TA : Audit Sistem Informasi Instalasi Rawat Inap Berdasarkan Perspektif Pelanggan Balanced Scorecard Menggunakan Standar Cobit 4.1 (Studi Kasus: Rumah Sakit Umum Haji Surabaya).
SCORECARD MENGGUNAKAN STANDAR COBIT 4.1 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)
TUGAS AKHIR
Nama : Finh Yutta Dhipiya NIM : 07.41010.0258 Program : S1 (Strata Satu) Jurusan : Sistem Informasi
SEKOLAH TINGGI
MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA
(2)
AUDIT SISTEM INFORMASI INSTALASI RAWAT INAP BERDASARKAN PERSPEKTIF PELANGGAN BALANCED
SCORECARD MENGGUNAKAN STANDAR COBIT 4.1 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)
TUGAS AKHIR
Diajukan sebagai salah satu syarat untuk menyelesaikan Program Sarjana Komputer
Oleh:
Nama : Finh Yutta Dhipiya NIM : 07.41010.0258 Program : S1 (Strata Satu) Jurusan : Sistem Informasi
SEKOLAH TINGGI
MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA
(3)
Teknologi informasi merupakan salah satu pendukung utama setiap perusahaan untuk pengelolaan informasi. Penerapan teknologi informasi juga digunakan dalam proses operasional pada rumah sakit. Proses bisnis rumah sakit membutuhkan informasi yang berbeda dan data pasien yang spesifik. Informasi dan data pasien tersebut memberikan kesempatan bagi fungsi bisnis lainnya di rumah sakit untuk melakukan proses tertentu. Untuk keperluan itulah Rumah Sakit Umum (RSU) Haji Surabaya menerapkan teknologi informasi dalam operasionalnya.
Untuk mengukur keselarasan antara proses bisnis, aplikasi, dan strategi bisnis pada Instalasi Rawat Inap RSU Haji Surabaya perlu dilakukan audit terhadap sistem informasi yang ada. Oleh karena itu tugas akhir ini membahas pelaksanaan audit sistem informasi. Audit yang dilakukan menggunakan standar COBIT 4.1 dan menerapkan Balanced Scorecard pada perspektif pelanggan.
Dari pelaksanaan audit sistem informasi, dihasilkan nilai Maturity Level 2.60, yang termasuk dalam kategori repeatable but intuitif. Penelitian ini juga menghasilkan rekomendasi untuk perbaikan proses sistem informasi berupa pembakuan prosedur yang telah ada dan peningkatan upaya manajemen dalam mendorong SIM-RS serta Instalasi Rawat Inap RSU Haji Surabaya dalam penggunaan standar yang telah dibakukan dan dalam peningkatan upaya pendokumentasian prosedur dan proses sistem informasi yang telah ada.
(4)
Halaman
ABSTRAK ... vi
KATA PENGANTAR ... vii
DAFTAR ISI ... ix
DAFTAR TABEL ... xii
DAFTAR GAMBAR ... xiv
DAFTAR LAMPIRAN ... xv
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Perumusan Masalah ... 4
1.3 Batasan Masalah ... 4
1.4 Tujuan ... 5
1.5 Sistematika Penulisan ... 6
BAB II LANDASAN TEORI ... 8
2.1 Rumah Sakit ... 8
2.2 Sistem Informasi ... 9
2.3 Audit Sistem Informasi ... 10
2.4 Balanced Scorecard ... 11
2.5 Control Objective for Information and Related Technology . 15 2.5.1 ... K riteria Informasi ... 16
2.5.2 ... S umber Daya Teknologi Informasi ... 18
(5)
2.6 Keselarasan Tujuan Pengukuran Tujuan Bisnis dan TI ... 23
Halaman 2.7 Tahapan-Tahapan dalam Audit Sistem Informasi ... 24
BAB III METODE PENELITIAN ... 26
3.1 Tahap Perencanaan Audit Sistem Informasi ... 26
3.1.1 Mengidentifikasi Proses Bisnis dan TI ... 26
3.1.2 Penentuan Ruang Lingkup Audit Sistem Informasi .. 27
3.1.3 Penentuan Tujuan Audit Sistem Informasi ... 27
3.1.4 Identification of core IT application and main IT relevant interfaces ... 28
3.2 Tahap Persiapan Audit Sistem Informasi ... 28
3.2.1 Penyusunan Audit Working Plan ... 28
3.2.2 Membuat Pernyataan ... 29
3.2.3 Melakukan Pembobotan ... 29
3.2.4 Membuat Pertanyaan ... 30
3.3 Tahap Pelaksanaan Audit Sistem Informasi ... 30
3.3.1 Pemeriksaan Data dan Bukti ... 30
3.3.2 Wawancara ... 31
3.3.3 Melakukan Uji Kematangan ... 31
3.3.4 Penentuan Temuan dan Rekomendasi ... 32
3.4 Tahap Pelaporan Audit Sistem Informasi ... 33
BAB IV HASIL DAN PEMBAHASAN... 34
(6)
Sistem Informasi ... 38
Halaman 4.1.3 Identification of core IT application and main IT relevant interfaces ... 39
4.2 Hasil Persiapan Audit Sistem Informasi ... 41
4.2.1 Hasil Penyusunan Audit Working Plan ... 41
4.2.2 Hasil Pembuatan Pernyataan ... 42
4.2.3 Hasil Pembuatan Pembobotan ... 42
4.2.4 Hasil Pembuatan Pertanyaan ... 43
4.3 Hasil Pelaksanaan Audit Sistem Informasi ... 43
4.3.1 Hasil Pemeriksaan Data dan Bukti ... 43
4.3.2 Hasil Wawancara ... 43
4.3.3 Hasil Pelaksanaan Uji Kematangan ... 44
4.3.4 Hasil Penentuan Temuan dan Rekomendasi ... 67
4.4 Hasil Pelaporan Audit Sistem Informasi... 82
BAB V PENUTUP ... 83
5.1 Kesimpulan ... 83
5.2 Saran ... 84
DAFTAR PUSTAKA ... 85
(7)
BAB I PENDAHULUAN
1.1Latar Belakang
Rumah sakit adalah sarana kesehatan masyarakat yang menyelenggarakan kegiatan pelayanan kesehatan, serta berfungsi sebagai tempat pendidikan tenaga kesehatan dan penelitian. Rumah Sakit Umum (RSU) Haji Surabaya merupakan salah satu rumah sakit milik pemerintahan Provinsi Jawa Timur. RSU Haji Surabaya merupakan rumah sakit klasifikasi B sesuai dengan Surat Keputusan Menteri Kesehatan No.1006/Menkes/SK/IX/1998 tanggal 21 September 1998. Pelayanan pada RSU Haji Surabaya diperuntukkan semua lapisan masyarakat dari berbagai macam bangsa, etnis dan agama.
Tugas utama RSU Haji Surabaya adalah memberikan jasa pengobatan, perawatan, dan pelayanan kesehatan kepada seluruh pasien yang berobat. Hal ini sesuai dengan pernyataan Adikoesoemo (1997) bahwa rumah sakit berfungsi memberikan pelayanan kesehatan lengkap kepada masyarakat baik kuratif maupun rehabilitatif, dimana output layanannya menjangkau pelayanan keluarga dan lingkungan, rumah sakit juga merupakan pusat pelatihan tenaga kesehatan serta untuk penelitian biososial. Salah satu fasilitas yang dimiliki RSU Haji Surabaya adalah instalasi rawat inap yang merupakan salah satu fasilitas berfungsi sebagai ruang untuk proses perawatan pasien sebagai pelanggan rumah sakit. Fasilitas yang dimiliki dan pelayanan kepada para pasien menjadikan RSU Haji Surabaya diminati oleh masyarakat dalam berobat untuk memperoleh penyembuhan penyakit yang dideritanya.
(8)
Seiring dengan meningkatnya persaingan dan tuntutan masyarakat akan pelayanan yang berkualitas, maka RSU Haji Surabaya telah mengimplementasikan sistem informasi berbasis komputer khususnya di bagian instalasi rawat inap. Namun demikian, dalam penggunaan sistem informasi instalasi rawat inap dalam operasional dan pelayanan kepada para pasien, masih terdapat kendala-kendala pada pemrosesan sistem informasi yang sering dikeluhkan penggunanya. Masalah proses ini juga mengganggu pelayanan sehingga menimbulkan keluhan para pasien sebagai pelanggan rumah sakit RSU Haji Surabaya. Permasalahan yang menjadi keluhan antara lain lambatnya proses sistem informasi yang menyebabkan pasien harus menunggu lama dalam memperoleh layanan. Lamanya proses sistem informasi sering menyebabkan pasien harus antri cukup lama dalam memperoleh layanan. Data layanan pasien rawat inap sering memperoleh protes pasien karena ketidaksesuain dengan tagihan yang diberikan kepada pasien saat membayar di kasir. Penyebab terjadinya kesalahan dan keterlambatan sistem informasi tersebut belum diketahui dengan pasti. Sejauh ini belum diketahui sejauhmana dukungan sistem informasi terhadap pencapaian bisnis RSU Haji Surabaya. Padahal dengan timbulnya permasalahan dalam proses sistem informasi instalasi rawat inap dapat menyebabkan penurunan kinerja bisnis instalasi rawat inap RSU Haji Surabaya.
Perlu dilakukan pengukuran keselarasan tujuan sistem informasi dan tujuan bisnis instalasi rawat inap RSU Haji Surabaya untuk mengetahui dan memecahkan permasalahan sistem informasi instalasi rawat inap RSU Haji Surabaya. Menurut Krist dalam Surendro (2004), pengukuran keselarasan tujuan sistem informasi dan tujuan bisnis dapat dilakukan dengan audit sistem informasi.
(9)
Oleh karena itu perlu dilakukan audit sistem informasi instalasi rawat inap RSU Haji Surabaya karena sampai saat ini RSU Haji Surabaya belum pernah melakukan audit sistem informasi untuk mengetahui keselarasan tujuan sistem informasi dengan tujuan bisnis. Standar yang digunakan dalam audit sistem informasi instalasi rawat inap RSU Haji Surabaya adalah COBIT 4.1. Standar COBIT dipilih karena memiliki keunggulan dalam kontrol TI dan juga menyediakan kerangka pengukuran kinerja TI sebagai bahan analisa obyek yang perlu diperbaiki (Sarno, 2009: 17). Selain itu, standar COBIT telah mendapat pengakuan secara luas pada tingkat internasional (Lenggana, 2007; Effendi, 2008).
Untuk menentukan ruang lingkup pengukuran kinerja bisnis, dipilih salah satu tools yang banyak digunakan untuk mengukur kinerja bisnis yaitu Balance Scorecard (BSC). Menurut Kaplan dan Norton (1996: 9), BSC merupakan suatu konsep untuk mengukur apakah aktivitas-aktivitas operasional suatu perusahaan dalam skala yang lebih kecil sejalan dengan sasaran yang lebih besar dalam hal visi dan strategi. BSC membagi kinerja bisnis ke dalam 4 (empat) perspektif yaitu keuangan, pelanggan, internal dan pertumbuhan. Karena pendapatan utama RSU Haji Surabaya terletak pada banyaknya pasien yang berobat sebagai pelanggan RSU Haji Surabaya, maka perspektif yang tepat untuk diukur adalah perspektif pelanggan. Alasan lain penentuan ruang lingkup pengukuran kinerja bisnis hanya pada perspektif pelanggan agar penelitian menjadi lebih fokus dan efektifitas jangka waktu penyelesaian penelitian ini.
Diharapkan melalui pengukuran keselarasan tujuan teknologi informasi dalam audit sistem informasi instalasi rawat inap RSU Haji Surabaya dapat
(10)
meningkatkan kontribusi sistem informasi terhadap kinerja bisnis RSU Haji Surabaya. Luftman dan Brier (1999) menyatakan dengan kalimat yang berbeda bahwa perusahaan yang mencapai penyelarasan dapat membangun strategi keuntungan kompetitif yang akan meningkatkan organisasi dengan peningkatan visibilitas, efisiensi, dan profitabilitas pada persaingan dalam perubahan pasar saat ini. Melalui audit sistem informasi, diharapkan dapat menghasilkan rekomendasi kepada RSU Haji Surabaya untuk mengatasi permasalahan dan meningkatkan pelayanan kepada para pasien yang berobat. Hasil dari pengukuran tujuan teknologi informasi ini diharapkan pula dapat membantu manajemen dalam mengambil keputusan demi perbaikan berkelanjutan (continuous improvement) sistem informasi instalasi rawat inap RSU Haji Surabaya.
1.2Perumusan Masalah
Berdasarkan latar belakang yang telah diuraikan, didapatkan perumusan permasalahan sebagai berikut :
1. Bagaimana membuat perencanaan audit sistem instalasi rawat inap di Rumah Sakit Umum Haji Surabaya pada perspektif pelanggan.
2. Bagaimana melaksanakan audit sistem informasi instalasi rawat inap di Rumah Sakit Umum Haji Surabaya dengan standar COBIT 4.1 pada perspektif pelanggan.
3. Bagaimana menyusun laporan hasil audit sistem informasi instalasi rawat inap di Rumah Sakit Umum Haji Surabaya pada perspektif pelanggan.
(11)
1.3 Batasan Masalah
Pada pelaksanaan tugas akhir ini, dilakukan beberapa pembatasan masalah terkait dengan pembahasan yang ada, diantaranya:
1. Output yang dihasilkan dari tugas akhir berupa penyusunan laporan hasil audit, yang berisikan temuan dan rekomendasi untuk manajemen perusahaan. 2. Tidak menyertakan perhitungan mengenai Key Performance Indicator (KPI),
Process Key Goal Indicator (PKGI), dan Information Technology Key Goal Indicator (ITKGI).
3. Output yang dihasilkan berupa dokumen temuan dari hasil audit sistem informasi dengan pengukuran tujuan teknologi informasi dan tujuan bisnis pada Instalasi Rawat Inap RSU Haji Surabaya.
1.4 Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah :
1. Menghasilkan perencanaan audit sistem informasi instalasi rawat inap yang terdiri dari pengidentifikasian ruang lingkup audit berdasarkan perspektif pelanggan Balanced Scorecard, pengumpulan bukti hingga menentukan dokumen-dokumen yang dibutuhkan untuk menunjang proses audit sistem informasi.
2. Melakukan audit sistem informasi instalasi rawat inap dengan melakukan wawancara serta pengumpulan dokumen yang diperlukan dalam proses audit hingga didapatkan suatu temuan-temuan audit.
3. Melakukan evaluasi dari bukti yang ada, mendokumentasikan temuan audit, dan menyusun laporan hasil audit sistem informasi instalasi rawat inap.
(12)
1.5 Sistematika Penulisan
Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu:
BAB I : PENDAHULUAN
Pada bab ini membahas tentang latar belakang, penjelasan permasalahan, perumusan masalah, batasan masalah, dan tujuan dari pembuatan tugas akhir serta sistematika penulisan buku ini. BAB II : LANDASAN TEORI
Pada bab ini membahas mengenai penjelasan tentang Sistem Informasi, Audit Sistem Informasi, Tujuan Bisnis, Balanced
Scorecard, Control Objectives for Information and Related
Technologies 4.1, Keselarasan Tujuan Pengukuran Bisnis dan Tujuan Teknologi Informasi, Maturity Level, Jaring Laba-laba, Control Objectives, Penyusunan Hasil Audit dan Rekomendasi. BAB III : METODE PENELITIAN
Pada bab ini berisi uraian mengenai gambaran perusahaan, menentukan tujuan utama dari audit sistem informasi, ruang lingkup, dan metode yang akan digunakan.
BAB IV : HASIL DAN PEMBAHASAN
Pada Pada bab ini membahas tentang hasil pelaksanaan audit sistem informasi berdasarkan Penentuan Ruang Lingkup Audit Sistem Informasi, Pengumpulan Bukti, Pelaksanaan Uji Kepatutan dan Perhitungan Nilai Maturity Level. Hasil audit disusun sehingga
(13)
menghasilkan Penyusunan Temuan, sampai dengan Penyusunan Rekomendasi audit sistem informasi.
BAB V : PENUTUP
Berisi kesimpulan dari Tugas Akhir, serta saran sehubungan dengan adanya kemungkinan pengembangan sistem pada masa yang akan datang.
(14)
2.1 Rumah Sakit
Rumah sakit merupakan suatu institusi yang fungsi utamanya memberikan pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan upaya kesehatan secara berdaya guna dan berhasil guna dengan mengutamakan upaya penyembuhan dan pemulihan yang dilaksanakan secara serasi dan terpadu dengan peningkatan dan pencegahan serta melaksanakan rujukan. Untuk dapat menyelenggarakan upaya-upaya tersebut dan mengelola rumah sakit agar tetap dapat memenuhi kebutuhan pasien dan masyarakat yang dinamis, maka setiap komponen yang ada di rumah sakit harus terintegrasi dalam satu sistem (Soejitno, 2002). Rumah sakit merupakan suatu sistem dapat dilihat pada Gambar 2.1
Lingkungan Luar
Sanak Saudara, pihak asuransi, peraturan pemerintah, hukum, masyarakat
Masukan Pelanggan (sehat dan sakit)
Dokter Karyawan Sarana dan Prasarana
Peralatan, dsb
Proses Pelayanan Medik
ICU & UGD Rawat Inap Rawat Jalan Laboratorium Administrasi
Luaran Pasien Sembuh/Cacat/
Meninggal
Hasil Akhir Pasien puas atau tidak, Rumah Sakit
maju atau mundur
Gambar 2.1 Rumah Sakit Sebagai Suatu Sistem (Soejitno, 2002)
Menurut Depkes RI (1992) berdasarkan pembedaan tingkatan menurut kemampuan unsur pelayanan kesehatan yang dapat disediakan, ketenagaan, fisik dan peralatan, maka rumah sakit umum pemerintah pusat dan daerah diklasifikasikan menjadi:
(15)
1. Rumah Sakit Umum Kelas A adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis spesialistik luas dan subspesialistik luas.
2. Rumah Sakit Umum Kelas B adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis sekurang-kurangnya 11 spesialistik luas dan subspesialistik terbatas.
3. Rumah Sakit Umum Kelas C adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis spesialistik dasar.
4. Rumah Sakit Umum Kelas D adalah rumah sakit umum yang mempunyai fasilitas dan kemampuan pelayanan medis dasar.
2.2Sistem Informasi
Sistem informasi adalah kombinasi dari teknologi informasi dan aktivitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen yang terlibat dalam proses bisnis organisasi tersebut.
Berdasarkan definisi sistem informasi tersebut, menurut Kristanto (2003: 15-16) peranan sistem informasi dalam bisnis, antara lain:
1. Mendukung operasi bisnis
2. Mendukung dalam pengambilan keputusan manajerial 3. Meraih keuntungan strategik
(16)
2.3 Audit Sistem Informasi
Audit secara umum adalah proses terpadu dalam pengumpulan dan penilaian terhadap informasi sebagai satu kesatuan organisasi oleh seorang ahli . Pengertian audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 1999).
Apabila dilihat dari definisi di atas, maka dapat disimpulkan bahwa tujuan audit sistem informasi adalah untuk menilai apakah pengendalian sistem informasi telah dapat memberikan keyakinan yang memadai atas:
1. Pengamanan Aset.
Aset teknologi informasi mencakup perangkat keras, perangkat lunak, fasilitas teknologi informasi, personil, file data, dokumentasi sistem, dan perangkat lain. Pengamanan aset yang dimaksudkan adalah sejauh mana teknologi informasi dapat memberikan jaminan kerahasiaan dan ketersediaan informasi.
2. Integritas Data.
Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Integritas data tidak dapat lepas dari pengorbanan biaya. Apabila organisasi tidak dapat menjaga integritas data, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
(17)
3. Efektitas.
Sistem informasi dikatakan efektif apabila sistem tersebut dapat mencapai tujuannya. Untuk menilainya, diperlukan upaya untuk mengetahui kebutuhan pengguna sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi pengguna, seorang auditor perlu untuk mengetahui karakteristik pengguna berikut proses pengambilang keputusannya.
4. Efisiensi.
Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumber daya seperti mesin dan segala perlengkapannya, perangkat lunak, sarana komunikasi, dan tenaga kerja yang mengoperasikan sistem tersebut.
2.4Balanced Scorecard
Balanced Scorecard merupakan suatu sistem manajemen, pengukuran, dan pengendalian yang secara cepat, tepat, dan komperehensif dapat memberikan pemahaman kepada manajer tentang performance bisnis (Yuwono, dkk, 2006). Pengukuran kinerja tersebut memandang unit bisnis dari empat perspektif yaitu: perspektif keuangan, pelanggan, pembelajaran dan pertumbuhan, serta bisnis internal. Balanced Scorecard menerjemahkan visi dan strategi oerusahaan dalam 4 (empat) perspektif yang saling terhubung tersebut, seperti terlihat pada Gambar 2.2 di halaman 12.
(18)
Gambar 2.2 Empat Perspektif dalam Balanced Scorecard (Sumber: Kaplan dan Norton, 1996: 9)
Menurut ITGI (2007) pemetaan tujuan bisnis dari 4 (empat) perspektif Balanced Scorecard berdasarkan standar Control Objectives for Information and Related Technologie (COBIT) dapat dilihat pada Tabel 2.1.
Tabel 2.1 Pemetaan Tujuan Bisnis dari Empat Perspektif Balanced Scorecard Berdasarkan Standar COBIT
Perspektif
Kinerja No Tujuan Bisnis
Perspektif Keuangan
1 Penyediaan pengembalian investasi yang baik dari bisnis yang dibangkitkan sistem informasi.
2 Pengeolaan risiko bisnis yang terkait dengan sistem informasi
3 Peningkatan transparansi dan tata kelola perusahaan Perspektif
Pelanggan
4 Peningkatan layanan dan orientasi terhadap pelanggan 5 Penawaran produk dan jasa yang kompetitif
6 Penentuan ketersediaan dan kelancaran layanan
7 Penciptaan ketangkasan untuk menjaawab permintaan bisnis yang berubah
8 Pencapaian optimasi biaya dari penyampaian layanan 9 Perolehan informasi yang bermanfaat dan handal untuk
(19)
Tabel 2.1 (Lanjutan) Perspektif
Kinerja No Tujuan Bisnis
Perspektif Proses Bisnis Internal
10 Peningkatan dan pemeliharaan fungsionalitas proses bisnis 11 Penuruan biaya proses
12 Penyediaan kepatutan terhadap hokum eksternal, regulasi dan kontrak
13 Penyediaan kepatutan terhadap kebijakan internal 14 Pengelolaan perubahan bisnis
15 Peningkatan dan pengelolaan produktivitas operasional dan staf
Perspektif Pembelajaran dan
Pertumbuhan
16 Pengelolaan inovasi produk dan bisnis
17 Perolehan dan pemeliharaan karyawan yang cakap dan termotivasi
Sumber: Information Technology Governance Institute, 2007
Menurut Yuwono, dkk, (2006: 111) dalam perspektif pelanggan menjelaskan cara-cara dimana nilai akan diciptakan untuk pelanggan, bagaimana ia menuntut ini harus dipenuhi dan mengapa pelanggan mau membayarnya, maka berbagai proses internal dan upaya pengembangan perusahaan harus diarahkan berdasarkan perspektif ini.
Dalam perspektif pelanggan, perusahaan perlu terlebih dahulu menentukan segmen pasar dan pelanggan yang menjadi target bagi organisasi atau badan usaha. Selanjutnya manajer harus menentukan alat ukur yang terbaik untuk mengukur kinerja dari tiap unit opetasi dalam upaya mencapai target finansialnya. Selanjutnya apabila suatu unit bisnis ingin mencapai kinerja keuangan yang superior dalam jangka panjang, mereka harus menciptakan dan menyajikan suatu produk baru/jasa yang bernilai lebih baik kepada pelanggan mereka. Perspektif pelanggan memiliki dua kelompok pengukuran, yaitu: customer core measurement dan customer value propositions (Kaplan dan Norton, 1996: 63).
(20)
1. Kelompok pengukuran inti (cutomer core measuremen group)
Kelompok pengukuran ini digunakan untuk mengukur bagaimana perusahaan memenuhi kebutuhan pelanggan dalam mencapai kepuasan, mempertahankan, memperoleh, dan merebut pangsa pasar yang telah ditargetkan. Dalam kelompok pengukuran inti, kita mengenal 5 (lima) tolak ukur, yaitu:
a. Pangsa pasar (market share)
Menggambarkan seberapa besar penjualan yang dikuasi oleh perusahaan dalam suatu segmen tertentu.
b. Kemampuan mempertahankan konsumen (customer retention)
Tingkat kemampuan perusahaan untuk mempertahankan hubungan dengan konsumennya yang mungkin seberapa besar perusahaan berhasil mempertahankan pelanggan lama.
c. Kemampuan meraih konsumen (customer acquisition)
Tingkat kemampuan perusahaan demi memperoleh dan menarik pelanggan baru dalam pasar.
d. Tingkat kepuasan konsumen (customer satiffaion)
Merupakan suatu tingkat kepuasan pelanggan terhadap kriteria kinerja tertentu yang diberikan oleh perusahaan.
e. Tingkat probabilitas konsumen (customer profitabilility)
Mengukur seberapa besar keuntungan yang berhasil diperoleh perusahaan dari penjualan kepada konsumen segmen pasar.
2. Kelompok pengukuran nilai (customer value proposition)
Kelompok pengukuran ini digunakan untuk mengetahui bagaimana perusahaan mengukur nilai pasar yang mereka kuasai dan pasar yang potensial
(21)
yang mungkin bisa mereka masuki. Kelompok pengukuran ini juga dapat menggambarkan pemacu kinerja yang menyangkut apa yang harus disajikan perusahaan untuk mencapai tingkat kepuasan, loyalitas, retensi, dan akuisisi pelanggan yang tinggi. Value proposition menggambarkan atribut yang disajikan perusahaan dalam produk/jasa yang dijual untuk menciptakan loyalitas dan kepuasan pelanggan. Kelompok pengukuran nilai pelangganan terdiri dari :
a. Atribut produk/jasa, yang meliputi: fungsi, harga, dan kualitas produk. b. Hubungan dengan pelanggan, yang meliputi: distribusi produk kepada
pelanggan, termasuk respon dari perusahaan, waktu pengiriman, serta bagaimana perasaan pelanggan setelah membeli produk/jasa dari perusahaan yang bersangkutan.
c. Citra dan reputasi, yang menggambarkan faktor intangible bagi perusahaan untuk menarik pelanggan untuk berhubungan dengan perusahaan, atau membeli produk.
2.5 COBIT 4.1 (Control Objective for Information and Related Technologies
4.1)
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information System Audit and Control Association (ISACA). COBIT memberikan guidelines yang berorientasi pada bisnis, karena
itu bussines process owners dan manajer, termasuk auditor dan pengguna,
diharapkan dapat memanfaatkan guideline ini sebaik-baiknya.
COBIT merupakan good practices yang membantu pengoptimalan investasi TI serta menyediakan suatu ukuran yang dimana untuk menilai ketika terjadi berbagai hal yang menyeleweng (ITGI, 2007). Secara jelas, COBIT
(22)
membagi kerangka kerja tersebut menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi seperti terlihat pada Gambar 2.3.
Gambar 2.3 Kerangka Kerja COBIT
2.5.1 Kriteria Informasi
Adapun kriteria informasi dalam kerangka kerja COBIT dibagi menjadi 7 (tujuh) yaitu sebagai berikut.
1. Efektivitas (effectiveness).
Menyangkut informasi yang sesuai dan yang berhubungan dengan proses bisnis, ketepatan waktu penyampaian, kebenaran, dan konsistensi informasi yang dapat dipergunakan sebagaimana mestinya.
2. Efisiensi (efficiency).
Mengenai ketentuan informasi melalui penggunaan sumber daya secara optimal (produktif dan ekonomis) dalam menghasilkan informasi.
(23)
3. Kerahasiaan (confidentiality).
Mengenai perlindungan atas informasi yang sensitif dari pengungkapan yang dilakukan oleh pihak-pihak yang tidak memiliki wewenang.
4. Integritas (integrity).
Berhubungan dengan ketepatan dan kelengkapan informasi, selain itu validitas informasi sesuai dengan nilai dan ekspektasi bisnis.
5. Ketersediaan (availability).
Berhubungan dengan ketersediaan informasi pada saat dibutuhkan oleh proses pengamanan atas sumber daya yang diperlukan dan kapabilitas.
6. Kepatuhan (complience).
Berhubungan dengan kepatuhan pada hukum, peraturan dan kontrak yang mana proses bisnis menjadi pokok permasalahan, dan secara ekstern menentukan kriteria bisnis.
7. Kehandalan Informasi (reliability of information).
Berhubungan dengan sistem yang menyediakan informasi yang memadai untuk manajemen dalam menjalankan operasionalisasi organisasi, menyediakan laporan keuangan bagi pengguna dan menyediakan informasi tentang ketaatan pada hukum dan regulasi.
2.5.2 Sumber Daya Teknologi Informasi
Adapun sumber daya teknologi informasi (information technology resources) yang mempengaruhi COBIT sebagai berikut.
1. Data.
Objek-objek data dari luar dan dalam, terstruktur dan tidak terstruktur, gambar, suara, dan sebagainya.
(24)
2. Sistem Aplikasi.
Merupakan pemahaman untuk menghitung secara manual dan secara prosedur program.
3. Teknologi.
Teknologi mencakup perangkat keras (hardware), perangkat lunak (software), sistem manajemen berbasis data, jaringan, multimedia, dan lain sebagainya.
4. Fasilitas.
Sumber daya dari perusahaan dan sistem informasi yang mendukung. 5. Manusia.
Kemampuan karyawan, kesadaran dan produktivitas tertinggi, organisasi, pendapatan, pelayanan, dukungan, dan pengawasan sistem informasi serta servis.
2.5.3 Domain COBIT
Terdapat 4 (empat) domain utama pada COBIT (ITGI, 2007) sebagai berikut.
A. Plan and Organize
Domain Plan and Organize (PO) membahas mengenai strategi, taktik, dan pengidentifikasian TI dalam mendukung tercapainya tujuan bisnis. Di dalamnya terdapat 10 (sepuluh) hal, yaitu:
1. PO1 : Mendefinisikan rencana strategis sistem informasi, 2. PO2 : Mendefinisikan arsitektur informasi,
3. PO3 : Menenukan arahan teknologi,
4. PO4 : Mendefinisikan proses sistem informasi, organisasi dan keterhubungannya,
(25)
5. PO5 : Mengelola investasi sistem informasi,
6. PO6 : Mengkomunikasikan tujuan dan arahan manajemen, 7. PO7 : Mengeelola sumber daya sistem informasi,
8. PO8 : Mengelola kualitas,
9. PO9 : Menaksir dan mengelola risiko sistem informasi, 10.PO10: Mengelola proyek.
B. Acquire and Implement
Pada domain Acquire and Implement (AI) sebuah solusi TI perlu diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke dalam proses bisnis. Di dalamnya terdapat 7 (tujuh) hal yaitu:
1. AI1: Mengidentifikasi solusi otomatis,
2. AI2: Memperoleh dan memelihara perangkat lunak aplikasi, 3. AI3: Memperoleh dan memelihara infrastrutur teknologi, 4. AI4: Memungkinkan operasional dan penggunaan, 5. AI5: Memenuhi sumber daya sistem informasi, 6. AI6: Mengelola perubahan,
7. AI7: Instalasi dan akreditasi solusi beserta perubahannya. C. Deliver and Support (DS)
Domain Deliver and Support (DS) mempunyai fokus pada aspek
penyampaian TI kepada dukungan dan layanan TI mencakup dukungan dan layanan TI pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data.
Pada domain Deliver and Support terdapat 13 (tiga belas) hal yaitu: 1. DS1: Mendefinisikan dan mengelola tingkat layanan,
(26)
2. DS2: Mengelola layanan pihak ketiga, 3. DS3: Mengelola kinerja dan kapasitas,
4. DS4: Memastikan layanan yang berkelanjutan, 5. DS5: Memastikan keamanan sistem
6. DS6: Mengidentifikasi dan mengalokasikan biaya 7. DS7: Mendidik dan melatih pengguna,
8. DS8: Mengelola service desk dan insiden, 9. DS9: Mengelola konfigurasi,
10. DS10: Mengelola permasalahan, 11. DS11: Mengelola data,
12. DS12: Mengelola lingkungan fisik, 13. DS13: Mengelola operasi.
D. Monitor and Evaluate
Pada domain Monitor and Evaluate (ME) ditekankan kepada pentingnya semua proses TI perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan. Pada domain ME terdapat 4 (empat) hal yang menjadi fokus, yaitu:
1. ME1: Mengawasi dan mengevaluasi kinerja sistem informasi, 2. ME2: Mengawasi dan mengevaluasi kontrol internal,
3. ME3: Memastikan pemenuhan terhadap kebutuhan eksternal, 4. ME4: Menyediakan tata kelola sistem informasi.
2.5.4 Maturity Model
Model yang digunakan untuk mengendalikan proses teknologi informasi yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi
(27)
dapat mengukur dirinya sendiri dari non-eksisten ke tingkat optimal (value 0 sampai dengan value 5).
ARTI SIMBOL ARTI RANGKING
Posisi Perusahaan Saat Ini Pedoman Standar Internasional Praktek Terbaik Industri Strategi Perusahaan
Gambar 2.4 Maturity Model (Sumber: Information Technology Governance Institute, 2007)
Teknik pengukuran Maturity Level menggunakan beberapa statement (pernyataan) dimana setiap pernyataan dapat dinilai tingkat kepatutannya dengan menggunakan standar nilai, seperti pada Tabel. 2.2 .
Tabel 2.2 Standar Penilaian Maturity Level
Complience Level Numeric Values
Agreement With Statement Complience Value
Not at all 0
A Little 0,33
Quite a lot 0,66
Completely 1
Sumber: Pederiva, 2003
0 Non-Existent : proses manajemen tidak ada. 1 Initial : proses bersifat adhoc & tidak
terorganisir.
2 Repeatable : proses mengikuti pola yang teratur. 3 Defined : proses didokumentasikan &
dikomunikasikan proses
didokumentasikan & dikomunikasikan 4 Managed : proses dimonitor dan diukur
5 Optimised : proses otomatis dan mengikuti standar
Non-Exsistent
0
Initial
1
Repaetable
2
Defined
3
Managed
4
Optimised
(28)
COBIT menyediakan kerangka identifikasi sejauh mana perusahaan telah memenuhi standar pengelolaan proses TI yang baik. Kerangka tersebut direpresentasikan dalam sebuah model kedewasaan yang memiliki level pengelompokan kapabilitas perusahaan dalam pengelolaan proses TI dari level 0 atau non-existent (belum tersedia) hingga level 5 atau optimized (teroptimasi).
• Level 0 (non-existent).
Perusahaan tidak mengetahui sama sekali proses teknologi informasi di perusahaannya.
• Level 1 (initial level).
Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru.
• Level 2 (repeatable level).
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan.
• Level 3 (defined level).
Pada level ini, proses standar dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu manajer, ketua tim, dan anggota tim pengembangan sehingga bekerja dengan lebih efektif.
• Level 4 (managed level).
Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses, dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses
(29)
untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima.
• Level 5 (optimized level).
Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus menerus. Teknologi informasi sudah digunakan untuk otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan.
2.6 Keselarasan Pengukuran Tujuan Bisnis, Tujuan TI, dan Proses TI
COBIT menyediakan pemetaan keselarasan dari tujuan bisnis, tujuan TI, dan Proses TI dalam perspektif masing-masing (ITGI, 2007). Tabel lengkap pemetaan dari penyelarasan tujuan bisnis, tujuan TI serta proses TI pada kegiatan audit sistem informasi dapat dilihat pada Lampiran 1. Beriku langkah-langkah untuk melakukan pemetaan penyelarasan.
a. Langkah pertama dalam penyelarasan ini adalah menentukan perspektif terhadap ruang lingkup yang hendak di audit.
b. Langkah berikutnya setelah didapat tujuan bisnis dari perspektif Balanced Scorecard yang sesuai dengan ruang lingkup yang akan di audit, adalah melakukan penyelarasan tujuan bisnis dengan tujuan TI.
c. Setelah menyelaraskan tujuan bisnis dengan tujuan TI, maka selanjutnya adalah menyelaraskannya dengan proses TI.
2.7 Tahapan-Tahapan dalam Audit Sistem Informasi
ISACA tahun 2010 menyatakan membagi tahapan audit sistem informasi menjadi 4 (empat) tahapan (Hermawan, 2011). Dimana masing-masing tahapan
(30)
merupakan langkah sekuensial, dapat dilihat pada Gambar 2.5 di halaman 25 Setiap tahapan terdapat langkah-langkah yang harus dilakukan. Keempat tahapan tersebut adalah:
1. Tahap Perencanaan Audit Sistem Informasi
Pada tahap perencanaan, audite harus mengetahui tentang auditee (how your auditee). Audite harus mampu mempelajari tentang proses bisnis perusahaan yang diaudit. Pada tahap ini ditentukan ruang lingkup dantujuan dari audit sistem informasi yang hendak dikerjakan.
2. Tahap Persiapan Audit Sistem Informasi
Pada tahap persiapan, audite merencanakan dan memantau pelaksanaan audit sistem informasi secara terperinci. Lalu audite mempersiapkan kertas kerja audit sistem informasi yang akan dipakai.
3. Tahap Pelaksanaan Audit Sistem Informasi
Pada tahap pelaksanaan, audite melakukan pengumpulan dan evaluasi bukti dan data audit sistem informasi yang dilakukan, serta melakukan uji kepatutan (complience test), yakni dengan menyesuaikan keadaan ada dengan standar pengelolaan proses TI yang didefinisikan dalam kerangka kerja COBIT. Selanjutnya dilakukan penyusunan temuan serta rekomendasi guna diberikan kepada auditee.
4. Tahap Pelaporan Audit Sistem Informasi
Pada tahap pelaporan, audite membuat draft pelaporan yang objektif dan komperehensif yang nantinya ditunjukan ke auditee.
(31)
Gambar 2.5 Tahapan-Tahapan dalam Audit Sistem Informasi
T
T
a
a
h
h
a
a
p
p
P
P
e
e
l
l
a
a
k
k
s
s
a
a
n
n
a
a
a
a
n
n
A
A
u
u
d
d
i
i
t
t
S
S
i
i
s
s
t
t
e
e
m
m
T
T
a
a
h
h
a
a
p
p
P
P
e
e
r
r
s
s
i
i
a
a
p
p
a
a
n
n
A
A
u
u
d
d
i
i
t
t
S
S
i
i
s
s
t
t
e
e
m
m
I
I
n
n
f
f
o
o
r
r
m
m
a
a
s
s
i
i
T
T
a
a
h
h
a
a
p
p
P
P
e
e
r
r
e
e
n
n
c
c
a
a
n
n
a
a
a
a
n
n
A
A
u
u
d
d
i
i
t
t
S
S
i
i
s
s
t
t
e
e
m
m
I
I
n
n
f
f
o
o
r
r
m
m
a
a
s
s
i
i
T
(32)
Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapan-tahapan audit yang akan dilaksanakan.
3.1 Tahap Perencanaan Audit Sistem Informasi 3.1.1 Mengidentifikasi Proses Bisnis dan TI
Dalam perencanaan proses audit, auditor harus melakukan pemahaman proses bisnis dan TI perusahaan yang diaudit (auditee). Pemahaman dilakukan dengan cara mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen tersebut bisa berupa profil perusahaan, rencana strategis, standard operating procedure, kebijakan, standar, prosedur, portopolio, arsitektur, infrastruktur, dan aplikasi sistem informasi. Auditor juga harus mengetahui apakah sebelumnya perusahaan telah dilaksanakan proses audit. Apabila pernah maka auditor juga mengetahui tentang laporan audit periode sebelumnya.
Pengetahuan tentang auditee dilakukan dengan cara melihat dokumen-dokumen yang terkait dengan proses audit dari media online bahkan auditor dating langsung ke perusahaan lalu melakukan wawancara manajemen dan staff, serta melakukan observasi kegiatan operasional dan teknologi sistem informasi yang digunakan. Selanjutnya auditor mempelajari regulasi yang mempengaruhi proses bisnis.
(33)
Langkah selanjutnya yang dilakukan dalam audit sistem informasi adalah mengidentifikasi ruang lingkup yang akan dibahas dalam audit kali ini. Audit sitem informasi ini dilakukan pada bagian Instalasi Rawat Inap RSU Haji Surabaya. Ruang lingkup audit sistem informasi menakup penjelasan tentang proses bisnis yang terjadi.
Dilihat dari ruang lingkup yang telah ditentukan, lalu penulis melihat perspektif mana yang paling sesuai dengan ruang lingkup 4 (empat) perspektif Balanced Scorecard. Keempat perspektif tersebut adalah: perspektif keuangan, perspektif proses internal, perspektif pelanggan, dan perspektif pertumbuhan. 3.1.3 Penentuan Tujuan Audit Sistem Informasi
Auditor mengidentifikasi tujuan yang berhubungan akan kebutuhan audit sistem informasi ini. Pemetaan tujuan bisnis, tujuan TI, dan proses TI berdasarkan kerangka kerja Balanced Scorecard dapat dilihat pada Tabel 3.1. Untuk detailnya dapat dilihat pada Lampiran 1.
Tabel 3.1 Pemetaan Tujuan Bisnis, Tujuan TI, dan Proses TI
Tujuan Bisnis Tujuan TI Proses TI
Peningkatan layanan dan orientasi terhadap
pelanggan
Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan layanan
PO8 Mengelola kualitas
Dan seterusnya.
Berdasarkan pengelompokan tujuan bisnis tersebut, terdapat proses-proses TI yang masuk di wilayah salah satu perspektif . Adapun proses penentuan proses TI tersebut adalah sebagai berikut.
(34)
COBIT telah membuat pemetaan dari tujuan bisnis ke dalam tujuan TI. Untuk lebih detailnya dapat dilihat pada Lampiran 1.
2. Penetuan proses TI berdasarkan tujuan TI.
Setelah diperoleh tujuan TI yang sesuai dengan BSC, maka selanjutnya adalah menentukan proses TI yang mendukung tujuan TI tersebut. Untuk lebih detailnya dapat dilihat pada Lampiran 1.
3.1.4 Identification of core TI application and the main IT relevant interfaces
Pada tahap ini auditor harus memperoleh pemahaman tentang proses TI inti yang berkaitan dengan audit yang dilakukan. Proses ini dilakukan untuk membedakan proses TI inti yang memiliki skala prioritas lebih tinggi dan proses TI pendukung lain yang berkaitan.
3.2 Tahap Persiapan Audit Sistem Informasi 3.2.1 Penyusunan Audit Working Plan
Audit Working Plan merupakan dokumen yang digunakan untuk merencanakan dan memantau pelaksanaan Audit TI secara terperinci. Dimulai dari proses awal hingga proses pelaporan audit. Tabel 3.2 merupakan contoh dari audit working plan.
Tabel 3.2 Contoh Audit Working Plan No
Kegiatan
Bulan
April Mei Juni Juli
1 2 3 4 1 2 3 4 1 2 3 4 1 2 1 Studi Literatur 2 Penentuan ruang
(35)
3.2.2 Membuat Pernyataan
Membuat penyataan yang didapat dari hasil turunan dari Standar COBIT pada tiap level prosesnya, dimana tiap proses TI terdapat 6 level kedewasaan. Tabel 3.3 merupakan salah satu pernyataan untuk proses DS5 Level 0. Sedangkan untuk keseluruhan pernyataan yang digunakan untuk proses audit sistem informasi instalasi rawat inap dapat dilihat pada kerangka kerja yang terdapat pada Lampiran 3.
Tabel 3.3 Pernyataan Proses PO5 Level 0
No Pernyataan
1 Terdapat kesadaran akan pentingnya pemilihan investasi TI 2 Terdapat kesadaran akan pentingnya penganggaran dalam TI 3 Terdapat pemantauan dalam investasi TI
4 Terdapat pemantauan dalam pembiayaan TI
3.2.3 Membuat Pertanyaan
Setelah dilakukan pembobotan pernyataan pada tiap proses TI, maka selanjutnya auditor membuat pertanyaan berdasarkan pernyataan tersebut. Pertanyaan tersebut akan dijadikan acuan dalam melakukan wawancara kepada pihak yang telah ditentukan sebelumnya. Salah satu contoh pertanyaan tersebut dapat dilihat pada Tabel 3.4.
Tabel 3.4 Contoh Pertanyaan yang Mengacu pada Standar COBIT
No Pertanyaan Jawaban
1 Apakah ada rencana investasi TI
2 Apakah ada dasar penganggaran investasi TI
(36)
Setelah membuat pernyataan, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Menurut Niekerk dan Labuschagne (2006: 7), tingkat pembobotan dalam manajemen, dibagi menjadi 3 (tiga), yaitu: sangat penting, cukup penting dan kurang penting, seperti terlihat pada Tabel 3.5.
Tabel 3.5 Tingkat Kepentingan dalam Pembobotan Pernyataan No Nilai Kualitatif Skala Keterangan
1 Tinggi 0,70 – 1,00 Pernyataan tersebut mempunyai peranan yang sangat penting dalam proses sistem informasi
2 Cukup 0,40 – 0,69 Pernyataan tersebut cukup mempunyai peran dalam proses sistem informasi 3 Rendah 0,00 – 0,39 Pernyataan tersebut dalam melengkapi
peran dalam sistem informasi Sumber: Niekerk dan Labuschagne (2006: 7)
3.3 Tahap Pelaksanaan Audit Sistem Informasi 3.3.1 Pemeriksaan Data dan Bukti
Pemeriksaan terhadap data dan bukti dilakukan melalui 2 (dua) tahap test, yaitu: complaince test dan substantive test. Complainc test merupakan pengujian untuk mengetahui keberadaan/penerapan pengendalian dalam kegiatan operasional objek audit, sedangkan substantive test merupakan pengujian untuk memastikan kelengkapan, integritas, dan keakuratan (kebenaran dan kekonsistenan).
Pemeriksaan data dan bukti diambil saat pelaksanaan audit yang dilaksanakan berdasarkan pada program audit yang telah disiapkan pada tahap persiapan audit dilakukan. Pembuatan kertas kerja dan pertanyaan-pertanyaan wawancara yang digunakan untuk mengumpulkan fakta tiap proses yang ada di sistem informasi perpustakaan saat ini, dimana pertanyaan yang diajukan dalam
(37)
dari COBIT yang dikembangkan sesuai dengan yang akan diaudit. Untuk pembahasan lebih detil akan dibahas pada Bab IV.
3.3.2 Wawancara
Wawancara dilakukan terhadap pihak-pihak yang terlibat dalam eksekusi. Proses TI yang dapat terbagi menjadi 4 kelompok, yaitu: pihak yang bertanggung jawab terhadap kesuksesan aktivitas (responsible), pihak yang bertanggung jawab (accountable), pihak yang mengerti aktivitas (consulted), dan pihak yang senantiasa diinformasikan perihal perkembangan aktivitas (informed). Penentuan RACI dalam audit sistem informasi ini dapat dilihat pada Lampiran 2.
3.3.3 Melakukan Uji Kematangan
Uji kepatutan dilakukan (compliance test) dilakukan dengan menguji kepatutan Proses TI deangan melihat proses yang berlangsung terhadap standar dan regulasi yang berlaku. Sebuah kerangka kerja yang didapat dari hasil turunan dari Standar COBIT digunakan untuk melakukan uji kepatutan.
Setelah dilakukan wawancara pada tahap pengumpulan bukti, maka hasil wawancara yang diperoleh dapat digunakan untuk menentukan kriteria yang ada dalam kerangka kerja tingkat kematangan. Tingkat kriteria yang disediakan meliputi “tidak sama sekali” yang memiliki nilai 0.00, “sedikit” dengan nilai 0.33, “dalam tingkatan tertentu” dengan nilai 0.66, serta “seluruhnya” dengan nilai 1.00.
Gambar 3.1 di halaman 32 merupakan salah satu kerangka kerja yang dihasilkan dari tahapan proses diatas. Namun untuk keseluruhan kerangka kerja
(38)
Adakah Sepakat ? Nama
Proses
Mendefinisikan Rencana Strategis Sistem Informasi
Ti d ak S am a S ek al i S ed ik it D al am ti ngka ta n ter ten tu S el uruhnya NI L AI Nomor
Proses PO1
Level Kedewasaan 0
No Pernyataan Bobot 0.00 0.33 0.66 1.00 1 Terdapat perencanaan
strategis TI yang telah dilakukan
2 Terdapat kesadaran manajemen bahwa perencanaan strategis TI diperlukan untuk
mendukung tujuan bisnis
Total Bobot Tingkat Kepatutan
Total Nilai Gambar 3.1 Contoh Tingkat Kedewasaan Level 0 dari Proses TI PO1
3.3.4 Penentuan Temuan dan Rekomendasi
Proses audit penyelarasan tujuan bisnis dengan tujuan TI yang dilakukan di Instalasi Rawat Inap RSU Haji Surabaya akan memperoleh hasil tentang tingkat keselarasan proses bisnis dengan proses TI belum sepenuhnya selaras. Masih dibutuhkannya banyak evaluasi dan perbaikan kepada proses TI yang dijalankan agar dapat mendukung tujuan bisnis organisasi. Analisa yang dilakukan berdasarkan maturity level pada proses-proses TI yang dihasilkan dari penyelarasan tujuan bisnis dengan tujuan TI, penilaian berada dalam tingkat standar. Hal ini perlu dipertahankan dan terus dikembangkan. Namun selain ditemukan proses yang berhasil dilaksanakan, masih terdapat beberapa temuan yang masih perlu diperbaiki. Diadakan analisa sebab dan akibat untuk temuan
(39)
3.4 Tahap Pelaporan Audit Sistem Informasi
Berdasarkan seluruh kertas kerja audit, temuan, dan tanggapan auditee, maka audite harus menyusun draft laporan audit SI sebagai pertanggungjawaban atas penugasan audit SI yang telah dilaksanakan. Laporan audit harus ditunjukan kepada pihak yang berhak saja karena laporan audit SI merupakan dokumen yang bersifat rahasia. Tahap pelaporan audit sistem informasi yang dilakukan dimulai dengan penyusunan draft laporan hasil audit, persetujuan draft laporan hasil audit, dan pelaporan hasil audit.
(40)
Pada bab ini akan diuraikan tentang analisis hasil dan pembahasan dari tahap perencanaan audit sistem informasi, tahap persiapan audit sistem informasi, tahap pelaksanaan audit sistem informasi, serta tahap pelaporan audit sistem informasi.
4.1 Hasil Perencanaan Audit Sistem Informasi 4.1.1 Hasil Mengidentifikasi Proses Bisnis dan TI 1) Profil Perusahaan
Audit dilakukan di Rumah Sakit Umum Haji Surabaya. Rumah sakit ini didirikan berkenaan dengan peristiwa yang menimpa jamaah haji Indonesia di terowongan Mina pada tahun 1990. Setelah melalui proses pembangunan yang juga mendapat dukungan dari pemerintah Arab Saudi, akhirnya diresmikan pembukaan pada tanggal 17 April 1993 sebagai rumah sakit kelas C non kependidikan dengan SK Gubernur Propinsi Jawa Timur No. 23 Tahun 1993 junto SK Gubernur No. 136 tahun 1997 tanggal 11 Desember 1997 tentang organisasi dan tata kerja Rumah Sakit Umum Daerah Haji Surabaya propinsi Jawa Timur.
Dengan adanya perubahan kelas C menjadi kelas B non pendidikan (SK Menkes No. 1006/Menkes/SK/IX/1998 tanggal 21 September 1998) maka SK Gubernur No. 136 Tahun 1997 diganti dengan Perda No. 9 tahun 1998 dan tanggal 21 Desember 1998 tentang organisasi dan tata kerja Rumah Sakit Umum Daerah Haji Surabaya.
(41)
kesehatan yang bermutu, maka Rumah Sakit Umum Haji Surabaya yang berlokasi di Jalan Manyar Kertoadi Surabaya dikelola secara profesional. Disamping juga sejalan dengan perkembangan pada era globalisasi dan persaingan yang semakin ketat, Rumah Sakit Umum Haji Surabaya yang berada di kota besar harus bersaing dengan rumah sakit lainnya yang banyak bermunculan dengan tarif internasional.
2) Visi, Misi, dan Moto Perusahaan
Adanya kemajuan serta pergesaran visi rumah sakit dari sarana sosial menjadi sosio-ekonomi, diharapan rumah sakit memperhitungkan profit disamping tetap menjalankan fungsi sosialnya dan menjaga mutu pelayanan. Dengan demikian rumah sakit akan mandiri artinya tetap dapat mencukup kebutuhan biaya operasionalnya dari hasil pendapatan, sehingga berdasarkan Perda No. 32 Tahun 2002, status organisasi rumah sakit menjadi badan yang bertanggung jawab kepada Gubernur melalui sekretaris daerah.
Visi : “Pelayanan Kesehatan Prima Secara Islami”
Misi: a. Menyelenggarakan pelayanankesehatan yang bermutu, paripurna dan profesional.
b. Mengelola rumah sakit secara swadana.
c. Menyelenggarakan pengembangan dan penelitian kesehatan masyarakat dan Jama’ah haji.
d. Menciptakan lingkungan kerja sejahtera yang islami. Moto : “Menebar Salam dan Senyum Dalam Pelayanan”
(42)
tahun 2002 telah berubah statusnya menjadi badan yang kemudian disebut sebagai Rumah Sakit Umum Haji Surabaya. Secara fungsional maka struktur organisasi Rumah Sakit Umum Haji Surabaya terdiri dari:
1. Direktur dan wakil direktur Rumah Sakit Umum Haji Surabaya. 2. Komite medik, komite keperawatan dan satuan pengawas intern.
3. Sekretariat yang meliputi sub bagian umum, sub bagian kepegawaian dan sub bagian perlengkapan.
4. Staf mesik fungsional, instalasi, staf fungsional dan beberapa bidang antara lain bidang perencanaan program dan rekam medik, bidang keuangan dan akuntansi, bidang pelayanan, bidang keperawatan serta bidang diklat dan pembinaan sumber daya manusia. Untuk bidang perencanaan program dan rekam medik langsung membawahi sub bidang penyusun program dan anggaran, sub bidang rekam medik dan sub bidang humas dan pemasaran. Bidang keuangan dan akuntansi membawahi sub bidang mobilisasi dana, sub bidang perbendaharaan dan sub bidang verifikasi dan akuntansi. Bidang pelayanan membawahi sub bidang pelayanan medik dan sub bidang tenaga keperawatan dan sub bidang sarana keperawatan. Sedangkan bidang diklat dan pembinaan sumber daya manusia secara langsung membawahi sub bidang pendidikan dan pelatihan, sub bidang penelitian dan pengembangan serta sub bidang pembinaan kerohanian.
(43)
sebagai unit perawatan pasien dengan tenaga keperawatan yang mampu memberikan pelayanan selama 24 jam.
Tujuan dan sasaran yang ditetapkan oleh Instalasi Rawat Inap Rumah Sakit Umum Haji Surabaya pada tahun 2011 meliputi:
a. Tujuan
- Meningkatkan keamanan dan kenyamanan penderita selama dirawat. - Meningkatkan pemenuhan alat dan bahan medis dan non medis sesuai
standar.
- Meningkatkan kualitas tenaga di instalasi rawat inap. b. Sasaran
- Tersedianya ruangan atau tempat fasilitas yang berfungsi baik untuk penderita sesuai dengan yang ditawarkan oleh rumah sakit.
- Tersedianya alat atau bahan medis dan non medis sesuai kebutuhan, serta dapat difungsikan atau dipergunakan secara optimal.
5) Struktur Organisasi Fungsional Instalasi Rawat Inap
Gambar 4.1 Struktur Organisasi Instalasi Rawat Inap RSU Haji Surabaya
Direktur
Kepala Instalasi Rawat Inap I
Kepala Instalasi Rawat Inap II
Kepala Ruangan IV C, II C, III C
Kepala Ruangan: Ruang Bersalin, Ruang Neonatus, III
A, IV A Administrasi Instalasi
(44)
4.1.2 Hasil Penentuan Ruang Lingup dan Tujuan Audit Sistem Informasi Audit sitem informasi ini dilakukan pada bagian Instalasi Rawat Inap RSU Haji Surabaya dengan memakai perspektif pelanggan pada Balanced Scorecard. Auditor fokus pada perspektif pelanggan Balanced Scorecard dengan maksud dapat meningkatkan kepuasan pasien sehubungan dengan RSU Haji Surabaya yang ingin memberikan pelayan yang terbaik untuk pasien. Pada bagian Instalasi Rawat Inap terdapat proses pendaftaran pasien (baru/lama). Untuk pasien baru pendaftaran dilakukan di loket pendaftaran rekam medik guna juga untuk mendapatkan status pasien (umum, asuransi kesehatan/ jaminan kesehatan masyarakat, dan pihak ketiga). Selanjutnya berlanjut pada poliklinik yang dituju, pasien lama bisa langsung menuju poliklinik yang dituju. Pihak poliklinik memberikan rujukan pada pasien untuk dilakukan rawat inap ataukah diperbolehkan pulang. Pasien yang telah dirujuk untuk perawatan pada instalasi rawat inap akan mendapatkan perawatan khusus dari rumah sakit sesuai dengan kebutuhan pasien, misalnya pasien yang akan melakukan proses persalinan, operasi, atau bahkan perawatan pada bayi (neonatus).
(45)
Scorecard perspektif pelanggan, yaitu:
1. peningkatan layanan dan orientasi terhadap pelanggan, 2. penawaran produk dan jasa yang kompetitif,
3. penentuan ketersediaan dan kelancaran layanan,
4. penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah,
5. pencapaian optimasi biaya dari penyampaian layanan Pencapaian optimasi biaya dari penyampaian layanan,
6. perolehan informasi yang bermanfaat dan handal untuk pembuatan keputusan strategis.
Pada audit sistem informasi instalasi rawat inap terdapat pengelompokkan proses TI berdasarkan tujuan bisnis pada perspektif pelanggan Balanced Scorecard. Pengelompokan dari tujuan bisnis, tujuan TI, dan proses TI untuk perspektif pelanggan Balanced Scorecard dapat dilihat pada Lampiran 2.
4.1.3 Identification of core TI application and the main IT relevant interfaces
Berdasarkan pengelompokan tersebut, maka total proses TI yang termasuk dalam perspektif pelanggan Balanced Scorecard adalah sebanyak 32 proses dengan rincian seperti pada Tabel 4.1. Dari 32 proses tersebut terdapat proses TI yang memiliki prioritas lebih tinggi dibanding proses TI pendukung lain yang berkaitan. Proses TI inti dapat dilihat pada Tabel 4.1 di halaman 40.
(46)
PO7 Mengelola sumber daya TI PO8 Mengelola kualitas
AI4 Memungkinkan operasional dan penggunaan DS1 Mendefinisikan dan mengelola tingkat layanan DS3 Mengelola kinerja dan kapasitas
DS4 Memastikan layanan yang berkelanjutan DS7 Mendidik dan melatih pengguna
ME1 Mengawasi dan mengevaluasi kinerja TI
Penjelasan:
• PO 7 : Mengelola sumber daya TI sangat berperan karena proses TI yang terjadi dijalankan oleh operator sehingga operator harus yang benar-benar mengerti dengan bidangnya untuk menghindari terjadi kesalahan/kecurangan.
• PO 8 : Megelola kualitas dari proses-proses TI yang mendukung peningkatan layanan berperan penting.
• AI 4 : Proses TI memungkinkan operasional dan penggunaan, misalnya membuat prosedur tetap sangat penting agar mempermudah saat pengoperasian sistem.
• DS 1 : Tingkat layanan sangat diperhatikan karena tujuan dari rumah sakit itu sendiri memberikan pelayanan yang maksimal kepada pasien. Tingkat layanan proses TI juga berpengaruh dalam hal kepuasan pelayanan.
• DS 3 : Mengelola kinerja dan kapasitas berguna untuk mengetahui sejauh mana kinerja TI dalam sistem. Sehingga proses ini juga lebih diperhatikan.
• DS 4 : Memastikan layanan yang berkelanjutan berguna untuk manajemen dapat menyadari risiko yang terkait dengan pelayanan yang berkelanjutan.
(47)
• ME 1 : Menganalisa dan dan mengevaluasi kinerja TI berguna untuk vahan evaluasi kedepannya dalam proses TI yang tejadi.
4.2 Hasil Persiapan Audit Sistem Informasi 4.2.1 Hasil Penyusunan Audit Working Plan
Penyusunan audit working plan dilakukan untuk membagi waktu dalam pengerjaan audit sistem informasi ini. Pelaksanaan audit sistem informasi instalasi rawat inap dilakukan secara bertahap sesuai dengan jadwal yang dapat dilihat pada Tabel 4.2.
Tabel 4.2 Jadwal Pelaksanaan Audit Sistem Informasi Inslasi Rawat Inap
No Kegiatan
Bulan
April Mei Juni Juli
1 2 3 4 1 2 3 4 1 2 3 4 1 2 1 Studi Literatur 2 Penentuan ruang
lingkup 3 Pengumpulan
Bukti:
• Peninjauan Struktur Organisasi
• Peninjauan kebijakan dan prosedur yang terkait dengan TI
• Peninjauan standar yang terkait dengan TI
• Peninjauan dokumentasi pengelolaan SI/TI
(48)
No Kegiatan April Mei Juni Juli 1 2 3 4 1 2 3 4 1 2 3 4 1 2
• Wawancara
• Pengobservasian proses dan kinerja karyawan 4 Pelaksanaan uji
kepatutan 5 Penentuan tingkat
kematangan 6 Penentuan hasil
audit 7 Penyusunan
laporan audit
4.2.2 Hasil Pembuatan Pernyataan
Pernyataan dibuat dari hasil turunan setiap proses TI dari standard COBIT 4.1. Dimana tiap proses TI terdapat 6 (enam) level kedewasaan, yaitu Level 0, Level 1, Level 2, Level 3, Level 4, dan Level 5. Pernyataan dipilah sesuai dengan proses TI pada perspektif pelanggan. Setiap pernyataan memiliki bobot yang berbeda-beda. Pernyataan yang telah dibuat dapat dilihat pada Lampiran 4.
4.2.3 Hasil Pembuatan Pembobotan
Setelah membuat pernyataan setiap proses TI, maka selanjutnya auditor melakukan pengukuran pembobotan pada tiap pernyataan. Pembobotan disesuaikan seberapa besar resiko yang terjadi untuk perusahaan dan juga disesuaikan dengan fokus audit yang digunakan. Jika diindikasikan resiko yang berpengaruh besar untuk perusahaan, maka nilai dari pembobotan tersebut adalah 1 (satu). Apabila diindikasikan tidak beresiko sedikitkpun untuk perusahaan maka nilai dari pembobotan tersebut adalah 0 (nol).
(49)
selanjutnya adalah membuat pertanyaan yang mendukung saat wawancara. Untuk membuat pertanyaan awalnya melihat dari pernyataan yang telah dibuat sebelumnya, lalu dipilah untuk membuat fokus wawancara. Fokus wawancara dibuat mengacu proses TI pada perspektif pelanggan. Pertanyaan yang telah dibedakan fokus wawancara dapat dilihat pada Lampiran 3.
4.3 Hasil Pelaksanaan Audit Sistem Informasi 4.3.1 Hasil Pemeriksaan Data dan Bukti
Hasil pengumpulan bukti atau evidence yang dihasilkan dari wawancara dan observasi pada instalasi rawat inap perlu dilakukan audit sistem informasi untuk mengukur kinerja TI perusahaan, dan cara yang tepat adalah ditinjau dari perspektif pelanggan dengan standar COBIT 4.1 karena mengacu dari visi rumah sakit yaitu memberikan pelayanan. Alat bantu yang digunakan berupa kertas kerja audit. Kertas kerja berisi form pertanyaan yang mengacu pada standar COBIT yang telah dibuat pada tahap persiapan audit sebelumnya.
4.3.2 Hasil Wawancara
Langkah selanjutnya yang dilakukan yaitu melakukan wawancara dan observasi. Kertas kerja berisi form pertanyaan digunakan dalam proses wawancara ini. Auditor telah menentukan pihak mana saja yang akan dimintai data dan bukti. Pihak tersebut telah dibagi di dalam RACI. Penentuan RACI dalam audit sistem informasi ini dapat dilihat pada Lampiran 3.
Untuk hasil wawancara dapat dilihat pada Lampiran 4. Disamping wawancara auditor juga melakukan observasi ke tempat studi kasus, yaitu:
(50)
4.3.3 Hasil Pelaksanaan Uji Kematangan
Berdasarkan analisa dari pengumpulan bukti dan wawancara dengan
auditee, maka diperoleh hasil uji kepatutan dari tingkat kematangan untuk
masing-masing tujuan bisnis. Adapun tingkat kematangan tersebut diperoleh dari masing-masing analisa yang dapat dilihat pada kerangka kerja pada Lampiran 5. Hasil perhitungan tingkat kematangan pada tujuan TI dan tujuan Bisnis sebagai berikut:
a. Hasil Maturity Level pada Tujuan Bisnis Peningkatan Layanan dan Orientasi Terhadap Pelanggan
Berdasarkan hasil pemetaan tujuan bisnis nomor 4 (empat) peningkatan layanan dan orientasi terhadap pelanggan dihasilkan 2 (dua) tujuan TI yang meliputi 12 (dua belas) proses TI yaitu PO 8, AI 4, DS 1, DS 2, DS 7, DS 8, DS 10, DS 13, DS 3, DS 4, DS 8, DS 3. Tabel 4.3 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.
Tabel 4.3 Tingkat Kematangan Tujuan Bisnis Peningkatan Layana dan Orientasi Terhadap Pelanggan
Tujuan
Bisnis Tujuan TI Proses TI
Tingkat kematangan Peningkatan
layanan dan orientasi terhadap pelanggan
3 Kepastian akan kepuasan pengguna akhir dengan penawaran dan tingkatan layanan
PO8 Mengelola kualitas 1.97 AI4 Memungkinkan
operasional dan penggunaan
2.93
DS1 Mendefinisikan dan mengelola tingkat layanan
(51)
Bisnis kematangan DS2 Mengelola layanan
pihak ketiga
2.89 DS7 Mendidik dan
melatih pengguna
2.49 DS8 Mengelola service
desk dan insiden
2.81 DS10 Mengelola
permasalahan
3.18 DS13 Mengelola operasi 2.75 23 Jaminan
bahwa layanan TI yang tersedia sesuai
dengan yang dibutuhkan
DS3 Mengelola kinerja dan kapasitas
2.51 DS4 Memastikan
layanan berkelanjutan
2.69
DS8 Mengelola service desk dan insiden
2.81 DS13 Mengelola operasi 2.75
HASIL RATA-RATA 2.70
Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.70, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.
Berdasarkan tingkat kematangan pada Tabel 4.3 maka akan diperoleh grafik jaring laba-laba yang dapat dilihat pada Gambar 4.3 di halaman 46.
(52)
Instalasi Rawat Inap RSU Haji Surabaya telah melakukan kegiatan sistem informasi sesuai standar COBIT, sebagai berikut.
1. Terdapat pemahaman akan kebutuhan proses perencanaan Sistem Manajemen Mutu.
2. Telah dilakukan peninjauan kualitas pada kegiatan operasional. 3. Rumah sakit memiliki buku pedoman penggunaan.
4. Terdapat pihak tertentu yang bertanggung jawab untuk memonitor tingkat layanan.
5. Terdapat pelatihan untuk pengguna yang dilaksanakan sesuai kebutuhan. 6. Terdapat pihak yang bertanggung jawab terhadap pengelolaan pelatihan. 7. Terdapat pihak yang bertanggungjawab akan insiden yang terjadi. 8. Terdapat kesadaran akan kebutuhan untuk mengelola permasalahan 9. Permasalahan dikelola secara terstruktur oleh manajer.
(53)
12.Terdapat definisi tugas dan tanggung jawab terhadap perencanaan keberlangsungan pelayanan
13.Terdapat pengaturan secara penuh terhadap praktek dan perencanaan layanan yang terus-menerus
14.Terdapat definisi tugas dan tanggung jawab terhadap perencanaan keberlangsungan pelayanan
15.Terdapat pemeliharaan rutin pada keberlangsungan perencanaan TI.
16.Terdapat penyusunan prosedur standar kegiatan operasional dan aktifitas operasi.
b. Hasil Maturity Level pada Tujuan Bisnis Penawaran Produk dan Jasa yang kompetitif
Berdasarkan hasil pemetaan tujuan bisnis penawaran produk dan jasa yang kompetitif dihasilkan 2 (dua) tujuan TI yang meliputi 7 (tujuh) proses TI yaitu PO 2, PO 4, PO 7, AI 3, PO 5, AI 5, DS 6. Tabel 4.4 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.
Tabel 4.4 Tingkat Kematangan Tujuan Bisnis Penawaran produk dan jasa yang kompetitif
Tujuan
Bisnis Tujuan TI Proses TI
Tingkat kematangan Penawaran
produk dan jasa
yang kompetitif
5 Penciptaan TI yang tangkas (IT agility)
PO2 Mendefinisikan
arsitektur informasi 2.14 PO4 Mendefinisikan proses
TI, organisasi dan keterhubungannya
(54)
Bisnis kematangan PO7 Mengelola sumber
daya TI 2.16
AI3 Memperoleh dan memelihara
infrastruktur teknologi
1.49 24 Peningkatan
terhadap efisiensi biaya TI dan
kontribusinya terhadap keuntungan bisnis
PO5 Mengelola investasi
TU 2.56
AI5 Memenuhi sumber
daya TI 3.13
DS6 Mengidentifikasi dan
mengalokasikan biaya 2.90
HASIL RATA-RATA 2.40
Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.40, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.
Berdasarkan tingkat kematangan pada Tabel 4.4 di halaman 47 maka akan diperoleh grafik jaring laba-laba yang dapat dilihat pada Gambar 4.4 di halaman 49.
(55)
Berdasarkan perhitungan pada Tabel 4.4 halaman 48 menunjukkan bahwa proses TI yang telah dilakukan telah memberikan kontribusi pada tujuan bisnis pada tingkat terkelola dan terukur dimana kondisi organisasi yang telah sesuai adalah:
1. Terdapat penugasan untuk pertanggung jawaban terhadap arsitektur informasi. 2. Fungsi TI merupakan fungsi pendukung yang meliputi keseluruhan organisasi. 3. Proses pengaturan sumberdaya manusia difokuskan pada proses perekrutan. 4. Perekrutan dan pengelolaan personil TI didasarkan pada kesenambungan
antara tersedianya staf internal dengan kebutuhan eksternal organisasi.
5. Akuisisi infrastruktur TI mempertimbangkan kebutuhan aplikasi bisnis yang ada.
6. Terdapat pihak yang bertanggung jawab atas pemilihan dan penganggaran investasi TI.
(56)
10.Terdapat pengidentifikasian biaya dalam sistem informasi. 11.Terdapat pengalokasian biaya dalam sistem informasi. 12.Terdapat pertanggungjawaban dari alokasi biaya.
c. Hasil Maturity Level pada Tujuan Bisnis Penentuan Ketersediaan dan Kelancaran Layanan
Berdasarkan hasil pemetaan tujuan bisnis penentuan ketersediaan dan kelancaran layanan dihasilkan 4 (empat) tujuan TI yang meliputi 14 (empat belas) proses TI yaitu DS 2, AI 4, PO 8, AI 6, AI 7, DS 10, PO 6, AI 6, DS 4, DS 12, DS 3, DS 4, DS 8, DS 13. Tabel 4.5 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.
Tabel 4.5 Tingkat Kematangan Tujuan Bisnis Penentuan Ketersediaan dan Kelancaran Layanan
Tujuan
Bisnis Tujuan TI Proses TI
Tingkat kematangan Penentuan ketersediaan dan kelancaran layanan
10 Jaminan akan kepuasan yang saling
menguntungkan dengan pihak ketiga
DS2 Mengelola layanan pihak ketiga
2.89
16 Pengurangan terhadap ketidaklengkapan dan pengolahan kembali dari solusi dan penyampaian layanan
PO8 Mengelola kualitas
1.97 AI4 Memungkinkan
operasional dan penggunaan
2.93
AI6 Mengelola perubahan
2.43 AI7 Instalasi dan
akreditasi solusi beserta
perubahannya
(57)
Bisnis kematangan DS10 Mengelola
permasalahan
3.18 22 Kepastian akan
minimnya dampak bisnis dalam kejadian gangguan layanan atau perubahan TI
PO6 Mengkomunikasika n tujuan dan arahan manajemen
3.12
AI6 Mengelola perubahan
2.43 DS4 Memastikan
layanan berkelanjutan
2.93
DS12 Mengelola lingkungan fisik
3.10 23 Jaminan bahwa
layanan TI yang tersedia sesuai dengan yang dibutuhkan
DS3 Mengelola kinerja dan kapasitas
2.51 DS4 Memastikan
layanan berkelanjutan
2.69
DS8 Mengelola service desk dan insiden
2.81 DS13 Mengelola operasi 2.75
HASIL RATA-RATA 2.73
Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.73, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.
Berdasarkan tingkat kematangan pada Tabel 4.5 di halaman 50 maka akan diperoleh grafik jaring laba-laba yang dapat dilihat pada Gambar 4.5 di halaman 52.
(58)
dan Kelancaran Layanan
Berdasarkan perhitungan pada Tabel 4.3 di halaman 50 menunjukkan bahwa proses TI yang telah dilakukan telah memberikan kontribusi pada tujuan bisnis pada tingkat terkelola dan terukur dimana kondisi organisasi yang telah sesuai adalah:
1. Terdapat pengelolaan layanan pihak ketiga,
2. Adanya kebijakan prosedur mengenai pihak-pihak ketiga yang mengadakan perjanjian,
3. Organisasi telah memiliki proses perencanaan sistem manajemen mutu, 4. Terdapat proses yang terkait dengan pembuatan buku pedoman operas, 5. Terdapat proses yang terkait dengan pembuatan dokumentasi user, 6. Terdapat pengendalian terhadap perubahan yang dilakukan,
7. Terdapat dokumentasi yang lengkap atas perubahan yang dilakukan oleh manajemen TI,
(59)
9. Terdapat pemecahan jika terjadi identifikasi permasalahan,
10.Terdapat prosedur untuk menyelesaikan identifikasi permasalahan,
11.Terdapat pencatatan permasalahan yang terstruktur oleh tim yang bertanggung jawab secara terpusat,
12.Semua proses atau tahapan yang tercantum dalam kebijakan dan prosedur TI diikuti oleh semua personil TI,
13.Terdapat wewenang dan tanggung jawab terhadap layanan TI,
14.Pengguna mengimplementasikan workaround (program) untuk menanggapi gangguan pelayanan,
15.Manajemen mengkomunikasikan secara konsisten kebutuhan akan perencanaan untuk memastikan keberlangsungan layanan,
16.Terdapat pengelolaan, monitoring dan dokumentasi lingkungan secara fisik. 17.Kebijakan pengelolaan lingkungan fisik dikomunikasikan oleh manajemen 18.Manajemen mengakui bahwa proses bisnis yang utama memerlukan high
levels of performance dari IT atau seluruh kebutuhan bisnis dari IT services mungkin melebihi kapasitas,
19.Perencanaan TI secara berkelanjutan terintegrasi dengan bisnis secara berkelanjutan dan dipelihara secara rutin,
20.Terdapat pengukuran untuk monitor aktifitas operasional sesuai standar yang telah disusun,
21.Setiap bulan terdapat evaluasi berupa laporan standar pelayanan mutu (SARMUT),
(60)
d. Hasil Maturity Level pada Tujuan Bisnis Penawaran Produk dan Jasa yang Kompetitif
Berdasarkan hasil pemetaan tujuan bisnis penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah dihasilkan 3 (tiga) tujuan TI yang meliputi 16 (enam belas) proses TI yaitu PO 1, PO 2, PO4, PO 10, AI 1, AI 6, AI 7, DS 1, DS 3, ME 1, PO 2, PO 4, PO 7, AI 3, PO 8, PO 1. Tabel 4.6 di halaman 54 menunjukkan pemetaan dan analisa masing-masing proses TI yang diperoleh dari kerangka kerja pada Lampiran 5.
Tabel 4.6 Tingkat Kematangan Tujuan Bisnis Penciptaan Ketangkasan (agility) untuk Menjawab Permintaan Bisnis yang Berubah
Tujuan Bisnis Tujuan TI Proses TI Tingkat
kematangan Penciptaan ketangkasan (agility) untuk menjawab permintaan bisnis yang berubah
1 Respon terhadap kebutuhan bisnis yang selaras dengan strategi bisnis
PO1 Mendefinisikan
rencana strategi TI 2.71 PO2 Mendefinisikan
arsitektur informasi 2.14 PO4 Mendefinisikan
proses TI, organisasi dan
keterhubungannya
2.56
PO10 Mengelola proyek 3.28 AI1 Mengidentifikasikan
solusi otomatis 1.89 AI6 Mengelola
perubahan 2.43
AI7 Instalasi dan akreditasi solusi beserta
perubahannya
2.50
(61)
kematangan DS1 Mendefinisikan dan
mengelola tingkat
layanan 2.63
DS3 Mengelola kinerja
dan kapasitas 2.51 ME1 Mengawasi dan
menevaluasi kinerja TI
2.62 5 Penciptaan TI
yang tangkas (IT agility)
PO2 Mendefinisikan
arsitektur informasi 2.14 PO4 Mendefinisikan
proses TI, organisasi dan
keterhubungannya
2.56
PO7 Mengelola sumber
daya TI 2.16
AI3 Memperoleh dan memelihara infrastruktur teknologi
1.49
25 Penyampaian rancangan tepat waktu dan sesuai dengan kualitas standar maupun anggaran biaya
PO8 Mengelola kualitas 1.97 PO1 Mendefinisikan
rencana strategi TI
2.71
HASIL RATA-RATA 2.39
Nilai rata-rata maturity level tujuan bisnis peningkatan layanan dan orientasi terhadap pelanggan mendapat nilai rata-rata maturity level 2.39, yaitu: repeatable but intuitif. Hal ini berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.
(62)
Gambar 4.6 Grafik Jaring Laba-Laba Tujuan Bisnis Penciptaan Ketangkasan Untuk Menjawab Permintaan Bisnis yang Berubah
Berdasarkan perhitungan pada Tabel 4.6 di halaman 54 menunjukkan bahwa proses TI yang telah dilakukan telah memberikan kontribusi pada tujuan bisnis pada tingkat terkelola dan terukur dimana kondisi organisasi yang telah sesuai yaitu sebagai berikut.
1. Rumah sakit telah memiliki rencana strategi (renstra) sistem informasi.
2. Rencana strategis sistem informasi yang didokumentasikan dan disosialisasikan.
3. Rencana strategis perusahaan dibuat oleh manajemen pada awal tahun, dikembangkan sesuai tujuan TI dan tujuan bisnis.
4. Pengembangan beberapa komponen arsitektur informasi dilakukan secara langsung.
(63)
diperlukan untuk mengembangkan dan mempertahankan arsitektur yang kuat dan responsif yang mencerminkan semua kebutuhan bisnis.
7. TI merupakan pendukung untuk keseluruhan kegiatan di organisasi.
8. Terdapat deskripsi tugas di dalam struktur organisasi di RSU Haji Surabaya. 9. Terdapat peran dan tanggung jawab dalam pengelolaan proyek.
10.Terdapat penjadwalan dalam pengelolaan proyek.
11.Terdapat pengembangan pedoman dan aspek-aspek dalam pengelolaan proyek.
12.Proyek-proyek yang ada mengarah pada tujuan organisasi. 13.Organisasi mendiskusikan solusi teknologi secara formal. 14.Identifikasi solusi TI dilakukan secara intuitif.
15.Terdapat pengendalian terhadap perubahan yang dilakukan.
16.Terdapat dokumentasi yang lengkap atas perubahan yang dilakukan oleh manajemen TI.
17.Terdapat kesadaran Staf TI bahwa kebutuhan solusi TI sesuai dengan tujuan yang diinginkan.
18.Instalasi TI terintegerasi dengan siklus hidup sistem.
19.Penerapan sistem baru tidak mempengaruhi konsistensi kualitas sistem yang telah ada.
20.Terdapat pelaporan tingkat layanan yang dilakukan secara konsisten.
21.Sudah ada pihak yang bertanggungjawab dalam mengatur proses pelaporan tingkat layanan.
(64)
services mungkin melebihi kapasitas.
23.Organisasi memiliki proses pemantauan kinerja TI untuk dilaksanakan. 24.Terdapat standar pelaporan hasil pemantauan.
25.Terdapat kesadaran akan pentingnya menyesuaikan manajemen sumber daya manusia dengan perencanaan teknologi organisasi.
26.Organisasi memiliki bagian yang bertanggung jawab untuk proses manajemen sumber daya manusia.
27.Perekrutan dan pengelolaan personil TI didasarkan pada kesenambungan antara tersedianya staf internal dengan kebutuhan eksternal organisasi.
28.Akuisisi infrastruktur TI mempertimbangkan kebutuhan aplikasi bisnis yang ada.
29.Organisasi telah memiliki proses perencanaan sistem manajemen mutu. 30.Program pendidikan tentang kualitas, ditujukan untuk seluruh level yang ada
di perusahaan.
31.Proses sistem manajemen mutu dapat beradaptasi dengan perubahan yang terjadi di lingkungan IT.
e. Hasil Maturity Level pada Tujuan Bisnis Penyampaian Optimasi Biaya dari Penyampaian Layanan
Berdasarkan hasil pemetaan tujuan bisnis pencapaian optimasi biaya dari penyampaian layanan dihasilkan 4 (empat) tujuan TI yang meliputi 9 (sembilan) proses TI yaitu PO 3, AI 2, AI 5, AI 3, AI 5, DS 2, PO5, AI 5, DS 6. Tabel 4.7
(1)
Tabel 4.10 (Lanjutan)
No Proses TI Temuan Rekomendasi
2. Politik dan hukum, yaitu: sistem dan prosedur pelayanan harus sesuai dengan peraturan
perundang-undangan yang telah ditetapkan oleh pemerintah
3. Kondisi perekonomian, yaitu semakin banyak kebutuhan diluar pulau, maka semakin banyak yang menggunakan jasa pengiriman sehingga berpengaruh pada pendapatan perusahaan
(2)
82
4.4 Tahap Pelaporan Audit Sistem Informasi
Tahap pelaporan yaitu: memberikan laporan audit (audit report) sebagai pertanggung jawaban atas penugasan proses audit SI yang telah dilaksanakan. Laporan audit ditunjukkan kepada pihak yang berhak saja karena laporan audit SI merupakan dokumen yang bersifat rahasia. Hasil laporan audit dapat dilihat pada Lampiran 6.
(3)
5.1 Kesimpulan
Dari hasil audit sistem informasi instalasi rawat inap yang telah dilakukan, maka didapatkan kesimpulan sebagai berikut:
1. Audit sistem informasi ditinjau dari perspektif pelanggan Balanced Scorecard pada instalasi rawat inap memiliki ruang lingkup tujuan bisnis sebanyak 6 (enam), tujuan TI sebanyak 20 (dua puluh) dan total proses TI sebanyak 32 (tiga puluh dua) proses.
2. Pengumpulan bukti pelaksanaan audit sistem informasi berupa form hasil wawancara, dengan ditunjukkan dokumen-dokumen kebijakan dan operasional.
3. Instalasi rawat inap telah melaksanakan aktivitas sistem informasi pada perspektif pelanggan. Tingkat kematangan (maturity level) yang dimiliki pada masing-masing proses TI berbeda-beda. Hasil perhitungan nilai rata-rata maturity level yang didapatkan adalah 2.60 yang berarti tingkat maturity level sistem informasi Instalasi Rawat Inap RSU Haji Surabaya berdasarkan COBIT 4.1 adalah repeatable but intuitif, yang berarti bahwa prosedur pada tujuan bisnis proses telah berkembang pada tahap dimana prosedur yang sama diikuti oleh orang yang berbeda dalam menjalankan tugas yang sama, tetapi tidak ada pelatihan formal atau prosedur komunikasi standar.
(4)
86
Hal ini berarti : tanggung jawab terhadap proses tersebut yang masih dibebankan pada individu dan tingkat ketergantungan pada kemampuan individu sangat besar sehingga terjadi kesalahan.
5.2 Saran
Saran bagi pengembangan yang berkaitan dengan pencapaian hasil yang optimal dari audit sistem sistem informasi ini sebagai berikut:
1. Saran bagi pengembangan yang berkaitan dengan pencapaian hasil yang optimal dari audit sistem sistem informasi ini sebagai berikut: Audit sistem informasi instalasi rawat jalan ini hanya mengacu pada penerapan aplikasi rawat inap. Diharapkan untuk pengembangannya, dapat dilakukan audit terhadap keseluruhan aplikasi pendukung proses rawat inap.
2. Audit sistem informasi instalasi rawat jalan ini hanya menggunakan perspektif pelanggan. Diharapkan untuk pengembangannya, dapat dilakukan audit dengan menggunakan perspektif lainnya.
3. Audit sistem informasi instalasi rawat inap yang telah dilakukan hanya membahas sampai penilaian tingkat kematangan proses TI. Diharapkan untuk pengembangannya, dapat dilakukan audit sistem informasi instalasi rawat inap dengan menggunakan standar COBIT 4.1 sampai dengan pembahasan KPI, PKGI, dan ITKGI.
4. Berdasarkan hasil audit sistem informasi instalasi rawat inap yang telah dilakukan, didapatkan pernyataan bahwa pihak Rumah Sakit Umum Haji Surabaya belum pernah melakukan audit terhadap kinerja server. Diharapkan untuk pengembangannya, akan dilakukan audit guna memastikan keamanan sistem informasi yang ada dengan menggunakan standar ISO.
(5)
Adikoesoemo, S. 1997. Manajemen Rumah Sakit. Jakarta: Pustaka Sinar Harapan. Alter, S. The Work System Method: Connecting People, Processes, and IT for
Business Results. Works System Press, CA. Beynon, D.P. 2004. E-Business. Basingstoke: Palgrave.
Davis, G.B. 1995. Sistem Informasi Manajemen, Jakarta: PT. Pustaka Binaman Pressindo.
DepKes RI. (1992). Keputusan Menteri Kesehatan RI No. 983/MenKes/SK/XI/1992. Pedoman Organisasi Rumah Sakit Umum.
Effendi, D. 2008. Perancangan IT Governance pada Layanan Akademik di UNIKOM (Universita Komputer Indonesia) Menggunakan COBIT (Control Objectives for Information and Related Technolgy) Versi 4.0. Tesis. Bandung: Program Pasca Sarjana Program Studi Magister InformatikaInstitut Teknologi Bandung.
Fitzgerald, J., Ardra Fitzgerald, W.D., dan Stalling. 1981. Fundamentals of System Analysis. New York: John Willey (edisi kedua).
Gaspersz, V. 2005. Sistem Manajemen Kinerja terintegrasi Balanced Scorecard dengan Six Sigma untuk Organisasi Bisnis dan Pemerintah. Jakarta: PT. Grameedia Pustaka Utama.
Gondodiyoto, S. 2007. Audit Sistem Informasi: Pendekatan Cobit, Edisi Revisi. Jakarta: Mitra Wacana Media
Hermawan, Budi. 2011. Dasar-Dasar Audit dan Pengendalian TI. http://www.auditti.com/stikom. Diakses pada tanggal 1 Desember 2011. Information Technology Governance Institute. 2003. IT Governance
Implementation Guide: “How do I use COBIT to implement IT governance?”.
Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute.
ISACA. 2010. Guide to the Audit of IT Application. Switzerland : Felice Lutz. Kadir, A. 2003. Pengenalan Sistem Informasi. Yogyakarta: Andi Offset.
Kaplan, R. dan Norton, D. 1996. Balanced Scorecard: Menerapkan Strategi Menjadi Aksi. Jakarta: Erlangga.
(6)
86
Kristanto, A. 2003. Perancangan Sistem Informasi dan Aplikasinya. Yogyakarta : Gava Media.
Lenggana, U. Tresna. 2007. Perancangan Model Tata Kelola Teknologi Informasi pada PT. Kereta Api Indonesia Berbasis Framework COBIT, Tesis, Program PascaSarjana, Program Studi Magister Informatika, Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Bandung. Luftman, J.N dan Brier, T. 1999. Achieving and Sustaining Business-IT
Aligment. California Management Review.
O'Brien, J A. 2003. Introduction to information systems: essentials for the e-business enterprise. McGraw-Hill, Boston, MA
Pederiva, A. 2003. The COBIT Maturity Model in a Vendor Evaluation Case. Information Systems Audit and Control Association.
Pederiva, A. 2003. The CobIT Maturity Model in a Vendor Evaluation Case, Journal of Information System Audit.
Puspita, I. 2009. Hubungan Persepsi Pasien Tentang Kualitas Pelayanan Dengan Citra Rumah Sakit Umum Daerah Kabupaten Aceh Tamiang. Tesis. Medan: Progam Studi Magister Ilmu Kesehatan Masyarakat Fakultas Kesehatan Masyarakat Universitas Sumatera Utara.
Sarno, R. 2009. Audit Sistem & Teknologi Informasi. Surabaya : ITS Press
Sarno, R. 2009. Strategi Sukses Bisnis dengan Teknologi Informasi. Surabaya: ITS Press.
Soejitno, Alkatri, dan Ibrahim. 2002. Reformasi Perumahsakitan Indonesia. Jakarta: Grasindo
Surendro, K. 2004.Audit Sistem Informasi Rumah Sakit dengan Menggunakan Acuan COBIT, Gematika Jurnal Manajemen Informatika, Vol 6 No 1 Desember.
Tanuwijaya, H. dan Sarno, R. 2010. Comparation of CobiT Maturity Model and Structural Equation Model for Measuring the Alignment between University Academic Regulati ons and Information Technology Goals, International Journal of Computer Science and Network Security, VOL.10 No.6, June 2010. Surabaya : ITS Press.
Yuwono, S., Sukarno, E., dan Ichsan, M. 2006. Petunjuk Praktis Penyusunan Balanced Scorecard. Jakarta: Gramedia Pustaka Utama
Weber, R. 1999. Information System Control and Audit, The University of Queensland, Prentice Hall*