bab ii tinjauan pustaka - sinta.unud.ac.id ii.pdf · april 1993 serta diumumkan dalam berita negara...
TRANSCRIPT
6
BAB II
TINJAUAN PUSTAKA
Pembahasan bab ini antara lain latar belakang perusahaan yang meliputi
sejarah, visi dan misi perusahaan, struktur organisasi, tujuan dan sasaran serta
peraturan yang mengatur tentang Audit SI/TI. Dasar teori berisikan penjelasan
mengenai teori-teori penunjang yang digunakan dalam pembahasan permasalahan
dalam penelitian ini antara lain mengenai COBIT 4.1 secara detail dan pengujian
audit.
2.1 Latar Belakang Perusahaan
PT. X (Persero) Bandar Udara Ngurah Rai Bali adalah sebuah perusahaan
Badan Usaha Milik Negara (BUMN) yang memberikan pelayanan lalu lintas
udara dan bisnis bandar udara di Indonesia yang menitikberatkan pelayanan pada
kawasan Indonesia bagian tengah dan kawasan Indonesia bagian timur.
2.1.1 Sejarah PT. X Bandar Udara Ngurah Rai Bali
Sejarah Perseroan sebagai pelopor pengusahaan kebandarudaraan secara
komersial di Indonesia bermula dari Perusahaan Negara (PN) Angkasa Pura
Kemayoran yang dibentuk pada tanggal 15 November 1962 dengan Peraturan
Pemerintah (PP) Nomor 33 tahun 1962. Tugas pokoknya adalah pengelolaan dan
pengusahaan Bandar Udara Kemayoran Jakarta yang saat itu merupakan satu-
satunya bandar udara internasional yang melayani penerbangan dari dan ke luar
negeri selain penerbangan domestik. Setelah melalui masa transisi selama dua
tahun, terhitung sejak 20 Februari 1964 PN Angkasa Pura Kemayoran resmi
mengambil alih secara penuh aset dan operasional Pelabuhan dara Kemayoran
Jakarta dari Pemerintah. Tanggal 20 Februari 1964 itulah yang kemudian
ditetapkan sebagai hari jadi Perseroan. Dalam perkembangannya, untuk lebih
memperluas cakupan kerja mengelola bandar udara lain di wilayah Indonesia,
berdasarkan PP Nomor 21 tahun 1965 PN Angkasa Pura Kemayoran berubah
7
nama menjadi Perusahaan Negara (PN) Angkasa Pura sejak tanggal 17 Mei 1965.
Berdasarkan PP Nomor 37 tahun 1974, status badan hokum perusahaan diubah
menjadi Perusahaan Umum (Perum). Tutupnya Bandar Udara Internasional
Kemayoran sejak tanggal 1 Oktober 1985, seluruh kegiatan operasi perusahaan
dialihkan ke Bandar Udara Soekarno-Hatta. Pembagian wilayah pengelolaan
Bandar udara, berdasarkan PP Nomor 25 tahun 1987, sejak tanggal 19 Mei 1987
Perum Angkasa Pura berubah nama menjadi Perum Perseroan bersamaan dengan
dibentuknya Perum Perseroan I yang khusus bertugas mengelola Bandar Udara
Soekarno-Hatta dan Halim Perdanakusuma. Berdasarkan PP Nomor 5 Tahun
1992, bentuk Perusahaan Umum (Perum) diubah menjadi Perseroan Terbatas (PT)
yang sahamnya dimiliki sepenuhnya oleh Negara Republik Indonesia sehingga
namanya menjadi PT Angkasa Pura 1 (Persero) dengan Akta Notaris Muhani
Salim, SH tanggal 3 Januari 1993 dan telah memperoleh persetujuan Menteri
Kehakiman dengan keputusan Nomor: C2-470.HT.01.01 Tahun 1993 tanggal 24
April 1993 serta diumumkan dalam Berita Negara Republik Indonesia Nomor 52
tanggal 29 Juni 1993 dengan Tambahan Berita Negara Republik Indonesia
Nomor: 2914/1993. Perubahan Anggaran Dasar Perusahaan terakhir adalah
berdasarkan keputusan Rapat Umum Pemegang Saham tanggal 14 Januari 1998
dan telah diaktakan oleh Notaris Imas Fatimah, SH Nomor 30 tanggal 18
September 1998. Perubahan Anggaran Dasar tersebut telah mendapat pengesahan
dari Menteri Kehakiman Republik Indonesia Nomor: C2-25829. HT.01.04 Tahun
1998 tanggal 19 November 1998 dan dicantumkan dalam Berita Negara Republik
Indonesia Nomor 50 tanggal 22 Juni 1999 dengan Tambahan Berita Negara
Republik Indonesia Nomor 3740/1999.
2.1.2 Sejarah Bandar Udara Internasional Ngurah Rai- Bali
Berawal dari Tuban Bandara Ngurah Rai di bangun pada tahun 1930 oleh
Departement Voor Verkeer En Waterstaats (semacam departemen pekerjaan
umum). Landasan pacu berupa Airstrip sepanjang 700 meter dari rumput di
tengah ladang dan pekuburan di desa Tuban, masyarakat sekitar menamakan
Airstrip ini sebagai Pelabuhan Udara Tuban.
8
Pelabuhan Udara Tuban tahun 1942 Airstrip South Bali dibom oleh tentara
Jepang, yang kemudian dikuasai untuk tempat mendaratkan pesawat tempur dan
pesawat angkut mereka. Airstrip yang rusak akibat pengeboman diperbaiki oleh
tentara Jepang dengan menggunakan Pear Still Plate (sitem plat baja). Lima
berikutnya 1942-1947, Airstrip mengalami perubahan. Panjang landas pacu
menjadi 1200 meter dari semula 700 meter. Tahun 1949 dibangun gedung
terminal dan menara pengawas penerbangan sederhana yang terbuat dari kayu.
Komunikasi penerbangan menggunakan Transciever kode morse. Pelabuhan
Udara Internasional Tuban untuk meningkatkan Pariwisata Bali, pemerintah
Indonesia kembali membangun gedung terminal Internasional dan perspanjangan
landasan pacu kearah barat yang semula 1200 meter menjadi 2700 meter dengan
overun 2 x 100 meter. Proyek yang berlangsung dari tahun 1963-1969 diberi
nama proyek Airport Tuban dan sekaligus sebagai Internasional Pelabuhan Udara
Tuban. Proses reklamasi pantai sejauh 1500 meter dilakukan dengan mengambil
material batu kapur yang berasal dari Ungasan dan batu kali serta pasir dari sungai
Antosari-Tabanan. Seiring selesai Temporary Terminal dan Runway pada proyek
Airport Tuban, pemerintah meresmikan pelayanan penerbangan Internasional di
Pelabuhan Udara Tuban, tanggal 10 agustus 1966.
Pelabuhan Internasional Ngurah Rai penyelesaian pengembangan pelabuhan
Udara Tuban ditandai oleh peresmian Presiden Soeharto pada tanggal 1 agustus
1969,yang sekaligus menjadi momen perubahan nama dari pelabuhan Udara
Tuban menjadi pelabuhan Udara Internasional Ngurah Rai (Bali International
Airport Ngurah Rai). Mengantisipasi lonjakan penumpang dan cargo, maka pada
tahun 1975 sampai dengan 1978 pemerintah Indonesia kembali membangun
fasilitas-fasilitas penerbangan,antara lain dengan membangun teminal
Internasional Baru. Gedung terminal lama selanjutnya di alih fungsikan menjadi
Terminal Domestik, sedangkan terminal Domestik yang lama digunakan sebagai
gedung cargo,usaha jasa catering dan gedung serbaguna. Pengembangan Fasilitas
Bandara dan Keselamatan Penerbangan (FBUKP) tahap 1 proyek FBUKP tahap 1
(1990-1992) meliputi perluasan terminal yang lengkapi dengan Aviobridge,
perpanjangan landasan pacu 3000 meter, relokasi Taxiway, perluasan Apron,
9
pengembangan gedung Cargo, gedung operasi serta pengembangan fasilitas
Navigasi Udara dan fasilitas Catu Bahan Bakar Pesawat Udara.
Pengembangan fasilitas bandara dan keselamatan penerbanagan (FBUKP)
tahap 2 proyek FBUKP tahap 2 (1998-2000), pengembangan Bandara dikerjakan
oleh Direktorat Jenderal Perhubungan Udara,antara dengan memamfaatkan hutan
bakau seluas 12 Ha untuk digunakan sebagai Fasilitas Keselamatan Penerbangan.
Pengembangan Fasilitas Bandara dan Keselamatan Bandara dan Keselamatan
Penerbangan (FBUKP) tahap. Rencana proyek FBUKP tahap 3 meliputi
pengembangan gedung terminal, gedung parkir,dan Apron. Luas terminal
Domestik saat ini hanya akan dikembangkan hingga total luas mencapai 12.000 m
yang nantinya akan digunakan sebagai terminal Internasional. Eksisting Terminal
Internasional akan dialih fungsikan menjadi terminal Domestic. Kondisi tersebut,
Bandara Ngurah Rai akan mampu menampung hingga 25 juta penumpang.
2.1.3 Visi dan Misi Perusahaan
Perusahaan pastilah memiliki visi dan misi untuk menyokong kinerja
perusahaan. Berikut merupakan visi dan misi dari PT. X Bandar Udara Ngurah
Rai Bali.
2.1.3.1 Visi Perusahaan
Menjadi salah satu dari sepuluh perusahaan pengelola bandar udara
terbaik di Asia.
2.1.3.2 Misi Perusahaan
PT. X Bandar Udara Ngurah Rai Bali mempunyai beberapa misi penting
yang di pakai pedoman untuk melakukan semua aktifitas di perusahaan yaitu :
a) Meningkatkan nilai pemangku kepentingan
b) Menjadi mitra pemerintah dan pendorong pertumbuhan ekonomi
c) Mengusahakan jasa kebandarudaraan melalui pelayanan prima yang
memenuhi standar keamanan, keselamatan, dan kenyamanan
d) Meningkatkan daya saing perusahaan melalui kreatifitas dan inovasi
e) Memberikan kontribusi positif terhadap lingkungan hidup
10
2.1.4 Lima Arah Strategis Perusahaan
PT. X Bandar Udara Ngurah Rai Bali memiliki lima arah strategis untuk
kemajuan perusahaan. Lima arah strategis ini dipakai sebagai pedoman untuk
mengembangkan perusahaan kedepannya.
Gambar 2.1 Lima Arah Strategis Perusahaan
a. Service Excellence
1. Peningkatan CSI
2. Peremajaan Alat-alat Produksi
3. Pelaksanaan Pembangunan Bandara DPS,BPN,T2 SUB
4. Pemenuhan Jumlah SDM dan Fasilitas Produksi
b. Revenue Enhancement
1. Optimalisasi sistem kerjasama dengan mitra/konsesioner
2. Peningkatan Pendapatan Aeronautika dan Non Aeronautika
3. Pembentukan anak perusahaan
c. Reasonable Cost
1. Efektifitas penggunaan anggaran
2. Menjaga keseimbangan peningkatan pendapatan terhadap peningkatan
biaya
11
d. Environment
1. Penyaluran program Kemitraan
2. Pemberian Dana Program Bina Lingkungan
3. Penerapan Eco Green Airport
4. Dampak sosial&ekonomi serta penyerapan tenaga kerja lokal
e. Sound Organization
1. Restrukturisasi organisasi
2. Workshop budaya baru perusahaan
3. Pencanangan Center For Excelent
4. Management training melalui strategic patnership
5. Penetapan Master Plan IT
6. Reaktivasi training untuk berbagai level
Sumber : http://www.angkasapura1.co.id/5-arah-strategis
2.1.5 Struktur Organisasi Perusahaan
Setiap perusahaan pastilah memiliki struktur organisasi untuk mengatur
kinerja dan proses bisnis yang terjadi dalam perusahaan tersebut. PT. X Bandar
Udara Ngurah Rai Bali dengan jangkauan pasar yang luas memiliki struktur
organisasi yang kompleks.
12
Gambar 2.2 Bagan Struktur Organisasi PT.Angkasa Pura I Ngurah Rai Bali
http://bali-airport.com/
Organisasi ini dikepalai oleh Seorang Kepala Cabang yang dibantu oleh Tujuh
Section Head yaitu Airport Operation Dept. Head, Airport Readiness Dept.
Head, Airport Security Dept. Head, SMS QM & Cs Dept. Head, Sales Dept.Head,
Finance & IT Dept. Head, Shared Service Dept. Head. Terdapat tujuh divisi
utama pada organisasi perusahaan ini yang masing-masing diawasi oleh jajaran
Section Head. Bagan struktur organisasi perusahaan di PT. X Bandar Udara
Ngurah Rai Bali dapat dilihat pada gambar 2.2.
13
2.2 Metode Penelitian
Pengertian Penelitian menurut Kerlinger (1986) adalah proses penemuan
yang mempunyai karakteristik sistematis, terkontrol, empiris, dan mendasarkan
pada teori dan hipotesis atau jawaban sementara. Menurut Yoseph dan Yoseph,
1979, penelitian adalah art and science guna mencari jawaban terhadap suatu
permasalahan. Seni dan ilmiah maka penelitian juga akan memberikan ruang-
ruang yang akan mengakomodasi adanya perbedaan tentang apa yang dimaksud
dengan penelitian. Metodologi penelitian adalah sekumpulan peraturan, kegiatan,
dan prosedur yang digunakan oleh pelaku suatu disiplin ilmu. Metodologi juga
merupakan analisis teoritis mengenai suatu cara atau metode. Penelitian
merupakan suatu penyelidikan yang sistematis untuk meningkatkan sejumlah
pengetahuan, juga merupakan suatu usaha yang sistematis dan terorganisasi untuk
menyelidiki masalah tertentu yang memerlukan jawaban. Hakekat penelitian dapat
dipahami dengan mempelajari berbagai aspek yang mendorong penelitian untuk
melakukan penelitian (Sukardi:2003).
2.2.1 Metode Penelitian Kualitatif
Pendekatan penelitian kualitatif sering disebut dengan naturalistic inquiry
atau inkuiri alamiah. Macam, cara atau corak analisis data kualitatif suatu
penelitian, perbuatan awal yang senyatanya dilakukan adalah membaca fenomena.
Setiap data kualitatif mempunyai karakteristiknya sendiri. Teori dalam penelitian
kualitatif disusun melalui dasar yang ditemukan selalui induktif. Data kualitatif
berada secara tersirat di dalam sumber datanya. Sumber data kualitatif adalah
catatan hasil observasi, transkrip wawancara mendalam (depth interview), analisis
konten dan dokumen-dokumen terkait berupa tulisan ataupun gambar. Penelitian
kualitatif adalah penelitian yang tidak menggunakan model-model matematik,
statistik atau komputer. Proses penelitian dimulai dengan menyusun asumsi dasar
dan aturan berpikir yang akan digunakan dalam penelitian. Penelitian kualitatif
merupakan penelitian yang dalam kegiatannya peneliti tidak menggunakan angka
dalam mengumpulkan data dan dalam memberikan penafsiran terhadap hasilnya.
Hasil penelaahan pustaka yang dilakukan Moleong atas hasil dari mensintesakan
14
pendapatnya Bogdan dan Biklen (1982:27-30) dengan Lincoln dan Guba
(1985:39-44) ada sebelas ciri penelitian kualitatif, yaitu :
1. Penelitian kualitatif mennggunakan latar alamiah atau pada konteks dari
suatu keutuhan (enity)
2. Penelitian kualitatif instrumennya adalah manusia, baik peneliti sendiri
atau dengan bantuan orang lain
3. Penelitian kualitatif menggunakan metode kualitatif
4. Penelitian kualitatif menggunakan analisis data secara induktif
5. Penelitian kualitatif lebih menghendaki arah bimbingan penyusunan teori
subtantif yang berasal dari data
6. Penelitian kualitatif mengumpulkan data deskriptif (kata-kata dan gambar)
bukan angka-angka
7. Penelitian kualitatif lebih mementingkan proses daripada hasil
8. Penelitian kualitatif menghendaki adanya batas dalam penelitiannya atas
dasar fokus yang timbul sebagai masalah dalam penelitian
9. Penelitian kualitatif meredefinisikan validitas, realibilitas dan objektivitas
dalam versi lain dibandingkan dengan yang lazim digunakan dalam
penelitian klasik
10. Penelitian kualitatif menyusun desain yang secara terus menerus
disesuaikan dengan kenyataan lapangan (bersifat sementara)
11. Penelitian kualitatif menghendaki agar pengertian dan hasil interpretasi
yang diperoleh dirundingkan dan disepakati oleh manusia yang dijadikan
sumber data.
Karakteristik metodologi penelitian secara jelas akan mewarnai setiap langkah
kegiatan dalam pelaksanaan penelitian. Kurangnya pemahaman peneliti terhadap
karakteristik metodologi tersebut dapat berakibat terhadap rendahnya kualitas
penelitian yang dilakukan. Beberapa karakteristik penelitian kualitatif antara lain
sebagai berikut:
1. Permasalahan Masa Kini
Subjek peristiwa yang diteliti bukan masa lampau seperti dalam penelitian
sejarah. Dengan demikian penelitian kualitatif bersifat empirik dengan
15
sasaran penelitiannya yang berupa beragam permasalahan yang terjadi di
masa kini.
2. Natural Setting
Topik penelitian kualitatif diarahkan pada kondisi asli apa adanya, sesuai
dengan dimana, dan kapan subjek penelitian berada. Sasaran penelitian
berada dalam posisi kondisi asli seperti apa adanya secara alami tanpa
rekayasa penelitian.
3. Bersifat Holistik
Penelitian kualitatif memandang berbagai masalah selalu berada dalam
kesatuannya tidak terlepas dari kondisi yang lain yang menyatu dalam
suatu konteks. Berbagai variabel yang dikaji tidak bisa dipahami secara
terpisah dari posisi keterkaitanya dalam suatu konteks keseluruhan.
4. Memusatkan pada deskripsi
Penelitian kualitatif memusatkan pada kegiatan ontologis, sehingga data
yang dikumpulkan terutama berupa kata kata, kalimat atau gambar
memiliki makna yang lebih nyata daripada sekedar angka atau frekuensi.
5. Analisis induktif
Penelitian kualitatif menekankan pada analisis induktif. Data yang
dikumpulkan bukan dimaksudkan untuk mendukung atau menolak
hipotesis penelitian, tetapi abstraksi disusun sebagai kekhususan yang
telah terkumpul dan dikelompokkan melalui proses pengumpulan data
yang dilakukan secara teliti.
Penelitian kualitatif menuntut keteraturan, ketertiban dan kecermatan dalam
berpikir, tentang hubungan data yang satu dengan data yang lain dan konteksnya
dalam masalah yang akan diungkapkan. Beberapa alasan mengenai maksud
dilakukannya penelitian kualitatif antara lain(Iskandar, 2009):
1. Untuk menanggulangi banyaknya informasi yang hilang seperti yang
dialami oleh penelitian kuantitatif, sehingga intisari konsep yang ada
dalam data dapat diungkap.
16
2. Untuk menanggulangi kecenderungan menggali data empiris dengan
tujuan membuktikan kebenaran hipotesis berdasarkan berpikir deduktif
seperti dalam penelitian kuantitatif.
3. Untuk menanggulangi kecenderungan pembatasan variabel yang
sebelumnya, seperti dalam penelitian kuantitatif, padahal permasalahan
dan variabel dalam masalah sosial sangat kompleks.
4. Untuk menanggulangi adanya indeks-indeks kasar seperti dalam penelitian
kuantitatif yang menggunakan pengukuran enumirasi (perhitungan)
empiris, padahal inti sebenarnya berada pada konsep-konsep yang timbul
dari data.
2.2.2 Metode Penelitian Deskriptif
Penelitian deskriptif adalah penelitian yang bertujuan untuk
mendeskripsikan apa yang saat ini berlaku dan di dalamnya terdapat upaya
mendeskripsikan, mencatat, analisis dan menginterprestasikan kondisi-kondisi
yang sekarang ini terjadi. Penelitian deskriptif bertujuan untuk memperoleh
informasi-informasi mengenai keadaan saat ini serta melihat kaitan antara
variabel-variabel yang ada. Penelitian ini tidak menguji hipotesa atau tidak
menggunakan hipotesa, melainkan hanya mendeskripsikan informasi apa adanya
sesuai dengan variabel-variabel yang diteliti. Penelitian semacam ini sering
dilakukan guna mengambil kebijakan atau keputusan untuk melakukan atau
memberi solusi dalam memecahkan masalah.
Beberapa karakteristik penelitian deskriptif antara lain sebagai berikut:
1. Bertujuan untuk mendeskripsikan variabel-variabel utama subjek studi,
misalnya mengenai umur, jenis kelamin, pendidikan, pekerjaan, ekonomi
dan lain-lain yang disesuaikan dengan tujuan penelitian.
2. Penelitian deskriptif murni tidak membutuhkan kelompok kontrol sebagai
pembanding karena yang dicari adalah fenomena tertentu atau untuk
memperoleh gambaran tentang hal-hal yang berkaitan dengan masalah
kesehatan.
17
3. Terdapatnya hubungan sebab akibat hanya merupakan perkiraan yang
didasarkan atas tabel silang yang disajikan. Penyajian data hasil penelitian
dapat berupa tabel distribusi frekuensi, tabel silang dan grafik.
4. Hasil penelitian hanya disajikan sesuai dengan data yang diperoleh tanpa
dilakukan analisis yang mendalam.
5. Pengumpulan data dilakukan dalam satu saat atau satu periode tertentu dan
setiap subjek studi penelitian hanya diamati satu kali.
Menurut Robert C. Bogdan (1992, p.30) menyatakan bahwa "Qualitative
research is descriptive". Ahli tersebut menyatakan penelitian kualitatif
adalah deskriptif yang dimaksud dalam mengumpulkan data, seluruh data
dituliskan apa adanya dengan upaya mengilustrasikan kondisi sebenarnya
yang terjadi pada objek. Penelitian yang dilakukan secara deskriptif adalah
penelitian yang digunakan dengan metode untuk mengumpulkan data hasil
survei dengan pengamatan sederhana. Selanjutnya peneliti menggolongkan
kejadian-kejadian tersebut berdasarkan pengamatan melalui kuisioner,
pengumpulan pendapat, dan pengamatan fisik.
2.3 Metode Pengumpulan Data
Teknik pengumpulan data dalam penelitian merupakan faktor penting
demi keberhasilan penelitian. Hal ini berkaitan dengan bagaimana cara
mengumpulkan data, siapa sumbernya, dan apa alat yang digunakan. Jenis sumber
data adalah mengenai dari mana data diperoleh. Data diperoleh dari sumber
langsung (data primer) atau data diperoleh dari sumber tidak langsung (data
sekunder). Metode pengumpulan data merupakan teknik atau cara yang dilakukan
untuk mengumpulkan data. Metode menunjuk suatu cara sehingga dapat
diperlihatkan penggunaannya melalui angket, wawancara, pengamatan, tes,
dokumentasi dan sebagainya. Sedangkan instrumen pengumpul data merupakan
alat yang digunakan untuk mengumpulkan data. Instrumen dapat berupa lembar
cek list, kuesioner (angket terbuka / tertutup), pedoman wawancara, foto dan
lainnya.
18
2.3.1 Sumber Data
Sumber data terbagi menjadi dua yaitu data primer dan data sekunder.
Data primer adalah data yang diperoleh peneliti secara langsung (dari tangan
pertama), sementara data sekunder adalah data yang diperoleh peneliti dari
sumber yang sudah ada. Contoh data primer adalah data yang diperoleh dari
responden melalui kuesioner, kelompok fokus, dan panel, atau juga data hasil
wawancara peneliti dengan nara sumber. Contoh data sekunder misalnya catatan
atau dokumentasi perusahaan berupa absensi, gaji, laporan keuangan publikasi
perusahaan, laporan pemerintah, data yang diperoleh dari majalah, dan lain
sebagainya.
2.3.2 Wawancara
Wawancara merupakan teknik pengumpulan data yang dilakukan melalui
tatap muka dan tanya jawab langsung antara pengumpul data maupun peneliti
terhadap nara sumber atau sumber data. Wawancara pada penelitian sampel besar
biasanya hanya dilakukan sebagai studi pendahuluan karena tidak mungkin
menggunakan wawancara pada 1000 responden, sedangkan pada sampel kecil
teknik wawancara dapat diterapkan sebagai teknik pengumpul data (umumnya
penelitian kualitatif). Wawancara terbagi atas wawancara terstruktur dan tidak
terstruktur. Wawancara terstruktur artinya peneliti telah mengetahui dengan pasti
apa informasi yang ingin digali dari responden sehingga daftar pertanyaannya
sudah dibuat secara sistematis. Peneliti juga dapat menggunakan alat bantu tape
recorder, kamera photo, dan material lain yang dapat membantu kelancaran
wawancara. Wawancara tidak terstruktur adalah wawancara bebas, yaitu peneliti
tidak menggunakan pedoman wawancara yang berisi pertanyaan yang akan
diajukan secara spesifik, dan hanya memuat poin-poin penting masalah yang ingin
digali dari responden. Wawancara dapat dilaksanakan melalui dua cara yaitu
wawancara tatap muka dan wawancara via telepon. Wawancara tatap muka
memiliki beberapa kelebihan antara lain dapat membangun hubungan dan
memotivasi responden, dapat mengklarifikasi pertanyaan, menjernihkan keraguan,
serta menambah pertanyaan baru, dapat membaca isyarat non verbal serta dapat
19
memperoleh data lebih banyak. Kekurangan dari wawancara tatap muka yaitu
dalam pengerjaannya membutuhkan waktu yang lama, biaya besar jika responden
yang akan diwawancara berada di beberapa daerah terpisah, Responden mungkin
meragukan kerahasiaan informasi yang diberikan, pewawancara perlu dilatih,
dapat menimbulkan bias pewawancara, responden bias menghentikan wawancara
kapanpun. Wawancara via telepon memiliki beberapa kelebihan, antara lain biaya
lebih sedikit dan lebih cepat dari warancara tatap muka, dapat menjangkau daerah
geografis yang luas, anomalitas lebih besar dibanding wawancara pribadi (tatap
muka). Sedangkan kelemahannya antara lain isyarat non verbal tidak bisa dibaca,
wawancara harus diusahakan singkat, nomor telepon yang tidak terpakai bias
dihubungi, dan nomor yang tidak terdaftar pun dihilangkan dari sampel.
2.3.3 Kuisioner
Kuisioner adalah daftar pertanyaan tertulis yang telah disusun sebelumnya.
Pertanyaan- pertanyaan yang terdapat dalam kuisioner, atau daftar pertanyaan
tersebut cukup terperinci dan lengkap dan biasanya sudah menyediakan pilihan
jawaban (kuesioner tertutup) atau memberikan kesempatan responden menjawab
secara bebas (kuesioner terbuka). Penyebaran kuesioner dapat dilakukan dengan
beberapa cara seperti penyerahan kuesioner secara pribadi, melalui surat, dan
melalui email. Masingmasing cara ini memiliki kelebihan dan kelemahan, seperti
kuesioner yang diserahkan secara pribadi dapat membangun hubungan dan
memotivasi respoinden, lebih murah jika pemberiannya dilakukan langsung dalam
satu kelompok, respon cukup tinggi. Namun kelemahannya adalah organisasi
kemungkinan menolak memberikan waktu perusahaan untuk survey dengan
kelompok karyawan yang dikumpulkan untuk tujuan tersebut.
2.3.4 Teknik Sampling
Kata lain dari sampel adalah “contoh”. Sedangkan pengambilan sampel
dari suatu populasi disebut penarikan sampel atau sampling. Populasi yang ditarik
sampelnya pada waktu merencanakan suatu penelitian disebut target population,
sedangkan populasi yang akan diteliti pada waktu melakukan penelitian disebut
20
sampling population. Masalah yang akan dihadapi dalam penarikan sampel ini
adalah pada penarikan sampel dan ukuran besar sampel. Hal ini sangat tergantung
pada sifat populasi, terutama pada ketersebaran anggota dalam wilayah penelitian
atau dalam kategori-kategori tertentu atau juga tergantung pada variasi populasi.
Sampel dapat ditentukan berdasarkan pertimbangan masalah, tujuan, hipotesis,
metode dan instrumen penelitian di samping pertimbangan waktu, tenaga dan
pembiayaan. Agar diperoleh sampel yang refresentatif, harus diupayakan agar
setiap subjek dalam populasi memiliki peluang yang sama menjadi unsur sampel.
Semakin tinggi atau besar variasi dari populasi, maka makin besar sampel yang
dibutuhkan. Penarikan sampel ini, terdapat dua macam teknik yang sering atau
umumnya dilakukan, yaitu probability sampling dan nonprobability sampling.
Mengenai besarnya sampel tidak ada ketentuan yang baku atau rumus yang pasti,
karena sahnya sampel terletak pada sifat dan karakteristiknya mendekati populasi
atau tidak, bukan pada besar atau banyaknya. Minimal sampel sebanyak 30
subjek. Hal ini didasarkan atas perhitungan atau syarat pengujian yang lazim
digunakan dalam statistik. Nonprobability sampling ialah teknik sampling yang
tidak memberikan kesempatan (peluang) pada setiap anggota populasi untuk
dijadikan anggota sampel. Purposive sampling dikenal juga dengan sampling
pertimbangan. Purposive sampling merupakan salah satu jenis dari teknik
nonprobability sampling yang digunakan peneliti jika peneliti mempunyai
pertimbannganpertimbangan tertentu di dalam pengambilan sampelnya atau
penentuan sampel untuk tujuan tertentu. oleh karena itu, sampling ini cocok untuk
studi kasus yang mana aspek dari kasus tunggal yang representatif diamati dan
dianalisis. Purposive sampling juga dapat didefinisakan sebagai suatu proses
pengambilan sampel dengan menentukan terlebih dahulu jumlah sampel yang
hendak diambil, kemudian pemilihan sampel dilakukan dengan berdasarkan
tujuan-tujuan tertentu, asalkan tidak menyimpang dari ciri-ciri sampel yang
ditetapkan(Ted Palys. 2008). Beberapa keuntungan menggunakan sampel dalam
suatu penelitian diantara sebagai berikut :
21
a. Memudahkan peneliti untuk jumlah sampel lebih sedikit dibandingkan
dengan menggunakan populasi dan apabila populasinya terlalu besar
ditakutkan akan terlewati.
b. Penelitian lebih efisien (dalam arti penghematan uang, waktu dan biaya)
c. Lebih teliti dan cermat dalam mengumpulkan data, artinya jika subjeknya
banyak di khawatirkan adanya bahaya bias dari orang yang
mengumpulkan data, karena sering dialami oleh staf bagian pengumpul
data yang mengalami kelelahan sehingga pencatatan data tidak akurat.
d. Penelitian lebih efektif, jika penelitian bersifat destruktif (merusak) yang
menggunakan spesemen akan hemat dan bisa dijangkau tanpa merusak
semua bahan yang ada serta bisa digunakan untuk menjaring populasi
yang jumlanya banyak. Sedangkan besar kecilnya sampel yang diambil
akan dipengaruhi oleh beberapa faktor.
2.3.5 Etika dalam Pengumpulan Data
Etika diperlukan dalam pengumpulan data untuk memberi batasan-batasan
pengumpul data dalam menjalankan tugasnya. Beberapa etika yang harus
diperhatikan ketika mengumpulkan data antara lain :
a. Memperlakukan informasi yang diberikan responden dengan memegang
prinsip kerahasiaan dan menjaga pribadi responden merupakan salah
satu tanggung jawab peneliti.
b. Peneliti tidak boleh mengemukakan hal yang tidak benar mengenai sifat
penelitian kepada subjek. Dengan demikian, peneliti harus
menyampaikan tujuan dari penelitian kepada subjek dengan jelas.
c. Informasi pribadi atau yang terlihat mencampuri sebaiknya tidak
ditanyakan, dan jika hal tersebut mutlak diperlukan untuk penelitian,
maka penyampaiannya harus diungkapkan dengan kepekaan yang tinggi
kepada responden, dan memberikan alasan spesifik mengapa informasi
tersebut dibutuhkan untuk kepentingan penelitian.
d. Apapun sifat metode pengumpulan data, harga diri dan kehormatan
subjek tidak boleh dilanggar.
22
e. Tidak boleh ada paksaan kepada orang untuk merespon survei dan
responden yang tidak mau berpartisipasi tetap harus dihormati.
f. Subjek tidak boleh dihadapkan pada situasi yang mengancam mereka,
baik secara fisik maupun mental.
g. Tidak boleh ada penyampaian yang salah atau distorsi dalam
melaporkan data yang dikumpulkan selama pwngumpulan data.
2.4 Tata Kelola TI
Tatakelola (governance) merupakan sesuatu proses yang dilakukan oleh
suatu organisasi atau masyarakat untuk mengatasi permasalahan yang terjadi.
Istilah tatakelola (governance) juga sering dikaburkan dengan istilah
pemerintahan (government), yang mana keduanya mempunyai arti yang berbeda.
Pemerintahan (government) dibangun untuk menjalankan tatakelola (governance).
Saat ini model dan prinsip tatakelola organisasi telah berkembang luas. Berbagai
standar dan pendekatan dipersyaratkan agar organisasi dapat menjalankannya.
The IT Governance Institute (ITGI) mendefinisikan tatakelola teknologi
informasi sebagai suatu bagian integral dari tatakelola perusahaan yang terdiri atas
kepemimpinan, struktur dan proses organisasional yang memastikan bahwa
teknologi informasi organisasi berlanjut serta meningkatkan tujuan dan strategi
organisasi. Sementara itu, Weill dan Ross (2004) mendefinisikan tatakelola TI
sebagai penspesifikasian hak keputusan dan kerangka akuntabilitas untuk
mengarahkan perilaku yang diinginkan dalam penggunaan TI. Mereka juga
menegaskan bahwa tatakelola TI tidak sekedar tentang pembuatan keputusan
spesifik tetapi lebih pada penentuan siapa yang secara sistematis membuat dan
berkontribusi pada keputusan tersebut. Untuk melakukan tata kelola TI yang baik,
maka perlu dilakukan langkah-langkah sebagai berikut :
a. Penentuan tingkat integrasi dan pengendalian organisasi atas investasi TI
pada suatu organisasi bisnis.
b. Adanya keselarasan integrasi antara TI dengan aktivitas bisnis mulai dari
tingkat lini, fungsi dan bidang pada organisasi.
23
c. Nilai-nilai instrinsik TI harus dimasukkan secara penuh kedalam setiap
aspek bisnis bukan hanya pada fungsi TI saja.
d. Perlu adanya rencana strategis dan tata kelola yang baik untuk organisasi.
e. Perlu adanya penyelarasan TI dengan tujuan organisasi dengan
memperhatikan sumber daya internal maupun eksternal.
f. Dalam penggunaan TI perlu adanya penyeleksian TI untuk efisiensi dan
efektifitas organisasi.
g. Penentuan kebijakan, baik secara nasihat, regulasi maupun informasional
pada setiap lini, fungsi dan bidang pada organisasi.
h. Pengkajian kinerja terkait keselarasan penggunaan TI dengan aktivitas
bisnis perlu dievaluasi dan dijadikan sebagai peningkatan kinerja
organisasi selanjutnya.
Sumber :
Andi.
Informasi. Yogyakarta.
2.4.1 Konsep Sistem Tatakelola TI
Konsep sistem tatakelola TI dijelaskan dalam perspekif struktur dan
perspektif proses. Sebagai struktur, tatkeloal TI dapat dilihat dari komponen dan
struktur yang membangun sistem tersebut. Dan sebagai suatu proses, tatakelola TI
dilihat dari implementasi serangkaian prosedur dan mekanisme antarkomponen
struktur dalam aktivitas nyata organisasi.
2.4.1.1 Struktur Sistem Tatakelola TI
Struktur sistem teknologi informasi menunjukkan komponen dan elemen
yang membangun stuktur sistem tersebut. Para pemangku kepentingan akan lebih
mudah menjelaskan dan mengurai sistem teknologi informasi dengan
menggunakan perspektif komponen atau struktur karena apa pun bentuk sistem
24
teknologi informasi maka struktur dan komponennya adalah sama, yaitu
komponen input, proses, output, kendali, simpanan dan teknologi.
Tata kelola teknologi informasi sebagai suatu sistem juga dapat diurai dan
dijelaskan dari perspektif struktur. Struktur tatakelola TI menunjukkan komponen
yang membangun sistem tatakelola TI, yaitu :
a. Archetype
Archetype menunjukkan struktur hak keputusan dan akuntabilitas
pembuatan keputusan terkait tatakelola TI, menunjukkan siapa yang
memilik hak dan besarnya proporsi keputusan yang terkait dengan
tatakelola TI.
b. Aktivas manusia
Aktivas manusia menunjukkan para pihak yang terlibat dalam proses
perancangan, implementasi dan pengawasan sistem tatakelola TI.
Komponen ini lebih mengarah pada peran dan fungsi masing-masing
pihak dalam siste tatakelola TI.
c. Kendali dan regulasi
Kendali dna regulasi menunjukkan seperangkat aturan yang menjadi
persyaratan agar diadopsi oleh organisasi yang menerapkan sistem
tatakelola TI. Komponen ini bersifat best practice yang dibangun oleh
lembaga berwenang dan menjadi panduan bagi organisasi dalam
mengembangkan sistem tatakelola TI. Beberapa regulasi yang terkait
sistem tatakelola TI yaitu COBIT, ISO 17799, ITIL dan Sarbanes-Oxley.
2.4.1.2 Proses Sistem Tatakelola TI
Komponen sistem tatakelola TI merupakan persyaratan yang harus
dipenuhi agar tatakelola TI dapat terbangun dalam bentuk sistem, namun sistem
tersebut tidak dapat menghasilkan manfaat jika tidak bekerja dengan baik. Sebagai
suatu proses, sistem tatakelola TI dapat dilihat dari peran dan fungsi masing-
masing komponen yang membentuk struktur tatakelola TI. Proses sistem
tatakelola TI dapat dilihat dari proses perancangan tatakelola TI, proses keputusan
TI, mekanisme penyelarasan strategi bisnis dan TI, mekanisme implementasi
25
keputusan TI, mekanisme pengawasan dan pengarahan perilaku pengguna dan
mekanisme evaluasi kerja TI.
Gambar 2.3 Proses Tatakelola TI
(Sumber : HM, Jogiyanto dan Wily Abdilah. 2011. Sistem Tatakelola Teknologi Informasi.
Yogyakarta: Andi.)
2.4.2 Area Fokus Tata Kelola TI
Pada dasarnya, tata kelola TI berkaitan dengan dua permasalahan utama yaitu
TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan
bisnis dan resiko yang terkait dengan TI akan ditangani dengan penentuan
penanggung jawab permasalahan tersebut dalam perusahaan. Penyelarasan bisnis dan
TI yang mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari tata
kelola TI. Terdapat 5 area yang menjadi fokus menurut tata kelola TI seperti pada
gambar 2.5, diantaranya penyelarasan strategis (strategic alignment), penyampaian
Proses Perancangan Tatakelola TI
Proses Keputusan TI
Mekanisme Penyelarasan Strategi
Bisnis dan TI
Mekanisme Evaluasi Kinerja TI
Mekanisme Pengawasan
Mekanisme Implementasi
Keputusan TI
Mekanisme Penyerahan Perilaku
Pengguna
26
nilai (value delivery), pengelolaan sumber daya (resource management), pengelolaan
risiko (risk management), dan pengukuran kinerja (performance measurement).
Gambar 2.4 Area Fokus Tata Kelola TI
www.itgi.org
Area yang menjadi fokus menurut tata kelola TI tersebut adalah sebagai berikut :
a. Strategic Alignment (Penyelarasan Strategis)
Berfokus pada hubungan bisnis dan rencana TI; mendefinisikan,
mempertahankan dan memvalidasi proposisi nilai teknologi informasi, dan
menyelaraskan operasi TI dengan operasi perusahaan secara keseluruhan.
b. Value Delivery (Penyampaian Nilai)
Value Delivery adalah tentang menjalankan proposisi nilai seluruh siklus
information delivery, memastikan bahwa informasi yang disampaikan
melalui teknologi informasi, memberikan manfaat yang dijanjikan, fokus
pada pengoptimalan biaya dan nilai intrinsik TI.
c. Resource Management (Pengelolaan Sumber Daya)
Resource Management adalah tentang mengoptimalkan investasi, dan
pengelolaan yang tepat. Sumber daya TI yang penting diantaranya :
aplikasi, informasi, infrastruktur dan manusia, serta yang berkaitan dengan
optimalisasi pengetahuan dan infrastruktur.
d. Risk Management (Manajemen Risiko)
Adanya peringatan risiko oleh senior corporate officer, pemahaman yang
jelas mengenai enterprise’s appetite for risk, memahami kepatuhan
27
persyaratan, adanya transparansi tentang risiko yang signifikan di
perusahaan.
e. Performance Measurement (Pengukuran Kinerja)
Meliputi aktivitas audit dan penilaian, serta pengukuran terhadap kinerja
secara berkelanjutan.
Sumber :
IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
HM, Jogiyanto dan Wily Abdilah. 2011. Sistem Tatakelola Teknologi Informasi. Yogyakarta:
Andi.
2.4.3 Model Tata Kelola TI
Terdapat berbagai jenis model/tools yang dapat digunakan sebagai alat
untuk mengetahui tingkat kematangan tatakelola teknologi informasi di dalam
suatu perusahaan ataupun organisasi. Model-model tata kelola teknologi informasi
tersebut diantaranya adalah sebagai berikut :
1. The IT Infrastructure Library (ITIL)
ITIL dikembangkan oleh The Office of Government Commerce (OGC)
suatu badan pemerintah di Inggris yang bekerja sama dengan The IT Servive
Management Forum (ITSMF) dan British Standard Institute (BSI). ITIL
merupakan suatu framework pengelolaan layanan teknologi informasi (IT Service
Management-ITSM) yang sudah banyak digunakan oleh industri-industri
pengembangan perangkat lunak. ITSM memfokuskan diri pada 3 (tiga) tujuan
utama, yaitu:
Menyelaraskan layanan TI dengan kebutuhan sekarang dan akan
datang dari bisnis dan pelangganya;
Memperbaiki kualitas layanan TI;
Mengurangi biaya jangka panjang dari pengelolaan layanan yang
dilaksanakan.
Standar ITIL berfokus pada pelayanan pelanggan dan tidak menyertakan
proses penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.
28
2. COSO
COSO merupakan kependekan dari Commite of Sponsoring Organization
of the Treadway Commision, sebuah organisasi di Amerika yang bertujuan untuk
mengembangkan kualitas pelaporan financial mencakup etika bisnis, kontrol
internal dan corporate governance. COSO framework terdiri dari 3 domain, yaitu:
a. Komponen kontrol COSO
COSO mengidentifikasi 5 jenis komponen kontrol yang diintegrasikan
dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol
internal yang terdiri dari:
Monitoring
Information and communications
Control activities
Risk assessment
Control environment
b. Sasaran kontrol internal
Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai
berikut:
Operations, efisiensi dan efektifitas operasi dalam mencapai sasaran
bisnis yang juga meliputi tujuan performansi dan keuntungan;
Financial reporting; persiapan pelaporan anggaran financial yang dapat
dipercaya;
Compliance; pemenuhan hukum dan aturan yang dapat dipercaya.
c. Unit/aktivitas terhadap organisasi
Unit ini mengidentifikasikan unit/aktifitas pada organisasi yang
menghubungkan kontrol internal. Kontrol internal menyangkut
keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal
seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.
3. ISO/IEC 17799.
ISO/IEC 17799 dikembangkan oleh The International Organization for
Standarization (ISO) dan The International Electrotechnical Commision (IEC).
29
ISO/IEC 17799 bertujuan untuk lebih memperdalam 3 (tiga) elemen dasar
keamanan informasi, yaitu :
a. Confidentiality, bagian ini fokus pada memastikan bahwa informasi hanya
dapat diakses oleh yang berhak;
b. Integrity, bagian ini fokus pada menjaga akurasi dan selesainya informasi
dan metode pemrosesan;
c. Availability, bagian ini fokus pada memastikan bahwa user yang
terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung
dengannya ketika diperlukan.
2.5 Definisi Audit TI
Audit SI/TI yang pada awalnya lebih dikenal sebagai EDP Audit
(Electronic Data Processing) telah mengalami perkembangan yang
pesat.Perkembangan Audit SI/TI ini didorong oleh kemajuan teknologi dalam
sistemkeuangan, meningkatnya kebutuhan akan kontrol TI, dan pengaruh dari
komputeritu sendiri untuk menyelesaikan tugas-tugas penting.
Ron Weber (1999) mendefinisikan Audit SI/TI sebagai proses
pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah
sistem informasi dapat melindungi aset, teknologi informasi yang ada telah
memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian
Tujuan Bisnis secara efektif dengan menggunakan sumber daya secara efektif.
Menurut ICASA, CISA Review (2004) audit SI/TI didefinisikan sebagai proses
sistematis yang dilakukan dengan memperhatikan keobjektifan dari pihak yang
kompeten dan indpenden dalam prolehan dan penilaian bukti-bukti terhadap
tuntutan-tuntutan yang terkait dengan hal-hal atau kejadian yang bersifat
ekonomis, tujuan dari kegiatan audit adalah memberikan gambaran kondisi
tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan
terhadap sekumpulan standar yang terdefinisi.
Riyanto Sarno (2009) mendefinisikan istilah audit SI/TI sebagai aktivitas
pengumpulan dan pengevaluasian bukti untuk penentuan apakah proses TI yang
berlangsung dalam perusahaaan telah dikelola sesuai dengan standar dan
30
dilengkapi dengan objektif kontrol untuk mengawasi penggunaannya serta apakah
telah memenuhi tujuan bisnis secara efektif. Dengan demikian, audit SI/TI dapat
menekankan pada penggunaan keterpaduan antara uji kepatutan maupun uji
secarasubstantif yang komposisi atau banyaknya digunakan secara seimbang
sesuai dengan kondisi proses yang diaudit. Pada hakekatnya audit sistem
informasi juga perlu dilakukan untuk memeriksa tingkat kematangan atau
kesiapan organisasi dalam melakukan pengelolaan TI. Adapun elemen utama dari
aktivitas peninjauan yang dilakukan dalam audit SI/TI dapat diklasifikasikan ke
dalam tinjauan penting berikut:
a. Tinjauan terkait dengan fisik dan lingkungan, yaitu hal-hal yang terkait
dengan keamanan fisik, suplai sumber daya, temperatur, kontrol kelembapan
dan faktor lingkungan lain.
b. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem
operasi, sistem manajemen database, seluruh prosedur administrasi sistem
dan pelaksanannya.
c. Tinjauan keamanan jaringan yang mencakup tinjauan jaringan internal dan
eksternal yang terhubung dengan sistem, batasan tingkat keamanan, tinjauan
terhadap firewall, daftar kontrol akses router, port scanning serta
pendeteksian akan gangguan maupun ancaan terhadap sistem.
d. Tinjauan kontinuitas bisnis dengan memastikan ketersediaan prosedur backup
dan penyimpanan, dokumentasi dari prosedur tersebut serta dokumentasi
pemulihan bencana/kontinuitas bisnis yang dimiliki.
e. Tinjauan integritas data yang bertujuan untuk memastikan ketelitian data
yang beroperasi sehingga dilakukan verifikasi kecukupan kontrol dan dampak
dari kurangnya kontrol yang ditetapkan.
Tinjauan tersebut dapat memberikan gambaran yang lebih jelas terhadap
manajemen terkait dengan kondisi eksisting proses bisnis yang terkait dengan TI.
Sebagai contoh, perangkat lunak mungkin telah didesain dan diimplementasi
dengan seluruh fitur keamanan yang ada, tetapi password milik super-user tidak
diubah dari yang diinisialisasikan oleh sistem di awal sehingga memungkinkan
pengaksesan data penting secara langsung.
31
Menurut Sanyoto (2007) panduan yang dipergunakan dalam audit SI/TI
untuk di Indonesia adalah standar Atestasi, dan aturan-aturan yang dikeluarkan
oleh organisasi akuntansi (IAI, AICPA atau CICA), maupun yang lebih
khususlagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian
internal lazimnya adalah COBIT. Berbeda dengan general audit yang bersifat
kewajiban hukum, audit IT Governance lebih bersifat memberikan keyakinan
pada top management apakah pengelolaan informasi di perusahaannya sudah baik.
Karena yang diaudit ialah tata kelola TI (IT Governance), maka yang diperiksa
antara lain adalah teknologi informasi itu sendiri dan istilah audit around
computer dan audit through the computer tidak relevan lagi. Audit SI
dimaksudkan untuk memberikan informasi kepada manajemen puncak agar
mempunyai “a clear assessment” terhadap sistem informasi yang
diimplementasikan pada organisasi tersebut. Perlu dipahami bahwa audit SI tidak
harus selalu merupakan penugasan lengkap mencakup seluruh aspek, melainkan
beberapa aspek penting sesuai kebutuhan organisasi. Jadi terdapat beberapa jenis
penugasan audit sistem informasi, misalnya seperti mengidentifikasi sistem yang
ada, memahami seberapa besar sistem informasi mendukung kebutuhan strategis
perusahaan, menganalisis tingkat kepentingan informasi, mengidentifikasi apakah
ada kesenjangan (gap) antara sistem dengan kebutuhan dan lain sebagainya.
2.5.1 Peranan Audit dalam Tata Kelola TI
Teknologi informasi saat ini menjadi bagian yang tak terpisahkan dalam
perusahaan, bukan lagi menjadi fungsi terpisah yang tidak terintegrasi dengan
bisnis. Bagaimana TI diaplikasikan dalam perusahaan akan mempengaruhi
seberapa jauh perusahaan telah mencapai visi, misi ataupun tujuan strategisnya.
Karena itulah, perusahaan perlu mengevaluasi pengelolaa TI tersebut yang
menjadi kian penting sebagai bagian dari tata kelola perusahaan secara
keseluruhan. Audit memainkan peranan penting dalam pengimplementasian tata
kelola TI diperusahaan. Besarnya resiko yang mungkin muncul akibat penerapan
TI disuatu perusahaan, membuat audit SI/TI semakin penting untuk dilakukan.
Beberapa alasan penting mengapa audit SI/TI perlu dilakukan antara lain :
32
a. Kerugian akibat kehilangan data
Data telah menjadi salah satu aset terpenting bagi perusahaan. Peran TI
dalam mengamankan data tersebut menjadi aspek yang perlu diperhatikan.
Hal tersebut mengingat kehilangan data mungkin akan berakibat terhadap
terhentinya aktivitas bisnis yang penting di perusahaan.
b. Resiko kebocoran data
Data bagi sebagian besar perusahaan merupakan sumber data yang tidak
ternilai. Informasi mengenai pelanggaran misalnya, bisa menjadi daya
saing perusahaan. Melalui proses audit, dapat diketahui kemungkinan
kebocoran data pelanggaran perusahaan.
c. Penyalahgunaan komputer
Kejahatan komputer kian meningkat seiring dengan perkembangan
teknologi informasi dan komunikasi. Kejahatan tersebut bisa muncul dari
pihak luar (hacker atau cracker) karena ingin mengambil keuntungan
sebanyak-banyaknya atau kebanggan pribadi, maupun oleh karyawan
perusahaan sendiri karena merasa tidak puas dengan kebijakan perusahaan.
d. Kerugian akibat kesalahan proses perhitungan
Salah satu alasan penggunaan TI adalah kemampuan dalam mengelola
data secara tepat dan akurat namun bukan tanpa resiko kesalahan. Resiko
tersebut akan menjadi semakin besar tanpa didukung dengan keberadaan
mekanisme pengembangan yang memadai yang evaluasi implementasinya
dapat dievalusi melalui audit sistem informasi.
e. Tingginya nilai investasi perangkat keras dan perangkat lunak
Investasi yang dikeluarkan untuk proyek TI sering kali besar namun
pengukuran manfaat yang diberikan TI terhadap bisnis sering kali sulit
diukur karena melibatkan banyak faktor dan kepentingan. Keberadaan
audit SI akan membantu pihak manajemen dalam memastikan penggunaan
TI sesuai dengan standar pengelolaan yang baik, kebijakan, hukum dan
33
regulasi yang berlaku sehingga dapat diarahkan untuk mendukung
pencapaian tujuan bisnis.
2.6 COBIT
Control Objective for Information and related Technology,
disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi
informasi. COBIT ialah menyediakan kebijakan yang jelas dan good practice
untuk IT governance, membantu manajemen senior dalam memahami dan
mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan
kerangka IT governance dan petunjuk control objective yang detail untuk
manajemen, pemilik proses bisnis, user dan auditor.
2.6.1 Definisi COBIT
Control Objective for Information and Related Technology atau yang biasa
disebut COBIT adalah sebuah set dari best practices (framework) bagi
pengelolaan teknologi informasi (IT management). COBIT disusun oleh the IT
Governance Institute (ITGI) dan Information System Audit and Control
Association (ISACA) tepatnya Information System Audit And Control
Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada
tahun 1996, edisi kedua pada tahun 1998, edisi ketiga pada tahun 2000 dan saat
ini adalah edisi keempat pada Desember 2005. COBIT juga merupakan
sekumpulan dokumentasi dan panduan yang mengarahkan pada tata kelola TI
yang dapat membantu auditor, manajemen, dan pengguna (user) untuk
menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan permasalahan
teknis. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat
membantu dalam identifikasi masalah kontrol TI. COBIT berguna bagi pengguna
TI karena memperoleh keyakinan atas kehandalan sistem aplikasi yang
dipergunakan. Para manajer memperoleh manfaat dalam keputusan investasi di
bidang TI serta infrastrukturnya, menyusun rencana TI yang strategis (strategic IT
plan), menentukan arsitektur informasi (information architecture) dan keputusan
atas procurement (pengadaan/pembelian) mesin. COBIT mendukung manajemen
34
dalam mengoptimumkan investasi TI melalui ukuran-ukuran yang akan
memberikan sinyal bahaya bila suatu kesalahan atau resiko akan terjadi. Sumber
daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk
pemenuhan kebutuhan bisnis terhadap efektivitas, efisiensi, kerahasiaan,
keterpaduan, etersediaan, kepatuhan, pada aturan dan keandalan informasi.
2.6.2 Komponen COBIT
Institute IT Governance telah melakukan penelitian dan bekerja sama
untuk menetapkan acuan manajemen untuk COBIT Framework dengan berbagai
kalangan misalnya analis, para pakar di dunia industri dan akademisi. Hasil dari
penelitian tersebut menetapkan 4 pedoman manajemen COBIT Framework yaitu
model maturity, Critical Sucesses Factor (CSF), Key Goals Indicator (KGI) dan
Key Performances Indicator (KPI), menetapkan pedoman audit dengan rincian
tiga puluh empat (34) proses untuk mengukur dan menilai proses TI dan
menetapkan tujuan pengendalian secara detail yang sangat berguna dan
dibutuhkan oleh auditor, para IT users, dan para manajer, seperti ditunjukkan pada
gambar 2.5 di bawah ini mengenai produk keluarga COBIT.
Gambar 2.5 Produk Keluarga COBIT
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
35
Paket keluarga COBIT secara lengkap dijelaskan sebagai berikut yang terdiri dari:
1. Executive Summary terdiri dari ikhtisar eksekutif yang memberikan
kesadaran dan pemahaman menyeluruh tentang konsep-konsep kunci dan
prinsip COBIT.
2. Framework membantu dalam mengorganisir tujuan tata kelola TI dan
praktek terbaik oleh proses dan domain TI, kemudian menghubungkannya
ke persyaratan bisnis.
3. Detailed Control objective memberikan wawasan kritis yang diperlukan
untuk menggambarkan kebijakan yang jelas dan latihan yang baik untuk
kontrol TI. Termasuk di sini pernyataan dari hasil yang diinginkan atau
tujuan yang ingin dicapai dan terdiri atas 4 tujuan pengendalian
tingkattinggi (high-level control objectives) yang tercermin dalam 4
domain,yaitu Planning & Organization, Acquisition & Implementation,
Delivery & Support, Dan Monitoring & Evaluate .
4. Audit Guidelines berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detailed control objectives) untuk membantu para auditor
dalam memberikan management assurance dan saran perbaikan.
5. Implementation Tool Set berisi management awareness dan diagnostic
pengendalian TI, panduan untuk penerapan (implementation guide),
pertanyaan yang paling sering diajukan (FAQ), studi kasus dari organisasi
saat ini yang menggunakan COBIT dan slide presentasi yang dapat
digunakan untuk memperkenalkan COBIT ke dalam organisasi. Set
perlengkapan ini dirancang untuk memfasilitasi pelaksanaan COBIT
dalam memberikan pelajaran mengenai organisasi yang cepat dan telah
berhasil menerapkan COBIT di lingkungan kerjanya dan dapat membantu
manajemen dalam memilih pilihan implementasi.
6. Management Guidelines yang dilengkapi pula dengan CSF, KPI, KGI,
maturity models untuk setiap prosesnya yang dapat memberikan bantuan
berupa penetapan tanggung jawab, pengukuran kinerja, perbandingan dan
kesenjangan dalam kemampuan (gap in capability).
36
Semua komponen COBIT saling berhubungan, memberikan dukungan untuk
kebutuhan pemerintahan, manajemen, pengendalian dan jaminan dari pengguna
yang berbeda, seperti yang ditunjukkan pada gambar 2.6 di bawah ini.
Gambar 2.6 Hubungan antar Komponen pada COBIT
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Berdasarkan gambar diatas, terlihat hubungan antara komponen COBIT
yang dimulai dari business goals yang memenuhi persyaratan IT goals dan IT
Processed yang pengelolaannya dilakukan untuk memastikan bahwa informasi
dalam perusahaan dan TI yang terkait telah mendukung tujuan bisnis, sumber
daya serta resiko TI dikelola secara tepat. Proses-proses TI dipecah menjadi
aktivitas-aktivitas kunci yang dilakukan menurut RACI Chart.
RACI Chart (Responsible, Accountable, Consulted and Informed Chart)
yang digunakan untuk melihat tingkat dukungan struktur organisasi terhadap
proses-proses COBIT yang sudah dinilai tingkat kematangannya (maturity level).
Proses TI akan melalui tahapan pengukuran kinerja, hasil dan tingkat kematangan.
37
Pengukuran kinerja akan dilakukan identifikasi Critical Success Factor (CSF)
yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran
kinerja bagi setiap proses. Kriteria pengukuran kinerja tersebut dilambangkan
dengan indikator-indikatornya, yaitu indikator sasaran (Key Goal Indicator-KGI)
dan indikator kinerja (Key Performance Indicator-KPI). Critical Success Factor
dan indikator-indikator yang berelasi ditentukan dari COBIT.
Penentuan indikator sasaran dan indikator kinerja dari system informasi
dilakukan agar aktivitas-aktivitas terkendali sehingga memberikan jaminan bahwa
sasaran proses IT tersebut tercapai. Pengukuran terhadap tingkat kematangan
menggunakan maturity model atau model maturitas adalah untuk membantu
dalam melakukan benchmarking dan pembuatan keputusan dalam meningkatkan
kapabilitas. Hasil dari pengukuran masih dibagi ke dalam masingmasing control
objectives dan belum menggambarkan operasi internal yang dibutuhkan oleh
organisasi untuk mencapai tujuan bisnisnya.
Proses pengukuran dikombinasikan dengan proses pemetaan control
objectives COBIT ke dalam proses internal yang diperlukan oleh organisasi untuk
mencapai tujuan IT mereka. COBIT dapat dipakai sebagai alat yang komprehensif
untuk menciptakan IT Governance pada suatu perusahaan. COBIT
mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap
antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta
menyediakan referensi best business practices yang mencakup keseluruhan TI dan
kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur
aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif, yang
dapat digambarkan melalui gambar kerangka kerja tujuan kontrol teknologi
informasi di bawah ini :
38
Gambar 2.7 Kerangka Kerja Tujuan Kontrol TI
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya
melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila
suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen harus
memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik,
artinya dapat mendukung proses bisnis perusahaan yang secara jelas
menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan
dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.
Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk
pemenuhan kebutuhan bisnis terhadap : efektivitas, efisiensi, kerahasiaan,
keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan
informasi (effectiveness, efficiency, confidentiality, integrity, availability,
compliance, dan reliability). Kriteria kerja COBIT tersebut meliputi :
39
Tabel 2.1 Kriteria kerja COBIT
2.6.3 Kerangka Kerja COBIT
Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik
(best practices) dan bersifat generik, digunakan sebagai acuan dalam enentukan
sasaran kendali (Control objective) dan proses-proses TI yang diperlukan dalam
pengelolaan TI. Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali
untuk TI didekati dengan melihat informasi yang dibutuhkan untuk mendukung
sasaran dan kebutuhan bisnis, dan melihat informasi sebagai hasil paduan dari
berbagai penggunaan sumber daya TI yang harus di kelola melalui proses TI.
40
Gambar 2.8 Konsep Dasar Kerangka Kerja COBIT
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Kerangka kerja COBIT terdiri dari 3 level control objectives, dimulai dari
level yang paling bawah yaitu Activities yang merupakan kegiatan rutin yang
memiliki konsep siklus hidup. Kumpulan activities dikelompokkan ke dalam
proses TI (IT processes), kemudian proses-proses TI yang memiliki permasalahan
yang sama dikelompokkan ke dalam domain.
2.6.3.1 Proses TI (IT Processes)
Kerangka kerja COBIT mendefiniskan 34 proses TI yang dikelompokkan
ke dalam 4 domain utama, yaitu :
a) Planning & Organisation (PO). Domain ini menitikberatkan pada proses
perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.
Lebih lanjut lagi, realisasi visi strategi perlu direncanakan,
dikomunikasikan dan dikelola untuk sudut pandang yang berbeda. Suatu
pengorganisasian yang memadai seperti infrastruktur teknologi harus
ditempatkan sebagaimana mestinya.
b) Acquisition & Implementation (AI). Domain ini menjelaskan bahwa untuk
merealisasikan strategi TI, maka solusi TI perlu untuk diidentifikasikan,
dikembangkan atau didapatkan, dan juga untuk diimplementasikan dan
diintegrasikan kedalam proses-proses bisnis. Perubahan dalam dan
41
pemeliharaan atas sistem-sistem yang sudah ada dicakup dalam domain ini
untuk memastikan bahwa siklus hidup dilanjutkan untuk sistem tersebut.
c) Delivery & Support (DS). Domain ini menitik beratkan pada proses
pelayanan TI dan dukungan teknisnya. Permasalahan pemenuhan layanan
TI, keamanan sistem, kesinambungan layanan, pelatihan, dan pendidikan
untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain ini
mencakup pemrosesan aktual dengan system aplikasi, yang seringkali
diklasifikasikan menurut pengendalian aplikasi.
d) Monitor & Evaluate (ME). Domain ini menitikberatkan pada proses
pengawasan pengelolaan TI pada organisasi, termasuk pemeriksaan
internal dan eksternal. Seluruh kendali-kendali yang diterapkan pada
proses-proses TI harus diawasi dan dinilai kelayakannya secara berkala.
Penekanan pada domain ini adalah pada pengawasan manajemen atas
independen yang diberikan dengan melakukan audit internal dan eksternal
atau diperoleh dari sumber-sumber alternatif.
Setiap domain memiliki karakteristik yang berbeda. Peran dan fungsi dari
masing-masing domain adalah sesuai dengan siklus struktur kerangka kerja
COBIT seperti pada gambar 2.9 di bawah. Gambar tersebut terdapat sumber daya
TI yang secara prinsip tersedia dalam jumlah terbatas. Menyediakan informasi
yang mendukung sasaran dan kebutuhan bisnis, maka penggunaan sumber daya TI
perlu diatur dan dilakukan sesuai siklus langkah-langkah yang terbagi kedalam
empat domain tersebut.
42
Gambar 2.9 Definisi Proses IT COBIT dengan 4 domain
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
COBIT juga bertujuan untuk menangani tujuan bisnis (business objective)
di sebuah perusahaan. Control objectives telah memperjelas dalam mengendalikan
hubungan dengan tujuan bisnis untuk mendukung penggunaan yang signifikan
diluar dari komunitas audit. Control objectives juga didefinisikan sebagai cara
yang berorientasi pada proses serta mengikuti prinsip bisnis dari rekayasa ulang.
43
Penggunaan klasifikasi dari domain-domain termasuk juga high-level
control-objectives, sebuah indikasi dari persyaratan bisnis untuk informasi dari
domain tersebut, serta dampak utama dari sumber daya TI dengan tujuan
pengendalian, dapat digunakan secara bersama-sama membentuk sebuah COBIT
framework. Kerangka ini pun didasarkan pada aktivitas penelitian yang
mengidentifikasi 34 high-level control-objectives dan 318 tujuan pengendalian
secara rinci. Masing-masing domain yang terdiri dari high-level control-objectives
tersebut dijelaskan pada tabel 2.2 berikut:
Tabel 2.2 Proses Teknologi Informasi (IT Processes)
Proses Perencanaan & Persiapan (Plan and Organise)
Domain Proses TI (IT Process)
PO 01 Menentukan Rencana TI yang Stategis
PO 02 Menentukan Arsitektur Informasi
PO 03 Menentukan Arah Teknologi
PO 04 Mementukan Proses TI, Struktur Organisasi dan Hubungan
PO 05 Mengelola Investasi TI
PO 06 Mengkomunikasikan Arah dan Tujuan Manajemen
PO 07 Mengelola Sumber Daya Manusia di Bidang TI
PO 08 Mengelola Kualitas
PO 09 Mengelola dan Menilai Resiko TI
PO 10 Mengelola Proyek
Proses Memperoleh dan Menerapkan (Acquire and Implement)
Domain Proses TI (IT Process)
AI 01 Mengidentifikasi Solusi Otomatis
AI 02 Memperoleh dan Memelihara Aplikasi Perangkat Lunak
44
AI 03 Memperoleh serta Memelihara Infrastruktur Teknologi
AI 04 Mengaktifkan Operasi dan Penggunaan
AI 05 Pengadaan Sumber Daya Ti
AI 06 Pengelolaan Perubahan
AI 07 Instalasi, Akreditasi Solusi dan Perubahan
Proses Memberi dan Mendukung (Deliver and Support)
Domain Proses TI (IT Process)
DS 01 Menetapkan dan Mengelola Tingkat Pelayanan
DS 02 Pengelolaan Jasa Pihak Ketiga
DS 03 Mengelola Kinerja dan Kapasitas
DS 04 Memastikan Pelayanan yang Berkelanjutan
DS 05 Memastikan Keamanan Sistem
DS 06 Mengidentifikasi dan Mengalokasikan Biaya
DS 07 Pendidikan dan Pelatihan untuk Pengguna
DS 08 Pengelolaan Service Desk dan Insiden
DS 09 Pengelolaan Konfigurasi
DS 10 Pengelolaan Masalah
DS 11 Pengelolaan Data
DS 12 Pengelolaan Lingkungan Fisik
DS 13 Pengelolaan Pekerjaan
Proses Memantau dan Mengevaluasi (Monitor and Evaluate)
Domain Proses TI (IT Process)
ME 01 Memantau dan Mengevaluasi Kinerja TI
ME 02 Memantau dan Mengevaluasi Pengendalian Internal
45
ME 03 Menjamin Kepatuhan dengan Persyaratan Eksternal
ME 04 Menyediakan Tata Kelola TI
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA : IT Governance Institute . Page
171)
Masing-masing proses TI tersebut juga dilengkapai dengan control
objective sehingga kerangka kerja COBIT menyediakan keterkaitan yang jelas
antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Berikut ini
adalah proses TI pendukung tata kelola TI berdasarkan COBIT.
Tabel 2.3 Proses TI Pendukung Tata Kelola TI berdasarkan COBIT
Berdasarkan tabel 2.3 diatas, maka COBIT mendukung tata kelola TI
dengan menyediakan kerangka kerja yang memastikan bahwa TI selaras dengan
kebutuhan bisnis, TI yang mendukung bisnis dengan lebih baik dan mampu
46
memaksimumkan manfaat, penggunaan sumber daya TI yang bertanggung jawab
serta resiko TI dikelola dengan tepat. Proses-proses TI yang didefinisikan dalam
kerangka kerja COBIT akan mendukung pemenuhan fokus area yang berbeda
beda dalam tata kelola TI. Dukungan dan pemenuhan tersebut dapat
dikelompokkan menjadi dua jenis yakni dukungan primer (P) dan sekunder (S)
seperti yang terlihat pada tabel diatas.
2.6.3.2 Kebutuhan Bisnis
COBIT mengidentifikasikan kebutuhan bisnis perusahaan yang terbagi ke
dalam tujuh kriteria informasi yang kemudian dikelompokkan ke dalam tiga
aspek, yaitu :
1. Quality requirements
a. Efektivitas yaitu Untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis seperti penyampaian informasi
dengan benar, konsisten, dapat dipercaya dan tepat waktu.
b. Efisiensi yaitu memfokuskan pada ketentuan informasi melalui
penggunaan sumber daya yang optimal.
2. Security requirements
a. Kerahasiaan yaitu memfokuskan proteksi terhadap informasi yang
penting dari orang yang tidak memiliki hak otorisasi.
b. Integritas yaitu berhubungan dengan keakuratan dan kelengkapan
informasi sebagai kebenaran yang sesuai dengan harapan dan nilai
bisnis.
c. Ketersediaan yaitu berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan datang.
3. Fiduciary requirements
a. Kepatuhan yaitu sesuai menurut hukum, peraturan dan rencana
perjanjian untuk proses bisnis.
b. Keakuratan informasi yaitu berhubungan dengan ketentuan kecocokan
informasi untuk manajemen mengoperasikan entitas dan mengatur
pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.
47
2.6.3.3 Sumber Daya TI
Menurut IT Governance Institute Team (2000) pada buku Audit Guidelines
page 13-14, kerangka kerja COBIT mendefinisikan sumber daya TI ke dalam lima
kategori, yaitu :
1. Data merupakan objek-objek yang diartikan dalam pengertian yang
luas, terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
2. Aplication system meliputi prosedur manual dan aplikasi komputer.
3. Technology meliputi perangkat keras, sistem operasi, sistem manajemen
database, jaringan (networking), multimedia dan sebagainya.
4. Facilities semua sumber daya untuk menyimpan dan mendukung
system informasi.
5. People meliputi keahlian staff, kesadaran dan produktivitas untuk
Merencanakan,mengorganisasikan, memperoleh, menyampaikan,
mendukung, mengawasi dan mengevaluasi layanan dan sistem
informasi.
2.6.4 Model Kematangan COBIT
Pengukuran kinerja TI bertujuan agar kontribusi yang diberikan TI dapat
selaras dan terarah dengan startegi yang ditetapkan pihak manajemen, diperlukan
analisis kinerja dari penggunaan TI yang menggambarkan penilaian kemampuan
kerja sehingga dapat diketahui pemenuhan terhadap pencapaian yang diharapkan.
Bila dikaitkan dengan sasaran dan tujuan perusahaan, maka pengukuran kinerja TI
dapat dijadikan sebagai dasar untuk penilaian keberhasilan atau kegagalan
aktivitas yang berhubungan dengan TI dalam memenuhi tujuan TI dan lebih jauh
lagi tujuan bisnis terkait. Paparan berikut akan menjelaskan mengenai Maturity
Model, Critical Success Factors, Key Goal Indicators, dan Key Performance
Indicators dengan mengacu pada Framework COBIT. Suatu organisasi harus
memahami sistem TI yang dimilikinya agar dapat menentukan pengendalian dan
perbaikan yang tepat bagi sistem TI tersebut. Maturity modeling bagi manajemen
dan pengendalian terhadap proses TI didasarkan pada metode yang digunakan
48
untuk mengevaluasi organisasi. COBIT mempunyai model kematangan (maturity
models) untuk mengontrol proses-proses TI dengan menggunakan metode
penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang
dimilikinya dari skala non-existent sampai dengan optimized (dari 0 sampai 5).
Maturity models ini akan memetakan hal-hal sebagai berikut:
1. Current status dari organisasi untuk melihat posisi organisasi saat ini.
2. Current status dari standar internasional sebagai perbandingan
tambahan.
3. Current status dari kebanyakan industri saat ini sebagai perbandingan.
4. Strategi organisasi dalam rangka perbaikan level yang ingin dicapai
oleh organisasi. Pemetaan yang dimaksudkan adalah setelah mengetahui kondisi
organisasi, maturity model akan memberikan peluang kepada organisasi untuk
melakukan perbandingan terhadap tuntutan standar internasional, terhadap praktik
terbaik di lingkungan organisasi, dan terhadap strategi organisasi. Dapat
membantu manajemen organisasi untuk menentukan kekurangan manajemen TI,
dan membantu organisasi untuk menentukan sasaran berdasarkan perbandingan
sebelumnya. Secara khusus, pengendalian tingkat kematangan akan tergantung
pada kebutuhan organisasi terhadap TI, kecanggihan teknologi dan nilai dari
informasinya. Skala maturity model akan membantu untuk menjelaskan
kekurangan manajemen proses TI kepada pihak manajemen dan membantu
menentukan target yang ingin dicapai. Berikut ini merupakan penentuan range
nilai dari 0 (non-existent) sampai dengan 5 (optimized) yang dijabarkan dalam
maturity model sebagai berikut:
49
Gambar 2.10 Grafik Maturity Model
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Masing-masing dari 34 proses TI, memiliki skala pengukuran tambahan,
berdasarkan peringkat "0" sampai “5”. Skala ini berhubungan dengan deskripsi
generik dari model kematangan kualitatif mulai dari "Non Existent" sampai
dengan "Optimized" dengan penjelasan pada tabel 2.4 sebagai berikut :
Tabel 2.4 Tingkat Kedewasaan (Maturity level) dalam COBIT
Level 0
Tidak ada (Non-existent), organisasi belum mengenal isu permasalahan
yang harus diarahkan atau diselesaikan. Setiap proses atau masalah
yang ada tidak terdefinisi dengan jelas.
Level 1
Inisialisasi (Initial), organisasi telah memiliki bukti dalam mengenal
permasalan-permasalahan yang ada, namun perlu diarahkan. Secara
umum organisasi belum memiliki standar pengelolaan yang terorganisir
dan terdokumentasi dengan baik sehingga perlu ada pendekatan yang
dilakukan untuk tiap individu yang terkait dalam organisasi.
Level 2
Dapat diulang (Repetable), level ini telah mengalami perkembangan,
telah ada prosedur untuk menjalankan proses yang didefinisikan, belum
ada pelatihan formal & prosedur komunikasi yang standar. Tanggung
jawab & kepercayaan diberikan pada tiap individu tanpa ada standar
baku pengopersian sehingga kadang terjadi kesalahan.
50
Level 3
Ditetapkan (Defined), sudah ada prosedur yang memiliki standar dan
didokumentasikan dengan baik, sudah ada pelatihan formal untuk
mengkomunikasikan prosedur dan kebijakan yang dibuat. Namun pada
tahap implementasinya masih tergantung pada individu apakah mau
melakukan prosedur yang ditetapkan atau tidak. Prosedur yang dibuat
masih terbatas pada bentuk formalisasi dari praktek yang ada.
Level 4
Diatur (Managed), prosedur dan kebijakan yang ada sudah dilakukan
secara efektif, dapat dipantau dan diukur sehingga apabila terjadi
kesalahan sudah memiliki sederetan prosedur untuk tindakan perbaikan
yang akan dilakukan. Perbaikan dilakukan secara konsisten dan
memberikan praktek dan hasil terbaik. Sudah digunakan peralatan dan
teknologi namun belum otomasi dan masih terbatas.
Level 5
Dioptimalkan (optimized), proses yang dilakukan telah dilakukan
upaya perbaikan yang berkelanjutan sehingga menghasilkan proses dan
hasil yang terbaik. Sudah ada penggunaan teknologi informasi yang
terintegrasi untuk melakukan otomatisasi dilingkungan organisasi,
sudah tersedia alat dan pendukung lainnya yang dapat meningkatkan
kualitas dan efektifitas kinerja,dan organisasi sudah stabil dan dapat
beradaptasi dengan baik.
Keuntungan dari pendekatan maturity model adalah bahwa hal tersebut
relatif mudah bagi manajemen untuk menempatkan diri pada skala dan
memperhatikan apa yang terlibat jika ingin meningkatkan kinerja. Skala 0-5
didasarkan pada skala kematangan sederhana yang menunjukkan bagaimana
proses berkembang dari “non-existent” ke “optimized”. Tingkat kedewasaan dan
kemampuan juga identik dengan peningkatan resiko manajemen dan peningkatan
efisiensi.
51
2.6.4.1 Faktor Sukses Kritis (Critical Success Factors-CSF)
Menurut IT Governance Institute Team. 2000. COBIT Management
Guidelines (page 14-16) Critical Success Factors (CSF) dapat memberikan
panduan kepada manajemen dalam menerapkan kontrol TI dan prosesnya. Critical
Success Factors merupakan hal yang penting dilakukan untuk proses yang
berkontribusi dengan proses TI dalam mencapai tujuannya dan biasanya
berhubungan dengan kemampuan dan keterampilan, terfokus dan berorientasi
pada aksi, dan pemanfaatan sumber daya. Prinsip dan model ini mengidentifikasi
sejumlah Critical Success Factors yang biasanya berlaku untuk semua proses
yang memiliki hubungan dengan apa yang menjadi standar, siapa yang
membuatnya, siapa yang mengkontrol atau membutuhkan tindakan dan lain
sebagainya seperti di bawah ini.
1. Proses ditetapkan dan didokumentasikan
2. Kebijakan ditetapkan dan didokumentasikan
3. Akuntabilitas jelas
4. Dukungan kuat / komitmen dari manajemen
5. Konsisten dalam mengukur praktek.
Siklus kontrol TI beserta proses pengendaliannya merupakan
perbandingan dari norma-norma, standar dan sasaran yang kemudian dijadikan
dasar untuk membentuk sebuah tindakan yaitu berupa proses pengendalian.
Output yang dihasilkan dari proses pengendalian tersebut adalah berupa control
terhadap informasi. Hal ini dilakukan berulang dan kembali lagi ke awal siklus.
Lebih lanjut dalam mengembangkan Critical Success Factors dapat
diperoleh juga dengan memeriksa tujuan dan pemantauan terhadap kerangka
pedoman tata kelola TI. Beberapa norma sederhana yang dijadikan dasar adalah
untuk hal-hal di bawah ini yaitu :
1. TI harus selaras dengan bisnis
2. TI memungkinkan untuk bisnis dan memaksimalkan manfaatnya
3. Sumber daya TI digunakan secara bertanggung jawab
4. Resiko terkait TI harus dikelola dengan tepat.
52
Model kontrol standar, biasanya akan terjadi pada lapisan yang berbeda,
pimpinan tim melaporkan dan menerima arahan dari manajernya, kemudian
manajer melaporkan ke eksekutif dan eksekutif kepada dewan direksi. Laporan
juga menunjukkan penyimpangan dari target yang biasanya sudah termasuk
rekomendasi untuk tindakan pendukung. Beberapa hal yang harus dicatat bahwa
prinsip-prinsip kontrol yang dibutuhkan memiliki tingkatan yang berbeda, yaitu
pada tingkat strategis, taktis dan administrasi. Biasanya ada empat jenis kegiatan
di setiap tingkatan yang mengikuti satu sama lain, yaitu perencanaan (plan),
melakukan (do), memeriksa (check) dan mengoreksi (correct) . Siklus pengaturan
TI dapat dijelaskan sebagai sebuah pengaturan TI ditentukan oleh praktek terbaik
yang menjamin informasi dan teknologi terkait dalam sebuah perusahaan dapat
mendukung tujuan bisnisnya, sumber daya dipergunakan dengan tanggung jawab
dan resiko terkait. Praktek tersebut membentuk dasar arahan bagi kegiatan TI
yang dapat dikelompokan kedalam domain PO, AI, DS dan ME dengan tujuan
untuk pengaturan dalam memperoleh keamanan, keandalan dan pemenuhan serta
mendapat keuntungan dalam meningkatkan efektivitas, dan efisiensi. Output yang
didapat berupa laporan yang dikeluarkan melalui hasil kegiatan atau aktivitas TI,
yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya,
kembali lagi ke awal siklus. Berdasarkan model kontrol standar dan kerangka tata
kelola TI, sejumlah critical success factor yang berlaku untuk sebagian besar
proses TI dapat disimpulkan sebagai berikut :
1. Diterapkan untuk TI secara umum
a) Proses TI ditetapkan dan diselaraskan dengan strategi TI dan tujuan
bisnis.
b) Mengetahui harapan dari para pelanggan.
c) Proses terukur dan sumber daya secara tepat dikelola.
d) Kinerja TI diukur dalam hal keuangan, dalam kaitannya dengan
kepuasan pelanggan, dan untuk efektivitas proses.
e) Upaya peningkatan mutu berkelanjutan diterapkan.
53
2. Diterapkan untuk sebagian besar proses TI
a) Semua stakeholder sadar akan resiko dari pentingnya TI dan
peluang yang dapat ditawarkan, dan memberikan komitmen
yang kuat serta dukungan.
b) Tujuan dan sasaran yang dikomunikasikan dalam semua disiplin
ilmu dan sudah dipahami.
c) Orang merupakan fokus tujuan dan memiliki informasi yang tepat
untuk pelanggan.
d) Ada integrasi dan keselarasan proses utama, misalnya, perubahan,
masalah dan manajemen konfigurasi.
e) Kontrol praktek diterapkan untuk meningkatkan penggunaan yang
efisien dan mengoptimalkan sumber daya serta meningkatkan
efektivitas proses.
3. Diterapkan untuk tata kelola TI
a) Kontrol praktek diterapkan untuk meningkatkan transparansi,
mengurangi kompleksitas, mempromosikan pembelajaran,
memberikan fleksibilitas dan skalabilitas, menghindari kerusakan
dalam pengendalian internal serta pengawasan.
b) Tata Kelola TI diakui dan didefinisikan, dan ada kegiatan yang
terintegrasi ke dalam proses tata kelola perusahaan, serta
memberikan kejelasan dari arah strategi TI, kerangka kerja
manajemen resiko, sistem pengawasan dan kebijakan keamanan.
c) Berfokus pada proyek utama tata kelola TI, inisiatif perubahan dan
upaya peningkatan kualitas, dengan kesadaran utama terhadap
proses TI, tanggung jawab dan sumber daya yang diperlukan serta
kemampuan.
d) Sebuah komite audit dibentuk untuk menunjuk dan mengawasi
auditor independen, dan meninjau hasil audit dan pendapat dari
pihak ke-3.
54
2.6.4.2 Indikator Kunci Keberhasilan (Key Goals Indicator-KGI)
Menurut IT Governance Institute Team. 2000. COBIT Management
Guidelines (page 17) Sebuah Key Goal Indicators yang mewakili tujuan proses,
adalah mengukur dari "apa" yang harus dicapai. Hal ini merupakan indicator
terukur dari proses pencapaian suatu tujuan yang sering didefinisikan sebagai
target yang akan dicapai. Perbandingan KGI terhadap Key Performance Indicator
(KPI akan dibahas dalam bagian berikutnya) adalah mengenai ukuran dari
"seberapa baik" melakukan proses ini. Hubungan tersebut kemudian digambarkan
pada gambar di bawah dengan konsep Balanced Business Scorecard, yang juga
memperlihatkan ukuran hasil dari tujuan dan ukuran kinerja relatif terhadap
penghubung untuk tujuan yang akan dicapai. Dalam konteks ini perlu diingat
bahwa TI adalah penghubung utama dari bisnis.
Gambar 2.11 Konsep Balanced Bussiness Scorecard
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
COBIT framework juga dibahas mengenai tujuan untuk TI dalam hal
kriteria informasi dan kebutuhan bisnis untuk mencapai tujuan bisnis, yang
biasanya akan dinyatakan dalam hal ketersediaan terhadap sistem dan layanan,
tidak adanya integritas dan resiko kerahasiaan, biaya efisiensi proses dan operasi,
konfirmasi kehandalan, serta efektivitas dan kepatuhan. Tujuan untuk TI
kemudian dapat dinyatakan sebagai informasi yang memberikan kebutuhan bisnis
sesuai dengan kriteria tersebut. Kriteria informasi ini disediakan dalam
55
management guidelines dengan indikasi apakah memiliki proses primer atau
sekunder yang sedang diperiksa. Profil kriteria informasi suatu perusahaan akan
lebih spesifik ditampilkan pada gambar berikut ini:
1. Availability yaitu ketersediaan informasi yang dibutuhkan untuk
mendukung kebutuhan bisnis.
2. Integrity and confidentaly yaitu integritas dan keamanan sistem.
3. Cost-efficiency yaitu efisiensi biaya dari proses dan operasi yang
dilakukan.
4. Reliability, effectiveness and compliance yaitu tingkat kehandalan,
efektifitas proses dan ketaatan terhadap prosedur, hukum atau
regulasi.
2.6.4.3 Indikator Kunci Pelaksanaan (Key Performance Indicator-KPI)
Menurut IT Governance Institute Team. 2000. COBIT Management
Guidelines (page 20-21) Key Performance Indikator (KPI) merupakan ukuran
yang digunakan untuk menunjukkan kinerja dari setiap proses TI. KPI biasanya
berupa indikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya
TI. KPI berfokus terhadap bagaimana sebuah proses dijalankan, sedangkan KGI
berfokus pada hasil dari proses. Berdasarkan pada prinsip-prinsip Balanced Score
Card, maka hubungan antara Key Performance Indikator dan Key Goal Indicator
adalah sebagai berikut:
Gambar 2.12 Hubungan KPI dan KGI
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
56
Key Performance Indicators adalah indikator yang fokus dan terukur dari
kinerja faktor-faktor pendukung proses TI, yang menunjukkan seberapa baik
proses dapat memungkinkan suatu tujuan dapat tercapai. Key Goal Indicator
berfokus pada “apa”, sedangkan Key Performance Indicators berfokus dengan
”bagaimana”. Biasanya Key Goal Indicator dan Key Performance Indicators
sering akan menjadi ukuran dari Critical Success Factor (CSF) dan ketika
dipantau serta ditindaklanjuti, maka akan mengidentifikasi peluang untuk
perbaikan proses. Perbaikan ini harus positif dalam mempengaruhi hasil. Key
Performance Indicators memiliki hubungan sebab-akibat dengan proses Key Goal
Indicator. Pengukuran komposit disarankan untuk Key Performance Indicators
dan, dalam beberapa kasus adalah untuk Key Goal Indicator.
Sebuah contoh dapat mengukur kecukupan untuk organisasi TI, sebagai
salah satu nomor, fokus bisnis staf TI, moral dan kepuasan kerja. Indeks kualitas
rencana oleh pemantauan, ketepatan waktu, kelengkapan dan Sementara Key Goal
Indicator adalah yang berorientasi proses dan mengungkapkan bagaimana
baiknya proses dalam organisasi serta mengelola sumber daya yang dibutuhkan.
Mirip dengan Key Goal Indicator, Key Performance Indicators juga sering
dinyatakan sebagai angka atau persentase. Satu set generik Key Performance
Indicators tercantum di bawah ini dan biasanya berlaku untuk semua proses IT:
1. Diterapkan untuk TI secara umum
a) Mengurangi waktu siklus (respon produksi TI dan pengembangan).
b) Meningkatkan kualitas dan inovasi.
c) Pemanfaatan bandwidth komunikasi dan daya komputasi.
d) Layanan ketersediaan dan waktu respon.
e) Kepuasan stakeholder (survei dan jumlah keluhan).
f) Jumlah staf yang terlatih dalam teknologi yang baru
2. Diterapkan untuk sebagian besar proses TI
a) Peningkatan efisiensi biaya proses (biaya vs kiriman).
b) Produktivitas Staf (jumlah kiriman) dan moral (survei).
c) Jumlah kesalahan dan pengerjaan ulang.
57
3. Diterapkan untuk tata kelola TI
a) perbandingan (benchmark).
b) Jumlah ketidakpatuhan pelaporan.
2.6.5 Penentuan Tingkat Kematangan (Maturity level)
Penentuan tingkat kematangan bukan hanya menggambarkan pengukuran
sejauh mana perusahaan telah memenuhi standar proses pengelolaan TI yang baik.
Lebih jauh lagi, tingkat kematangan tersebut seharusnya dapat digunakan untuk
peningkatan kesadaran akan kepentingan pengelolaan proses TI sekalipun
pengidentifikasian prioritas dalam peningkatan yang dilakukan. Perlu dipahami
bahwa istilah tingkat kematangan yang dimaksud merupakan representasi
kematangan proses TI yang berlangsung di perusahaan (dalam bentuk
nilai/angka). Adapun level kematangan dimaksud sebagai pengelompokkan dari
level nol atau non-existent hingga level lima atau optimized. Nilai tingkat
kematangan akan akan menunjukkan level kematangan proses TI dengan
pengidentifikasian secara menyeluruh terhadap setiap level. Penentuan tingkat
kematangan pada dasarnya merupakan bagian dari pengujian kepatutan terhadap
aktifitas yang seharusnya dilakukan atau ada di tiap proses TI berdasarkan
kerangka kerja COBIT sesuai tingkatan levelnya. Pernyataan-pernyataan tersebut
merupakan rincian untuk mengetahui tingkat kematangan proses TI di setiap level.
Pada tiap level kematangan akan terdapat daftar pernyataan yang dapat
dijadikan acuan untuk menilai sejauh mana proses yang berlangsung dalam
organisasi atau perusahaan telah memenuhi pernyataan tersebut. Penentuan
tingkat kematangan akan dilakukan pada setiap proses TI dan dilakukan terhadap
semua level, mulai dari level nol, hingga level lima. Penentuan tingkat kepatutan
ditentukan berdasarkan kerangka kerja COBIT yang menyediakan
pengelompokkan kapabilitas perusahaan dalam pengelolaan proses TI dari level
nol atau non-existent hingga level lima atau optimized. Hal yang perlu
diperhatikan adalah level tersebut bukan dimaksudkan sebagai kenaikan
sekuensial yang harus dipenuhi mulai dari tingkatan terendah hingga tertinggi.
Pemenuhannya dapat dilakukan terhadap beberapa level kepatutan secara
58
bersamaan. Pemenuhan kematangan dapat terjadi pada sebagian level nol hingga
level lima, kemudian tingkat kematangan dihitung sesuai dengan total dari
perkalian kontribusi dengan tingkat kepatutan dari levellevel bersangkutan.
Tingkat kepatutan ditentukan berdasarkan kerangka kerja COBIT yang
menyediakan pengelompokkan kapabilitas perusahaan dalam pengelolaan proses
TI dari level nol sampai level lima (optimized). Hal yang perlu diperhatikan adalah
level tersebut bukan dimaksudkan untuk sebagai kenaikan sekuensial yang harus
dipenuhi mulai dari tingkatan terendah hingga tertinggi. Pemenuhannya dapat
dilakukan terhada beberapa level kepatutan secara bersamaan. Pemenuhan
kematangan dapat terjadi pada sebagian level nol hingga level lima, kemudian
tingkat pemenuhan kematangan dihitung sesuai dengan total dari perkalian
kontribusi dengan tingkat kepatutan dari level-level bersangkutan. Penentuan hal
serupa akan dilakukan pada tiap level dalam proses TI terkait.
2.7. Perbandingan Model Tata Kelola TI
2.7.1 COBIT dengan ITIL
Tabel di bawah ini menunjukkan bahwa ITIL sangat fokus kepada proses
desain dan implementasi TI, serta pelayanan pelanggan (customer service), hal ini
diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT
dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL
tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan
pengelolaan TI. Proses pada domain ME sama sekali tidak dilakukan oleh ITIL,
hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan
kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
59
Tabel 2.5 Matrik Proses COBIT dengan ITIL
2.7.2 COBIT dengan ISO/IEC 17799
Tabel 2.4 menunjukkan bahwa ISO/IEC 17799 melakukan hampir 77
persen (76,5%) dari proses pada seluruh domain COBIT. Hal ini menunjukkan
ISO/IEC17799 mempunyai spektrum luas dalam pengelolaan TI sebagaimana
halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail
proses-proses yang dilakukan dalam domain-domain tersebut.
Tabel 2.6 Matrik Proses COBIT dengan ISO/IEC 17799
2.7.3 COBIT dengan COSO
Tabel 2.5 di bawah ini menunjukkan bahwa COSO melakukan sebagian
proses di domain PO, AI, dan DS, namun tidak satupun proses pada domain ME
dilakukan. Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan
TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan
implementasi TI, tetapi tidak melakukan pengawasan yang akan memastikan
kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
60
Tabel 2.7 Matrik Proses COBIT dengan COSO
2.7.4 Perbandingan COBIT dengan ITIL, ISO/IEC17799, dan COSO
Perbandingan antara model standar pengelolaan TI terlihat pada tabel 2.6
di bawah ini mengenai matrik proses COBIT, ITIL, ISO17799 dan COSO yang
memperlihatkan bahwa model-model standar selain COBIT tidak memiliki range
spektrum seluas COBIT. Model-model tersebut hanya melakukan sebagian dari
proses-proses pengelolaan yang ada di dalam COBIT.
Tabel 2.8 Matrik Proses COBIT dengan ITIL, ISO/IEC17799 dan COSO
Gambar 2.13 di bawah ini memetakan standar COBIT dengan standar lainnya
dalam hal kelengkapan proses-proses TI yang dilihat dalam dua dimensi, yaitu
sebagai berikut :
a) Vertikal yang melihat kedetailan atau kedalaman standar dalam hal
teknis dan operasional.
b) Horizontal yang melihat kelengkapan proses-proses TI.
61
Gambar 2.13 Pemetaan COBIT terhadap ITIL, ISO17799 dan COSO
Sumber : IT Governance Institute Team. 2007. COBIT 4.1. USA: IT Governance Institute.
Selain itu juga dapat dilihat bahwa COBIT mempunyai kompromi antara
dimensi horisontal dan vertikal yang lebih baik dari standar-standar lainnya.
COBIT mempunyai spektrum proses TI yang lebih luas dan lebih mendetail. ITIL
merupakan standar yang paling mendetail dan mendalam dalam mendefinisikan
proses-proses TI yang bersifat teknis dan operasional. Sedangkan COSO
mempunyai detail yang dangkal, walaupun spektrum proses teknis dan
operasionalnya cukup luas.