SCORECARD MENGGUNAKAN STANDAR COBIT 4.1 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)

TUGAS AKHIR

Nama : Finh Yutta Dhipiya NIM : 07.41010.0258 Program : S1 (Strata Satu) Jurusan : Sistem Informasi

SEKOLAH TINGGI

MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA

AUDIT SISTEM INFORMASI INSTALASI RAWAT INAP BERDASARKAN PERSPEKTIF PELANGGAN BALANCED

SCORECARD MENGGUNAKAN STANDAR COBIT 4.1 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)

TUGAS AKHIR

Diajukan sebagai salah satu syarat untuk menyelesaikan Program Sarjana Komputer

Oleh:

Nama : Finh Yutta Dhipiya NIM : 07.41010.0258 Program : S1 (Strata Satu) Jurusan : Sistem Informasi

SEKOLAH TINGGI

MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA

Teknologi informasi merupakan salah satu pendukung utama setiap perusahaan untuk pengelolaan informasi. Penerapan teknologi informasi juga digunakan dalam proses operasional pada rumah sakit. Proses bisnis rumah sakit membutuhkan informasi yang berbeda dan data pasien yang spesifik. Informasi dan data pasien tersebut memberikan kesempatan bagi fungsi bisnis lainnya di rumah sakit untuk melakukan proses tertentu. Untuk keperluan itulah Rumah Sakit Umum (RSU) Haji Surabaya menerapkan teknologi informasi dalam operasionalnya.

Untuk mengukur keselarasan antara proses bisnis, aplikasi, dan strategi bisnis pada Instalasi Rawat Inap RSU Haji Surabaya perlu dilakukan audit terhadap sistem informasi yang ada. Oleh karena itu tugas akhir ini membahas pelaksanaan audit sistem informasi. Audit yang dilakukan menggunakan standar COBIT 4.1 dan menerapkan Balanced Scorecard pada perspektif pelanggan.

Dari pelaksanaan audit sistem informasi, dihasilkan nilai Maturity Level 2.60, yang termasuk dalam kategori repeatable but intuitif. Penelitian ini juga menghasilkan rekomendasi untuk perbaikan proses sistem informasi berupa pembakuan prosedur yang telah ada dan peningkatan upaya manajemen dalam mendorong SIM-RS serta Instalasi Rawat Inap RSU Haji Surabaya dalam penggunaan standar yang telah dibakukan dan dalam peningkatan upaya pendokumentasian prosedur dan proses sistem informasi yang telah ada.

Halaman

ABSTRAK ... vi

KATA PENGANTAR ... vii

DAFTAR ISI ... ix

DAFTAR TABEL ... xii

DAFTAR GAMBAR ... xiv

DAFTAR LAMPIRAN ... xv

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Batasan Masalah ... 4

1.4 Tujuan ... 5

1.5 Sistematika Penulisan ... 6

BAB II LANDASAN TEORI ... 8

2.1 Rumah Sakit ... 8

2.2 Sistem Informasi ... 9

2.3 Audit Sistem Informasi ... 10

2.4 Balanced Scorecard ... 11

2.5 Control Objective for Information and Related Technology . 15 2.5.1 ... K riteria Informasi ... 16

2.5.2 ... S umber Daya Teknologi Informasi ... 18

2.6 Keselarasan Tujuan Pengukuran Tujuan Bisnis dan TI ... 23

Halaman 2.7 Tahapan-Tahapan dalam Audit Sistem Informasi ... 24

BAB III METODE PENELITIAN ... 26

3.1 Tahap Perencanaan Audit Sistem Informasi ... 26

3.1.1 Mengidentifikasi Proses Bisnis dan TI ... 26

3.1.2 Penentuan Ruang Lingkup Audit Sistem Informasi .. 27

3.1.3 Penentuan Tujuan Audit Sistem Informasi ... 27

3.1.4 Identification of core IT application and main IT relevant interfaces ... 28

3.2 Tahap Persiapan Audit Sistem Informasi ... 28

3.2.1 Penyusunan Audit Working Plan ... 28

3.2.2 Membuat Pernyataan ... 29

3.2.3 Melakukan Pembobotan ... 29

3.2.4 Membuat Pertanyaan ... 30

3.3 Tahap Pelaksanaan Audit Sistem Informasi ... 30

3.3.1 Pemeriksaan Data dan Bukti ... 30

3.3.2 Wawancara ... 31

3.3.3 Melakukan Uji Kematangan ... 31

3.3.4 Penentuan Temuan dan Rekomendasi ... 32

3.4 Tahap Pelaporan Audit Sistem Informasi ... 33

BAB IV HASIL DAN PEMBAHASAN... 34

Sistem Informasi ... 38

Halaman 4.1.3 Identification of core IT application and main IT relevant interfaces ... 39

4.2 Hasil Persiapan Audit Sistem Informasi ... 41

4.2.1 Hasil Penyusunan Audit Working Plan ... 41

4.2.2 Hasil Pembuatan Pernyataan ... 42

4.2.3 Hasil Pembuatan Pembobotan ... 42

4.2.4 Hasil Pembuatan Pertanyaan ... 43

4.3 Hasil Pelaksanaan Audit Sistem Informasi ... 43

4.3.1 Hasil Pemeriksaan Data dan Bukti ... 43

4.3.2 Hasil Wawancara ... 43

4.3.3 Hasil Pelaksanaan Uji Kematangan ... 44

4.3.4 Hasil Penentuan Temuan dan Rekomendasi ... 67

4.4 Hasil Pelaporan Audit Sistem Informasi... 82

BAB V PENUTUP ... 83

5.1 Kesimpulan ... 83

5.2 Saran ... 84

DAFTAR PUSTAKA ... 85

BAB I PENDAHULUAN

1.1Latar Belakang

Rumah sakit adalah sarana kesehatan masyarakat yang menyelenggarakan kegiatan pelayanan kesehatan, serta berfungsi sebagai tempat pendidikan tenaga kesehatan dan penelitian. Rumah Sakit Umum (RSU) Haji Surabaya merupakan salah satu rumah sakit milik pemerintahan Provinsi Jawa Timur. RSU Haji Surabaya merupakan rumah sakit klasifikasi B sesuai dengan Surat Keputusan Menteri Kesehatan No.1006/Menkes/SK/IX/1998 tanggal 21 September 1998. Pelayanan pada RSU Haji Surabaya diperuntukkan semua lapisan masyarakat dari berbagai macam bangsa, etnis dan agama.

Tugas utama RSU Haji Surabaya adalah memberikan jasa pengobatan, perawatan, dan pelayanan kesehatan kepada seluruh pasien yang berobat. Hal ini sesuai dengan pernyataan Adikoesoemo (1997) bahwa rumah sakit berfungsi memberikan pelayanan kesehatan lengkap kepada masyarakat baik kuratif maupun rehabilitatif, dimana output layanannya menjangkau pelayanan keluarga dan lingkungan, rumah sakit juga merupakan pusat pelatihan tenaga kesehatan serta untuk penelitian biososial. Salah satu fasilitas yang dimiliki RSU Haji Surabaya adalah instalasi rawat inap yang merupakan salah satu fasilitas berfungsi sebagai ruang untuk proses perawatan pasien sebagai pelanggan rumah sakit. Fasilitas yang dimiliki dan pelayanan kepada para pasien menjadikan RSU Haji Surabaya diminati oleh masyarakat dalam berobat untuk memperoleh penyembuhan penyakit yang dideritanya.

Seiring dengan meningkatnya persaingan dan tuntutan masyarakat akan pelayanan yang berkualitas, maka RSU Haji Surabaya telah mengimplementasikan sistem informasi berbasis komputer khususnya di bagian instalasi rawat inap. Namun demikian, dalam penggunaan sistem informasi instalasi rawat inap dalam operasional dan pelayanan kepada para pasien, masih terdapat kendala-kendala pada pemrosesan sistem informasi yang sering dikeluhkan penggunanya. Masalah proses ini juga mengganggu pelayanan sehingga menimbulkan keluhan para pasien sebagai pelanggan rumah sakit RSU Haji Surabaya. Permasalahan yang menjadi keluhan antara lain lambatnya proses sistem informasi yang menyebabkan pasien harus menunggu lama dalam memperoleh layanan. Lamanya proses sistem informasi sering menyebabkan pasien harus antri cukup lama dalam memperoleh layanan. Data layanan pasien rawat inap sering memperoleh protes pasien karena ketidaksesuain dengan tagihan yang diberikan kepada pasien saat membayar di kasir. Penyebab terjadinya kesalahan dan keterlambatan sistem informasi tersebut belum diketahui dengan pasti. Sejauh ini belum diketahui sejauhmana dukungan sistem informasi terhadap pencapaian bisnis RSU Haji Surabaya. Padahal dengan timbulnya permasalahan dalam proses sistem informasi instalasi rawat inap dapat menyebabkan penurunan kinerja bisnis instalasi rawat inap RSU Haji Surabaya.

Perlu dilakukan pengukuran keselarasan tujuan sistem informasi dan tujuan bisnis instalasi rawat inap RSU Haji Surabaya untuk mengetahui dan memecahkan permasalahan sistem informasi instalasi rawat inap RSU Haji Surabaya. Menurut Krist dalam Surendro (2004), pengukuran keselarasan tujuan sistem informasi dan tujuan bisnis dapat dilakukan dengan audit sistem informasi.

Oleh karena itu perlu dilakukan audit sistem informasi instalasi rawat inap RSU Haji Surabaya karena sampai saat ini RSU Haji Surabaya belum pernah melakukan audit sistem informasi untuk mengetahui keselarasan tujuan sistem informasi dengan tujuan bisnis. Standar yang digunakan dalam audit sistem informasi instalasi rawat inap RSU Haji Surabaya adalah COBIT 4.1. Standar COBIT dipilih karena memiliki keunggulan dalam kontrol TI dan juga menyediakan kerangka pengukuran kinerja TI sebagai bahan analisa obyek yang perlu diperbaiki (Sarno, 2009: 17). Selain itu, standar COBIT telah mendapat pengakuan secara luas pada tingkat internasional (Lenggana, 2007; Effendi, 2008).

Untuk menentukan ruang lingkup pengukuran kinerja bisnis, dipilih salah satu tools yang banyak digunakan untuk mengukur kinerja bisnis yaitu Balance Scorecard (BSC). Menurut Kaplan dan Norton (1996: 9), BSC merupakan suatu konsep untuk mengukur apakah aktivitas-aktivitas operasional suatu perusahaan dalam skala yang lebih kecil sejalan dengan sasaran yang lebih besar dalam hal visi dan strategi. BSC membagi kinerja bisnis ke dalam 4 (empat) perspektif yaitu keuangan, pelanggan, internal dan pertumbuhan. Karena pendapatan utama RSU Haji Surabaya terletak pada banyaknya pasien yang berobat sebagai pelanggan RSU Haji Surabaya, maka perspektif yang tepat untuk diukur adalah perspektif pelanggan. Alasan lain penentuan ruang lingkup pengukuran kinerja bisnis hanya pada perspektif pelanggan agar penelitian menjadi lebih fokus dan efektifitas jangka waktu penyelesaian penelitian ini.

Diharapkan melalui pengukuran keselarasan tujuan teknologi informasi dalam audit sistem informasi instalasi rawat inap RSU Haji Surabaya dapat

meningkatkan kontribusi sistem informasi terhadap kinerja bisnis RSU Haji Surabaya. Luftman dan Brier (1999) menyatakan dengan kalimat yang berbeda bahwa perusahaan yang mencapai penyelarasan dapat membangun strategi keuntungan kompetitif yang akan meningkatkan organisasi dengan peningkatan visibilitas, efisiensi, dan profitabilitas pada persaingan dalam perubahan pasar saat ini. Melalui audit sistem informasi, diharapkan dapat menghasilkan rekomendasi kepada RSU Haji Surabaya untuk mengatasi permasalahan dan meningkatkan pelayanan kepada para pasien yang berobat. Hasil dari pengukuran tujuan teknologi informasi ini diharapkan pula dapat membantu manajemen dalam mengambil keputusan demi perbaikan berkelanjutan (continuous improvement) sistem informasi instalasi rawat inap RSU Haji Surabaya.

1.2Perumusan Masalah

Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan permasalahan sebagai berikut :

1. Bagaimana membuat perencanaan audit sistem instalasi rawat inap di Rumah Sakit Umum Haji Surabaya pada perspektif pelanggan.

2. Bagaimana melaksanakan audit sistem informasi instalasi rawat inap di Rumah Sakit Umum Haji Surabaya dengan standar COBIT 4.1 pada perspektif pelanggan.

3. Bagaimana menyusun laporan hasil audit sistem informasi instalasi rawat inap di Rumah Sakit Umum Haji Surabaya pada perspektif pelanggan.

1.3 Batasan Masalah

Pada pelaksanaan tugas akhir ini, dilakukan beberapa pembatasan masalah terkait dengan pembahasan yang ada, diantaranya:

1. Output yang dihasilkan dari tugas akhir berupa penyusunan laporan hasil audit, yang berisikan temuan dan rekomendasi untuk manajemen perusahaan. 2. Tidak menyertakan perhitungan mengenai Key Performance Indicator (KPI),

Process Key Goal Indicator (PKGI), dan Information Technology Key Goal Indicator (ITKGI).

3. Output yang dihasilkan berupa dokumen temuan dari hasil audit sistem informasi dengan pengukuran tujuan teknologi informasi dan tujuan bisnis pada Instalasi Rawat Inap RSU Haji Surabaya.

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah :

1. Menghasilkan perencanaan audit sistem informasi instalasi rawat inap yang terdiri dari pengidentifikasian ruang lingkup audit berdasarkan perspektif pelanggan Balanced Scorecard, pengumpulan bukti hingga menentukan dokumen-dokumen yang dibutuhkan untuk menunjang proses audit sistem informasi.

2. Melakukan audit sistem informasi instalasi rawat inap dengan melakukan wawancara serta pengumpulan dokumen yang diperlukan dalam proses audit hingga didapatkan suatu temuan-temuan audit.

3. Melakukan evaluasi dari bukti yang ada, mendokumentasikan temuan audit, dan menyusun laporan hasil audit sistem informasi instalasi rawat inap.

1.5 Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang, penjelasan permasalahan, perumusan masalah, batasan masalah, dan tujuan dari pembuatan tugas akhir serta sistematika penulisan buku ini. BAB II : LANDASAN TEORI

Pada bab ini membahas mengenai penjelasan tentang Sistem Informasi, Audit Sistem Informasi, Tujuan Bisnis, Balanced

Scorecard, Control Objectives for Information and Related

Technologies 4.1, Keselarasan Tujuan Pengukuran Bisnis dan Tujuan Teknologi Informasi, Maturity Level, Jaring Laba-laba, Control Objectives, Penyusunan Hasil Audit dan Rekomendasi. BAB III : METODE PENELITIAN

Pada bab ini berisi uraian mengenai gambaran perusahaan, menentukan tujuan utama dari audit sistem informasi, ruang lingkup, dan metode yang akan digunakan.

BAB IV : HASIL DAN PEMBAHASAN

Pada Pada bab ini membahas tentang hasil pelaksanaan audit sistem informasi berdasarkan Penentuan Ruang Lingkup Audit Sistem Informasi, Pengumpulan Bukti, Pelaksanaan Uji Kepatutan dan Perhitungan Nilai Maturity Level. Hasil audit disusun sehingga

menghasilkan Penyusunan Temuan, sampai dengan Penyusunan Rekomendasi audit sistem informasi.

BAB V : PENUTUP

Berisi kesimpulan dari Tugas Akhir, serta saran sehubungan dengan adanya kemungkinan pengembangan sistem pada masa yang akan datang.

2.1 Rumah Sakit

Rumah sakit merupakan suatu institusi yang fungsi utamanya memberikan pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan upaya kesehatan secara berdaya guna dan berhasil guna dengan mengutamakan upaya penyembuhan dan pemulihan yang dilaksanakan secara serasi dan terpadu dengan peningkatan dan pencegahan serta melaksanakan rujukan. Untuk dapat menyelenggarakan upaya-upaya tersebut dan mengelola rumah sakit agar tetap dapat memenuhi kebutuhan pasien dan masyarakat yang dinamis, maka setiap komponen yang ada di rumah sakit harus terintegrasi dalam satu sistem (Soejitno, 2002). Rumah sakit merupakan suatu sistem dapat dilihat pada Gambar 2.1

Lingkungan Luar

Sanak Saudara, pihak asuransi, peraturan pemerintah, hukum, masyarakat

Masukan Pelanggan (sehat dan sakit)

Dokter Karyawan Sarana dan Prasarana

Peralatan, dsb

Proses Pelayanan Medik

ICU & UGD Rawat Inap Rawat Jalan Laboratorium Administrasi

Luaran Pasien Sembuh/Cacat/

Meninggal

Hasil Akhir Pasien puas atau tidak, Rumah Sakit

maju atau mundur

Gambar 2.1 Rumah Sakit Sebagai Suatu Sistem (Soejitno, 2002)

Menurut Depkes RI (1992) berdasarkan pembedaan tingkatan menurut kemampuan unsur pelayanan kesehatan yang dapat disediakan, ketenagaan, fisik dan peralatan, maka rumah sakit umum pemerintah pusat dan daerah diklasifikasikan menjadi:

1. Rumah Sakit Umum Kelas A adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis spesialistik luas dan subspesialistik luas.

2. Rumah Sakit Umum Kelas B adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis sekurang-kurangnya 11 spesialistik luas dan subspesialistik terbatas.

3. Rumah Sakit Umum Kelas C adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis spesialistik dasar.

4. Rumah Sakit Umum Kelas D adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis dasar.

2.2Sistem Informasi

Sistem informasi adalah kombinasi dari teknologi informasi dan aktivitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen yang terlibat dalam proses bisnis organisasi tersebut.

Berdasarkan definisi sistem informasi tersebut, menurut Kristanto (2003: 15-16) peranan sistem informasi dalam bisnis, antara lain:

1. Mendukung operasi bisnis

2. Mendukung dalam pengambilan keputusan manajerial 3. Meraih keuntungan strategik

2.3 Audit Sistem Informasi

Audit secara umum adalah proses terpadu dalam pengumpulan dan penilaian terhadap informasi sebagai satu kesatuan organisasi oleh seorang ahli . Pengertian audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).

Apabila dilihat dari definisi di atas, maka dapat disimpulkan bahwa tujuan audit sistem informasi adalah untuk menilai apakah pengendalian sistem informasi telah dapat memberikan keyakinan yang memadai atas:

1. Pengamanan Aset.

Aset teknologi informasi mencakup perangkat keras, perangkat lunak, fasilitas teknologi informasi, personil, file data, dokumentasi sistem, dan perangkat lain. Pengamanan aset yang dimaksudkan adalah sejauh mana teknologi informasi dapat memberikan jaminan kerahasiaan dan ketersediaan informasi.

2. Integritas Data.

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Integritas data tidak dapat lepas dari pengorbanan biaya. Apabila organisasi tidak dapat menjaga integritas data, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.

3. Efektitas.

Sistem informasi dikatakan efektif apabila sistem tersebut dapat mencapai tujuannya. Untuk menilainya, diperlukan upaya untuk mengetahui kebutuhan pengguna sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi pengguna, seorang auditor perlu untuk mengetahui karakteristik pengguna berikut proses pengambilang keputusannya.

4. Efisiensi.

Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumber daya seperti mesin dan segala perlengkapannya, perangkat lunak, sarana komunikasi, dan tenaga kerja yang mengoperasikan sistem tersebut.

2.4Balanced Scorecard

Balanced Scorecard merupakan suatu sistem manajemen, pengukuran, dan pengendalian yang secara cepat, tepat, dan komperehensif dapat memberikan pemahaman kepada manajer tentang performance bisnis (Yuwono, dkk, 2006). Pengukuran kinerja tersebut memandang unit bisnis dari empat perspektif yaitu: perspektif keuangan, pelanggan, pembelajaran dan pertumbuhan, serta bisnis internal. Balanced Scorecard menerjemahkan visi dan strategi oerusahaan dalam 4 (empat) perspektif yang saling terhubung tersebut, seperti terlihat pada Gambar 2.2 di halaman 12.

Gambar 2.2 Empat Perspektif dalam Balanced Scorecard (Sumber: Kaplan dan Norton, 1996: 9)

Menurut ITGI (2007) pemetaan tujuan bisnis dari 4 (empat) perspektif Balanced Scorecard berdasarkan standar Control Objectives for Information and Related Technologie (COBIT) dapat dilihat pada Tabel 2.1.

Tabel 2.1 Pemetaan Tujuan Bisnis dari Empat Perspektif Balanced Scorecard Berdasarkan Standar COBIT

Perspektif

Kinerja No Tujuan Bisnis

Perspektif Keuangan

1 Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan sistem informasi.

2 Pengeolaan risiko bisnis yang terkait dengan sistem informasi

3 Peningkatan transparansi dan tata kelola perusahaan Perspektif

Pelanggan

4 Peningkatan layanan dan orientasi terhadap pelanggan 5 Penawaran produk dan jasa yang kompetitif

6 Penentuan ketersediaan dan kelancaran layanan

7 Penciptaan ketangkasan untuk menjaawab permintaan bisnis yang berubah

8 Pencapaian optimasi biaya dari penyampaian layanan 9 Perolehan informasi yang bermanfaat dan handal untuk

Tabel 2.1 (Lanjutan) Perspektif

Kinerja No Tujuan Bisnis

Perspektif Proses Bisnis Internal

10 Peningkatan dan pemeliharaan fungsionalitas proses bisnis 11 Penuruan biaya proses

12 Penyediaan kepatutan terhadap hokum eksternal, regulasi dan kontrak

13 Penyediaan kepatutan terhadap kebijakan internal 14 Pengelolaan perubahan bisnis

15 Peningkatan dan pengelolaan produktivitas operasional dan staf

Perspektif Pembelajaran dan

Pertumbuhan

16 Pengelolaan inovasi produk dan bisnis

17 Perolehan dan pemeliharaan karyawan yang cakap dan termotivasi

Sumber: Information Technology Governance Institute, 2007

Menurut Yuwono, dkk, (2006: 111) dalam perspektif pelanggan menjelaskan cara-cara dimana nilai akan diciptakan untuk pelanggan, bagaimana ia menuntut ini harus dipenuhi dan mengapa pelanggan mau membayarnya, maka berbagai proses internal dan upaya pengembangan perusahaan harus diarahkan berdasarkan perspektif ini.

Dalam perspektif pelanggan, perusahaan perlu terlebih dahulu menentukan segmen pasar dan pelanggan yang menjadi target bagi organisasi atau badan usaha. Selanjutnya manajer harus menentukan alat ukur yang terbaik untuk mengukur kinerja dari tiap unit opetasi dalam upaya mencapai target finansialnya. Selanjutnya apabila suatu unit bisnis ingin mencapai kinerja keuangan yang superior dalam jangka panjang, mereka harus menciptakan dan menyajikan suatu produk baru/jasa yang bernilai lebih baik kepada pelanggan mereka. Perspektif pelanggan memiliki dua kelompok pengukuran, yaitu: customer core measurement dan customer value propositions (Kaplan dan Norton, 1996: 63).

1. Kelompok pengukuran inti (cutomer core measuremen group)

Kelompok pengukuran ini digunakan untuk mengukur bagaimana perusahaan memenuhi kebutuhan pelanggan dalam mencapai kepuasan, mempertahankan, memperoleh, dan merebut pangsa pasar yang telah ditargetkan. Dalam kelompok pengukuran inti, kita mengenal 5 (lima) tolak ukur, yaitu:

a. Pangsa pasar (market share)

Menggambarkan seberapa besar penjualan yang dikuasi oleh perusahaan dalam suatu segmen tertentu.

b. Kemampuan mempertahankan konsumen (customer retention)

Tingkat kemampuan perusahaan untuk mempertahankan hubungan dengan konsumennya yang mungkin seberapa besar perusahaan berhasil mempertahankan pelanggan lama.

c. Kemampuan meraih konsumen (customer acquisition)

Tingkat kemampuan perusahaan demi memperoleh dan menarik pelanggan baru dalam pasar.

d. Tingkat kepuasan konsumen (customer satiffaion)

Merupakan suatu tingkat kepuasan pelanggan terhadap kriteria kinerja tertentu yang diberikan oleh perusahaan.

e. Tingkat probabilitas konsumen (customer profitabilility)

Mengukur seberapa besar keuntungan yang berhasil diperoleh perusahaan dari penjualan kepada konsumen segmen pasar.

2. Kelompok pengukuran nilai (customer value proposition)

Kelompok pengukuran ini digunakan untuk mengetahui bagaimana perusahaan mengukur nilai pasar yang mereka kuasai dan pasar yang potensial

yang mungkin bisa mereka masuki. Kelompok pengukuran ini juga dapat menggambarkan pemacu kinerja yang menyangkut apa yang harus disajikan perusahaan untuk mencapai tingkat kepuasan, loyalitas, retensi, dan akuisisi pelanggan yang tinggi. Value proposition menggambarkan atribut yang disajikan perusahaan dalam produk/jasa yang dijual untuk menciptakan loyalitas dan kepuasan pelanggan. Kelompok pengukuran nilai pelangganan terdiri dari :

a. Atribut produk/jasa, yang meliputi: fungsi, harga, dan kualitas produk. b. Hubungan dengan pelanggan, yang meliputi: distribusi produk kepada

pelanggan, termasuk respon dari perusahaan, waktu pengiriman, serta bagaimana perasaan pelanggan setelah membeli produk/jasa dari perusahaan yang bersangkutan.

c. Citra dan reputasi, yang menggambarkan faktor intangible bagi perusahaan untuk menarik pelanggan untuk berhubungan dengan perusahaan, atau membeli produk.

2.5 COBIT 4.1 (Control Objective for Information and Related Technologies

4.1)

COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Control Association (ISACA). COBIT memberikan guidelines yang berorientasi pada bisnis, karena

itu bussines process owners dan manajer, termasuk auditor dan pengguna,

diharapkan dapat memanfaatkan guideline ini sebaik-baiknya.

COBIT merupakan good practices yang membantu pengoptimalan investasi TI serta menyediakan suatu ukuran yang dimana untuk menilai ketika terjadi berbagai hal yang menyeleweng (ITGI, 2007). Secara jelas, COBIT

membagi kerangka kerja tersebut menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi seperti terlihat pada Gambar 2.3.

Gambar 2.3 Kerangka Kerja COBIT

2.5.1 Kriteria Informasi

Adapun kriteria informasi dalam kerangka kerja COBIT dibagi menjadi 7 (tujuh) yaitu sebagai berikut.

1. Efektivitas (effectiveness).

Menyangkut informasi yang sesuai dan yang berhubungan dengan proses bisnis, ketepatan waktu penyampaian, kebenaran, dan konsistensi informasi yang dapat dipergunakan sebagaimana mestinya.

2. Efisiensi (efficiency).

Mengenai ketentuan informasi melalui penggunaan sumber daya secara optimal (produktif dan ekonomis) dalam menghasilkan informasi.

3. Kerahasiaan (confidentiality).

Mengenai perlindungan atas informasi yang sensitif dari pengungkapan yang dilakukan oleh pihak-pihak yang tidak memiliki wewenang.

4. Integritas (integrity).

Berhubungan dengan ketepatan dan kelengkapan informasi, selain itu validitas informasi sesuai dengan nilai dan ekspektasi bisnis.

5. Ketersediaan (availability).

Berhubungan dengan ketersediaan informasi pada saat dibutuhkan oleh proses pengamanan atas sumber daya yang diperlukan dan kapabilitas.

6. Kepatuhan (complience).

Berhubungan dengan kepatuhan pada hukum, peraturan dan kontrak yang mana proses bisnis menjadi pokok permasalahan, dan secara ekstern menentukan kriteria bisnis.

7. Kehandalan Informasi (reliability of information).

Berhubungan dengan sistem yang menyediakan informasi yang memadai untuk manajemen dalam menjalankan operasionalisasi organisasi, menyediakan laporan keuangan bagi pengguna dan menyediakan informasi tentang ketaatan pada hukum dan regulasi.

2.5.2 Sumber Daya Teknologi Informasi

Adapun sumber daya teknologi informasi (information technology resources) yang mempengaruhi COBIT sebagai berikut.

1. Data.

Objek-objek data dari luar dan dalam, terstruktur dan tidak terstruktur, gambar, suara, dan sebagainya.

2. Sistem Aplikasi.

Merupakan pemahaman untuk menghitung secara manual dan secara prosedur program.

3. Teknologi.

Teknologi mencakup perangkat keras (hardware), perangkat lunak (software), sistem manajemen berbasis data, jaringan, multimedia, dan lain sebagainya.

4. Fasilitas.

Sumber daya dari perusahaan dan sistem informasi yang mendukung. 5. Manusia.

Kemampuan karyawan, kesadaran dan produktivitas tertinggi, organisasi, pendapatan, pelayanan, dukungan, dan pengawasan sistem informasi serta servis.

2.5.3 Domain COBIT

Terdapat 4 (empat) domain utama pada COBIT (ITGI, 2007) sebagai berikut.

A. Plan and Organize

Domain Plan and Organize (PO) membahas mengenai strategi, taktik, dan pengidentifikasian TI dalam mendukung tercapainya tujuan bisnis. Di dalamnya terdapat 10 (sepuluh) hal, yaitu:

1. PO1 : Mendefinisikan rencana strategis sistem informasi, 2. PO2 : Mendefinisikan arsitektur informasi,

3. PO3 : Menenukan arahan teknologi,

4. PO4 : Mendefinisikan proses sistem informasi, organisasi dan keterhubungannya,

5. PO5 : Mengelola investasi sistem informasi,

6. PO6 : Mengkomunikasikan tujuan dan arahan manajemen, 7. PO7 : Mengeelola sumber daya sistem informasi,

8. PO8 : Mengelola kualitas,

9. PO9 : Menaksir dan mengelola risiko sistem informasi, 10.PO10: Mengelola proyek.

B. Acquire and Implement

Pada domain Acquire and Implement (AI) sebuah solusi TI perlu diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke dalam proses bisnis. Di dalamnya terdapat 7 (tujuh) hal yaitu:

1. AI1: Mengidentifikasi solusi otomatis,

2. AI2: Memperoleh dan memelihara perangkat lunak aplikasi, 3. AI3: Memperoleh dan memelihara infrastrutur teknologi, 4. AI4: Memungkinkan operasional dan penggunaan, 5. AI5: Memenuhi sumber daya sistem informasi, 6. AI6: Mengelola perubahan,

7. AI7: Instalasi dan akreditasi solusi beserta perubahannya. C. Deliver and Support (DS)

Domain Deliver and Support (DS) mempunyai fokus pada aspek

penyampaian TI kepada dukungan dan layanan TI mencakup dukungan dan layanan TI pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data.

Pada domain Deliver and Support terdapat 13 (tiga belas) hal yaitu: 1. DS1: Mendefinisikan dan mengelola tingkat layanan,

2. DS2: Mengelola layanan pihak ketiga, 3. DS3: Mengelola kinerja dan kapasitas,

4. DS4: Memastikan layanan yang berkelanjutan, 5. DS5: Memastikan keamanan sistem

6. DS6: Mengidentifikasi dan mengalokasikan biaya 7. DS7: Mendidik dan melatih pengguna,

8. DS8: Mengelola service desk dan insiden, 9. DS9: Mengelola konfigurasi,

10. DS10: Mengelola permasalahan, 11. DS11: Mengelola data,

12. DS12: Mengelola lingkungan fisik, 13. DS13: Mengelola operasi.

D. Monitor and Evaluate

Pada domain Monitor and Evaluate (ME) ditekankan kepada pentingnya semua proses TI perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan. Pada domain ME terdapat 4 (empat) hal yang menjadi fokus, yaitu:

1. ME1: Mengawasi dan mengevaluasi kinerja sistem informasi, 2. ME2: Mengawasi dan mengevaluasi kontrol internal,

3. ME3: Memastikan pemenuhan terhadap kebutuhan eksternal, 4. ME4: Menyediakan tata kelola sistem informasi.

2.5.4 Maturity Model

Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi

dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5).

ARTI SIMBOL ARTI RANGKING

Posisi Perusahaan Saat Ini Pedoman Standar Internasional Praktek Terbaik Industri Strategi Perusahaan

Gambar 2.4 Maturity Model (Sumber: Information Technology Governance Institute, 2007)

Teknik pengukuran Maturity Level menggunakan beberapa statement (pernyataan) dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan menggunakan standar nilai, seperti pada Tabel. 2.2 .

Tabel 2.2 Standar Penilaian Maturity Level

Complience Level Numeric Values

Agreement With Statement Complience Value

Not at all 0

A Little 0,33

Quite a lot 0,66

Completely 1

Sumber: Pederiva, 2003

0 Non-Existent : proses manajemen tidak ada. 1 Initial : proses bersifat adhoc & tidak

terorganisir.

2 Repeatable : proses mengikuti pola yang teratur. 3 Defined : proses didokumentasikan &

dikomunikasikan proses

didokumentasikan & dikomunikasikan 4 Managed : proses dimonitor dan diukur

5 Optimised : proses otomatis dan mengikuti standar

Non-Exsistent

0

Initial

1

Repaetable

2

Defined

3

Managed

4

Optimised

COBIT menyediakan kerangka identifikasi sejauh mana perusahaan telah memenuhi standar pengelolaan proses TI yang baik. Kerangka tersebut direpresentasikan dalam sebuah model kedewasaan yang memiliki level pengelompokan kapabilitas perusahaan dalam pengelolaan proses TI dari level 0 atau non-existent (belum tersedia) hingga level 5 atau optimized (teroptimasi).

• Level 0 (non-existent).

Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya.

• Level 1 (initial level).

Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru.

• Level 2 (repeatable level).

Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan.

• Level 3 (defined level).

Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manajer, ketua tim, dan anggota tim pengembangan sehingga bekerja dengan lebih efektif.

• Level 4 (managed level).

Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses, dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses

untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima.

• Level 5 (optimized level).

Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus menerus. Teknologi informasi sudah digunakan untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.

2.6 Keselarasan Pengukuran Tujuan Bisnis, Tujuan TI, dan Proses TI

COBIT menyediakan pemetaan keselarasan dari tujuan bisnis, tujuan TI, dan Proses TI dalam perspektif masing-masing (ITGI, 2007). Tabel lengkap pemetaan dari penyelarasan tujuan bisnis, tujuan TI serta proses TI pada kegiatan audit sistem informasi dapat dilihat pada Lampiran 1. Beriku langkah-langkah untuk melakukan pemetaan penyelarasan.

a. Langkah pertama dalam penyelarasan ini adalah menentukan perspektif terhadap ruang lingkup yang hendak di audit.

b. Langkah berikutnya setelah didapat tujuan bisnis dari perspektif Balanced Scorecard yang sesuai dengan ruang lingkup yang akan di audit, adalah melakukan penyelarasan tujuan bisnis dengan tujuan TI.

c. Setelah menyelaraskan tujuan bisnis dengan tujuan TI, maka selanjutnya adalah menyelaraskannya dengan proses TI.

2.7 Tahapan-Tahapan dalam Audit Sistem Informasi

ISACA tahun 2010 menyatakan membagi tahapan audit sistem informasi menjadi 4 (empat) tahapan (Hermawan, 2011). Dimana masing-masing tahapan

merupakan langkah sekuensial, dapat dilihat pada Gambar 2.5 di halaman 25 Setiap tahapan terdapat langkah-langkah yang harus dilakukan. Keempat tahapan tersebut adalah:

1. Tahap Perencanaan Audit Sistem Informasi

Pada tahap perencanaan, audite harus mengetahui tentang auditee (how your auditee). Audite harus mampu mempelajari tentang proses bisnis perusahaan yang diaudit. Pada tahap ini ditentukan ruang lingkup dantujuan dari audit sistem informasi yang hendak dikerjakan.

2. Tahap Persiapan Audit Sistem Informasi

Pada tahap persiapan, audite merencanakan dan memantau pelaksanaan audit sistem informasi secara terperinci. Lalu audite mempersiapkan kertas kerja audit sistem informasi yang akan dipakai.

3. Tahap Pelaksanaan Audit Sistem Informasi

Pada tahap pelaksanaan, audite melakukan pengumpulan dan evaluasi bukti dan data audit sistem informasi yang dilakukan, serta melakukan uji kepatutan (complience test), yakni dengan menyesuaikan keadaan ada dengan standar pengelolaan proses TI yang didefinisikan dalam kerangka kerja COBIT. Selanjutnya dilakukan penyusunan temuan serta rekomendasi guna diberikan kepada auditee.

4. Tahap Pelaporan Audit Sistem Informasi

Pada tahap pelaporan, audite membuat draft pelaporan yang objektif dan komperehensif yang nantinya ditunjukan ke auditee.

Gambar 2.5 Tahapan-Tahapan dalam Audit Sistem Informasi

T

T

a

a

h

h

a

a

p

p

P

P

e

e

l

l

a

a

k

k

s

s

a

a

n

n

a

a

a

a

n

n

A

A

u

u

d

d

i

i

t

t

S

S

i

i

s

s

t

t

e

e

m

m

T

T

a

a

h

h

a

a

p

p

P

P

e

e

r

r

s

s

i

i

a

a

p

p

a

a

n

n

A

A

u

u

d

d

i

i

t

t

S

S

i

i

s

s

t

t

e

e

m

m

I

I

n

n

f

f

o

o

r

r

m

m

a

a

s

s

i

i

T

T

a

a

h

h

a

a

p

p

P

P

e

e

r

r

e

e

n

n

c

c

a

a

n

n

a

a

a

a

n

n

A

A

u

u

d

d

i

i

t

t

S

S

i

i

s

s

t

t

e

e

m

m

I

I

n

n

f

f

o

o

r

r

m

m

a

a

s

s

i

i

T

Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan.

3.1 Tahap Perencanaan Audit Sistem Informasi 3.1.1 Mengidentifikasi Proses Bisnis dan TI

Dalam perencanaan proses audit, auditor harus melakukan pemahaman proses bisnis dan TI perusahaan yang diaudit (auditee). Pemahaman dilakukan dengan cara mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut bisa berupa profil perusahaan, rencana strategis, standard operating procedure, kebijakan, standar, prosedur, portopolio, arsitektur, infrastruktur, dan aplikasi sistem informasi. Auditor juga harus mengetahui apakah sebelumnya perusahaan telah dilaksanakan proses audit. Apabila pernah maka auditor juga mengetahui tentang laporan audit periode sebelumnya.

Pengetahuan tentang auditee dilakukan dengan cara melihat dokumen-dokumen yang terkait dengan proses audit dari media online bahkan auditor dating langsung ke perusahaan lalu melakukan wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan. Selanjutnya auditor mempelajari regulasi yang mempengaruhi proses bisnis.

Langkah selanjutnya yang dilakukan dalam audit sistem informasi adalah mengidentifikasi ruang lingkup yang akan dibahas dalam audit kali ini. Audit sitem informasi ini dilakukan pada bagian Instalasi Rawat Inap RSU Haji Surabaya. Ruang lingkup audit sistem informasi menakup penjelasan tentang proses bisnis yang terjadi.

Dilihat dari ruang lingkup yang telah ditentukan, lalu penulis melihat perspektif mana yang paling sesuai dengan ruang lingkup 4 (empat) perspektif Balanced Scorecard. Keempat perspektif tersebut adalah: perspektif keuangan, perspektif proses internal, perspektif pelanggan, dan perspektif pertumbuhan. 3.1.3 Penentuan Tujuan Audit Sistem Informasi

Auditor mengidentifikasi tujuan yang berhubungan akan kebutuhan audit sistem informasi ini. Pemetaan tujuan bisnis, tujuan TI, dan proses TI berdasarkan kerangka kerja Balanced Scorecard dapat dilihat pada Tabel 3.1. Untuk detailnya dapat dilihat pada Lampiran 1.

Tabel 3.1 Pemetaan Tujuan Bisnis, Tujuan TI, dan Proses TI

Tujuan Bisnis Tujuan TI Proses TI

Peningkatan layanan dan orientasi terhadap

pelanggan

Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan layanan

PO8 Mengelola kualitas

Dan seterusnya.

Berdasarkan pengelompokan tujuan bisnis tersebut, terdapat proses-proses TI yang masuk di wilayah salah satu perspektif . Adapun proses penentuan proses TI tersebut adalah sebagai berikut.

COBIT telah membuat pemetaan dari tujuan bisnis ke dalam tujuan TI. Untuk lebih detailnya dapat dilihat pada Lampiran 1.

2. Penetuan proses TI berdasarkan tujuan TI.

Setelah diperoleh tujuan TI yang sesuai dengan BSC, maka selanjutnya adalah menentukan proses TI yang mendukung tujuan TI tersebut. Untuk lebih detailnya dapat dilihat pada Lampiran 1.

3.1.4 Identification of core TI application and the main IT relevant interfaces

Pada tahap ini auditor harus memperoleh pemahaman tentang proses TI inti yang berkaitan dengan audit yang dilakukan. Proses ini dilakukan untuk membedakan proses TI inti yang memiliki skala prioritas lebih tinggi dan proses TI pendukung lain yang berkaitan.

3.2 Tahap Persiapan Audit Sistem Informasi 3.2.1 Penyusunan Audit Working Plan

Audit Working Plan merupakan dokumen yang digunakan untuk merencanakan dan memantau pelaksanaan Audit TI secara terperinci. Dimulai dari proses awal hingga proses pelaporan audit. Tabel 3.2 merupakan contoh dari audit working plan.

Tabel 3.2 Contoh Audit Working Plan No

Kegiatan

Bulan

April Mei Juni Juli

1 2 3 4 1 2 3 4 1 2 3 4 1 2 1 Studi Literatur 2 Penentuan ruang

3.2.2 Membuat Pernyataan

Membuat penyataan yang didapat dari hasil turunan dari Standar COBIT pada tiap level prosesnya, dimana tiap proses TI terdapat 6 level kedewasaan. Tabel 3.3 merupakan salah satu pernyataan untuk proses DS5 Level 0. Sedangkan untuk keseluruhan pernyataan yang digunakan untuk proses audit sistem informasi instalasi rawat inap dapat dilihat pada kerangka kerja yang terdapat pada Lampiran 3.

Tabel 3.3 Pernyataan Proses PO5 Level 0

No Pernyataan

1 Terdapat kesadaran akan pentingnya pemilihan investasi TI 2 Terdapat kesadaran akan pentingnya penganggaran dalam TI 3 Terdapat pemantauan dalam investasi TI

4 Terdapat pemantauan dalam pembiayaan TI

3.2.3 Membuat Pertanyaan

Setelah dilakukan pembobotan pernyataan pada tiap proses TI, maka selanjutnya auditor membuat pertanyaan berdasarkan pernyataan tersebut. Pertanyaan tersebut akan dijadikan acuan dalam melakukan wawancara kepada pihak yang telah ditentukan sebelumnya. Salah satu contoh pertanyaan tersebut dapat dilihat pada Tabel 3.4.

Tabel 3.4 Contoh Pertanyaan yang Mengacu pada Standar COBIT

No Pertanyaan Jawaban

1 Apakah ada rencana investasi TI

2 Apakah ada dasar penganggaran investasi TI

Setelah membuat pernyataan, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Menurut Niekerk dan Labuschagne (2006: 7), tingkat pembobotan dalam manajemen, dibagi menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 3.5.

Tabel 3.5 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai Kualitatif Skala Keterangan

1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi

2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran dalam proses sistem informasi 3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi

peran dalam sistem informasi Sumber: Niekerk dan Labuschagne (2006: 7)

3.3 Tahap Pelaksanaan Audit Sistem Informasi 3.3.1 Pemeriksaan Data dan Bukti

Pemeriksaan terhadap data dan bukti dilakukan melalui 2 (dua) tahap test, yaitu: complaince test dan substantive test. Complainc test merupakan pengujian untuk mengetahui keberadaan/penerapan pengendalian dalam kegiatan operasional objek audit, sedangkan substantive test merupakan pengujian untuk memastikan kelengkapan, integritas, dan keakuratan (kebenaran dan kekonsistenan).

Pemeriksaan data dan bukti diambil saat pelaksanaan audit yang dilaksanakan berdasarkan pada program audit yang telah disiapkan pada tahap persiapan audit dilakukan. Pembuatan kertas kerja dan pertanyaan-pertanyaan wawancara yang digunakan untuk mengumpulkan fakta tiap proses yang ada di sistem informasi perpustakaan saat ini, dimana pertanyaan yang diajukan dalam

dari COBIT yang dikembangkan sesuai dengan yang akan diaudit. Untuk pembahasan lebih detil akan dibahas pada Bab IV.

3.3.2 Wawancara

Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Proses TI yang dapat terbagi menjadi 4 kelompok, yaitu: pihak yang bertanggung jawab terhadap kesuksesan aktivitas (responsible), pihak yang bertanggung jawab (accountable), pihak yang mengerti aktivitas (consulted), dan pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed). Penentuan RACI dalam audit sistem informasi ini dapat dilihat pada Lampiran 2.

3.3.3 Melakukan Uji Kematangan

Uji kepatutan dilakukan (compliance test) dilakukan dengan menguji kepatutan Proses TI deangan melihat proses yang berlangsung terhadap standar dan regulasi yang berlaku. Sebuah kerangka kerja yang didapat dari hasil turunan dari Standar COBIT digunakan untuk melakukan uji kepatutan.

Setelah dilakukan wawancara pada tahap pengumpulan bukti, maka hasil wawancara yang diperoleh dapat digunakan untuk menentukan kriteria yang ada dalam kerangka kerja tingkat kematangan. Tingkat kriteria yang disediakan meliputi “tidak sama sekali” yang memiliki nilai 0.00, “sedikit” dengan nilai 0.33, “dalam tingkatan tertentu” dengan nilai 0.66, serta “seluruhnya” dengan nilai 1.00.

Gambar 3.1 di halaman 32 merupakan salah satu kerangka kerja yang dihasilkan dari tahapan proses diatas. Namun untuk keseluruhan kerangka kerja

Adakah Sepakat ? Nama

Proses

Mendefinisikan Rencana Strategis Sistem Informasi

Ti d ak S am a S ek al i S ed ik it D al am ti ngka ta n ter ten tu S el uruhnya NI L AI Nomor

Proses PO1

Level Kedewasaan 0

No Pernyataan Bobot 0.00 0.33 0.66 1.00 1 Terdapat perencanaan

strategis TI yang telah dilakukan

2 Terdapat kesadaran manajemen bahwa perencanaan strategis TI diperlukan untuk

mendukung tujuan bisnis

Total Bobot Tingkat Kepatutan

Total Nilai Gambar 3.1 Contoh Tingkat Kedewasaan Level 0 dari Proses TI PO1

3.3.4 Penentuan Temuan dan Rekomendasi

Proses audit penyelarasan tujuan bisnis dengan tujuan TI yang dilakukan di Instalasi Rawat Inap RSU Haji Surabaya akan memperoleh hasil tentang tingkat keselarasan proses bisnis dengan proses TI belum sepenuhnya selaras. Masih dibutuhkannya banyak evaluasi dan perbaikan kepada proses TI yang dijalankan agar dapat mendukung tujuan bisnis organisasi. Analisa yang dilakukan berdasarkan maturity level pada proses-proses TI yang dihasilkan dari penyelarasan tujuan bisnis dengan tujuan TI, penilaian berada dalam tingkat standar. Hal ini perlu dipertahankan dan terus dikembangkan. Namun selain ditemukan proses yang berhasil dilaksanakan, masih terdapat beberapa temuan yang masih perlu diperbaiki. Diadakan analisa sebab dan akibat untuk temuan

3.4 Tahap Pelaporan Audit Sistem Informasi

Berdasarkan seluruh kertas kerja audit, temuan, dan tanggapan auditee, maka audite harus menyusun draft laporan audit SI sebagai pertanggungjawaban atas penugasan audit SI yang telah dilaksanakan. Laporan audit harus ditunjukan kepada pihak yang berhak saja karena laporan audit SI merupakan dokumen yang bersifat rahasia. Tahap pelaporan audit sistem informasi yang dilakukan dimulai dengan penyusunan draft laporan hasil audit, persetujuan draft laporan hasil audit, dan pelaporan hasil audit.

Pada bab ini akan diuraikan tentang analisis hasil dan pembahasan dari tahap perencanaan audit sistem informasi, tahap persiapan audit sistem informasi, tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem informasi.

4.1 Hasil Perencanaan Audit Sistem Informasi 4.1.1 Hasil Mengidentifikasi Proses Bisnis dan TI 1) Profil Perusahaan

Audit dilakukan di Rumah Sakit Umum Haji Surabaya. Rumah sakit ini didirikan berkenaan dengan peristiwa yang menimpa jamaah haji Indonesia di terowongan Mina pada tahun 1990. Setelah melalui proses pembangunan yang juga mendapat dukungan dari pemerintah Arab Saudi, akhirnya diresmikan pembukaan pada tanggal 17 April 1993 sebagai rumah sakit kelas C non kependidikan dengan SK Gubernur Propinsi Jawa Timur No. 23 Tahun 1993 junto SK Gubernur No. 136 tahun 1997 tanggal 11 Desember 1997 tentang organisasi dan tata kerja Rumah Sakit Umum Daerah Haji Surabaya propinsi Jawa Timur.

Dengan adanya perubahan kelas C menjadi kelas B non pendidikan (SK Menkes No. 1006/Menkes/SK/IX/1998 tanggal 21 September 1998) maka SK Gubernur No. 136 Tahun 1997 diganti dengan Perda No. 9 tahun 1998 dan tanggal 21 Desember 1998 tentang organisasi dan tata kerja Rumah Sakit Umum Daerah Haji Surabaya.

kesehatan yang bermutu, maka Rumah Sakit Umum Haji Surabaya yang berlokasi di Jalan Manyar Kertoadi Surabaya dikelola secara profesional. Disamping juga sejalan dengan perkembangan pada era globalisasi dan persaingan yang semakin ketat, Rumah Sakit Umum Haji Surabaya yang berada di kota besar harus bersaing dengan rumah sakit lainnya yang banyak bermunculan dengan tarif internasional.

2) Visi, Misi, dan Moto Perusahaan

Adanya kemajuan serta pergesaran visi rumah sakit dari sarana sosial menjadi sosio-ekonomi, diharapan rumah sakit memperhitungkan profit disamping tetap menjalankan fungsi sosialnya dan menjaga mutu pelayanan. Dengan demikian rumah sakit akan mandiri artinya tetap dapat mencukup kebutuhan biaya operasionalnya dari hasil pendapatan, sehingga berdasarkan Perda No. 32 Tahun 2002, status organisasi rumah sakit menjadi badan yang bertanggung jawab kepada Gubernur melalui sekretaris daerah.

Visi : “Pelayanan Kesehatan Prima Secara Islami”

Misi: a. Menyelenggarakan pelayanankesehatan yang bermutu, paripurna dan profesional.

b. Mengelola rumah sakit secara swadana.

c. Menyelenggarakan pengembangan dan penelitian kesehatan masyarakat dan Jama’ah haji.

d. Menciptakan lingkungan kerja sejahtera yang islami. Moto : “Menebar Salam dan Senyum Dalam Pelayanan”

tahun 2002 telah berubah statusnya menjadi badan yang kemudian disebut sebagai Rumah Sakit Umum Haji Surabaya. Secara fungsional maka struktur organisasi Rumah Sakit Umum Haji Surabaya terdiri dari:

1. Direktur dan wakil direktur Rumah Sakit Umum Haji Surabaya. 2. Komite medik, komite keperawatan dan satuan pengawas intern.

3. Sekretariat yang meliputi sub bagian umum, sub bagian kepegawaian dan sub bagian perlengkapan.

4. Staf mesik fungsional, instalasi, staf fungsional dan beberapa bidang antara lain bidang perencanaan program dan rekam medik, bidang keuangan dan akuntansi, bidang pelayanan, bidang keperawatan serta bidang diklat dan pembinaan sumber daya manusia. Untuk bidang perencanaan program dan rekam medik langsung membawahi sub bidang penyusun program dan anggaran, sub bidang rekam medik dan sub bidang humas dan pemasaran. Bidang keuangan dan akuntansi membawahi sub bidang mobilisasi dana, sub bidang perbendaharaan dan sub bidang verifikasi dan akuntansi. Bidang pelayanan membawahi sub bidang pelayanan medik dan sub bidang tenaga keperawatan dan sub bidang sarana keperawatan. Sedangkan bidang diklat dan pembinaan sumber daya manusia secara langsung membawahi sub bidang pendidikan dan pelatihan, sub bidang penelitian dan pengembangan serta sub bidang pembinaan kerohanian.

sebagai unit perawatan pasien dengan tenaga keperawatan yang mampu memberikan pelayanan selama 24 jam.

Tujuan dan sasaran yang ditetapkan oleh Instalasi Rawat Inap Rumah Sakit Umum Haji Surabaya pada tahun 2011 meliputi:

a. Tujuan

- Meningkatkan keamanan dan kenyamanan penderita selama dirawat. - Meningkatkan pemenuhan alat dan bahan medis dan non medis sesuai

standar.

- Meningkatkan kualitas tenaga di instalasi rawat inap. b. Sasaran

- Tersedianya ruangan atau tempat fasilitas yang berfungsi baik untuk penderita sesuai dengan yang ditawarkan oleh rumah sakit.

- Tersedianya alat atau bahan medis dan non medis sesuai kebutuhan, serta dapat difungsikan atau dipergunakan secara optimal.

5) Struktur Organisasi Fungsional Instalasi Rawat Inap

Gambar 4.1 Struktur Organisasi Instalasi Rawat Inap RSU Haji Surabaya

Direktur

Kepala Instalasi Rawat Inap I

Kepala Instalasi Rawat Inap II

Kepala Ruangan IV C, II C, III C

Kepala Ruangan: Ruang Bersalin, Ruang Neonatus, III

A, IV A Administrasi Instalasi

4.1.2 Hasil Penentuan Ruang Lingup dan Tujuan Audit Sistem Informasi Audit sitem informasi ini dilakukan pada bagian Instalasi Rawat Inap RSU Haji Surabaya dengan memakai perspektif pelanggan pada Balanced Scorecard. Auditor fokus pada perspektif pelanggan Balanced Scorecard dengan maksud dapat meningkatkan kepuasan pasien sehubungan dengan RSU Haji Surabaya yang ingin memberikan pelayan yang terbaik untuk pasien. Pada bagian Instalasi Rawat Inap terdapat proses pendaftaran pasien (baru/lama). Untuk pasien baru pendaftaran dilakukan di loket pendaftaran rekam medik guna juga untuk mendapatkan status pasien (umum, asuransi kesehatan/ jaminan kesehatan masyarakat, dan pihak ketiga). Selanjutnya berlanjut pada poliklinik yang dituju, pasien lama bisa langsung menuju poliklinik yang dituju. Pihak poliklinik memberikan rujukan pada pasien untuk dilakukan rawat inap ataukah diperbolehkan pulang. Pasien yang telah dirujuk untuk perawatan pada instalasi rawat inap akan mendapatkan perawatan khusus dari rumah sakit sesuai dengan kebutuhan pasien, misalnya pasien yang akan melakukan proses persalinan, operasi, atau bahkan perawatan pada bayi (neonatus).

Scorecard perspektif pelanggan, yaitu:

1. peningkatan layanan dan orientasi terhadap pelanggan, 2. penawaran produk dan jasa yang kompetitif,

3. penentuan ketersediaan dan kelancaran layanan,

4. penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah,

5. pencapaian optimasi biaya dari penyampaian layanan Pencapaian optimasi biaya dari penyampaian layanan,

6. perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis.

Pada audit sistem informasi instalasi rawat inap terdapat pengelompokkan proses TI berdasarkan tujuan bisnis pada perspektif pelanggan Balanced Scorecard. Pengelompokan dari tujuan bisnis, tujuan TI, dan proses TI untuk perspektif pelanggan Balanced Scorecard dapat dilihat pada Lampiran 2.

4.1.3 Identification of core TI application and the main IT relevant interfaces

Berdasarkan pengelompokan tersebut, maka total proses TI yang termasuk dalam perspektif pelanggan Balanced Scorecard adalah sebanyak 32 proses dengan rincian seperti pada Tabel 4.1. Dari 32 proses tersebut terdapat proses TI yang memiliki prioritas lebih tinggi dibanding proses TI pendukung lain yang berkaitan. Proses TI inti dapat dilihat pada Tabel 4.1 di halaman 40.

PO7 Mengelola sumber daya TI PO8 Mengelola kualitas

AI4 Memungkinkan operasional dan penggunaan DS1 Mendefinisikan dan mengelola tingkat layanan DS3 Mengelola kinerja dan kapasitas

DS4 Memastikan layanan yang berkelanjutan DS7 Mendidik dan melatih pengguna

ME1 Mengawasi dan mengevaluasi kinerja TI

Penjelasan:

• PO 7 : Mengelola sumber daya TI sangat berperan karena proses TI yang terjadi dijalankan oleh operator sehingga operator harus yang benar-benar mengerti dengan bidangnya untuk menghindari terjadi kesalahan/kecurangan.

• PO 8 : Megelola kualitas dari proses-proses TI yang mendukung peningkatan layanan berperan penting.

• AI 4 : Proses TI memungkinkan operasional dan penggunaan, misalnya membuat prosedur tetap sangat penting agar mempermudah saat pengoperasian sistem.

• DS 1 : Tingkat layanan sangat diperhatikan karena tujuan dari rumah sakit itu sendiri memberikan pelayanan yang maksimal kepada pasien. Tingkat layanan proses TI juga berpengaruh dalam hal kepuasan pelayanan.

• DS 3 : Mengelola kinerja dan kapasitas berguna untuk mengetahui sejauh mana kinerja TI dalam sistem. Sehingga proses ini juga lebih diperhatikan.

• DS 4 : Memastikan layanan yang berkelanjutan berguna untuk manajemen dapat menyadari risiko yang terkait dengan pelayanan yang berkelanjutan.

• ME 1 : Menganalisa dan dan mengevaluasi kinerja TI berguna untuk vahan evaluasi kedepannya dalam proses TI yang tejadi.

4.2 Hasil Persiapan Audit Sistem Informasi 4.2.1 Hasil Penyusunan Audit Working Plan

Penyusunan audit working plan dilakukan untuk membagi waktu dalam pengerjaan audit sistem informasi ini. Pelaksanaan audit sistem informasi instalasi rawat inap dilakukan secara bertahap sesuai dengan jadwal yang dapat dilihat pada Tabel 4.2.

Tabel 4.2 Jadwal Pelaksanaan Audit Sistem Informasi Inslasi Rawat Inap

No Kegiatan

Bulan

April Mei Juni Juli

1 2 3 4 1 2 3 4 1 2 3 4 1 2 1 Studi Literatur 2 Penentuan ruang

lingkup 3 Pengumpulan

Bukti:

• Peninjauan Struktur Organisasi

• Peninjauan kebijakan dan prosedur yang terkait dengan TI

• Peninjauan standar yang terkait dengan TI

• Peninjauan dokumentasi pengelolaan SI/TI

No Kegiatan _{April Mei Juni Juli} 1 2 3 4 1 2 3 4 1 2 3 4 1 2

• Wawancara

• Pengobservasian proses dan kinerja karyawan 4 Pelaksanaan uji

kepatutan 5 Penentuan tingkat

kematangan 6 Penentuan hasil

audit 7 Penyusunan

laporan audit

4.2.2 Hasil Pembuatan Pernyataan

Pernyataan dibuat dari hasil turunan setiap proses TI dari standard COBIT 4.1. Dimana tiap proses TI terdapat 6 (enam) level kedewasaan, yaitu Level 0, Level 1, Level 2, Level 3, Level 4, dan Level 5. Pernyataan dipilah sesuai dengan proses TI pada perspektif pelanggan. Setiap pernyataan memiliki bobot yang berbeda-beda. Pernyataan yang telah dibuat dapat dilihat pada Lampiran 4.

4.2.3 Hasil Pembuatan Pembobotan

Setelah membuat pernyataan setiap proses TI, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Pembobotan disesuaikan seberapa besar resiko yang terjadi untuk perusahaan dan juga disesuaikan dengan fokus audit yang digunakan. Jika diindikasikan resiko yang berpengaruh besar untuk perusahaan, maka nilai dari pembobotan tersebut adalah 1 (satu). Apabila diindikasikan tidak beresiko sedikitkpun untuk perusahaan maka nilai dari pembobotan tersebut adalah 0 (nol).

selanjutnya adalah membuat pertanyaan yang mendukung saat wawancara. Untuk membuat pertanyaan awalnya melihat dari pernyataan yang telah dibuat sebelumnya, lalu dipilah untuk membuat fokus wawancara. Fokus wawancara dibuat mengacu proses TI pada perspektif pelanggan. Pertanyaan yang telah dibedakan fokus wawancara dapat dilihat pada Lampiran 3.

4.3 Hasil Pelaksanaan Audit Sistem Informasi 4.3.1 Hasil Pemeriksaan Data dan Bukti

Hasil pengumpulan bukti atau evidence yang dihasilkan dari wawancara dan observasi pada instalasi rawat inap perlu dilakukan audit sistem informasi untuk mengukur kinerja TI perusahaan, dan cara yang tepat adalah ditinjau dari perspektif pelanggan dengan standar COBIT 4.1 karena mengacu dari visi rumah sakit yaitu memberikan pelayanan. Alat bantu yang digunakan berupa kertas kerja audit. Kertas kerja berisi form pertanyaan yang mengacu pada standar COBIT yang telah dibuat pada tahap persiapan audit sebelumnya.

4.3.2 Hasil Wawancara

Langkah selanjutnya yang dilakukan yaitu melakukan wawancara dan observasi. Kertas kerja berisi form pertanyaan digunakan dalam proses wawancara ini. Auditor telah menentukan pihak mana saja yang akan dimintai data dan bukti. Pihak tersebut telah dibagi di dalam RACI. Penentuan RACI dalam audit sistem informasi ini dapat dilihat pada Lampiran 3.

Untuk hasil wawancara dapat dilihat pada Lampiran 4. Disamping wawancara auditor juga melakukan observasi ke tempat studi kasus, yaitu:

4.3.3 Hasil Pelaksanaan Uji Kematangan

Berdasarkan analisa dari pengumpulan bukti dan wawancara dengan

auditee, maka diperoleh hasil uji kepatutan dari tingkat kematangan untuk

masing-masing tujuan bisnis. Adapun tingkat kematangan tersebut diperoleh dari masing-masing analisa yang dapat dilihat pada kerangka kerja pada Lampiran 5. Hasil perhitungan tingkat kematangan pada tujuan TI dan tujuan Bisnis sebagai berikut:

a. Hasil Maturity Level pada Tujuan Bisnis Peningkatan Layanan dan Orientasi Terhadap Pelanggan

Berdasarkan hasil pemetaan tujuan bisnis nomor 4 (empat) peningkatan layanan dan orientasi terhadap pelanggan dihasilkan 2 (dua) tujuan TI yang meliputi 12 (dua belas) proses TI yaitu PO 8, AI 4, DS 1, DS 2, DS 7, DS 8, DS 10, DS 13, DS 3, DS 4, DS 8, DS 3. Tabel 4.3 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.

Tabel 4.3 Tingkat Kematangan Tujuan Bisnis Peningkatan Layana dan Orientasi Terhadap Pelanggan

Tujuan

Bisnis Tujuan TI Proses TI

Tingkat kematangan Peningkatan

layanan dan orientasi terhadap pelanggan

3 Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan layanan

PO8 Mengelola kualitas 1.97 AI4 Memungkinkan

operasional dan penggunaan

2.93

DS1 Mendefinisikan dan mengelola tingkat layanan

Bisnis kematangan DS2 Mengelola layanan

pihak ketiga

2.89 DS7 Mendidik dan

melatih pengguna

2.49 DS8 Mengelola service

desk dan insiden

2.81 DS10 Mengelola

permasalahan

3.18 DS13 Mengelola operasi 2.75 23 Jaminan

bahwa layanan TI yang tersedia sesuai

dengan yang dibutuhkan

DS3 Mengelola kinerja dan kapasitas

2.51 DS4 Memastikan

layanan berkelanjutan

2.69

DS8 Mengelola service desk dan insiden

2.81 DS13 Mengelola operasi 2.75

HASIL RATA-RATA 2.70

Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.70, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.

Berdasarkan tingkat kematangan pada Tabel 4.3 maka akan diperoleh grafik jaring laba-laba yang dapat dilihat pada Gambar 4.3 di halaman 46.

Instalasi Rawat Inap RSU Haji Surabaya telah melakukan kegiatan sistem informasi sesuai standar COBIT, sebagai berikut.

1. Terdapat pemahaman akan kebutuhan proses perencanaan Sistem Manajemen Mutu.

2. Telah dilakukan peninjauan kualitas pada kegiatan operasional. 3. Rumah sakit memiliki buku pedoman penggunaan.

4. Terdapat pihak tertentu yang bertanggung jawab untuk memonitor tingkat layanan.

5. Terdapat pelatihan untuk pengguna yang dilaksanakan sesuai kebutuhan. 6. Terdapat pihak yang bertanggung jawab terhadap pengelolaan pelatihan. 7. Terdapat pihak yang bertanggungjawab akan insiden yang terjadi. 8. Terdapat kesadaran akan kebutuhan untuk mengelola permasalahan 9. Permasalahan dikelola secara terstruktur oleh manajer.

12.Terdapat definisi tugas dan tanggung jawab terhadap perencanaan keberlangsungan pelayanan

13.Terdapat pengaturan secara penuh terhadap praktek dan perencanaan layanan yang terus-menerus

14.Terdapat definisi tugas dan tanggung jawab terhadap perencanaan keberlangsungan pelayanan

15.Terdapat pemeliharaan rutin pada keberlangsungan perencanaan TI.

16.Terdapat penyusunan prosedur standar kegiatan operasional dan aktifitas operasi.

b. Hasil Maturity Level pada Tujuan Bisnis Penawaran Produk dan Jasa yang kompetitif

Berdasarkan hasil pemetaan tujuan bisnis penawaran produk dan jasa yang kompetitif dihasilkan 2 (dua) tujuan TI yang meliputi 7 (tujuh) proses TI yaitu PO 2, PO 4, PO 7, AI 3, PO 5, AI 5, DS 6. Tabel 4.4 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.

Tabel 4.4 Tingkat Kematangan Tujuan Bisnis Penawaran produk dan jasa yang kompetitif

Tujuan

Bisnis Tujuan TI Proses TI

Tingkat kematangan Penawaran

produk dan jasa

yang kompetitif

5 Penciptaan TI yang tangkas (IT agility)

PO2 Mendefinisikan

arsitektur informasi 2.14 PO4 Mendefinisikan proses

TI, organisasi dan keterhubungannya

Bisnis kematangan PO7 Mengelola sumber

daya TI 2.16

AI3 Memperoleh dan memelihara

infrastruktur teknologi

1.49 24 Peningkatan

terhadap efisiensi biaya TI dan

kontribusinya terhadap keuntungan bisnis

PO5 Mengelola investasi

TU 2.56

AI5 Memenuhi sumber

daya TI 3.13

DS6 Mengidentifikasi dan

mengalokasikan biaya _2.90

HASIL RATA-RATA 2.40

Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.40, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.

Berdasarkan tingkat kematangan pada Tabel 4.4 di halaman 47 maka akan diperoleh grafik jaring laba-laba yang dapat dilihat pada Gambar 4.4 di halaman 49.

Berdasarkan perhitungan pada Tabel 4.4 halaman 48 menunjukkan bahwa proses TI yang telah dilakukan telah memberikan kontribusi pada tujuan bisnis pada tingkat terkelola dan terukur dimana kondisi organisasi yang telah sesuai adalah:

1. Terdapat penugasan untuk pertanggung jawaban terhadap arsitektur informasi. 2. Fungsi TI merupakan fungsi pendukung yang meliputi keseluruhan organisasi. 3. Proses pengaturan sumberdaya manusia difokuskan pada proses perekrutan. 4. Perekrutan dan pengelolaan personil TI didasarkan pada kesenambungan

antara tersedianya staf internal dengan kebutuhan eksternal organisasi.

5. Akuisisi infrastruktur TI mempertimbangkan kebutuhan aplikasi bisnis yang ada.

6. Terdapat pihak yang bertanggung jawab atas pemilihan dan penganggaran investasi TI.

10.Terdapat pengidentifikasian biaya dalam sistem informasi. 11.Terdapat pengalokasian biaya dalam sistem informasi. 12.Terdapat pertanggungjawaban dari alokasi biaya.

c. Hasil Maturity Level pada Tujuan Bisnis Penentuan Ketersediaan dan Kelancaran Layanan

Berdasarkan hasil pemetaan tujuan bisnis penentuan ketersediaan dan kelancaran layanan dihasilkan 4 (empat) tujuan TI yang meliputi 14 (empat belas) proses TI yaitu DS 2, AI 4, PO 8, AI 6, AI 7, DS 10, PO 6, AI 6, DS 4, DS 12, DS 3, DS 4, DS 8, DS 13. Tabel 4.5 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.

Tabel 4.5 Tingkat Kematangan Tujuan Bisnis Penentuan Ketersediaan dan Kelancaran Layanan

Tujuan

Bisnis Tujuan TI Proses TI

Tingkat kematangan Penentuan ketersediaan dan kelancaran layanan

10 Jaminan akan kepuasan yang saling

menguntungkan dengan pihak ketiga

DS2 Mengelola layanan pihak ketiga

2.89

16 Pengurangan terhadap ketidaklengkapan dan pengolahan kembali dari solusi dan penyampaian layanan

PO8 Mengelola kualitas

1.97 AI4 Memungkinkan

operasional dan penggunaan

2.93

AI6 Mengelola perubahan

2.43 AI7 Instalasi dan

akreditasi solusi beserta

perubahannya

Bisnis kematangan DS10 Mengelola

permasalahan

3.18 22 Kepastian akan

minimnya dampak bisnis dalam kejadian gangguan layanan atau perubahan TI

PO6 Mengkomunikasika n tujuan dan arahan manajemen

3.12

AI6 Mengelola perubahan

2.43 DS4 Memastikan

layanan berkelanjutan

2.93

DS12 Mengelola lingkungan fisik

3.10 23 Jaminan bahwa

layanan TI yang tersedia sesuai dengan yang dibutuhkan

DS3 Mengelola kinerja dan kapasitas

2.51 DS4 Memastikan

layanan berkelanjutan

2.69

DS8 Mengelola service desk dan insiden

2.81 DS13 Mengelola operasi 2.75

HASIL RATA-RATA 2.73

Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.73, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.

Berdasarkan tingkat kematangan pada Tabel 4.5 di halaman 50 maka akan diperoleh grafik jaring laba-laba yang dapat dilihat pada Gambar 4.5 di halaman 52.

dan Kelancaran Layanan

Berdasarkan perhitungan pada Tabel 4.3 di halaman 50 menunjukkan bahwa proses TI yang telah dilakukan telah memberikan kontribusi pada tujuan bisnis pada tingkat terkelola dan terukur dimana kondisi organisasi yang telah sesuai adalah:

1. Terdapat pengelolaan layanan pihak ketiga,

2. Adanya kebijakan prosedur mengenai pihak-pihak ketiga yang mengadakan perjanjian,

3. Organisasi telah memiliki proses perencanaan sistem manajemen mutu, 4. Terdapat proses yang terkait dengan pembuatan buku pedoman operas, 5. Terdapat proses yang terkait dengan pembuatan dokumentasi user, 6. Terdapat pengendalian terhadap perubahan yang dilakukan,

7. Terdapat dokumentasi yang lengkap atas perubahan yang dilakukan oleh manajemen TI,

9. Terdapat pemecahan jika terjadi identifikasi permasalahan,

10.Terdapat prosedur untuk menyelesaikan identifikasi permasalahan,

11.Terdapat pencatatan permasalahan yang terstruktur oleh tim yang bertanggung jawab secara terpusat,

12.Semua proses atau tahapan yang tercantum dalam kebijakan dan prosedur TI diikuti oleh semua personil TI,

13.Terdapat wewenang dan tanggung jawab terhadap layanan TI,

14.Pengguna mengimplementasikan workaround (program) untuk menanggapi gangguan pelayanan,

15.Manajemen mengkomunikasikan secara konsisten kebutuhan akan perencanaan untuk memastikan keberlangsungan layanan,

16.Terdapat pengelolaan, monitoring dan dokumentasi lingkungan secara fisik. 17.Kebijakan pengelolaan lingkungan fisik dikomunikasikan oleh manajemen 18.Manajemen mengakui bahwa proses bisnis yang utama memerlukan high

levels of performance dari IT atau seluruh kebutuhan bisnis dari IT services mungkin melebihi kapasitas,

19.Perencanaan TI secara berkelanjutan terintegrasi dengan bisnis secara berkelanjutan dan dipelihara secara rutin,

20.Terdapat pengukuran untuk monitor aktifitas operasional sesuai standar yang telah disusun,

21.Setiap bulan terdapat evaluasi berupa laporan standar pelayanan mutu (SARMUT),

d. Hasil Maturity Level pada Tujuan Bisnis Penawaran Produk dan Jasa yang Kompetitif

Berdasarkan hasil pemetaan tujuan bisnis penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah dihasilkan 3 (tiga) tujuan TI yang meliputi 16 (enam belas) proses TI yaitu PO 1, PO 2, PO4, PO 10, AI 1, AI 6, AI 7, DS 1, DS 3, ME 1, PO 2, PO 4, PO 7, AI 3, PO 8, PO 1. Tabel 4.6 di halaman 54 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.

Tabel 4.6 Tingkat Kematangan Tujuan Bisnis Penciptaan Ketangkasan (agility) untuk Menjawab Permintaan Bisnis yang Berubah

Tujuan Bisnis Tujuan TI Proses TI Tingkat

kematangan Penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah

1 Respon terhadap kebutuhan bisnis yang selaras dengan strategi bisnis

PO1 Mendefinisikan

rencana strategi TI 2.71 PO2 Mendefinisikan

arsitektur informasi 2.14 PO4 Mendefinisikan

proses TI, organisasi dan

keterhubungannya

2.56

PO10 Mengelola proyek 3.28 AI1 Mengidentifikasikan

solusi otomatis 1.89 AI6 Mengelola

perubahan 2.43

AI7 Instalasi dan akreditasi solusi beserta

perubahannya

2.50

kematangan DS1 Mendefinisikan dan

mengelola tingkat

layanan 2.63

DS3 Mengelola kinerja

dan kapasitas 2.51 ME1 Mengawasi dan

menevaluasi kinerja TI

2.62 5 Penciptaan TI

yang tangkas (IT agility)

PO2 Mendefinisikan

arsitektur informasi 2.14 PO4 Mendefinisikan

proses TI, organisasi dan

keterhubungannya

2.56

PO7 Mengelola sumber

daya TI 2.16

AI3 Memperoleh dan memelihara infrastruktur teknologi

1.49

25 Penyampaian rancangan tepat waktu dan sesuai dengan kualitas standar maupun anggaran biaya

PO8 Mengelola kualitas 1.97 PO1 Mendefinisikan

rencana strategi TI

2.71

HASIL RATA-RATA 2.39

Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.39, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.

Gambar 4.6 Grafik Jaring Laba-Laba Tujuan Bisnis Penciptaan Ketangkasan Untuk Menjawab Permintaan Bisnis yang Berubah

Berdasarkan perhitungan pada Tabel 4.6 di halaman 54 menunjukkan bahwa proses TI yang telah dilakukan telah memberikan kontribusi pada tujuan bisnis pada tingkat terkelola dan terukur dimana kondisi organisasi yang telah sesuai yaitu sebagai berikut.

1. Rumah sakit telah memiliki rencana strategi (renstra) sistem informasi.

2. Rencana strategis sistem informasi yang didokumentasikan dan disosialisasikan.

3. Rencana strategis perusahaan dibuat oleh manajemen pada awal tahun, dikembangkan sesuai tujuan TI dan tujuan bisnis.

4. Pengembangan beberapa komponen arsitektur informasi dilakukan secara langsung.

diperlukan untuk mengembangkan dan mempertahankan arsitektur yang kuat dan responsif yang mencerminkan semua kebutuhan bisnis.

7. TI merupakan pendukung untuk keseluruhan kegiatan di organisasi.

8. Terdapat deskripsi tugas di dalam struktur organisasi di RSU Haji Surabaya. 9. Terdapat peran dan tanggung jawab dalam pengelolaan proyek.

10.Terdapat penjadwalan dalam pengelolaan proyek.

11.Terdapat pengembangan pedoman dan aspek-aspek dalam pengelolaan proyek.

12.Proyek-proyek yang ada mengarah pada tujuan organisasi. 13.Organisasi mendiskusikan solusi teknologi secara formal. 14.Identifikasi solusi TI dilakukan secara intuitif.

15.Terdapat pengendalian terhadap perubahan yang dilakukan.

16.Terdapat dokumentasi yang lengkap atas perubahan yang dilakukan oleh manajemen TI.

17.Terdapat kesadaran Staf TI bahwa kebutuhan solusi TI sesuai dengan tujuan yang diinginkan.

18.Instalasi TI terintegerasi dengan siklus hidup sistem.

19.Penerapan sistem baru tidak mempengaruhi konsistensi kualitas sistem yang telah ada.

20.Terdapat pelaporan tingkat layanan yang dilakukan secara konsisten.

21.Sudah ada pihak yang bertanggungjawab dalam mengatur proses pelaporan tingkat layanan.

services mungkin melebihi kapasitas.

23.Organisasi memiliki proses pemantauan kinerja TI untuk dilaksanakan. 24.Terdapat standar pelaporan hasil pemantauan.

25.Terdapat kesadaran akan pentingnya menyesuaikan manajemen sumber daya manusia dengan perencanaan teknologi organisasi.

26.Organisasi memiliki bagian yang bertanggung jawab untuk proses manajemen sumber daya manusia.

27.Perekrutan dan pengelolaan personil TI didasarkan pada kesenambungan antara tersedianya staf internal dengan kebutuhan eksternal organisasi.

28.Akuisisi infrastruktur TI mempertimbangkan kebutuhan aplikasi bisnis yang ada.

29.Organisasi telah memiliki proses perencanaan sistem manajemen mutu. 30.Program pendidikan tentang kualitas, ditujukan untuk seluruh level yang ada

di perusahaan.

31.Proses sistem manajemen mutu dapat beradaptasi dengan perubahan yang terjadi di lingkungan IT.

e. Hasil Maturity Level pada Tujuan Bisnis Penyampaian Optimasi Biaya dari Penyampaian Layanan

Berdasarkan hasil pemetaan tujuan bisnis pencapaian optimasi biaya dari penyampaian layanan dihasilkan 4 (empat) tujuan TI yang meliputi 9 (sembilan) proses TI yaitu PO 3, AI 2, AI 5, AI 3, AI 5, DS 2, PO5, AI 5, DS 6. Tabel 4.7

Tabel 4.10 (Lanjutan)

No Proses TI Temuan Rekomendasi

2. Politik dan hukum, yaitu: sistem dan prosedur pelayanan harus sesuai dengan peraturan

perundang-undangan yang telah ditetapkan oleh pemerintah

3. Kondisi perekonomian, yaitu semakin banyak kebutuhan diluar pulau, maka semakin banyak yang menggunakan jasa pengiriman sehingga berpengaruh pada pendapatan perusahaan

82

4.4 Tahap Pelaporan Audit Sistem Informasi

Tahap pelaporan yaitu: memberikan laporan audit (audit report) sebagai pertanggung jawaban atas penugasan proses audit SI yang telah dilaksanakan. Laporan audit ditunjukkan kepada pihak yang berhak saja karena laporan audit SI merupakan dokumen yang bersifat rahasia. Hasil laporan audit dapat dilihat pada Lampiran 6.

5.1 Kesimpulan

Dari hasil audit sistem informasi instalasi rawat inap yang telah dilakukan, maka didapatkan kesimpulan sebagai berikut:

1. Audit sistem informasi ditinjau dari perspektif pelanggan Balanced Scorecard pada instalasi rawat inap memiliki ruang lingkup tujuan bisnis sebanyak 6 (enam), tujuan TI sebanyak 20 (dua puluh) dan total proses TI sebanyak 32 (tiga puluh dua) proses.

2. Pengumpulan bukti pelaksanaan audit sistem informasi berupa form hasil wawancara, dengan ditunjukkan dokumen-dokumen kebijakan dan operasional.

3. Instalasi rawat inap telah melaksanakan aktivitas sistem informasi pada perspektif pelanggan. Tingkat kematangan (maturity level) yang dimiliki pada masing-masing proses TI berbeda-beda. Hasil perhitungan nilai rata-rata maturity level yang didapatkan adalah 2.60 yang berarti tingkat maturity level sistem informasi Instalasi Rawat Inap RSU Haji Surabaya berdasarkan COBIT 4.1 adalah repeatable but intuitif, yang berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.

86

Hal ini berarti : tanggung jawab terhadap proses tersebut yang masih dibebankan pada individu dan tingkat ketergantungan pada kemampuan individu sangat besar sehingga terjadi kesalahan.

5.2 Saran

Saran bagi pengembangan yang berkaitan dengan pencapaian hasil yang optimal dari audit sistem sistem informasi ini sebagai berikut:

1. Saran bagi pengembangan yang berkaitan dengan pencapaian hasil yang optimal dari audit sistem sistem informasi ini sebagai berikut: Audit sistem informasi instalasi rawat jalan ini hanya mengacu pada penerapan aplikasi rawat inap. Diharapkan untuk pengembangannya, dapat dilakukan audit terhadap keseluruhan aplikasi pendukung proses rawat inap.

2. Audit sistem informasi instalasi rawat jalan ini hanya menggunakan perspektif pelanggan. Diharapkan untuk pengembangannya, dapat dilakukan audit dengan menggunakan perspektif lainnya.

3. Audit sistem informasi instalasi rawat inap yang telah dilakukan hanya membahas sampai penilaian tingkat kematangan proses TI. Diharapkan untuk pengembangannya, dapat dilakukan audit sistem informasi instalasi rawat inap dengan menggunakan standar COBIT 4.1 sampai dengan pembahasan KPI, PKGI, dan ITKGI.

4. Berdasarkan hasil audit sistem informasi instalasi rawat inap yang telah dilakukan, didapatkan pernyataan bahwa pihak Rumah Sakit Umum Haji Surabaya belum pernah melakukan audit terhadap kinerja server. Diharapkan untuk pengembangannya, akan dilakukan audit guna memastikan keamanan sistem informasi yang ada dengan menggunakan standar ISO.

Adikoesoemo, S. 1997. Manajemen Rumah Sakit. Jakarta: Pustaka Sinar Harapan. Alter, S. The Work System Method: Connecting People, Processes, and IT for

Business Results. Works System Press, CA. Beynon, D.P. 2004. E-Business. Basingstoke: Palgrave.

Davis, G.B. 1995. Sistem Informasi Manajemen, Jakarta: PT. Pustaka Binaman Pressindo.

DepKes RI. (1992). Keputusan Menteri Kesehatan RI No. 983/MenKes/SK/XI/1992. Pedoman Organisasi Rumah Sakit Umum.

Effendi, D. 2008. Perancangan IT Governance pada Layanan Akademik di UNIKOM (Universita Komputer Indonesia) Menggunakan COBIT (Control Objectives for Information and Related Technolgy) Versi 4.0. Tesis. Bandung: Program Pasca Sarjana Program Studi Magister InformatikaInstitut Teknologi Bandung.

Fitzgerald, J., Ardra Fitzgerald, W.D., dan Stalling. 1981. Fundamentals of System Analysis. New York: John Willey (edisi kedua).

Gaspersz, V. 2005. Sistem Manajemen Kinerja terintegrasi Balanced Scorecard dengan Six Sigma untuk Organisasi Bisnis dan Pemerintah. Jakarta: PT. Grameedia Pustaka Utama.

Gondodiyoto, S. 2007. Audit Sistem Informasi: Pendekatan Cobit, Edisi Revisi. Jakarta: Mitra Wacana Media

Hermawan, Budi. 2011. Dasar-Dasar Audit dan Pengendalian TI. http://www.auditti.com/stikom. Diakses pada tanggal 1 Desember 2011. Information Technology Governance Institute. 2003. IT Governance

Implementation Guide: “How do I use COBIT to implement IT governance?”.

Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute.

ISACA. 2010. Guide to the Audit of IT Application. Switzerland : Felice Lutz. Kadir, A. 2003. Pengenalan Sistem Informasi. Yogyakarta: Andi Offset.

Kaplan, R. dan Norton, D. 1996. Balanced Scorecard: Menerapkan Strategi Menjadi Aksi. Jakarta: Erlangga.

86

Kristanto, A. 2003. Perancangan Sistem Informasi dan Aplikasinya. Yogyakarta : Gava Media.

Lenggana, U. Tresna. 2007. Perancangan Model Tata Kelola Teknologi Informasi pada PT. Kereta Api Indonesia Berbasis Framework COBIT, Tesis, Program PascaSarjana, Program Studi Magister Informatika, Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Bandung. Luftman, J.N dan Brier, T. 1999. Achieving and Sustaining Business-IT

Aligment. California Management Review.

O'Brien, J A. 2003. Introduction to information systems: essentials for the e-business enterprise. McGraw-Hill, Boston, MA

Pederiva, A. 2003. The COBIT Maturity Model in a Vendor Evaluation Case. Information Systems Audit and Control Association.

Pederiva, A. 2003. The CobIT Maturity Model in a Vendor Evaluation Case, Journal of Information System Audit.

Puspita, I. 2009. Hubungan Persepsi Pasien Tentang Kualitas Pelayanan Dengan Citra Rumah Sakit Umum Daerah Kabupaten Aceh Tamiang. Tesis. Medan: Progam Studi Magister Ilmu Kesehatan Masyarakat Fakultas Kesehatan Masyarakat Universitas Sumatera Utara.

Sarno, R. 2009. Audit Sistem & Teknologi Informasi. Surabaya : ITS Press

Sarno, R. 2009. Strategi Sukses Bisnis dengan Teknologi Informasi. Surabaya: ITS Press.

Soejitno, Alkatri, dan Ibrahim. 2002. Reformasi Perumahsakitan Indonesia. Jakarta: Grasindo

Surendro, K. 2004.Audit Sistem Informasi Rumah Sakit dengan Menggunakan Acuan COBIT, Gematika Jurnal Manajemen Informatika, Vol 6 No 1 Desember.

Tanuwijaya, H. dan Sarno, R. 2010. Comparation of CobiT Maturity Model and Structural Equation Model for Measuring the Alignment between University Academic Regulati ons and Information Technology Goals, International Journal of Computer Science and Network Security, VOL.10 No.6, June 2010. Surabaya : ITS Press.

Yuwono, S., Sukarno, E., dan Ichsan, M. 2006. Petunjuk Praktis Penyusunan Balanced Scorecard. Jakarta: Gramedia Pustaka Utama

Weber, R. 1999. Information System Control and Audit, The University of Queensland, Prentice Hall*