Kajian Pengendalian Internal Layanan Akademik di Universitas Udayana.
i
KAJIAN PENGENDALIAN INTERNAL LAYANAN
AKADEMIK DI UNIVERSITAS UDAYANA
TUGAS AKHIR
Diajukan guna memenuhi sebagian persyaratan dalam rangka menyelesaikan Pendidikan Sarjana Strata Satu (S1) Program Studi Teknologi Informasi
DESAK NYOMAN HARIWINDATY PURWA NIM: 1204505025
JURUSAN TEKNOLOGI INFORMASI
FAKULTAS TEKNIK
UNIVERSITAS UDAYANA
2016
(2)
ii
PERNYATAAN
Dengan ini saya menyatakan bahwa dalam Tugas Akhir ini tidak terdapat karya yang pernah diajukan untuk memperoleh gelar kesarjanaan di suatu perguruan tinggi dan sepanjang pengetahuan saya tidak terdapat karya atau pendapat yang pernah ditulis atau diterbitkan oleh orang lain, kecuali yang secara tertulis diacu dalam naskah ini dan disebutkan pada daftar pustaka.
Jimbaran, Juni 2016
(3)
(4)
4
KEMENTERIAN RISET, TEKNOLOGI DAN PENDIDIKAN TINGGI UNIVERSITAS UDAYANA
FAKULTAS TEKNIK
JURUSAN TEKNOLOGI INFORMASI Gedung Teknologi Informasi, Kampus Bukit Jimbaran – Bali
Telepon: +62 85102853533 email: [email protected]
laman:http://www.it.unud.ac.id
LEMBAR PENGESAHAN TUGAS AKHIR
JUDUL : KAJIAN PENGENDALIAN INTERNAL LAYANAN
AKADEMIK DI UNIVESITAS UDAYANA
NAMA : DESAK NYOMAN HARIWINDATY PURWA
NIM : 1204505025
JURUSAN : TEKNOLOGI INFORMASI
FAKULTAS : TEKNIK
TANGGAL UJIAN : 28 JUNI 2016
Bukit Jimbaran, 11 Juli 2016 Menyetujui,
Pembimbing I,
I Made Sukarsa, S.T., M.T. NIDN. 0024107505
Pembimbing II,
I Putu Agus Eka Pratama, S.T.,M.T. NIDN. 9908419827
Mengetahui,
Ketua Jurusan Teknologi Informasi Fakultas Teknik Universitas Udayana
Dr.Eng I Putu Agung Bayupati, S.T., M.T. NIP. 197504232003121002
(5)
5
KEMENTERIAN RISET, TEKNOLOGI DAN PENDIDIKAN TINGGI UNIVERSITAS UDAYANA
FAKULTAS TEKNIK
JURUSAN TEKNOLOGI INFORMASI Gedung Teknologi Informasi, Kampus Bukit Jimbaran – Bali
Telepon: +62 85102853533 email: [email protected]
laman:http://www.it.unud.ac.id
BERITA ACARA TUGAS AKHIR
JUDUL : KAJIAN PENGENDALIAN INTERNAL LAYANAN
AKADEMIK DI UNIVERSITAS UDAYANA
NAMA : DESAK NYOMAN HARIWINDATY PURWA
NIM : 1204505025
JURUSAN : TEKNOLOGI INFORMASI
FAKULTAS : TEKNIK
TANGGAL UJIAN : 28 JUNI 2016
Telah dipertahankan di hadapan Dewan Penguji dan diterima sebagai bagian persyaratan yang diperlukan untuk memperoleh gelar Sarjana Teknologi Informasi pada Program Studi Teknologi Informasi, Fakultas Teknik, Universitas Udayana dengan nilai A.
Bukit Jimbaran, 4 Juli 2016
DEWAN PENGUJI
Ketua,
I Made Sukarsa, ST.MT NIDN. 0024107505
Penguji I,
Dr.Eng I Putu Agung Bayupati,ST.MT NIDN. 002347504
Penguji III,
I Ketut Adi Purnawan,ST.M.Eng NIDN. 0020118402
Penguji II,
Ni Kadek Ayu Wirdiani,ST.MT NIDN. 0827038102
Sekretaris,
I Putu Agus Eka Pratama, S.T., M.T. NIDN. 990098095
(6)
6
KATA PENGANTAR
Puji dan syukur penulis panjatkan kehadapan Ida Sang Hyang Widhi Wasa atau Tuhan Yang Maha Esa karena atas berkat dan rahmat-Nya penulis dapat menyelesaikan laporan Tugas Akhir yang berjudul “Kajian Pengendalian Internal Layanan Akademik di Universitas Udayana” dengan tepat waktu. Laporan Tugas Akhir ini disusun sebagai syarat untuk memenuhi sebagian persyaratan menyelesaikan Pendidikan Sarjana Strata Satu (S1) pada Program Studi Teknologi Informasi. Meskipun dalam penyusunan laporan ini penulis banyak menemui berbagai hambatan, namun berkat bimbingan, bantuan, dan dukungan dari berbagai pihak, laporan Tugas Akhir ini pun dapat terselesaikan. Oleh karena itu, pada kesempatan ini penulis mengucapkan terima kasih yang sebesar-besarnya kepada:
1. Bapak Prof. Ir. Ngakan Putu Gede Suardana, M.T., Ph.D. selaku Dekan Fakultas Teknik Universitas Udayana.
2. Bapak Dr.Eng I Putu Agung Bayupati, S.T.,M.T. selaku Ketua Jurusan Teknologi Informasi Universitas Udayana.
3. Bapak I Made Sukarsa, S.T., M.T. selaku Dosen Pembimbing I yang telah banyak memberikan bantuan, petunjuk, dan bimbingan kepada penulis di dalam penyelesaian Tugas Akhir.
4. Bapak I Putu Agus Eka Pratama, S.T., M.T. selaku Dosen Pembimbing II yang telah banyak memberikan bantuan, petunjuk, dan bimbingan kepada penulis di dalam penyelesaian Tugas Akhir.
5. Bapak Prof. Dr. I Ketut Gede Darma Putra, S.Kom., M.T. selaku Kepala Unit Sumber Daya Informasi Universitas Udayana yang telah memberikan kesempatan dan bantuan informasi berupa dokumen dan data yang dibutuhkan penulis dalam penyusunan laporan Tugas Akhir.
6. Bapak Drs. Ketut Amoga Sidi selaku Kepala Biro Administrasi Akademik Universitas Udayana yang telah memberikan kesempatan dan bantuan
(7)
7
informasi berupa dokumen dan data yang dibutuhkan penulis dalam penyusunan laporan Tugas Akhir.
7. Kedua orang tua I Dewa Gede Sayang, S.E. dan Desak Ketut Hartani, S.Pd. dan saudara/i Desak Gede Dharayanti Purwa, S.Tr.Par dan I Dewa Made Adiyoga Pramana Purwa, S.T. yang telah memberikan banyak dukungan melalui doa dan material.
8. Rekan-rekan di Jurusan Teknologi Informasi yang telah memberikan sumbangan ide, pemikiran, tenaga, dan pengetahuan sehingga membantu penulis dalam proses pembuatan tugas akhir ini.
9. Semua pihak yang tidak dapat disebutkan namanya satu per satu yang telah membantu memperlancar penyusunan laporan ini.
Penulis menyadari sepenuhnya bahwa laporan ini masih jauh dari kata sempurna. Oleh karena itu, segala bentuk kritik dan saran yang konstruktif dari berbagai pihak sangat penulis hargai dan harapkan. Akhir kata, semoga laporan ini dapat bermanfaat dalam pengembangan ilmu pengetahuan dan teknologi kepada khalayak luas serta mohon maaf atas segala kekurangan yang terdapat dalam tugas akhir ini.
Denpasar, Juni 2016
(8)
8
ABSTRAK
Pengendalian internal merupakan suatu proses yang dilakukan oleh manajemen yang dirancang untuk memberikan keyakinan memadai akan pencapaian tujuan yang berkaitan dengan operasional dan pencapaian bisnis proses. Pengendalian internal diperlukan organisasi dan perusahaan termasuk sebuah Perguruan Tinggi. Layanan Akademik pada SIMAK (Sistem Informasi Manajemen Administrasi Akademik) dan Wisuda Online dirasa sangat penting untuk memiliki pengendalian internal dimana sering terjadi kesalahan seperti tidak adanya validasi pada sistem atau bahkan kebijakan yang mempengaruhi sistem tidak diterapkan sebagaimana mestinya.
Metodologi yang digunakan untuk melakukan kajian pengendalian internal layanan akademik di Universitas Udayana adalah metodologi DSRM (Design Science Research Method) dan penilaiannya menggunakan berbagai standar best practice seperti COSO (The Committee of Sponsoring Organizations of the Treadway Commission), COBIT 5, NIST 800-53 Revision 4, dan ISO/IEC 27002:2005. COBIT 5 digunakan dalam pemilihan domain atau lingkup audit, COSO digunakan untuk menilai pengendalian internal serta rekomendasi, sedangkan NIST 800-53 dan ISO/IEC 27002:2005 digunakan untuk memberikan rekomendasi perbaikan. Selain itu, CMMI digunakan untuk menilai tingkat kematangan pada layanan akademik.
Hasil penelitian menunjukkan pengendalian internal yang tercermin baik dari prosedur dan penerapan pada sistem layanan akademik masih kurang, hal ini sesuai dengan tingkat kematangan yang dianalisa menggunakan standar CMMI yang menunjukkan layanan akademik memiliki tingkat kematangan pada level 3. Level 3 artinya layanan akademik telah memiliki standar prosedur yang terstandarisasi serta terdokumentasi dengan baik, namun tidak semua prosedur dibuat secara tersistem.
Kata Kunci : Pengendalian Internal, COSO, NIST 800-53, ISO/IEC 27002:2005, CMMI.
(9)
9
ABSTRACT
Internal control is a process conducted by management designed to provide reasonable assurance for the achievement of objectives, related to the achievement of operational and business processes. Internal controls are required by the organizations and companies, include a university. Academic Services such a SIMAK (Academic Administration Management Information System) and Graduation Online System are very important to have internal control where frequent errors such as there is no validation in the system or even a policy which affects the system is not applied as it should.
The methodology that used to conduct a review of internal controls academic services in Udayana University is methodology DSRM (Design Science Research Method) and the assessment is using various of best practice standards such as COSO (The Committee of Sponsoring Organizations of the Treadway Commission), COBIT 5, NIST 800-53 Revision 4, and ISO / IEC 27002:2005. COBIT 5 is used in the selection of the domain or scope of the audit, COSO is used to assess the internal controls and recommendation, however NIST 800-53 and ISO / IEC 27002: 2005 are using to provide recommendation for improvement. In addition, CMMI is used to assess the maturity level in the academic services.
The results showed that internal control is reflected from the procedure and the application of the system the academic services is still lacking, this is consistent with the level of maturity which are analyzed using CMMI standard show that academic service has a level of maturity at level 3. Maturity Level 3 means that academic service has a standard procedure that standardized and well documented, but not all procedures made as a system.
Keywords: Control Internal; COSO 2013; COBIT 5; ISO 27005: 2005; NIST 800-53 Revision 4;
(10)
10
DAFTAR ISI
COVER……….i
PERNYATAAN ... ii
LEMBAR PENGESAHAN ... Error! Bookmark not defined. BERITA ACARA TUGAS AKHIR ... Error! Bookmark not defined. KATA PENGANTAR ... 6
ABSTRAK ... 8
ABSTRACT ... 9
DAFTAR ISI ... 10
DAFTAR GAMBAR ... 12
DAFTAR TABEL ... 13 BAB I PENDAHULUAN ... Error! Bookmark not defined.
1.1. Latar Belakang ... Error! Bookmark not defined.
1.2. Rumusan Masalah ... Error! Bookmark not defined.
1.3. Tujuan ... Error! Bookmark not defined.
1.4. Manfaat Penelitian ... Error! Bookmark not defined.
1.5. Batasan Masalah ... Error! Bookmark not defined.
1.6. Sistematika Penulisan ... Error! Bookmark not defined.
BAB II TINJAUAN PUSTAKA ... Error! Bookmark not defined.
2.1 State of the Art ... Error! Bookmark not defined.
2.2 Latar Belakang Universitas Udayana . Error! Bookmark not defined.
2.2.1 Sejarah Universitas Udayana ... Error! Bookmark not defined.
2.2.2 Visi dan Misi ... Error! Bookmark not defined.
2.2.3 Struktur Organisasi Universitas UdayanaError! Bookmark not defined.
2.2.4 Tujuan dan Sasaran Bisnis Universitas UdayanaError! Bookmark not defined.
2.2.5 Unit Sumber Daya Informasi ... Error! Bookmark not defined.
2.3 Layanan Akademik ... Error! Bookmark not defined.
2.3.1 Sistem SIMAK ... Error! Bookmark not defined.
2.3.2 Wisuda Online ... Error! Bookmark not defined.
(11)
11
2.4.1 Metode Penelitian Kualitatif dan DeskriptifError! Bookmark not defined.
2.4.2 Pengendalian Internal (Internal Control)Error! Bookmark not defined.
2.4.3 Control Framework ... Error! Bookmark not defined.
2.4.4 Capability Maturity Model IntegratedError! Bookmark not defined.
BAB III METODELOGI PENELITIAN ... Error! Bookmark not defined.
3.1 Metodelogi Penelitian ... Error! Bookmark not defined.
3.2 Pendekatan Studi Berbasis Tujuan (Studi Literatur)Error! Bookmark not defined.
3.3 Perancangan dan Pengembangan SolusiError! Bookmark not defined.
3.3.1 Pemilihan Domain ... Error! Bookmark not defined.
3.3.2 Pemetaan Terhadap COBIT 5 ... Error! Bookmark not defined.
3.3.3 Pemetaan COBIT 5 dan COSO 2013Error! Bookmark not defined.
3.3.4 Pengumpulan Data ... Error! Bookmark not defined.
3.3.5 Jadwal Penelitian ... Error! Bookmark not defined.
3.4 Pengujian Data ... Error! Bookmark not defined.
3.4.1 Rancangan Kuesioner Tingkat KepentinganError! Bookmark not defined.
3.4.2 Penentuan Tingkat Kematangan . Error! Bookmark not defined.
3.4.3 Rancangan Kuesioner Pengendalian InternalError! Bookmark not defined.
3.4.4 Rekomendasi Perbaikan ... Error! Bookmark not defined.
BAB IV PEMBAHASAN DAN ANALISA HASILError! Bookmark not defined.
4.1 Proses Pemilihan Domain ... Error! Bookmark not defined.
4.1.1 Proses Identifikasi Business GoalsError! Bookmark not defined.
4.1.2 Proses Identifikasi IT Goals ... Error! Bookmark not defined.
(12)
12
4.1.4 Proses Pemetaan Terhadap Domain Pada COBIT 5 ... Error! Bookmark not defined.
4.2 Hasil Pengumpulan Data ... Error! Bookmark not defined.
4.2.1 Tingkat Kritis ... Error! Bookmark not defined.
4.2.2 Hasil Kuesioner Tingkat KepentinganError! Bookmark not defined.
4.2.3 Hasil Tingkat Kematangan CMMIError! Bookmark not defined.
4.2.4 Hasil Kuesioner Pengendalian InternalError! Bookmark not defined.
4.2.5 Perbaikan Standar Operating ProcedureError! Bookmark not defined.
BAB V PENUTUP ... Error! Bookmark not defined.
5.1 Kesimpulan ... Error! Bookmark not defined.
5.2 Saran ... Error! Bookmark not defined. DAFTAR GAMBAR
Gambar 2.1 Struktur Organisasi Universitas Udayana ... 15
Gambar 2.2 Struktur Organisasi USDI ... 21
Gambar 2.3 Alur Pendaftaran Mahasiswa Lama ... 22
Gambar 2.4 Alur Penggunaan SIMAK ... 24
Gambar 2.5 Alur Pendaftaran Wisuda secara Online ... 26
Gambar 2.6 Domain Proses COBIT 5... 36
Gambar 3.1 Langkah-langkah Penelitian ... 45
Gambar 3.2 Mapping COBIT 5 Business Goals dan IT Goals ... 52
Gambar 3.3 Mapping IT Goals dan Domain Proses COBIT 5 ... 54
Gambar 3.4 Mapping IT Goals dan Domain Proses COBIT 5 Lanjutan ... 55
Gambar 3.5 Pemetaan COSO dan COBIT 5 ... 36
Gambar 4.1 Penyelarasan Sasaran Universitas Udayana ke Business Goals berdasarkan COBIT 5 ... 75
Gambar 4.2 Prosedur Pengajuan Wisuda Saat ini ... 93
(13)
13
Gambar 4.5 Alur Pengajuan Wisuda Online Tahap Pengajuan Surat
Keterangan Bebas Akademik ... 95 Gambar 4.5 Alur Pengajuan Wisuda Online Verifikasi Operator BAA ... 98
(14)
14
DAFTAR TABEL
Tabel 2.1 Tujuan, Sasaran, dan Arah Kebijakan Universitas Udayana ... 18
Tabel 2.2 Poin Fokus pada Komponen COSO ... 32
Tabel 2.3 Domain dan Proses TI pada COBIT 5 ... 37
Tabel 2.3 Security Family dan Identifier NIST 800-53 Revision 4 ... 39
Tabel 2.4 Perbedaan Maturity Level dan Capability Level ... 41
Tabel 3.1 Business Goals ... 47
Tabel 3.2 Metrics Business Goals ... 47
Tabel 3.3 IT Goals ... 50
Tabel 3.4 Hubungan Business Goals dan IT Goals ... 52
Tabel 3.5 Hubungan IT Goals dan IT Process ... 56
Tabel 3.6 Responden Kuesioner Tingkat Kepentingan ... 62
Tabel 3.7 Populasi Responden Kuesioner Pengendalian Internal ... 63
Tabel 3.8 Responden Kuesioner Pengendalian Internal ... 63
Tabel 3.9 Jadwal Penelitian ... 64
Tabel 3.10 Contoh Kuesioner Tingkat Kepentingan Proses APO07 ... 65
Tabel 3.11 Nilai Tingkat Kematangan ... 67
Tabel 3.12 Pernyataan COSO dan Pernyataan Kuesioner ... 68
Tabel 3.13 Contoh Kuesioner Pengendalian Interna ... 71
Tabel 4.1 Pemetaan Balances Score Card dan Sasaran Universitas Udayana ... 76
Tabel 4.2 Hasil Penyelarasan Business Goals ke IT Goals COBIT 5 ... 78
Tabel 4.3 IT Goals yang sesuai dengan tujuan dan sasaran bisnis Universitas Udayana ... 78
Tabel 4.4 Hasil Identifikasi IT Process ... 79
Tabel 4.5 Hasil Pemetaan IT Process dan Domain COBIT 5 ... 80
Tabel 4.6 Tingkat Kritis ... 81
Tabel 4.7 Hasil Kuesioner Tingkat Kepentingan ... 82
(15)
15
Tabel 4.9 Hubungan Proses TI COBIT 5 dan COSO ... 84 Tabel 4.10 Hasil Kuesioner Pengendalian Internal ... 84
(16)
1
BAB I PENDAHULUAN
Bab ini membahas mengenai latar belakang, rumusan masalah yang mendasari penelitian yang dilakukan, serta tujuan penelitian, manfaat penelitian, batasan masalah, dan sistematika penulisan.
1.1. Latar Belakang
Teknologi informasi saat ini telah banyak mendukung berbagai kebutuhan manusia, tidak terkecuali pada perguruan tinggi. Perguruan tinggi yang masih menggunakan sistem tradisional di era globalisasi saat ini tentu akan tertinggal dan mengalami berbagai kendala. Dewasa ini, lebih dari 90% mahasiswa menggunakan email untuk berkomunikasi dengan dosen. Bahkan sebagian besar orang saat ini lebih menggunakan eReader untuk membaca buku digital dan keyboard dalam mencatat alih-alih menulis di kertas.
Pemanfaatan teknologi informasi di perguruan tinggi tidak hanya sebatas dalam hal belajar mengajar tetapi juga layanan akademik. Layanan akademik yang dimaksud seperti SIMAK (Sistem Informasi Manajemen Administrasi Akademik), Wisuda online, dan layanan lain yang memudahkan mahasiswa dalam administrasi dan pembelajaran semasa kuliah. Layanan akademik yang telah didukung oleh teknologi informasi membuat sistem manual digantikan dengan sistem otomatis sehingga lebih efisien dan terintegrasi. Walaupun demikian, layanan akademik masih harus diperbaiki baik dari segi sistem maupun implementasinya karena apabila sistem terus digunakan tanpa proses perbaikan maupun pengendalian maka dapat menyebabkan berbagai risiko. Pengendalian internal sangat diperlukan oleh layanan akademik yang didukung oleh teknologi informasi sebab dengan adanya pengendalian maka terdapat prosedur dan kebijakan yang menyediakan keyakinan bahwa segala sesuatu yang dilakukan sesuai dengan tujuan yang ingin dicapai. Dukungan dari teknologi informasi membuat kebutuhan pengendalian internal sistem akan semakin meningkat, hal ini karena sistem yang didukung oleh teknologi informasi akan memiliki potensi
(17)
2
risiko yang besar. Risiko yang besar akan membutuhkan pengendalian yang baik sehingga pada akhirnya sistem akan dievaluasi, apakah sudah dilengkapi pengendalian atau jika sudah memiliki pengendalian, apakah pengendalian tersebut sudah dijalankan dengan benar atau tidak. Penerapan pengendalian internal sangat penting karena digunakan perguruan tinggi untuk mengarahkan kegiatan operasional dan mencegah penyalahgunaan sistem yang diterapkan. Jika pengendalian internal tidak diterapkan khususnya pada sistem layanan akademik, maka dikhawatirkan akan memberikan dampak negatif pada data serta keamanan sistem, contohnya jika sistem login pada SIMAK belum dilengkapi pembatasan umur terhadap password suatu akun maka dikhawatirkan lemahnya keamanan sistem.
Penelitian-penelitian sebelumnya yang berkaitan dengan pengendalian internal baik dari sisi evaluasi penerapan atau pengaruh pengendalian internal pada suatu organisasi telah ada, seperti penelitian berjudul Pengaruh Struktur Pengendalian Internal Terhadap Kelancaran Pengembalian Kredit pada Koperasi Simpan Pinjam di Kota Denpasar merupakan penelitian yang menggunakan COSO (Committee of Sponsoring Organizations of the Treadway Commission) sebagai panduan mengenai konsep dan implementasi pengendalian internal, namun hanya terbatas pada perbandingan kerangka COSO dengan pengendalian internal yang ada pada perusahaan. Penelitian yang didapat dari jurnal internasional, seperti jurnal berjudul The Effect Of Internal Control On The Operating Activities Of Small Restorants terbatas pada penggunaan kerangka COSO dan fokus pada kebijakan pengendalian internal organisasi yang diteliti. Pengendalian internal dari segi sistem informasi sangat jarang diangkat sebagai topik penelitian atau masih terbatas pada pengendalian internal terhadap kebijakan. Perpaduan best practices yang digunakan untuk melakukan kajian masih fokus terhadap kerangka COSO dan tidak melakukan perpaduan atau perbandingan terhadap framework lainnya, sehingga penelitian ini diharapkan memberikan hasil yang lebih lengkap dan efektif karena pengendalian internal dilakukan tidak hanya sebatas kebijakan namun juga terhadap sistem serta menggunakan berbagai best practices.
(18)
3
Standar best practice yang digunakan dalam penelitian ini antara lain COSO 2013, COBIT 5, NIST 800-53 Revision 4, dan ISO/IEC 27002:2005. Kerangka COSO 2013 digunakan sebagai pedoman pengendalian internal pada suatu organisasi, COBIT 5 digunakan sebagai metode pemilihan ruang lingkup audit dan untuk mengetahui tingkat kepentingan proses teknologi informasi pada institusi, NIST 800-53 Revision 4 dan ISO/IEC 27002:2005 digunakan sebagai pedoman tambahan dalam memberikan perbaikan dan saran terhadap temuan-temuan yang diperoleh selama melakukan kajian. Standar yang digunakan lebih dari satu, sehingga terdapat panduan yang lengkap untuk melihat kelayakan sebuah pengendalian internal dari layanan akademik. Pengukuran untuk mengetahui tingkat kematangan layanan akademik di Universitas Udayana menggunakaan standar CMMI (Capability Maturity Model Integrated). Selain itu, untuk menentukan suatu masalah atau penyimpangan maka dilakukan pengujian substantif sehingga dapat meningkatkan perolehan bukti dan memberikan keyakinan terhadap kondisi tertentu.
1.2. Rumusan Masalah
Berdasarkan latar belakang diatas, maka rumusan masalah yang didapatkan adalah sebagai berikut:
1. Bagaimana menganalisis tingkat kepentingan dan tingkat kematangan pada Layanan Akademik di Universitas Udayana.
2. Bagaimana proses kajian pengendalian internal Layanan Akademik menggunakan kerangka COSO 2013.
3. Bagaimana memberikan saran perbaikan untuk pengendalian internal layanan akademik di Universitas Udayana menurut berbagai best practices yang digunakan pada penelitian ini.
(19)
4
1.3. Tujuan
Tujuan dari penelitian mengenai Kajian Pengendalian Internal Layanan Akademik di Universitas Udayana, antara lain:
1. Proses kajian pengendalian internal Layanan Akademik menggunakan kerangka COSO dapat dilakukan.
2. Analisis tingkat kematangan dan tingkat kepentingan pada Layanan Akademik dapat diketahui.
3. Saran perbaikan untuk pengendalian internal Layanan Akademik menurut berbagai best practices dapat diberikan.
1.4. Manfaat Penelitian
Penelitian ini diharapkan dapat memberi manfaat bagi pihak-pihak yang berkepentingan, adapun manfaat yang diharapkan antara lain:
1. Manfaat dari segi penulis yaitu penelitian ini dapat menambah pengetahuan dan pengalaman secara praktik dalam bidang audit sistem informasi, serta merupakan suatu tantangan untuk menyelesaikan ujian dari ilmu yang didapatkan selama masa perkuliahan.
2. Manfaat dari segi akademik yaitu penelitian dapat digunakan sebagai salah satu acuan dalam keberhasilan proses belajar mengajar pada perkuliahan sehingga dapat digunakan sebagai referensi bagi mahasiswa yang melakukan penelitian lebih lanjut yang berkaitan dengan studi audit yang dibahas pada laporan ini.
3. Manfaat dari segi Universitas Udayana yaitu penelitian dapat dijadikan sebagai salah satu acuan untuk menerapkan pengendalian internal yang baik bagi Universitas Udayana khususnya pada layanan akademik, sehingga dapat digunakan untuk melakukan perubahan atau perbaikan baik dari segi sistem atau implementasinya.
(20)
5
1.5. Batasan Masalah
Batasan masalah diperlukan agar ruang lingkup pembahasan dalam penelitian menjadi lebih jelas, fokus, dan lebih spesifik. Batasan masalah dalam penelitian ini adalah sebagai berikut:
1. Kajian pengendalian internal layanan akademik yang dilakukan menggunakan framework COSO 2013, COBIT 5, ISO 27002:2005, dan NIST 800-53 Revision 4.
2. Pemilihan ruang lingkup audit dilakukan berdasarkan kerangka COBIT 5. 3. Penentuan tingkat kematangan layanan akademik dilakukan dengan
CMMI.
4. Strategi perbaikan yang diberikan mengacu pada best practice yaitu COSO 2013, COBIT 5, ISO/IEC 27002:2005, dan NIST 800-53 Revision 4.
1.6. Sistematika Penulisan
Sistematika penulisan dibuat agar penyajian laporan dapat lebih terstruktur serta mudah untuk dipahami. Sistematika yang dilakukan dalam penulisan laporan tugas akhir ini diatur dalam lima bab sebagai berikut:
BAB I : PENDAHULUAN
Bab ini menguraikan latar belakang penulisan, perumusan masalah, batasan masalah, tujuan, manfaat dan sistematika penulisan laporan. BAB II : TINJAUAN PUSTAKA
Bab ini menguraikan tentang teori-teori yang dijadikan pondasi dalam pembuatan penelitian ini. Landasan teori ini nantinya akan mendukung pembahasan dari masalah yang ada. Landasan teori dalam bab ini meliputi pembahasan mengenai latar belakang institusi, pengertian Audit Sistem Informasi, pengertian pengendalian internal, uraian mengenai berbagai best practices antara lain: COSO 2013, COBIT 5, ISO/IEC 27002:2005, NIST 800-53 Revision 4 dan CMMI serta teori-teori relevan yang digunakan untuk menunjang audit yang diteliti.
(21)
6 BAB III : METODOLOGI PENELITIAN
Bab ini berisikan metodelogi yang digunakan dalam melakukan penelitian serta penyusunan kuesioner sebagai media pengumpulan data penelitian.
BAB IV : ANALISA DAN PEMBAHASAN
Bab ini membahas tentang hasil pemilihan lingkup audit, pemetaan lingkup audit berdasarkan COBIT 5 dan COSO 2013, pengukuran tingkat kematangan, identifikasi masalah melalui uji substantif dan rekomendasi perbaikan menurut berbagai best practices seperti COSO 2013, COBIT 5, ISO/IEC 27002:2005, dan NIST 800-53 Revision 4.
BAB V: PENUTUP
Bab terakhir ini berisikan kesimpulan hasil penelitian yang dilakukan dan saran-saran guna mendukung perbaikan penelitian dimasa yang akan datang.
DAFTAR PUSTAKA
Bagian ini memuat keterangan dari buku–buku, jurnal dan literatur lain yang menjadi acuan dalam penyusunan laporan Tugas Akhir.
(22)
BAB II
TINJAUAN PUSTAKA
Bab ini membahas mengenai state of the art, latar belakang Layanan Akademik di Universitas Udayana, metode penelitian yang digunakan, dan dasar teori terkait dengan pengendalian internal.
2.1 State of the Art
State of the art penelitian ini diambil dari beberapa contoh penelitian terdahulu sebagai panduan ataupun contoh untuk penelitian yang dilakukan saat ini. Contoh yang diambil berupa jurnal-jurnal mengenai pelaksanaan pengendalian internal menggunakan COSO (Committee of Sponsoring Organizations of the Treadway Commission). Salah satu jurnal tersebut berjudul “Pengaruh Struktur Pengendalian Internal Terhadap Kelancaran Pengembalian Kredit pada Koperasi Simpan Pinjam di Kota Denpasar” karya Lukyta Saraswatidan I Ketut Yadnyana dari Universitas Udayana pada tahun 2014 yang menjelaskan pengaruh pengendalian internal untuk mengetahui kelancaran pengembalian kredit pada koperasi simpan pinjam. Hal ini didasarkan pada permasalahan yang terjadi pada Koperasi Simpan Pinjam, dimana masalah kredit yaitu jumlah piutang yang besar sering dihadapi Koperasi. Masalah tersebut timbul dikarenakan tidak tepatnya waktu dan jumlah dalam proses pembayaran angsuran, dimana seharusnya mempertimbangkan beberapa hal, namun kenyataannya beberapa koperasi dapat memberikan kredit tanpa adanya jaminan. Penelitian tersebut menggunakan pengendalian internal dari panduan kerangka COSO yang telah banyak digunakan oleh auditor sebagai dasar pengevaluasian pengendalian internal suatu perusahaan. Teori dan pendapat para ahli mengenai pengaruh komponen-komponen COSO terhadap kelancaraan pengembalian kredit di Koperasi terlebih dahulu dikumpulkan, sehingga memperoleh hipotesis dimana hasil hipotesis tersebut menunjukkan kelima komponen COSO memberikan pengaruh positif terhadap kelancaran pengembalian kredit di Koperasi. Hipotesis tersebut selanjutnya dibandingkan dengan hasil kuesioner yang diperoleh, dimana menunjukkan
(23)
komponen lingkungan pengendalian dan informasi komunikasi berpengaruh positif terhadap kelancaran pengembalian kredit dibandingkan dengan komponen risiko, aktivitas pengendalian dan pemantauan, karena dengan adanya penetapan tujuan koperasi, struktur organisasi yang jelas, penetapan tanggungjawab dan wewenang untuk setiap orang yang terlibat, hingga komunikasi dan koordinasi antar atasan dan bawahan jika terjadi masalah dapat memberikan kelancaran pengembalian kredit pada Koperasi. Penelitian tersebut menyimpulkan bahwa pengendalian internal dapat berpengaruh dan digunakan sebagai jawaban dari permasalahan kelancaran pengembalian kredit di Koperasi yaitu dengan pemisahan tugas untuk mengurangi peluang pegawai dalam melakukan kecurangan, pelatihan terhadap semua pegawai dan pengurus Koperasi akan pentingnya pengendalian internal, serta terus melakukan pemantauan dan evaluasi terhadap kegiatan operasional Koperasi.
Jurnal internasional berjudul Internal Control System: Analyzing Theoretical Perspective and Practices karya Qaisar Abbas dan Javid Iqbal tahun 2012 membahas lebih dalam mengenai pentingnya pengendalian internal pada suatu organisasi. Penelitian tersebut menganalisis beberapa peraturan dan literature, diantaranya 3 peraturan perundang-undangan, 20 tulisan dari badan professional, 30 artikel penelitian, dan 10 buku berkaitan dengan pengendalian internal. Hasil dari penelitian tersebut mengungkapkan beberapa tujuan pengendalian internal yaitu proses yang memberikan semua kemungkinan untuk mencegah, mendeteksi, dan bereaksi terhadap semua risiko yang berkaitan baik dari sisi perilaku karyawan hingga prosedur pekerjaan, sehingga pekerjaan dapat dilakukan secara efisien dan efektif tanpa pemborosan sumber daya. Penelitian tersebut juga menegaskan bahwa sistem pengendalian internal merupakan persyaratan wajib yang membantu manajemen untuk memenuhi kewajiban tata kelola perusahaan dan undang-undang lainnya. Hal tersebut membutuhkan jajaran direksi dan manajemen untuk mempertahankan efektivitas pengendalian atas sumber daya dan prosedur kerja dalam organisasi.
Perencanaan yang tidak memadai serta pengendalian internal yang kurang dapat mempengaruhi kegagalan dalam menjalankan suatu organisasi bahkan
(24)
bidang usaha, seperti restoran. Hal tersebut dikemukakan pada jurnal internasional berjudul The Effect Of Internal Control On The Operating Activities Of Small Restorants karya Linval Frazer pada Juni 2012. Kegagalan yang terjadi di restoran biasanya dikaitkan dengan faktor ekonomi, sosial, kompetisi, bahkan intervensi pemerintah, tetapi sebagian besar bisnis gagal karena faktor internal yang dipengaruhi oleh tindakan dan disiplin manajemen. Penelitian yang dijelaskan pada jurnal ini berisi perbandingan pengendalian internal yang diterapkan pada restoran dan pengendalian internal menurut COSO. Prosedur pengumpulan data menggunakan survei dari responden yang memiliki atau mengoperasikan restoran di Kota Nassau, New York. Responden yang dipilih adalah manajer dari restoran kecil di Kota Nassau yang telah beroperasi minimal 3 tahun dan memiliki minimal 10 karyawan. Survei yang dilakukan meliputi pertanyaan berupa persepsi manajer restoran mengenai pengendalian internal khususnya pemisahan tugas, perlindungan aset, dan verifikasi transaksi. Hasil dari survey tersebut menunjukkan persentase restoran dalam beroperasi memiliki pengendalian internal yang tidak memadai dari segi pemisahan tugas, perlindungan aset, dan verifikasi transaksi, sehingga banyak restoran skala kecil yang gagal berkembang. Hal ini tentu mendukung hubungan diantara pengendalian internal dan tingkat kegagalan. Walaupun, tidak ada sistem pengendalian internal yang tanpa kelemahan, namun pengendalian internal merupakan dasar prosedur yang dapat meningkatkan profitabilitas dan pertahanan restoran.
Jurnal karya Erwin Krisdianto Lim yang berjudul Evaluasi Pengendalian Internal Berdasar COSO Pada Siklus Produksi Untuk Meningkatkan Efisiensi PT Gerongan Surajaya di Surayaba pada tahun 2013 membahas mengenai pengendalian internal yang ada pada perusahaan bersangkutan, dimana permasalahan yang sering dihadapi pada siklus produksi adalah proses produksi yang terkadang tidak tepat waktu, perhitungan biaya yang tidak dapat ditelusuri, hingga persaingan antar perusahaan. Penelitian ini menganalisis aktivitas dan prosedur pada siklus produksi dan mengevaluasi pengendalian internal yang ada berdasarkan kerangka COSO. Hasilnya penilaian menunjukkan siklus produksi pada PT Gerongan Surajaya masih memiliki kekurangan dan kelemahan yang
(25)
menyebabkan terjadinya ketidakefisienan pada siklus produksi, seperti data produksi yang tidak tepat, biaya yang tinggi dalam mengantisipasi risiko produksi, hingga proses pengambilan keputusan yang terlalu lama. Rekomendasi yang diberikan atas kelemahan yang didapat dari pengendalian internal masih terbatas dan tidak menggunakan panduan atau best practices tertentu.
Evaluasi pengendalian internal menggunakan kerangka COSO juga dibahas pada jurnal karya Patricia Angela Santoso tahun 2012 yang berjudul Evaluasi Penerapan Internal Control Berdasarkan Kerangka COSO 2012 Pada Divisi Kartu Kredit di Bank X. Jumlah penggunaan kartu kredit yang mengalami peningkatan volume transaksi akan memberikan permasalahan, seperti risiko kredit macet dan gagal bayar billing statement untuk kartu kredit yang menyebabkan kerugian bagi Bank bersangkutan. Evaluasi pengendalian internal dilakukan berdasarkan kerangka COSO dan membandingkannya dengan praktik yang dilakukan pada Bank X. Hasil evaluasi menyatakan pengendalian internal pada Bank bersangkutan telah sesuai dengan kerangka COSO meskipun terdapat beberapa ketidaksesuaian yang terjadi. Ketidaksesuaian terjadi pada komponen lingkungan pengendalian, seperti tidak adanya multiple structure pada struktur organisasi Bank X. Ketidaksesuaian pada komponen penilaian risiko adalah tidak adanya penilaian atau pengantisipasian dari fraud risk. Komponen aktivitas pengendalian serta informasi dan komunikasi yang saling berhubungan mengalami ketidaksesuaian sehingga menyebabkan arus informasi yang dihasilkan kurang relevan. Komponen pemantauan terdapat ketidaksesuaian yaitu tidak dilakukannya audit secara periodik oleh Komite Audit.
Pengendalian internal COSO digunakan sebagai pengembangan kebijakan yang baik kembali ditegaskan pada jurnal berjudul Using the COSO Model of Internal Control as a Framework for Ethics Initiatives in Business Schools karya Kent N. Schneider dan Lana Lowe Becker. Penelitian tersebut dilakukan karena pendidikan dipandang memiliki banyak kesamaan dengan perusahaan bisnis saat ini, yaitu mahasiswa, orang tua mahasiswa, yayasan pendidikan, dan masyarakat umum bergantung pada lembaga pendidikan untuk memberikan informasi mengenai efisiensi dan efektivitas proses pendidikan. Sama halnya dengan
(26)
perusahaan yang mengeluarkan laporan operasionalnya, lembaga pendidikan juga mengeluarkan laporan baik kepada mahasiswa atau dalam bentuk pernyataan kepada orang lain di luar lembaga. Lembaga pendidikan juga memerlukan entitas independen untuk mengevaluasi institusi melalui kegiatan dan sistem pelaporan yang ada serta membuktikan bahwa program, nilai, atau lulusan yang dihasilkan dari institusi cukup memberikan hasil dari kegiatan pendidikan. Evaluasi lembaga pendidikan melalui aspek operasional atau kurikulum sebagian besar dapat dilakukan, sebaliknya evaluasi pendidikan etika masih tidak memiliki kerangka, karena dianggap mustahil melakukan evaluasi output etika dari setiap orang. Penelitian tersebut menyarankan lembaga pendidikan menggunakan kerangka COSO model Pengendalian Internal sebagai konsep dalam kebutuhan etika pada lembaga pendidikan. Pengendalian internal yang dapat dilakukan institusi bercermin pada kerangka COSO sehubungan dengan etika, dimulai dari pimpinan lembaga pendidikan yang harus menunjukkan komitmen dalam mengembangkan budaya etika yang kuat. Pimpinan tidak hanya mengembangkan dan menerapkan etika, namun juga proses pelanggaran akademik. Pimpinan juga menyediakan pelatihan untuk mencegah pelanggaran akademik dengan menekankan persyaratan dan etika lembaga pendidikan kepada pegawai atau fakultas. Setelah semua komponen COSO mendapatkan perannya maka kesalahan besar jika lembaga pendidikan menerapkannya hanya untuk sementara waktu, karena kerangka COSO tidak hanya mengatasi permasalahan dalam sekali waktu, namun akan berkembang dan beradaptasi terhadap tantangan yang ada.
Jurnal-jurnal yang berkaitan dengan penelitian pengendalian internal diatas masih sebatas terhadap kebijakan dan tidak menyentuh lingkup sistem informasi, sehingga dapat ditarik kesimpulan bahwa jurnal tersebut masih terfokus pada evaluasi pengendalian internal khususnya pada kebijakan. Kesimpulan lain yang didapat adalah evaluasi dan perbaikan pengendalian internal merupakan hal penting dan standar COSO Pengendalian Internal dapat digunakan dalam penelitian yang berkaitan dengan kajian pengendalian internal suatu organisasi atau instansi.
(27)
2.2 Latar Belakang Universitas Udayana 2.2.1 Sejarah Universitas Udayana
Universitas Udayana resmi berdiri pada tanggal 17 Agustus 1962 dan merupakan perguruan tinggi negeri tertua di Bali. Tanggal 29 September 1958, sebenarnya di Bali sudah berdiri Fakultas Sastra Udayana sebagai cabang Universitas Airlangga Surabaya. Fakultas Sastra Udayana merupakan cikal bakal lahirnya Universitas Udayana, maka selanjutnya perayaan ulang tahun Universitas Udayana dialihkan ke tanggal 29 September. Universitas Udayana berdiri sebagai wujud kerinduan masyarakat Bali akan adanya perguruan tinggi di daerah ini. Tanggal 12 Mei 1961 oleh para tokoh pendidikan, para pejabat dan pemuka masyarakat di Bali menyelenggarakan pertemuan yang dipimpin Prof. Dr. Purbatjaraka, dibantu sekretaris Prof. Dr. Ida Bagus Mantra untuk membahas langkah-langkah persiapan pendirian perguruan tinggi di Bali. Salah satu syarat yang ditetapkan pada saat itu untuk pendirian sebuah universitas adalah harus memiliki empat fakultas, dua fakultas eksakta dan dua non eksakta. Panitia Persiapan merencanakan membuka empat fakultas yaitu: Fakultas Sastra, Fakultas Kedokteran, Fakultas Kedokteran Hewan dan Peternakan, dan Fakultas Keguruan dan Ilmu Pendidikan yang didasarkan oleh potensi dan kemampuan yang ada serta kebutuhan masyarakat Bali dan Nusa Tenggara pada saat itu. Semuanya ber-kedudukan di Denpasar, kecuali Fakultas Keguruan dan Ilmu Pendidikan berkedudukan di Singaraja.
Surat Keputusan Menteri PTIP No. 104 Tahun 1962, tanggal 9 Agustus 1962 menyatakan Universitas Udayana resmi berdiri sejak 17 Agustus 1962. Tahun 1964, Fakultas Keguruan dan Ilmu Pendidikan dipisahkan dari Universitas Udayana menjadi IKIP Malang Cabang Singaraja. Selaras dengan perkembangannya, secara berturut-turut di Universitas Udayana kemudian berdiri Fakultas Hukum dan Pengetahuan Masyarakat (1964), Fakultas Teknik (1965), Fakultas Pertanian dan Fakultas Ekonomi (1967), Fakultas Matematika dan Ilmu Pengetahuan Alam (1994), Fakultas Kedokteran Hewan (1997), Fakultas Teknologi Pertanian (2005), Fakultas Pariwisata (2008), Fakultas Ilmu Sosial dan Politik (2009), dan Fakultas Kelautan dan Perikanan (2011). Universitas Udayana
(28)
sampai saat ini memiliki 13 fakultas serta telah membuka Program Pascasarjana, dan program studi non-reguler dalam bentuk D1, D2, D3 dan D4. Universitas Udayana hingga tahun 2014 telah memiliki 8 program studi S0, 46 program studi S1, 25 program studi S2, 9 program studi S3, 5 program studi profesi, dan 13 program spesialis.
2.2.2 Visi dan Misi
2.2.2.1Visi Universitas Udayana
Visi Universitas Udayana adalah “Menjadi Lembaga Pendidikan Tinggi yang Menghasilkan Sumber Daya Manusia yang Unggul, Mandiri, dan Berbudaya.” Uraian tentang makna visi institusi untuk menyamakan persepsi dan pemahaman sivitas akademika tentang arah pengembangan jangka panjang Universitas Udayana adalah sebagai berikut:
1. Unggul artinya menghasilkan produk-produk yang unggul dalam bidang pendidikan, penelitian, dan pengabdian kepada masyarakat yang relevan dan berdaya saing. SDM yang dihasilkan memiliki kompetensi tinggi, daya saing, dan bijaksana dalam pengembangan ilmu pengetahuan yang dimilikinya untuk meningkatkan martabat bangsa dan negara serta kemanusiaan pada umumnya (cakra widya prawartana). Keunggulan SDM Universitas Udayana seperti ini sejalan dengan motto Universitas Udayana: taki-takining sewake guna widya yang artinya dalam menuntut ilmu wajib mengejar pengetahuan dan kebajikan hidup.
2. Mandiri artinya pengelolaan otonom, memiliki kepribadian tangguh dan kemampuan berinteraksi dengan lingkungan yang berkembang secara dinamis.
3. Berbudaya artinya memiliki kepekaan dan ketajaman nurani serta mampu memanfaatkan nilai-nilai luhur budaya lokal yang bersifat universal untuk berinteraksi di masyarakat.
Makna visi Universitas Udayana tersebut sangat erat kaitannya dengan kearifan lokal yang berkembang di Bali. Jika visi ini diaplikasikan akan sejalan
(29)
dengan Pola Ilmiah Pokok (PIP) Kebudayaan Universitas Udayana yang juga bercirikan kearifan lokal, norma sosial dan sistem nilai yang berkembang di Bali.
2.2.2.2Misi Universitas Udayana
Visi institusi yang diuraikan diatas agar dapat terwujud diperlukan suatu misi. Misi pendidikan tinggi di Universitas Udayana dirumuskan sebagai berikut: 1. Menyelenggarakan pendidikan tinggi yang bermutu dan menghasilkan
lulusan yang memiliki moral/etika/akhlak dan integritas yang tinggi sesuai dengan tuntutan masyarakat lokal, nasional dan internasional.
2. Mengembangkan penelitian dan pengabdian kepada masyarakat sesuai dengan kepentingan masyarakat dan bangsa.
3. Memberdayakan Universitas Udayana sebagai lembaga yang menghasilkan dan mengembangkan pengetahuan, teknologi, dan budaya yang dapat dimanfaatkan untuk kesejahteraan masyarakat.
4. Menghasilkan karya inovatif dan prospektif bagi kemajuan Universitas Udayana serta perekonomian nasional.
2.2.3 Struktur Organisasi Universitas Udayana
Struktur organisasi Universitas Udayana dibuat berdasarkan ketentuan dalam Keputusan Menteri Pendidikan dan Kebudayaan Republik Indonesia No. 0199/0/1995 tentang Organisasi dan Tata Kerja Universitas Udayana. Struktur organisasi Universitas Udayana terdiri dari:
1. Unsur pimpinan yaitu Rektor dan Pembantu Rektor.
2. Unsur senat universitas yang diketuai oleh Rektor dan tersusun atas guru besar, pembantu rektor, dekan, wakil dosen dari masing-masing fakultas, dan unsur lain yang ditetapkan senat.
3. Unsur dewan penyantun yang tersusun atas Gubernur Provinsi Bali, Ketua DPRD Provinsi Bali, Pangdam IX Udayana, Kapolda Bali, Kepala Kejaksaan Tinggi Bali, Ketua Pengadilan Tinggi Bali dan para tokoh masyarakat yang memiliki kepedulian terhadap Universitas Udayana. 4. Unsur Badan Pertimbangan Rektor
(30)
5. Unsur pelaksana akademik yang terdiri atas fakultas, program pasca sarjana, Lembaga Penelitian dan Pengabdian kepada Masyarakat, Badan Penjamin Mutu, Institut Kajian, grup riset, rumah sakit pendidikan, dan Pendidikan Pembangunan Karakter Bangsa.
6. Unsur pengawasan yaitu Satuan Pengawasan Internal.
7. Unsur pelaksana administrasi yang terdiri atas Biro Administrasi Akademik, Biro Administrasi Kemahasiswaan, Biro Administrasi Umum dan Keuangan, dan Biro Administrasi Perencanaan dan Sistem Informasi. 8. Unsur penunjang yang terdiri atas Unit Pelayanan Teknis, unit bisnis, dan
divisi.
Gambar 2.1 Struktur Organisasi Universitas Udayana
Keterangan struktur organisasi diatas tersebut adalah sebagai berikut: A : Bagian Pendidikan
(31)
B : Bagian Kerja Sama
C : Bagian Tata Usaha, Rumah Tangga, Hukum dan Tata Laksana D : Bagian Kepegawaian
E : Bagian Keuangan F : Bagian Perlengkapan
G : Bagian Kesejahteraan Mahasiswa
H : Bagian Minat Penalaraan dan Informasi Kemahasiswaan I : Bagian Perencanaan
J : Bagian Informasi
K : Bagian Tata Usaha Fakultas L : Bagian Tata Usaha LPPM
A1 : Subbagian Pendidikan dan Evaluasi A2 : Subbagian Sarana Pendidikan A3 : Subbagian Registrasi dan Statistik B1 : Subbagian Kerja Sama Dalam Negeri B2 : Subbagian Kerja Sama Luar Negeri C1 : Subbagian Tata Usaha
C2 : Subbagian Hukum dan Tata Laksana C3 : Subbagian Rumah Tangga
D1 : Subbagian Tenaga Akademik D2 : Subbagian Tenaga Administratif
E1 : Subbagian Anggaran Rutin dan Pembangunan E2 : Subbagian Anggaran Dana Masyarakat E3 : Subbagian Monitoring
F1 : Subbagian Pengadaan dan Pemeliharaan F2 : Subbagian Inventaris dan Penghapusan G1 : Subbagian Minat dan Penalaran
G2 : Subbagian Fasilitas dan Informasi Kemahasiswaan I1 : Subbagian Perencanaan Akademik
I2 : Subbagian Perencanaan Fisik J1 : Subbagian Data
(32)
J2 : Subbagian Pelayanan Informasi K1 : Subbagian Akademik
K2 : Subbagian Kepegawaian dan Keuangan K3 : Subbagian Umum dan Perlengkapan K4 : Subbagian Kemahasiswaan
L1 : Subbagian Umum L2 : Subbagian Program
L3 : Subbagian Data dan Informasi
2.2.4 Tujuan dan Sasaran Bisnis Universitas Udayana
Tujuan dan sasaran bisnis Universitas Udayana dituangkan ke dalam Rencana Strategis Universitas Udayana Tahun 2015-2019. Rencana Strategis Universitas Udayana 2015-2019 disusun sebagai pedoman oleh pimpinan dan pengambil keputusan dalam menentukan program yang akan dilaksanakan untuk pengembangan Universitas Udayana. Rencana strategis ini dapat juga digunakan sebagai pedoman atau referensi bagi seluruh civitas akademika dan unsur penunjang dalam melaksanakan kegiatan sehingga selaras dengan kebijakan pemerintah.
Tabel 2.1 Tujuan, Sasaran, dan Arah Kebijakan Universitas Udayana
Tujuan Sasaran Kebijakan
Menghasilkan lulusan bermutu yang memiliki kompetensi tinggi dalam penguasaan IPTEKS.
Penyediaan dan penerapan kurikulum yang mampu meningkatkan mutu, relevansi dan daya saing lulusan.
Mengembangkan dan menerapkan Kurikulum Berbasis Kompetensi (KBK) sesuai dengan Kerangka Kualifikasi Nasional Indonesia (KKNI).
Penyempurnaan proses pembelajaran seuai dengan Standar Nasional Pendidikan Tinggi.
Menyediakan sarana dan prasarana proses pembe-lajaran (perkuliahan dan praktikum).
Mendorong proses pembelajaran yang berpusat pada mahasiswa
(33)
(Student Centre Learning).
Meningkatkan mutu pendidik dan tenaga kependidikan.
Peningkatan sistem penilaian sesuai dengan Standar Nasional Pendidikan Tinggi dan Standar Internasional.
Menyempurnakan sistem penilaian berbasis kompetensi sesuai dengan jenis pendidikan dan level kualifikasi.
Memperkuat sistem pen-jaminan mutu internal. Peningkatan standar mutu
akademik.
Menyempurnakan
kebijakan dan pedoman akademik.
Pengembangan pusat-pusat unggulan yang potensial mendapat pengakuan internasional menuju WCU.
Menciptakan suasana akademik yang kondusif menuju WCU.
Menguatkan capacity building menuju WCU. Meningkatkan
kapasitas perguruan tinggi dalam memberikan akses pelayanan
pendidikan kepada masyarakat.
Peningkatan akses pendidikan melalui peningkatan daya tam-pung.
Meningkatkan dan optimalisasi sarana dan prasarana pendidikan. Mengembangkan jenis
dan jumlah beasiswa dalam meningkatkan akses beasiswa.
Meningkatkan kerjasama dengan dunia usaha dan pemerintah daerah.
Mengembangkan program studi baru
Mengembangkan sistem seleksi mahasiswa baru. Peningkatan peran
teknologi informasi dan komunikasi.
Mengembangkan peman-faatan TIK dalam proses pembelajaran, penelitian, dan peningkatan
tatakelola dan
transparansi pengelolaan perguruan tinggi.
Peningkatan sarana dan prasarana kegiatan kemahasiswaan
Mengembangkan sarana kegiatan kemahasiswaan
(34)
Mengembangkan perguruan tinggi yang sehat melalui optimalisasi peran organ-organ
organisasi tatakelola sesuai dengan prinsip BLU.
Penataan dan penguatan struktur organisasi disesuaikan dengan prinsip-prinsip BLU dan GUG.
Merestrukturisasi
organisasi Universitas Udayana sesuai dengan tuntutan peningkatan mutu layanan fungsi pendidikan tinggi yang ber-BLU.
Penguatan akuntabilitas sistem keuangan
Mereformasi birokrasi dan revitalisasi kinerja institusi dalam pengelolaan anggaran sesuai dengan prinsip BLU.
Penguatan akuntabilitas pengelolaan aset milik negara.
Mereformasi birokrasi dan revitalisasi kinerja institusi dalam pengelolaan aset.
Penguatan kinerja SPI. Mengoptimalkan kinerja SPI.
Pembentukan lembaga pengelola unit bisnis.
Mengoptimalkan
pengelolaan sumber daya (lahan, SDM, dana, sarana-prasarana).
Peningkatan mutu layanan sistem pendukung institusi (institutional supporting system - ISS)
Merevitalisasi fungsi dan kinerja ISS.
Peningkatan dan
penyempurnaan sistem pelayanan administrasi.
Mengembangkan sistem tatakelola sebagai lembaga yang otonom dan akuntabel.
Mengoptimalkan
layanan administrasi (akademik,
kemahasiswaan,
perencanaan dan sistem informasi,
keuangan,kepegawaian, perlengkapan, dan umum).
Menjalin kerjasama di berbagai bidang untuk meningkatkan mutu Tri Dharma Perguruan Tinggi.
Penguatan sistem dan mekanisme kerjasama akademik.
Mengembangkan dan meningkatkan kerjasama di bidang tri dharma perguruan tinggi dengan berbagai pihak, baik di
(35)
dalam maupun luar negeri.
Peningkatan dan
penyempurnaan kerjasama non akademik.
Memfasilitasi kerjasama dengan pihak eksternal.
Menghasilkan penelitian yang bermutu, relevan dan berdaya saing sesuai dengan perkembangan iptek, menghasilkan
publikasi ilmiah nasional,
internasional dan
paten untuk
kepentingan masyarakat.
Peningkatan jumlah, mutu dan relevansi penelitian dan pengabdian kepada masyarakat yang relevan dengan kebutuhan masyarakat dan berdaya saing internasional.
Meningkatkan dana, sarana dan prasarana penelitian.
Mengembangkan pener-bitan jurnal ilmiah yang berkualitas.
Memfasilitasi kegiatan dan diseminasikan hasil
penelitian dan
pengabdian kepada masyarakat.
Meningkatkan relevansi pengabdian kegiatan ke-pada masyarakat.
Pengembangan rencana program penelitian dan pengabdian kepada masyarakat untuk menjamin peningkatan kapasitas dan mutu lembaga.
Merevitalisasi manaje-men Lembaga Penelitian dan Pengabdian kepada Masyarakat.
Mengembangkan pusat-pusat unggulan berbasis penelitian yang mendukung
pembangunan daerah,
nasional, dan
internasional.
Menetapkan agenda penelitian yang terprogram secara berkesinambungan Peningkatan kompetensi
dosen di bidang penelitian dan pengabdian kepada masyarakat.
Mengefektifkan
pelatihan penyusunan proposal penelitian dan pengabdian kepada masyarakat serta penulisan publikasi ilmiah.
Peningkatan kinerja dan produktifitas grup
Mengefektifkan sistem monitoring dan evaluasi
(36)
penelitian. kinerja grup penelitian. Penyempurnaan sistem
pe-nilaian proposal penelitian dan pengabdian kepada masyarakat, termasuk monitoring dan evaluasi pelaksanaannya.
Mengefektfikan sistem monitoring dan evaluasi pelaksanaan penelitian dan pengabdian kepada masyarakat.
(Sumber : Damriyasa, I Made, dkk. 2014. Rencana Strategis Universitas Udayana Tahun 2015 – 2019)
2.2.5 Unit Sumber Daya Informasi
Unit Sumber Daya Informasi (USDI) Universitas Udayana terbentuk dengan keputusan rektor No 39/UN.14/HK/2015 pada tanggal 5 Februari 2015. Struktur Organisasi USDI ditunjukkan pada Gambar 2.2 dibawah ini:
Rektor (Pelindung USDI)
Pembantu Rektor IV (Penanggung Jawab USDI)
Kepala USDI
Sekretaris USDI
Kepala Bidang Pengembangan dan Integrasi USDI
Kepala Bidang Layanan USDI
Kepala Bidang Infrastruktur USDI
Kasub USDI Sekretaris Bidang
Pengembangan dan Integrasi USDI
Sekretaris Bidang Layanan USDI
Sekretaris Bidang Infrastruktur USDI
Programmer USDI Administrasi USDI Administrator Jaringan USDI Staff Administrasi USDI
Gambar 2.2 Struktur Organisasi USDI
USDI terbentuk karena menimbang rencana strategis Universitas Udayana yang bertujuan untuk mewujudkan suatu stimulus bagi segenap civitas akademik dengan mewujudkan visi menjadikan unud sebagai universitas riset terkemuka di Indonesia bahkan pada tingkat dunia, bahwa penyediaan fasilitas komputer dan komunikasi secara luas untuk digunakan oleh Dosen, Pegawai dan Mahasiswa
(37)
Universitas Udayana merupakan salah satu faktor pendukung penting dalam kegiatan riset, belajar, mengajar atau kerja administrasi, bahwa dalam rangka mewujudkan pelayanan yang cepat, tepat dan akurat berbasis teknologi informasi dilingkungan Universitas Udayana guna mempersiapkan Universitas Udayana menuju internasionalisasi.
2.3 Layanan Akademik 2.3.1 Sistem SIMAK
Mahasiswa yang melanjutkan studi wajib melaksanakan pendaftaran kembali, seperti ditunjukkan pada Gambar 2.3 dibawah ini.
Alur Pendaftaran Mahasiswa Lama
Mahasiswa Fakultas
Mulai
Loket Registrasi
Sudah Bayar?
Stampel KRM & mengambil Blanko
KRS
Pengisian KRS
Mahasiswa Sudah Terdaftar
Ya
Tidak Mahasiswa Lama
Membayar Biaya Kuliah di Bank
Selesai
(38)
Ketentuan dan prosedur dalam melakukan pendaftaran mahasiswa lama adalah sebagai berikut:
1. Mahasiswa membayar biaya pendidikan sesuai yang ditetapkan Rektor di Bank BNI yang telah ditunjuk pada waktu yang telah ditentukan. Khusus bagi mahasiswa Nonreguler membayar biaya SKS sesuai dengan Prodi masing-masing
2. Mahasiswa menyerahkan KRM untuk disahkan atau terdaftar pada semester berikutnya.
3. Mahasiswa mengambil Kartu Hasil Studi (KHS) di Fakultas atau program studi masing-masing, yang digunakan untuk menentukan jumlah SKS yang dapat diambil pada semester berikutnya.
4. Mahasiswa berkonsultasi dan mengesahkan KRS pada Pembimbing Akademik dan dengan menyerahkan (satu fotocopy) KRS yang telah disahkan oleh Pembimbing Akademik ke Sub. Bagian Akademik Fakultas, selanjutnya mengikuti prosedur di Fakultas masing-masing.
Prosedur jika mahasiswa mengalami permasalahan atau kendala saat melakukan registrasi KRS secara online pada SIMAK, ditunjukkan pada Gambar 2.4 dibawah ini:
(39)
Gambar 2.4 Alur Penggunaan SIMAK
Mahasiswa dengan status Mahasiswa Aktif wajib melakukan registrasi KRS sesuai waktu yang telah ditetapkan dengan cara mengakses website SIMAK melalui laman imissu.unud.ac.id. Jika mengalami masalah, misalnya tidak dapat mengakses laman atau lupa dengan password, maka mahasiswa bersangkutan dapat menghubungi operator SIMAK yang ada di Fakultas, Jurusan, atau Program Studi bersangkutan. Operator akan mendiskusikan permasalahan tersebut dengan Supervisor yaitu Biro Administrasi Akademik, jika permasalahan tidak dapat ditemukan solusinya oleh Biro Administrasi Akademik, maka permasalahan tersebut akan didiskusikan dengan bagian USDI sebagai administrator SIMAK.
Jika mahasiswa berhasil login di SIMAK dengan akunnya maka mahasiswa dapat melakukan registrasi KRS melalui fitur atau menu yang ada pada SIMAK. Mahasiswa menyusun KRS sesuai jadwal yang ditetapkan, jika terjadi permasalahan pada saat registrasi KRS, maka mahasiswa bersangkutan dapat menghubungi Operator SIMAK yang ada di Fakultas, Jurusan, atau
(40)
Program Studi, kemudian dilakukan pemecahan masalah pada Biro Administrasi Akademik dan Administrator SIMAK.
2.3.2 Wisuda Online
Mahasiswa yang sudah selesai menempuh masa belajar pada suatu Universitas akan melakukan proses pelantikan kelulusan yang biasa disebut Wisuda. Universitas Udayana menyediakan layanan wisuda online guna memberikan pelayanan yang efisien terkait prosedur pendaftaran wisuda online. Calon wisudawan yang telah dinyatakan lulus dapat melakukan pembayaran wisuda serta menginputkan biodata secara online dengan terlebih dahulu melakukan register untuk mendapatkan username dan password, kemudian mencetak bukti pendaftaran. Calon wisudawan yang telah melakukan pendaftaran dapat meminta Surat Keterangan Bebas Akademik dari Fakultas dengan membawa persyaratan, seperti: Surat Keterangan Lulus, Surat Bebas Peminjaman Buku Perpustakaan, Surat Keterangan Bebas KOPMA, dan Bukti Pendaftaran yang dicetak dari internet. Seluruh berkas akan di verifikasi oleh pihak Fakultas yang berwenang, jika sudah lengkap maka Surat Keterangan Bebas Akademik dan Berkas Pendaftaran Wisuda akan diberikan kepada Calon Wisudawan untuk dilakukan pendaftaran wisuda ke Biro Administrasi Akademik. Berkas Pendaftaran wisuda akan diverifikasi oleh Biro Administrasi Akademik dan jika sudah lengkap maka Bukti Pendaftaran Wisuda oleh Biro Administrasi Akademik akan diberikan kepada calon wisudawan. Alur pendaftaran wisuda ditunjukkan pada Gambar 2.5 dibawah ini.
(41)
Alur Pendaftaran Wisuda
Fakultas
Mahasiswa BAA
P
h
a
se
Mulai
Berkas Pendaftaran Wisuda dan Bukti Pembayaran Bank
Mhs input biodata secara online dan mencetak Bukti
Pendaftaran
Meminta Surat Keterangan Bebas Akademik
Verifikasi Data dan Berkas di Fakultas
Surat Keterangan Bebas Akademik & Berkas Pendaftaran
Wisuda
Pendaftaran Wisuda di BAA
Verifikasi Data dan Berkas di BAA
Bukti Pendaftaran Wisuda oleh BAA
Selesai Tidak Lengkap
Lengkap
Lengkap
Tidak Lengkap
Gambar 2.5 Alur Pendaftaran Wisuda secara Online
2.4 Dasar Teori
2.4.1 Metode Penelitian Kualitatif dan Deskriptif
David Penny dan Kuntjaraningrat (1983:265) menyatakan bahwa penelitian berarti berpikir secara sistematis mengenai jenis-jenis persoalan dimana pemecahannya memerlukan pengumpulan data dan fakta. Metode penelitian yang digunakan pada penelitian ini adalah penelitian kualitatif dan deskriptif.
(42)
2.4.1.1Penelitian Kualitatif
Penelitian Kualitatif merupakan jenis penelitian yang temuan-temuannya tidak diperoleh melalui prosedur statistik atau bentuk hitungan lainnya. Sebagian datanya dapat dihitung sebagaimana data sensus, namun analisisnya bersifat kualitatif. Metode kualitatif cenderung menempatkan kata-kata sebagai unit analisis, sedangkan metode kuantitatif cenderung dihubungkan dengan angka-angka. Metode kualitatif dapat digunakan utuk mengungkap dan memahami sesuatu di balik fenomena yang sedikit pun belum diketahui. Metode ini dapat digunakan untuk mendapatkan wawasan tentang sesuatu yang baru sedikit diketahui serta memberi rincian yang kompleks tentang fenomena yang sulit diungkapkan oleh metode kuantitatif.
2.4.1.2Penelitian Deskriptif
Penelitian Deskriptif atau descriptive research memiliki tujuan untuk membuat deskripsi atau pencandraan secara sistematis, faktual, dan akurat mengenai fakta-fakta dan sifat-sifat populasi atau daerah tertentu. Pantiyasa (2013, h. 14) mengartikan penelitian deskriptif sebagai penelitian untuk membuat gambaran mengenai situasi atau kejadian secara sistematis, fatual, dan akurat mengenai fakta-fakta, sifat-sifat serta hubungan antara masalah yang diselidiki. Jadi, penelitian deskripstif adalah penelitian yang secara hati-hati, cermat dan sistematis terhadap fenomena atau kenyataan sosial tertentu dengan jalan mendeskripsikan sejumlah variabel yang diamati. Jenis atau hubungan maupun membandingkan antara variabel tertentu dengan variabel lainnya.
2.4.2 Pengendalian Internal (Internal Control)
Aktivitas, kegiatan maupun prosedur dilakukan sebuah organisasi agar dapat mencapai tujuan yang telah ditetapkan sebelumnya. Tetapi dalam usaha-usaha yang dilakukan untuk mencapai tujuannya, organisasi akan dihadapkan pada berbagai faktor negatif berupa risiko yang dapat menghambat pencapaian tujuan. Risiko-risiko ini dapat berasal dari berbagai macam faktor yang meliputi risiko keuangan, kepatuhan, operasional maupun faktor-faktor yang berasal dari
(43)
fraud. Risiko-risiko tersebut apabila terjadi maka dapat mengakibatkan tujuan organisasi tidak tercapai, sehingga untuk mencegahnya diperlukan seperangkat kebijakan dan prosedur yang efektif yang disebut pengendalian.
Definisi pengendalian pertama kali muncul dalam kamus bahasa inggris pada tahun 1600 dan didefinisikan merupakan a copy of roll (of account), a parallel of the same quality and content with the original. Pentingnya pengendalian bagi auditor diakui oleh L. R. Dicksee pada awal tahun 1905 yang mengatakan bahwa sistem pengecekan internal yang layak bisa menghilangkan kebutuhan akan audit yang terinci. Perkembangan selanjutnya, Committee of Sponsoring Organizations of the Treadway Commission (COSO) pada tahun 1992 menetapkan definisi pengendalian internal (internal control) sebagai suatu proses yang efektivitasnya dipengaruhi oleh aktivitas dewan komisaris, manajemen atau pegawai lainnya yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan-tujuan, seperti keandalan pelaporan keuangan, efektivitas dan efisiensi operasi serta ketaatan terhadap hokum dan peraturan yang berlaku.
Pengendalian meskipun dibuat dengan cermat, tetapi tidak selalu mencapai tujuan seperti yang diinginkan. Hal ini disebabkan meskipun pada dasarnya pengendalian dirancang untuk membantu manajer agar dapat melaksanakan pekerjaannya dengan lebih baik, tetapi dalam kenyataannya banyak manajer yang memandang pengendalian sebagai sebuah gangguan, ancaman, ataupun sebuah tantangan yang harus diatasi. Aldag dan Streams (1987) mengidentifikasi empat macam reaksi negatif terhadap sistem pengendalian, antara lain:
1. Pengendalian dianggap sebagai permainan
Pengendalian dilihat sebagai sebuah tantangan, sesuatu yang harus dikalahkan dan bukan sebagai alat yang berguna bagi manajemen.
2. Pengendalian dianggap sebagai objek sabotase
Pegawai organisasi berusaha untuk merusak sistem pengendalian, menciptakan kebingungan, dan merancang proyek dengan karakteristik yang kompleks. Tujuannya adalah untuk membuat sistem tidak beroperasi, tidak dapat diandalkan, dan terlalu rumit.
(44)
3. Informasi yang tidak akurat
Manajer melakukan manipulasi informasi untuk membuat dirinya dan unitnya terlihat lebih baik atau menciptakan data yang salah sehingga pengendalian tidak beroperasi dengan semestinya.
4. Ilusi pengendalian
Manajer memberikan kesan bahwa sistem pengendalian memang berfungsi dengan baik sementara dalam kenyataannya sistem tersebut diabaikan atau disalahartikan. Hasil yang baik dikatakan sebagai hasil dari sistem dan hasil yang tidak bagus dikatakan bersumber dari kondisi yang tidak biasa yang berada diluar sistem.
2.4.3 Control Framework
Control Framework adalah struktur data yang mengatur dan mengkategorikan pengendalian internal organisasi, seperti praktik dan prosedur yang ditetapkan untuk menciptakan nilai bisnis dan meminimalkan risiko. Standar yang digunakan pada penelitian ini adalah COSO, COBIT 5, ISO 27002:2005, dan NIST 800-53.
2.4.3.1COSO
COSO diselenggarakan pada tahun 1985 untuk mensponsori The National Commission on Fraudulent Financial Reporting, sebuah inisiatif sektor swasta independen yang mempelajari faktor-faktor yang dapat menyebabkan kecurangan pelaporan keuangan. Komisi Nasional disponsori bersama oleh lima asosiasi profesional utama yang berkantor pusat di Amerika Serikat. Awalnya, komite tersebut dinamai berdasarkan nama kepalanya, yaitu Treadway, akan tetapi akhirnya proyek tersebut lebih dikenal sebagai COSO yang merupakan singkatan dari Committee of Sponsoring Organizations (komite pendukung organisasi).
Pengendalian Internal menurut COSO adalah suatu proses yang dilakukan oleh dewan entitas direksi, manajemen, dan personil lainnya yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan. Definisi tersebut menekankan bahwa kontrol internal adalah:
(45)
1. Pencapaian tujuan diarahkan dalam satu atau lebih kategori seperti operasi, pelaporan, dan kepatuhan.
2. Pengendalian internal yaitu proses yang terdiri dari tugas-tugas dan kegiatan yang sedang berlangsung.
3. Pengendalian internal dipengaruhi bukan hanya tentang kebijakan dan prosedur manual, dan sistem tetapi tentang orang-orang dan tindakan yang diambil pada setiap tingkat organisasi untuk mempengaruhi pengendalian internal.
4. Pengendalian internal mampu memberikan jaminan yang wajar.
5. Pengendalian internal beradaptasi dengan struktur entitas artinya fleksibel dalam penerapan untuk seluruh entitas atau anak perusahaan, divisi, unit operasi, atau proses bisnis tertentu.
Tujuan dari kerangka Pengendalian Internal adalah untuk membantu manajemen mengendalikan organisasi yang lebih baik dan memberikan dewan direksi kemampuan tambahan untuk mengawasi pengendalian internal. Pengendalian internal memungkinkan organisasi untuk menangani secara efektif akan perubahan ekonomi dan lingkungan yang kompetitif, kepemimpinan, prioritas, perkembangan model bisnis.
Model yang dikeluarkan COSO memiliki persamaan dengan model pengendalian internal dalam lingkungan pemerintah sebagaimana diatur dalam Peraturan Pemerintah (PP) No. 60 Tahun 2008 mengenai Sistem Pengendalian Internal Pemerintah (SPIP) yaitu sistem pengendalian intern yang diselenggarakan secara menyeluruh di lingkungan pemerintah pusat dan pemerintah daerah. Kedua model tersebut memiliki tujuan yang sama yaitu menciptakan keandalan di dalam pelaporan keuangan, efektivitas dan efisiensi kegiatan operasi, pengamanan aset serta kepatuhan terhadap peraturan yang berlaku.
COSO memberikan penjelasan mengenai kelima komponen pengendalian internal dalam COSO Internal Control Integrated Framework Executive Summary, antara lain:
(46)
1. Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang ada didalam suatu organisasi yang akan mempengaruhi efektivitas pengendalian internal secara menyeluruh karena komponen ini berpengaruh pada kesadaran masing-masing personil organisasi akan pentingnya pengendalian.
2. Penilaian Risiko
Penilaian risiko adalah proses identifikasi dan analisis risiko-risiko yang berdampak terhadap pencapaian tujuan organisasi serta menentukan tindakan yang tepat untuk menghadapi risiko-risiko tersebut. Tujuan yang ingin dicapai dari penilaian risiko adalah agar manajemen dapat mengidentifikasi risiko-risiko serta dapat menetapkan pengendalian-pengendalian yang efektif untuk mengendalikan risiko yang telah diidentifikasi.
3. Aktivitas Pengendalian
Aktivitas pengendalian adalah semua kebijakan dan prosedur yang dilakukan untuk memastikan bahwa arahan manajemen telah dijalankan.
4. Informasi dan Komunikasi
Informasi yang dibutuhkan harus diidentifikasi, diterima, dan dikomunikasikan dalam bentuk-bentuk dan periode yang memungkinkan para pegawai agar dapat memenuhi tanggungjawabnya. Komunikasi yang efektif harus terjadi dalam lingkup yang luas dan mampu menciptakan alur informasi yang lancar dari berbagai lini di dalam organisasi baik dari atasan ke bawahan maupun sebaliknya.
5. Pemantauan
Manajemen memiliki kepentingan untuk melakukan pemantauan atas pengendalian internal, agar dapat menentukan apakah komponen-komponen pengendalian internal yang dijalankan di dalam organisasi telah berjalan dengan efektif.
COSO berisi lima komponen yang sudah dijelaskan sebelumnya dan untuk mengurangi kekakuan dari pemahaman masing-masing komponen tersebut maka terdapat poin fokus yang disediakan dalam kerangka pengendalian internal, seperti ditunjukkan pada Tabel 2.2 dibawah ini:
(47)
Tabel 2.2 Poin Fokus pada Komponen COSO
Control Environment
Prinsip Poin Fokus
1 Organisasi menunjukkan komitmen untuk integritas dan nilai-nilai etika.
1 Set the tone at the top
2 Menetapkan standar perilaku
3 Mengevaluasi kepatuhan terhadap standar perilaku
4 Menegur penyimpangan pada waktu yang tepat
2 Dewan direksi
menunjukkan kemandirian dari manajemen dan menjalankan fungsi pengawasan terhadap perkembangan dan kinerja pengendalian internal
5 Menetapkan tanggung jawab pengawasan
6 Menerapkan keahlian yang Relevan
7 Beroperasi secara independen 8 Memberikan pengawasan pada
Pengendalian Lingkungan, Penilaian Risiko, Kegiatan Pengendalian, Informasi dan Komunikasi, dan Pemantauan
3 Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan pihak yang berwenang dan tanggung jawab dalam pengejaran
tujuan
9 Mempertimbangkan semua struktur entitas
10 Menetapkan garis pelaporan
11 Mendefinisikan, pihak yang ditunjuk, dan batas-batas kewenangan dan tanggung jawab
4 Organisasi menunjukkan Komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan
12 Menetapkan kebijakan dan praktik 13 Mengevaluasi kompetensi dan
kekurangan
14 Menarik, mengembangkan dan mempertahankan orang
15 Rencana dan persiapan untuk kesuksesan
5 Organisasi memegang individu
bertanggung jawab atas pengendalian internal mereka
dalam mengejar tanggung jawab dan tujuan
16 Menjalankan tanggung jawab melalui struktur dan otoritas
17 Menetapkan ukuran kinerja, insentif dan imbalan
18 Mengevaluasi ukuran kinerja, insentif dan imbalan untuk relevansi yang sedang berlangsung
19 Mempertimbangkan tekanan yang berlebihan
20 Mengevaluasi kinerja dan disiplin individu
(48)
Risk Assesment
Prinsip Poin Fokus
6 Organisasi menentukan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko
berkaitan dengan tujuan:
- Tujuan Operasi 21a Mencerminkan pilihan manajemen 22a Mempertimbangkan toleransi risiko 23 tujuan operasi dan kinerja keuangan 24 Bentuk dasar untuk melakukan sumber
daya - Tujuan Pelaporan
Keuangan Eksternal
21b Sesuai dengan standar akuntansi yang berlaku
22b Mempertimbangkan materialitas 25 Mencerminkan aktivitas entitas - Tujuan Pelaporan
Keuangan Non- Eksternal
21c Sesuai dengan standar dan kerangka yang ditetapkan secara eksternal 22c Mempertimbangkan tingkat ketelitian 25 Mencerminkan aktivitas entitas -Tujuan Pelaporan Internal 21a Mencerminkan pilihan manajemen
22c Mempertimbangkan tingkat yang diperlukan presisi
25 Mencerminkan aktivitas entitas
-Tujuan Kepatuhan 21d Mencerminkan hukum dan peraturan eksternal
22a Mempertimbangkan toleransi risiko 7 Organisasi
mengidentifikasi risiko pencapaian tujuan
di entitas dan analisis risiko sebagai dasar untuk
menentukan bagaimana risiko harus dikelola
26 Termasuk entitas, anak perusahaan, divisi, unit operasi, dan tingkat fungsional
27 Menganalisa faktor internal dan eksternal
28 Melibatkan tingkat yang tepat dari manajemen
29 Perkiraan signifikansi risiko yang teridentifikasi
30 Menentukan bagaimana merespon risiko
8 Organisasi menganggap potensi penipuan dalam menilai risiko untuk pencapaian tujuan
31 Mempertimbangkan berbagai jenis penipuan
32 Menilai insentif dan tekanan 33 Menilai peluang
34 Menilai sikap dan rasionalisasi
(1)
BAI06 mengelola Perubahan
BAI07 mengelola penerimaan terhadap perubahan dan transisi BAI08 mengelola Pengetahuan
BAI09 mengelola Aset atau Modal BAI10 mengelola Konfigurasi Deliver, Service and Support (DSS)
Domain Proses TI
DSS01 mengelola Operasi
DSS02 mengelola permintaan service/layanan dan insiden
DSS03 mengelola masalah
DSS04 Mengelola kontinuitas
DSS05 Mengelola pelayanan keamanan DSS06 Mengelola pengendalian proses bisnis Monitor, Evaluate and Assess (MEA)
Domain Proses TI
MEA01 memonitor, mengevaluasi dan mengukur kinerja dan kesesuaian
MEA02 memonitor, mengevaluasi dan mengukur sistem dari pengendalian internal
MEA03 memonitor, mengevaluasi dan mengukur kecocokan dengan kebutuhan eksternal atau luar Persyaratan
(Sumber : COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT)
Penelitian ini menempatkan COBIT 5 sebagai pedoman dalam mengetahui dan menganalisa tingkat kepentingan dan tingkat kesenjangan dari sistem layanan kemahasiswaan di Universitas Udayana serta menentukan ruang lingkup dari kajian yang dilakukan.
2.4.3.3NIST 800-53
NIST 800-53 merupakan update yang paling komprehensif untuk kontrol keamanan sejak didirikan pada tahun 2005. NIST 800-53 memiliki tujuan untuk menyediakan satu set kontrol keamanan yang dapat memenuhi kebutuhan keamanan yang dikenakan pada organisasi. NIST 800-53 dapat secara efektif digunakan untuk melindungi informasi dan sistem informasi dari ancaman terus-menerus pada operasional tradisional. Kontrol juga dapat digunakan untuk menunjukkan kepatuhan dengan berbagai persyaratan keamanan pemerintah, organisasi, atau lembaga. Organisasi memiliki tanggung jawab untuk memilih
(2)
kontrol keamanan yang sesuai, menerapkan kontrol dengan benar, dan menunjukkan efektivitas dari kontrol yang diterapkan.
Implementasi kontrol keamanan sistem informasi dan organisasi merupakan tugas penting yang dapat memiliki implikasi besar pada operasional dan aset organisasi serta kesejahteraan individu dan Bangsa. Kontrol keamanan adalah perlindungan terhadap sistem informasi atau organisasi yang dirancang untuk: melindungi kerahasiaan, integritas, dan ketersediaan informasi yang diproses, disimpan, dan dikirimkan oleh sistem-sistem atau organisasi dan memenuhi kebutuhan untuk kemanan. Kontrol framework NIST 800-53 yang digunakan pada penelitian ini ditunjukkan pada Tabel 2.4 dibawah ini:
Tabel 2.4Security Family dan Identifier NIST 800-53 Revision 4
Identifier Family
AC Kontrol akses
AT Kesadaran dan Pelatihan AU Audit dan Akuntabilitas
CA Keamanan Penilaian dan Otorisasi CM Manajemen konfigurasi
CP Perencanaan Kontinjensi IA Identifikasi dan Otentikasi IR Respon terhadap Insiden MA Pemeliharaan
MP Perlindungan terhadap Media PE Perlindungan Lingkungan dan Fisik PL Perencanaan
PS Personil Keamanan RA Perkiraan Risiko
SA Akuisisi Sistem dan Jasa
SC Perlindungan Sistem dan Komunikasi SI Integritas Sistem dan Informasi PM Manajemen Program
(Sumber: NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations)
Penelitian ini menempatkan NIST 800-53 Revision 4 sebagai pedoman dalam memberikan saran serta perbaikan terhadap sistem layanan kemahasiswaan di Universitas Udayana yang berhasil ditemukan melalui kajian dengan pedoman COSO dan COBIT 5.
(3)
2.4.3.4ISO 27002:2005
Standar ISO/IEC 27002:2005 pada penelitian ini digunakan sebagai pedoman dalam memberikan saran dan perbaikan terhadap temuan dari sistem layanan akademik di Universitas Udayana, karena memiliki panduan kontrol keamanan sistem informasi yang lengkap sedangkan ISO/IEC 27001:2005 memiliki poin-poin kontrol kemanan yang sama dengan ISO/IEC 27002:2005 namun tidak dilengkapi dengan panduan implementasinya. Standar ISO/IEC 27001:2005 dan ISO/IEC 27002:2005 diuraikan dibawah ini:
1. ISO/IEC 27001: 2005 - Requirements
ISO/IEC 27001:2005 berisi penjelasan tentang syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan SMKI dalam konteks resiko bisnis organisasi. SMKI yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitasaktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi (Syafrizal, 2009). Implementasi SMKI juga akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama. Dalam ISO 27001 ada 11 aspek atau yang biasa disebut sebagai clauses, dimana di dalamnya terbagi lagi menjadi 133 kontrol yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi. Kontrol dalam hal ini adalah hal-hal berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi. Standar ISO/IEC 27001:2005 telah menyediakan model terkait bagaimana mulai dari membangun, implementasi, operasional, memonitor, mengkaji ulang, memelihara dan mengembangkan ISMS.
2. ISO/IEC27002–Code of Practice for ISMS
ISO/IEC 27002 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan
(4)
seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan dalam ISO/IEC 27001.
ISO/IEC 27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian risiko yang telah dilakukannya. Pengguna juga dapat memilih kontrol di luar daftar kontrol yang dimuat standar ini sepanjang sasaran kontrolnya dipenuhi.
2.4.4 Capability Maturity Model Integrated
CMMI (Capability Maturity Model Integrated) dikembangkan oleh SEI
(Software Engineering Institute) di Carnegie Mellon University selama akhir
1980-an, serta secara keseluruhan disponsori oleh U.S DoD (Department of Defense). Menurut SEI, CMMI adalah referensi model dari praktik kedewasaan dalam disiplin tertentu, digunakan untuk meningkatkan dan menilai kemampuan suatu kelompok untuk menunjukkan kedisiplinannya.
Capability Level pada CMMI merupakan proses pencapaian perbaikan disuatu
organisasi pada area proses tertentu. Capability Level secara bertahap meningkatkan proses sesuai dengan area proses, sedangkan Maturity pada CMMI merupakan proses pencapaian perbaikan disuatu organisasi pada beberapa area proses. Perbedaan
Capability Level dan Maturity Level ditunjukkan pada Tabel 2.5 dibawah:
Tabel 2.5 Perbedaan Maturity Level dan Capability Level
Level Continuous Representation
Capability Levels
Staged Representation Maturity Levels
Level 0 Incomplete
Level 1 Performed Initial
Level 2 Managed Managed
Level 3 Defined Defined
Level 4 Quantitatively Managed
Level 5 Optimizing
Capability Level memiliki 4 (empat) level yaitu Level 0 sampai level 3, masing-masing level harus dipenuhi atau menjadi dasar jika ingin naik ke level selanjutnya. Capability Level 0 : incomplete menunjukkan sebuah proses yang
(5)
tidak lengkap atau hanya sebagian proses yang dilakukan, Capability Level 1 : performed menunjukkan sebuah proses yang telah dilakukan untuk menghasilkan sesuatu, Capability Level 2 : managed menunjukkan proses yang dilakukan telah dikelola melalui perencanaan serta terdapat kebijakan, selain itu sumber daya manusia yang terampil serta keterlibatan pemangku kepentingan akan dipantau, dikendalikan, dan dievaluasi. Capability Level 3 : Defined menunjukkan proses yang telah didefinisikan sesuai dengan standar serta memberikan gambaran proses yang dapat dipertahankan dan memberikan kontribusi pada aset organisasi. Perbedaan antara Capability Level 2 dan 3 adalah ruang lingkup standar, deskripsi proses, dan prosedur. Capability Level 3 memiliki standar, deskripsi proses, dan prosedur untuk bisnis proses yang disesuaikan dengan standar atau best practices, dibandingkan dengan Capability Level 2.
Maturity Level pada CMMI menyediakan cara untuk menilai kinerja organisasi serta menilai perbaikan proses yang dilakukan organisasi. Maturity Level memiliki 5 tingkatan, yaitu Maturity Level 1 : Initial ditandai dengan kondisi organisasi yang masih mengandalkan satu orang dalam mengerjakan projek, selain itu projek yang ada biasanya tidak memiliki dokumentasi serta tidak terdapat pembuatan anggaran yang jelas. Maturity Level 1 juga ditandai dengan kondisi organisasi yang tidak memiliki komitmen serta meninggalkan projek pada waktu krisis. Maturity Level 2 : Managed ditandai dengan adanya perencanaan proyek serta dilakukan oleh sumber daya yang terampil atau tidak bergantung pada keterampilan satu orang saja. Maturity Level 2 menunjukkan organisasi mulai menerapkan komitmen dalam menjalankan proses atau proyek dengan para pemangku kepentingan. Maturity Level 3 : Defined ditandai dengan adanya pemahaman dan kejelasan dari prosedur serta standar yang digunakan dalam melakukan bisnis proses atau proyek. Maturity Level 4 : Quantitatively Managed ditandai dengan adanya pengelolaan dan penetapan proses yang didasarkan kepada kebutuhan pelanggan, pengguna akhir, atau organisasi. Kualitas dan kinerja setiap proses dikelola dan dievaluasi setiap saat. Perbedaan antara maturity level 3 dan 4 adalah prediktabilitas kinerja proses, maturity level 4 setiap proses dan sub proses dipilih dan dikendalikan menggunakan teknik statistik artinya
(6)
terdapat prediksi hasil dari proses baik sebagian atau keseluruhan. Maturity level 5: Optimizing ditandai dengan adanya kinerja proses yang mengalami peningkatan terus-menerus yang inovatif serta perbaikan teknologi yang baik artinya sebagian besar bahkan secara menyeluruh semua proses dilakukan secara otomatis dengan memanfaatkan teknologi.. Efek dari perbaikan proses diukur dengan menggunakan teknik kuantitatif statistik dan dibandingkan dengan kualitas dan kinerja proses. Perbedaan penting antara maturity level 4 dan 5 adalah fokus pada pengelolaan dan meningkatkan kinerja organisasi. Pada maturity level 4, organisasi dan proyek fokus pada pemahaman dan pengendalian kinerja di tingkat sub proses dan menggunakan hasilnya untuk mengelola proyek. Pada maturity level 5, organisasi yang bersangkutan dengan kinerja organisasi secara keseluruhan menggunakan data yang dikumpulkan dari beberapa proyek. Analisis data mengidentifikasi kekurangan atau kesenjangan dalam kinerja. Kesenjangan ini digunakan untuk mendorong perbaikan proses organisasi yang menghasilkan peningkatan terukur dalam kinerja.
Capability Level dan Maturity Level menyediakan cara untuk meningkatkan proses dari suatu organisasi dan mengukur seberapa baik organisasi mampu meningkatkan proses bisnisnya. Manfaat yang akan diperoleh perusahaan pengembangan apabila dapat memenuhi kerangka kerja CMMI adalah kematangan proses pengembangan yang berarti ketepatan jadwal pengiriman, ketidakbergantungan kepada personil tetapi kepada sistem, berkurangnya risiko kegagalan atau kecacatan produksi karena adanya pengawasan, kualitas produk yang terjamin, terkelolanya konfigurasi perangkat lunak dan biaya produksi yang rendah.