapat dijelaskan sebagai sebuah pengaturan TI ditentukan oleh praktek terbaik

yang menjamin informasi dan teknologi terkait dalam sebuah perusahaan dapat

mendukung tujuan bisnisnya, sumber daya dipergunakan dengan tanggung jawab

dan resiko terkait. Praktek tersebut membentuk dasar arahan bagi kegiatan TI

yang dapat dikelompokan kedalam domain PO, AI, DS dan ME dengan tujuan

untuk pengaturan dalam memperoleh keamanan, keandalan dan pemenuhan serta

mendapat keuntungan dalam meningkatkan efektivitas, dan efisiensi. Output yang

didapat berupa laporan yang dikeluarkan melalui hasil kegiatan atau aktivitas TI,

yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya,

kembali lagi ke awal siklus. Berdasarkan model kontrol standar dan kerangka tata

kelola TI, sejumlah critical success factor yang berlaku untuk sebagian besar

proses TI dapat disimpulkan sebagai berikut :

1. Diterapkan untuk TI secara umum

a) Proses TI ditetapkan dan diselaraskan dengan strategi TI dan tujuan

bisnis.

b) Mengetahui harapan dari para pelanggan.

c) Proses terukur dan sumber daya secara tepat dikelola.

d) Kinerja TI diukur dalam hal keuangan, dalam kaitannya dengan

kepuasan pelanggan, dan untuk efektivitas proses.

e) Upaya peningkatan mutu berkelanjutan diterapkan.

53

2. Diterapkan untuk sebagian besar proses TI

a) Semua stakeholder sadar akan resiko dari pentingnya TI dan

peluang yang dapat ditawarkan, dan memberikan komitmen

yang kuat serta dukungan.

b) Tujuan dan sasaran yang dikomunikasikan dalam semua disiplin

ilmu dan sudah dipahami.

c) Orang merupakan fokus tujuan dan memiliki informasi yang tepat

untuk pelanggan.

d) Ada integrasi dan keselarasan proses utama, misalnya, perubahan,

masalah dan manajemen konfigurasi.

e) Kontrol praktek diterapkan untuk meningkatkan penggunaan yang

efisien dan mengoptimalkan sumber daya serta meningkatkan

efektivitas proses.

3. Diterapkan untuk tata kelola TI

a) Kontrol praktek diterapkan untuk meningkatkan transparansi,

mengurangi kompleksitas, mempromosikan pembelajaran,

memberikan fleksibilitas dan skalabilitas, menghindari kerusakan

dalam pengendalian internal serta pengawasan.

b) Tata Kelola TI diakui dan didefinisikan, dan ada kegiatan yang

terintegrasi ke dalam proses tata kelola perusahaan, serta

memberikan kejelasan dari arah strategi TI, kerangka kerja

manajemen resiko, sistem pengawasan dan kebijakan keamanan.

c) Berfokus pada proyek utama tata kelola TI, inisiatif perubahan dan

upaya peningkatan kualitas, dengan kesadaran utama terhadap

proses TI, tanggung jawab dan sumber daya yang diperlukan serta

kemampuan.

d) Sebuah komite audit dibentuk untuk menunjuk dan mengawasi

auditor independen, dan meninjau hasil audit dan pendapat dari

pihak ke-3.

54

2.6.4.2 Indikator Kunci Keberhasilan (Key Goals Indicator-KGI)

Menurut IT Governance Institute Team. 2000. COBIT Management

Guidelines (page 17) Sebuah Key Goal Indicators yang mewakili tujuan proses,

adalah mengukur dari "apa" yang harus dicapai. Hal ini merupakan indicator

terukur dari proses pencapaian suatu tujuan yang sering didefinisikan sebagai

target yang akan dicapai. Perbandingan KGI terhadap Key Performance Indicator

(KPI akan dibahas dalam bagian berikutnya) adalah mengenai ukuran dari

"seberapa baik" melakukan proses ini. Hubungan tersebut kemudian digambarkan

pada gambar di bawah dengan konsep Balanced Business Scorecard, yang juga

memperlihatkan ukuran hasil dari tujuan dan ukuran kinerja relatif terhadap

penghubung untuk tujuan yang akan dicapai. Dalam konteks ini perlu diingat

bahwa TI adalah penghubung utama dari bisnis.

Gambar 2.11 Konsep Balanced Bussiness Scorecard

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

COBIT framework juga dibahas mengenai tujuan untuk TI dalam hal

kriteria informasi dan kebutuhan bisnis untuk mencapai tujuan bisnis, yang

biasanya akan dinyatakan dalam hal ketersediaan terhadap sistem dan layanan,

tidak adanya integritas dan resiko kerahasiaan, biaya efisiensi proses dan operasi,

konfirmasi kehandalan, serta efektivitas dan kepatuhan. Tujuan untuk TI

kemudian dapat dinyatakan sebagai informasi yang memberikan kebutuhan bisnis

sesuai dengan kriteria tersebut. Kriteria informasi ini disediakan dalam

55

management guidelines dengan indikasi apakah memiliki proses primer atau

sekunder yang sedang diperiksa. Profil kriteria informasi suatu perusahaan akan

lebih spesifik ditampilkan pada gambar berikut ini:

1. Availability yaitu ketersediaan informasi yang dibutuhkan untuk

mendukung kebutuhan bisnis.

2. Integrity and confidentaly yaitu integritas dan keamanan sistem.

3. Cost-efficiency yaitu efisiensi biaya dari proses dan operasi yang

dilakukan.

4. Reliability, effectiveness and compliance yaitu tingkat kehandalan,

efektifitas proses dan ketaatan terhadap prosedur, hukum atau

regulasi.

2.6.4.3 Indikator Kunci Pelaksanaan (Key Performance Indicator-KPI)

Menurut IT Governance Institute Team. 2000. COBIT Management

Guidelines (page 20-21) Key Performance Indikator (KPI) merupakan ukuran

yang digunakan untuk menunjukkan kinerja dari setiap proses TI. KPI biasanya

berupa indikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya

TI. KPI berfokus terhadap bagaimana sebuah proses dijalankan, sedangkan KGI

berfokus pada hasil dari proses. Berdasarkan pada prinsip-prinsip Balanced Score

Card, maka hubungan antara Key Performance Indikator dan Key Goal Indicator

adalah sebagai berikut:

Gambar 2.12 Hubungan KPI dan KGI

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

56

Key Performance Indicators adalah indikator yang fokus dan terukur dari

kinerja faktor-faktor pendukung proses TI, yang menunjukkan seberapa baik

proses dapat memungkinkan suatu tujuan dapat tercapai. Key Goal Indicator

berfokus pada “apa”, sedangkan Key Performance Indicators berfokus dengan

”bagaimana”. Biasanya Key Goal Indicator dan Key Performance Indicators

sering akan menjadi ukuran dari Critical Success Factor (CSF) dan ketika

dipantau serta ditindaklanjuti, maka akan mengidentifikasi peluang untuk

perbaikan proses. Perbaikan ini harus positif dalam mempengaruhi hasil. Key

Performance Indicators memiliki hubungan sebab-akibat dengan proses Key Goal

Indicator. Pengukuran komposit disarankan untuk Key Performance Indicators

dan, dalam beberapa kasus adalah untuk Key Goal Indicator.

Sebuah contoh dapat mengukur kecukupan untuk organisasi TI, sebagai

salah satu nomor, fokus bisnis staf TI, moral dan kepuasan kerja. Indeks kualitas

rencana oleh pemantauan, ketepatan waktu, kelengkapan dan Sementara Key Goal

Indicator adalah yang berorientasi proses dan mengungkapkan bagaimana

baiknya proses dalam organisasi serta mengelola sumber daya yang dibutuhkan.

Mirip dengan Key Goal Indicator, Key Performance Indicators juga sering

dinyatakan sebagai angka atau persentase. Satu set generik Key Performance

Indicators tercantum di bawah ini dan biasanya berlaku untuk semua proses IT:

1. Diterapkan untuk TI secara umum

a) Mengurangi waktu siklus (respon produksi TI dan pengembangan).

b) Meningkatkan kualitas dan inovasi.

c) Pemanfaatan bandwidth komunikasi dan daya komputasi.

d) Layanan ketersediaan dan waktu respon.

e) Kepuasan stakeholder (survei dan jumlah keluhan).

f) Jumlah staf yang terlatih dalam teknologi yang baru

2. Diterapkan untuk sebagian besar proses TI

a) Peningkatan efisiensi biaya proses (biaya vs kiriman).

b) Produktivitas Staf (jumlah kiriman) dan moral (survei).

c) Jumlah kesalahan dan pengerjaan ulang.

57

3. Diterapkan untuk tata kelola TI

a) perbandingan (benchmark).

b) Jumlah ketidakpatuhan pelaporan.

2.6.5 Penentuan Tingkat Kematangan (Maturity level)

Penentuan tingkat kematangan bukan hanya menggambarkan pengukuran

sejauh mana perusahaan telah memenuhi standar proses pengelolaan TI yang baik.

Lebih jauh lagi, tingkat kematangan tersebut seharusnya dapat digunakan untuk

peningkatan kesadaran akan kepentingan pengelolaan proses TI sekalipun

pengidentifikasian prioritas dalam peningkatan yang dilakukan. Perlu dipahami

bahwa istilah tingkat kematangan yang dimaksud merupakan representasi

kematangan proses TI yang berlangsung di perusahaan (dalam bentuk

nilai/angka). Adapun level kematangan dimaksud sebagai pengelompokkan dari

level nol atau non-existent hingga level lima atau optimized. Nilai tingkat

kematangan akan akan menunjukkan level kematangan proses TI dengan

pengidentifikasian secara menyeluruh terhadap setiap level. Penentuan tingkat

kematangan pada dasarnya merupakan bagian dari pengujian kepatutan terhadap

aktifitas yang seharusnya dilakukan atau ada di tiap proses TI berdasarkan

kerangka kerja COBIT sesuai tingkatan levelnya. Pernyataan-pernyataan tersebut

merupakan rincian untuk mengetahui tingkat kematangan proses TI di setiap level.

Pada tiap level kematangan akan terdapat daftar pernyataan yang dapat

dijadikan acuan untuk menilai sejauh mana proses yang berlangsung dalam

organisasi atau perusahaan telah memenuhi pernyataan tersebut. Penentuan

tingkat kematangan akan dilakukan pada setiap proses TI dan dilakukan terhadap

semua level, mulai dari level nol, hingga level lima. Penentuan tingkat kepatutan

ditentukan berdasarkan kerangka kerja COBIT yang menyediakan

pengelompokkan kapabilitas perusahaan dalam pengelolaan proses TI dari level

nol atau non-existent hingga level lima atau optimized. Hal yang perlu

diperhatikan adalah level tersebut bukan dimaksudkan sebagai kenaikan

sekuensial yang harus dipenuhi mulai dari tingkatan terendah hingga tertinggi.

Pemenuhannya dapat dilakukan terhadap beberapa level kepatutan secara

58

bersamaan. Pemenuhan kematangan dapat terjadi pada sebagian level nol hingga

level lima, kemudian tingkat kematangan dihitung sesuai dengan total dari

perkalian kontribusi dengan tingkat kepatutan dari levellevel bersangkutan.

Tingkat kepatutan ditentukan berdasarkan kerangka kerja COBIT yang

menyediakan pengelompokkan kapabilitas perusahaan dalam pengelolaan proses

TI dari level nol sampai level lima (optimized). Hal yang perlu diperhatikan adalah

level tersebut bukan dimaksudkan untuk sebagai kenaikan sekuensial yang harus

dipenuhi mulai dari tingkatan terendah hingga tertinggi. Pemenuhannya dapat

dilakukan terhada beberapa level kepatutan secara bersamaan. Pemenuhan

kematangan dapat terjadi pada sebagian level nol hingga level lima, kemudian

tingkat pemenuhan kematangan dihitung sesuai dengan total dari perkalian

kontribusi dengan tingkat kepatutan dari level-level bersangkutan. Penentuan hal

serupa akan dilakukan pada tiap level dalam proses TI terkait.

2.7. Perbandingan Model Tata Kelola TI

2.7.1 COBIT dengan ITIL

Tabel di bawah ini menunjukkan bahwa ITIL sangat fokus kepada proses

desain dan implementasi TI, serta pelayanan pelanggan (customer service), hal ini

diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT

dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL

tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan

pengelolaan TI. Proses pada domain ME sama sekali tidak dilakukan oleh ITIL,

hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan

kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.

59

Tabel 2.5 Matrik Proses COBIT dengan ITIL

2.7.2 COBIT dengan ISO/IEC 17799

Tabel 2.4 menunjukkan bahwa ISO/IEC 17799 melakukan hampir 77

persen (76,5%) dari proses pada seluruh domain COBIT. Hal ini menunjukkan

ISO/IEC17799 mempunyai spektrum luas dalam pengelolaan TI sebagaimana

halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail

proses-proses yang dilakukan dalam domain-domain tersebut.

Tabel 2.6 Matrik Proses COBIT dengan ISO/IEC 17799

2.7.3 COBIT dengan COSO

Tabel 2.5 di bawah ini menunjukkan bahwa COSO melakukan sebagian

proses di domain PO, AI, dan DS, namun tidak satupun proses pada domain ME

dilakukan. Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan

TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan

implementasi TI, tetapi tidak melakukan pengawasan yang akan memastikan

kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.

60

Tabel 2.7 Matrik Proses COBIT dengan COSO

2.7.4 Perbandingan COBIT dengan ITIL, ISO/IEC17799, dan COSO

Perbandingan antara model standar pengelolaan TI terlihat pada tabel 2.6

di bawah ini mengenai matrik proses COBIT, ITIL, ISO17799 dan COSO yang

memperlihatkan bahwa model-model standar selain COBIT tidak memiliki range

spektrum seluas COBIT. Model-model tersebut hanya melakukan sebagian dari

proses-proses pengelolaan yang ada di dalam COBIT.

Tabel 2.8 Matrik Proses COBIT dengan ITIL, ISO/IEC17799 dan COSO

Gambar 2.13 di bawah ini memetakan standar COBIT dengan standar lainnya

dalam hal kelengkapan proses-proses TI yang dilihat dalam dua dimensi, yaitu

sebagai berikut :

a) Vertikal yang melihat kedetailan atau kedalaman standar dalam hal

teknis dan operasional.

b) Horizontal yang melihat kelengkapan proses-proses TI.

61

Gambar 2.13 Pemetaan COBIT terhadap ITIL, ISO17799 dan COSO

Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.

Selain itu juga dapat dilihat bahwa COBIT mempunyai kompromi antara

dimensi horisontal dan vertikal yang lebih baik dari standar-standar lainnya.

COBIT mempunyai spektrum proses TI yang lebih luas dan lebih mendetail. ITIL

merupakan standar yang paling mendetail dan mendalam dalam mendefinisikan

proses-proses TI yang bersifat teknis dan operasional. Sedangkan COSO

mempunyai detail yang dangkal, walaupun spektrum proses teknis dan

operasionalnya cukup luas.