(STUDI KASUS PADA STIKOMP SURABAYA)

Nama : SITI MUKAROMAH

NIM : 04.41010.0084

Program : S1 (Strata Satu) Jurusan : Sistem Informasi

SEKOLAH TINGGI

MANAJEMEN INFORMATIKA & TEKNIK KOMPUTER SURABAYA

iv

KATA PENGANTAR ... ii

DAFTAR ISI ... iv

DAFTAR TABEL ... vi

DAFTAR GAMBAR ... vii

DAFTAR LAMPIRAN... viii

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 4

1.3 Batasan Masalah ... 5

1.4 Tujuan ... 5

1.5 Sistematika Penulisan ... 6

BAB II LANDASAN TEORI ... 8

2.1 Definisi Visi, Misi, dan Tujuan ... 8

2.2 Visi, Misi, dan Tujuan STIKOMP Surabaya ... 8

2.3 Audit ... 10

2.4 Audit Sistem Informasi ... 13

2.5 Audit Teknologi Informasi di Perguruan Tinggi ... 14

2.6 IT Governance ... 19

2.7 COBIT ... 22

2.8 Audit Dengan COBIT ... 27

2.9 Maturity Level ... 29

v

3.1 Audit Subject ... 33

3.2 Audit Objective ... 42

3.3 Preaudit Planning ... 43

3.4 Audit Procedure & Steps for Data Gathering ... 46

3.5 Prosedur Komunikasi dengan Pihak Manajemen ... 49

3.6 Evaluasi Hasil Pengujian ... 49

3.7 Audit Report ... 50

BAB IV HASIL DAN PEMBAHASAN ... 51

4.1 Evaluasi Hasil Pengujian & Laporan Audit ... 51

4.2 Temuan – Rekomendasi ... 67

BAB V PENUTUP ... 72

5.1 Kesimpulan ... 72

5.2 Saran ... 73

DAFTAR PUSTAKA ... 74

1 1.1Latar Belakang

Perguruan Tinggi (PT) merupakan institusi yang memberikan pelayanan kepada masyarakat untuk menyiapkan Sumber Daya Manusia (SDM) masa depan yang bermutu dan berdayaguna. Proses menyiapkan SDM pada PT membutuhkan sumber informasi terbaru agar SDM yang dihasilkan mempunyai kompetensi yang up-to-date. Proses tersebut harus didukung oleh beberapa aktivitas penunjang untuk keberhasilan proses di PT.

Salah satu aktivitas penunjang yang penting pada PT sebagai penyelenggara pendidikan adalah layanan akademik. Pada pelaksanaan pelayanan akademik perlu adanya Teknologi Informasi (TI) untuk mendukung tercapainya sasaran pelayanan akademik. Salah satu PT yang menggunakan TI adalah Sekolah Tinggi Manajemen Informatika dan Teknik Komputer (STIKOMP) Surabaya. STIKOMP menggunakan TI sebagai sarana untuk memberikan layanan kepada seluruh civitas akademika dan membantu terlaksananya aktivitas di seluruh unit kerja yang ada. Saat melaksanakan aktivitasnya, STIKOMP memberikan jasa pendidikan dan layanan informasi akademik terhadap kinerja TI yang ditangani oleh Bagian Administrasi Akademik (BAAK).

Pada pelaksanaan tugasnya, BAAK STIKOMP sudah didukung oleh TI berupa Sistem Informasi Akademik (SIA). Untuk pengadaan TI ini dilakukan oleh Bagian Pengembangan dan Penerapan Teknologi Informasi (PPTI). Namun terdapat permasalahan dalam SIA yang ada saat ini dan menjadi alasan penulis

untuk melakukan Audit SIA di STIKOMP, yaitu pengawasan maupun penilaian terhadap kinerja sistem TI yang meliputi perangkat lunak maupun pengguna sistem belum dilakukan secara periodik, adanya error karena pengawasan dan penilaian terhadap TI hanya dilakukan jika ada keluhan dari unit kerja mengenai layanan TI tersebut serta kadang terjadi dengan proses yang sama tetapi hasilnya tidak sama maksudnya dari hasil proses ada yang tersimpan dan ada yang tidak tersimpan.

Audit sistem informasi merupakan proses mengumpulkan dan mengevaluasi fakta-fakta untuk menentukan apakah sistem informasi melindungi aset, memiliki integritas data, membantu tujuan organisasi dapat tercapai (Weber, 1999). Audit SIA akan mengacu pada standar Control Objectives for Information and Related Technology (COBIT) 4.0. Meskipun terdapat standar-standar lain namun standar COBIT mempunyai kompromi yang cukup baik dalam keluasan cakupan pengelolaan dan kedetailan proses-prosesnya.

COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI yang mencakup 4 (empat) domain, yaitu: Plan & Organize, Acquire & Implement, Deliver & Support, serta Monitor & Evaluate (ITGI, 2005). Penulis mengkhususkan pada Domain Deliver & Support (DS), karena domain lain dibahas oleh penulis lain pada waktu yang sama. Domain DS membahas penyampaian sebenarnya dari layanan yang dibutuhkan, yang termasuk penyampaian layanan, pengelolaan keamanan dan keberlanjutan, pendukung layanan bagi pengguna, dan pengelolaan data dan fasilitas operasional.

Penelitian terhadap audit dengan menggunakan framework COBIT juga telah banyak dilakukan sebelumnya oleh beberapa peneliti, antara lain: (i) Audit

Sistem Informasi untuk menilai proses penyampaian dan dukungan dalam pelayanan informasi pada PT. Telekomunikasi Indonesia, Tbk. R and D Center (Djatmiko, 2007). Penelitian ini melakukan penilaian melalui kendali dan indikator kinerja yang merupakan hasil ekstraksi dari COBIT domain DS. (ii) Penelitian oleh Budiyono (2007) yaitu Analisis tata kelola teknologi informasi menggunakan framework COBIT dalam mendukung layanan Teknologi Informasi. Acuan dalam memilih proses-proses TI yang terkait dengan studi kasus adalah matriks yang telah dipetakan COBIT antara business goals, IT goals dan proses-proses TI. (iii) Audit sistem informasi rumah sakit dengan menggunakan acuan COBIT (Surendro, 2004). Penilaian difokuskan pada proses yang dilakukan oleh sumber daya TI dalam memproduksi informasi kriteria yang diperlukan oleh bisnis. (iv) Pengembangan Model Audit Sistem Informasi Berbasis Kendali (Karya, 2004). Penelitian ini dikembangkan berdasarkan konsep fungsional dan kendali sistem informasi dengan menggunakan sistem penilaian kualitatif berbasis standar manajemen mutu ISO 9001-2000.

Sedangkan Audit TI / Sistem Informasi (SI) untuk layanan lembaga pendidikan Akademik belum dilakukan, untuk itu maka penulis ingin melaksanakan audit SIA di STIKOMP Surabaya untuk menerapkan audit dengan standar COBIT 4.0. Standar COBIT 4.0 merupakan standar untuk mengaudit penggunaan sebuah TI dan digunakan sebagai acuan untuk menghasilkan dokumen (temuan dan rekomendasi) yang merupakan hasil audit sistem informasi pada SIA di STIKOMP Surabaya. Dengan adanya penelitian tentang audit dibidang Akademik yang dilakukan oleh penulis diharapkan referensi audit Sistem Informasi bisa bertambah.

1.2Perumusan Masalah

Berdasarkan latar belakang yang telah diuraikan, didapatkan suatu perumusan permasalahan sebagai berikut:

1. Bagaimana merencanakan audit sistem informasi akademik.

Bagaimana mendefinisikan kebutuhan audit organisasi mulai dari menentukan scope audit, waktu pelaksanaan, tahapan pelaksanaan, sistem/fungsi/bagian dari organisasi yang secara khusus akan diaudit, mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, membuat rancangan kertas kerja, melakukan wawancara, menentukan siapa yang akan diwawancara, sampai dengan menyusun lembar kertas kerja.

2. Bagaimana melaksanakan audit sistem informasi akademik.

Bagaimana melakukan analisis maturity level, analisis control objective, analisis Key Performance Indicator, analisis Key Goal Indicator (untuk proses dan TI), menganalisa hasil wawancara, analisis terhadap kebutuhan pengelolaan TI dan identifikasi terhadap resiko-resiko yang mungkin dihadapi serta bentuk kendali yang diterapkan oleh sistem.

3. Bagaimana memformulasikan hasil audit sistem informasi akademik.

Bagaimana melakukan evaluasi terhadap kendali dan bukti yang ada, melakukan penilaian maturity level, mendokumentasikan temuan audit, dan menyusun laporan hasil audit (temuan, kesimpulan dan rekomendasi).

1.3Batasan Masalah

Pada pelaksanaannya pembuatan tugas akhir ini dilakukan dengan beberapa batasan sebagai berikut:

1. Tugas akhir ini memfokuskan diri pada domain Deliver and Support (DS). 2. Output yang dihasilkan berupa dokumen Temuan dan Rekomendasi dari hasil

audit sistem informasi akademik pada penggunaan teknologi informasi di bagian Akademik STIKOMP Surabaya.

1.4Tujuan

Tujuan penyusunan pembuatan tugas akhir ini adalah sebagai berikut: 1. Membuat perencanaan audit sistem informasi akademik yang menghasilkan

dokumen wawancara dan lembar kertas kerja yang merupakan hasil dari pengumpulan data.

2. Melaksanakan audit sistem informasi akademik dengan melakukan analisis maturity level, analisis control objective, analisis Key Performance Indicator, analisis Key Goal Indicator (untuk proses dan TI), menganalisa hasil wawancara, analisis terhadap kebutuhan pengelolaan TI dan identifikasi terhadap resiko-resiko yang mungkin dihadapi serta bentuk kendali yang diterapkan oleh sistem.

3. Memformulasikan hasil audit sistem informasi akademik dengan melakukan evaluasi terhadap kendali dan bukti yang ada, melakukan penilaian maturity level, mendokumentasikan temuan audit, dan menyusun laporan hasil audit (temuan, kesimpulan dan rekomendasi).

1.5Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam empat bab, yaitu:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang masalah dan penjelasan permasalahan secara umum, perumusan masalah serta batasan masalah yang dibuat, tujuan dari pembuatan tugas akhir dan sistematika penulisan buku ini.

BAB II : LANDASAN TEORI

Pada bab ini membahas mengenai visi dan misi STIKOMP. Standar COBIT 4.0 dijadikan sebagai acuan mengelola IT Governance di sebuah perusahaan agar audit sistem informasi akademik sesuai dengan standar yang sudah banyak digunakan dan diakui. Selain itu dibahas tentang teori audit sistem informasi, maturity model yang digunakan untuk menunjukkan tingkat seberapa baik aktifitas untuk manajemen proses TI yang dilakukan.

BAB III : METODE PENELITIAN

Pada bab ini berisi uraian mengenai gambaran institusi, menentukan tujuan utama dari audit sistem informasi, ruang lingkup, dan metode yang akan digunakan.

BAB IV : HASIL DAN PEMBAHASAN

Pada bab ini membahas tentang mengidentifikasi kendali dan memperkirakan resiko, mengumpulkan bukti, mengevaluasi

temuan, sampai dengan membuat laporan akhir hasil audit sistem informasi.

BAB V : PENUTUP

Berisi kesimpulan dari Tugas Akhir, serta saran sehubungan dengan adanya kemungkinan pengembangan sistem pada masa yang akan datang.

8 2.1 Definisi Visi, Misi, dan Tujuan

Sebuah perusahaan harus mempunyai visi, misi, dan tujuan untuk menentukan arah perkembangannya. Definisi dari visi (Indrajit, 2000) merupakan sesuatu yang dicanangkan oleh pendiri perusahaan. Namun yang harus diperhatikan, visi bukanlah mimpi, namun sesuatu yang mungkin terwujud. Sedangkan misi ditetapkan sebagai jawaban terhadap visi yang telah ditetapkan sebelumnya. Misi masih merupakan sesuatu yang memiliki arti global dan cenderung generik. Oleh karena itu, ditentukan beberapa objektif yang ingin dicapai dalam berbagai hal sehubungan dengan misi yang dicanangkan tersebut.

2.2 Visi, Misi, dan Tujuan STIKOMP Surabaya (STIKOMP, 2008)

STIKOMP sebagai sebuah perguruan tinggi yang bergerak dibidang pendidikan komputer mempunyai visi, misi, dan tujuan yang tertuang dalam Rencana Strategis Perusahaan, yaitu :

VISI

Tercapainya kepeloporan karena keunggulan manusia pada peringkat benchmark yang pada tahun 2018 mendekati keunggulan sumber daya manusia Singapura dalam upaya mendukung keunggulan studi dalam arti luas tentang Teknologi Informasi (TI) untuk menjamin kesejahteraan manusia yang pluralisme dan multikulturalisme.

MISI

1. Meningkatkan strata pendidikan secara terus-menerus untuk semua lapisan pada bauran kompetensi: bukan hanya pada kognisi dan pada psikomotor keahlian, tapi terutama pada kompetensi sikap mental untuk semua manusianya yang ada di STIKOMP Surabaya agar semakin produktif dan inspiratif, dengan hidup hanya dengan melayani dan melayani.

2. Mengembangkan Corporate Governance yang sehat dan produktif secara sistematik tapi bersifat emerging, demi terciptanya habitat organisasi yang socio-cultural economic sekaligus inovatif.

3. Melakukan integrasi mulai dari perolehan intake mahasiswa walaupun pada standar biasa, tetapi akan selalu dijaga dan diproses tidak hanya pada tingkat maksimum tetapi terutama optimum, sampai dengan suatu hasil outcome yang luar biasa pada hardskill dan terutama pada softskill-nya, demi perkembangan masyarakat, negara dan bangsa.

4. Meningkatkan produktivitas dengan mengoptimalisasi pengelolaan sumber daya, terutama sekali sumber daya manusianya dan sumber daya keuangan berdasarkan pada kegiatan yang relevan dan sesuai dengan harkat manusia. 5. Meningkatkan kesejahteraan untuk semua manusianya berdasarkan

keseimbangan pada keadilan dan prestasi kontribusi organisasional setiap anggota organisasi di STIKOMP Surabaya secara merata dan meyeluruh. 6. Melakukan perluasan pengabdian masyarakat, berbasis pada pengembangan

ilmu dan teknologi yang dikuasai, untuk peningkatan kesejahteraan semua manusia, khususnya dengan peduli pada kaum miskin.

7. Melakukan peningkatan dan penajaman serta perluasan semangat penelitian, bukan demi ilmu dan teknologi itu sendiri, tapi untuk menguak kebenaran realitas kehidupan agar kehidupan manusianya lebih manusiawi dan manusianya berguna bagi seluruh umat manusia.

8. Berjejaring secara proaktif dan sehat dengan stakeholders untuk konsolidasi dan adaptasi organisasi dalam rangka perkembangan dan pertumbuhan organisasi.

TUJUAN

1. Terpenuhinya Quality Assurance (Jaminan Mutu) penyelenggaraan pendidikan tinggi di STIKOMP Surabaya.

2. Menghasilkan program studi dengan kurikulum yang terpadu yang berbasis kompetensi dan mengikuti perkembangan teknologi terbaru.

3. Menghasilkan lulusan yang berkualitas dalam skill, knowledge dan attitude (SKA) berkompetensi tinggi dan bersertifikasi international.

4. Meningkatkan profesionalisme dan kompetensi tenaga pengajar di STIKOMP Surabaya.

5. Peningkatan pemanfaatan teknologi informasi di masyarakat dalam menghadapi persaingan era globalisasi.

2.3 Audit

Definisi secara umum tentang audit adalah bahwa “Auditing is an independent investigation of some particular activity”. Sebetulnya kata Audit itu sendiri berasal dari Bahasa Latin Audire yang dalam Bahasa Inggris berarti to hear. Makna yang dimaksud disini adalah “hearing about the account’s balances”

oleh para pihak terkait terhadap pihak ketiga yang netral (tidak ada vested interest) mengenai catatan keuangan perusahaan yang dikelola oleh orang-orang tertentu yang bukan sekaligus pemiliknya. Auditing, meskipun perkembangannya tidak terlepas dari perkembangan akunting, namun sebagai cabang ilmu auditing berada diluar lingkup ilmu akuntansi. Auditing memiliki sejarah/perkembangan panjang. Bahkan Auditor merupakan salah satu the oldest profession in the world. Berdasarkan makna kata audire (to hear “the account balance”) tersebut memang jenis audit yang berkaitan dengan pemeriksaan akuntansi memiliki peran dominan dan sejarah yang lebih lama. Namun pada saat ini dalam perkembangannya kemudian, perkembangan bidang audit yang lain juga telah mencapai tahapan yang signifikasi, misalnya audit internal, audit teknologi informasi, dan sebagainya (Gondodiyoto, 2007). Tujuan dari audit adalah untuk menentukan dan melaporkan tingkat kesamaan antara informasi yang dinilai dengan ukuran atau kriteria yang ada (Surendro, 2004).

Auditing adalah sebuah proses sistematis yang dilakukan oleh seseorang yang memiliki kompetensi dan bersikap independent, mengenai perolehan dan penilaian atas bukti secara obyektif, yang dilakukan dengan melakukan pengumpulan dan penilaian atas bukti-bukti informasi yang dapat dikuantikasikan dan terkait pada suatu entitas ekonomi tertentu, berkenaan dengan pernyataan mengenai tindakan-tindakan dan kejadian-kejadian ekonomi dengan tujuan untuk menentukan tingkat kesesuaian antata pernyataan tersebut dengan kriteria yang telah ditetapkan serta untuk mengkomunikasikan hasil-hasilnya kepada pihak-pihak yang berkepentingan (Purwono, 2004).

Dengan diperkenalkan COBIT, kini tujuan audit (Gondodiyoto, 2007) bukan hanya terbatas pada konsep 3E (Efektif, efisien, ekonomi) saja, melainkan kini menjadi:

1. Efektifitas (effectiveness), untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.

2. Efisiensi (efficiency), memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.

3. Kerahasiaan (confidentiality), memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.

4. Keterpaduan/integritas (integrity), berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.

5. Ketersediaan (availability), berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.

6. Kepatuhan pada kebijakan/aturan (compliance), sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.

7. Keandalan sistem informasi/keakuratan informasi (reliability), berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.

Rangkaian Langkah Pelaksanaan Auditing :

Auditing, telah disebutkan sebelumnya, adalah sebuah kegiatan penilaian dan pengesahan yang dilakukan secara sistematis dan dikerjakan oleh mereka

yang memiliki kehlian serta independen, yang dilakukan terhadap bukti-bukti aktifitas ekonomi suatu badan usaha, yang tujuannya adalah untuk menentukan serta melaporkan seberapa jauh tingkat kesesuaian aktivitas tersebut terhadap aturan-aturan yang sudah ditetapkan sebagai dasar kerjanya.

Berdasarkan pengertian auditing tersebut, maka dalam proses pelaksanaan audit itu sendiri terdapat beberapa konsep pokok, yaitu:

a. Penggunaan langkah-langkah yang sistematis, b. Memperoleh bukti-bukti transaksi dan menilainya,

c. Menilai kesesuaiannya terhadap aturan yang sudah sitetapkan, d. Membuat laporan hasil pemeriksaan.

Khusus terhadap sistem informasi berbantuan komputer dan audit terhadap instalasi komputer itu sendiri harus ditambah dengan langkah-langkah: e. Membuat perencanaan pemeriksaan,

f. Mengenali bagaimana sistem komputer bekerja,

g. Memeriksa seberapa jauh pengemanan sistem dilakukan, h. Menguji program terhadap ketaatan pada aturan-aturan.

2.4 Audit Sistem Informasi

Definisi Audit Sistem Informasi (atau beberapa kalangan lebih menyukai untuk menyebut audit teknologi informasi) dapat dikemukakan sebagi berikut: a. IS Control & Audit (Weber, 1999)

“The process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows

organizational goals to be achieved effectively, and user resources efficiently”.

b. CISA Review Manual (ISACA, 2007)

“The process of collecting and evaluating evidence to determine whether information system and information technology environment adequately safeguards assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls that provide reasonable assurance that operational and control objectives will be meet”.

Proses audit SI sendiri dimulai dengan membuat batasan audit yang akan dilakukan. Batasan ini diperlukan agar proses audit tidak melebar sementara sumberdaya dan waktu yang dimiliki terbatas. Proses ini kemudian dilanjutkan dengan evaluasi terhadap kontrol yang ada dan kemudian melakukan testing dan mengumpulkan bukti yang ada kemudian mengkomunikasikan hasilnya dengan pihak manajemen. Secara umum proses yang dilakukan adalah seperti diatas namun yang membedakan adalah wilayah audit SI itu sendiri seperti, pendukung audit keuangan, audit keamanan, standar dan prosedur, ataupun yang spesifik seperti audit keamanan terhadap wireless network, audit terhadap kendali aplikasi ERP dan audit SI pada proses pengembangan SI (Priandoyo, 2006).

2.5 Audit Teknologi Informasi di Perguruan Tinggi

Pada era globalisasi saat ini menguasai sumber daya konvensional yang kerap dinyatakan sebagai 4M (4M=Men, Materials, Money, dan Machines/Method) saja tidaklah cukup. Hal tersebut terbukti pada sejumlah

negara yang sangat miskin dipandang dari kacamata portofolio 4M yang dimilikinya, namun berhasil mengembangkan dan membangun bangsanya; sementara itu tidak kurang terlihat adanya negara yang kaya raya akan sumber daya 4M-nya, namun tidak mampu bersaing dengan bangsa-bangsa lain. Hasil pengkajian terhadap fenomena tersebut memperlihatkan bahwa terdapat sumber daya kelima yang sangat penting untuk dikuasai sebuah negara, yaitu ‘informasi’. Informasi selain berfungsi sebagai faktor produksi penting disamping 4M, merupakan pula ‘bahan mentah’ dari knowledge atau pengetahuan, sehingga mereka yang menguasai informasi berpotensi menjadi bagian dari masyarakat dan komunitas global yang pintar dan cerdas. Menyadari akan hal tersebut, maka dalam berbagai kesempatan formal maupun informal, pemerintah Indonesia telah menyatakan bahwa teknologi informasi – yang merupakan perangkat pendukung dalam proses penciptaan, penyimpanan, dan pendisitribusian informasi – merupakan salah satu pilar pembangunan nasional bangsa Indonesia dalam menghadapi millenium ketiga saat ini. Menurut Indrajit, (2004), berkaca pada visi teknologi informasi Indonesia yang dinyatakan kalimat :

‘Terwujudnya Indonesia sebagai negara tangguh dalam kompetisi global, melalui pengembangan dan pemanfaatan teknologi informasi dan komunikasi demi terbentuknya masyarakat sejahtera berbasis pengetahuan yang berpegang teguh pada nilai-milai luhur bangsa’

Terlihat secara jelas strategi dan harapan diterapkannya teknologi informasi di segala bidang sesuai dengan konteksnya agar dapat tercipta sebuah daya saing nasional. Hal ini berarti bahwa sektor pendidikan akan menjadi salah satu komunitas yang memiliki tanggung jawab langsung maupun tidak langsung

terhadap proses perencanaan, pembangunan, penerapan, dan pengembangan teknologi informasi sesuai dengan tugas dan fungsinya. Paparan berikut memperlihatkan spektrum dan domain peranan dunia pendidikan – terutama perguruan tinggi – di dalam konteks strategi pengembangan teknologi informasi di dunia pendidikan. (Indrajit, 2004)

Keterlibatan teknologi informasi dibidang pendidikan bukan lagi dianggap sebagai sebuah pilihan, namun telah menjelma menjadi kebutuhan mutlak yang harus dimiliki dan dimanfaatkan oleh perguruan tinggi jika yang bersangkutan ingin meningkatkan kualitas penyelenggaraan pendidikannya. Perguruan tinggi kelas dunia seperti Harvard University, Massachusetts Institue of Technology, Stanford Univeristy, UC-Berkeley, Oxfort University, Cambridge University, dan lain sebagainya telah menerapkan teknologi ini tidak saja untuk keperluan administrasi manajemen pendidikan, melainkan sebagai media utama pada penyelenggaraan kegiatan belajar mengajar, riset dan pengembangan, serta pelayanan kepada masyarakat. Oleh karena itu pembicaraan mengenai manajemen perguruan tinggi tidak dapat lepas dari pembahasan mengenai teknologi informasi dan peranan teknologi informasi pada perguruan tinggi. Bahasan ini memaparkan secara ringkas mengenai perkembangan teknologi informasi dan pemanfaatannya dalam meningkatkan kualitas penyelenggaraan pendidikan di perguruan tinggi, di mana konsep yang ditawarkan merupakan hasil dari pengamatan terhadap sejumlah institusi terkemuka di dunia maupun di tanah air yang telah berhasil menerapkannya secara efektif dan berhasil. (Indrajit, 2004).

Proses Inti Perguruan Tinggi.

Secara prinsip, terdapat 3 (tiga) proses inti pendidikan atau core processes yang terjadi di perguruan tinggi, masing-masing adalah :

1. Pengajaran (teaching); 2. Penelitian (research); dan 3. Pelayanan (services).

Dilihat dari kacamata ilmu manajemen, ketiga proses ini merupakan produk dan jasa atau core products and services yang ditawarkan institusi kepada para pelanggannya. Agar perguruan tinggi dapat secara efektif menyelenggarakan ketiga proses tersebut, maka perlu ditunjang oleh sejumlah aktivitas pendukung terkait dengan hal-hal semacam: administrasi akademis, keuangan dan akuntansi, sumber daya manusia, infrastruktur kampus, dan lain sebagainya. Tujuan dikenali dan dikategorikannya proses dan aktivitas di dalam perguruan tinggi ini untuk membantu manajemen dalam mengalokasikan sumber daya yang dimilikinya agar dapat menunjang visi dan misi yang telah dicanangkan. Karena dilihat dari prinsip pertukaran barang dan jasa, proses inti merupakan aktivitas perusahaan yang terkait langsung dengan sumber pendapatan (revenue stream) dari institusi, sementara aktivitas pendukung dianggap sebagai suatu cost center.

Stakeholders Perguruan Tinggi

Perguruan tinggi kelas dunia tersebut dapat memperoleh pendapatan dari beragam sumber karena pada hakekatnya perguruan tinggi memiliki cukup banyak stakeholder (mereka yang berkepentingan) yang merupakan potensi pelanggan dari institusi terkait. Stakeholder yang dimaksud adalah: mahasiswa, alumni,

dosen, industri, komunitas, yayasan, karyawan, pemerintah, dan institusi pendidikan lain.

Produk dan jasa dari sebuah perguruan tinggi sifatnya sangat beragam yang masing-masing produk dan jasa tersebut akan memiliki pelanggannya masing-masing, baik yang bersifat eksternal (berada di luar lingkup perguruan tinggi) maupun internal (berada di dalam ruang lingkup perguruan tinggi). Permasalahan terbesar timbul ketika ternyata beragam stakeholder tersebut memiliki obyektif yang berbeda, dimana terkadang satu dengan lainnya saling bertolak belakang (Indrajit, 2004).

Informasi saat ini dipandang sebagai aset bagi perusahaan, kedudukannya setara dengan aset-aset yang lain. Oleh karena itu perlu ada suatu pengelolaan yang baik terhadap informasi. Audit teknologi informasi di perguruan tinggi merupakan audit yang dilakukan terhadap teknologi informasi salah satunya mengenai pengelolaan informasi yang ada di perguruan tinggi. Audit bertujuan untuk mengukur seberapa besar peranan teknologi informasi dalam mendukung pencapaian tujuan perusahaan secara efektif dan efisien, mengukur apalah informasi yang ada sudah dikelola dengan baik.

Model pengelolaan TI dan model audit sistem informasi perguruan tinggi diadopsi dari Control Objectives for Information and related Technology (COBIT). COBIT adalah standar pengendalian yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan pengendalian terhadap teknologi informasi yang dapat diterapkan dan diterima secara internasional. Selain itu, COBIT dipilih karena dikembangkan dengan memperhatikan keterkaitan tujuan bisnis dengan tidak melupakan fokusnya pada teknologi

informasi. Kerangka kerja COBIT bersifat umum, oleh sebab itu harus disesuaikan dengan melihat proses bisnis dan tanggung jawab proses teknologi informasi terhadap aktivitas perguruan tinggi.

Model IT Governance dan model audit yang ada dimaksudkan untuk membuat pemetaan proses perencanaan dan pengorganisasian, akuisisi dan implementasi terhadap tingkat model maturity. Model maturity adalah alat untuk mengukur seberapa baik proses-proses sistem informasi berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Model maturity terdapat pada setiap proses sistem informasi. Alat yang digunakan untuk memetakan posisi proses sistem informasi adalah dengan menggunakan kuesioner. Kuesioner dibuat dengan menggunakan teknik pengukuran ordinal dengan skala likert. Sedangkan tujuan pengendalian ditetapkan dengan mempertimbangkan CSF (Critical Success Factors), KGI (Key Goal Indicators), dan KPI (Key Performance Indicators) (Solikin,2006).

2.6 IT Governance

Menurut Wasilah (2007) secara formal tata kelola TI memiliki definisi: ”Suatu struktur dan proses yang saling berhubungan serta mengarahkan dan mengendalikan perusahaan dalam pencapaian tujuan perusahaan melalui nilai tambah dan penyeimbang antara resiko dan manfaat dari teknologi informasi serta prosesnya”. Definisi lain dari Tata Kelola TI oleh Wasilah (2007) adalah: ”Sebuah kerangka kebijakan, prosedur dan kumpulan proses-proses yang bertujuan untuk mengarahkan dan mengendalikan perusahaan dalam rangka pencapaian tujuan

perusahaan dengan memberikan tambahan nilai bisnis, melalui penyeimbangan keuntungan dan resiko TI beserta proses-proses yang ada didalamnya”.

IT Governance sangat diperlukan dalam pengembangan dan implementasi teknologi informasi. Hal ini diperlukan untuk mendukung tercapainya obyektif bisnis dengan menjunjung tinggi aspek akuntabilitas, responsibilitas, dan transparansi. Lembaga riset Gartner menawarkan sebuah konsep governance yang diberi nama “Gartner’s Integrated Planning Suite” yang memiliki tujuan agar perencanaan sebuah teknologi informasi dapat sejalan dengan strategi bisnis terkait (Indrajit, 2004). Dalam kerangka tersebut terdapat 4 (empat) aspek yang saling terkait sehubungan dengan prinsip governance yaitu : 1. Strategic Planning

Rencana strategis sebuah perusahaan akan memicu dan mengarahkan disusunnya sebuah rencana pengembangan teknologi informasi. Dengan berpedoman kepada visi, misi, dan tujuan perusahaan maka akan di dapat gambaran yang jelas mengenai peranan dan teknologi informasi seperti apa yang akan dikembangkan. Detil dari rencana tersebut dapat dijabarkan dalam sebuah dokumen Rencana Induk Pengembangan Teknologi Informasi atau Master Plan IT.

2. Enterprise Architecture

Merupakan keseluruhan komponen dan hubungan keterkaitan satu dengan lainnya yang membentuk sebuah sistem teknologi informasi korporat. Pada arsitektur tersebut diperlihatkan pula filosofis pembangunan sistem secara “rumah tumbuh” yang akan dikembangkan oleh perusahaan sesuai dengan kekuatan dan keterbatasan sumber daya yang dimiliki.

3. Portofolio Performance Management

Karena begitu banyaknya komponen dalam arsitektur teknologi informasi yang harus dibangun dimana terbagi menjadi sejumlah kategori seperti perangkat lunak, perangkat keras, dan perangkat masnusia maka diperlukan suatu pendekatan portofolio agar terjadi optimalisasi proses pengembangan. Konsep tersebut dikembangkan berakar dari keanekaragaman perspektif atau pandangan mengenai nature dari teknologi informasi yang ingin dibangun, seperti dilihat dari segi prioritas, fungsi, utilisasi, kebutuhan, demografi, stakeholder, karakteristik sumber daya, aspek perencanaan, dan lain sebagainya.

4. Dalam perkembangannya keputusan yang diambil berdasarkan prinsip manajemen portofolio ini akan diukur kinerjanya, terutama terkait dengan bagaimana keputusan penerapan teknologi informasi tersebut akan berpengaruh terhadap kinerja bisnis perusahaan secara menyeluruh. Sehingga dapat dikatakan bahwa manajemen portofolio tersebut akan mempengaruhi strategic planning yang disusun.

Dalam hal ini dapat disimpulkan dalam tatakelola yang baik, peranan IT Governance (tatakelola TI) merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang kebutuhan akan TI bukan merupakan barang yang langka. COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni Plan and Organize (PO), Acquire and Implement (AI), Deliver and Support (DS) dan Monitor and Evaluate (ME). (Tarigan, 2006).

2.7 COBIT

Information System Audit and Control Association (ISACA) memperkenalkan sebuah kerangka untuk mengelola IT Governance di sebuah perusahaan yang dikenal dengan nama COBIT. (Indrajit, 2004). COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.

Saat ini COBIT telah mencapai edisi ke-4, COBIT 4.0 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi (ITGI, 2005):

a. Gambaran luas mengenai eksekutif b. Kerangka kerja

c. Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan) d. Appendiks (pemetaan, ajuan silang dan daftar kata-kata)

Isi utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses. Selain itu, COBIT 4.0:

a. Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.

b. Menyesuaikan dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799)

c. Mengklarifikasikan indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat bergerak mencapai KGI.

d. Menghubungkan tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang bagaimana proses COBIT mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).

Pada COBIT 4.0 terdapat 4 (empat) domain utama (gambar 2.1) yaitu:

Gambar 2.1 Framework COBIT 4.0 (Sumber: ITGI, 2005)

A. Plan and Organize (PO)

Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi informasi dalam mendukung tercapainya tujuan bisnis. Di dalamnya terdapat 10 (sepuluh) sub domain, yaitu:

1. PO1: Define a Strategic IT Plan

2. PO2: Define the Information Architecture 3. PO3: Determine Technological Direction

4. PO4: Define the IT Processes, Organisation and Relationships 5. PO5: Manage the IT Investment

6. PO6: Communicate Management Aims and Direction 7. PO7: Manage IT Human Resources

8. PO8: Manage Quality

9. PO9: Assess and Manage IT Risks 10.PO10: Manage Projects

B. Acquire and Implement (AI)

Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu diidentifikasikan, dikembangkan, diimplementasikan, dan diintegrasikan ke dalam proses bisnis. Di dalamnya terdapat 7 (tujuh) sub domain yaitu:

1. AI1: Identify Automated Solutions

2. AI2: Acquire and Maintain Application Software 3. AI3: Acquire and Maintain Technology Infrastructure 4. AI4: Enable Operation and Use

5. AI5: Procure IT Resources 6. AI6: Manage Changes

7. AI7: Install and Accredit Solutions and Changes C. Deliver and Support (DS)

Domain ini fokus pada aspek penyampaian teknologi informasi kepada dukungan dan layanan teknologi informasi mencakup dukungan dan layanan teknologi informasi pada bisnis, mulai dari penanganan keamanan dan kesinambungan, dukungan bagi pengguna serta manajemen data.

Pada domain Deliver and Support terdapat 13 (tigabelas) sub domain: 1. DS1: Define and Manage Service Levels

2. DS2: Manage Third-party Services 3. DS3: Manage Performance and Capacity 4. DS4: Ensure Continuous Service

5. DS5: Ensure Systems Security 6. DS6: Identify and Allocate Costs 7. DS7: Educate and Train Users

8. DS8: Manage Service Desk and Incidents 9. DS9: Manage the Configuration

10.DS10: Manage Problems 11.DS11: Manage Data

12.DS12: Manage the Physical Environment 13.DS13: Manage Operations

D. Monitor and Evaluate (ME)

Pada domain ini akan ditekankan kepada pentingnya semua proses teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan

kesesuaian dengan standar yang telah ditetapkan. Pada domain ini terdapat 4 (empat) sub domain yang menjadi fokus, yaitu:

1. ME1: Monitor and Evaluate IT Performance 2. ME2: Monitor and Evaluate Internal Control 3. ME3: Ensure Regulatory Compliance

4. ME4: Provide IT Governance

Struktur COBIT pada gambar 2.2 terdiri dari executive summary yang didukung dengan perangkat implementasi, kemudian framework yang dijabarkan menjadi 3 bagian, yaitu management guidelines, audit guidelines dan detailed control objectives. Untuk management guidelines, terdapat 4 indikator pengukuran, yaitu critical succsess factor, key performance indicators, key goal indicators dan maturity models. Sedangkan detailed control objectives dijabarkan dalam beberapa control practices.

Gambar 2.2 Struktur COBIT (Sumber: Swastika, 2007)

Hubungan antara komponen dalam COBIT (pada gambar 2.3) menggambarkan bahwa bisnis membutuhkan proses-proses TI yang dikendalikan oleh control objective, diaudit menggunakan audit guidelines, akan menjadi efektif dan efisien dengan activity goals dan diukur oleh Key Performance Indicators, Key Goal Indicators, dan Maturity Models.

Gambar 2.3 Hubungan antara komponen dalam COBIT (Sumber: ITGI, 2005)

2.8 Audit Dengan COBIT

Keberadaan COBIT selain sebagai metode dalam tatakelola TI, juga dapat dipakai sebagai metode dalam proses audit sistem informasi. Kerangka proses audit sistem informasi menggunakan COBIT dapat dilihat pada Gambar 2.4.

Gambar 2.4 Audit Process COBIT Framework (Sumber: Swastika, 2007)

Dalam proses audit menggunakan COBIT, pada tahapan awal dilakukan penetapan Management Guidelines. Management Guidelines merupakan Tool untuk membantu penugasan tanggung jawab, mengukur kinerja, dan melakukan benchmark serta mengetahui gap dalam kemampuan. Keterangan di bawah ini dapat menjawab pertanyaan seperti: Sejauh mana IT harus dikontrol, dan apakah cost ditentukan berdasarkan benefit? Apakah indicator dari kinerja yang baik? Apakah yang harus dilakukan untuk mencapai kinerja yang baik? serta, Bagaimana melakukan pengukuran dan perbandingan.

Adapun proses audit dengan COBIT (gambar 2.5) dimulai dari survey dan pencarian fakta, lalu hasilnya diolah untuk proses perhitungan dan analisis IT proses sesuai dengan management guidelines yaitu menghitung Maturity Level

(ML), Key Performance Indicator (KPI), Process Key Goal Indicator (PKGI), dan IT Key Goal Indicator (ITKGI) serta Control Objective (CO), hasil perhitungan tersebut diberi skor dan dianalisis, tahapan akhir adalah pembuatan laporan.

Gambar 2.5 Tahapan Proses Audit dengan COBIT (Sumber: Swastika, 2007)

2.9 MaturityLevel

Sebuah pengembangan teknologi informasi harus terukur dengan baik, agar mekanisme tata kelola teknologi informasi dapat berjalan secara baik dan efektif maka harus melalui tahap kematangan tertentu (Indrajit, 2004).

Dengan menggunakan Model Maturity sebuah perusahaan dapat mengukur posisi kematangannya dalam pengembangan teknologi informasi, dan secara kontinyu serta berkesinambungan harus berusaha untuk meningkatkan levelnya sampai pada tingkat tertinggi agar aspek tata kelola terhadap teknologi informasi dapat berjalan efektif dan sejalan dengan strategi yang telah ditetapkan.

Sebuah kematangan sebuah perusahaan terkait dengan keberadaan dan kinerja proses tata kelola teknologi informasi dapat dikategorikan menjadi 6 (enam) tingkatan, yaitu (Indrajit, 2004):

Tabel 2.1 Skala pengukuran Maturity Level

Skala Penjelasan

0

Non-existent

Adalah posisi kematangan terendah, suatu kondisi dimana perusahaan merasa tidak membutuhkan adanya mekanisme proses investasi teknologi yang baku, sehingga tidak ada sama seklai pengawasan terhadap investasi teknologi informasi yang dikeluarkan oleh perusahaan.

1

Initial/Ad Hoc

Sudah ada beberapa inisiatif mekanisme perencanaan, tata kelola, dan pengawasan terhadap sejumlah investasi yang dilakukan, namu sifatnya masih ad-hoc, sporadis, tidak konsisten, belum formal, dan reaktif.

2

Repeatable but Intuitive

Kondisi dimana perusahaan telah memiliki kebiasaan yang terpola untuk merencanakan dan mengelola investasi teknologi informasi dan dilakukan secara berulang-ulnag secara reaktif, namun belum melibatkan prosedur dan dokumen format.

3

Defined Process

Pada tahapan ini, perusahaan telah memiliki mekanisme dan prosedur yang jelas mengenai tata cara dan manajemen proses investasi teknologi informasi, dan telah terkomunikasikan serta tersosialisasikan dengan baik di seluruh jajaran manajemen perusahaan.

4

Managed and Measurable

Menetapkan kondisi dimana manajemen perusahaan telah menerapakan sejumlah indikator pengukuran kinerja kuantitatif untuk memonitor efektifitas pelaksanaan manajemen investasi teknologi informasi

5

Optimised

Level tertinggi ini diberikan kepada perusahaan yang telah berhasil menerapkan prinsip-prinsip tata kelola (governance) secara utuh dan mengacu apda best pratice, dimana secara utuh

telah diterapkan prinsip-prinsip governance, seperti: transparency, accountability, responsibility, dan fairness.

Seperti halnya pada konsep yang lain, mengukur tingkat kematangan pemanfaatan Teknologi Informasi di dunia pendidikan akan memberikan sejumlah manfaat sebagai berikut (Indrajit, 2006):

• Mengetahui sejauh mana sebuah institusi telah memanfaatkan secara penuh potensi TI bagi kebutuhan peningkatan kinerja pendidikan tinggi

• Mengkaji kesiapan stakeholder sebuah institusi pendidikan saat ini untuk dipersiapkan manajemen perubahan yang cocok

• Memperkirakan resiko yang akan dihadapi dalam proses sosialisasi pemanfaatan TI di insitusi pendidikan dilihat dari sisi tinggi rendahnya resistensi

• Mengetahui target pola pikir dan pola tindak yang harus dimiliki oleh setiap

stakeholder terkait dalam sebuah institusi pendidikan

• Menjadi indikator aktivitas peningkatan kinerja TI di sebuah institusi pendidikan dari waktu ke waktu

• Merupakan alat ukur perbandingan antara satu institusi

2.10 KPI – KGI

Key Performance Indicators (KPI) menjelaskan ukuran-ukuran untuk menentukan kinerja proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI biasanya berupa idikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI. KPI merupakan aplikasi sasaran mutu yang menjadi target pencapaian. Diawali dengan mendefinisikan sasaran/goal mutu dan

proses yang diperlukan agar sesuai dengan persyaratan pelanggan dan kebijakan organisasi. (Wasilah, 2007)

Key Goal Indicators (KGI) menjelaskan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakan proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada. KGI biasanya berbebtuk kriteria informasi: (a) Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis, (b) Tidak adanya resiko integritas dan kerahasiaan data, (c) Efisiensi biaya dari proses dan operasi yang dilakukan, (d) Konfirmasi reliabilitas, efektifitas dan kepatuhan (compliance). (Wasilah, 2007)

Process Key Goal Indicator (Process KGI) mendefinisikan bagaimana TI proses harus dilaksanakan untuk mendukung “IT Objective”. Information Technology Key Goal Indicator (ITKGI) mendefinisikan apa yang diharapkan bisnis dari TI. (Swastika, 2007). Penetapan KPI dan KGI dilakukan dengan mengacu pada perincian target yang ingin dicapai pada masing-masing proses dan dipetakan pada KPI–Process KGI–ITKGI yang akan ditetapkan. Kemudian dilanjutkan dengan mengidentifikasi resiko yang mungkin timbul dari aktifitas yang bersangkutan. (Wasilah, 2007).

2.11Control Objective

Control Objective merupakan tolok ukur untuk mencapai business goal yang berupa statement. Control Objective dilakukan dengan mengimplementasikan control procedures IT proses tertentu. Control Objective merupakan best practice management objectives umum untuk semua aktivitas TI. (Swastika, 2007).

33 BAB III

METODE PENELITIAN

Pada bab III ini akan dibahas prosedur audit. Ada 7 prosedur audit, yaitu: Audit Subject, Audit Objective, Preaudit Planning, Audit Procedure & Steps For Data Gathering, Prosedur Komunikasi Dengan Pihak Manajemen, Evaluasi Hasil Pengujian, dan Audit Report.

Gambar 3.1 Skema Prosedur Audit

Pada gambar 3.1 adalah langkah-langkah yang akan dilakukan oleh penulis untuk melakukan audit. Dari langkah tersebut yang akan dibahas pada bab 3 ini meliputi langkah 1, 2, 3, 4, dan 5. Untuk langkah 6 dan 7 akan dibahas lebih lengkap pada bab 4.

3.1 Audit Subject

3.1.1. Gambaran umum Institusi

STIKOMP Surabaya merupakan salah satu Perguruan Tinggi di Surabaya yang bergerak dibidang pendidikan komputer. Sebagai sebuah perguruan tinggi

Prosedur Audit

1. Audit Subject

2. Audit Objective

3. Preaudit Planning

4. Audit Procedure & Steps For Data Gathering

5. Prosedur Komunikasi Dengan Pihak Manajemen

6. Evaluasi Hasil Pengujian

yang bergerak di bidang pendidikan komputer, STIKOMP Surabaya mempunyai visi, misi, dan tujuan yang tertuang dalam Rencana Strategis Perusahaan, yaitu : VISI

Tercapainya kepeloporan karena keunggulan manusia pada peringkat benchmark yang pada tahun 2018 mendekati keunggulan sumber daya manusia Singapura dalam upaya mendukung keunggulan studi dalam arti luas tentang Teknologi Informasi (TI) untuk menjamin kesejahteraan manusia yang pluralisme dan multikulturalisme.

MISI

1. Meningkatkan strata pendidikan secara terus-menerus untuk semua lapisan pada bauran kompetensi: bukan hanya pada kognisi dan pada psikomotor keahlian, tapi terutama pada kompetensi sikap mental untuk semua manusianya yang ada di STIKOMP Surabaya agar semakin produktif dan inspiratif, dengan hidup hanya dengan melayani dan melayani.

2. Mengembangkan Corporate Governance yang sehat dan produktif secara sistematik tapi bersifat emerging, demi terciptanya habitat organisasi yang socio-cultural economic sekaligus inovatif.

3. Melakukan integrasi mulai dari perolehan intake mahasiswa walaupun pada standar biasa, tetapi akan selalu dijaga dan diproses tidak hanya pada tingkat maksimum tetapi terutama optimum, sampai dengan suatu hasil outcome yang luar biasa pada hardskill dan terutama pada softskill-nya, demi perkembangan masyarakat, negara dan bangsa.

4. Meningkatkan produktivitas dengan mengoptimalisasi pengelolaan sumber daya, terutama sekali sumber daya manusianya dan sumber daya keuangan berdasarkan pada kegiatan yang relevan dan sesuai dengan harkat manusia. 5. Meningkatkan kesejahteraan untuk semua manusianya berdasarkan

keseimbangan pada keadilan dan prestasi kontribusi organisasional setiap anggota organisasi di STIKOMP Surabaya secara merata dan meyeluruh. 6. Melakukan perluasan pengabdian masyarakat, berbasis pada pengembangan

ilmu dan teknologi yang dikuasai, untuk peningkatan kesejahteraan semua manusia, khususnya dengan peduli pada kaum miskin.

7. Melakukan peningkatan dan penajaman serta perluasan semangat penelitian, bukan demi ilmu dan teknologi itu sendiri, tapi untuk menguak kebenaran realitas kehidupan agar kehidupan manusianya lebih manusiawi dan manusianya berguna bagi seluruh umat manusia.

8. Berjejaring secara proaktif dan sehat dengan stakeholders untuk konsolidasi dan adaptasi organisasi dalam rangka perkembangan dan pertumbuhan organisasi.

TUJUAN

1. Terpenuhinya Quality Assurance (Jaminan Mutu) penyelenggaraan pendidikan tinggi di STIKOM Surabaya.

2. Menghasilkan program studi dengan kurikulum yang terpadu yang berbasis kompetensi dan mengikuti perkembangan teknologi terbaru.

3. Menghasilkan lulusan yang berkualitas dalam skill, knowledge dan attitude (SKA) berkompetensi tinggi dan bersertifikasi international.

4. Meningkatkan profesionalisme dan kompetensi tenaga pengajar di STIKOMP Surabaya.

5. Peningkatan pemanfaatan teknologi informasi di masyarakat dalam menghadapi persaingan era globalisasi.

KOMITMEN

Dengan saling bergandengan tangan baik ke dalam maupun ke luar, semoga visi dan misi ini tidak hanya dipahami, tetapi juga dihayati dan lebih daripada itu dilaksanakan secara konsisten dan semakin meningkat oleh setiap individu yang berada di STIKOMP Surabaya untuk menghidupi (bukan mencari kehidupan dari) STIKOMP Surabaya yang kita banggakan dan akan terus kita cintai dengan semangat hanya melayani dan melayani.

3.1.2. Bagian Pengembangan dan Penerapan Teknologi Informasi (PPTI) Dalam mewujudkan visi, misi, dan tujuan institusi diperlukan penanganan pengelolaan TI di mana hal ini ditangani secara khusus oleh bagian Pengembangan dan Penelitian teknologi informasi (PPTI) yang memiliki tanggung jawab dalam hal pengembangan dan penerapan teknologi informasi yang ada di STIKOMP Surabaya. Bagian PPTI ini terdiri dari kepala bagian, sie pengembangan jaringan dan sie sistem informasi. Semua aplikasi yang ada di STIKOMP Surabaya dikerjakan/dibangun oleh bagian PPTI, seperti:

• Sistem informasi perpustakaan

• Sistem informasi akademik

• Sistem informasi kemahasiswaan

• Sistem informasi keuangan

• Manajemen jaringan/network

• STIKOMnet dan Sistem informasi Cyber Campus (SiCyCa)

3.1.3. Bagian Akademik STIKOMP Surabaya

Dalam mewujudkan visi, misi, dan tujuan institusi diperlukan penanganan layanan akademik di mana hal ini ditangani secara khusus oleh bagian Akademik yang memiliki struktur pada gambar 3.2.

Gambar 3.2 Struktur Bagian Akademik STIKOMP Surabaya

Gambar 3.2 menunjukkan struktur bagian akademik STIKOMP Surabaya yang terdiri dari kepala bagian akademik, kasie front office dan kasie back office. Secara umum kegiatan yang dilakukan oleh kepala bagian akademik adalah penerimaan mahasiswa baru, persiapan awal semester, perkuliahan, akhir semester, penyelenggaraan ujian, pengolahan nilai, yudisium, dan lain-lain. Tugas, tanggung jawab dan wewenang kepala bagian akademik secara lengkap terlihat pada lampiran 3. Secara umum kegiatan yang dilakukan oleh kasie front office adalah penerimaan mahasiswa baru, persiapan awal semester, perkuliahan, akhir semester, pelayanan harian, dan penerimaan mahasiswa transfer. Tugas, tanggung jawab dan wewenang kasie front office secara lengkap terlihat pada lampiran 4. Secara umum kegiatan yang dilakukan oleh kasie back office adalah

penyelenggaraan ujian, pengolahan nilai, dan proses yudisium. Tugas, tanggung jawab dan wewenang kasie back office secara lengkap terlihat pada lampiran 5. 3.1.4. Sistem Informasi Akademik STIKOMP Surabaya

Sebagai salah satu upaya untuk terus meningkatkan mutu pelayanannya STIKOMP Surabaya mengimplementasikan aplikasi Sistem Informasi Akademik, di mana sistem informasi ini berkaitan dengan akademik mahasiswa. Layanan akademik di STIKOMP Surabaya dilakukan oleh bagian akademik. Pada saat ini untuk mendukung bagian akademik dalam menjalankan tugas utamanya STIKOMP Surabaya memfasilitasi bagian akademik dengan suatu sistem informasi akademik. Sistem informasi akademik STIKOMP Surabaya merupakan sebuah sistem yang dikembangkan untuk melakukan manajemen terhadap jalannya suatu proses administrasi dan operasional STIKOMP Surabaya. Sistem informasi akademik ini meliputi (1) Menyiapkan konsep kalender akademik dan buku pedoman akademik, (2) Mengelola dan menyiapkan data induk mahasiswa dan data akademik mahasiswa untuk keperluan jurusan, program studi, (3) Persiapan perkuliahan, yaitu melayani pendaftaran ulang (registrasi) mahasiswa baru dan lama, perencanaan beban studi, perubahan rencana studi, cuti akademik, dan pencetakan kartu mahasiswa, (4) Proses perkuliahan, yaitu melayani pencetakan kartu ujian tengah semester dan akhir semester, serta pencetakan daftar hadir ujian tengah semester dan akhir semester. Pengelolaan data yaitu melayani pemasukan data hasil ujian tengah semester dan akhir semester, dan (5) Penerbitan dokumen akademik yaitu melaksanakan penerbitan dan pembagian kartu hasil studi (KHS), transkrip akademik, dan ijazah.

Sedangkan pengguna yang terlibat dalam sistem informasi akademik dibagi menjadi 2 kelompok yaitu pengguna internal dan pengguna eksternal. a. Pengguna Internal

Secara garis besar pengguna informasi di STIKOMP Surabaya adalah sebagai berikut:

1. Kepala Bagian Akademik, merupakan sebuah bagian yang mengatur jalannya proses administrasi di lingkungan kampus sehari-hari contoh: informasi yang diperlukan diantaranya data nilai seluruh jurusan, jumlah mahasiswa seluruh jurusan, dosen di seluruh jurusan, alumni.

2. Kepala Bagian Program Studi, merupakan bagian yang hubungannya paling dekat dengan proses operasional sehari-hari, dalam operasinya kepala bagian program studi akan membutuhkan informasi diantaranya dosen yang sedang mengajar pada hari dan jam tertentu di suatu ruangan, kelas yang sedang belajar, jumlah peserta suatu mata kuliah, nama-nama dosen pengajar suatu mata kuliah, alumni. Selain itu menggunakan sistem untuk membuat kurikulum, menentukan dosen yang nantinya akan bertanggung jawab mengajar untuk tiap-tiap mata kuliah dan menentukan anggota untuk tiap perkuliahan yang dijadwalkan, menentukan dosen wali bagi mahasiswa. Kepala bagian program studi juga mempunyai hak akses seluruh laporan yang menyangkut semua kegiatan yang dilakukan user dibawahnya : dosen dan mahasiswa.

3. Dosen wali, menggunakan sistem untuk memantau kemajuan studi mahasiswa bimbingannya, melakukan bimbingan jarak jauh maupun melakukan pencarian informasi akademik. Dosen wali bertanggungjawab untuk memeriksa dan

memvalidasi KRS/KHS mahasiswa bimbingannya. Dosen wali juga dapat memvalidasi dan mengikuti perkembangan akademik dari mahasiswa secara online.

4. Dosen, merupakan bagian utama jalannya sebuah perkuliahan, ada beberapa hal penting yang diperlukan dosen dari sebuah sistem informasi diantaranya informasi jadwal mengajar, informasi daftar mahasiswa yang diajar, informasi kurikulum/silabus dari suatau matakuliah.

5. Mahasiswa, merupakan obyek dari sistem ini, ada beberapa informasi yang diperlukan mahasiswa dari sistem informasi, diantaranya adalah daftar nama dosen, daftar matakuliah, daftar nilai yang telah diambil.

b. Pengguna Eksternal

Selain pengguna internal ada juga pengguna eksternal lain di luar lingkungan kampus yang memerlukan informasi, diantaranya adalah:

1. Lembaga terkait, misalnya kopertis atau dikti memerlukan informasi mengenai biodata siswa, daftar nilai siswa, daftar dosen, dll.

2. Orang tua, orang tua siswa atau masyarakat umum memerlukan informasi mengenai jumlah mahasiswa yang aktif, prestasi yang dicapai oleh mahasiswa, dosen, ataupun bagian, kegiatan-kegiatan yang ada di lingkungan kampus, kerjasama yang telah dibina lembaga, dll.

Sedangkan TI eksternal STIKOMP Surabaya telah menyediakan fasilitas teknologi online yang dapat dimanfaatkan untuk proses-proses akademik antara lain pendaftaran mahasiswa baru secara online, nilai perkuliahan online, digital library, bursa kerja secara online, informasi mengenai institusi.

Sumber daya yang tersedia pada umumnya sudah dapat menggunakan TI yang ada serta dapat mengolah data yang dibutuhkan sehingga dapat dihasilkan sistem informasi yang berguna untuk semua tingkatan manajemen. Sumber daya yang perlu dikelola oleh institusi yaitu:

1. Informasi: informasi diperoleh dari hasil pengelolaan data. Data yang ada berkaitan dengan layanan akademik dapat digunakan oleh seluruh bagian yang terkait dalam institusi tersebut. Data tersebut diperoleh baik dari dalam maupun dari luar institusi. Data yang telah diperoleh tersebut belum diolah secara maksimal karena belum terdapat suatu manajemen formal yang mengatur bagaimana sebaiknya pengelolaan data tersebut. Hal ini terkait dengan belum terhubungnya sistem jaringan antar bagian kerja yang ada, tidak terkecuali bagian layanan akademik, sehingga data-data dari masing-masing bagian kerja tidak diperbarui dari komputer pusat.

2. Infrastruktur: infrastruktur meliputi fasilitas maupun teknologi yang ada di institusi sebagai pendukung dalam melakukan fungsi bisnis utamanya. Institusi menyediakan beberapa fasilitas yang dapat digunakan oleh semua bagian, tetapi belum dapat memenuhi kebutuhan dari para penggunanya, sehingga sering terjadi keterlambatan informasi yang dibutuhkan. Sedangkan teknologi yang digunakan pada umumnya sudah mengikuti perkembangan teknologi saat ini. Teknologi yang digunakan sudah mempunyai standar baku mengenai penggunaan TI dan standarisasi mengenai kapan teknologi yang baru dapat diimplementasikan pada institusi tersebut serta sejauh mana penggunaan TI yang baru dapat membantu pihak-pihak terkait dalam memperoleh informasi yang berkualitas.

3. Sistem aplikasi: sistem aplikasi yang ada sudah memiliki standar operasi atau prosedur yang baku dalam penggunaannya. Namun yang menjadi kendala adalah sistem aplikasi yang ada belum terintegrasi secara menyeluruh, karena masih adanya pandangan dimana masing-masing bagian kerja hanya menangani sistem informasi yang berkaitan dengan bagian kerjanya saja serta belum terhubungnya sistem jaringan antar bagian kerja, sehingga data-data dari masing-masing bagian kerja tidak diperbaharui dari komputer pusat. 4. Manusia: sumber daya manusia pada institusi sebagian besar dapat memahami

dan menggunakan aplikasi-aplikasi yang ada serta teknologi yang tersedia dikarenakan setiap terdapat penggunaan TI yang baru, maka pihak institusi akan mengadakan pelatihan terhadap penggunaan TI tersebut, tetapi penjadwalan tentang pelaksanaan pelatihan belum terstruktur dengan baik sehingga masih ada beberapa staf yang belum memahami tahap-tahap dalam menyelesaikan suatu permasalahan.

3.2 Audit Objective

Bagian Akademik STIKOMP Surabaya menyadari bahwa salah satu faktor sukses untuk keberhasilan dan keberlangsungan suatu organisasi adalah manajemen efektif dari informasi dan teknologi informasi. Namun terdapat permasalahan dalam sistem informasi akademik yang ada saat ini dan menjadi alasan penulis untuk melakukan Audit Sistem Informasi Sistem Informasi Akademik di STIKOMP Surabaya, yaitu pengawasan maupun penilaian terhadap kinerja sistem TI yang meliputi perangkat lunak itu sendiri maupun pengguna sistem belum dilakukan secara periodik, human error masih mungkin terjadi

karena pengawasan dan penilaian terhadap TI hanya dilakukan jika ada keluhan dari unit kerja mengenai layanan TI tersebut serta kadang terjadi dengan proses yang sama tetapi hasilnya tidak sama maksudnya dari hasil proses ada yg tersimpan dan ada yg tidak tersimpan.

Sehingga audit sistem informasi sistem informasi akademik bertujuan untuk:

1. Meningkatkan penyampaian informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, akurat, lengkap, dapat dipercaya dan tepat waktu.

2. Mengoptimalkan penggunaan sumber daya.

3. Meningkatkan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.

4. Menyediakan informasi ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.

5. Meningkatkan kepatuhan pada kebijakan/aturan yang sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.

6. Meningkatkan dokumentasi.

3.3 Preaudit Planning

Audit sistem informasi sistem informasi akademik ini dilakukan di Bagian Akademik STIKOMP Surabaya. Dalam mempersiapkan pelaksanaan audit terdapat beberapa hal yaitu mulai dari mengidentifikasi Sumber daya yang diperlukan yaitu berupa beberapa dokumen pendukung, mengidentifikasi sumber daya manusia yang diperlukan yaitu tim auditor yang terdiri dari ketua tim audit

sistem informasi sistem informasi akademik dan anggota tim audit yang lain yang memiliki tugas dalam hal membuat perencanaan audit, mengumpulkan data-data, mengidentifikasi kendali, memperkirakan resiko yang terjadi, mengumpulkan bukti, mengevaluasi temuan, membuat laporan akhir dan membuat rekomendasi serta membuat jadwal pelaksanaan audit ditunjukkan pada tabel 3.1.

Pelaksanaan audit sistem informasi yang dilakukan di Bagian AAK dilaksanakan secara berkelompok. Tabel 3.2 menunjukkan komposisi pembagian penugasan tim audit untuk melaksanakan audit.

Tabel 3.2 Tim Audit

Penugasan Deskripsi Tugas Utama Nama

Lead Consultant/ Partner

Memimpin tim audit dalam segala aspek, antara lain konsolidasi dan persiapan tim audit, pelaksanaan audit, sampai pada analisa dan laporan audit final. Lead Consultant akan berhubungan secara langsung dengan senior manajemen dari STIKOMP, serta melakukan pemecahan masalah yang bersifat strategis yang mungkin muncul serta memastikan bahwa tujuan audit tercapai dan selesai pada waktu yang telah ditentukan.

Lydia Julianita Siti Mukaromah

Consultant/ Auditor

Consultant/Auditor akan melaksanakan dan memastikan proses dan prosedur audit yang akan dilakukan dan dipenuhi sesuai dengan standar audit yang ditentukan. Consultant/Auditor akan mempersiapkan materi audit, serta melaksanakan dan mengalokasikan sumber daya dan arah pelaksanaan audit. Pada tahap akhir, consultant/auditor akan melakukan konsolidasi hasil audit dan melakukan analisa sesuai dengan standar audit.

Lydia Julianita Siti Mukaromah

Data Gathering & Documentation

Bertanggung jawab terhadap pengumpulan data dan melakukan dokumentasi dan memastikan kelengkapan dan validitas dokumen audit yang diperlukan. Membantu consultant dan auditor dalam melakukan konsolidasi hasil audit dan analisa audit.

Lydia Julianita Siti Mukaromah

3.4 Audit Procedure & Steps For Data Gathering

Data yang berkaitan dengan audit sistem informasi sistem informasi akademik STIKOMP Surabaya nantinya akan didapatkan dengan melakukan wawancara terhadap pihak yang akan diaudit (auditee) yaitu kepala bagian

akademik dan kasie bidang PPTI STIKOMP Surabaya, selain wawancara juga dilakukan proses pengamatan dimana waktunya sesuai dengan jadwal yang telah disepakati antara auditee dengan auditor.

Untuk mendapatkan data yang berkaitan dengan sistem informasi akademik nantinya memakai kertas kerja. Poin-poin yang akan dievaluasi sesuai dengan domain Deliver and Support, domain ini lebih dipusatkan pada ukuran tentang aspek dukungan IT terhadap kegiatan operasional bisnis (tingkat jasa layanan IT aktual atau service level) dan aspek prioritas implementasi serta pelatihannya. Di dalamnya terdapat 13 (tujuh) hal yaitu:

1. DS1: Define and Manage Service Levels 2. DS2: Manage Third-party Services 3. DS3: Manage Performance and Capacity 4. DS4: Ensure Continuous Service

5. DS5: Ensure Systems Security 6. DS6: Identify and Allocate Costs 7. DS7: Educate and Train Users

8. DS8: Manage Service Desk and Incidents 9. DS9: Manage the Configuration

10.DS10: Manage Problems 11.DS11: Manage Data

12.DS12: Manage the Physical Environment 13.DS13: Manage Operations

Berikut contoh form audit yang digunakan sebagai bahan wawancara dan observasi pelaksanaan audit. Tabel 3.2 menunjukkan Form Kertas Kerja Maturity Level. Tabel 3.3 menunjukkan KPI, PKGI, ITKGI. Tabel 3.4 menunjukkan Form Kertas Kerja Control Objective.

Tabel 3.3 Kertas Kerja Maturity Level

Tabel 3.5 Kertas Kerja Control Objective

3.5 Prosedur Komunikasi Dengan Pihak Manajemen

Auditor dapat menggunakan berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan) untuk berkomunikasi dengan pihak manajemen dalam memahami organisasi dan sistem informasi yang akan diaudit. Dalam hal ini nantinya auditor menggunakan kertas kerja dan sarana wawancara dengan kepala bagian akademik dan kasie PPTI guna mendapatkan data-data yang akan digunakan dalam audit sistem informasi sistem informasi akademik STIKOMP Surabaya.

3.6 Evaluasi Hasil Pengujian

Pembuatan kertas kerja dan pertanyaan-pertanyaan wawancara yang digunakan untuk mengumpulkan fakta tiap proses yang ada di sistem informasi akademik saat ini, dimana pertanyaan yang diajukan dalam kertas kerja maupun wawancara dibuat dengan mengacu pada Key Performance Indicator (KPI), Process Key Goal Indicator (PKGI) dan aktivitas proses masing-masing control process sesuai management guidelines dari COBIT yang dikembangkan sesuai

dengan yang akan diaudit. Untuk pembahasan lebih detil akan dibahas pada bab IV.

3.7 Audit Report

Dokumen-dokumen, prosedur dan kebijakan dari organisasi yang diaudit dikatakan layak jika ada tanda tangan dari ketua STIKOMP Surabaya atau bagian yang memang bertanggung jawab terhadap suatu aktifitas tersebut. Sedangkan hasil dari audit nantinya akan diukur dengan menggunakan maturity model yaitu alat untuk mengukur seberapa baik proses-proses sistem informasi berkembang. Dengan model maturity manajemen dapat mengukur posisi proses sistem informasi yang sekarang dan menilai hal yang diperlukan untuk meningkatkannya. Alat yang digunakan untuk memetakan posisi proses sistem informasi adalah dengan menggunakan kertas kerja. Kertas Kerja dibuat dengan menggunakan teknik wawancara. Selanjutnya hasil pemetaan maturity direview dengan melakukan wawancara ke pihak terkait apakah tingkat maturity pengelolaan control process yang telah ditentukan pada tahap sebelumnya sudah sesuai dengan kondisi di lapangan. Sedangkan tujuan pengendalian ditetapkan dengan mempertimbangkan Control Objective, KPI (Key Performance Indicators), PKGI (Process Key Goal Indicators), dan ITKGI (Information Technology Key Goal Indicators). Untuk pembahasan lebih detil akan dibahas pada bab IV.

51

Pada bab ini membahas tentang identifikasi kendali dan memperkirakan resiko, mengumpulkan bukti, mengevaluasi temuan, sampai dengan membuat rekomendasi dan kesimpulan hasil audit sistem informasi.

4.1 Evaluasi Hasil Pengujian & Laporan Audit

Memaparkan temuan-temuan hasil audit yang dibagi menurut masing-masing domain menurut audit framework yang digunakan. Penilaian yang dilakukan dihasilkan dari wawancara dengan pihak-pihak yang berkepentingan. Pihak-pihak yang berkepentingan tersebut telah ditentukan pada RACI Chart. RACI Chart menjelaskan siapa yang Bertanggung Jawab (Responsible), Accountable, Consulted dan/atau Informed.

Berdasarkan COBIT penilaian dilakukan menggunakan 3 pengukuran, yaitu: Control Objective, Maturity Level, dan KPI – KGI.

4.1.1 Control Objective

Control Objective digunakan sebagai tolok ukur untuk mencapai business goal berupa statement yang berisi tentang hasil atau fungsi yang diharapkan. Dilakukan dengan mengimplementasikan control procedures dalam TI proses tertentu. Merupakan karakteristik dari proses yang terkelola dengan baik.

Penilaian Control Objective yang dilakukan pada Bagian AAK STIKOMP Surabaya hanya mencakup domain Acquire & Implement. Berikut ini adalah hasil pengukuran Control Objective yang dilakukan di Bagian AAK STIKOMP Surabaya. Gambar 4.1 Menunjukkan grafik penilaian dari perhitungan

Control Objective. Sedangkan Tabel 4.1 Menunjukkan secara detil nilai dari Control Objective tiap sub domain yang telah ditunjukkan pada gambar 4.1.

4.3333

9 5.6667

2 3.25

5.6 5.5

0 2 4 6 8 10

AI1

AI2

AI3

AI4

AI5

AI6

AI7

Assessment

Gambar 4.1 Grafik Penilaian Control Objectives Domain Acquire & Implement Tabel 4.1 Nilai & Level tiap Sub Domain Acquire & Implement

Sub Domain Nilai Level

AI1 Mengidentifikasi Solusi Otomatis 5.5 Medium

AI2 Memperoleh dan Memelihara Aplikasi Perangkat Lunak 5.6 Medium AI3 Memperoleh dan Memelihara Infrastruktur Teknologi 3.25 Rendah

AI4 Memungkinkan Operation dan Penggunaan 2 Rendah

AI5 Mendapatkan Sumber Daya TI 5.6667 Medium

AI6 Mengelola Perubahan 9 Tinggi

AI7 Install dan Mengakui Solusi dan Perubahan 4.3333 Medium

Skala pengukuran tingkat kepentingan rendah dari nilai 0 – 3, Medium dari 4 – 8, dan Tinggi pada skala 9 – 12. Pada tabel 4.1 terlihat bahwa nilai dan level pada Bagian AAK masih berada pada level yang rendah. Namun nilai paling tinggi pada AI6 Mengelola Perubahan (Manage Changes). Dari nilai-nilai tersebut dapat diambil kesimpulan sebagai berikut:

AI1 Mengidentifikasi Solusi Otomatis

Dokumentasi yang dilakukan pada proses pendefinisian dan pemeliharaan fungsional bisnis dan kebutuhan teknis sudah optimal dengan pengendalian yang sedang atau sesuai kebutuhan. Sedangkan pengendalian yang baik telah dilakukan untuk laporan analisa resiko, studi kelayakan, dan putusan kelayakan. Proses dokumentasi yang optimal juga telah dilakukan untuk studi kelayakan dan putusan kelayakan. Namun dokumentasi untuk laporan analisa resiko masih bersifat informal.

AI2 Memperoleh dan Memelihara Aplikasi Perangkat Lunak

Pelaksanaan pengendalian Rancangan tingkat tinggi dilakukan sangat baik dan didokumentasikan secara formal. Rancangan rinci mempunyai pengendalian yang bagus dan pendokumentasian yang formal. Pada pengendalian aplikasi yang didokumentasikan secara informal dilakukan pengendalian yang baik. Keamanan aplikasi dan ketersediaan didokumentasikan secara informal namun mempunyai pengendalian yang sangat bagus. Konfigurasi dan implementasi dari aplikasi perangkat lunak didokumentasikan secara informal dan mempunyai pengendalian yang cukup. Upgrade utama untuk sistem yang ada telah didokumentasikan secara informal dan pengendalian yang cukup. Pengembangan perangkat lunak aplikasi dilakukan pengendalian yang cukup dan pendokumentasian secara informal. Jaminan kualitas perangkat lunak mempunyai dokumentasi secara informal dan pengendalian yang cukup juga. Manajemen kebutuhan aplikasi dan aplikasi perangkat lunak telah dilakukan pendokumentasian secara formal dan pengendalian yang bagus.

AI3 Memperoleh dan Memelihara Infrastruktur Teknologi

Rencana Perolehan Infrastruktur Teknologi mempunyai pengendalian yang sangat bagus dan dokumentasi yang dilakukan secara formal. Perlindungan Sumber Daya Infrastruktur dan Ketersediaan, Pemeliharaan Infrastruktur, dan Lingkungan Uji Kelayakan dilakukan dengan pengendalian yang bagus dan dokumentasi yang dilakukan secara informal.

AI4 Memungkinkan Operation dan Penggunaan

Perencanaan untuk Solusi Operasional, Memindahkan ilmu ke Manajemen Bisnis, Pemindahan Ilmu ke Pengguna Akhir, serta Pemindahan Ilmu ke Staf Operasi dan Pendukung dilakukan pengendalian yang cukup dilakukan pendokumentasi secara informal.

AI5 Mendapatkan Sumber Daya TI

Kendali perantara yang dilakukan dengan pengendalian yang bagus dilakukan dokumentasi dengan optimal. Pengelolaan Kontrak Suplier didokumentasi dengan formal dan mempunyai kendali yang bagus. Pemilihan Suplier tidak dilakukan dokumentasi dan dengan kendali yang cukup. Perolehan Perangkat Lunak, Perolehan Pengembangan Sumber Daya Perolehan Infrastruktur, Fasilitas dan Layanan yang Berhubungan didokumentasi secara informal dan dengan kendali yang bagus.

AI6 Mengelola Perubahan

Perubahan standar dan prosedur dilakukan pendokumentasian yang sangat optimal. Penilaian dampak dan perubahan penutupan dilakukan pendokumentasian secara formal. Sedangkan perubahan darurat dan pencatatan

perubahan tidak dilakukan adanya pendokumentasian. Dari semua proses pada AI6 dilakukan pengendalian dengan bagus.

AI7 Install dan Mengakui Solusi dan Perubahan

Pelatihan, rencana uji, rencana implementasi, konversi sistem dan data, pengujian perubahan, promosi terhadap produksi, pengeluaran (release) perangkat lunak, dan distribusi sistem dilakukan dengan pengendalian yang cukup namun semua proses tersebut dilakukan tanpa adanya dokumentasi. Lingkungan uji dan uji penerimaan akhir mempunyai pengendalian yang cukup dan dilakukan pendokumentasian secara informal. Pengendalian yang bagus dilakukan saat pencatatan perubahan dan tinjauan pasca implementasi, dilakukan pendokumentasian secara informal.

4.1.2 Key Performance Indicator (KPI), Process Key Goal Indicator (PKGI), Information Technology Key Goal Indicator (ITKGI)

Pengukuran KPI, PKGI, dan ITKGI memungkinkan manajemen organisasi untuk secara efektif menangani kebutuhan dan tuntutan pengembangan teknologi informasi yang efektif dan efisien. KPI, PKGI, dan ITKGI memberikan gambaran kepada organisasi mengenai posisi dan arah mereka dalam mencapai tujuan-tujuan yang diharapkan dalam pengembangan teknologi informasi.

Key Performance Indicators (KPI) digunakan untuk memantau kinerja setiap proses TI, yang merupakan indikasi utama yang mendefinisikan ukuran dari seberapa baiknya kinerja proses TI dalam memungkinkan tujuan yang akan dicapai (untuk mengukur sejauh mana proses berjalan sesuai dengan goal yang telah ditentukan).

Berikut hasil analisa resiko berdasarkan KPI – PKGI – ITKGI. Aktifitas yang mempunyai resiko tinggi berarti jika aktifitas tersebut tidak terpenuhi, maka proses bisnis yang lain akan terganggu. Sebaiknya aktivitas yang beresiko tinggi ataupun medium diupayakan agar mempunyai resiko yang rendah. Sedangkan aktivitas yang beresiko rendah selayaknya dipertahankan.

1 23 4 5 6 AI1 AI2 AI3 AI4 AI5 AI6 AI7 3 3 2 3 2 2 3 3

3 333

2 22

3 2 3 3 0 3 2 2 3 2 3 3 1 2 2 0 3 RESIKO Sub Proses SUB DOMAIN

Key Performance Indicator Domain Acquire and Implement

Gambar 4.2 Grafik Pengukuran Key Performance Indicator

Pada gambar 4.2 terlihat bahwa berdasarkan pengukuran KPI, proses yang dilakukan untuk domain AI kebanyakan beresiko tinggi. Untuk penjelasan lebih lengkap ada pada lampiran 2.

Key Goal Indicators (KGI) untuk memantau perolehan dari tujuan proses TI, dimana didefinisikan ukuran yang memberitahu pihak manajemen apakah suatu proses IT telah mencapai kebutuhan bisnisnya. KGI digunakan untuk memantau seberapa jauh IT mencapai kebutuhan bisnisnya. KGI dibagi menjadi dua yaitu: KGI untuk Proses dan KGI untuk TI. Process Key Goal Indicators

70

Domain Temuan Sebab Akibat Rekomendasi

AI5 Mendapatkan Sumber Daya TI

Pemilihan Suplier tidak dilakukan dokumentasi dan dengan kendali yang cukup. Perolehan Perangkat Lunak, Perolehan Pengembangan Sumber Daya Perolehan Prasarana, Fasilitas dan Layanan yang Berhubungan didokumentasi secara informal dan dengan kendali yang bagus.

Belum ada kesadaran akan pentingnya dokumentasi

Kesulitan dalam pengambilan keputusan yang konsisten jika terdapat permasalahan yang sama diwaktu yang akan datang

Sebaiknya dokumentasi dibuat pada saat transaksi terjadi atau segera sesudahnya (ketepatan waktu), sebab jika ada tenggang waktu lama, kemungkinan terjadi kesalahan lebih besar dan catatan itu kurang dapat dipercaya lagi.

Pendokumentasian aplikasi dilakukan selalu terlambat setelah proyek selesai (tidak segera dilakukan)

Masih terdapat banyak aktivitas yang terdokumentasi secara informal dan aktivitas yang tidak terdokumentasi.

Kesulitan dalam pengambilan keputusan yang konsisten jika terdapat permasalahan yang sama diwaktu yang akan datang

Sebaiknya dokumentasi dibuat pada saat transaksi terjadi atau segera sesudahnya (ketepatan waktu), sebab jika ada tenggang waktu lama, kemungkinan terjadi kesalahan lebih besar dan catatan itu kurang dapat dipercaya lagi.

AI6 Mengelola Perubahan

Pengerjaan ulang aplikasi tidak selalu disebabkan oleh spesifikasi perubahan.

Adanya perubahan spesifikasi aplikasi.

Penambahan waktu untuk pembangunan aplikasi.

Proses perubahan IT dan SI sebaiknya disesuaikan dengan kepuasan dari pengguna dari segi waktu respon, efektifitas dan prosesnya. Adanya sosialisasi terhadap perubahan yang terjadi.

Domain Temuan Sebab Akibat Rekomendasi

AI7 Install dan Mengakui Solusi dan Perubahan

Belum adanya dokumentasi mengenai pemecahan masalah dan adanya perubahan.

Masih terdapat banyak aktivitas yang terdokumentasi secara informal dan aktivitas yang tidak terdokumentasi.

Kesulitan dalam pengambilan keputusan yang konsisten jika terdapat permasalahan yang sama diwaktu yang akan datang

Sebaiknya dokumentasi dibuat pada saat transaksi terjadi atau segera sesudahnya (ketepatan waktu), sebab jika ada tenggang waktu lama, kemungkinan terjadi kesalahan lebih besar dan catatan itu kurang dapat dipercaya lagi.

72 BAB V PENUTUP

Bab ini berisi kesimpulan yang dapat diambil dan saran-saran yang dapat disampaikan berkaitan dengan temuan selama pengerjaan Tugas Akhir ini. 5.1KESIMPULAN

Ada beberapa kesimpulan yang bisa diambil dari Tugas Akhir ini, yaitu: 1. Tingkat kematangan (maturity level) yang dimiliki pada masing-masing AI

berbeda-beda. Dari hasil perhitungan didapatkan nilai rata-rata dari domain ini adalah 1.115 yang berarti tingkat kematangan manajemen IT Sistem Informasi Akademik STIKOMP Surabaya berdasarkan COBIT 4.0 adalah Initial Level. Pada level tersebut, organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya mengalami kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan pengembangan produk tidak dapat ditemukan, hal tersebut diakibatkan perencanaan yang tidak efisien. Proses pengembangan tidak dapat diprediksi dan tidak stabil, karena proses berubah atau dimodifikasi selama pengerjaan berjalan. Kinerja tergantung pada kemampuan tim. Aktifitas pada proses-proses AI tersebut telah diterapkan, namun belum dibuatkan prosedur secara tertulis dan belum terdokumentasi secara konsisten.

2. Tingkat kepentingan tertinggi yang telah dilakukan pada penelitian tugas akhir ini adalah pada sub domain AI6, yaitu Mengelola Perubahan. Pengukuran tersebut didapatkan dari hasil analisa control objective, analisa maturity level, analisa KPI, PKGI, dan ITKGI.

73

3. Penelitian tugas akhir ini menghasilkan dokumen wawancara, dan Lembar Kertas Kerja yang merupakan hasil dari pengumpulan data, serta dokumen laporan hasil audit yang berupa temuan, kesimpulan dan rekomendasi.

5.2SARAN

Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut tugas akhir ini sebagai berikut:

1. Audit sistem informasi yang dibuat pada Tugas Akhir ini masih mengacu pada domain Acquire and Implement (AI), diharapkan untuk waktu mendatang dikembangkan lebih baik.

2. Audit sistem informasi yang telah dibuat pada Tugas Akhir ini berdasar pada COBIT 4.0. Akan lebih baik lagi jika untuk ke depannya dikembangkan dengan mengacu pada standar yang lain sebagai bahan perbandingan.

74

DAFTAR PUSTAKA

Budiyono. 2007. Analisis Tata Kelola Teknologi Informasi Menggunakan Framework COBIT Dalam Mendukung Layanan Teknologi Informasi Studi Kasus: PT PLN (Persero) Distribusi Jawa Barat dan Banten. Bandung: Program Pascasarjana ITB Bandung.

Djatmiko, Bambang. 2007. Audit Sistem Informasi untuk Menilai Proses Penyampaian dan Dukungan (Delivery and Support) Dalam Pelayanan Informasi Dengan Menggunakan Framework COBIT Studi Kasus: PT. TELEKOMUNIKASI INDONESIA, TBK. R & D CENTER.Bandung: Program Pascasarjana ITB Bandung.

Fitrizal. 2007. Existing Condition Assessment untuk Aplikasi Terintegrasi di Lingkungan TELKOMRisTI dengan Menggunakan Framework COBIT. Bandung: Program Pascasarjana ITB Bandung.

Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi + Pendekatan CobIT. Jakarta. Mitra Wacana Media.

Indrajit, Richardus Eko. 2000. Pengantar Konsep Dasar Manajemen Sistem

Informasi dan Teknologi Informasi. Jakarta: PT Elex Media

Komputindo.

Indrajit, Richardus Eko. 2004. Kajian Strategis Cost Benefit Teknologi Informasi. Yogyakarta: Andi Publiser.

Indrajit, Richardus Eko. 2006. Mengukur Tingkat Kematangan Pemanfaatan Teknologi Informasi Untuk Institusi Pendidikan Suatu Pendekatan Kesiapan Pemegang Kepentingan (Stakeholder). EII Journal: 116-120.

Information Systems Audit and Control Association. IS Standards, Guidelines and

Procedures for Auditing and Control Professionals, ISACA, 2007.

ITGI. 2005. COBIT 4.0 : Control Objective, Management Guidelines, Maturity

Models. United States of America: IT Governance Institute.

Karya, Gede. 2004. Pengembangan Model Audit Informasi Berbasis Kendali.

Priandoyo, Anjar. 2006. Audit Sistem Informasi Berbasis Resiko Untuk Usaha Kecil dan Menengah.EII Journal: 140-143.

Purwono, Edi. 2004. Aspek-aspek EDP Audit Pengendalian InternalPada

Komputerisasi. Yogyakarta: Andi Yogyakarta.

Solikin. 2006. Rancangan Model It Governance Dan Audit Sistem Informasi Perguruan Tinggi, Studi Kasus: Sistem Informasi Stmik ”Amik Bandung”.Sekolah Pascasarjana Institut Teknologi Bandung.

STIKOMP. 2008. Pedoman Administrasi Akademik & Kurikulum STIKOMP

Surabaya. STIKOMP Surabaya.

Surendro, K. 2004. Audit Sistem Informasi Rumah Sakit Dengan Menggunakan Acuan COBIT.GEMATIKA 6 (1): 1-9.

Swastika, I Putu Agus. 2007. Buku Panduan Kuliah STIKOM Surabaya : Audit

Sistem Informasi. Surabaya : STIKOM.

.

Tarigan, Josua. 2006. Merancang IT Governance Dengan COBIT & Sarbanes-Oxley Dalam Konteks Budaya Indonesia. Universitas Kristen Petra Surabaya.

Wasilah. 2007. Perancangan It Governance Untuk Peningkatan Kualitas Layanan Akademik Studi Kasus : Puskom Universitas Lampung. ITB.

Weber, Ron. 1999. Information System Control and Audit, The University of Queensland, Prentice Hall.