SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

TEMU KE-5
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
(BAGIAN 1)

Kelompok : 1
I Gede Aditya Mahendra

1607611006

Astrid Tresnanty

1607611011

Putu Diah Krisna Junitasari

1607611015

PROGRAM PPAk
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
DENPASAR
2016/2017

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL (BAGIAN 1)

PENDAHULUAN
Dalam tahuntahun terakhir, makin banyak perusahaan yang mengalami kegagalan besar
dalam mengandalkan keamanan dan integritas sistem komputernya. Kegagalan tersebut
terjadi antara lain disebabkan karena :
1. Informasi tersedia di banyak pegawai
2. informasi dalam jaringan komputer yang terdistribusi sulit untuk dikendalikan
3. Di perusahaan yang sudah mengintegrasikan sistem informasi perusahaan dengan
konsumen dan pemasok, baik perusahaan dan konsumen dan pemasok memiliki akses
ke data dan sistem satu sama lain, sehingga muncul masalah kerahasiaan informasi.
Dengan demikian perlindungan terhadap data dan informasi perusahaan menjadi sangat
rentan dan seringkali tidak dilindungi dengan baik. Hal tersebut disebabkan karena:
KONSEP DASAR PENGENDALIAN INTERNAL
Sistem Pengendalian Intern merupakan istilah yang telah umum dan banyak
digunakan berbagai kepentingan. Istilah Pengendalian intern diambil dari terjemahan istilah
Internal Control meskipun demikian penulis menterjemahkan sebagai pengawasan intern,
untuk istilah tersebut hal ini tidaklah menjadi masalah karena tidak mengurangi pengertian
Sistem Pengendalian Intern secara umum.
Pengendalian intern mencakup rencana organisasi dan semua metode serta tindakan
yang telah digunakan dalam perusahaan untuk mengamankan aktivanya, mengecek
kecermatan dan keandalan dari data akuntansinya, memajukan efisiensi operasi, dan
mendorong ketaatan pada kebijaksanaan-kebijaksanaan yang telah ditetapkan pimpinan
(James 1997:155).
Meskipun demikian, AICPA mengemukakan bahwa suatu Sistem Pengendalian Intern
yang memuaskan akan bergantung sekurang-kurangnya empat unsur Pengendalian Intern
adalah sebagai berikut :
a. Suatu struktur organisasi yang memisahkan tanggung jawab fungsional secara tepat.
b. Suatu sistem wewenang dan prosedur pembukuan yang baik berguna untuk melakukan
pengawasan akuntansi yang cukup terhadap harta milik, hutang-hutang, pendapatanpendapatan dan biaya-biaya.
c. Praktek-praktek yang sehat haruslah dijalankan didalam melakukan tugas-tugas dan fungsifungsi setiap bagian dalam organisasi.
1

d. Suatu tingkat kecakapan pegawai yang sesuai dengan tanggung jawab.

MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL
COBIT Framework
COBIT (Control Objectives for Information and Related Technology) merupakan
audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit
and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi,
dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat
diterima dan diterapkan secara internasional.
Kriteria Informasi berdasarkan COBIT
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria
informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
1. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan
dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
2. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang
paling produktif dan ekonomis) yang optimal.
3. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting
dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
4. Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi
dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
5. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika
diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini
juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
6. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan
hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
7. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen
untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat
laporan keuangan.
2

Komponen Control Objective

Berdasarkan IT Governance Institute (2012), Framework COBIT disusun dengan
karakteristik yang berfokus pada bisnis (bussiness focused). Pada edisi keempatnya ini,
COBIT Framework terdiri dari 34 high level control objectives dan kemudian
mengelompokan proses tersebut menjadi 4 domain, keempat domain tersebut antara lain:
Plannig and Organization, Acquisition and Implementation, Delivery and Support, dan
Monitoring and Evaluation:
1. Planing and Organization (Perencanaan dan Organisasi). Mencakup strategi,
taktik dan identifikasi kontribusi terbaik TI demi pencapaian tujuan organisasi.
2. Acquire and Implement (Pengadaan dan Implementasi). Untuk merealisasikan
strategi TI, perlu dilakukan pengidentifikasian, pengembangan dan perolehan solusi
TI, sesuai dengan yang akan diimplementasikan dan diintegrasikan ke dalam proses
bisnis.
3. Delivery and Support (Pengiriman Layanan dan Dukungan). Domain ini fokus
terhadap penyampaian jasa yang sesungguhnya diperlukan, termasuk penyediaan
layanan, manajemen keamanan dan kontinuitasnya, jasa dukungan kepada user dan
manajemen data dan fasilitas operasi.

COSO Internal Control-Integrated Framework

Produk yang telah dihasilkan oleh COSO antara lain Internal Control Integrated
Framework (1992) dan Enterprise Risk Management Integrated Framework (1994).
Indonesia mengadopsi Internal Control Integrated Framework (1992) dalam Peraturan
Pemerintah Nomor 60 Tahun 2008 mengenai Sistem Pengendalian Intern Pemerintah. Dalam
perkembangannya COSO telah mengeluarkan kerangka IC terbaru yaitu Internal Control
Integrated Framework (2013) untuk menggantikan kerangka IC yang lama.
COSO mendefinisikan IC adalah process, effected by an entitys board of directors,
management, and other personnel, designed to provide reasonable assurance regarding the
achievement of objectives relating to operations, reporting, and compliance. Definisi ini
sengaja dibuat secara luas agar dapat menangkap konsep yang penting mengenai bagaimana
suatu organisasi merancang, mengimplementasikan, melaksanakan IC, dan menilai efektivitas
dari sistem pengendalian internal, serta memberikan dasar dalam pengaplikasiannya di
berbagai tipe organisasi. Selain itu definisi ini juga mengakomodasi bagian-bagian dari IC.
3

Control Environment.
Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi
dasar dalam pelaksanaan IC di seluruh organisasi. Terdapat lima prinsip yang terkait dengan
komponen ini yaitu:

Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika

Board of directors menunjukkan independensi dari manajemen dan melaksanakan

pengawasan terhadap pengembangan dan pelaksanaan IC.

Dengan pengawasan Board, manajemen menetapkan struktur, bentuk pelaporan,

tanggung jawab dan otoritas yang diperlukan dalam rangka pencapaian tujuan.

Organisasi

menetapkan

komitmen

dalam

menarik,

mengembangkan,

dan

mempertahankan individu yang kompeten dalam rangka pencapaian tujuan.

Organisasi memegang individu yang bertanggungjawab dalam IC dalam rangka

pencapaian tujuan.

Risk Assessment.
Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi
dan menganalisis risiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana
risiko harus dikelola. Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:

Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk

dilakukan identifikasi dan penilaian risiko yang terkait dengan tujuan.

Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di seluruh

entitas dan menganalisis risiko untuk menjadi dasar bagaimana risiko akan
diperlakukan.

Organisasi mempertimbangkan potensi fraud dalam penilaian risiko.

Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi sistem

pengendalian internal secara signifikan.

Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka tersendiri mengenai
Enterprise Risk Management Integrated Framework (2004)
Control Activities.
Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan
kebijakan untuk meyakinkan bahwa manajemen telah mengarah untuk memitigasi risiko
dalam rangka pencapaian tujuan. Terdapat tiga prinsip dalam komponen ini yaitu:

Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi

terhadap mitigasi risiko sampai pada tingkat yang dapat diterima dalam rangka
pencapaian tujuan.

Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum terkait

teknologi dalam rangka pencapaian tujuan.

Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur

dalam pengimplementasiannya.

Information and Communication.

Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya dalam rangka
pencapaian tujuan. Sedangkan komunikasi terjadi baik secara internal maupun eksternal
dengan menyediakan informasi yang diperlukan dalam rangka pelaksanaan IC sehari-hari.
Terdapat tiga prinsip dalam komponen ini yaitu:

Organisasi memperoleh dan menggunakan informasi yang berkualitas dan relevan

dalam rangka mendukung fungsi dari komponen lain dalam IC.

Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan

tanggung jawab IC dalam rangka mendukung fungsi dari komponen lain dari IC.

Organisasi berkomunikasi dengan pihak eksternal terkait hal yang mempengaruhi

fungsi dari komponen lain dalam IC.

Monitoring Activity.
Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan seluruh
komponen IC ada dan berfungsi. Terdapat dua prinsip dalam komponen ini yaitu:

Organisasi memilih, mengembangkan, dan melaksanakan evaluasi berkelanjutan

dan/atau terpisah untuk memastikan seluruh komponen IC ada dan berfungsi.
5

Organisasi mengevaluasi dan mengomunikasikan defisiensi IC pada pihak yang

bertanggung jawab agar diambil tindakan korektif.

COSO Enterprise Risk Management (ERM) Framework

Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek
untuk mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk
mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada
tahun 2004 dengan dirilisnya COSO ERM Integrated Framework, yang mendefinisikan
manajemen risiko sebagai:
Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam
entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan,
dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar
terhadap pencapaian sasaran dari entitas.
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat
menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
1. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
2. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
3. Pelaporan: keterpercayaan dari pelaporan.
4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait,
yaitu:
1. Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya,
serta pandangan entitas terhadap risiko dan manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan,
serta konsisten dengan risk appetite perusahaan.
6

3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran
perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat
muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan
dijadikan dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance),
menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing).
Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko
dengan risk appetite dan risk tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan
perlakuan risiko diterapkan dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk
dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
COSO ERM Integrated Framework juga mendeskripsikan peran dan tanggung
jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar
yang ditanamkan COSO ERM adalah bahwa semua bagian di dalam perusahaan memiliki
tanggung jawab terhadap ERM, yang artinya implementasi manajemen risiko harus
mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup seluruh
seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan
tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab
yang dijelaskan COSO ERM:

Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan

pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan
risk appetite dari entitas;
7

Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan

berjalannya ERM yang efektif pada keseluruhan perusahaan;

Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM

perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko
di ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;

Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan;

Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam
menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan;

Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan
dalam value chain perusahaan) tidak memiliki tanggung jawab dalam memastikan
efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam
menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.

Daftar Pustaka
Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi. Jakarta: Mitra Wacana Media
IT Governance Institute. 2007. COBIT ver. 4.1: Framework, Control Objective, Management Guidelines,
Maturity Models. Rolling Meadow.
Sucahyo, dkk. 2007. Audit Sistem Informasi dengan Kerangka Kerja COBITuntuk Evaluasi Manajemen TI di
Universitas XYZ. Jurnal Sistem Informasi MTI-UI.

KASUS: PENERAPAN TATA KELOLA AUDIT SISTEM INFORMASI DENGAN

MENGGUNAKAN COBIT
A. Latar Belakang
Pemenuhan kebutuhan akan teknologi informasi bagi semua organisasi menyebabkan
perkembangan sistem informasi yang melesat. Begitu pula dengan teknologi, semakin
berkembangannya internet, maka dunia bisnis makin menyadari bahwa terdapat peluangpeluang baru bagi para pengusaha untuk dapat bekerja dengan cara yang berbeda.
Dampaknya antara lain ialah diperkenalkannya electronic business (e-business) dan
electronic commerce (e-commerce). Dengan adanya e-commerce perusahaan bisa menjual
atau berinteraksi dengan pelanggan/konsumen (customers) atau partners-nya dalam 24 jam
atau 7 hari dalam satu minggu kapanpun, di manapun mereka berada. Internet telah
mendorong perubahan, dan kini bisnis berada dalam lingkungan electronic networking
environment. Dalam electronic networking environment aktivitas bisnis telah melewati batasbatas tempat/lokasi/Negara dan waktu.
Penggunaan teknologi infromasi mempunyai banyak keuntungan bagi perusahaan.
Peningkatan peran teknologi harus sesuai dengan jumlah keuntungan perusahaan.
Peningkatan peran informasi nantinya harus berbanding lurus dengan investasi (berupa uang
tunai) dalam jumlah yang besar. Untuk itu, diperlukan adanya sebuah tata kelola teknologi
informasi yang baik bagi sebuah perusahaan dimulai dari perencanaan sampai dengan
implementasi, agar perusahaan tersebut berjalan dengan optimal.
Audit sistem informasi mempunyai banyak sekali cara, salah satunya adalah COBIT.
COBIT framework digunakan oleh auditor sebagai dasar untuk mengevaluasi dan
mengembangkan internal control. Dengan demikian, perusahaan tidak merasa cemas kalau
investasi teknologi informasi mereka membawa keuntungan yang maksimal bagi
perusahaannya. Peran sistem informasi yang signifikan inilah yang harus diimbangi dengan
pengaturan dan pengolahan yang tepat, sehingga kerugian-kerugian yang dapat terjadi dapat
di minimalisir. Kerugian tersebut dapat berupa informasi yang tidak akurat yang disebabkan
9

oleh pemrosesan data yang salah, sehingga dapat mempengaruhi pengambilan keputusan
yang salah dan bisa juga dapat berakibat keamanan data tidak terjaga dan data tidak dapat
pertahankan integritasnya.
Tata kelola informasi pada proses pengelolaan data adalah manajemen pengelolaan data
yang merupakan aset penting dalam bagi perusahaan ataupun organisasi. Tata kelola
informasi pada proses pengelolaan data yang kurang baik akan menimbulkan beberapa
permasalahan yang merupakan kelemahan sehingga akan menimbulkan ancaman seperti
kejadian kehilangan, perusakan, pencurian, dan penyadapan data penting perusahaan atau
organisasi. Langkah-langkah perbaikan yang berkelanjutan terhadap tata kelola teknologi
informasi khususnya pada proses pengelolaan data diharapkan akan mampu meminimalisasi
resiko ancaman di atas. Untuk dapat melakukan perbaikan tata kelola teknologi informasi,
maka perusahaan atau organisasi tersebut terlebih dahulu harus mampu memahami tingkat
pengelolaan teknologi informasi yang diharapkan sehingga langkah-langkah perbaikan yang
dilakukan akan efektif.
Badan Pemeriksa Keuangan Republik Indonesia (BPK RI) adalah instansi pemerintahan
untuk melaksanakan pemeriksaan atas pengelolaan dan tanggung jawab keuangan negara
yang mempunyai tujuan strategis yang antara lain adalah memenuhi harapan dan pemilik
kepentingan (stakeholders) dan mendorong terwujudnya tata kelola yang baik atas
pengelolaan dan tanggung jawab keuangan Negara. BPK RI mengimplementasikan
penggunaan teknologi informasi dalam kegiatan operasionalnya seperti penggunaan Tehnik
Audit Berbasis Komputer (TABK), penggunaan aplikasi pemeriksaan, dan lain-lain. Agar
penggunaan teknologi informasi tersebut dapat mendukung tercapainya tujuan strategis, BPK
RI memerlukan pengelolaan teknologgi informasi yang baik.
B. Sekilas Tentang CobIT
COBIT~Control Objective for Information and related Technology
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari
ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga saat
artikel ini di muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama
diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada
tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis
baru-baru saja.
COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga
disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara
10

kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu
organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik
digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar
panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan TI. Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan
semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan
pengambilan keputusan di level top dalam organisasi.
siapa saja yang menggunakan COBIT?, COBIT digunakan secara umum oleh mereka
yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang
organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi
informasi.
C. Skala Maturity dari CobIT
Maturity model adalah suatu metode untuk mengukur level pengembangan
manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen
tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada
tercapainya tujuan-tujuan COBIT yang . Sebagai contoh adalah ada beberapa proses dan
sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses
dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian
yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko
Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung
pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan
maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya
kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan
mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini (sebagai pembanding)
3. status standart internasional dalam bidang TI saat ini (sebagai pembanding)
4. strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi
pengelolaan TI perusahaan)
11

Tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi 6 level :

Level 0(Non-existent); perusahaan tidak mengetahui sama sekali proses teknologi informasi
di perusahaannya.
Level 1(Initial Level); pada level ini, organisasi pada umumnya tidak menyediakan
lingkungan yang stabil untuk mengembangkan suatu produk baru. Ketika suatu organisasi
kelihatannya

mengalami

kekurangan

pengalaman

manajemen,

keuntungan

dari

mengintegrasikan pengembangan produk tidak dapat ditentukan dengan perencanaan yang

tidak efektif, respon sistem. Proses pengembangan tidak dapat diprediksi dan tidak stabil,
karena proses secara teratur berubah atau dimodifikasi selama pengerjaan berjalan beberapa
form dari satu proyek ke proyek lain. Kinerja tergantung pada kemampuan individual atau
term dan varies dengan keahlian yang dimilikinya.
Level 2(Repeatable Level); pada level ini, kebijakan untuk mengatur pengembangan
suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan.
Tingkat efektif suatu proses manajemen dalam mengembangankan proyek adalah
institutionalized, dengan memungkinkan organisasi untuk mengulangi pengalaman yang
berhasil dalam mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang
tidak sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced,
dokumentasi, enforced, trained, measured, dan dapat ditingkatkan. Product requirement dan
dokumentasi perancangan selalu dijaga agar dapat mencegah perubahan yang tidak
diinginkan.
Level 3(Defined Level); pada level ini, proses standar dalam pengembangan suatu
produk baru didokumentasikan, proses ini didasari pada proses pengembangan produk yang
telah diintegrasikan. Proses-proses ini digunakan untuk membantu manejer, ketua tim dan
anggota tim pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang telah
didefenisikan dengan baik mempunyai karakteristik; readiness criteria, inputs, standar dan
prosedur dalam mengerjakan suatu proyek, mekanisme verifikasi, output dan kriteria
selesainya suatu proyek. Aturan dan tanggung jawab yang didefinisikan jelas dan dimengerti.
Karena proses perangkat lunak didefinisikan dengan jelas, maka manajemen mempunyai
pengatahuan yang baik mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan
proyek dalam pengawasan dan kualitas produk yang diawasi.
Level 4(Managed Level); Pada level ini, organisasi membuat suatu matrik untuk suatu
produk, proses dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses
12

untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima.
Resiko perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan
diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses diukur dan
dijalankan dengan limit yang dapat diukur.
Level 5(Optimized Level); Pada level ini, seluruh organisasi difokuskan pada proses
peningkatan secara terus-menerus. Teknologi informasi sudah digunakan terintegrasi untuk
otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta
kemampuan beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan dan
defects untuk menentukan penyebab kesalahannya. Proses pengembangan melakukan
evaluasi untuk mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi lagi.
cobIT memiliki sebuah kerangka kerja yang terdiri atas beberapa arahan, yakni:
(1)

Control Objective: Terdiri atas 4 tujuan tingkat-tinggi yang terdapat dalam 4 domain,

yaitu: planing & organization, acquisition & implementation, delivery & support, dan
monitoring.
(2) Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian rinci untuk membantu
para auditor dalam memberikan management assurance dan/atau saran perbaikan.
(3)

Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai

apa-apa yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut.
a.
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya IT yang dikeluarkan sesuai
b.
c.
d.
e.
f.

dengan manfaat yang dihasilkannya.

Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor-faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses
(critical success factors)?
Apa saja resiko yang timbul bila sasaran yang ditentukan tak tercapai?
Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan?
Bagaimana anda mengukur keberhasilan dan menilainya?
CobIT dikembangkan sebagai generally applicable and accepted standard for good

Information Technology (IT) security and control practices. CobIT diharapkan dapat
membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI,membantu
pengoptimalan

investasi

TI,

dan

menyediakan

ukuran/kriteria

ketika

terjadi

penyelewengan/penyimpangan, serta dapat diterapkan dan diterima sebagai standar

keamanan TI dan praktek kendali untuk mendukung kebutuhan manajemen dalam
menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi
mereka.
CobIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk
13

manajemen TI mencakup 4 domain,yaitu: Plan and Organize (PO), Acquire and

Implementation (AI), Deliver and Support (DS), dan Monitor and Evaluated (ME). Setiap
domain memilikii karakteristik yang berbeda. Keempat domain yang di gunakan dalam
a.

penelitian ini yaitu:

Plan and Organized (PO)
Domain ini mencakup strategi dan taktik, dan mengkhususkan pada identifikasi cara
teknologi informasi dapat berkontribusi pada pencapaian objek bisnis. Berikut ini adalah jenis

dari plan and organized.

P01 Define a strategic IT plan
P02 Define the information arcitechture
P03 Determine technological direction
P04 Define the IT Organization
P05 Manage IT Investment
P06 Communicate Managemen Aims and Direction
P07 Manage Human Resources
P08 Ensure Compliance with External Requirement
P09 Assess Risks
P10 Manage Project
P11 Manage Quality
b. Acquire and Implementation (AI)
Digunakan untuk merealisasikan strategi teknologi informasi, solusi teknologi informasi
perlu diidentifikasi, dikembangkan atau diperoleh seperti halnya diimplementasi dan
diintegrasikan kedalam proses bisnis. Berikut ini adalah jenis dari acquired and
implementation.
AI 1 Identify Automated System
AI 2 Acquire and maintain application software
AI 3 Acquire and maintain Technology Infrastructure
AI 4 Develop and Maintain Procedure
AI 5 Install and Accredit system
AI 6 Manage Change
c.

Deliver and Support (DS)

Domain ini dihubungkan dengan penyampaian sesungguhnya layanan yang

diperlukan, yang mencakup penyediaan layanan, manajemen keamanan dan kelangsungan,

dukungan layanan pada pengguna, manajemen data dan fasilitas operasional. Berikut ini
adalah jenis dari deliver and support.
DS1 Define and Managed serviced level
DS2 Managed third party services
DS3 Managed performance and capacity
DS4 Ensure continuous services
DS5 ensure system services
DS6 identify and allocate cost
DS7 education and train user
DS8 assist and device customers
14

DS9 manage the configuration

DS10 manage problem and insidents
DS11 manage data
DS12 manage facilities
DS13 manage operations
d. Monitor and Evaluated (ME)
Domain ini berkenaan dengan manajemen kinerja, pemantauan pengendalian internal,
pemenuhan yang terkait dengan regulasi dan pelaksanaan tata kelola. Berikut ini adalah jenis
dari monitor and evaluated.
M1 Monitor the process
M2 Assess Internal Control adequacy
M3 Obtain Independent Assurance
M4 Povide for independent Audit

DAFTAR ISI
Gondodiyoto,Sanyoto.(2007). Audit Sistem Informasi + Pendekatan CobIT.Jakarta:Mitra Wacana Media.
Indriantoro, Nur dan Bambang Supomo. Metodologi Penelitian Bisnis Untuk Akuntansi dan Manajemen,
BPFE, Yogyakarta, 2002.
IT Governance Institute (2005). COBIT 4.0:Control Objectives,

Managements,

Guidelines,Maturity

Models,IT Governance Institute,Illinois.

Mukhtar,Ali Masjono.(1999), Audit Sistem Infromasi.Jakarta:Rineka Cipta.
Ramadhanty,Dwiani,(2010), Penerapan Tata Kelola Teknologi Informasi denganMenggunakan
Framework 4.1 (studi kasus pada PT INDONESIAN POWER).Universitas Indonesia.

15

COBIT