evaluasi tata kelola teknologi informasi...

i

EVALUASI TATA KELOLA TEKNOLOGI INFORMASI

MENGGUNAKAN FRAMEWORK COBIT 5 PADA PT. JASA MARGA

(PERSERO), Tbk

SKRIPSI

Diajukan Sebagai Syarat untuk Memperoleh Gelar Sarjana Strata Satu

Program Studi Sistem Informasi

Disusun Oleh :

SHALLY PUTRI NUR AMALIA

1113093000035

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2017 M / 1439 H

ii

EVALUASI TATA KELOLA TEKNOLOGI INFORMASI

MENGGUNAKAN FRAMEWORK COBIT 5 PADA PT. JASA MARGA

(PERSERO), Tbk

SKRIPSI

Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu

Program Studi Sistem Informasi Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Disusun Oleh:


1113093000035

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2017 M / 1439 H

v

PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-

BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN

SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI

ATAU LEMBAGA MANAPUN.

Jakarta, November 2017


1113093000035

vi

ABSTRAK

Shally Putri Nur Amalia – 1113093000035. Evaluasi Tata Kelola Teknologi

Informasi Menggunakan Framework COBIT 5 Pada PT. Jasa Marga (Persero),

Tbk. Di bawah bimbingan Ibu Fitroh dan Ibu Suci Ratnawati.

PT. Jasa Marga (Persero), Tbk merupakan suatu perusahaan Badan Usaha Milik

Negara (BUMN) yang berperan penting dalam pengadaan jalan bebas hambatan

di Indonesia dan telah menerapkan konsep tata kelola TI di bawah pengawasan

Divisi IT. Penerapan tata kelola TI ini bertujuan untuk menyelaraskan antara

pengelolaan TI dengan strategi bisnis perusahaan. Permasalahan yang ditemukan

diantaranya, adanya indikasi ketidakpatuhan pegawai terhadap peraturan dan

kebijakan yang berlaku serta kurang optimalnya kegiatan pengawasan dan

evaluasi pada kinerja TI. Untuk itu, perlu dilakukan evaluasi untuk mengetahui

capability level tata kelola TI. Metode penelitian ini menggunakan framework

COBIT 5 yang berfokus pada proses MEA01 (Monitor, Evaluate and Asses

Performance and Conformance) dan MEA02 (Monitor, Evaluate and Asses the

System of Internal Control). Penelitian ini menggunakan Process Assessment

Model (PAM) yang terdiri dari Initiation, Planning the Assessment, Briefing, Data

Collection, Data Validation, Process Attribute Level dan Reporting the Result.

Hasil penelitian ini menunjukkan bahwa capability level untuk proses MEA01 dan

MEA02 berada pada level 1 (performed process) yang artinya PT. Jasa Marga

(Persero), Tbk sudah melaksanakan seluruh aktifitas tata kelola namun masih

banyak proses yang belum mencapai tujuan bisnisnya. Sedangkan tingkat

capability level yang diharapkan pada proses MEA01 dan MEA02 berada di level

2 (managed process). Sehingga untuk dapat mencapai level yang diharapkan pada

masing-masing proses, perusahaan harus dapat memenuhi semua capaian atau

dokumentasi yang ada di level 1, seperti membuat kebijakan untuk tindak lanjut

terkait ketidakpatuhan pegawai serta standar dan prosedur untuk mekanisme baru

dalam kegiatan pengawasan.

Kata Kunci: Tata Kelola Teknologi Informasi, COBIT 5, Assessment Process

Activities, Capability Level.

V Bab + XVII Halaman + 204 Halaman + 28 Gambar + 76 Tabel + Daftar Pustaka

+ Lampiran

Pustaka Acuan (38, 2007–2017)

vii

KATA PENGANTAR

Alhamdulillah hirabbil alamin segala puji dan syukur penulis

panjatkan kepada Allah SWT atas segala rezeki, rahmat, nikmat,hidayah dan

karunia-Nya sehingga penulis dapat menyelesaikan Skripsi ini. Shalawat beserta

salam semoga selalu tercurah kepada junjungan Nabi Muhammad SAW beserta

para keluarga, dan para sahabat semoga kita selaku ummatnya mendapatkan

syafa’at dari beliau di akhirat nanti. Amin.

Skripsi ini berjudul “Evaluasi Tata Kelola Teknologi Informasi

Menggunakan Framework COBIT 5 Pada PT. Jasa Marga (Persero), Tbk”

yang disusun untuk memenuhi salah satu syarat dalam menyelesaikan program S1

pada program studi Sistem Informasi di Universitas Islam Negeri Syarif

Hidayatullah Jakarta.

Dalam penyusunan Skripsi ini penulis telah mendapat banyak

bantuan dan bimbingan serta semangat dari berbagai pihak. Pada kesempatan ini

penulis ingin menyampaikan ucapan terima kasih kepada pihak-pihak yang telah

mendukung terselesaikannya skripsi ini. Rasa terima kasih yang sebesar-besarnya

penulis sampaikan kepada:

1. Bapak Dr. Agus Salim, M.Si selaku Dekan Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah.

2. Ibu Nia Kumaladewi, MMSI selaku Ketua Program Studi Sistem Informasi

Fakultas Sains dan Teknologi.

viii

3. Ibu Meinarini Catur Utami, MT selaku Sekretaris Program Studi Sistem

Informasi Fakultas Sains dan Teknologi.

4. Ibu Fitroh, M.Kom selaku Dosen Pembimbing I yang secara bijaksana dan

kooperatif telah memberikan bimbingan dengan sabar, bantuan dan dukungan

baik secara moral maupun teknis dalam penyelesaian skripsi ini.

5. Ibu Suci Ratnawati, MTI selaku Dosen Pembimbing II yang telah

meluangkan waktu, memberikan motivasi, masukan dan dukungan baik

secara moral maupun teknis selama proses penyusunan skripsi ini.

6. Ibu Diah Eka Yulianti selaku Senior Specialist IT Control Monitoring yang

bersedia menjadi pembimbing lapangan selama penulis melaksanakan

penelitian di Kantor Pusat PT. Jasa Marga (Persero), Tbk. Saran, arahan, ilmu

dan waktu luang dari beliau sangat membantu pengerjaan skripsi ini.

7. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu,

motivasi dan nasehat selama penulis duduk di bangku perkuliahan.

8. Bapak Randy, Ibu Ayu dan Ibu Rina serta seluruh staff yang berada di Divisi

IT karena sudah meluangkan waktunya untuk membantu dan bekerjasama

dengan Penulis selama pelaksanaan penelitian berlangsung.

9. Kedua orang tua penulis, Papah Jarkoni dan Mamah Kurniawati, Nenek

penulis Fatimah dan Adik-adik penulis Faisal dan Amelia yang selalu

memberikan do’a yang melimpah, dukungan dan motivasi dalam

menyelesaikan skripsi ini. Ya Allah, selalu jaga kesehatan dan sayangi

mereka.

ix

10. Terimakasih kepada teman-teman seperjuangan, “Power Rangers” (Sindi,

Tyas, Arba, Cici, Lana, Widya) yang telah menemani dari awal kuliah,

memberikan canda, tawa, dukungan, semangat dan motivasi kepada penulis.

11. Keluarga Besar Sistem Informasi 2013 yang menjadi rekan penulis saat

berdiskusi dan berbagi ilmu, terima kasih untuk kebersamaan dan kerjasama

selama ini. Semoga kita sukses dunia dan akhirat.

12. Kawan-kawan kelompok KKN Cemerlang yang telah menjadi rekan penulis

saat melaksanakan pengabdian kepada masyarakat di Desa Curug, Jasinga.

Farah, Irma, Nabila, Wilda, Shofi, Angga, Bayu, Hendy, Adi, Iqbal. Semoga

komunikasi selalu terjaga.

13. Semua pihak yang tidak dapat disebutkan satu persatu yang telah membantu

hingga terselesaikannya skripsi ini.

Penulis sadar bahwa penyusunan skripsi ini masih jauh dari

sempurna, maka dari itu penulis sangat menerima kritik dan saran yang

konstruktif agar penyusunan skripsi ini menjadi lebih baik lagi.

Akhir kata, semoga skripsi ini dapat bermanfaat bagi semua pihak

terutama teman-teman Sistem Informasi UIN Syarif Hidayatullah Jakarta, baik

sebagai bahan karya tulis berupa informasi, perbandingan maupun dasar untuk

penelitian materi lebih lanjut.

Jakarta, November 2017

Shally Putri Nur Amalia

1113093000035

x

DAFTAR ISI

JUDUL ............................................................................................................... i

HALAMAN JUDUL .......................................................................................... ii

LEMBAR PERSETUJUAN ............................................................................... iii

PENGESAHAN UJIAN .................................................................................... iv

PERNYATAAN ................................................................................................. v

ABSTRAK ......................................................................................................... vi

KATA PENGANTAR ....................................................................................... vii

DAFTAR ISI ...................................................................................................... x

DAFTAR GAMBAR ......................................................................................... xiv

DAFTAR TABEL .............................................................................................. xvi

BAB I .................................................................................................................... 1

PENDAHULUAN ................................................................................................ 1

1.1 Latar Belakang ........................................................................................... 1

1.2 Rumusan Masalah ...................................................................................... 6

1.3 Ruang Lingkup dan Batasan Penelitian ..................................................... 7

1.4 Tujuan Penelitian ....................................................................................... 8

1.5 Manfaat Penelitian ..................................................................................... 9

1.6 Pertanyaan Penelitian ............................................................................... 10

1.7 Metodologi Penelitian .............................................................................. 10

1.7.1 Teknik Pengumpulan Data ................................................................ 10

1.7.2 Teknik Analisis Data ........................................................................ 11

1.8 Sistematika Penulisan .............................................................................. 13

BAB II ................................................................................................................... 1

LANDASAN TEORI .......................................................................................... 15

2.1 Evaluasi Tata Kelola Teknologi Informasi .............................................. 15

2.1.1 Evaluasi ............................................................................................. 15

2.1.2 Teknologi Informasi ......................................................................... 16

xi

2.1.3 Tata Kelola Teknologi Informasi ...................................................... 16

2.1.4 Tujuan dan Kegunaan Tata Kelola Teknologi Informasi ................. 17

2.2 Kerangka Kerja (Framework) Tata Kelola Teknologi Informasi ............ 18

2.2.1 Information Technology Infrastructure Library (ITIL) .................... 18

2.2.2 International Standards Organization (ISO) .................................... 19

2.2.3 Committee of Sponsoring Organization of the Treadway Commission

(COSO) ....................................................................................................... 20

2.2.4 Control Objective for Information and related Technology (COBIT) 20

2.2.5 Perbandingan COBIT Dengan Framerwork Lain ............................ 22

2.3 Perbedaan COBIT 5 dan COBIT 4.1 ....................................................... 24

2.4 COBIT 5 ................................................................................................... 25

2.4.1 Komponen COBIT 5 ......................................................................... 29

2.4.1.1 Principles (Prinsip) pada COBIT 5 ............................................... 29

2.4.1.2 Tujuh Enablers .............................................................................. 33

2.4.2 Implementasi COBIT 5 ..................................................................... 34

2.4.3 Process Reference Model .................................................................. 37

2.4.4 Pemetaan IT Goals terhadap Proses COBIT 5 ................................. 42

2.4.5 Process Capability Indicator ............................................................ 44

2.4.6 RACI Chart ....................................................................................... 61

2.4.7 COBIT Process Assesment Model (PAM) ........................................ 67

2.4.8 Assessment Process Activities ........................................................... 69

2.4.9 Rating Scale ...................................................................................... 71

2.4.10 Determining the Capability Level ..................................................... 72

2.5 Fokus Area Tata Kelola Teknologi Informasi ......................................... 73

2.5.1 MEA01 (Monitor, Evaluate and Assess Performance and

Conformance) ............................................................................................ 79

2.5.2 MEA02 (Monitor, Evaluate and Asses the System of Internal Control)

........................................................................................................... 80

2.5.3 Identifikasi Kebutuhan Dokumen ..................................................... 80

2.6 Pengendalian Internal ............................................................................... 90

2.7 Metodologi Penelitian .............................................................................. 93

xii

2.7.1 Teknik Pengumpulan Data ............................................................... 93

2.7.2 Metode Luftman ................................................................................ 98

2.7.3 Metode Purposive Sampling ........................................................... 102

2.7.4 Teknik Analisis Data ...................................................................... 103

2.8 Skala Pengukuran ................................................................................... 104

BAB III ............................................................................................................... 15

METODOLOGI PENELITIAN ........................................................................ 107

3.1 Desain Penelitian .................................................................................... 107

3.2 Prosedur Penelitian ................................................................................. 107

3.3 Populasi dan Sampel Penelitian ............................................................. 108

3.4 Teknik Pengumpulan Data ..................................................................... 109

3.4.1 Observasi ....................................................................................... 109

3.4.2 Wawancara ...................................................................................... 110

3.4.3 Studi Pustaka ................................................................................... 111

3.5 Teknik Analisis Data .............................................................................. 111

3.5.1 Initiation .......................................................................................... 111

3.5.2 Planning the Assessment ................................................................. 112

3.5.3 Briefing ........................................................................................... 112

3.5.4 Data Collection ............................................................................... 112

3.5.5 Data Validation ............................................................................... 113

3.5.6 Process Attribute Level ................................................................... 113

3.5.7 Reporting the Result ........................................................................ 114

3.6 Instrumen Penelitian ............................................................................... 115

3.6.1 Kuesioner ........................................................................................ 115

3.6.2 Dokumentasi ................................................................................... 117

3.7 Kerangka Berpikir Penelitian ................................................................. 119

BAB IV ............................................................................................................. 107

HASIL DAN PEMBAHASAN ......................................................................... 120

4.1 Initiation ................................................................................................. 120

4.1.1 Sejarah PT. Jasa Marga (Persero), Tbk ........................................... 120

4.1.2 Logo Perusahaan ............................................................................. 122

xiii

4.1.3 Visi dan Misi PT. Jasa Marga (Persero), Tbk ................................. 123

4.1.4 Struktur Organisasi PT. Jasa Marga (Persero), Tbk ....................... 123

4.1.5 Struktur Organisasi Divisi IT .......................................................... 124

4.1.6 Tata Kelola TI PT. Jasa Marga (Persero), Tbk ............................... 128

4.1.7 Pengendalian Internal PT. Jasa Marga (Persero), Tbk .................... 130

4.2 Planning the Assessment ........................................................................ 132

4.3 Briefing ................................................................................................... 148

4.4 Data Collection ...................................................................................... 149

4.4.1 MEA01 Monitor, Evaluate and Asses Performance and Conformance .

......................................................................................................... 149

4.4.2 MEA02 Monitor, Evaluate and Asses the System of Internal Control ...

......................................................................................................... 152

4.5 Data Validation ...................................................................................... 157

4.5.1 Rekapitulasi Jawaban Kuesioner MEA01 ...................................... 157

4.5.2 Rekapitulasi Jawaban Kuesioner MEA02 ...................................... 161

4.6 Process Attribut Level ............................................................................ 169

4.6.1 Penentuan Nilai dan Tingkat Kapabilitas MEA01 ......................... 170

4.6.2 Penentuan Nilai dan Tingkat Kapabilitas MEA02 ......................... 174

4.6.3 Pencapaian Proses pada PT. Jasa Marga (Persero), Tbk ................ 180

4.7 Reporting the Result ............................................................................... 184

4.7.1 Gap dan Rekomendasi .................................................................... 185

4.7.1.1 Gap dan Rekomendasi Proses MEA01 ....................................... 185

4.7.1.2 Gap dan Rekomendasi Proses MEA02 ....................................... 190

BAB V ............................................................................................................... 120

PENUTUP ......................................................................................................... 197

5.1 Kesimpulan ............................................................................................ 197

5.2 Saran ....................................................................................................... 198

DAFTAR PUSTAKA ....................................................................................... 197

LAMPIRAN-LAMPIRAN ................................................................................. 203

xiv

DAFTAR GAMBAR

Gambar 2.1 Evolusi COBIT ........................................................................ 22

Gambar 2.2 Cakupan antara COBIT 5 dengan framework lain ................... 26

Gambar 2.3 Prinsip COBIT 5 ...................................................................... 30

Gambar 2.4 The Governance Objective: Value Creation ............................ 30

Gambar 2.5 Governance and Management Key Areas ................................ 32

Gambar 2.6 Implementasi COBIT 5 ............................................................ 34

Gambar 2.7 Model Referensi Proses ............................................................ 38

Gambar 2.8 Pemetaan Proses COBIT 5 ....................................................... 42

Gambar 2.9 Pemetaan Proses COBIT 5 ....................................................... 43

Gambar 2.10 Model Kapabilitas Proses ......................................................... 44

Gambar 2.11 RACI Chart MEA01 (Monitor, Evaluate and Assess Performance

and Conformance) ................................................................. 62

Gambar 2.12 RACI Chart MEA02 (Monitor, Evaluate and Asses the System of

Internal Control) .................................................................... 63

Gambar 2.13 Assesment Indicators ................................................................ 68

Gambar 2.14 Assesment Process Activities .................................................... 69

Gambar 2.15 Rating Scale ............................................................................. 72

Gambar 2.16 Detrtmining Capability Level ................................................... 73

Gambar 2.17 Metode Penelitian Identifikasi Masalah dalam Menentukan Proses

Domain .................................................................................. 74

Gambar 2.18 Enterprise Goals ...................................................................... 75

Gambar 2.19 Mapping COBIT 5 IT-Related Goals ....................................... 76

Gambar 2.20 Mapping COBIT 5 Process ...................................................... 78

Gambar 2.21 Hubungan GWP untuk Cpability Level .................................... 88

Gambar 2.22 Gap Kematangan Penyelarasan Strategis ................................. 100

Gambar 3.1 Kerangka Berpikir Assessment COBIT 5 ................................. 119

Gambar 4.1 Logo PT. Jasa Marga (Persero), Tbk ....................................... 122

xv

Gambar 4.2 Struktur Organisasi PT. Jasa Marga (Persero), Tbk ................. 124

Gambar 4.3 Struktur Organisasi Divisi IT ................................................... 125

Gambar 4.4 Diagram Representasi Nilai Kapabilitas MEA01 .................... 174

Gambar 4.5 Diagram Representasi Nilai Kapabilitas MEA02 .................... 180

xvi

DAFTAR TABEL

Tabel 2.1 Perbandingan Framework Tata Kelola TI .................................. 23

Tabel 2.2 Performed Process ..................................................................... 45

Tabel 2.3 Performance Management ......................................................... 46

Tabel 2.4 Work Product Management ........................................................ 48

Tabel 2.5 Process Definition ...................................................................... 49

Tabel 2.6 Process Deployment ................................................................... 51

Tabel 2.7 Process Measurement ................................................................. 54

Tabel 2.8 Process Control .......................................................................... 56

Tabel 2.9 Process Innovation ..................................................................... 58

Tabel 2.10 Process Optimisation .................................................................. 60

Tabel 2.11 Identifikasi Stakeholder Needs ................................................... 74

Tabel 2.12 Domain Hasil Pemetaan IT Goals .............................................. 79

Tabel 2.13 Penelitian Sejenis ........................................................................ 95

Tabel 2.14 Tabel Skor Skala Likert .............................................................. 104

Tabel 2.15 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas ......... 106

Tabel 3.1 Jadwal Penelitian ........................................................................ 108

Tabel 3.2 Daftar Responden ....................................................................... 109

Tabel 3.3 Dokumentasi Proses MEA01 ..................................................... 117

Tabel 3.4 Dokumentasi Proses MEA02 ..................................................... 117

Tabel 4.1 Identifikasi RACI Chart MEA01.01 .......................................... 132








xvii






Tabel 4.14 Tabel Rincian Kuesioner pada MEA01.01 ................................. 138













Tabel 4.27 Jadwal Penelitian ........................................................................ 149

Tabel 4.28 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.01 .. 157












xviii


Tabel 4.41 Tingkat Kapabilitas MEA01 ....................................................... 173

Tabel 4.42 Tingkat Kapabilitas MEA02 ....................................................... 179

Tabel 4.43 Tabel Proses MEA01 PA 1.1 Process Performance .................. 181

Tabel 4.44 Tabel Proses MEA02 PA 1.1 Process Performance .................. 182

Tabel 4.45 Gaps dan Rekomendasi Proses MEA01.01 ................................ 186












Tabel 4.57 Gaps dan Rekomendasi Proses MEA02.08 ................................. 196

1

BAB I

PENDAHULUAN

Bab ini membahas mengenai latar belakang permasalahan, identifikasi

masalah, rumusan masalah, batasan masalah, tujuam penelitian, metodologi

penelitian dan sistematika penulisan yang dilakukan oleh penulis.

1.1 Latar Belakang

Perkembangan teknologi informasi (TI) saat ini dipandang sebagai media

pendukung suatu organisasi atau perusahaan dalam mencapai tujuan bisnis dan

membuat teknologi informasi diharuskan untuk dapat berbaur dalam setiap proses

bisnis dari organisasi (Hilmawan, 2015). Organisasi atau perusahaan

menempatkan teknologi informasi sebagai suatu hal yang dapat mendukung

pencapaian rencana strategis perusahaan untuk mencapai visi, misi dan tujuan

organisasi atau perusahaan tersebut (Candra & Atastina, 2015). Teknologi

informasi yang diterapkan perlu diatur dengan baik agar dapat sejalan dengan

pencapaian strategi bisnis. Untuk mengatur penerapan teknologi informasi,

dikembangkan suatu cara untuk melakukan pengelolaan terhadap teknologi

informasi yaitu dengan tata kelola TI (IT Governance).

Tata kelola TI adalah kumpulan kebijakan, proses aktivitas dan prosedur

untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis

atau strategi organisasi (Oltsik, 2009). Tata kelola TI merefleksikan adanya

penerapan prinsip-prinsip organisasi dengan fokus kepada kegiatan manajemen

2

dan penggunaan TI untuk pencapaian organisasi (Weill & Ross, 2007).Dapat

disimpulkan bahwa tata kelola teknologi informasi adalah suatu sistem untuk

mengarahkan atau mengontrol organisasi untuk mencapai tujuannya dengan

menambahkan suatu teknologi informasi dalam prosesnya.

Berdasarkan Keputusan Menteri Badan Usaha Milik Negara (BUMN)

mengenai tata kelola perusahaan yang baik Good Corporate Governance (GCG)

yang tercantum pada Peraturan Menteri BUMN No. PER-01/MBU/2011 tanggal 1

Agustus 2011 tentang penerapan tata kelola yang baik pada BUMN yang

menyebutkan bahwa “BUMN wajib menerapkan tata kelola secara konsisten dan

berkelanjutan serta menjalankan operasional perusahaan dengan berpegang pada

prinsip-prinsip GCG, yaitu transparansi, akuntabilitas, responsibilitas,

independensi dan kewajaran”. Hal ini dilakukan untuk meningkatkan efisiensi dan

efektivitas teknologi informasi untuk meningkatkan nilai dari penerapan teknologi

informasi.

PT. Jasa Marga (Persero), Tbk merupakan suatu perusahaan Badan Usaha

Milik Negara (BUMN) yang berperan penting dalam pengadaan jalan bebas

hambatan yang ada di Indonesia. Dengan melihat kepada Peraturan Menteri

BUMN yang telah disebutkan sebelumnya, maka PT. Jasa Marga (Persero), Tbk

saat ini sedang berusaha menerapkan tata kelola TI secara optimal. Dapat

diketahui melalui salah satu misi PT. Jasa Marga (Persero), Tbk adalah

meningkatkan mutu dan efisiensi jasa pelayanan tol melalui penggunaan teknologi

yang optimal dan penerapan kaidah-kaidah manajemen perusahaan modern

3

dengan tata kelola yang baik. Dan unit kerja yang bertugas dalam tata kelola TI di

PT. Jasa Marga (Persero), Tbk adalah Divisi IT (Information Technology).

Adapun sebagai acuan pada Peraturan Menteri BUMN Republik Indonesia

Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi BUMN Nomor

PER-02/MBU/2013 Pasal 2 (ayat 1) yang menjelaskan Pemanfaatan dan

Pengembangan Teknologi Informasi BUMN dilakukan berdasarkan pada tata

kelola teknologi informasi dan pada (ayat 2) Tata kelola teknologi informasi

sebagaimana dimaksud pada ayat (1), disusun dan ditetapkan oleh Direksi dengan

mengacu pada Good Coorporate Governance (GCG) dan sesuai Framework tata

kelola teknologi informasi. Sehingga saat ini Divisi IT telah menerapkan standar

dalam pelaksanaan tata kelola TI di PT. Jasa Marga (Persero), Tbk yaitu antara

lain pembuatan Pedoman dan Standar Tata Kelola TI yang dikembangkan dengan

framework COBIT 4.1.

Dalam observasi dan wawancara yang peneliti lakukan kepada Ibu Diah Eka

yang merupakan senior specialist IT control & monitoring di Divisi IT PT. Jasa

Marga (Persero), Tbk, ditemukan beberapa masalah terkait pelaksanaan tata kelola

TI di PT. Jasa Marga (Persero), Tbk. Masalah pertama adalah kurang optimalnya

penggunaan Pedoman dan Standar Tata Kelola TI yang merupakan turunan dari

Kebijakan Tata Kelola Perusahaan di PT. Jasa Marga (Persero), Tbk, dimana

adanya indikasi ketidak patuhan pegawai terhadap peraturan atau kebijakan yang

tercantum dalam Pedoman dan Standar Tata Kelola TI tersebut yang

mengakibatkan kesenjangan antara tujuan dan kinerja TI. Salah satu contohnya,

yang tertulis pada Pedoman dan Standar Tata Kelola TI dimana bagian IT

4

Operation pada Divisi IT yang bertanggung jawab dalam pembangunan,

pengembangan dan pengawasan sistem informasi yang ada di perusahaan.

Sementara, berdasarkan kondisi lapangan, departemen atau divisi lain dapat

membuat atau membeli aplikasi baru tanpa harus koordinasi maupun komunikasi

dengan Divisi IT. Hal ini mengakibatkan aplikasi yang diterapkan seringkali tidak

sesuai dengan standar perusahaan dan menjadikan kurang maksimalnya

pemanfaatan sumber daya TI yang ada.

Masalah lain yang terjadi adalah mengenai kegiatan pengawasan atau

monitoring yang ada pada Divisi IT, dimana pengawasan hanya dilakukan setelah

ada keluhan dari user mengenai kinerja TI yang bermasalah. Hal ini menyebabkan

masalah yang terjadi seringkali tidak dapat terdefinisi dengan benar sehingga sulit

dalam pemberian solusi dan merencanakan perbaikan. Hal ini juga berpengaruh

pada tingkat keberhasilan pelaksanaan suatu program kerja, dimana pada kegiatan

pengadaan program kerja TI, analisis dan evaluasi baru dilakukan ketika program

kerja tersebut tidak dapat mencapai tujuan yang telah direncanakan sehingga

sering terjadi keterlambatan waktu dalam setiap tahapan pengerjaan program,

bahkan beberapa program pada akhirnya tidak terealisasikan. Hal ini

menyebabkan pelaksanaan program lainnya menjadi terhambat.

Menurut Peraturan Menteri BUMN No. PER-01/MBU/2011 Pasal 44 (1)

yang menyebutkan bahwa “BUMN wajib melakukan pengukuran atas kualitas

penerapan GCG yang dilaksanakan berkala setiap 2 (dua) tahun dalam 2 bentuk

yaitu 1) Penilaian (assessment) atas pelaksanaan GCG dan 2) Evaluasi (review)

atas tindak lanjut rekomendasi perbaikan hasil penilaian sebelumnya”.

5

Berdasarkan peraturan tersebut Evaluasi Tata Kelola TI sudah dilakukan di

beberapa perusahaan BUMN seperti PT. Kereta Api Indonesia dan PT. Angkasa

Pura yang bertujuan untuk mengukur tingkat implementasi praktik tata kelola TI

sekaligus mendapatkan rekomendasi untuk perbaikannya di masa mendatang.

Sehingga untuk mengatasi permasalahan terkait pelaksanaan tata kelola yang telah

dijelaskan di atas, PT. Jasa Marga (Persero), Tbk memerlukan suatu evaluasi guna

mengetahui tingkat kepatuhan pegawai terhadap peraturan dan kebijakan internal

serta melihat sejauh mana tingkat pengawasan terhadap kinerja TI yang

berpengaruh pada keberhasilan dan kesesuaian suatu kinerja.

Tata kelola teknologi informasi mempunyai banyak tools untuk melakukan

penilaian dan pengukuran indikator dalam membantu organisasi mengelola

penggunaan TI mereka, seperti International Standards Organization (ISO),

Information Technology Infrastructure Library (ITIL), Projects in Controlled

Environments (PRINCE) dan Control Objectives for Information and Technology

(COBIT) (Jogiyanto, 2011). Pada penelitian ini peneliti menggunakan framework

COBIT 5 sebagai tools untuk melakukan evaluasi tata kelola TI. Peneliti memilih

COBIT 5 karena menurut ISACA dalam modul Framework yang membantu

perusahaan dalam memenuhi sasaran mereka untuk tata kelola dan manajem TI

perusahaan (ISACA, 2012). COBIT 5 sudah mendefinisikan dan menjelaskan

secara rinci mengenai tata kelola dan manajemen proses. Dimana manajemen

proses tersebut sudah mewakili semua proses yang biasa ditemukan dalam suatu

perusahaan terkait kegiatan pengelolaan TI.

6

Pada framework COBIT 5 untuk menentukan proses yang akan dikaji lebih

lanjut dalam penelitian, perlu dilakukan tahapan mapping terhadap IT-related

goal dengan melihat fakta-fakta yang ada di PT. Jasa Marga (Persero), Tbk.

Berdasarkan masalah yang telah disebutkan, maka peneliti mengusulkan

melakukan evaluasi tata kelola TI pada proses MEA01 (Monitor, Evaluate and

Asses Performance and Conformance) dan MEA02 (Monitor, Evaluate and Asses

the System of Internal Control). Sehingga Divisi IT PT. Jasa Marga (Persero), Tbk

mampu mengetahui tingkat kapabilitas kinerja dan kesesuaian serta pengendalian

internal dalam pengelolaan tata kelola TI.

Berdasarkan uraian di atas, maka penulis bermaksud akan melakukan

penelitian yang berjudul “Evaluasi Tata Kelola Teknologi Informasi

Menggunakan Framework COBIT 5 Pada PT. Jasa Marga (Persero), Tbk”.

1.2 Rumusan Masalah

Berdasarkan latar belakang yang telah diuraikan di atas, maka dapat diidentifikasi

permasalahan yang ada pada PT. Jasa Marga (Persero), Tbk adalah sebagai

berikut:

1) Adanya indikasi ketidakpatuhan pegawai terhadap peraturan dan

kebijakan yang berlaku di perusahaan yang mengakibatkan

kesenjangan antara tujuan dan kinerja TI.

2) Kurang terdokumentasinya beberapa kegiatan terkait dengan program

dan layanan TI sehingga sulit dilakukan evaluasi apabila terjadi

masalah dengan kegiatan tersebut.

7

3) Pengawasan dan evaluasi terhadap kinerja TI hanya dilakukan jika ada

keluhan dari user mengenai kinerja TI sehingga penyebab masalah

tidak terdefinisi dengan benar.

4) Seringkali terjadi keterlambatan waktu dalam penyelesaian setiap

tahapan pengerjaan program kerja TI sehingga menyebabkan

terhambatnya pelaksanaan program kerja lainnya.

5) Belum pernah dilakukan evaluasi tata kelola TI pada PT. Jasa Marga

(Persero), Tbk menggunakan framework COBIT 5.

Berdasarkan identifikasi masalah yang telah dijelaskan di atas, maka hal ini

menarik untuk dapat dilakukan penelitian, sehingga peneliti melakukan evaluasi

tata kelola TI. Harapan dari penelitian ini adalah dapat menjadi bahan

pertimbangan bagi manajemen strategis untuk mempertimbangkan pembaharuan

atau penambahan kebijakan dan prosedur pada pedoman dan standar tata kelola TI

yang berlaku. Serta dapat menjadi kelanjutan dari penelitian mengenai tata kelola

yang berada disuatu perusahaan.

1.3 Ruang Lingkup dan Batasan Penelitian

Adapun ruang lingkup dan batasan dalam penelitian ini adalah sebagai berikut:

1) Penelitian ini dilakukan untuk mengetahui capability level terhadap

penerapan tata kelola TI di PT. Jasa Marga (Persero), Tbk khususnya

pada Divisi IT.

8

2) Evaluasi tata kelola teknologi informasi ini menggunakan kerangka

kerja (framework) COBIT 5 (ISACA, 2012) yang berfokus pada

domain MEA01 (Monitor, Evaluate and Asses Performance and

Conformance) dan MEA02 (Monitor, Evaluate and Asses the System

of Internal Control).

3) Tahapan yang digunakan pada evaluasi ini adalah Assessment Process

Activities yang meliputi Initiation, Planning the Assessment, Briefing,

Data Collection, Data Validation, Process Attribute Level dan

Reporting the Result (ISACA, 2012).

4) Teknik yang digunakan untuk pengambilan sampel adala teknik

purposiive sampling (Sugiyono, 2010) dengan kriteria berdasarkan

RACI Chart COBIT 5 (ISACA, 2012).

5) Skala pengukuran capability level pada penelitian ini menggunakan

skala Likert (Sugiyono, 2009) dan Rating Scale (ISACA, 2012).

1.4 Tujuan Penelitian

Tujuan dari dilaksanakannya penelitian ini dengan menggunakan framework

COBIT 5 pada proses MEA01 dan MEA02 adalah:

1) Mengetahui capability level kondisi saat ini dan kondisi yang

diharapkan pada proses MEA01 (Monitor, Evaluate and Asses

Performance and Conformance) dan MEA02 (Monitor, Evaluate and

Asses the System of Internal Control) COBIT 5 di PT. Jasa Marga

(Persero), Tbk.

9

2) Mengetahui gap yang ada pada proses MEA01 (Monitor, Evaluate

and Asses Performance and Conformance) dan MEA02 (Monitor,

Evaluate and Asses the System of Internal Control) COBIT 5 di PT.

Jasa Marga (Persero), Tbk.

3) Mengetahui faktor-faktor yang mempengaruhi belum optimalnya

pengimplementasian tata kelola TI di PT. Jasa Marga (Persero), Tbk.

1.5 Manfaat Penelitian

Adapun manfaat penelitian yang dilakukan adalah sebagai berikut:

1) Memahami langkah-langkah dalam melakukan evaluasi tata kelola

teknologi informasi dengan framework COBIT 5.

2) Memahami proses dan kondisi tata kelola teknologi informasi yang

terdapat pada PT. Jasa Marga (Persero), Tbk.

3) Memberikan pemahaman dalam mengukur capability level dari tata

kelola teknologi informasi pada proses MEA01 (Monitor, Evaluate

and Asses Performance and Conformance) dan MEA02 (Monitor,

Evaluate and Asses the System of Internal Control).

4) Diharapkan dapat memberikan rekomendasi untuk menjadi salah satu

referensi acuan bagi perusahaan dalam memperbaiki tata kelola

teknologi informasi sesuai dengan framework COBIT 5.

10

1.6 Pertanyaan Penelitian

Berdasarkan identifikasi masalah dan tujuan pada penelitian ini, maka pertanyaan

penelitian dalam hal ini:

1) Bagaimana melakukan evaluasi tata kelola teknologi informasi di PT.

Jasa Marga (Persero), Tbk menggunakan framework COBIT 5 dengan

fokus pada kepatuhan pegawai dan kesesuaian kinerja melalui domain

MEA01 (Monitor, Evaluate and Asses Performance and

Conformance) dan MEA02 (Monitor, Evaluate and Asses the System

of Internal Control)?

1.7 Metodologi Penelitian

Metode penelitian merupakan sekumpulan peraturan, prosedur yang digunakan

peneliti untuk memperoleh informasi dengan tujuan dan kegunaan tertentu

(Sugiyono, 2010). Pada penelitian ini metode penelitian yang digunakan terdiri

dari:

1.7.1 Teknik Pengumpulan Data

Pada penelitian ini dilakukan pengumpulan data. Data yang digunakan yaitu:

1) Data primer adalah data yang diperoleh langsung di lapangan, yaitu:

a. Observasi

Peneliti mengumpulkan data dengan cara mengamati secara

langsung terhadap kegiatan yang berlangsung di PT. Jasa Marga

(Persero), Tbk guna mendapatkan informasi terkait evaluasi tata

kelola teknologi informasi.

11

b. Wawancara

Wawancara dilakukan dengan mengajukan pertanyaan untuk

menggali berbagai informasi mengenai permasalahan dan

kebutuhan pada pengelolaan TI di PT. Jasa Marga (Persero),

Tbk.

c. Kuesioner

Kuesioner yang digunakan pada penelitian ini menggunakan

skala pengukuran likert, dengan pertanyaan yang mengacu pada

aktivitas yang terdapat pada Key Management Practice proses

MEA01 (Monitor, Evaluate and Asses Performance and

Conformance) dan MEA02 (Monitor, Evaluate and Asses the

System of Internal Control) COBIT 5.

2) Data Sekunder adalah data yang diperoleh dari sumber yang telah ada

yang berhubungan dengan topik dan permasalahan pada penelitian,

yaitu:

a. Studi Pustaka

Peneliti melakukan studi pustaka dengan mempelajari teori-teori

dan penelitian sebelumnya yang berkaitan dengan evaluasi tata

kelola teknologi informasi.

1.7.2 Teknik Analisis Data

Dalam penelitian ini, penulis menggunakan teknik analisis data berdasarkan

COBIT 5 Assessment Process Activities, yaitu menajemen proyek dasar dari

12

best practce dan memberikan penilaian pada enam tahap untuk menjamin

hasil evaluasi sesuai bisnis pada tujuan bisnis (ISACA, 2012). Berikut poses

capability dalam melakukan evaluasi tujuh tahap yang berkelanjutan:

1) Initiation

Pada tahapan ini, peneliti melakukan pengumpulan data primer

berupa informasi tekait tata kelola teknologi informasi yang

terdapat pada PT. Jasa Marga (Persero), Tbk.

2) Planning the Assesment

Tahap ini adalah dengan melakukan perencanaan penilaian

capability level, yaitu dengan membuat kuesioner dengan skala

pengukuran Likert.

3) Briefing

Pada tahapan ini, peneliti memberikan arahan kepada responden

berkaitan dengan tahapan yang akan dilakukan dalam proses

evaluasi.

4) Data Collection

Peneliti melakukan pengumpulan data berupa hasil temuan yang

ditemukan di PT. Jasa Marga (Persero), Tbk.

5) Data Validation

Pada tahapan ini, peneliti melakkan pengolahan data serta

rekapitulasi jawaban sebagai bentuk validasi data dari hasil

kuesioner yang telah diisi oleh responden.

13

6) Process Attribute Level

Tahap ini peneliti melakukan perhitunngan hasil rekapitulasi

jawaban dari tahapan sebelumnya, guna mendapatkan capability

level yang terdapat pada PT. Jasa Marga (Persero), Tbk.

7) Reporting the Result

Pada tahapan terakhir, peneliti melaporkan hasil evaluasi berupa

hasil temuan dan analisa gap yang ditemukan serta usulan

rekomendasi yang diberikan kepada PT. Jasa Marga (Persero),

Tbk.

1.8 Sistematika Penulisan

Sistematika penulisan skripsi terbagi dalam 5 (lima) bab. Isi dari masing-masing

bab adalah sebagai berikut:

BAB I PENDAHULUAN

Bab ini akan dibahas mengenai latar belakang, rumusan

masalah, ruang lingkup, tujuan yang hendak dicapai, manfaat

yang diharapkan, metode penelitian serta sistematika penulisan

dari masing-masing bab.

BAB II LANDASAN TEORI

Bab ini akan dibahas mengenai teori-teori umum maupun teori

khusus yang berhubungan dengan penelitian dan hasil penelitian

14

atau produk sebelumnya. Teori-teori ini akan digunakan sebagai

dasar dalam pemecahan masalah.

BAB III METODOLOGI PENELITIAN

Bab ini menguraikan tentang metodologi yang digunakan dalam

pelaksanaan dan analisis penelitian yang mencakup metode

pengumpulan data dan metode analisis data dalam usulan model

tata kelola TI.

BAB IV HASIL DAN PEMBAHASAN

Bab ini akan dibahas mengenai profil PT. Jasa Marga (Persero),

Tbk secara singkat serta pembahasan dari hasil analisis tata

kelola teknologi informasi yang berisi hasil temuan dan

rekomendasi model tata kelola TI dengan menggunakan

framework COBIT 5.

BAB V PENUTUP

Bab ini merupakan penutup yang berisi kesimpulan dari uraian

hasil penelitian serta dan kesimpulan dari batasan hasil

penelitian ini serta saran untuk peneliti selanjutnya.

15

BAB II

LANDASAN TEORI

Bab ini membahas mengenai definisi dan teori-teori yang digunakan sebagai

acuan atau dasar dalam penelitian yang berhubungan dengan bidang Tata Kelola

TI dengan menggunakan framework COBIT 5 yang berfokus pada MEA01

(Monitor, Evaluate and Assess Performance and Conformance) dan MEA02

(Monitor, Evaluate and Assess The System of Internal Control).

2.1 Evaluasi Tata Kelola Teknologi Informasi

2.1.1 Evaluasi

Evaluasi adalah pemberian nilai terhadap kualitas sesuatu. Selain dari itu, evaluasi

juga dapat dipandang sebagai proses merencanakan, memperoleh dan

menyediakan informasi yang sangat diperlukan untuk membuat alternatif-

alternatif keputusan (Purwanto, 2007).

Evaluasi merupakan kegiatan yang terencana untuk mengetahui keadaan

sesuatu objek menggunakan instrumen dan hasilnya dibandingkan dengan tolak

ukur untuk memperoleh kesimpulan (Yunanda, 2009).

Dari penjelasan di atas dapat disimpulkan bahwa evaluasi adalah penilaian

terhadap kinerja suatu objek guna memperoleh informasi yang nantinya akan

digunakan untuk memperbaiki hal-hal yang memang perlu diperbaiki melalui

suatu rekomendasi solusi.

16

2.1.2 Teknologi Informasi

Teknologi informasi adalah istilah umum yang menjelaskan teknologi apapun

yang membantu manusia dalam membuat, mengubah, menyimpan,

mengkomunikasikan dan atau menyebarkan informasi. Teknologi informasi

menyaukan komputasi dan komunikasi berkecepatan tinggi untuk suara, data dan

video (Williams et al, 2007).

Teknologi Informasi merupakan penerapan teknologi komputer yang berupa

perangkat keras dan perangkat lunak untuk menciptakan, menyimpan, pertukaran

dan menggunakan informasi dalam berbagai bentuk (Fauziyah, 2010). Saat ini

teknologi informasi sudah banyak diterapkan diberbagai organisasi. Keberhasilan

penerapan TI pada suatu organisasi berarti organisasi tersebut telah menerapkan

beberapa inovasi-inovasi TI untuk mendapatkan keuntungan di organisasi mereka

(Huda & Hussin, 2016). Penggunaan TI dapat membantu organisasi untuk

mempromosikan proesionalismenya jika dilakukan dengan cara yang benar,

menambah nilai organisasi, membantu menyelesaikan masakah, memberikan

edukasi dan lain-lain (Huda & Hidayah, 2015).

2.1.3 Tata Kelola Teknologi Informasi

Tata kelola teknologi informasi adalah bagian yang terintegrasi dari pengelolaan

perusahaan yang mencakup kepemimpinan, struktur serta proses organisasi yang

memastikan bahwa teknologi informasi perusahaan dapat dipergunakan dalam

mempertahankan dan memperluas strategi dan tujuan organisasi (Surendro, 2009).

17

Tata kelola teknologi informasi akan memungkinkan organisasi

mendapatkan keuntungan penuh dari informasi yang dimilikinya, sehingga

memaksimalkan manfaat, mengkapitalisasi peluang dan mendapatkan keuntungan

kompetitif. Tata kelola teknologi informasi juga mengidentifikasi kelemahan

kontrol dan menjamin adanya implementasi perbaikan yang dapat terukur secara

efisien dan efektif (Surendro, 2009).

Tata kelola teknologi informasi adalah sistem dimana TI dalam perusahaan

diarahkan dan dikontrol. Struktur tata kelola TI menentukan pembagian hak dan

tanggung jawab antar pihak yang berbeda, seperti direktur, manager bisnis dan

manajer TI dan mendefinisikan berbagai aturan dan prosedur untuk membuat

keputusan TI (Brand dan Boonen, 2007).

Berdasarkan definisi di atas dapat disimpulkan bahwa tata kelola teknologi

informasi adalah usaha yang dilakukan oleh organisasi untuk menjamin

pengelolaan teknologi informasi agar selaras dengan strategi bisnis dengan cara

penilaian kapasitas organisasi yang dilakukan oleh dewan direksi, manajemen

eksekutif atau manajemen teknologi informasi.

2.1.4 Tujuan dan Kegunaan Tata Kelola Teknologi Informasi

Kegunaan tata kelola teknologi informasi adalah untuk mengatur penggunaan TI,

serta untuk memastikan kinerja teknologi informasi sesuai dengan tujuan berikut

(Surendro, 2009):

1) Keselarasan TI dengan perusahaan dan realisasi keuntungan-

keuntungan yang dijanjikan dari penerapan TI.

18

2) Penggunaan TI agar memungkinkan perusahaan mengeksploitasi

kesempatan yang ada dan memaksimalkan keuntungan.

3) Penggunaan sumber daya TI yang bertanggung jawab.

4) Penanganan manajemen resiko yang terkait TI secara cepat.

2.2 Kerangka Kerja (Framework) Tata Kelola Teknologi Informasi

Tata kelola teknologi informasi memiliki berbagai standard dalam melakukan

penilaian dan pengukuran indikator untuk membantu organisasi dalam mengelola

teknologi informasi mereka, seperti: Information Technology Infrastructure

Library (ITIL), International Standards Organization (ISO) 17799 (ISO, 2005),

The Open Group Architecture Freamework (TOGAF), Committee of Sponsoring

Organization of the Treadway Commission (COSO) dan Control Objectives for

Information and related Technology (COBIT) (ITGI, 2007). Perkembangan TIK

saat ini masih membutuhkan framework atau panduan yang dapat dipercaya dan

mencakup berbagai sudut pandang yang mudah dipahami serta sederhana untuk

dapat mengukur kinerja yang dicapai oleh suatu proyek dan satu dari

tantangannya adalah bagaimana TIK membangun proyek yang dapat mengatur

lebih baik untuk dapat meningkatkan kesempatan dari kesuksesan proyek tersebut

(Subiyakto dan Ahlan, 2013).

2.2.1 Information Technology Infrastructure Library (ITIL)

Information Technology Infrastructure Library (ITIL) adalah seperangkat konsep

dan praktik untuk mengelola layanan TI, pengembangan dan operasi TI. ITIL

19

memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar

komprehensif tugas dan prosedur yang di dalamnya setiap organisasi dapat

menyesuaikan dengan kebutuhannya sendiri (Jogiyanto & Abdillah, 2011).

ITIL merupakan standar yan dikeluarkan pemerintah United Kingdom (UK)

sebagai kerangka kerja yang diacu oleh best practice proses dan prosedur

manajemen operasional. Pada dasarnya kerangka kerja ITIL bertujuan secara

berkelanjutan meningkatkan efisiensi operasional TI dan kualitas layanan

pelanggan, Kerangka yang diberikan belum memberikan panduan pengelolaan TI

yang memenihi kebutuhan di tingkat yang lebih tinggi (high level objective)

diperusahaan seperti kerangka kerja pada COBIT (Sarno, 2009).

2.2.2 International Standards Organization (ISO)

ISO (The International Organization for Standardization) bertujuan memperkuat

tiga elemen dasar keamanan informasi, yaitu (1) Confidentiality, memastikan

bahwa informasi hanya dapat diakses oleh yang berhak; (2) Integrity, menjaga

akurasi dan selesainya informasi dan metode pemrosesan; serta (3) Availability,

memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi

dan aset yang terhubung dengannya ketika memerlukannya (Kaban, 2009).

Namun ISO memiliki kelemahan dimana ISO adalah suatu pedoman yang

berdiri sendiri atau tidak terintegrasi dengan rerangka sistem tata kelola TI yang

lebih luas. Oleh karena itu, ISO lebih tepat digunakan untuk kepentingan teknis,

tidak digunakan sebagai pedoman umum dalam tata kelola TI. ISO diletakan pada

level operasional (Jogiyanto & Abdillah, 2011).

20

2.2.3 Committee of Sponsoring Organization of the Treadway Commission

(COSO)

COSO (Committee of Sponsoring Organization of the Treadway Commission)

merupakan sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan

kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate

governance (Jogiyanto & Abdillah, 2011).

COSO dapat diterjemahkan sebagi pengendalian internal yaitu suatu proses

yang dipengaruhi oleh dewan komisaris suatu entitas, manajemen dan personel

lain, dirancang untuk menyediakan keyakinan yang memadai berkaitan dengan

pencapaian tujuan dalam beberapa kategori (Gondodiyoto, 2007). Kategori

tersebut yaitu:

1) Efektifitas dan efisiensi kegiatan.

2) Keandalan pelaporan keuangan.

3) Ketaatan pada peraturan dan ketentuan yang berlaku.

2.2.4 Control Objective for Information and related Technology (COBIT)

Control Objective for Information and related Technology (COBIT) merupakan a

set o best practices (framework) bagi pengelolaan teknologi informasi (IT

Management) yang disusun oleh The IT Governance Institute (ITGI). Secara

definisi COBIT adalah sekumpulan teknologi best practices untuk IT governanc

yang dapat membantu auditor, pengguna (user) dan manajemen untuk

menjembatani gap antara risiko bisnis, kebutuhan kontrol dan masalah-masalah

teknis TI (Gondodiyoto, 2007).

21

COBIT menyediakan standar dalam kerangka kerja domain yang terdiri dari

sekumpulan proses TI yang mempresentasikan aktivitas yang dapat dikendalikan

dan terstruktur. Kerangka kerja COBIT mennyediakan keterkaitan yang jelas

antara kebutuhan tata kelola TI, proses TI dan objektif kontrol TI. Dengan

demikian, COBIT mendukung tata kelola TI dengan penyediaan kerangka kerja

yang memastikan bahwa: TI selaras dengan kebutuhan bisnis, TI yang

mendukung bisnis dengan lebih baik dan mampu memaksimumkan manfaat,

penggunaan sumber daya TI yang bertanggung jawab serta resiko TI dikelola

dengan tepat (Sarno, 2009).

COBIT bermanfaat bagi auditor karena merupakan teknik yag dapat

membantu dalam identifikasi IT control issues. Sedangkan para manajer

memperoleh manfaat dalam keputusan investasi di bidang TI serta

infrastrukturnya, menyusun strategic IT plan, menentukan information

architecture, dan keputusan atas procurement (pengadaan/pembelian). Disamping

itu, dengan keterandalan sistem informasi yang ada pada perusahaannya

diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada

(Gondodiyoto, 2007).

ITGI mengambil peranan yang penting dalam pengembangan publikasi.

Hanya berselang dua tahun kemudian dengan tambahan baru COBIT ingin terus

membangun dirinya sebagai kerangka kerja yang berlaku umum untuk tata kelola

TI pada perusahaan. Pada 2007 rilis COBIT versi 4.1 yang kemudian dilakukan

penambahan dengan Val (Value) IT 2.0 yakni, nilai investasi dengan TI dan Risk

IT, yakni resiko penggunaan dengan TI. Dan saat ini yang terakhir adalah COBIT

22

5 yang melengkapi seluruh cakupan pada versi COBIT yang sebelumnya.

Menjadikan COBIT 5 sebagai suatu framework yang melihat pada tujuan bisnis

nilai tata kelola pada TI yang digunakan pada perusahaan (ISACA, 2012).

Gambar 2.1 Evolusi COBIT (ISACA,2012)

COBIT 5 merupakan generasu terbaru dari panduan ISACA yang

membahas mengenai tata kelola dan manajemen TI. COBIT dibuat berdasarkan

pengalaman penggunaab COBIT selama lebih dari 15 tahun oleh banyak

perusahaan dan pengguna dari bidang bisnis, komunitas TI, risiko, asuransi dan

keamanan.

2.2.5 Perbandingan COBIT Dengan Framerwork Lain

Berikut ini perbandingan framework Control Objective for Information and

Related Technology (COBIT) dengan framework lain, yaitu Information

Technology Infrastructure Library (ITIL), International Standards Organization

(ISO) 17799 dan Committee of Sponsoring Organization of the Treadway

Commission (COSO) (Jogiyanto, 2011) dan (Kaban, 2009):

23

Tabel 2.1 Perbandingan Framework Tata Kelola TI

Framework

Tata Kelola

TI

Keunggulan Kekurangan

ITIL

1) ITIL berokus pada pelayanan

costumer.

2) ITIL membantu implementasi dari

sebuah kerangka kerja untuk

pengelolaan layanan teknologi

informasi.

1) ITIL tidak terlalu fokus pada

proses penyelarasan strategi

perusahIaan dengan

pengelolaan TI.

2) ITIL tidak melakukan

pengawasan yang akan

memastikan kesesuaian

pengelolaan TI dengan

keadaan perusahaan di masa

yang akan datang.

ISO 17799

1) ISO bersifat lebih rinci dibanding

COBIT dalam sistem tata kelola

keamanan informasi.

2) ISO dikatakan bersifat teknis,

sehingga lebih cenderung menjadi

pilihan bagi manajer TI dan

manajer keamanan informasi.

3) ISO memberi petunjuk struktur dan

konten kebijakan keamanan

informasi.

1) ISO menjadi pedoman yang

berdiri sendiri atau tidak

terintegrasi dengan kerangka

sistem tata kelola TI yang

lebih luas.

2) ISO lebih tepat digunakan

untuk kepentingan teknis,

tidak digunakan sebagai

pedoman umum dalam sistem

tata kelola organisasi.

COSO

1) COSO okus kepada proses

penyelarasan TI dengan strategi

perusahaan.

2) COSO fokus dalam hal desain dan

implementasi TI.

1) COSO tidak melakukan

pengawasan yang akan

memastikan kesesuaian

pengelolaan TI dengan

keadaan perusahaan di masa

yang akan datang.

COBIT

1) COBIT mempunyai spektrum

proses TI yang lebih luas dan lebih

mendetil.

2) COBIT membantu dalam

memahami sistem TI melalui

pengembangan model tata kelola

TI.

3) COBIT membantu manajemen

dalam mendeinisikan rencana

strategis TI, mendefinisikan

informasi, arsitektur dan

pemantauan kinerja sistem TI.

4) COBIT membantu

mengidentifikasi isu-isu kendali TI

dalam infrastruktur TI perusahaan.

1) COBIT kurang memberikan

informasi yang lebih

terperinci bila dibandingkan

dengan ISO dalam tata kelola

di bidang keamanan.

24

Berdasarkan hasil perbandingan tersebut, maka penulis memilih COBIT

sebagai framework yang digunakan untuk melakukan evaluasi tata kelola

teknologi informasi pada Divisi IT PT. Jasa Marga (Persero), Tbk. Hal tersebut

dikarenakan COBIT mempunyai pembahasan proses TI yang lebih luas dan

mendetail serta mewakili hampir keseluruhan proses yang biasa ditemukan di

perusahaan terkait kegiatan TI, seperti proses TI terhadap inovasi TI, resiko TI,

strategi TI, manajemen TI, pengawasan TI hingga sumber daya manusia selaku

pengguna TI. Selain itu, penggunaan COBIT dapat mendukung penyelarasan

antara TI dengan kebutuhan bisnis perusahaan (Sarno, 2009). Sehingga, pemilihan

framework COBIT tersebut, diharapkan dapat memberikan usulan rekomendasi

terhadap permasalahan yang ditemukan.

2.3 Perbedaan COBIT 5 dan COBIT 4.1

Terdapat perbedaan diantara COBIT 5 dengan versi COBIT sebelumnya yaitu

COBIT 4.1 (ISACA, 2012), yaitu:

1) Prinsip baru dalam tata kelola TI organisasi yaitu Governance of

Enterprise IT (GEIT). COBIT 5 lebih berorientasi pada prinsip

dibandingkan dengan proses.

2) COBIT menekankan pada enabler. Pada COBIT 4.1 tidak

menyebutnya sebagai enabler. Sedangkan COBIT 5 menyebutkan

secara spesifik bagian-bagian enabler.

3) COBIT 5 mendefinisikan model referensi proses yang baru dengan

tambahan domain governance dan beberapa proses yang baru dengan

25

modifikasi proses pada versi sebelumnya. COBIT 5 mengintegrasikan

konten pada COBIT 4.1, Risk IT dan Val IT.

4) COBIT 5 menyelaraskan dengan best practice yang ada seperti ITIL

v3 dan TOGAF.

2.4 COBIT 5

COBIT 5 mendefinisikan dan menjelaskan secara rinci sejumlah tata kelola

dan manajemen proses. COBIT 5 menyediakan referensi model proses yang

mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait

dengan kegiatan TI. Model proses yang diusulkan bukan hanya sekedar model

proses tetapi suatu model yang bersifat komprehensif. Setiap perusahaan harus

mendefinisikan bidang prosesnya sendiri, dengan mempertimbangkan situasi

tertentu dalam perusahaan tersebut. COBIT 5 juga menyediakan kerangka kerja

untuk mengukur dan memantau kinerja TI, berkomunikasi dengan layanan dan

mengintegrasikan praktik pengelolaan terbaik (ISACA, 2012). Berikut ini

merupakan cakupan antara COBIT 5 dan framework lain:

26

Gambar 2.2 Cakupan antara COBIT 5 dengan framework lain (ISACA, 2012)

COBIT 5 memiliki dua area utama yaitu area tata kelola (governance) dan

area manajemen (management). Penata kelolaan (govern) terkait dengan hal – hal

apa yang mendasari tata kelola tersebut yang ditentukan melalui pendefinisian

strategi dan kontrol. Sedangkan pengelolaan (manage) terkait dengan bagaiman

tata kelola tersebut dilaksanakan dan cakupan dari pengelolaan (manage) yang

ditentukan melalui rencana taktis (ISACA, 2012). COBIT 5 dikembangkan untuk

mengatasi kebutuhan-kebutuhan penting seperti:

1) Membantu stakeholder dalam menentukan apa yang mereka harapkan

dari informasi dan teknologi terkait seperti keuntungan apa, pada

tingkat risiko berapa, dan pada biaya berapa dan bagaimana prioritas

mereka dalam menjamin bahwa nilai tambah yang diharapkan benar-

benar tersampaikan. Perbedaaan ini dan terkadang konflik mengenai

harapan harus dihadapi secara efektif. Stakeholder tidak hanya ingin

27

terlibat lebih banyak tapi juga menginginkan transparansi terkait

bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh.

2) Membahas peningkatan ketergantungan kesuksesan perusahaan pada

perusahaan lain dan rekan TI, seperti outsource, pemasok, konsultan,

klien, cloud, dan penyedia layanan lain, serta pada beragam alat

internal dan mekanisme untuk memberikan nilai tambah yang

diharapkan.

3) Mengatasi jumlah informasi yang meningkat secara signifikan.

Bagaimana perusahaan memilih informasi yang relevan dan kredibel

yang akan mengarahkan perusahaan kepada keputusan bisnis yang

efektif dan efisien? Informasi juga perlu untuk dikelola secara efektif

dan model informasi yang efektif dapat membantu untuk

mencapainya.

4) Mengatasi TI yang semakin meresap ke dalam perusahaan. TI

semakin menjadi bagian penting dari bisnis. Seringkali TI yang

terpisah tidak cukup memuaskan walaupun sudah sejalan dengan

bisnis. TI perlu menjadi bagian penting dari proyek bisnis, struktur

organisasi, manajemen risiko, kebijakan, kemampuan, proses, dan

sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang

sehingga semakin banyak orang dalam perusahaan yang memiliki

kemampuan TI akan dilibatkan dalam keputusan dan operasi TI. TI

dan bisnis harus diintegrasikan dengan lebih baik.

28

5) Menyediakan panduan lebih jauh dalam area inovasi dan teknologi

baru. Hal ini berkaitan dengan kreativitas, penemuan, pengembangan

produk baru, membuat produk saat ini lebih menarik bagi pelanggan,

dan meraih tipe pelanggan baru. Inovasi juga menyiratkan

perampingan pengembangan produk, produksi dan proses supply

chain agar dapat memberikan produk ke pasar dengan tingkat

efisiensi, kecepatan, dan kualitas yang lebih baik.

6) Mendukung perpaduan bisnis dan TI secara menyeluruh, dan

mendukung semua aspek yang mengarah pada tata kelola dan

manajemen TI perusahaan yang efektif, seperti struktur organisasi,

kebijakan, dan budaya.

7) Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.

8) Memberikan perusahaan:

a. Nilai tambah melalui penggunaan TI yang efektif dan inovatif,

b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang

baik,

c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan

kebijakan internal,

d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan

TI.

9) Menghubungkan dan bila relevan, menyesuaikan dengan framework

dan standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO,

dan ISO. Hal ini akan membantu stakeholder mengerti bagaimana

29

kaitan berbagai framework, berbagai standar antar satu sama lain, dan

bagaimana mereka bisa digunakan bersama-sama.

10) Mengintegrasikan semua framework dan panduan ISACA dengan

fokus pada COBIT, Val IT, dan Risk IT, tetapi juga

mempertimbangkan BMIS, ITAF, dan TGF, sehingga COBIT 5

mencakup seluruh perusahaan dan menyediakan dasar untuk integrasi

dengan framework dan standar lain menjadi satu kesatuan framework.

Berdasarkan penjelasan di atas dapat disimpulkan bahwa COBIT 5

membantu perusahaan menciptakan nilai yang optimal pada TI dengan menjaga

keseimbangan antara manfaat, pengoptimalan resiko dan penggunaan sumer daya.

COBIT memungkinkan informasi dan teknologi yang terkait untuk diatur dan

dikelola dengan baik pada seluruh perusahaan, mengingat kepentingan yang

berhubungan dengan pemangku kepentingan TI baik internal maupun eksternal.

2.4.1 Komponen COBIT 5

Framewoek COBIT memiliki komponen yang terdiri dari 5 (lima) principles dan

7 (tujuh) enablers (ISACA, 2012).

2.4.1.1 Principles (Prinsip) pada COBIT 5

Prinsip dan faktor pendukung secara umum COBIT 5 berguna untuk perusahaan

dari berbagai ukuran, baik yang bersifat niaga maupun yang tidak untuk mencari

laba di sektor publik (ISACA, 2012). Berikut penjelasan prinsip COBIT 5:

30

Gambar 2.3 Prinsip COBIT 5 (ISACA, 2012)

1) Meeting stakeholder needs, berguna untuk pendefinisan prioritas untuk

implementasi, perbaikan, dan jaminan. Kebutuhan stakeholder

diterjemahkan ke dalam Goals Cascade menjadi tujuan yang lebih

spesifik, dapat ditindaklajuti dan disesuaikan, dalam konteks: Tujuan

perusahaan (Enterprise Goal), Tujuan yang terkait IT (IT-related Goal),

Tujuan yang akan dicapai enabler (Enabler Goal). Selain itu sistem tata

kelola harus mempertimbangkan seluruh stakeholder ketika membuat

keputusan mengenai penilaian manfaat, sumber daya dan risiko.

Gambar 2.4 The Governance Objective: Value Creation (ISACA, 2012).

31

2) Covering enterprise end-to-end, bermanfaat untuk mengintegrasikan tata

kelola TI perusahaan ke dalam tata kelola perusahaan. Sistem tata kelola

TI yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola

perusahaan dengan mulus. Prinsip kedua ini juga meliputi semua fungsi

dan proses yang dibutuhkan untuk mengatur dan mengelola TI

perusahaan dimanapun informasi diproses. Dalam lingkup perusahaan,

COBIT 5 menangani semua layanan TI internal maupun eksternal, dan

juga proses bisnis internal dan eksternal.

3) Applying a single intergrated framework, sebagai penyelarasan diri

dengan standar dan framework lain, sehingga perusahaan mempu

menggunakan COBIT 5 sebagai framework tata kelola umum dan

integrator. Selain itu prinsip ini menyatukan semua pengetahuan yang

sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL

IT, Risk IT, BMIS, ITAF, dll).

4) Enabling a holistic approach, yakni COBIT 5 memandang bahwa setiap

enabler saling memperngaruhi satu sama lain dan menentukan apakah

penerapan COBIT 5 akan berhasil.

5) Separating governance from management, COBIT membuat perbedaan

yang cukup jelas antara tata kelola dan manajemen. Kedua hal tersebut

mencakup berbagai kegiatan yang berbeda, memerlukan struktur

organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.

32

Gambar 2.5 Governance and Management Key Areas (ISACA, 2012)

Perbedaan dari Governance (tata kelola) dengan Management

(Manajemen) yaitu:

a. Governance dimana dewan direksi dibawah kepemimpinan ketua yang

bertanggung jawab untuk memastikan bahwa tujuan perusahaan dapat

dicapai dengan melakukan evaluasi terhadap kebutuhan, kondisi, dan

pilihan stakeholder, menerapkan arah melalui prioritas dan pengambilan

keputusan terhadap arah dan tujuan yang telah disepakati.

b. Management (Manajemen) dimana eksekutif manajemen dibawah

pimpinan CEO yang bertanggung jawab dalam melakukan perencanaan,

membangun, menjalankan dan memonitor aktifitas-aktifitas yang sejalan

dengan arah yang ditetapkan oleh badan tata kelola untuk mencapai

tujuan perusahaan.

33

2.4.1.2 Tujuh Enablers

Enablers adalah sekumpulan faktor yang mempengaruhi sesuatu yang akan

dikerjakan oleh organisasi (ISACA, 2012). Dalam hal ini terkait pengelolaan

teknologi informasi di organisasi. Terdapat 7 kategori enabler, sebagai berikut:

1) Prinsip, Kebijakan dan Kerangka Kerja (Principles, Policies and

Framework)

Prinsip, kebijakan dan kerangka kerja adalah alat atau pendorong

untuk menerjamahkan tingkah laku ke dalam panduan praktis untuk

manajemen sehari-hari.

2) Proses (Processses)

Proses menjelaskan tentang sekumpulan kegiatan yang terorganisir

untuk mencapai tujuan tertentu dan menghasilkan sekumpulan output

dalam mendukung pencapaian tujuan IT.

3) Struktur Organisasi (Organizational Structures)

Struktur organisasi adalah entitas dalam organisasi sebagai kunci

dalam membuat keputusan.

4) Budaya, Etika dan Perilaku (Culture, Ethics and Behaviour)

Budaya, etika dan perilaku individu dan organisasi merupakan faktor

keberhasilan dalam kegiatan tata kelola dan manajemen.

5) Informasi (Information)

Informasi dalam organisasi terdiri dari informasi yang dihasilkan dan

digunakan informasi dibutuhkan agar organisasi dapat berjalan dengan

baik.

34

6) Layanan, Infrastruktur dan Aplikasi (Service, Infrastructure and

Application)

Layanan, infrastruktur dan aplikasi melibatkan infrastruktur teknologi

dan aplikasi yang menyediakan proses dan layanan teknologi

informasi bagi organisasi.

7) Orang, Kemampuan dan Kompetensi (People, Skills and

Competencies)

Berhubungan dengan sesorang individu dan kebutuhan untuk

memenuhi semua aktifitas untuk mencapai kesuksesan dan membuat

keputusan yang tepat dengan langkah yang tepat.

2.4.2 Implementasi COBIT 5

Terdapat tujuh siklus tahapan dalam implementasi tata kelola teknologi informasi

pada framework COBIT 5 (ISACA, 2012), yaitu:

Gambar 2.6 Implementasi COBIT 5 (ISACA, 2012)

35

1) Tahap 1 – Initiate Programme

Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan

keinginan untuk berubah di level manajemen eksekutif, yang

kemudian diwujudkan berupa kasus bisnis. Penggerak perubahan bisa

berupa kejadian internal maupun eksternal, dan kondisi atau isu

penting yang memberikan dorongan untuk berubah. Kejadian, tren,

masalah kinerja, implementasi perangkat lunak, dan bahkan tujuan

dari perusahaan dapat menjadi penggerak perubahan.

Risiko yang terkait dengan implementasi dari program ini

sendiri akan dideskripsikan di dalam kasus bisnis, dan dikelola

sepanjang siklus hidupnya. Menyiapkan, menjaga, dan mengawasi

kasus bisnis sangatlah mendasar dan penting untuk pembenaran,

mendukung, dan kemudian memastikan hasil akhir yang sukses dari

segala inisiatif, termasuk pengembangan Governance of Enterprise IT

(GEIT). Mereka memastikan fokus yang berkelanjutan terhadap

keuntungan dari program dan perwujudannya.

2) Tahap 2- Define Problems and Opportunnities

Tahap 2 membuat agar tujuan IT dengan strategi dan risiko

perusahaan sejajar, dan memprioritaskan tujuan perusahaan, tujuan IT,

dan proses IT yang paling penting. COBIT 5 menyediakan panduan

pemetaan tujuan perusahaan terhadap tujuan IT terhadap proses IT

untuk membantu penyeleksian. Dengan mengetahui tujuan perusahaan

36

dan IT, proses penting yang harus mencapai tingkat kapabilitas

tertentu dapat diketahui.

Manajemen perlu mengetahu kapabilitas yang ada saat ini dan di

mana kekurangan terjadi. Hal ini dapat dicapai dengan cara

melakukan penilaian kapabilitas proses terhadap proses-proses yang

terpilih.

3) Tahap 3 – Define Road Map

Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis

selisih untuk mengidentifikasi solusi potensial. Beberapa solusi akan

berupa quick wins dan beberapa berupa tugas jangka panjang yang

lebih sulit. Prioritas harus diberikan kepada proyek yang lebih mudah

untuk dicapai dan lebih mungkin memberikan keuntungan yang paling

besar. Tugas jangka panjang perlu dipecah menjadi bagian-bagian

yang lebih mudah untuk diselesaikan.

4) Tahap 4 – Plan Programme

Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan

mendefinisikan proyek yang didukung dengan kasus bisnis yang bisa

dibenarkan, dan mengembangkan rencana perubahan untuk

implementasi. Kasus bisnis yang dibuat dengan baik akan membantu

memastikan bahwa keuntungan proyek teridentifikasi, dan diawasi

secara terus menerus. Tujuan tahap ini adalah menerjemahkan

kesempatan untuk memperbaiki proses yang dipilih.

37

5) Tahap 5 – Execute Plan

Tahap 5 mengubah solusi yang disarankan menjadi kegiatan sehari-

hari dan menetapkan perhitungan dan sistem pemantauan untuk

memastikan kesesuaian dengan bisnis tercapai dan kinerja dapat

diukur.

Kesuksesan membutuhkan pendekatan, kesadaran dan

komunikasi, pengertian dan komitmen dari manajemen tingkat tinggi

dan kepemilikan dari pemilik proses IT dan bisnis yang terpengaruh.

6) Tahap 6 – Realese Benefits

Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan

praktik manajemen yang telah ditingkatkan ke operasi bisnis normal

dan pemantauan pencapaian dari peningkatan menggunakan metrik

kinerja dan keuntungan yang diharapkan.

7) Tahap 7 – Review Effectiveness

Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum,

mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh,

dan meningkatkan kebutuhan akan peningkatan secara terus-menerus.

2.4.3 Process Reference Model

Dalam COBIT 5 terdapat model referensi proses yang digunakan untuk

menentukan proses tata kelola dan manajemen. Model tersebut mewakili semua

proses yang biasa ditemukan dalam perusahaan yang berhubungan dengan

38

aktivitas TI, serta menyediakan model sebagai referensi yang mudah dipahami

dalam operasional TI dan oleh manajemen bisnis.

Gambar 2.7 Model Referensi Proses (ISACA, 2012)

COBIT dibagi menjadi dua bagian dimana dalam tata kelola terdapat (5)

lima proses tata kelola dan dalam manajemen terdapat empat domain dengan 32

(tiga puluh dua) proses TI. Tujuannya adalah sebagai referensi yang daoat

dipahami dalam operasional TI dan manajer bisnis dan akan menghasilkan tujuan

yang optimal yang berhubungan denga aktivitas TI, berikut penjelasannya:

1) Evaluate, Direct, and Monitor (EDM)

Proses tata kelola ini terkait dengan tujuan tata pemangku kepentingan

dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup

praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan

strategis, memberikan arahan kepada TI dan pemantauan hasilnya.

Berikut domain proses EDM:

39

a. EDM01 (Ensure Governance Framework Setting and

Maintenance)

b. EDM02 (Ensure Benefits Delivery)

c. EDM03 (Ensure Risk Optimisation)

d. EDM04 (Ensure Reosurce Optimisation)

e. EDM05 (Ensure Stakeholder Transparency)

2) Align, Plan and Organise (APO)

Proses manajemen ini memberikan arah untuk pengiriman solusi (BAI)

dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup

strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI

agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi

strategis perlu direncanakan, dikomunikasikan dan dikelola untuk

perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur

teknologi, harus dimasukkan ke dalam tempatnya. Berikut domain proses

APO:

a. APO01 (Manage The IT Management Framework)

b. APO02 (Manage Strategy)

c. APO03 (Manage Enterprise Architecture)

d. APO04 (Manage Innovation)

e. APO05 (Manage Portfolio)

f. APO06 (Manage Budget and Costs)

g. APO07 (Manage Human Resources)

h. APO08 (Manage Relationships)

40

i. APO09 Manage Service Agreements (Mengelola Perjanjian

Layanan)

j. APO10 (Manage Suppliers)

k. APO11 (Manage Quality)

l. APO12 (Manage Risk)

m. APO13 (Manage Security)

3) Build, Acquire and Implement (BAI)

Proses manajemen ini memberikan solusi dan melewatinya sehingga

akan berubah menjadi layanan. Untuk mewujudkan strategi TI, solusi TI

perlu diidentifikasi, dikembangkan atau diperoleh, serta

diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan

dan pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk

memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut domain

proses BAI:

a. BAI01 (Manage Programmes and Project)

b. BAI02 (Manage Requirements Definition)

c. BAI03 (Manage Solutions Identification and Build)

d. BAI04 (Manage Availability and Capacity)

e. BAI05 (Manage Organisational Change Enablement)

f. BAI06 (Manage Changes)

g. BAI07 (Manage Change Acceptance and Transitioning)

h. BAI08 (Manage Knowledge)

i. BAI09 (Manage Assets)

j. BAI10 (Manage Configuration)

41

4) Deliver, Service and Support (DSS)

Proses manajemen ini menerima solusi dan dapat digunakan bagi

pengguna akhir. Domain ini berkaitan dengan pengiriman aktual dan

dukungan layanan yang dibutuhkan, yang meliputi pelayanan,

pengelolaan keamanan dan kelangsungan, dukungan layanan bagi

pengguna, dan manajemen data dan fasilitas operasional. Berikut domain

proses DSS:

a. DSS01 (Manage Operations)

b. DSS02 (Manage Service Requests and Incidents)

c. DSS03 (Manage Problems)

d. DSS04 (Manage Continuity)

e. DSS05 (Manage Security Services)

f. DSS06 (Manage Business Process Controls)

5) Monitor, Evaluate, and Assess (MEA)

Proses manajemen ini memonitor semua proses untuk memastikan bahwa

arah yang disediakan diikuti. Semua proses TI perlu dinilai secara teratur

dari waktu ke waktu untuk mengontrol kualitas dan kepatuhan mereka.

Domain ini tertuju pada manajemen kinerja, pemantauan pengendalian

internal, kepatuhan terhadap peraturan dan tata kelola. Berikut domain

proses MEA:

a. MEA01 (Monitor, Evaluate and Assess Performance and

Conformance)

b. MEA02 (Monitor, Evaluate and Assess The System of Internal

Control)

42

c. MEA03 (Monitor, Evaluate and Assess Compliance with External

Requirements)

2.4.4 Pemetaan IT Goals terhadap Proses COBIT 5

Berikut ini adalah gambar pemetaan IT Goals terhadap proses COBIT 5.

Gambar 2.8 Pemetaan Proses COBIT 5 (ISACA, 2012)

43

Gambar 2.9 Pemetaan Proses COBIT 5 (ISACA, 2015)

P = Primary

S = Secondary

44

Dari gambar di atas dapat dilihat 3 proses COBIT serta hubungna primary

maupun secondary antara proses-proses COBIT yang ada dengan panduan IT

goals secara umum.

2.4.5 Process Capability Indicator

Indikator kapabilitas proses adalah kemampuan proses dalam meraih tingkat

kapabilitas yang ditentukan oleh atribut proses (ISACA, 2012). Bukti indikator

kemampuan proses mendukung tingkat pencapaian atribut proses dalam dimensi

kemampuan tingkat 1 sampai 5. Level 0 tidak termasuk jenis indikator

pengukuran, karena mencerminkan proses tidak dilaksanakan atau proses yang

gagal bahkan sebagian untuk mencapai hasil tersebut. Level 0 ditandai dengan

belum atau sebagian memiliki proses pencapaian tujuan pada perusahaan. Berikut

ini model kapabilitas proses pada COBIT 5:

Gambar 2.10 Model Kapabilitas Proses (ISACA, 2012)

45

1) Level 0 Incomplete Process

Pada level ini tidak dilaksanakan atau gagal untuk mencapai tujuan.

Pada tingkat ini, ada sedikit atau tidak ada bukti dari setiap pencapaian

yang sistematis dari proses tujuan.

2) Level 1 – Performed Process

Pada level ini menentukan apakah suatu proses mencapai tujuannya.

Ketentuan atribut proses pada level 1 adalah sebagai berikut:

a. Process Activity (PA) 1.1 Process Performance

Pengukuran mengenai seberapa jauh tujuan dari suatu proses

berhasil diraih. Pencapaian penuh atas atribut ini mengakibatkan

proses tersebut meraih tujuan yang sudah ditentukan, seperti

ditunjukkan dalam tabel dibawah ini.

Tabel 2.2 Performed Process

PA 1.1 Process Performance

Hasil atas

Pencapaian Penuh

Atribut

Praktik Umum (GPs) Hasil Kerja Umum

(GWPs)

Proses meraih tujuan

yang sudah

ditentukan.

GP 1.1.1 Meraih Hasil

Proses. Ada bukti

bahwa praktik-praktik

dasar dilakukan.

Hasil kerja telah

dibuat sehingga

menyediakan bukti

atas hasil proses.

3) Level 2 – Managed Process

Performa proses pada tahap ini dikelola yang mencakup perencanaan,

monitor, dan penyesuaian. Work products-nya dijalankan, dikontrol,

dikelola dengan tepat. Ketentuan atribut proses pada level 2 adalah

sebagai berikut:

46

a. Process Activity 2.1 Performance Management

Mengukur sampai mana performa proses di kelola. Sebagai hasil

pencapaian penuh atribut ini, ditunjukkan dalam tabel dibawah

ini.

Tabel 2.3 Performance Management

PA 2.1 Performance Management

Hasil atas

Pencapaian Penuh

Atribut


(GWPs)

a. Objektif

performa dari

proses

teridentifikasi.

GP 2.1.1 Identifikasikan

objektif performa dari

proses. Objektif performa,

digabungkan dengan

assumsi dan batasan,

didefinisikan dan

dikomunikasikan.

GWP 1.0

Dokumentasi

Proses harus

menguraikan

lingkup proses

GWP 2.0 Rencana

Proses harus

menyediakan detil-

detil dari objektif

performa proses.

b. Performa dari

proses

direncanakan

dan dimonitor.

GP 2.1.2 Merencanakan

dan memonitor

performa dari proses

untuk memenuhi objektif

yang telah ditentukan.

Dasar mengukur performa

proses yang berhubungan

dengan objektif

bisnis ditetapkan dan

dimonitor. Termasuk

didalam dasar tersebut

adalah key milestones,

aktivitas-aktivitas yang

diperlukan,estimasi dan

jadwal.

GWP 2.0 Rencana

Proses harus

menggambarkan

secara detil objektif

performa proses.

GWP 9.0 Performa

Proses catatannya

harus

menggambarkan

hasil yang detil.

Catatan: Pada level

ini, setiap catatan

performa proses

dapat berbentuk

report, daftar

masalah, dan catatan

informal.

c. Performa dari

proses

disesuaikan

untuk memenuhi

perencanaan

GP 2.1.3 Menyesuaikan

performa dari proses.

Mengambil tindakan

ketika performa yang

direncanakan tidak

tercapai. Tindakan

meliputi identifikasi dari

GWP 4.0 Catatan

Kualitas harus

menyediakan detil

dari tindakan yang

dilakukan ketika

performa tidak

mencapai target.

47

masalah performa dan

penyesuaian rencana dan

jadwal menjadi lebih

sesuai.

d. Tanggung jawab

dan otoritas dari

melakukan

proses

didefinisikan,

ditugaskan, dan

dikomunikasika

n.

GP 2.1.4 Mendefinisikan

tanggung jawab dan

otoritas dalam melakukan

proses. Tanggung jawab

kunci dan otoritas dalam

menjalankan aktivitas

kunci dari proses di

definisikan, ditugaskan

dan

dikomunikasikan.Pengala

man yang

dibutuhkan,pengetahuan

dan keahlian ditetapkan.

Dokumentasi

Proses harus

menyediakan detil

dari pemilik proses

dan siapa saja yang

terlibat, bertanggung

jawab,

dikonsultasikan

dan/atau

diinformasikan

(RACI).

GWP 2.0 Rencana

Proses harus

meliputi detil dari

process

communication plan

demikian juga

pengalaman dan

keahlian yang

dibutuhkan dari

menjalankan proses.

e. Sumber daya

dan informasi

yang dibutuhkan

untuk

menjalankan

proses

diidentifikasi,

disediakan,

dialokasikan dan

digunakan.

GP 2.1.5 Identifikasi dan

sediakan sumber daya

untuk melakukan proses

sesuai dengan rencana.

Sumber daya dan

informasi yang

dibutuhkan untuk

menjalankan aktivitasa

kunci dari proses

diidentifikasi,

disediakan, dialokasikan

dan digunakan.

GWP 2.0 Rencana

Proses harus

menyediakan detil

dari proses

perencanaan

pelatihan dan proses

perencanaan sumber

daya.

f. Antarmuka

antara pihak

yang terlibat

dikelola untuk

memastikan

komunikasi

efektif dan tugas

yang jelas antar

pihak yang

terlibat.

GP 2.1.6 Mengelola

antarmuka antara pihak

yang terlibat. Individu dan

grup yang terlibat dengan

proses diidentifikasi,

tanggung jawab

didefinisikan dan

mekanisme komunikasi

yang efektif diterapkan.

GWP 1.0

Dokumentasi

Proses harus

menyediakan detil

dari invidu dan grup

yang

terlibat(supplier,

customer, dan

RACI). GWP 2.0

Rencana proses

harus menyediakan

detil dari process

48

communication

plan..

b. Process Activity 2.2 Work Product Management

Mengukur sejauh mana hasil kerja yang dihasilkan oleh proses

dikelola. Hasil kerja yang dimaksud dalam hal ini adalah hasil

dari proses. Sebagai hasil pencapaian penuh atribut ini,

ditunjukkan dalam tabel dibawah ini.

Tabel 2.4 Work Product Management

PA 2.2 Work Product Management

Hasil atas

Pencapaian Penuh

Atribut


(GWPs)

a. Kebutuhan akan

hasil kerja

proses

ditetapkan.

GP 2.2.1 Menetapkan

kebutuhan untuk

kerja, meliputi struktur

isi dan kriteria kualitas.

GWP 3.0 Rencana

kualitas harus

menyediakan detil dari

kriteria kualitas dan isi

dari hasil kerja.

b. Kebutuhan

untuk

dokumentasi dan

kontrol dari

hasil kerja

ditetapkan.

GP 2.2.2 Menetapkan

kebutuhan dari

dokumentasi dan

kontrol dari hasil kerja.

Ini harus meliputi

identifikasi dari

ketergantungan,

persetujuan dan

kemudahan dalam

melacak kebutuhan.

GWP 1.0

Dokumentasi proses

harus menyediakan

detil dari kontrol

(matrix kontrol)

GWP 3.0 Rencana

kualitas harus


hasil kerja, kriteria

kualitas, dokumentasi

yang dibutuhkan dan

kontrol perubahan.

c. Hasil kerja

diidentifikasi

dengan baik,

didokumentasik

an dan

dikontrol.

GP 2.2.3 Identifikasi,

dokumentasi, dan

kontrol hasil kerja.

Hasil kerja adalah

subjek dari kontrol

perubahan, begitu juga

dengan perubahan versi

dan managemen

konfigurasi.

GWP 3.0 Recana

Kualitas harus


hasil kerja, kriteria

kualitas, kebutuhan

dokumentasi dan

kontrol perubahan.

GP 2.2.4 Ulas kembali GWP 4.0 Catatan

49

d. Hasil kerja di

ulas kembali

sesuai dengan

rencana

pengaturan dan

disesuaikan

sesuai

kebutuhan

untuk mencapai

kebutuhan.

dan menyesuaikan

hasil kerja untuk

memenuhi kebutuhan

yang telah didefinisikan.

Hasil kerja adalah

subjek terdapat

pengulasan kembali

terhadap kebutuhan

yang disesuaikan

dengan pengaturan yang

direncanakan dan isu-isu

lain yang muncul

diselesaikan .

Kualitas harus

menyediakan jejak

audit dari pengulasan

kembali yang telah

dilakukan.

4) Level 3 – Established Process

Proses yang telah dibangun kemudian diimplementasi menggunakan

proses yang telah didefinisikan yang mampu untuk mencapai hasil

dari proses. Ketentuan atribut proses pada level 3 adalah sebagai

berikut:

a. Process Activity 3.1 Process Definition

Mengukur sejauh mana proses standar dikelola untuk

mendukung pengerjaan dari proses yang telah didefinisikan.

Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam

tabel dibawah ini.

Tabel 2.5 Process Definition

PA 3.1 Process Definition

Hasil atas

Pencapaian Penuh

Atribut


(GWPs)

a. Proses standard,

meliputi

panduan dasar

yang layak,

dedifinisikan

GP 3.1.1

Mendefinisikan

standard dari proses

yang mendukung

pengerjaan dari proses

yang telah

GWP 5.0 Kebijakan

dan standard harus


objektif organisasi

untuk proses, standard

minimum dari

50

sehingga

mendeskripsikan

elemen

fundamental

yang harus ada

dalam proses

yang didefinisi.

didefinisikan. Sebuah

proses standard

didefinisikan yang

mengidentifikasi

elemen proses

fundamental dan

menyediakan panduan

dan prosedur untuk

mendukung

implementasi dan

panduan tentang

bagaimana standard

tersebut dapat diubah

saat dibutuhkan.

performa, prosedur

standard, dan pelaporan

dan kebutuhan

monitoring. Bukti yang

diperlukan pada level

ini bukan hanya pada

adanya kebijakan dan

standard tapi juga

dengan diterapkannya

kebijakan dan standard

tersebut.

b. Urutan dan

interaksi dari

proses standard

dengan proses

lainnya

ditetapkan

GP 3.1.2 Menetapkan

urutan dan interaksi

antar proses sehingga

dapat bekerja sebagai

sistem yang

terintegrasi dalam

proses. Urutan

standard proses dan

interaksi dengan

proses lain ditentukan

dan dikelola ketika

sebuah proses

diimplementasikan

pada bagian lain dalam

organisasi.

GWP 5.0 Kebijakan

dan standard harus

menyediakan proses

pemetaaan dengan detil

dari proses standard

dengan urutan yang

diharapkan dan

interaksinya. Bukti yang

diperlukan pada level

ini bukan hanya pada

adanya kebijakan dan

standard tapi juga



tersebut.

c. Kompetensi

yang

dibutuhkan dan

peran untuk

melakukan

proses

diidentifikasi

sebagai bagian

dari proses

standard

GP 3.1.3

Mengidentifikasi

peran dan

kompetensi dari

menjalankan proses

standard.

GWP 5.0 Kebijakan

dan standard harus

menyediakan detil dan

kompetensi dari proses

yang dilakukan. Bukti

yang diperlukan pada

level ini bukan hanya

pada adanya kebijakan

dan standard tapi juga



tersebut.

d. Infrastruktur

yang diperlukan

dan lingkungan

kerja yang

dibutuhkan

untuk

melakukan

GP 3.1.4 Identifikasi

infrastruktur yang

dibutuhkan dan

lingkungan kerja

untuk melakukan

proses

standard.Infrastruktur

(fasilitas, alat, metode,

GWP 5.0 Kebijakan

dan standard harus

mengidentifikasi

kebutuhan minimum

dari infrastruktur dan

lingkungan kerja untuk

melakukan proses.

Bukti yang diperlukan

51

proses

diidentifikasi

sebagai bagian

dari proses

standard.

dll) dan lingkungan

kerja untuk melakukan

proses standard

diidentifikasi.

pada level ini bukan

hanya pada adanya

kebijakan dan

standard tapi juga



tersebut

e. Metode yang

sesuai untuk

monitoring

kefektifan dan

kesesuaian dari

proses

ditetapkan.

GP 3.1.5 Menetapkan

metode yang sesuai

untuk memonitor

kefektifan dan

kesesuaian dengan

proses standard,

meliputi pemastian

terhadap kriteria yang

layak dan data yang

dibutuhkan untuk

memonitor kefektifan

dan kesesuaian dari

proses didefinisikan,

dan menetapkan

kebutuhan untuk

melakukan audit

internal dan ulas

kembali managemen.

GWP 5.0 Kebijakan

dan standard harus


objektif organisasi

terhadap proses,

standard minimum

performa proses,

prosedur standard, dan

pelaporan serta

kebutuhan monitoring.

Bukti yang diperlukan


hanya pada adanya


tapi juga dengan

diterapkannya kebijakan

dan standard tersebut.

GWP 4.0 Catatan

kualitas dan GWP 9.0

Catatan performa

proses harus

menyediakan bukti dari

ulas kembali yang telah

dilakukan .

b. Process Activity 3.2 Process Deployment

Mengukur sejauh mana proses standard secara efektif telah

dijalankan seperti proses yang telah didefinisikan untuk

mencapai hasil dari proses. Sebagai hasil pencapaian penuh

atribut ini, ditunjukkan dalam tabel dibawah ini.

Tabel 2.6 Process Deployment

PA 3.2 Process Deployment

Hasil atas

Pencapaian Penuh Praktik Umum (GPs)

Hasil Kerja Umum

(GWPs)

52

Atribut

a. Sebuah proses

yang telah

didefinisikan

dijalankan

berdasarkan

standard proses

yang telah

ditentukan.

GP 3.2.1 Menjalankan

sebuah proses yang

telah didefinisikan yang

memuaskan konteks.

Ketika proses yang sama

digunakan pada area yang

berbeda pada organisasi,

proses tersebut dilakukan

berdasarkan proses

standard, diatur selayak

mungkin, dengan

konformasi pada

kebutuhan yang telah

didefinisikan pada proses

yang telah diverifikasi.

GWP 5.0

Kebijakan dan

standard harus

mendefinisikan

standard yang harus

diikuti oleh seluruh

impelementasi dari

proses. Bukti yang

diperlukan pada

level ini bukan

hanya pada adanya

kebijakan dan

standard tapi juga

dengan

diterapkannya

kebijakan dan

standard tersebut.

b. Peran yang

dibutuhkan,

tanggung jawab

dan otoritas

yang dibutuhkan

untuk

menjalankan

proses yang telah

didefinisikan

ditugaskan dan

dikomunikasika

n.

GP 3.2.2 Menugaskan

dan

mengkomunikasikan

peran, tanggung jawab

dan otoritas untuk

menjalankan proses yang

telah didefinisikan. Ketika

prosess yang sama

digunakan pada area yang

berbeda dalam organisasi,

Otoritas dan peran untuk

melakukan aktivitas dari

proses telah ditugaskan

dan dikomunikasikan.

GWP 5.0

Kebijakan dan

standard harus

menyediakan detil,

tanggung jawab dan

otoritas untuk

melakukan aktivitas

dari proses.Bukti

yang diperlukan


hanya pada adanya

kebijakan dan

standard tapi juga

dengan

diterapkannya

kebijakan dan

standard tersebut.

c. Personil yang

melakukan

proses yang

didefinisikan

kompeten dalam

basis edukasi

yang sesuai,

pelatihan dan

pengalaman.

GP 3.2.3 Memastikan

kompetensi yang

dibutuhkan untuk

menjalankan performa

dari proses yang

didefinisikan. Ketika

proses yang sama

digunakan dalam area

yang berbeda pada

organisasi, kompetensi

yang layak untuk personil

yang ditugaskan

diidentifikasikan dan

pelatihan yang sesuai

disediakan untuk

GWP 1.0

Dokumentasi

proses harus

menyediakan detil

dari kompetensi dan

pelatihan yang

dibutuhkan

GWP 2.0 Rencana

proses harus

meliputi detil dari

process

communication plan,

rencana pelatihan

dan rencana sumber

daya untuk setiap

53

menjalankan proses yang


dan digunakan.

instansi dari proses.

d. Sumber daya

yang dibutuhkan

dan informasi

yang diperlukan

untuk

melakukan

proses yang

didefinisikan

disediakan,

dialokasikan dan

digunakan.

GP 3.2.4 Menyediakan

sumber daya dan

informasi untuk

mendukung performa

dari proses yang

didefinisikan. Ketika

proses yang sama


yang berbeda dalam

organisasi, kebutuhan

sumber daya manusia dan

informasi untuk

melakukan proses


dan digunakan.

GP 2.0 Rencana

proses harus

meliputi detil dari

rencana sumber daya

untuk setiap instansi

dari proses.

e. Infrastruktur

dan lingkungan

kerja untuk

melakukan

proses yang

didefinisikan

disediakan,

dikelola, dan

diperlihara.

GP 3.2.5 Menyediakan

proses infrastruktur

yang layak untuk

mendukung performa dari

proses yang didefinisikan.

Ketika proses yang sama


yang berbeda dalam

organisasi, dukungan

organisasi yang

dibutuhkan, infrastruktur,

dan lingkungan kerja


dan digunakan.

GWP 2.0 Rencana

proses harus

meliputi detil dari

proses infrastruktur

dan lingkungan kerja

dari setiap instansi

dari proses.

f. Data yang layak

dikumpulkan

dan dianalisis

sebagai dasar

untuk mengerti

tingkah laku

dari proses,

untuk

mendemonstrasi

kan kecocokan

dan kefektifan,

dan

mengevaluasi

dimana

perbaikan terus-

menerus dari

proses dapat

GP 3.2.6

Mengumpulkan dan

menganalisis data

mengenai performa dari

proses untuk

mendemonstrasikan

kecocokan dan kefektifan.

Data yang dibutuhkan

untuk memonitor

kefektifan dan kesesuaian

dari proses diseluruh

organisasi didefinisikan,

dikumpulkan dan

dianalisis sebagai dasar

dari perbaikan terus-

menerus.

GWP 4.0 Catatan

kualitas dan GWP

9.0 Catatan

performa proses

harus menyediakan

bukti dari alat ulas

kembali yang

dilakukan untuk

setiap instansi dari

proses.

54

dilakukan.

5) Level 4 – Predictable Process

Proses yang telah dibangun kemudian dioperasikan dengan batasan-

batasan agar mampu meraih harapan dari proses tersebut. Ketentuan

atribut proses pada level 4 adalah sebagai berikut:

a. Process Activity 4.1 Process Measurement

Pengukuran mengenai seberapa jauh hasil pengukuran

digunakan untuk memastikan bahwa performa proses

mendukung pencapaian tujuan proses untuk mendukung tujuan

perusahaan. Pengukuran bisa berupa pengukuran proses ataupun

pengukuran produk atau kedua-duanya. Sebagai hasil


ini.

Tabel 2.7 Process Measurement

PA 4.1 Process Measurement

Hasil atas

Pencapaian Penuh

Atribut


(GWPs)

a. Informasi yang

dibutuhkan

proses untuk

mendukung

tujuan bisnis

telah ditetapkan.

GP 4.1.1

Identifikasikan

kebutuhan informasi,

dalam hubungannya

dengan tujuan bisnis.

Tujuan bisnis dan

informasi yang

dibutuhkan pemegang

kepentingan telah

ditetapkan sebagai

dasar untuk

menentukan tujuan

pengukuran performa

proses.

GWP 6.0 Rencana

peningkatan proses

harus menyediakan

tujuan peningkatan

proses dan

menyarankan

tindakan peningkatan.

55

b. Tujuan

pengukuran

proses didapatkan

dari kebutuhan

informasi.

GP 4.1.2 Dapatkan

tujuan pengukuran

proses dari kebutuhan

informasi.

GWP 7.0 Rencana

pengukuran proses

harus menyediakan

detil dari tujuan

pengukuran yang

disarankan.

c. Tujuan

kuantitatif untuk

performa proses

dalam

mendukung

tujuan

perusahaan telah

ditetapkan.

GP 4.1.3 Tetapkan

tujuan kuantitatif atas

performa dari proses,

berdasarkan kesesuaian

proses dengan tujuan

perusahaan. Tujuan

pengukuran kuantitatif

telah ditetapkan dan

secara eksplisit

menggambarkan tujuan

perusahaan dan telah

dipastikan realistis dan

berguna oleh

manajemen dan pelaku

proses.

GWP 7.0 Rencana

pengukuran proses

harus menyediakan

detil dari ukuran dan

indikator pengukuran.

d. Pengukuran dan

frekuensinya

telah

diidentifikasi dan

ditetapkan sejalan

dengan tujuan

pengukuran

proses dan tujuan

kuantitatif atas

performa

prosesnya.

GP 4.1.4

Identifikasikan

pengukuran produk

dan proses yang

mendukung pencapaian

tujuan kuantitatif atas

performa proses.

Pengukuran mendetil

untuk produk dan

proses telah

diidentifikasi,

sekaligus dengan

frekuensi pengumpulan

data dan pengukuran,

juga mekanisme

verifikasi.

GWP 7.0 Rencana

pengukuran proses

menyediakan detil

dari ukuran dan

indikator pengukuran

sekaligus prosedur

pengumpulan data

dan prosedur analisa.

e. Hasil pengukuran

dikumpulkan,

dianalisa dan

dilaporkan untuk

memantau

seberapa jauh

tujuan kuantitatif

proses tercapai.

GP 4.1.5

Mengumpulkan hasil

pengukuran produk

dan proses dengan

melakukan proses yang

telah ditentukan. Hasil

pengukuran

dikumpulkan,

dianalisa, dan

dilaporkan sesuai

rencana yang telah

ditetapkan.

GWP 7.0 Rencana

pengukuran proses

harus menyediakan

detil atas prosedur

analisa yang

disarankan.

GWP 9.0 Catatan

performa proses

harus menyediakan

detil atas pengukuran

yang telah

dikumpulkan dan

dianalisa.

56

f. Hasil pengukuran

digunakan untuk

menggambarkan

performa proses.

GP 4.1.6

Menggunakan hasil

pengukuran untuk

memantau dan

memverifikasi

pencapaian atas tujuan

performa proses. Hasil

pengukuran dianalisa

untuk memastikan

pencapaian terhadap

tujuan performa proses.

Teknik yang sesuai

digunakan untuk

memahami performa

dan kapabilitas proses

dalam batasan yang

sudah ditentukan.

GWP 9.0 Catatan

performa proses

harus menyediakan


yang sudah

dikumpulkan dan

dianalisa.

b. Process Activity 4.2 Process Control

Pengukuran tentang seberapa jauh suatu proses secara kuantitatif

bisa menghasilkan proses yang stabil, mampu, dan bisa

diprediksi dalam batasan telah ditentukan. Sebagai hasil


ini.

Tabel 2.8 Process Control

PA 4.2 Process Control

Hasil atas Pencapaian

Penuh Atribut

Praktik Umum

(GPs)

Hasil Kerja Umum

(GWPs)

a. Teknik analisa dan

kontrol telah

ditentukan dan

diaplikasikan.

GP 4.2.1 Tentukan

teknik analisa dan

kontrol yang sesuai

untuk mengontrol

performa proses.

Metode untuk

mengukur efektivitas

kontrol telah

didefinisikan dan

divalidasi.

GWP 1.0

Dokumentasi proses

harus menyediakan

detil pengontrolan

(matriks kontrol)

GWP 8.0 Rencana

pengendalian proses

harus ada dan

menjelaskan

pendekatan

pengukuran untuk

setiap proses.

57

b. Pengontrolan batas

variasi telah

ditetapkan untuk

performa proses

normal.

GP 4.2.2 Tetapkan

parameter yang

cocok untuk

mengontrol performa

proses. Definisi

standar atas proses

dimodifikasi untuk

memasukkan metode

pengendalian proses

dan batasan

pengontrolan telah

ditetapkan.

GWP 8.0 Rencana

pengontrolan proses

harus ada dan

menjelaskan batasan

pengontrolan untuk

performa normal.

c. Data pengukuran

dianalisa untuk

mengetahui

penyebab khusus

atas suatu variasi.

GP 4.2.3 Analisa

hasil pengukuran

proses dan produk

untuk

mengidentifikasikan

variasi dan performa

proses. Hasil

pengukuran

pengontrolan proses

dianalisa untuk

menentukan masalah

yang perlu

diperhatikan dan

diteruskan untuk

penanggulangan.

GWP 9.0 Catatan

performa proses

harus menyediakan


yang telah

dikumpulkan dan

dianalisa.

d. Tindakan koreksi

diambil untuk

memecahkan

penyebab khusus

variasi.


dan

implementasikan

tindakan koreksi

untuk mengatasi

sumber masalah.

Tindakan koreksi

diambil untuk

mengatasi masalah

pengontrolan proses

dan hasilnya dipantau

dan dievaluasi.

GWP 9.0 Catatan

performa proses

harus menyediakan

detil atas pengukura

yang telah

dikumpulkan dan

dianalisa.

e. Batasan kontrol

ditetapkan kembali

(apabila

dibutuhkan)

sebagai respon

terhadap tindakan

koreksi.

GP 4.2.5 Tetapkan

kembali batasan

kontrol setelah

tindakan koreksi.

Batasan kontrol

proses dimodifikasi

sesuai kebutuhan

setelah tindakan

koreksi dilakukan.

GWP 8.0 Rencana

pengendalian proses

harus ada dan

menjelaskan batasan

kontrol untuk peforma

normal.

58

6) Level 5 – Optimising Process

Proses yang terprediksi secara terus-menerus ditingkatkan untuk

memenuhi tujuan bisnis saat ini dan tujuan proyek. Ketentuan atribut

proses pada level 5 adalah sebagai berikut:

a. Process Activity 5.1 Process Innovation

Mengukur sebuah perubahan proses yang telah diidentifikasi

dari analisis penyebab umum dari adanya variasi di dalam

performa, dan dari investigasi pendekatan inovatif untuk

mendefinisikan dan melaksanakan proses. Sebagai hasil


ini.

Tabel 2.9 Process Innovation

PA 5.1 Process Innovation

Hasil atas

Pencapaian Penuh

Atribut


(GWPs)

a. Tujuan dari

peningkatan

masing-masing

proses

diidentifikasi

untuk mendukung

tujuan bisnis yang

relevan.

GP 5.1.1

Mendefinisikan tujuan

peningkatan proses

untuk mendukung

tujuan bisnis yang

relevan. Arahan untuk

inovasi proses telah

diatur. Tujuan

peningkatan proses

secara kualitatif dan

kuantitatif didasarkan

pada potensi inovasi

proses seperti visi dan

goals yang telah

didefinisikan dan

GWP 7.0 Rencana

peningkatan proses

harus menyediakan

tujuan peningkatan

proses dan tindakan

yang dilakukan

untuk peningkatan

tersebut.

59

didokumentasikan.

b. Data yang tepat

dianalisis agar

dapat

mengidentifikasi

penyebab umum

dari variasi

performa proses.

b. Data yang tepat

dianalisis agar dapat

mengidentifikasi

penyebab umum dari

variasi performa

proses.

GWP 9.0 Catatan

performa proses

harus menyediakan

penjelasan mengenai

kumpulan dan

analisa pengukuran.

c. Data yang tepat

dianalisis agar

dapat

mengidentifikasi

peluang untuk

pelaksanaan

praktik terbaik

dan inovasi.


peluang peningkatan

proses berdasarkan

inovasi dan praktik

terbaik. Peluang

peningkatan proses

diidentifikasi

berdasarkan

perbandingan dengan

praktik terbaik industry.

GWP 6.0 Rencana

peningkatan proses

harus menyediakan

penjelasan mengenai

analisis praktik

terbaik.

d. Peluang

peningkatan yang

bermula dari

teknologi baru

dan konsep proses

baru

diidentifikasikan.

GP 5.1.4 Didasarkan

pada peluang

peningkatan dari

teknologi dan konsep

proses baru. Peluang

peningkatan proses

diidentifikasi

berdasarkan review dan

analisis mengenai

inovasi teknologi dan

konsep proses, yang

dilanjutkan pada

perubahan lingkungan

bisnis termasuk

munculnya risiko bisnis.

GWP 6.0 Rencana

peningkatan proses

harus menyediakan

penjelasan mengenai

analisis peluang

peningkatan

teknologi.

e. Strategi

implementasi

dibuat untuk

mencapai tujuan

dari peningkatan

proses.

GP 5.1.5 Definisikan

strategi implementasi

berdasarkan visi dan

tujuan peningkatan

jangka panjang. Strategi

peningkatan proses

didefinisikan dan

divalidasi berdasarkan

goal dan objektif dari

peningkatan. Komitmen

untuk meningkatkan

didemokan oleh

manager dan pemilik

proses.

Rencana

peningkatan proses

harus menyediakan

penjelasan mengenai

strategi

implementasi untuk

peningkatan proses.

60

b. Process Activity 5.2 Process Optimisation

Mengukur perubahan untuk definisi, manajemen, dan performa

proses agar memiliki hasil yang berdampak secara efektif untuk

mencapai tujuan dari proses peningkatan. Sebagai hasil


ini.

Tabel 2.10 Process Optimisation

PA 5.2 Process Optimisation

Hasil atas

Pencapaian Penuh

Atribut


(GWPs)

a. Dampak dari

perubahan yang

telah dilakukan di

nilai

kesesuaiannya

dengan tujuan

dari proses yang

telah didefinisikan

dan proses

standar.

GP 5.2.1 Menilai

dampak dari masing-

masing perubahan

yang telah dilakukan

apakah telah sesuai

dengan tujuan dari

proses standard dan

proses yang telah

didefinisikan. Dampak

dari perubahan yang

telah dilakukan dinilai

kesesuaiannya agar

dapat menentukan

dampak dari kualitas

produk dan performa

proses apakah telah

sesuai dengan proses

lain yang berhubungan.

GWP 6.0 Rencana

peningkatan proses

harus menyediakan

rincian mengenai

pendekatan kualitas

proyek peningkatan

proses.

b. Implementasi dari

perubahan yang

telah disetujui

dikelola untuk

memastikan

bahwa perbedaan-

perbedaan

performa proses

dimengerti dan

dilakukan

setelahnya.

GP 5.2.2 Mengelola

implementasi dari

perubahan yang telah

disetujui untuk

memilih area dari

proses standar dan

proses yang telah

didefinisi sesuai

dengan strategi

implementasi.

Implementasi dari

perubahan yang telah

GWP 6.0 Rencana

peningkatan proses

harus menyediakan

rincian mengenai

strategi implementasi

peningkatan proses

dan perubahan yang

terdiri dari:

- GWP 1.0

Dokumentasi proses

- GWP 3.0 Rencana

kualitas

61

disetujui dikelola

sesuai dengan

manajemen perubahan

dan proses pendukung

perubahan .

- GWP 5.0 Kebijakan

dan standar.

c. Berdasarkan

performa saat ini,

keefektivitasan

perubahan proses

dievaluasi

berdasarkan

persyaratan

produk dan

tujuan proses

untuk

menentukan hasil

memiliki

penyebab umum

atau khusus.

GP 5.2.3 Berdasarkan

performa saat ini,

evaluasi

keefektivitasan

perubahan proses

sesuai dengan

performa proses, tujuan

kapabilitas, dan tujuan

bisnis. Keefektifitasan

perubahan membuat

proses tersebut perlu

diukur, dievaluasi, dan

dilaporkan setelah

implementasi.

GWP 6.0 Rencana

peningkatan proses

harus menyediakan

rincian mengenai

pendekatan kualitas

proyek peningkatan

proses.

2.4.6 RACI Chart

Dalam memahami aturan dan bertanggung jawab untuk setiap proses adalah kunci

dari efektifitas pengendalian. COBIT 5.0 menyediakan sebuah RACI Chart yaitu

sebuah matrik dari semua aktivitas atau wewenang dalam mengambil keputusan

yang dilakukan dalam sebuah organisasi terhadap semua orang atau peran untuk

setiap proses (ITGI, 2007).

1) Responsible: menjelaskan tentang siapa yang bertanggung jawab

dalam mendapatkan tugas yang harus dilakukan serta memastikan

aktifitas-aktifitas atau kegiatan operasional berjalan dengan sukses.

2) Accountable: menjelaskan tentang siapa yang akhirnya bertanggung

jawab atas keberhasilan tugas dan memiliki otoritas untuk

memutuskan suatu perkara.

62

3) Consulted: menjelaskan tentang siapa yang diperlukan sarannya dan

berkontribusi akan kegiatan tersebut.

4) Informed: menjelaskan tentang siapa yang perlu mengetahui hasil dari

suatu keputusan atau tindakan.

Brikut ini merupakan diagram RACI berdasarkan framework COBIT 5

untuk MEA01 (Monitor, Evaluate and Assess Performance and Conformance)

dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control):

Gambar 2.11 RACI Chart MEA01 (Monitor, Evaluate and Assess Performance and

Conformance) (ISACA, 2012)

63

Gambar 2.12 RACI Chart MEA02 (Monitor, Evaluate and Asses the System of Internal

Control) (ISACA, 2012)

Berikut ini adalah penjelasan mengenai struktur organisasi berdasarkan RACI

Chart COBIT 5 (ISACA, 2012):

1) Board adalah kelompok eksekutif paling senior dan/atau direktur non-

eksekutif dari organisasi yang bertanggung jawab untuk tata kelola

organisasi dan memiliki control keseluruhan sumber daya.

2) Chief Executive Officer (CEO) adalah orang yang memiliki

kedudukan tinggi yang bertanggung jawab dari manajemen

keseluruhan organisasi.

3) Chief Financial Officer (CFO) adalah seseorang yang memiliki

jabatan senior pada organisasi yang bertanggung jawab untuk semua

64

aspek manajemen keuangan, termasuk resiko dan control keuangan

dan rekening terpercaya dan akurat.

4) Chief Operating Officer (COO) adalah seseorang yang memiliki

jabatan senior pada organisasi yang bertanggung jawab untuk operasi

organisasi.

5) Chief Risk Officer (CRO) adalah seseorang yang memiliki jabatan

senior pada organisasi yang bertanggung jawab untuk semua aspek

manajemen resiko di seluruh organisasi. Bertugas mengawasi resiko

yang berhubungan dengan TI.

6) Chief Information Officer (CIO) adalah pejabat senior pada

organisasi yang bertanggung jawab untuk menyelaraskan TI dan

strategi bisnis dan akuntabel untuk perencanaan, sumber daya dan

mengelola pengiriman layanan dan solusi untuk mendukung tujuan TI

organisasi.

7) Chief Information Security Officer (CISO) adalah pejabat senior

pada organisasi yang bertanggung jawab untuk keamanan informasi

organisasi dalam segala bentuknya.

8) Business Executive adalah sebuah manajemen individu senior yang

bertanggung jawab untuk operasi unit bisnis tertentu atau anak

perusahaan.

9) Business Process Owner adalah seseorang yang bertanggung jawab

pada proses kinerja untuk mewujudkan tujuannya, mendorong

perbaikan proses dan menyetujui perubahan proses.

65

10) Strategy (IT Executive) Committee adalah sekelompok eksekutif

senior yang ditunjukan oleh dewan untuk memastikan bahwa dewan

terlibat dalam pengambilan keputusan yang berkaitan dengan TI.

Komite ini bertanggung jawab untuk mengelola portofolio investasi

IT-enabled, layana TI dan asset TI. Memastikan nilai yang

disampaikan dan resiko dikelola. Komite ini biasanya dipimpin oleh

anggota dewan.

11) (Project and Programme) Steering Committee adalah sekelompok

pemanku kepentingan dan ahli yang bertanggung jawab untuk

bimbingan program dan proyek, termasuk pengelolaan dan

pemantauan rencana, alokasi sumber daya dan manajemen program

dan risiko proyek.

12) Architecture Board adalah sekelompok pemangku kepentingan dan

ahli yang bertanggung jawab pada organisasi terkait arsitektur dan

keputusan untuk menetapkan kebijakan dan standar arsitektur.

13) Enterprise Risk Committee adalah kelompok eksekutif dari

organisasi yang bertanggung jawab untuk kolaborasi tingkat

organisasi untuk mendukung manajemen resiko organisasi.

14) Head of Human Resources adalah pejabat senior pada organisasi

yang betanggung jawab untuk perencanaan dan kebijakan terhadap

semua sumber daya manusia di organisasi.

15) Compliance adalah seseorang yang bertanggung jawab untuk

bimbingan pada hokum, peraturan dan kepatuhan terhadap kontrak.

66

16) Audit adalah seseorang yang bertanggung jawab atas penyediaan

audit internal.

17) Head of Architecture adalah seorang individu senior untuk proses

arsitektur enterprise.

18) Head of Development adalah seseorang individu senior yang

bertanggung jawab terkait proses TI, proses pembangunan solusi.

19) Head of IT Operations adalah seseorang individu senior yang

bertanggung jawab atas lingkungan dan infrastrutur operasional TI.

20) Head of IT Administration adalah seorang individu senior yang

bertanggung jawab terkait TI, catatan dan betanggung jawab untuk

mendukung TI terkait masalah administratif.

21) Programme and Project Management Office (PMO) adalah

seseorang yang bertanggung jawab untuk mendukung program dan

proyek manajer, mengumpulkan, menilai dan melaporkan informasi

tentang pelaksabaab program dan proyek konstituen.

22) Value Management Office (VMO) adalah seseorang yang bertindak

sebagai secretariat untuk mengelola portofolio investasi dan layanan,

termasuk menilai dan memberi nasihat tentang peluang investasi,

manajemen control dan menciptakan nilai dari investasi dan jasa.

23) Service Manage adalah seorang individu yang mengelola

pengembangan, implementasi, evaluasi dan pengelolaan berkelanjutan

baru dan yang sudah ada.

67

24) Information Security Manage adalah seorang individu yang

mengelola, desain, mengawasi dan/atau menilai keamanan informasi

suatu organisasi.

25) Business Continuity Manager adalah seorang individu yang

mengelola, merancang, mengawasi dan/atau menilai kemampuan

kelangsungan usaha suatu organisasi, untuk memastikan bahwa fungsi

organisasi tetap beroperasi pada saat kritis.

26) Privacy Officer adalah seorang yang bertanggung jawab untuk

memantau risiko dan dampak bisnis undang-undang privasi dan untuk

membimbing dan koordinasi pelaksaan kebijakan dan kegiatan yang

akan memastikan bahwa arahan privasi terpenuhi. Privacy Officer

juga disebut sebagai petugas perlindungan data.

2.4.7 COBIT Process Assesment Model (PAM)

Model ini merupakan dasar untuk penilaian kemampuan proses TI suatu

perusahaan pada COBIT 5 dan program pelatihan dan sertifikasi bagi para penilai.

Proses penilaian ini dibuktikan dengan mengaktifkan proses penilaian yang dapat

diandalkan, konsisten dan berulang di bidang tata kelola dan manajemen TI.

Model penilaian memungkinkan penilaian oleh perusahaan untuk mendukung

perbaikan proses. Penilai dapat memisahkan bagian-bagian untuk memilih proses

yang akan dinilai. Pemetaan ini meliputi:

1) Menghubungkan tujuan perusahaan dengan tujuan TI perusahaan.

2) Menghubungkan tujuan TI perusahaan dengan tujuan proses TI.

68

3) Sebuah Framework untuk memilih bidang area.

COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan

indikator untuk bimbingan pada interpretasi dari tujuan proses perusahaan. Ada

dua jenis indikator penilaiannya, yaitu:

1) Indikator proses atribut kapabilitas/kemampuan (process capability

attribute) untuk kemampuan pada tingkat 0-5.

2) Indikator proses kinerja (process performance) untuk kemampuan

pada tingkat 1.

Indikator proses atribut kapabilitas/kemampuan digunakan di proses

penilaian kapabilitas COBIT 5 berupa:

1. Praktik Umum (Generic Practice (GP))

2. Hasil Kerja Umum (Generic Work Product (GWP))

Gambar 2.13 Assessment Indicators (ISACA, 2012)

69

2.4.8 Assessment Process Activities

Assesment Process Activities merupakan tahapan-tahapan aktifitas dalam

melakukan proses penilaian capability level untuk perusahaan (ISACA, 2012):

Gambar 2.14 Assesment Process Activities (ISACA, 2012)

1) Initiation

Initiation merupakan tahapan pertama dalam Assessment Process

Activities yang ada pada Process Assessment Model COBIT 5.

Bertujuan untuk menjelaskan hasil identifikasi dari beberapa

informasi yang dapat dikumpulkan.

2) Planning the Assessment

Tahap kedua adalah dilakukan rencana penilaian yang bertujuan untuk

mendapatkan hasil evaluasi penilaian capability level. Dengan

pengisian kuesioner oleh pihak-pihak yang terkait sesuai dengan

diagram RACI yang bertujuan untuk mendapatkan hasil evaluasi

penilaian capability level.

70

3) Briefing

Tahap ketiga adalah peneliti melakukan pengarahan kepada tim

penilai sehingga memahai masukan, proses dan keluaran dalam unit

organisasi yang akan di nilai dengan cara menentukan jadwal

kuesioner, menghubungi responden sesuai RACI Chart, Pengumpulan

dokumentasi, dan pelaporan.

4) Data Collection

Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan

yang terdapat di perusahaan yang bertujuan untuk mendapatkan bukti-

bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan.

5) Data Validation

Tahap kelima adalah dilakukan validasi data yang bertujuan untuk

mengetahui hasil perhitungan kuesioner agar mendapatkan evaluasi

penilaian capability level.

6) Process Attribute Level

Tahap keenam adalah dilakukan proses memberi level pada atribut

yang ada di setiap indikator, yang bertujuan untuk menunjukkan hasil

capability level dari hasil perhitungan kuesioner pada tahap-tahap

sebelumnya dan melakukan analisis gap pada tahapan berikutnya.

7) Reporting the Result

Tahap ketujuh adalah membuat laporan hasil evaluasi yang bertujuan

untuk memberikan rekomendasi kepada perusahaan dengan COBIT 5

untuk memiliki beberapa ketentuan yang harus dipenuhi.

71

2.4.9 Rating Scale

Atribut peringkat menggunakan skala peringkat standar yang terdiri dari:

1) N (Not achieved/tidak tercapai)

Pada skala peringkat ini tidak ada atau hanya sedikit bukti atas

pencapaian atribut di dalam proses penilaian. Skala peringkat nilai

yang diraih adalah 0-15%.

2) P (Partially achieved/tercapai sebagian)

Pada skala peringkat ini terdapat beberapa bukti mengenai pendekatan

dan beberapa pencapaian atribut di dalam proses penilaian. Skala

peringkat nilai yang diraih adalah 15-50%.

3) L (Largely achieved/tercapai sebagian besar)

Pada skala peringkat ini terdapat bukti atas pendekatan sistematis dan

pencapaian signifikan atas proses tersebut, walaupun masih ada

kelemahan pada atribut ini di dalam proses penialaian. Skala peringkat

nilai yang diraih adalah 50-85%.

4) F (Fully achieved/tercapai penuh)

Pada skala peringkat ini terdapat bukti atas pendekatan sistematis,

lengkap dan adanya pencapaian penuh atas atribut proses tersebut.

Tidak adanya kelemahan pada atribut proses. Skala peringkat nilai

yang diraih adalah 85-100%.

72

Gambar 2.15 Rating Scale (ISACA, 2012)

2.4.10 Determining the Capability Level

Capability level untuk setiap proses ditetapkan oleh apakah atribut proses pada

tiap level mencapai rating largely atau fully dan apakah proses atribut untuk level

yang dilewatinya telah mencapai rating fully. Suatu proses cukup meraih kategoril

largely achieved (L) atau fully achieved (F) untuk dapat dinyatakan bahwa proses

tersebut telah meraih suatu capability level tersebut, namun proses tersebut harus

meraih kategori fully achieved (F) untuk dapat melanjutkan penilaian ke

capability level berikutnya. Jadi misalnya suatu proses untuk meraih capability

level 3, maka level 1 dan 2 proses tersebut harus mencapai kategori fully achieved

(F), sementara level kapabilitas 3 cukup mencapai kategori Largely achieved (L)

atau Fully achieved (F). Berikut dibawah ini akan digambarkan batasan tiap level

dan rating yang harus dicapai (ISACA ,2012).

73

Gambar 2.16 Determining Capability Level (ISACA, 2012)

2.5 Fokus Area Tata Kelola Teknologi Informasi

Dalam proses pemilihan domain diperlukan proses identifikasi masalah sehingga

penentuan domain lebih tepat sasaran (Fitroh, Siregar, & Rustamaji, 2017).

Domain proses yang dipilih untuk evaluasi tata kelola TI berdasarkan kebutuhan

perusahaan dan didukung oleh kerangka COBIT 5 tentang pemetaan IT Goals

terhadap proses-proses COBIT (Gambar 2.10). Tahapan pemilihan domain adalah

sebagai berikut:

74

Gambar 2.17 Metode Penelitian Identifikasi Masalah dalam Menentukan Proses Domain

(Fitroh, Siregar, & Rustamaji, 2017).

Langkah yang pertama peneliti melakukan wawancara dengan Divisi IT di

PT. Jasa Marga (Persero), Tbk mengenai struktur organisasi, visi dan misi, uraian

tugas dan fungsi serta kondisi dan masalah yang terjadi di perusahaan. Fakta yang

ditemukan pada Divisi IT yaitu terdapat beberapa permasalahan mengenai adanya

indikasi ketidak patuhan pegawai terhadap kebijakan internal perusahaan dan

kurang optimalnya pengawasan dan evaluasi terhadap kinerja TI. Maka dilakukan

pemetaan stakeholder needs sebagai berikut:

Tabel 2.11 Identifikasi Stakeholder Needs

Kode Stakeholder needs

SN-1

Pengoptimalan kegiatan monitoring dan evaluasi dalam mengawasi

kepatuhan pegawai terhadap kebijakan TI serta kesesuaian kinerja agar

selaras dengan strategi bisnis di PT. Jasa Marga (Persero), Tbk.

75

Dari tabel hasil pemetaan stakeholder needs diatas dapat diketahui bahwa

saat ini kebutuhan perusahaan berfokus pada kepatuhan pegawai terhadap

kebijakan internal. Kemudian stakeholder needs tersebut dipetakan dalam

enterprise goals COBIT 5 sebagai berikut:

Gambar 2.18 Enterprise Goals

Berdasarkan hasil pemetaan tersebut, serta melihat fakta yang ditemukan

pada Divisi IT, maka enterprise goals yang selaras dan dipilih dalam penelitian ini

adalah nomor lima belas (15) Compliance with internal policies. Tahapan yang

dilakukan selanjutnya adalah melakukan pemetaan terhadap IT-related goals,

sebagai berikut:

1. S

takeh

old

er

va

lue o

f b

usi

ness

in

vest

men

ts

2. P

ort

ofo

lio

of

co

mp

eti

tive p

rod

ucts

an

d s

erv

ices

3. M

an

ag

ed

bu

sin

ess

ris

k (

safe

gu

ard

ing

of

ass

ets

4. C

om

pli

an

ce w

ith

exte

rna

l la

ws

an

d r

eg

ula

tio

ns

5. F

ina

ncia

l tr

an

spa

ren

cy

6. C

ust

om

er-

ori

en

ted

serv

ice c

ult

ure

7. B

usi

ness

serv

ice c

on

tin

uit

y a

nd

ava

ila

bil

ity

8. A

gil

e r

esp

on

ses

to a

ch

an

gin

g b

usi

ness

en

vir

on

men

t

9. In

form

ati

on

-ba

sed

str

ate

gic

decis

ion

ma

kin

g

10

. O

pti

mis

ati

on

of

serv

ice d

eli

very

co

sts

11

. O

pti

mis

ati

on

of

bu

sin

ess

pro

cess

fu

ncti

on

ali

ty

12

. O

pti

mis

ati

on

of

bu

sin

ess

pro

cess

co

sts

13

. M

an

ag

ed

bu

sin

ess

ch

an

ged

pro

gra

mm

es

14

. O

pera

tio

na

l a

nd

sta

ff p

rod

ucti

vit

y

15

. C

om

pli

an

ce w

ith

in

tern

al

po

licie

s

16

. S

kil

led

an

d m

oti

va

ted

peo

ple

17

. P

rod

uct

an

d b

usi

ness

in

no

va

tio

n c

ult

ure

Kode Stakeholder Needs

SN-1

Pengawasan dan evaluasi

yang optimal terhadap

pelaksanaan TI di

perusahaan dan kepatuhan

pegawai terhadap tata kelola

teknologi informasi PT. Jasa

Marga (Persero), Tbk.

Enterprise Goal

76

Gambar 2.19 Mapping COBIT 5 IT-Related Goals

Berdasarkan gambar di atas, enterprise goals nomor lima belas (15)

Compliance with internal policies memiliki hubungan primary dengan IT-related

goals nomor lima belas (15) IT compliance with internal policies. Tahapan

selanjutnya adalah melakukan pemetaan terhadap Enabler Goals sebagai berikut:

78

Gambar 2.20 Mapping COBIT 5 Process

Dari hasil pemetaan di atas dapat diketahui bahwa IT-related goals dari IT

Compliance with internal policies memiliki 4 proses COBIT yang primary atau

memiliki hubungan penting, yaiu sebagai berikut:

79

Tabel 2.12 Domain Hasil Pemetaan IT Goals

No. Domain Uraian

IT Compliance With Internal Policies

1. EDM03 (Ensure Risk Optimisation)

2. APO01 (Manage the IT Management Framework)

3. MEA01 (Monitor, Evaluate and Assess Performance and

Conformance)

4. MEA02 (Monitor, Evaluate and Asses the System of

Internal Control)

Setelah melihat fakta yang ditemukan pada Divisi IT PT. Jasa Marga

(Persero), Tbk dan melakukan kuesioner (pra penelitian) oleh pihak Divisi IT,

pihak divisi IT menentukan proses domain yang selaras dan dipilih untuk dikaji

lebih lanjut dalam penelitian ini adalah MEA01 (Monitor, Evaluate and Assess

Performance and Conformance) dan MEA02 (Monitor, Evaluate and Asses the

System of Internal Control).

2.5.1 MEA01 (Monitor, Evaluate and Assess Performance and Conformance)

Proses MEA01 adalah bagaimana mengumpulkan, memvalidasi, dan

mengevaluasi bisnis, TI dan tujuan proses dan metrics. Mengawasi proses yang

tidak sesuai dengan ketentuan dan tujuan yang ditentukan dan menyediakan

kegiatan pelaporan yang sistematik dan tepat waktu (ISACA, 2012). Tujuan dari

proses tersebut adalah menyediakan transparansi performa dan kesesuaian dan

mendorong pencapaian tujuan.

80

2.5.2 MEA02 (Monitor, Evaluate and Asses the System of Internal Control)

Proses MEA02 adalah bagaimana secara terus-menerus mengawasi dan

mengevaluasi lingkungan kontrol, termasuk penilaian diri sendiri, dan review dari

assurance independen. Memungkinkan management untuk mengidenfitikasi

kekurangan kontrol dan ketidakefektifan dan menginisialisasi aksi perbaikan.

Merancang, mengorganisasi, dan mempertahankan standar untuk penilaian

kontrol internal dan aktivitas assurance (ISACA, 2012).

Tujuan dari proses ini adalah mendapatkan tranparansi bagi stakeholder

kunci untuk kecukupan pada kontrol sistem internal yang akan membuat mereka

percaya pada kegiatan operational perusahaan, kepercayaan pada pencapaian dari

tujuan. perusahaan, dan pemahaman cukup terhadap risiko yang tersisa.

2.5.3 Identifikasi Kebutuhan Dokumen

Dalam melakukan penilaian proses pengawasan, evaluasi dan penilaian pada

kinerja, kesesuaian dan sistem pengendalian internal di PT. Jasa Marga (Persero),

Tbk berdasarkan framework COBIT 5, maka diperlukan identifikasi kebutuhan

dokumen yang perlu disiapkan oleh perusahaan dalam pelaksanaan evaluasi.

Pencapaian level kapabilitas 1 pada PT. Jasa Marga (Persero), Tbk, dapat dilihat

dengan melakukan pengecekan dokumentasi sesuai dengan aktivitas proses

MEA01 (Monitor, Evaluate and Assess Performance and Conformance) dan

MEA02 (Monitor, Evaluate and Asses the System of Internal Control) yang telah

terlaksana berdasarkan framework COBIT 5.

81

Berikut ini adalah daftar dokumentasi aktivitas level kapabilitas 1

berdasarkan aktivitas yang terdapat pada proses MEA01 (Monitor, Evaluate and

Assess Performance and Conformance):

1) MEA01.01 Menetapkan Pendekatan Monitoring

a. Identifikasi pemangku kepentingan (misalnya, manajemen,

pemilik proses dan penguna).

b. Pengikutsertaan stakeholders dalam komunikasi persyaratan

perusahaan dan tujuan untuk monitoring.

c. Evaluasi yang dilakukan perusahaan dengan menggunakan alat

yang digunakan dalam mengumpulkan data dan laporan

(misalnya, aplikasi pengawasan bisnis).

d. Penyesesuaian antara tujuan dan matrik (misalnya, kinerja, nilai,

resiko) dengan bukti data hasil kinerja.

e. Kesepakatan alur manajemen dan kontrol proses perubahan

dalam pengawasan dan pelaporan.

f. Pengalokasian sumber daya dalam melakukan monitoring.

g. Validasi yang dilakukan secara berkala dalam mengidentifikasi

stakeholders, kebutuhan dan sumberdaya baru atau yang diubah.

2) MEA01.02 Mengatur Tujuan Kinerja dan Kesesuaian

a. Pendefinisian dan peninjauan secara berkala terhadap tujuan dan

matrik dengan para stakeholders.

b. Komunikasi usulan perubahan kinerja dan kesesuaian target dan

toleransi dengan stakeholders.

82

c. Publikasi perubahan target dan toleransi kepada pengguna

informasi.

d. Evaluasi antara tujuan dan matrik yang spesifik, terukur dan

dapat dicapai secara relevan.

3) MEA01.03 Mengumpulkan Proses Kinerja dan Kesesuaian Data

a. Pengumpulan data dari proses kinerja yang ditetapkan.

b. Penilaian efensiensi, kesesuaian dan validasi integrasi dari data

yang dikumpulkan.

c. Pengumpulan data untuk mendukung pengukuran pencapaian

tujuan kinerja.

d. Penyelarasan antara data yang terkumpul dengan laporan hasil

kinerja perusahaan.

e. Penggunaan sistem dan alat-alat yang cocok untuk mengelola

format dari data yang dianalisis.

4) MEA01.04 Menganalisis dan Melaporkan Kinerja

a. Perancangan laporan proses kinerja yang ringkas dan mudah

dipahami dan disesuaikan dengan berbagai kebutuhan

manajemen dan audien.

b. Membandingkan antara nilai kinerja dengan target dan tolak

ukur internal perusahaan.

c. Penyesuaian antara rekomendasi perubahan yang diberikan

dengan tujuan dan matrik.

d. Mendistribusikan laporan kepada pemangku kepentingan terkait.

83

e. Menganalisa penyebab target tidak terealisasi.

f. Penyesuaian antara kelayakan dan pencapaian target kinerja

dengan sistem kompensasi penghargaan organisasi.

5) MEA01.05 Memastikan Pelaksanaan Tindakan Perbaikan

a. Peninjauan respon, pilihan dan rekomendasi dari manajemen

dalam menangani masalah dan penyimpangan.

b. Pembagian tanggung jawab untuk tidakan perbaikan.

c. Penelusuran terhadap hasil tidakan perbaikan.

d. Pelaporan dari hasil tindakan yang dilakukan.

Berikut ini daftar level kapabilitas 1 berdasarkan aktivitas yang terdapat

pada proses MEA02 (Monitor, Evaluate and Asses the System of Internal

Control):

1) MEA02.01 Memantau Pengendalian Internal

a. Pengawasan pengendalian dan evaluasi internal berdasarkan

standar tata kelola organisasi dan kerangka kerja industri yang

berlaku.

b. Pertimbangan oleh manajemen untuk melakukan evaluasi

independen dari pengendalian internal sistem (misalnya, dengan

audit internal atau rekan-rekan).

c. Identifikasi batas-batas sistem pengendalian internal TI.

d. Pengendalian internal organisasi dan pengecualian pelaporan,

tindak lanjut analisis, serta tindakan korektif yang diutamakan

organisasi lalu dilaksanakan sesuai dengan manajemen resiko.

84

e. Pemeliharaan sistem pengendalian internal TI, mengingat

perubahan yang sedang berlangsung dalam bisnis dan resiko TI

serta lingkungan pengendalian organisasi.

f. Evaluasi kinerja framework pengendalian IT, benchmarking

terhadap standar industri yang berlaku.

g. Penilaian terkait status penyedia layanan eksternal pengendalian

internal dan mengkonfirmasi bahwa penyedia layanan mematuhi

persyaratan hukum dan peraturan kewajiban kontrak.

2) MEA02.02 Mengulas Proses Bisnis Keefektifan Pengendalian

a. Memahami dan memprioritaskan resiko untuk tujuan organisasi.

b. Identifikasi pengendalian utama dan pengembangan strategi

yang sesuai untuk memvalidasi pengendalian.

c. Mengembangkan dan menerapkan prosedur keefektifan biaya

agar informasi yang didapatkan berdasarkan kriteria.

d. Identifikasi informasi yang persuasif menunjukkan apakah

lingkungan pengendalian internal beroperasi secara efektif.

e. Perlindungan bukti efektivitas pengendalian.

3) MEA02.03 Melaksanakan Kontrol Penilaian Diri

a. Mempertahankan rencana dan ruang lingkup serta

mengidentifikasi kriteria evaluasi untuk melakukan penilaian

diri dengan mempertimbangkan standar audit internal.

b. Penentuan frekuensi penilaian diri secara berkala, mengingat

keefektifan dan eisiensi pemantauan yang tengah berlangsung.

85

c. Penetapan tanggung jawab terkait penilaian diri kepada individu

yang tepat untuk menjamin objektivitas dan kompetensi.

d. Peninjauan independen untuk menjamin objektivitas dari

penilaian diri dan memungkinkan berbagi praktek pengendalian

internal yang baik dari perusahaan lain.

e. Membandingkan hasil penilaian diri terhadap standar industri

dan kerangka kerja yang baik.

f. Pelaporan hasil penilaian diri dan benchmarking untuk tindakan

perbaikan.

g. Pendekatan yang konsisten dalam melakukan kontrol penilaian

diri dan koordinasi dengan auditor internal dan eksternal.

4) MEA02.04 Mengidentifikasi dan Melaporkan Kekurangan

Pengendalian

a. Pengecualian pengendalian dan menetapkan tanggung Jawab

untuk menyelesaikan pengendalian dan melaporkan statusnya.

b. Pertimbangan resiko lembaga untuk membangun batasan

eskalasi pengecualian pengendalian dan kerusakan.

c. Mengkomunikasikan prosedur untuk peningkatan kontrol

pengecualian masalah, analisis akar penyebab masalah dan

pelaporan kepada pemilik proses serta stakeholders.

d. Keputusan pengecualian pengendalian harus dikomunikasikan

kepada individu yang bertanggung jawab serta

86

menginformasikannya kepada pemilik proses yang terkena

dampak dan para stakeholders.

e. Penindak lanjut dari semua pengecualian pengendalian guna

memastikan bahwa persetujuan tindakan telah ditangani.

f. Identifikasi dan penerapan tindakan perbaikan yang timbul dari

penilaian pengendalian dan pelaporan.

5) MEA02.05 Memastikan bahwa Penyedia Jaminan Independen dan

Berkualitas

a. Kepatuhan terhadap kode etik dan standar yang berlaku

(misalnya, Kode Etik Profesional ISACA, ISO) dan standar

jaminan lainnya.

b. Organisasi membangun kemandirian penyedia assurance.

c. Kompetensi dan kualifikasi penyedia assurance.

6) MEA02.06 Menginisiasi Rencana Assurance/Jaminan

a. Penentuan para pengguna untuk menginisiasi assurance.

b. Penilaian resiko level tinggi dan atau penilaian tentang

kemampuan proses untuk mendiagnosis resiko dan

mengidentifikasi proses TI yang kritis.

c. Pemilihan, penyesuaian dan pencapaian kesepakatan tentang

tujuan pengendalian untuk proses penting yang akan menjadi

dasar penilaian kontrol.

7) MEA02.07 Menginisiasi Ruang Lingkup Assurance/Jaminan

87

a. Penentuan ruang lingkup dengan mengidentifikasi tujuan

lembaga dan IT untuk lingkungan sumber daya, serta semua

entitas auditable yang relevan dalam perusahaan dan eksternal

perusahaan.

b. Penentuan rencana keterlibatan dan kebutuhan sumber daya.

c. Praktik yang dilakukan dalam mengumpulkan dan mengevaluasi

informasi dari proses yang dikaji untuk keperluan pengendalian

serta evaluasi resiko yang ada.

d. Mengesahkan desain pengendalian dan capaian guna

menentukan apakah tingkat efektivitas mendukung resiko yang

dapat diterima (yang dibutuhkan oleh organisasi).

e. Menentukan praktik untuk mengidentifikasi sisa resiko (dalam

persiapan untuk pelaporan).

8) MEA02.08 Melaksanakan Inisiatif Assurance/Jaminan

a. Pemahaman tentang subjek assurance.

b. Penentuan ruang lingkup tujuan pengendalian utama untuk

subjek assurance.

c. Pengujian efektifitas desain pengendalian dari tujuan

pengendalian utama.

d. Penambahan alternatif dalam menguji hasil dari tujuan

pengendalian utama.

e. Manajemen mendokumentasikan dampak kelemahan

pengendalian.

88

f. Komunikasi terhadap manajemen selama pelaksanaan inisiatif

sehingga ada pemahaman yang jelas tentang pekerjaan yang

dilakukan dan kesepakatan serta penerimaan temuan awal dan

rekomendasi.

g. Pengawasan kegiatan assurance dan memastikan pekerjaan

telah selesai untuk memenuhi tujuan dan kualitas yang dapat

diterima.

h. Keselarasan laporan dengan kerangka acuan, ruang lingkup dan

disepakati pada standar pelaporan yang mendukung hasil

inisiatif dan memungkinkan fokus jelas pada masalah utama dan

tindakan penting.

Untuk penilaian kapabilitas level 2 sampai dengan level 5, dokumen-

dokumen yang dibutuhkan untuk penilaian dan sekaligus berperan sebagai bukti

pengelolaan proses yang dilaksanakan tersebut adalah:

Gambar 2.21 Hubungan GWP untuk Cpability Level (ISACA,2012)

89

1) Dokumentasi proses: Nama proses, pemilik proses, ruang lingkup

proses, peranan proses, peta proses, diagram RACI, matriks kontrol

internal, dan prosedur proses.

2) Rencana proses: Tujuan performa proses, pengurusan sumber daya

proses, komunikasi proses, infrastruktur proses, lingkungan kerja,

kebutuhan kemampuan dan pengalaman, dan kebutuhan pelatihan.

3) Rencana kualitas: Pernyataan kebijakan kualitas dan tujuan, isi hasil

kerja, kriteria kualitas hasil kerja sebagai dasar review dan

persetujuan, dokumentasi hasil kerja, dan pengendalian perubahan

hasil kerja.

4) Catatan kualitas: Catatan review hasil kerja terhadap ketentuan dan

tindakan yang diambil.

5) Kebijakan dan standar: Tujuan dan tanggung jawab proses, batas

performa minimum proses, pemetaan proses standar, termasuk urutan

yang diharapkan dan interaksi antar proses, prosedur yang

standarisasi, peran dan kompetensi yang dibutuhkan untuk melakukan

proses, infrastuktur dan lingkungan kerja untuk melakukan proses,

ketentuan pelaporan dan pemantauan termasuk audit.

6) Rencana peningkatan proses: Tujuan peningkatan proses, analisis

terhadap best practice, kesempatan pengembangan teknologi, tindakan

peningkatan, rencana implementasi peningkatan, dan pendekatan

kualitas proyek.

90

7) Rencana pengukuran proses: Tujuan pengukuran, indicator

pengukuran yang disarankan, prosedur pengumpulan data, dan

prosedur analisis.

8) Rencana pengendalian proses: Teknik pengendalian, pendekatan

pengukuran, dan batasan performa normal.

9) Catatan performa proses: Catatan review terhadap ketentuan dan

tindakan yang diambil.

Perincian dari dokumen yang dibutuhkan untuk penilaian masing masing

level adalah sebagai berikut:

1) Level 2: 1, 2, 3, dan 4.

2) Level 3: 1, 2, 4, 5, dan 9.

3) Level 4: 1, 6, 7, 8, dan 9.

4) Level 5: 6 dan 9.

2.6 Pengendalian Internal

Pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran

yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian

dan keandalan data akuntansi, mendorong efisiensi dan mendorong terjadinya

kebijakan manajemen. Definisi sistem pengendalian internal tersebut menekankan

tujuan yang hendak dicapai dan bukan pada unsur-unsur yang membentuk sistem

tersebut, dengan demikian pengertian pengendalian internal tersebut di atas

91

berlaku baik dalam perusahaan yang mengolah informasinya secara manual,

dengan mesin pembukuan maupun dengan komputer (Mulyadi, 20014).

Tujuan dirancangnya sistem pengendalian internal dari kaca pandang terkini

dan yang sudah mencakup lingkup yang lebih luas pada hakikatnya adalah untuk

melindungi harta milik perusahaan, mendorong kecermatan dan kehandalan data

dan pelaporan, meningkatkan efektivitas dan efisiensi usaha serta mendorong

ditaatinya kebijakan manajemen yang telah digariskan dan aturan-aturan

(termasuk undang-undang) yang ada (Gondodiyoto, 2007). Faktor-faktor yang

menyebabkan makin pentingnya sistem pengendalian internal (Gondodiyoto,

2007), antara lain:

1) Perkembangan kegiatan dan skalanya menyebabkan kompleksitas

struktur, sistem dan prosedur suatu organisasi makin rumit. Untuk

dapat mengawasi operasi organisasi, manajemen hanya mengandalkan

kepercayaan atas berbagai laporan dan analisa.

2) Tanggung jawab utama untuk melindungi aset organisasi, mencegah

dan menemukan kesalahan-kesalahan serta kecurangan-kecurangan

yang terletak pada management, sehingga management harus

mengatur sistem pengendalian internal yang sesuai untuk memenuhi

tanggung jawab tersebut.

3) Pengawasan dari satu orang (saling cek) merupakan cara yang tepat

untuk menutup kekurangan-kekurangan yang bisa terjadi pada

manusia. Saling cek ini merupakan salah satu karakteristik sistem

pengendalian internal yang baik.

92

4) Pengawasan yang “built-in” langsung pada sistem berupa

pengendalian intern yang baik dianggap lebih tepat daripada

pemeriksaan secara langsung dan detai oleh pemeriksa (khususnya

yang berasal dari luar organisasi).

Gondodiyoto melanjutkan, ada beberapa asumsi dasar yang perlu dipahami

mengenai pengendalian internal bagi suatu entitas organisasi atau perusahaan

(Gondodiyoto, 2007), yaitu:

1) Sistem pengendalian internal merupakan management responsibility.

Bahwa sesungguhnya yang paling berkepentingan terhadap sistem

pengendalian internal suatu entitas organisasi/perusahaan adalah

manajemen (lebih tegasnya lagi ialah top management/direksi), karena

dengan sistem pengendalian internal yang baik itulah top management

dapat mengharapkan kebijakannya dipatuhi, aktiva atau harta

perusahaan dilindungi dan penyelenggaraan pencatatan berjalan baik.

2) Top management bertanggung jawab menyusun sistem pengendalian

internal, tentu saja dilaksanakan oleh para staffnya. Dalam

penyusunan team yang akan ditugaskan untuk merancang sistem

pengendalian internal, harus dipilih anggotanya dari para

ahli/kompeten, termasuk berkaitas dengan TI.

3) Sistem pengendalian internal seharusnya bersifat generik, mendasar

dan dapat diterapkan pada setiap perusahaan pada umumnya (tidak

boleh jika hanya berlaku untuk suatu perusahaan tertentu saja,

melainkan harus ada hal-hal yang bersifat dasar yang berlaku umum).

93

4) Sistem pengendalian internal adalah reasonable assurance, artinya

tingkat rancangan yang kita desain adalah yang paling optimal. Sistem

pengendalian yang baik adalah bukan yang paling maksimal, apalagi

harus dipertimbangkan dengan cost benefit-nya.

5) Sistem pengendalian internal mempunyai keterbatasan-keterbatasan

atau constraints, misalnya adalah sebaik-baiknya kontrol tetapi jika

para pegawai yang melaksanakannya tidak cakap atau kolusi maka

tujuan pengendalian itu mungkin tidak tercapai.

6) Sistem pengendalian internal harus selalu dan terus menerus

dievaluasi, diperbaiki, disesuaikan dengan perkembangan kondisi dan

teknologi.

2.7 Metodologi Penelitian

Metode yang digunakan dalam penelitian ini adalah sebagai berikut:

2.7.1 Teknik Pengumpulan Data

1) Observasi

Observasi adalah melakukan pengamatan secara langsung ke obyek

penelitian untuk melihat dari dekat kegiatan yang dilakukan.

Observasi atau pengamatan merupakan suatu teknik atau cara

mengumpulkan data dengan jalan mengadakan pengamatan terhadap

kegiatan yang sedang berlagsung (Guritno et al, 2011).

Observasi adalah teknik pengumpulan data dengan cara

mengamati secara langsung maupun tidak tentang hal-hal yang

94

diamati dan mencatatnya pada alat observasi. Sedangkan “check list”

atau daftar cek yang merupakan pedoman observasi yang berisikan

daftar dari semua aspek yang diamati, sebagai instrument yang

digunakan pada kuesioner (Sanjaya, 2013).

2) Wawancara

Wawancara (interview), adalah teknik penelitian yang dilaksanakan

dengan cara dialog baik secara langsung (tatap muka) maupun melalui

saluran media tertentu antara pewawancara dengan yang

diwawancarai sebagai sumber data (Sanjaya, 2013).

Pedoman wawancara dapat berisi uraian penelitian yang

biasanya dituangkan dalam bentuk daftar pertanyaan agar proses

wawancara dapat berjalan dengan baik. Isi pertanyaan dapat berupa

fakta, data pengtahuan, konsep, pendapat, atau evaluasi responden

berkenaan dengan topik permasalahan yang sedang dikaji (Sudaryono

et al, 2011).

Wawancara merupakan suatu pendekatan komunikasi karena

terjadi proses komunikasi untuk mendapatkan datanya. Pendekatan

komunikasi berbeda dengan pendekatan observasi. Pendekatan

observasi tidak berinteraksi langsung dengan objek datanya,, tetapi

hanya observasi saja, maka pendekatan ini baik untuk mengamati

proses, kondisi, kejadian-kejadian atau perilaku manusia. Akan tetapi

pendekatan komunikasi karena berinteraksi dengan respondennya,

95

maka baik digunaka untuk mengumpulkan data, sikap, motivasi, opini,

ekspektasi atau niat dari respondennya.

3) Studi Pustaka

Metode ini dilakukan dengan cara membaca buku-buku dan website

referensi yang dapat dijadikan sebagai rujukan bagi keseluruhan

proses studi, agar kebenaran hasil studi dapat dipertanggung-

jawabkan. Data yang dikumpulkan melalui metode studi pustaka ini

berguna untuk mendukung data - data yang telah didapat melalui

metode yang sudah dilakukan sebelumnya (Jogiyanto, 2008). Berikut

ini adalah studi pustaka penelitian sejenis yang digunakan pada

penelitian ini:

Tabel 2.13 Penelitian Sejenis

No. Nama Tahun Judul Kerangka

Kerja

1 Suryo

Suminar 2014

Evaluasi Tata Kelola Teknologi

Informasi Menggunakan

Framework COBIT 5 Fokus

Proses Manage Security (APO13)

dan Manage Security Service

(DSS05) Studi Kasus: PPIKSN-

BATAN

COBIT 5

Penelitian ini bertujuan mengetahui capability level untuk kondisi keamaan

sistem saat ini (as is) dan kondisi yang diinginkan (to be) pada domain

(APO13) dan Manage Security Service (DSS05) di PPIKSN berdasarkan

COBIT 5. Hasil perhitungan capability level berada pada level 2 (Managed

Process) yang artinya proses pada APO13 dan DSS05 telah dilakukan

dengan cara yang direncanakan berdasarkan dengan rencana kerja organisasi,

dimonitor untuk hasilnya dan dilaporkan pada laporan akuntabilitas

organisasi serta disesuaikan dengan visi misi dari PPIKSN-BATAN

96

2

Fajrin Rizkia

Pratiwi

Suwarno

2014


Informasi Menggunakan

Framework COBIT 5 Fokus Pada

Proses Manage Relationship

(APO08) (Studi Kasus : PT. OTO

Multiartha)

COBIT 5

Penelitian ini bertujuan untuk menghasilkan analisis terhadap proses

penagihan untuk memonitoring Field Collector guna mengevaluasi

keselarasan tujuan TI dan bisnis. Hasil perhitungan nilai capability level pada

penelitian ini sebesar 2,76 sedangkat target capability level adalah 4,00.

Untuk dapat mengatasi gap yang ada maka PT. OTO Multiartha

direkomendasikan untuk membuat dokumen SLA (Service Level Agreement)

sebagai bentuk pencapaian atas performansi yang telah dicapai.

3 Sahbani

Siregar 2016


Informasi Berdasarkan Framework

COBIT 5 Pada Pusat Informasi

dan Hubungan Masyarakat

Kementrian Agama RI (Fokus

EDM03, APO01, MEA02)

COBIT 5

Pada penelitian ini, Process Assessment Model (PAM) COBIT 5 digunakan

sebagai metode yang compatible untuk tujuan penilaian kapabilitas proses.

Hasil dari penelitian ini menunjukkan capability level pada proses EDM03,

APO01 dan MEA02 berada pada level 2 (Managed Process), dengan tingkat

kapabilitas yang diharapkan berada di level 4. Dalam penelitian ini, peneliti

memberikan rekomendasi agar membuat program manajemen resiko

keamanan informasi, membuat kebijakan tegas terkait ketidakpatuhan

pegawai pada regulasi danmembuat perencanaan sumber daya manusia.

4 Nur Indah

Fitrianingsih 2014

Audit Digital Library UIN Sunan

Kalijaga Yogyakarta

Menggunakan Framework COBIT

5

COBIT 5

Penelitian ini berfokus pada proses BAI04 (Manage Availability and

Capacity) dan MEA01 (Monitor, Evaluate and Asses Performance and

Conformance) dengan hasil penelitian untuk proses BAI04 dan MEA01

berada pada level 2 (Managed Process), kondisi dimana proses telah

mencapai tujuannya dengan melakukan pengelolaan (direncanakan,

dimonitor dan disesuaikan), hasil dari proses secara tepat ditetapkan,

97

dikendalikan dan dipertahankan.

5 Fadjri

Prasetya 2014

Usulan Tata Kelola Teknologi

Informasi Pada Rumah Sakit Pusat

Pertamina Menggunakan

Framework COBIT 5 Fokus pada

Proses Manage Inovation

(APO04)

COBIT 5

Penelitian ini melakukan usulan tata kelola teknologi informasi pada RSPP

yang difokuskan pada proses APO04 (Manage Inovation). Capability level

pada APO04 RSPP berada di level 3 Established Process artinya RSPP harus

sudah memiliki ketetapan dalam mengelola inovasi, namun dalam

penerapannya belum semua Generic Practice pada level 3 terpenuhi.

Sedangkan untuk kondisi yang diharapkan adalah level 4 Predictable

Process yang direkomendasikan perlu adanya SOP.

4) Kuesioner

Metode ini dilakukan dengan cara menyebarkan kertas kuesioner yang

berisi pertanya-pertanyaan yang dibuat untuk mendapatkan informasi

yang relevan dengan tujuan survei dan memperoleh informasi dengan

reabilitas dan validitas setinggi mungkin (Jogiyanto, 2008).

Kuesioner merupakan instrumen penelitian berupa daftar

pertanyaan atau pernyataan secara tertulis yang harus dijawab atau

diisi oleh responden sesuai dengan petunjuk pengisiannya (Sanjaya,

2013).

98

2.7.2 Metode Luftman

Luftman telah membangun sebuah metode yang dapat membantu sebuah

perusahaan mengetahui tingkat kematangan strategis yang dimiliki oleh

perusahaan tersebut. Metode Luftman ini di kenal dengan sebutan Framework

Luftman atau model kematangan penyelarasan strategis Luftman. Dengan

mengetahui posisi kematangan penyelarasan strategis pada perusahaan maka

upaya untuk memperkecil hal-hal yang menjadi faktor penghambat (inhibitors)

dan meningkatkan faktor pendukung (enabler) dapat dilakukan dengan baik.

Terdapat 5 (lima) tingkat kematangan penyelarasan strategis yang dijabarkan pada

metode Luftman dibawah ini (Lutman & Kempaiah, 2007), yaitu :

1) Initial/Ad Hoc Process

Pada tingkat kematangan ini, dapat dikatakan bahwa tidak terdapat

keselarasan maupun harmonisasi pada sisi bisnis dan teknologi

informasi yang ada. Perusahaan yang memiliki karakteristik pada

tingkat ini, sangat kecil kemungkinannya untuk mencapai keselarasan

terhadap komponen-komponen bisnis dan teknologi informasi.

2) Committed Process

Perusahaan yang berada pada tingkatan kematangan ini didefinisikan

telah memiliki kemauan dan kesadaran dalam membangun komitmen

bersama serta mulai menjalankan komitmen tersebut untuk mencapai

keselarasan pada keadaan yang lebih baik.

99

3) Established Focused Process

Perusahaan yang telah mencapai tingkat kematangan ini, ada

penyelarasan strategis yang mencirikan bahwa dengan kematangan

penyelarasan strategis yang di bangun maka perusahaan sudah lebih

berkonsentrasi pada kegiatan-kegiatan yang dapat mewujudkan tujuan

bisnis tertentu dan pada tingkat ini perusahaan sudah dapat dikatakan

sebagai perusahaan yang sudah selaras namun dibutuhkan

peningkatan yang lebih baik ke tingkat berikutnya.

4) Improved/Managed Process

Pada tingkat kematangan ini perusahaan menunjukkan bahwa

perusahaan telah menerapkan konsep teknologi informasi sebagai

value center pada perusahaannya.

5) Optimized Process

Dalam tingkat kematangan ini, semua kegiatan-kegiatan sudah

terintegrasi dengan sangat baik, perencanaan strategis yang akan

dibangun pun telah secara bersama-sama didiskusikan oleh

manajemen bisnis dan teknologi informasi.

Berikut ini merupakan gambaran tingkat gap penyelarasan strategis antara

teknologi informasi bisnis dan bisnis yang dijabarkan oleh Luftman.

100

Gambar 2.22 Gap Kematangan Penyelarasan Strategis (Luftman & Kempaiah, 2007)

Berdasarkan gambar diatas dapat dijelaskan bahwa semakin tinggi level atau

tingkat kematangan strategi yang dimiliki oleh sebuah perusahaan maka akan

semakin kecil atau sempit jarak antara strategi teknologi informasi dengan strategi

bisnis dan akan dapat membantu perusahaan dalam meningkatkan keselarasan

antara strategi teknologi informasi dan strategi bisnis (Lutman & Kempaiah,

2007). Langkah selanjutnya yang harus diambil adalah memusatkan energi

perusahaan pada hal yang dapat memaksimalkan alignment dan meminimalkan

faktor penghambatnya. Berikut ini adalah gambar enam kriteria penyelarasan

strategi bisnis dan strategi teknologi informasi menurut model Luftman, yaitu:

1) Komunikasi (Communications )

Terjadinya aktivitas pertukaran informasi yang teratur antara bisnis

dan TI, dimana adanya ketidak sesuaian antara bisnis dan TI yaitu

kurang maksimalnya pemanfaatan TI pada proses bisnis. Mengingat

lingkungan organisasi yang dinamis, saling berbagi pengetahuan

dalam organisasi yang dilakukan secara berkelanjutan.

101

2) Kompetensi/ Nilai pengukuran (Competency/ValueMeasurement)

Seringkali TI tidak dapat menunjukkan kapabilitas mereka untuk

bisnis dalam konteks yang dimengerti oleh bisnis karena nilai dari

metrik bisnis dan TI berbeda. Biasanya Service Level Agreement

(SLA) diperlukan agar pihak bisnis mengerti sejaub mana komitmen

TI dalam pemberian layanan kepada bisnis.

3) Tata kelola (Governance)

Kriteria tata kelola dipengaruhi oleh faktor-faktor seperti:

a. Peran TI dan bisnis dalam rencana strategis masing-masing

pihak.

b. Praktik struktur oraganisasi, kepada siapa top level management

di bidang TI bertanggung jawab dalam struktur organisasi.

c. Penempatan pendanaan investasi TI.

d. Prioritas investasi TI dan tujuan umum dari investasi TI.

4) Kemitraan (Partnership)

Keseimbangan peran bisnis dan TI dalam organisasi merupakan hal

penting dalam keselarasan bisnis dengan TI. Faktor-faktor yang

mempengaruhi kriteria ini yaitu pandangan organisasi dalam

kontribusi masing-masing pihak bisnis dan TI, kepercayaan yang

terjalin antara kedua belah pihak dan keseimbangan dalam

menanggung resiko.

102

5) Ruang lingkup dan arsitektur (Scope &Architecture)

Kriteria ini bertujuan untuk menilai kematangan TI, sejauh mana TI

mampu dalam berkontribusi pada hal berikut:

a. Mendukung back office dan front office organisasi.

b. Mendukung infrastruktur yang fleksibel dan transparan untuk

semua mitra bisnis dan pelanggan.

c. Mengevaluasi dan menerapkan teknologi baru secara efektif.

d. Menjadi enabler bagi proses dan strategi organisasi.

6) Keahlian (Skills)

Keahlian organisasi mencakup seluruh pertimbangan sumber daya

manusia pada organisasi. Pertimbangan-pertimbangan tersebut

mencakup pelatihan. Feedback terhadap kinerja, kemampuan

berinovasi dan peluang karir. Kesiapan TI organisasi dalam menerima

perubahan, potensi belajar dan mengadaptasi ide-ide baru.

2.7.3 Metode Purposive Sampling

Purposive sampling adalah teknik untuk menentukan sampel penelitian dengan

beberapa pertimbangan tertentu yang bertujuan agar data yang diperoleh nantinya

bisa lebih representatif (Sugiyono, 2010). Purposive sampling merupakan metode

penetapan sampel dengan memilih beberapa sampel tertentu yang dinilai sesuai

dengan tujuan atau masalah penelitian dalam sebuah populasi (Nursalam, 2008).

Dapat disimpulkan bahwa pengertian teknik purpose sampling adalah teknik

mengambil sampel yang dilakukan secara sengaja dan telah sesuai dengan semua

103

persyaratan sampel yang akan diperlukan. Di bawah ini adalah syarat yang

dibutuhkan dalam menentukan sampel pada purposive sampling:

1) Penentuan karakteristik populasi yang akan diambil, harus dilakukan

dengan cermat di dalam studi pendahuluan yang dapat dipercaya.

2) Pengambilan sampel harus didasarkan atas ciri-ciri, sifat atau

karakteristik tertentu, di mana semua hal tersebut merupakan ciri-ciri

pokok populasi dari sampel yang akan diambil.

3) Subjek yang akan digunakan sebagai sampel, harus benar-benar

merupakan subjek yang paling banyak mengandung ciri-ciri yang

terdapat pada populasi keseluruhan sampel tersebut.

2.7.4 Teknik Analisis Data

Metode analisis data pada penelitian ini menggunakan Assessment Process

Activities yang terdapat pada framework COBIT 5 khususnya pada proses MEA01

(Monitor, Evaluate and Assess Performance and Conformance) dan MEA02

(Monitor, Evaluate and Asses the System of Internal Control) (ISACA, 2012).

1) COBIT 5 Assessment Process Activities

Assessment Process Activities adalah manajemen proyek dasar dari

praktik yang baik dan memberikan penilaian pada enam tahap untuk

menjamin hasil evaluasi sesuai pada tujuan orgnisasi. Berikut enam

tahap evaluasi tata kelola (ISACA, 2012): Initiation, Planning the

Assessment, Data Collection, Data Validation, Process Attribute Level

and Reporting the Result.

104

2.8 Skala Pengukuran

Dalam penelinian ini peneliti menggunakan skala pengukuran yaitu Skala Likert.

Skala Likert berwujud pertanyaan-pertanyaan sikap yang ditulis, disusun dan

dianalisis sedemikian rupa sehingga respons seseorang terhadap pertanyaan

tersebut dapat diberikan angka (skor) dan kemudia dapat diinterpretasikan

(Risnita, 2012). Skala Likert tidak terdiri dari hanya satu stimulus atau satu

pertanyaan saja melainkan selalu berisi banyak item (multiple item measure).

Penelitian yang paling sering menggunakan skala ini adalah bila penelitian

menggunakan jenis penelitian survey deskriptif. Nama skala ini diambil dari nama

penciptanya Rensis Likert, yang menerbitkan suatu laporan yang menjelaskan

penggunaannya.

Skala Likert digunakan untuk mengukur sikap, pendapat dan persepsi

seseorang atau sekelompok orang tentang fenomena sosial (Sugiyono & Azwar,

2009). Biasanya disediakan lima pilihan skala dengan format sebagai berikut:

Tabel 2.14 Tabel Skor Skala Likert (Sugiyono, 2009)

No. Keterangan Skor

Positif Negatif

1. Sangat Setuju 5 1

2. Setuju 4 2

3. Ragu-ragu 3 3

4. Tidak Setuju 2 4

5. Sangat Tidak Setuju 1 5

Dalam menentukan nilai dan tingkat kapabilitas dari MEA01 (Monitor,

Evaluate and Assess Performance and Conformance) dan MEA02 (Monitor,

105

Evaluate and Asses the System of Internal Control) peneliti menggunakan metode

perhitungan likert yang digunakan oleh Krisdanto Surendro pada bukunya yang

berjudul Implementasi Tata Kelola TI. Maka didapatkan rumus penilaian sebagai

berikut:

1) Menghitung Rekapitulasi Jawaban Kuesioner

𝐶 = 𝐻

𝐽𝑅 𝑋 100%

Keterangan:

C : Rekapitulasi jawaban kuesioner Capability Level dalam bentuk

presentase.

H : Jumlah jawaban kuesioner Capability Level pada masing-masing

pilihan jawaban a, b, c, d, e atau f di setiap aktifitas.

JR : Jumlah Responden/Narasumber

2) Menghitung Nilai dan Capability Level

𝑁𝐾 = (𝐿𝑃 𝑥 𝑁𝑘𝑎) + (𝐿𝑃 𝑥 𝑁𝑘𝑏) + (𝐿𝑃 𝑥 𝑁𝑘𝑐) + (𝐿𝑃 𝑥 𝑁𝑘𝑑) + (𝐿𝑃 𝑥 𝑁𝑘𝑒) + (𝐿𝑃 𝑥 𝑁𝑘𝑓)

100

Keterangan:

NK : Nilai kematangan pada proses tata kelola TI.

LP : Level percentage (tingkat presentase pada setiap distribusi jawaban

kuesioner capability level).

106

Nk : Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai

dan tingkat kematangan.

Pada penelitian ini dilakukan pembedaan istilah antara nilai kapabilitas dan

tingkat kapabilitas. Nilai kapabilitas dapat bernilai tidak bulat (bilangan pecahan),

yang mempresentasikan proses pencapaian menuju suatu tingkat kapabilitas

tertentu. Sedangkat tingkat kapabilitas lebih menunjukkan tahapan atau kelas yang

dicapai dalam proses kapabilitas, yang dinyatakan dalambilangan bulat (Surendro,

2009).

Tabel 2.15 Pemetaan terhadap jawaban, nilai dan tingkat kapabilitas

Rentang nilai Jawaban Nilai Kapabilitas Tingkat Kapabilitas

0 - 0,50 a 0,00 0 Incomplete Process

0,51 – 1,50 B 1,00 1 Performed Process

1,51 – 2,50 C 2,00 2 Managed Process

2,51 – 3,50 D 3,00 3 Established Process

3,51 – 4,50 E 4,00 4 Predictable Process

4,51 – 5,00 F 5,00 5 Optimizing Process

107

BAB III

METODOLOGI PENELITIAN

Bab ini membahas mengenai metodologi penelitian yang dilakukan peneliti

terhadap analisa evaluasi capability level berdasarkan framework COBIT 5 di

Divisi IT pada PT. Jasa Marga (Persero), Tbk. Berikut ini dijelaskan lebih lanjut

metodologi penelitian yang dilakukan:

3.1 Desain Penelitian

Metode penelitian yang digunakan pada penelitian ini adalah metode kualitatif

dengan menggunakan studi kasus sebagai objeknya, yaitu suatu cara yang

sistematis dalam melihat suatu kejadian, mengumpulkan data, menganalisis

informasi dan melaporkan hasilnya. Dalam studi kasus ini, data yang digunakan

adalah data primer dan data sekunder. Data primer didapat dari metode

pengumpulan data berupa wawancara, observasi dan kuesioner serta data

sekunder yang didapat dari metode pengumpulan data yaitu studi pustaka.

3.2 Prosedur Penelitian

Merujuk pada pendekatan dan strategi penelitian yang sudah dijelaskan

sebelumnya, penelitian ini dilakukan menggunakan tujuh tahap yang secara

prosedural dan berurutan seperti diperlihatkan pada kerangka berpikir penelitian

gambar 3.1 yang terdiri dari tahap: Initiation, Planning the Assessment, Briefing,

Data Collection, Data Validation dan Reporting the Result (ISACA, 2012).

108

Berikut adalah penggambaran proses alur dari ketujuh tahapan dalam penelitian

ini yang mengacu pada tahapan COBIT 5 dari ISACA (2012). Penelitian secara

langsung di PT. Jasa Marga (Persero), Tbk berjalan dan dilakukan dalam kurun

waktu 4 bulan mulai dari Juli 2017 sampai dengan bulan Oktober 2017, urutan

waktu pelaksanaannya dapat dilihat pada tabel 3.1.

Tabel 3.1 Jadwal Penelitian

Jadwal Penelitian Juli Agustus September Oktober

Pembagian Kuesioner

Pengumpulan Dokumen

Rekapitulasi Hasil

Kuesioner

Pelaporan Hasil

Penelitian

3.3 Populasi dan Sampel Penelitian

Populasi dalam penelitian ini adalah staff pada Divisi IT di kantor pusat PT. Jasa

Marga (Persero), Tbk. Berdasarkan laporan jumlah karyawan yang diperoleh dari

Wakil Kepala Divisi IT, jumlah karyawan saat ini di Divisi IT per Juli 2017

adalah sebanyak 68 orang. Tahap selanjutnya peneliti mengambil teknik sampling

melalui metode purposive sampling. Metode purposive sampling ini merupakan

metode dalam menenentukan responden yang dianggap mampu atau memenuhi

kriteria yang ditentukan. Kriteria yang dimaksud dalan penelitian ini adalah

dimana setiap key management practice memiliki RACI Chart yang bertanggung

jawab terhadap aktivita-aktivitas di dalamnya.

Sehingga responden penelitian didapatkan dari hasil konversi struktur

organisasi perusahaan dengan diagram RACI Chart yang terdapat pada COBIT 5.

109

Konversi struktur organisasi yang dilakukan adalah dengan menyelaraskan fungsi

dan tugas dari RACI Chart dengan struktur organisasi Divisi IT. Berikut ini

adalah hasil dari identifikasi RACI Chart pada proses MEA01 (Monitor, Evaluate

and Asses Performance and Conformance) dan MEA02 (Monitor, Evaluate and

Asses the System of Internal Control) yang telah dikonversikan dengan struktur

organisasi Divisi IT:

Tabel 3.2 Daftar Responden

No Responden Jumlah

1. President Divisi IT 3

2. President IT Development 4

3. President IT Operation 2

4. Senior IT Control & Management 3

5. Manager Service Desk 1

6. Manager IT Compliance 1

7. Manager IT Operation Management 1

8. Manager IT Decision & EIS 1

Jumlah 16

Keterangan tugas pokok terdapat pada BAB IV.

3.4 Teknik Pengumpulan Data

Pada penelitian ini, teknik pengumpulan data yang digunakan adalah observasi,

wawancara, dan studi pustaka. Berikut ini adalah penjelasan terkait kegiatan

pengumpulan data yang dilakukan:

3.4.1 Observasi

Observasi dilakukan dengan mengumpulkan data yang diambil dari hasil

pengamatan langsung terhadap objek yang menjadi penelitian. Observasi pada PT.

Jasa Marga (Persero), Tbk dimulai pada 16 Maret 2017 hingga 16 Juni 2017

110

dilakukan seminggu sekali di kantor pusat PT. Jasa Marga (Persero), Tbk

khususnya pada Divisi IT yang beralamat pada Plaza Tol Taman Mini Indah,

Jakarta. Pengumpulan data melalui observasi dilakukan dengan melihat langsung

bagaimana proses pengendalian internal serta kesesuaian kinerja yang berjalan.

Kegiatan ini dilakukan dibawah bimbingan Ibu Diah sebagai senior specialist IT

control & monitoring pada Divisi IT.

3.4.2 Wawancara

Wawancara ini dilakukan dengan melakukan diskusi dan tanya jawab dengan

Bapak Randy selaku Kepala Divisi IT dan Ibu Diah selaku senior specalist IT

control & monitoring. Pelaksanaan wawancara dilakukan berdasarkan kebutuhan

informasi dan data-data yang diperlukan dalam analisis proses bisnis yang

berjalan di perusahaan. Wawancara dilakukan untuk mengetahui terkait kegiatan

pengawasan, evaluasi dan penilaian pada kesesuaian kinerja dan pengendalian

internal di PT. Jasa Marga (Persero), Tbk.

Pertanyaan yang diajukan berkaitan dengan tugas dan wewenang, tugas

pokok dan fungsi, ruang lingkup kerja di Divisi IT, layanan TI yang diterapkan,

permasalahan dan dampak dari penerapan sistem yang ada, pengelolaan TI dan

harapan terhadap pengelolaan TI ke depannya yang lebih baik. Sehingga dari

wawancara tersebut didapatkan data yang diperlukan dalam penelitian seperti

hasil temuan, kesenjangan dan kendala yang terjadi berkaitan dengan kegiatan

pengawasan, evaluasi dan penilaian serta penentuan proses domain. (Hasil

wawancara terdapat pada lampiran).

111

3.4.3 Studi Pustaka

Studi pustaka dilakukan dengan mempelajari teori-teori yang berkaitan dengan

tata kelola teknologi informasi dan COBIT 5. Teori-teori tersebut berasal dari

buku-buku, jurnal, e-book dan penelitian-penelitian yang mendukung skripsi ini.

Penelitian sejenis dengan topik penelitian ini dapat dilihat pada BAB II tabel

2.12 Penelitian Sejenis. Studi literatur sejenis diperoleh dari penelitian dengan

topik yang sama mengenai tata kelola teknologi informasi. Topik penelitian

tersebut berasal dari UIN Syarif Hidayatullah Jakarta dan Universitas lainnya.

Studi literatur yang menjadi acuan utama pada penelitian ini yaitu jurnal COBIT 5

yang dikeluarkan oleh ISACA pada tahun 2012-2013 dengan judul COBIT 5

Framework, COBIT 5 Enabling Process, COBIT 5 Implementation, COBIT 5

Process Assessment Model dan COBIT 5 Process Reference Guide.

3.5 Teknik Analisis Data

Dalam penelitian ini, peneliti menggunakan Assessment Process Activities yang

terdapat pada COBIT 5 dalam melakukan analisis data dan proses penilaian

capability level sebagai berikut:

3.5.1 Initiation

Pada tahap initiation ini peneliti melakukan pengumpulan data yang akan di

analisis pada tahap selanjutnya. Tahap ini dilakukan dengan memahami kondisi

yang sebenarnya dari perusahaan yang akan dievaluasi termasuk hukum dan

aturan yang ada di perusahaan. Tujuannya adalah untuk identifikasi awal pada PT.

112

Jasa Marga (Persero), Tbk yang mencakup struktur organisasi, proses TI, user,

fasilitas yang tersedia, serta kebijakan yang berlaku. Hal ini dilakukan dengan

metode pengumpulan data yaitu observasi dan wawancara secara langsung pada

Divisi IT di PT. Jasa Marga (Persero), Tbk.

3.5.2 Planning the Assessment

Pada tahapan ini dilakukan perencanaan penilaian dengan pembuatan kuesioner

dengan menggunakan skala Likert yang akan diisi oleh responden yang telah

ditentukan dengan pemetaan RACI Chart. Data kuesioner tersebut akan

digunakan sebagai data primer dalam menganalisis evaluasi capability level

proses pengawasan, evaluasi dan penilaian kesesuaian kinerja dan pengendalian

internal.

3.5.3 Briefing

Pada tahap ini peneliti akan menjelaskan jadwal penelitian yang akan dilakukan

dan berdiskusi dengan para responden yang terdapat pada RACI Chart sehingga

memahami aktivitas pada perusahaan dan proses yang akan dinilai, pengumpulan

dokumen-dokumen yang dibutuhkan, hasil rekapitulasi jawaban kuesioner hingga

pada tahap reporting atau pelaporan hasil penilaian.

3.5.4 Data Collection

Pada tahap ini, dilakukan pengumpulan data berupa hasil temuan berdasarkan

proses MEA01 (Monitor, Evaluate and Asses Performance and Conformance)

113

dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control). Hasil

temuan digunakan sebagai bukti pencapaian proses pada level 1. Tahapan ini

dilakukan dengan metode observasi serta wawancara secara langsung pada Divisi

IT PT. Jasa Marga (Persero), Tbk, berdasarkan setiap aktivitas yang terdapat pada

proses yang telah ditentukan.

3.5.5 Data Validation

Pada tahap ini peneliti melakukan validasi terhadap kuesioner yang telah dijawab

oleh para responden sesuai dengan tabel diagram RACI MEA01 (Monitor,

Evaluate and Asses Performance and Conformance) dan MEA02 (Monitor,

Evaluate and Asses the System of Internal Control). Meliputi rekapitulasi jawaban

masing-masing responden, rekapitulasi hasil perhitungan kuesioner dengan

menggunakan skala Likert pada masing-masing proses, sampai tahap interprestasi

data yang menunjukan posisi capability level saat ini dan capability level yang

diharapkan.

3.5.6 Process Attribute Level

Pada tahap ini, dilakua penentuan capability level proses MEA01 (Monitor,

Evaluate and Asses Performance and Conformance) dan MEA02 (Monitor,

Evaluate and Asses the System of Internal Control) berdasarkan hasil perhitungan

rekapitulasi pada tahap sebelumnya yaitu Data Validation. Perhitungan ini

disesuaikan dengan rumus dan ketentuan yang ada pada bab II. Kemudian

dilakukan pembuktian pencapaian proses melalui dokumentasi berdasarkan Goal

114

Work Product yang terdapat pada COBIT 5 dengan menggunakan rating scale

untuk melihat level yang dicapai pada PT. Jasa Marga (Persero), Tbk.

3.5.7 Reporting the Result

Pada tahap ini peneliti akan melaporkan hasil evaluasi yang dilakukan terhadap


dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control) berupa

hasil gap atau kesenjangan dan rekomendasi yang diusulkan oleh peneliti untuk

memperbaiki gap yang ada pada perusahaan sesuai dengan ketentuan yang harus

dipenuhi berdasarkan framework COBIT 5.

1) Penentuan gap

Dalam langkah ini diprosesnya hasil dari kuesioner yang

menghasilkan kondisi terkini (as is) dan kondisi yang diharapkan (to

be). Kondisi tersebut diambil berdasarkan kuesioner capability level

sehingga menghasilkan analisis gap atau kesenjangan dan deskripsi

terhadap proses MEA01 (Monitor, Evaluate and Asses Performance

and Conformance) dan MEA02 (Monitor, Evaluate and Asses the

System of Internal Control) pada PT. Jasa Marga (Persero), Tbk

2) Rekomendasi

Rekomendasi yang diberikan diperoleh dari gap dan temuan yang

telah dilaksanakan yang akan menjadi pertimbangan utama dalam

mendefinisikan perancangan solusi perbaikan, untuk dapat

115

memberikan suatu usulan perbaikan untuk PT. Jasa Marga (Persero),

Tbk.

3.6 Instrumen Penelitian

Instrumen atau alat penelitian yang digunakan untuk mengumpulkan data dalam

penelitian ini adalah sebagai berikut:

3.6.1 Kuesioner

Kuesioner berisi pernyataan tertulis yang diberikan kepada responden di Divisi IT

Kantor Pusat PT. Jasa Marga (Persero), Tbk. Pembuatan kuesioner berdasarkan

Key Management Practice yang terdapat pada proses MEA01 (Monitor, Evaluate

and Asses Performance and Conformance) dan MEA02 (Monitor, Evaluate and

Asses the System of Internal Control) sebagai berikut:

1) MEA01

a. MEA01.01 : Menetapkan Pendekatan Monitoring

b. MEA01.02 : Mengatur Kinerja dan Menyesuaikan Tujuan

c. MEA01.03 : Mengumpulkan Proses Kinerja dan Kesesuaian

Data

d. MEA01.04 : Menganalisis dan Melaporkan Kinerja

e. MEA01.05 : Memastikan Pelaksanaan Tindakan Perbaikan

2) MEA02

a. MEA02.01 : Memantau Pengendalian Internal

b. MEA02.02 : Mengulas Kontrol Keefektifan Proses Bisnis

c. MEA02.03 : Melaksanakan Kontrol Penilaian Mandiri

116

d. MEA02.04 : Mengidentifikasi dan Melaporkan Kekurangan

Pengendalian

e. MEA02.05 : Memastikan bahwa Penyedia Assurance/Jaminan

Independen dan Berkualitas

f. MEA02.06 : Menginisiasi Rencana Assurance/Jaminan

g. MEA02.07 : Menginisiasi Ruang Lingkup Assurance/Jaminan

h. MEA02.08 : Melaksanakan Inisiatif Assurance/Jaminan.

Kuesioner ini dibuat dengan menggunakan skala Likert (Sugiyono, 2009)

yang dikelompokkan berdasarkan aktivitas-aktivitas yang terdapat pada masing

masing key management practice pada MEA01 dan MEA02 dimana pada tiap

kelompok terdapat dua pertanyaan yang masing-masing mewakili kondisi saat ini

(as is) dan kondisi yang diharapkan (to be).

Masing-masing pertanyaan tersebut mempunyai 6 (enam) pilihan jawaban

yang menunjukan tingkat kematangan terhadap atribut tertentu pada aktivitas key

management practice. Pilihan tersebut dari a sampai f secara berturut-turut

merepresentasikan tingkat kematangan yang semakin meningkat, dimana a=0,

b=1, c=2, d=3, e=4 dan f=5. Hal tersebut menunjukkan level 0 incomplete

process, level 1 perfomed process, level 2 managed process, level 3 established

process, level 4 predictable process dan level 5 optimising process. (Kuesioner

terdapat pada lampiran).

Responden untuk kuesioner didapatkan dari identifikasi diagram RACI yang

digambarkan pada fungsional struktur COBIT 5 dan fungsional struktur Divisi IT

yang telah dijelaskan di sub bab sebelumnya. Dalam penelitian ini, peneliti

117

mendampingi responden dalam pengisian kuesioner dengan melakukan

wawancara atau bertanya secara langsung menggunakan pertanyaan-pertanyaan

yang telah dibuat berdasarkan COBIT 5.

3.6.2 Dokumentasi

Dokumentasi dilakukan untuk mengumpulkan data-data yang bersifat

dokumenter. Pengumpulan data dokumentasi untuk menilai kelengkapan dari

proses atribut yang telah dicapai oleh Divisi IT di PT. Jasa Marga (Persero), Tbk

pada proses MEA01 dan MEA02. Pengumpulan dokumentasi ini dilakukan

menggunakan tabel proses yang dibuat berdasarkan Goal Work Product atau Hasil

Kerja Umum dari proses yang ditentukan pada COBIT 5. Berikut adalah tabel

proses dari proses MEA01 dan MEA02:

Tabel 3.3 Dokumentasi Proses MEA01

Monitor, Evaluate and Assess Performance and Conformance

Base Practies Work Product Exist

MEA01.01

Monitoring kebutuhan

Tujuan dan metrik monitoring yang

telah disetujui

MEA01.02 Monitoring target

MEA01.03 Data monitoring yang telah diolah

MEA01.04 Laporan Kinerja

MEA01.05 Tindakan dan tugas perbaikan

Status dan hasil tindakan

Tabel 3.4 Dokumentasi Proses MEA02


Base Practies Work Product Exist

MEA02.01

Hasil pemantauan dan review

pengendalian internal

Hasil benchmarking dan evaluasi

118

lainnya

MEA02.02 Bukti efektivitas pengendalian

MEA02.03

Rencana dan kriteria self-assessment

Hasil self-assessment

Hasil review self-assessment

MEA02.04 Kontrol kekurangan

Tindakan perbaikan

MEA02.05 Hasil evaluasi penyedia jaminan

MEA02.06

Penilaian tingkat tinggi

Rencana jaminan

Kriteria Penilaian

MEA02.07

Cakupan penilaian jaminan

Rencana keterlibatan

Review praktik jaminan

MEA02.08 Hasil peninjauan jaminan

Laporan review jaminan

Tabel proses ini nantinya akan dinilai dengan menggunakan skala rating

atau rating scale (ISACA,2012). Dari work product pada tabel proses tersebut

nantinya akan diselaraskan dengan dokumen yang ada di Divisi IT PT. Jasa

Marga (Persero), Tbk, yang kemudian dinilai dengan rating scale. Dalam rating

scale terdapat 4 tingkatan atau level yang menunjukkan Not achieved = 0-15%;

Partially achieved = 15-50%; Largely achieved = 50-85%; Fully achieved = 85-

100%. (Hasil penilaian terdapat pada sub bab 4.6.3 Process Attribut Level).

119

3.7 Kerangka Berpikir Penelitian

Metode penelitian yang akan digunakan dalam penelitian ini yan

digambarkan dalam kerangka berpikir penelitian berikut:

Gambar 3.1 Kerangka Berpikir Assessment COBIT 5 (ISACA, 2007)

120

BAB IV

HASIL DAN PEMBAHASAN

Bab ini membahas mengenai hasil analisa evaluasi capability level yang

berfokus pada proses yang dipilih dari hasil pemetaan IT-related goal berdasarkan

framework COBIT 5 di Divisi IT pada PT. Jasa Marga (Persero), Tbk dengan

menggunakan Assessment Process Activities sebagai metode analisa data. Berikut

dijelaskan lebih lanjut hasil dan pembahasan yang didapat dalam penelitian:

4.1 Initiation

Tahap initiation yang merupakan tahapan pertama dalam Assessment Process

Activities yang terdapat pada Process Assessment Model COBIT 5. Initiation

dilakukan untuk memperoleh informasi mengeai organisasi dan kondisi organisasi

saat ini serta mengetahui apa yang menjadi ekspetasi organisasi di masa akan

datang. Berikut ini hasil dari tahap Initiation yang didapatkan peneliti.

4.1.1 Sejarah PT. Jasa Marga (Persero), Tbk

Dalam rangka percepatan perekonomian antar daerah dan mewujudkan jalan yang

bebas hambatan Pemerintah mendirikan sebuah perusahaan yang khusus bergerak

dalam bidang penyelenggaraan jalan tol dengan nama PT. Jasa Marga (Persero),

Tbk (Indonesia Highway Corporation) berdasarkan Akta Nomor: 1 tanggal 1

Maret 1978. PT. Jasa Marga (Persero), Tbk didirikan tahun 1978 ketika jalan

bebas hambatan pertama yang menghubungkan Jakarta dengan Bogor selesai

121

dibangun. Dengan pertimbangan agar biaya pengoperasian dan pemeliharaan ruas

jalan tersebut dapat dilakukan secara mandiri tanpa membebani anggaran

Pemerintah, Menteri Pekerjaan Umum ketika itu, Ir. Sutami mengusulkan

pendirian sebuah persero untuk mengelola jalan tersebut. Terbitlah Peraturan

Pemerintah No. 4 tahun 1978 tentang Penyertaan Modal Negara Republik

Indonesia untuk pendirian persero.

PT. Jasa Marga (Persero), Tbk adalah sebuah institusi yang ada di

Indonesia yang berperan penting dalam pengadaan jalan bebas hambatan yang

ada di Indonesia. Melalui Peraturan Pemerintah No. 4 Tahun 1978, Pemerintah

resmi mendirikan PT. Jasa Marga (Persero), Tbk pada tanggal 1 Maret 1978 yang

memiliki tugas utama untuk merencanakan, membangun, mengoperasikan serta

memelihara jalan tol serta kelengkapannya agar jalan tol dapat berfungsi sebagai

jalan bebas hambatan yang memberikan manfaat lebih tinggi daripada jalan umum

bukan tol.

Sejak itu PT. Jasa Marga (Persero), Tbk bersama Pemerintah terus

membangun jalan tol baru di wilayah Jabodetabek, Cirebon, Semarang, Surabaya

dan Medan. Sampai dengan akhir tahun 80-an, PT. Jasa Marga (Persero), Tbk

adalah satu-satunya penyelenggara jalan tol di Indonesia, hingga kemudian

Pemerintah mulai mengikutsertakan pihak swasta untuk berpartisipasi dalam

pembangunan jalan tol.

Sesuai Undang Undang No. 38 tahun 2004 tentang Jalan yang berlaku sejak

18 Oktober 2004, fungsi PT. Jasa Marga (Persero), Tbk telah berubah dari

penyelenggara jalan tol yang berfungsi sebagai regulator menjadi investor jalan

122

tol yang juga akan mendapat ijin konsesi penyelenggaraan jalan tol dari

Pemerintah. PT. Jasa Marga (Persero), Tbk telah bersaing dengan investor jalan

tol swasta dalam membangun, mengoperasikan dan memelihara jalan tol.

4.1.2 Logo Perusahaan

Gambar 4.1 Logo PT. Jasa Marga (Persero), Tbk, (Jasa Marga, 2017)

Makna dari logo tersebut adalah:

1) Konfigurasi jalan membentuk huruf “J” (huruf pertama nama

Perseroan) yang merupakan cermin perjalanan historis Perseroan,

mencitrakan Perseroan semakin dinamis.

2) Warna biru dan kuning pada logo mencerminkan harapan dan masa

depan, serta semangat dan komitmen.

3) Bola berwarna biru menunjukkan bahwa Jasa Marga menuju

perusahaan yang memiliki standar global. Pelayanan jalan tol terus

dikembangkan untuk memenuhi standar tersebut.

123

4.1.3 Visi dan Misi PT. Jasa Marga (Persero), Tbk

VISI

“Menjadi Perusahaan Jalan Tol Nasional Terbesar, Terpercaya dan

Berkesinambungan”.

MISI

Memaksimalkan Pengembangan Kawasan untuk Meningkatkan

Kemajuan Masyarakat dan Keuntungan Perusahaan.

Meningkatkan Mutu dan Efisiensi Jasa Pelayanan Tol Melalui

Penggunaan Teknologi yang Optimal dan Penerapan Kaidah-Kaidah

Manajemen Perusahaan Modern dengan Tata Kelola yang Baik

Menjalankan Usaha Jalan Tol di Seluruh Rantai Nilai Secara

Profesional dan Berkesinambungan.

Memimpin Pembangunan Jalan Tol di Indonesia untuk Meningkatkan

Konektivitas Nasional.

Meningkatkan Kepuasan Pelanggan dengan Pelayanan Prima.

4.1.4 Struktur Organisasi PT. Jasa Marga (Persero), Tbk

PT. Jasa Marga (Persero), Tbk dipimpin oleh Ir. Desi Arryani, M.M sebagai

Direktur Utama yang memiliki hak memberikan komando kepada beberapa

bidang. Bidang tersebut antara lain adalah Bidang Keuangan, Bidang

Pengembangan, Bidang Operasi I, Bidang Operasi II dan Bidang Sumber Daya

Manusia (SDM) dan Umum yang mana bidang-bidang tersebut memiliki beberapa

Divisi di bawahnya.

124

Gambar 4.2 Struktur Organisasi PT. Jasa Marga (Persero), Tbk (Jasa Marga, 2017).

4.1.5 Struktur Organisasi Divisi IT

Dalam penelitian ini peneliti akan fokus pada permasalahan yang terjadi dalam

ruang lingkup Divisi IT. President Information Technology membawahi 4 (empat)

departemen yaitu IT Planning, IT Development, IT Operation dan IT Control &

Monitoring. Tugas Divisi IT adalah bertanggung jawab pada kesiapan dan

ketersediaan perangkat teknologi informasi, menyelenggarakan kegiatan

pemeliharaan, analisis dan evaluasi serta memberikan solusi dan konsultasi

teknologi untuk mencapai tujuan dan strategi bisnis perusahaan. Berikut adalah

struktur organisasi Divisi IT:

125

Gambar 4.3 Struktur Organisasi Divisi IT (Jasa Marga, 2017).

Divisi IT terdiri atas Departemen IT Planning, Departemen IT Development,

Departemen IT Operation dan Departemen IT Control & Monitoring. Tugas

pokok tiap departemen adalah:

1. Departemen IT Planning

Departemen IT Planning memiliki tugas melakukan perencanaan dan

pengembangan strategi sistem dan teknologi informasi sesuai

kebutuhan perusahaan serta melakukan perancangan implementasi dan

pemeliharaan sistem informasi perusahaan yang terintegrasi yang

mampu mendukung upaya perusahaan dalam rangka meningkatkan

kinerja.

126

Subdepartemen

a. IT System Analysis & Portofolio memiliki tugas melakukan

pendistribusian, penyimpanan, pengendalian dan pemusnahan

dokumen serta harus memastikan bahwa semua departemen

dalam organisasi mengikuti prosedur yang sama yang berkaitan

dengan dokumen.

b. IT Platform & Architechture memiliki tugas mengkordinir

perencanaan arsitektur TI dengan membangun suatu pendekatan

arsitektural TI untuk keseluruhan sistem perusahaan.

2. Departemen IT Development

Departemen IT Planning bertanggung jawab menyiapkan kapasitas

perencanaan sehingga pelayanan kepada user terpelihara secara

konsisten dan selalu mengupdate pengetahuan tentang perkembangan

TI serta mendukung perencanaan dengan melakukan pembangunan

dan pengembangan sistem.

Subdepartemen

a. IT Decision Support & EIS bertugas untuk melakukan

spesifikasi program secara detil melalui hasil analisis dan

evaluasi yang telah dilakukan serta menentukan secara tepat

tidakan selanjutnya pada program yang dituju.

b. Toll Collection Devicesn bertugas melakukan kegiatan

pemantauan dan evaluasi sistem operasional pengumpulan tol

dan mendukung perencanaan untuk kelancaran operasional toll

127

c. Traffic Infocomm Devices bertugas mengawasi dan

mengembangkan kegiatan informasi dan komunikasi aktivitas

pada setiap gerbang tol.

3. Departemen IT Operation

Departemen IT Operation bertanggung jawab pada penyediaan

layanan infrastruktur termasuk aplikasi, jaringan komputer

(LAN/WAN) dan membantu dalam mengidentifikasi perubahan

infrastruktur yang dibutuhkan untuk mendukung sistem serta

membuat dan mengawasi anggaran TI (budget) dengan pengeluaran.

Subdepartemen

a. IT Infrastructure memiliki tugas melakukan instalasi,

konfigurasi dan perawatan layanan jaringan serta merencanakan

dan memberikan dukungan untuk implementasi infrastruktur

jaringan komputer.

b. IT Application & Database memiliki tugas untuk memastikan

bahwa semua sistem perusahaan berfungsi dengan lancar,

merancang dan mengkoordinasi secara keseluruhan dari

database serta membuat dokumen sistem dan penggunanya.

c. IT Operation Management memiliki tugas untuk memberikan

orientasi kepada pegawai baru mengenai aplikasi atau sistem

yang digunakan saat ini dan rencana atau strategi TI secara

umum.

128

4. Departemen IT Control & Monitoring

Departemen IT Control & Monitoring bertugas merencanakan,

mengembangkan serta mengawasi semua kegiatan yang terkait dengan

bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi

sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan

dibocorkan ke pihak-pihak yang tidak berkepentingan.

Subdepartemen

a. IT Compliance memiliki tugas memelihara kecukupan, standard

dan kesiapan sistem atau infrastruktur untuk memastikan

pengoperasiannya dapat efektif dan efisien.

b. IT Security memiliki tugas mengelola dan memeriksa kegiatan

manajemen risiko serta menerapkan prosedur IT dan proses

untuk memastikan data terproteksi secara maksimum.

c. Service Desk bertugas untuk menyelidiki keluhan user dan

masalah ketidaksuaian pada layanan dan infrastruktur TI serta

menerapkan tindakan koreksi yang tepat dan menerapkan

prosedur darurat dalam kasus terjadinya kegagalan atau

kerusakan sistem.

4.1.6 Tata Kelola TI PT. Jasa Marga (Persero), Tbk

Pengelolaan Perusahaan berdasarkan prinsip Good Corporate Governance (GCG)

pada dasarnya merupakan upaya untuk menjadikan GCG sebagai kaidah dan

pedoman bagi pengelola perusahaan dalam menjalankan aktivitas bisnisnya.

129

Penerapan prinsip-prinsip GCG sangat diperlukan agar Perusahaan dapat bertahan

dan tangguh dalam menghadapi persaingan yang semakin ketat. GCG diharapkan

dapat menjadi sarana untuk mencapai visi, misi dan tujuan perusahaan secara

lebih baik.

Perusahaan menyadari bahwa Penerapan GCG secara sistematis dan

konsisten merupakan kebutuhan yang harus dilaksanakan. Penerapan GCG pada

perusahaan diharapkan akan dapat memacu perkembangan bisnis, akuntabilitas

serta mewujudkan nilai pemegang saham dalam jangka panjang tanpa

mengabaikan kepentingan stakeholders lainnya. Dalam pelaksanaan

penerapannya, PT. Jasa Marga (Persero), Tbk memiliki peraturan agar Tata Kelola

Perusahaan berjalan secara efektif, yaitu sebagai berikut:

1. Pelaksana di tingkat Perusahaan dipimpin oleh Direksi.

2. Setiap Pimpinan Unit Kerja bertanggungjawab mengendalikan

kegiatan Tata Kelola Perusahaan dan memastikan bahwa asas-asas

GCG dan Pedoman Perilaku dilaksanakan secara konsisten di unit

kerjanya masing masing.

3. Dalam rangka memastikan penerapan GCG di Perusahaan, maka

Kepala Unit Kerja yang tercantum di bawah ini harus melaksanakan

tugas dan tanggung jawab sebagai berikut:

a. Sekretaris Perusahaan, bertanggungjawab untuk

mengkoordinasikan dan mengintegrasikan isi Pedoman Tata

Kelola Perusahaan (Code of Corporate Governance) dan

Pedoman Perilaku (Code of Conduct) secara keseluruhan serta

130

melakukan pemutakhiran dan mensosialisasikan ke seluruh

Karyawan.

b. Kepala Satuan Pengawasan Intern, bertanggungjawab untuk

memastikan bahwa proses kerja/kegiatan yang dilakukan oleh

seluruh unit kerja termasuk efektivitas pengelolaan risiko,

proses tata kelola dan etika bisnis telah sesuai dengan peraturan

dan ketentuan yang berlaku.

Sebagai komitmen penerapan GCG di Perusahaan, maka Dewan Komisaris,

Direksi, dan Karyawan menandatangani Pakta Integritas.

4.1.7 Pengendalian Internal PT. Jasa Marga (Persero), Tbk

Sistem Pengendalian Internal (SPI) pada PT. Jasa Marga (Persero), Tbk

terdiri dari 5 (lima) unsur yaitu: lingkungan pengendalian, penilaian risiko,

kegiatan pengendalian, informasi dan komunikasi serta pemantauan pengendalian

intern. Penerapan kelima unsur tersebut dilaksanakan menyatu serta menjadi

bagian integral dari akuntabilitas seluruh kegiatan Perusahaan.

1. Kegiatan Pengendalian terdiri dari:

Review atas kinerja Perusahaan

Pembinaan sumber daya manusia

Pengendalian atas pengelolaan sistem informasi

Pengendalian fisik atas aset

Pemisahan fungsi

Otorisasi atas transaksi dan kejadian yang penting

131

Pencatatan yang akurat dan tepat waktu atas transaksi dan

kejadian

Pembatasan akses atas sumber daya dan pencatatannya

Akuntabilitas terhadap sumber daya dan pencatatannya

Dokumentasi yang baik atas sistem pengendalian intern serta

transaksi dan kejadian penting

2. Direksi wajib menetapkan suatu sistem pengendalian internal yang

efektif untuk mengamankan investasi dan aset perusahaan yang antara

lain mencakup lingkungan pengendalian, pengkajian, dan pengelolaan

risiko aktivitas pengendalian, sistem informasi dan komunikasi serta

monitoring.

3. SPI membantu Direktur Utama dalam melaksanakan audit intern

keuangan perusahaan dan operasional perusahaan serta menilai

pengendalian, pengelolaan dan pelaksanannya serta memberikan

saran-saran perbaikan.

4. Direksi menindaklanjuti laporan hasil audit SPI.

5. Komite Audit menilai pelaksanaan kegiatan serta hasil audit yang

dilakukan oleh SPI, memberikan rekomendasi penyempurnaan sistem

pengendalian manajemen, memastikan telah terdapatnya prosedur

review yang memuaskan terhadap segala informasi yang dikeluarkan

perusahaan serta mengidentifikasi hal-hal yang memerlukan perhatian

Dewan Komisaris.

132

4.2 Planning the Assessment

Tahap kedua adalah dilakukan perencanaan penilaian dengan pembuatan

kuesioner untuk MEA01 dan MEA02 yang bertujuan untuk mendapatkan hasil

evaluasi penilaian capability level. Pengisian kuesioner dilakukan oleh beberapa

pegawai PT. Jasa Marga (Persero), Tbk khususnya Divisi IT yang ditentukan

berdasarkan RACI Chart yang ada pada standar COBIT 5 dan disesuaikan dengan

fungsi dan jabatan kerja di Divisi IT. Berikut ini adalah daftar responden yang

telah dipetakan ke struktur organisasi Divisi IT:

Tabel 4.1 Identifikasi RACI Chart MEA01.01 (Menetapkan Pendekatan

Monitoring)

No Fungsional Struktur COBIT Terkait Fungsi Struktur PT. Jasa Marga

(Persero), Tbk

1 Business Executives President IT Development

2 Chief Information Officer President Divisi IT

3 Chief Financial Officer Manager IT Operation Management

4 Chie Operating Oficer President IT Operation

Tabel 4.2 Identifikasi RACI Chart MEA01.02 (Mengatur Kinerja dan

Menyesuaikan Tujuan)


(Persero), Tbk

1 Business Process Owners President IT Development

2 Head Development President IT Development

3 Head IT Operations President IT Operation

4 Service Manager Manager Service Desk

133

Tabel 4.3 Identifikasi RACI Chart MEA01.03 (Mengumpulkan Proses Kinerja

dan Kesesuaian Data)


(Persero), Tbk





Tabel 4.4 Identifikasi RACI Chart MEA01.04 (Menganalisis dan Melaporkan

Kinerja)


(Persero), Tbk





Tabel 4.5 Identifikasi RACI Chart MEA01.05 (Memastikan Pelaksanaan

Tindakan Perbaikan)


(Persero), Tbk





134

Tabel 4.6 Identifikasi RACI Chart MEA02.01 (Memantau Pengendalian

Internal)


(Persero), Tbk

1 Audit Senior Specialist IT Control &

Monitoring

2 Business Continuity Manager President IT Development


4 Chief Risk Officer Manager IT Decision & EIS

5 Compliance Manager IT Compliance


7 Head IT Administration President Divisi IT


9 Information Security Manager Senior Specialist IT Control &

Monitoring

10 Privacy Officer Senior Specialist IT Control &

Monitoring

11 Project Management Office President IT Development


Tabel 4.7 Identifikasi RACI Chart MEA02.02 (Mengulas Kontrol Keefektifan

Proses Bisnis)


(Persero), Tbk


Monitoring


3 Chief Financial Officer Manager IT Operation Management


135

Tabel 4.8 Identifikasi RACI Chart MEA21.03 (Melaksanakan Kontrol Penilaian

Mandiri)


(Persero), Tbk


Monitoring



4 Chief Risk Officer Manager IT Decision & EIS






Monitoring


Monitoring

11 Project Management Office President Divisi IT


Tabel 4.9 Identifikasi RACI Chart MEA02.04 (Mengidentifikasi dan

Melaporkan Kekurangan Pengendalian)


(Persero), Tbk


Monitoring




136





Monitoring


Monitoring

10 Project Management Office President Divisi IT


Tabel 4.10 Identifikasi RACI Chart MEA02.05 (Memastikan bahwa Penyedia

Assurance/Jaminan Independen dan Berkualitas)


(Persero), Tbk



Tabel 4.11 Identifikasi RACI Chart MEA02.06 (Menginisiasi Rencana

Assurance/Jaminan)


(Persero), Tbk



137

Tabel 4.12 Identifikasi RACI Chart MEA02.07 (Menginisiasi Ruang Lingkup

Assurance/Jaminan)


(Persero), Tbk

1 Business Executives President IT Development



4 Chief Operating Officer President IT Operation

Tabel 4.13 Identifikasi RACI Chart MEA02.08 (Melaksanakan Inisiatif

Assurance/Jaminan)


(Persero), Tbk



Pada tahapan planning the assessment ini, dibuat kuesioner untuk penilaian


dan MEA02 (Monitor, Evaluate and Asses the System of Internal Control) dengan

menggunakan skala Likert. Kuesioner ini dibuat berdasarkan aktivitas-aktivitas

yang terdapat pada setiap prosesnya berdasarkan COBIT 5. (Kuesioner dapat

dilihat di lampiran).

Hasil yang didapatkan berupa rincian jawaban responden dimana kuesioner

yang dibuat menggunakan skala Likert dengan skala a=1, b=2, c=3, d=4, e=5 dan

f=6. Setiap satu pernyataan pada kuesioner tersebut terdiri dari pernyataan dari

138

level 0 incomplete process, level 1 performed process, level 2 managed process,

level 3 established process, level 4 predictable process sampai level 5 optimising

process. Untuk pengolahan data dari rincian jawaban ini berupa rekapitulasi

jawaban yang terdapat pada tahap Data Validation. Berikut adalah rincian

jawaban responden untuk setiap aktivitas yang terdapat pada proses:

1) MEA01.01 (Menetapkan Pendekatan Monitoring)

Tabel 4.14 Tabel Rincian Kuesioner pada MEA01.01

Berdasarkan tabel rincian kuesioner MEA01.01 dapat dijabarkan sebagai berikut:

Aktifitas 1 as is: b = 3, c = 1 ; to be c = 2, d = 2







139

2) MEA01.02 (Mengatur Kinerja dan Menyesuaikan Tujuan)







3) MEA01.03 (Mengumpulkan Proses Kinerja dan Kesesuaian Data)


140



Aktifitas 2 as is: a = 1, b = 3 ; to be c = 3, d = 1

Aktifitas 3 as is: b = 4 ; to be c = 3, d = 1



4) MEA01.04 (Menganalisis dan Melaporkan Kinerja)





141



Aktifitas 5 as is: a = 1, b = 2, c = 1 ; to be c = 2, d = 2


5) MEA01.05 (Memastikan Pelaksanaan Tindakan Perbaikan)




Aktifitas 2 as is: a = 1, b = 1, c = 2 ; to be c = 1, d = 3



142

6) MEA02.01 (Memantau Pengendalian Internal)










143

7) MEA02.02 (Mengulas Kontrol Keefektifan Proses Bisnis)








144

8) MEA02.03 (Melaksanakan Kontrol Penilaian Mandiri)










145

9) MEA02.04 (Mengidentifikasi dan Melaporkan Kekurangan Pengendalian)









146

10) MEA02.05 (Memastikan bahwa Penyedia Assurance/Jaminan

Independen dan Berkualitas)



Aktifitas 1 as is: b = 2 ; to be d = 2


Aktifitas 3 as is: b = 1, c = 1 ; to be d = 2

11) MEA02.06 (Menginisiasi Rencana Assurance/Jaminan)






147

12) MEA02.07 (Menginisiasi Ruang Lingkup Assurance/Jaminan)








13) MEA02.08 (Melaksanakan Inisiatif Assurance/Jaminan)


148


Aktifitas 1 as is: b = 2 ; to be c = 2







Aktivitas 8 as is: b = 2 ; to be c = 2

4.3 Briefing

Tahapan ketiga yang dilakukan adalah dengan membuat penentuan jadwal

penelitian yang akan dijabarkan dan diarahkan kepada tim responden. Tahapan ini

dilakukan dengan berdiskusi dengan pihak divisi IT mengenai dokumen yang

dibutuhkan untuk menjadi bahan input, proses yang akan dilakukan pada

penelitian ini dan output apa yang akan dihasilkan dari penelitian ini. Pada diskusi

149

tersebut, peneliti memberitahukan pelaksanaan pembagian kuesioner yaitu mulai

tanggal 31 Juli 2017 sampai 11 Aguatus 2017, pengumpulan dokumen untuk

kelengkapan dokumen capability level mulai dari 14 Agustus 2017 sampai 3

September 2017, hasil rekapitulasi kuesioner mulai dari 5 Sepetember 2017

sampai 19 September 2017 dan pelaporan dari hasil penilaian pada tanggal 25

September 2017 sampai 6 Oktober 2017. Dengan jadwal sebagai berikut:

Tabel 4.27 Jadwal Penelitian

Jadwal Penelitian Juli Agustus September Oktober

Pembagian Kuesioner

Pengumpulan Dokumen

Rekapitulasi Hasil

Kuesioner

Pelaporan Hasil

Penelitian

4.4 Data Collection

Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan yang

terdapat pada PT. Jasa Marga (Persero), Tbk yang bertujuan untuk mendapatkan

bukti-bukti penilaian evaluasi pada aktifitas proses yang telah dilakukan,

sebagaimana dijelaskan sebagai berikut:

4.4.1 MEA01 Monitor, Evaluate and Asses Performance and Conformance

Tujuan dari proses tersebut adalah menyediakan transparansi performa dan

kesesuaian dan mendorong pencapaian tujuan. Data collection MEA01 pada

Divisi IT PT. Jasa Marga (Persero), Tbk adalah sebagai berikut:

150

1) MEA01.01 Menetapkan Pendekatan Monitoring

Divisi IT pada PT. Jasa Marga (Persero), Tbk sudah melakukan

kegiatan monitoring dengan menggunakan aplikasi service desk

sebagai alat bantu untuk memantau permasalahan yang terjadi pada

infrastruktur TI, kegiatan tersebut dapat dibuktikan melalui Laporan

Performance . Adanya dokumen Master Plan TI yang mencakup

perencanaan monitoring kebutuhan dan mengatur tujuan dan metrik

monitoring yang telah disetujui. Terdapat pedoman untuk proses

identifikasi kegiatan yang dilakukan oleh stakeholder yang ada pada

Pedoman dan Standar Tata Kelola TI. Adanya proses pengikutsertaan

stakeholder dalam mengkomunikasikan tujuan monitoring dan

validasi dalam mengidentifikasi stakeholder, kebutuhan serta

sumberdaya melalui rapat dengan pihak terkait, walaupun kegiatan

tersebut belum dilakukan secara berkala.

2) MEA01.02 Mengatur Kinerja dan Menyesuaikan Tujuan

Adanya proses pendefinisian dan pembahasan terhadap tujuan dan

matrik dengan para stakeholders yang dilakukan bersamaan dengan

komunikasi usulan perubahan kinerja dan kesesuaian target melalui

rapat koordinasi namu hal tersebut tidak terdokumentasi. Divisi IT

belum melakukan evaluasi antara tujuan dan matrik yang spesifik

terukur dan dapat dicapai secara relevan. Adanya rencana untuk

melakukan publikasi perubahan target dan toleransi kepada pengguna

151

informasi tetapi belum dilkasanakan. Tidak ditemukan adanya bukti

proses terkait penentuan monitoring target kinerja Divisi IT.

3) MEA01.03 Mengumpulkan dan Memproses Data Kinerja dan

Kesesuaian

Divisi IT memiliki panduan dalam menentukan pengumpulan data

untuk mendukung pengukuran pencapaian tujuan kinerja dalam

Pedoman dan Standar Tata Kelola TI. Dalam Pedoman dan Standar

Tata Kelola TI ini juga menjelaskan keselarasan data yang terkumpul

dengan laporan hasil kinerja. Namun hasil dari data monitoring yang

telah diolah dapat dilihat pada dokumen annual report. Selain itu,

tidak ditemukan adanya kebijakan dan standar mengenai penggunaan

sistem dan alat-alat yang cocok untuk mengolah format dari data yang

dianalisis.

4) MEA01.04 Menganalisis dan Melaporkan Kinerja

Adanya panduan mengenai perancangan laporan proses kinerja yang

ringkas dan mudah dipahami serta disesuaikan dengan berbagai

kebutuhan manajemen dan audien melalui Pedoman dan Standar Tata

Kelola TI. Ditemukannya dokumentasi yang berkaitan dengan adanya

proses analisa penyebab target tidak terealisasi dan rekomendasi yang

diberikan berdasarkan tujuan dan matrik melalui Laporan

Performance. Namun rekomendasi yang diberikan tidak optimal

dalam menyelesaikan masalah terkait tidak terealisasinya target. Tidak

ditemukannya dokumentasi mengenai pendistribusian laporan kepada

152

stakeholder. Divisi IT juga belum melakukan perbandingan antara

nilai kinerja dengan target dan tolak ukur internal perusahaan.

5) MEA01.05 Memastikan Pelaksanaan Tindakan Perbaikan

Adanya proses yang dilakukan PT. Jasa Maga (Persero), Tbk untuk

peninjauan, respon dan rekomendasi dari manajemen dalam

menangani masalah dan penyimpangan namun hal tersebut tidak

terdokumentasikan. Tidak ditemukan juga dokumen yang menjelaskan

tindakan perbaikan yang dilakukan serta status dan hasil tindakan

tersebut. Divisi IT juga belum melakukan pembagian tanggung jawab

untuk tindakan perbaikan.

4.4.2 MEA02 Monitor, Evaluate and Asses the System of Internal Control

Tujuan dari proses ini adalah mendapatkan tranparansi bagi stakeholder kunci

untuk kecukupan pada kontrol sistem internal. Data collection MEA01 pada

Divisi IT PT. Jasa Marga (Persero), Tbk adalah sebagai berikut:

1) MEA02.01 Memantau Pengendalian Internal

Adanya proses pemantauan pengendalian internal terkait efisiensi dan

efektifitas pengendalian berdasarkan satandar tata kelola PT. Jasa

Marga (Persero), Tbk yang terdokumentasi dalam dokumen annual

report. Pada dokumen tersebut sudah mencakup bagaimana tindak

analisis dan tindakan korektif yang harus dilaksanakan oleh Divisi IT.

Terdapat panduan untuk proses identifikasi batas-batas sistem

pengendalian internal dan pemeliharaan sistem pengendalian internal

153

yang ada pada Pedoman dan Standar Tata Kelola TI. Namun tidak

ditemukan dokumen terkait proses penilaian terhadap status penyedia

layanan eksternal untuk pengendalian internal. PT. Jasa Marga

(Persero), Tbk juga sudah melakukan bechmarking dengan Malaysia

Productivity Corporation dan Angkasa Pura I, namun tidak ditemukan

evidence laporan dari hasil benchmarking tersebut.

2) MEA02.02 Mengulas Proses Bisnis Keefektifan Pengendalian

Adanya bukti efektivitas pengendalian internal yang dilakukan oleh

PT. Jasa Marga (Persero), Tbk yang terdapat pada Master Plan TI.

Pedoman dan Standar Tata Kelola TI menunjukkan prosedur untuk

serangkaian kegiatan pengendalian yang terencana sebagai bahan

acuan pihak dewan direksi dan pihak manajemen untuk memastikan

apakah lingkungan pengendalian beroperasi secara efektif. Adanya

proses identifikasi pengendalian dan pengembangan strategi yang

digunakan untuk memvalidasi pengendalian yang juga terdapat

Master Plan TI. Namun, tidak ditemukannya bukti terkait proses

mempertahankan bukti efektivitas dari pengendalian.

3) MEA02.03 Melaksanakan Kontrol Penilaian Diri

Adanya proses perencanaan untuk mengidentikfikasi kriteria evaluasi

dalam melakukan penilaian diri yang dilakukan dengan mengacu pada

standar audit internal yang terdokumentasi pada Master Plan TI.

Dalam dokumen tersebut juga sudah terdapat penetapan tanggung

jawab terkait penilaian mandiri kepada individu atau pihak lain yang

154

dianggap tepat untuk menjamin objektivitas dan kompetensi yang

ditetapkan. Untuk hasil penilaian mandiri dibuktikan dengan laporan

assessment maturity level yang juga mencakup hasil tinjauan dari

penilaian. Selain itu, terdapat proses penilaian terhadap standar

kerangka kerja yang baik yang mengacu pada Keputusan Sekretaris

Menteri BUMN Nomor: SK-16/S.MBU/2012 tentang

Indikator/Parameter Penilaian dan Evaluasi Atas Penerapan Tata

Kelola Perusahaan yang Baik (GCG) pada BUMN yang menghasilkan

laporan hasil penilaian dan skor kondisi kinerja tata kelola di

perusahaan.

4) MEA02.04 Mengidentifikasi dan Melaporkan Kekurangan

Pengendalian

Adanya dokumen yang menunjukan bahwa kontrol internal masih

perlu di tingkatkan yang terdapat pada Master Plan TI. Dimana hal itu

telah dilaporkan kepada pihak terkait dan para stakeholder. Belum

danya tidakan perbaikan yang dilakukan oleh Divisi IT baik

mengoreksi bukti-bukti hasil proses, akar penyebab munculnya resiko

TI dan rekomendasi dari analisis penyebab munculnya masalah. Serta

belum ada bukti proses yang menekankan komunikasi untuk

meningkatkan pengendalian internal PT. Jasa Marga (Persero), Tbk.

Seperti diketahui Divisi IT pada PT. Jasa Marga (Persero), Tbk

melakukan tidakan perbaikan dengan cara merumuskan peraturan

155

mengenai tata kelola TI yang baik sesuai dengan yang ada pada

pedoman tata kelola prusahaan.

5) MEA02.05 Memastikan bahwa Penyedia Jaminan Independen dan

Berkualitas

Adanya kode etik yang berlaku untuk seluruh pegawai di PT. Jasa

Marga (Persero), Tbk sebagai suatu pola aturan, tata cara, pedoman

etis secara tertulis ketika melakukan kegiatan atau bekerja maupun

berperilaku berdasarkan prinsip-prinsip moral yang ada yang

dibuktikan dalam dokumen Pedoman Etika dan Perilaku. Divisi IT

pada PT. Jasa Marga (Persero), Tbk belum membangun kemandirian

penyedia assurance, namun terdapat perencanaan assurance yang

tercantum pada Master Plan TI. Selain itu, belum ada dokumen yang

menjelaskan tingkat kompetensi dan kualifikasi penyedia assurance.

6) MEA02.06 Menginisiasi Rencana Assurance/Jaminan

Tidak ditemukan adanya inisiasif PT. Jasa Marga (Persero), Tbk

dalam membuat rencana dan kriteria serta penilaian tingkat tinggi

dalam pengendalian internal. Namun terdapat proses terkait

pemilihan, penyesuaian dan pencapaian kesepakatan tentang tujuan

pengendalian untuk proses penting yang akan menjadi dasar penilaian

kontrol yang mengacu pada Keputusan Sekretaris Menteri BUMN

Nomor: SK-16/S.MBU/2012 tentang Indikator/Parameter Penilaian

dan Evaluasi Atas Penerapan Tata Kelola Perusahaan yang Baik

(GCG) pada BUMN.

156

7) MEA02.07 Menginisiasi Ruang Lingkup Assurance/Jaminan

Belum adanya penetapan ruang lingkup dalam mengidentifikasi tujuan

PT. Jasa Marga (Persero), Tbk dan TI untuk lingkungan sumber daya.

Selain itu, tidak ditemukan adanya penetapan rencana dan ulasan

praktik assurance. Namun, Divisi IT melakukan pengumpulan

informasi dari proses yang dikaji untuk keperluan pengendalian serta

evaluasi resiko yang hanya ketika terjadi masalah pada kinerja TI.

Belum adanya bukti praktik secara rutin yang dilakukan dalam

mengumpulkan dan mengevaluasi informasi dari proses yang dikaji.

Selain itu belum ada penetapan praktik dalam mengesahkan desain

pengendalian dan capaian guna menentukan apakah tingkat efektivitas

yang mendukung resiko yang dapat diterima.

8) MEA02.08 Melaksanakan Inisiatif Assurance/Jaminan

Belum adanya ulasan terkait lingkup assurance yang ditetapkan dan

disetujui dewan pengawas untuk tujuan pengendalian. Belum adanya

pengujian efektivitas desain pengendalian dari tujuan pengendalian

internal. Belum adanya dokumentasi dampak kelemahan pengendalian

dari pihak manajemen. Belum adanya komunikasi terhadap

manajemen selama pelaksanaan inisiatif sehingga ada pemahaman

yang jelas tentang pekerjaan yang dilakukan dan kesepakatan serta

penerimaan temuan awal dan rekomendasi.

157

4.5 Data Validation

Tahap ini adalah melakukan validasi data dari kuesioner yang telah

didistribusikan kepada responden sesuai dengan tabel RACI dengan menggunakan

skala likert dan mendapatkan evaluasi penilaian capability level.

4.5.1 Rekapitulasi Jawaban Kuesioner MEA01

Jawaban dari responden yang teridentifikasi dalam tabel RACI pada proses

MEA01 (Monitor, Evaluate and Assess Performance and Conformance). Dari

hasil jawaban responden yang terdapat pada Planning the Assessment selanjutnya

dapat dibuat suatu rekapitulasi, sebagai berikut:

Tabel 4.28 Rekapitulasi Jawaban Kuesioner Capability Level MEA01.01

(Menetapkan Pendekatan Monitoring)

No Aktivitas Status Distribrusi Jawaban

a (%) b (%) c (%) d (%) e (%) f (%)

1 Identifikasi stakeholders as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

2

Pengikutsertaan stakeholders

dalam komunikasi untuk

kegiatan monitoring

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

3

Penggunaan alat dalam

mengumpulkan data dan

laporan evaluasi

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 25,00 75,00 0,00 0,00

4 Penyesuaian antara tujuan

dan matrik

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

5

Kesepakatan manajemen

dalam pengawasan dan

pelaporan

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

6 Pengalokasian sumber daya

dalam melakukan monitoring

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

158

7

Validasi dalam

mengidentifikasi

stakeholders, kebutuhan dan

sumber daya

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

Kondisi saat ini 0,00 67,86 32,14 0,00 0,00 0,00

Kondisi yang diharapkan 0,00 0,00 57,14 42,85 0,00 0,00

Keterangan: As is (Kondisi saat ini), To be (Kondisi yang diharapkan)

Berdasarkan tabel di atas maka dapat disimpulkan mayoritas responden

dalam menilai kondisi saat ini untuk menetapkan pendekatan monitoring berada

pada tingkat 1 dengan presentase 67,86%, sedangkan kondisi yang diharapkan

mayoritas responden menilai pada tingkat 2 dengan presentase 57,14%.


(Mengatur Kinerja dan Menyesuaikan Tujuan)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Peninjauan secara berkala

terhadap tujuan dan matrik

dengan stakeholders

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

2

Komunikasi perubahan

kinerja dan kesesuaian target

dengan stakeholders

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

3 Publikasi perubahan target

kepada pengguna informasi

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

4 Evaluasi tujuan dan matrik

yang spesifik

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

Kondisi saat ini 0,00 68,75 31,25 0,00 0,00 0,00



159


dalam menilai kondisi saat ini untuk mengatur kinerja dan menyesuaikan tujuan

berada pada tingkat 1 dengan presentase 68,75%, sedangkan kondisi yang

diharapkan mayoritas responden menilai pada tingkat 2 dengan presentase

56,25%.


(Mengumpulkan Proses Kinerja dan Kesesuaian Data)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Pengumpulan data dari

proses kinerja yang

ditetapkan

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

2

Penilaian efisiensi dan

kesesuaian dari data yang

ditetapkan

as is 25,00 75,00 0,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

3

Pengumpulan data untuk

mendukung pencapaian

tujuan kinerja

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

4 Penyelarasan antara data

dengan laporan hasil kinerja

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

5 Penggunaan sistem yang

cocok untuk mengelola data

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,00 0,00 0,00

Kondisi saat ini 5,00 90,00 5,00 0,00 0,00 0,00




dalam menilai kondisi saat ini untuk mengumpulkan proses kinerja dan

kesesuaian data berada pada tingkat 1 dengan presentase 90%, sedangkan kondisi

160

yang diharapkan mayoritas responden menilai pada tingkat 2 dengan presentase

70%.


(Menganalisis dan Melaporkan Kinerja)


a (%) b (%) c (%) d (%) e (%) f (%)

1 Perancangan laporan

proses kinerja

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

2 Perbandingan antara nilai

kinerja dengan target

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

3

Penyesuaian antara

rekomendasi dengan

tujuan dan matrik

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

4 Pendistribusian laporan

kepada stakeholders

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 20,00 0,00 0,00

5 Analisa penyebab target

tidak terealisasi

as is 25,00 50,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

6

Penyesuaian antara

pencapaian target kinerja

dengan penghargaan

organisasi

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

Kondisi saat ini 4,16 66,67 29,16 0,00 0,00 0,00




dalam menilai kondisi saat ini untuk menganalisis dan melaporkan kinerja berada

pada tingkat 1 dengan presentase 66,67%, sedangkan kondisi yang diharapkan


161


(Memastikan Pelaksanaan Tindakan Perbaikan)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Peninjauan rekomendasi

dari manajemen dalam

menangani masalah

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

2

Pembagian tanggung

jawab untuk tindakan

perbaikan

as is 25,00 25,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 25,00 75,00 0,00 0,00

3 Penelusuran terhadap

tindakan perbaikan

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

4 Pelaporan hasil tindakan

yang dilakukan

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

Kondisi saat ini 6,25 62,50 31,25 0,00 0,00 0,00




dalam menilai kondisi saat ini untuk memastikan tindakan perbaikan berada pada

tingkat 1 dengan presentase 62,50%, sedangkan kondisi yang diharapkan


4.5.2 Rekapitulasi Jawaban Kuesioner MEA02

Jawaban dari responden yang teridentifikasi dalam tabel RACI pada proses

MEA02 (Monitor, Evaluate and Assess the System of Internal Control). Dari hasil

162

jawaban responden yang terdapat pada Planning the Assessment selanjutnya dapat

dibuat suatu rekapitulasi, sebagai berikut:


(Memantau Pengendalian Internal)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Pengawasan pengendalian

dan evaluasi internal

berdasarkan standar yang

berlaku

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

2

Mempertimbangkan

evaluasi independen dari

pengendalian internal

as is 0,00 58,33 41,67 0,00 0,00 0,00

to be 0,00 0,00 33,33 66,67 0,00 0,00

3

Identifikasi batas-batas

sistem pengendalian

internal

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 66,67 33,33 0,00 0,00

4

Pengendalian internal

organisasi dan tindakan

korektif yang sesuai

dengan manajemen resiko

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 33,33 66,67 0,00 0,00

5 Pemeliharaan sistem

pengendalian internal TI

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 33,33 66,67 0,00 0,00

6

Evaluasi kinerja

framework pengendalian

TI

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

7

Penilaian penyedia layanan

eksternal mematuhi hukum

dan kewajiban kontrak

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

Kondisi saat ini 0,00 65,47 34,52 0,00 0,00 0,00



163


dalam menilai kondisi saat ini untuk memantau pengendalian internal berada pada

tingkat 1 dengan presentase 65,47%, sedangkan kondisi yang diharapkan



(Mengulas Kontrol Keefektifan Proses Bisnis)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Memahami dan

memprioritaskan resiko

untuk tujuan organisasi

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 25,00 75,00 0,00 0,00

2

Identifikasi pengendalian

dan pengembangan strategi

yang sesuai.

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

3

Mengembangkan dan

menerapkan prosedu

keefektifan biaya

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

4 Identifikasi informasi yang

persuasif

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 75,00 25,0 0,00 0,00

5 Perlindungan bukti

efektivitas pengendalian

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

Kondisi saat ini 0,00 80,00 20,00 0,00 0,00 0,00




dalam menilai kondisi saat ini untuk mengulas kontrol keefektifan proses bisnis

berada pada tingkat 1 dengan presentase 80%, sedangkan kondisi yang diharapkan

mayoritas responden menilai pada tingkat 2 dengan presentase 50%.

164


(Melaksanakan Kontrol Penilaian Mandiri)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Mempertahankan rencana

untuk melakukan penilaian

diri standar audit internal

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

2

Penentuan frekuensi

penilaian diri secara

berkala

as is 0,00 83,33 16,67 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

3

Penetapan tanggung jawab

penilaian diri kepada

individu

as is 0,00 83,33 16,67 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

4

Peninjauan independen

untuk menjamin

objektivitas dari penilaian

diri

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

5

Perbandingan hasil

penilaian diri terhadap

standar industri dan

kerangka kerja yang baik

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 66,67 33,33 0,00 0,00

6

Pelaporan hasil penilaian

diri untuk tindakan

perbaikan

as is 0,00 66,67 33,33 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

7

Pendekatan yang konsisten

dalam melakukan kontrol

penilaian diri

as is 0,00 83,33 16,67 0,00 0,00 0,00

to be 0,00 0,00 41,67 58,33 0,00 0,00

Kondisi saat ini 0,00 75,00 25,00 0,00 0,00 0,00

Kondisi yang diharapkan 0,00 0,00 48.82 51,18 0,00 0,00



dalam menilai kondisi saat ini untuk melaksanakan kontrol penilaian mandiri

165

berada pada tingkat 1 dengan presentase 75%, sedangkan kondisi yang diharapkan

mayoritas responden menilai pada tingkat 3 dengan presentase 51.18%.


(Mengidentifikasi dan Melaporkan Kekurangan Pengendalian)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Mengidentifikasi

pengecualian pengendalian

dan menetapkan tanggung

jawab untuk pelaporan

as is 0,00 90,91 9,09 0,00 0,00 0,00

to be 0,00 0,00 45,46 54,54 0,00 0,00

2

Pertimbangan resiko untuk

membangun batasan


as is 0,00 90,91 9,09 0,00 0,00 0,00

to be 0,00 0,00 36,36 63,64 0,00 0,00

3

Komunikasi prosedur

untuk peningkatan analisis

akar penyebab masalah

dan pelaporan

as is 0,00 90,91 9,09 0,00 0,00 0,00

to be 0,00 0,00 72,73 27,27 0,00 0,00

4

Komunikasi pengecualian

pengendalian kepada

individu yang bertanggung

jawab

as is 0,00 54,54 45,46 0,00 0,00 0,00

to be 0,00 0,00 27,27 72,73 0,00 0,00

5

Penindak lanjut


guna memastikan

persetujuan tindakan telah

ditangani

as is 0,00 54,54 45,46 0,00 0,00 0,00

to be 0,00 0,00 27,27 72,73 0,00 0,00

6 Identifkasi dan penerapan

tindakan perbaikan

as is 0,00 54,54 45,46 0,00 0,00 0,00

to be 0,00 0,00 27,27 72,73 0,00 0,00

Kondisi saat ini 0,00 72,72 27,28 0,00 0,00 0,00



166


dalam menilai kondisi saat ini untuk mengidentifikasi dan melaporkan

kekurangan pengendalian berada pada tingkat 1 dengan presentase 72,72%,

sedangkan kondisi yang diharapkan mayoritas responden menilai pada tingkat 3

dengan presentase 53,03%.


(Memastikan bahwa Penyedia Assurance/Jaminan Independen dan Berkualitas)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Kepatuhan terhadap kode

etik dan standar yang

berlaku

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 0,00 100 0,00 0,00

2 Membangun kemandirian

penyedia assurance

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 0,00 100 0,00 0,00

3

Kompetensi dan

kualifikasi penyedia

assurance

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 0,00 100 0,00 0,00

Kondisi saat ini 0,00 83,33 16,67 0,00 0,00 0,00

Kondisi yang diharapkan 0,00 0,00 0,00 100 0,00 0,00



dalam menilai kondisi saat ini untuk memastikan bahwa penyedia assurance

indpenden dan berkualitas berada pada tingkat 1 dengan presentase 83,33%,

sedangkan kondisi yang diharapkan mayoritas responden menilai pada tingkat 3

dengan presentase 100%.

167


(Menginisiasi Rencana Assurance/Jaminan)


a (%) b (%) c (%) d (%) e (%) f (%)

1 Penentuan pengguna untuk

menginisiasi assurance

as is 0,00 100 0,00 100 0,00 0,00

to be 0,00 0,00 0,00 0,00 0,00 0,00

2

Proses untuk mendiagnosis

resiko dan proses TI yang

kritis

as is 0,00 100 0,00 100 0,00 0,00

to be 0,00 0,00 0,00 0,00 0,00 0,00

3

Kesepakatan tujuan

pengendalian untuk proses

yang akan menjadi dasar

penilaian kontrol

as is 0,00 100 0,00 100 0,00 0,00

to be 0,00 0,00 0,00 0,00 0,00 0,00

Kondisi saat ini 0,00 100 0,00 0,00 0,00 0,00

Kondisi yang diharapkan 0,00 0,00 0,00 100 0,00 0,00



dalam menilai kondisi saat ini menginisiasi rencana assurance/jaminan berada

pada tingkat 1 dengan presentase 100%, sedangkan kondisi yang diharapkan

mayoritas responden menilai pada tingkat 2 dengan presentase 100%.


(Menginisiasi Ruang Lingkup Assurance/Jaminan)


a (%) b (%) c (%) d (%) e (%) f (%)

1

Penentuan ruang lingkup

untuk entitas auditable

yang relevan

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

2 Penentuan rencana

keterlibatan dan kebutuhan

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

168

sumber daya

3

Mengevaluasi informasi,

proses dan resiko untuk

keperluan pengendalian

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 25,00 75,00 0,00 0,00

4

Mengesahkan desain

pengendalian untuk

menentukan tingkat

efektivitas

as is 0,00 75,00 25,00 0,00 0,00 0,00

to be 0,00 0,00 25,00 75,00 0,00 0,00

5

Menentukan praktik untuk

mengidentifikasi sisa

resiko yang dapat diterima

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

Kondisi saat ini 0,00 90,00 10,00 0,00 0,00 0,00




dalam menilai kondisi saat ini untuk menginisiasi ruang lingkup

assurance/jaminan berada pada tingkat 1 dengan presentase 90%, sedangkan

kondisi yang diharapkan mayoritas responden menilai pada tingkat 2 dengan

presentase 60%.


(Melaksanakan Inisiatif Assurance/Jaminan)


a (%) b (%) c (%) d (%) e (%) f (%)

1 Pemahaman tentang subjek

assurance

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 100 0,00 0,00 0,00

2

Penentuan ruang lingkup

tujuan pengendalian untuk

assurance

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 100 0,00 0,00 0,00

3 Pengujian efektivitas as is 0,00 100 0,00 0,00 0,00 0,00

169

desain pengendalian to be 0,00 0,00 100 0,00 0,00 0,00

4

Penambahan alternatif

dalam menguji hasil dari

pengendalian

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

5

Mendokumentasikan

dampak kelemahan

pengendalian

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 100 0,00 0,00 0,00

6

Komunikasi terhadap

manajemen selama

pelaksanaan inisiatif

as is 0,00 50,00 50,00 0,00 0,00 0,00

to be 0,00 0,00 50,00 50,00 0,00 0,00

7

Pengawasan kegiatan

assurance dan memastikan

pekerjaan telah selesai

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 100 0,00 0,00 0,00

8

Keselarasan laporan

dengan acuan, ruang

lingkup dan kesepakatan

standar

as is 0,00 100 0,00 0,00 0,00 0,00

to be 0,00 0,00 100 0,00 0,00 0,00

Kondisi saat ini 0,00 87,50 12,50 0,00 0,00 0,00




dalam menilai kondisi saat ini untuk melaksanakan inisiatif assurance/jaminan

berada pada tingkat 1 dengan presentase 87,50%, sedangkan kondisi yang

diharapkan mayoritas responden menilai pada tingkat 3 dengan presentase

87,50%.

4.6 Process Attribut Level

Tahap keenam dengan memberi level pada setiap sub proses, yang bertujuan

untuk menunjukkan hasil nilai kapabilitas dan tingkat kapabilitas dari hasil

170

perhitungan kuesioner pada tahap-tahap sebelumnya dan melakukan analisis gap

pada tahapan berikutnya.

4.6.1 Penentuan Nilai dan Tingkat Kapabilitas MEA01

Berdasarkan tabel rekapitulasi jawaban kuesioner menjelaskan bahwa jawaban

dari responden beragam-ragam, oleh karena itu pemahaman dalam melakukan

operasional harus ditingkatkan lagi. Berikut ini adalah hasil penentuan nilai dan

capability level pada MEA01 (Monitor, Evaluate and Assess Performance and

Conformance) di PT. Jasa Marga (Persero), Tbk sebagai berikut:

1) Nilai Capability MEA01.01 (Menetapkan Pendekatan Monitoring)

As is:

𝐶𝐿 = (0 𝑥 0) + (67,86 𝑥 1) + (32,14 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,32

To be :

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (57,14 𝑋 2) + (42,85 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,42

Nilai kapabilitas kondisi saat ini (as is) pada MEA01.01 yaitu 1,32 artinya

tingkat kapabilitasnya terdapat pada level 1 Performed Process, sedangkan untuk

nilai kapabilitas kondisi yang diharapkan (to be) adalah 2,42 yang berarti berada

pada level 2 Managed Process.

171

2) Nilai Capability MEA01.02 (Mengatur Kinerja dan Menyesuaikan Tujuan)

As is:

𝐶𝐿 = (0 𝑥 0) + (68,75 𝑥 1) + (31,25 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,31

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (56,25 𝑥 2) + (43,75 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,43





3) Nilai Capability MEA01.03 (Mengumpulkan Proses Kinerja dan

Kesesuaian Data)

As is:

𝐶𝐿 = (5 𝑥 0) + (90 𝑥 1) + (5 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (70 𝑥 2) + (30 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,3

Nilai kapabilitas kondisi saat ini (as is) pada MEA01.03 yaitu 1 artinya




172

4) Nilai Capability MEA01.04 (Menganalisis dan Melaporkan Kinerja)

As is:

𝐶𝐿 = (4,16𝑥 0) + (66,67 𝑥 1) + (29,16 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,24

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (54,16 𝑥 2) + (56,25 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,45





5) Nilai Capability MEA01.05 (Memastikan Pelaksanaan Tindakan Perbaikan)

As is:

𝐶𝐿 = (6,25 𝑥 0) + (62,50 𝑥 1) + (29,16 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,25

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (43,75 𝑥 2) + (56,25 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,56





173

6) Tingkat Kapabilitas MEA01

Tabel 4.41 Tingkat Kapabilitas MEA01

No Sub Proses Nilai Kapabilitas Tingkat Kapabilitas

As is To be As is To be

1 MEA01.01 1,32 2,42 1 2

2 MEA01.02 1,31 2,43 1 2

3 MEA01.03 1 2,3 1 2

4 MEA01.04 1,24 2,45 1 2

5 MEA01.05 1,25 2,5 1 2

Rata-rata 1,22 2,42 1 2

Dari tabel di ata menjelaskan bahwa nilai untuk kondisi saat ini (as is) pada

MEA01 adalah 1,22 sehingga menempatkan proses MEA01 di PT. Jasa Marga

(Persero), Tbk khususnya pada Divisi IT berada di level 1 yaitu Performed

Process. Artinya adalah pada MEA01 (Monitor, Evaluate and Assess

Performance and Conformance) terdapat penerapan proses yang telah dilakukan

dan mencapai tujuan prosesnya.

Sedangkan untuk kondisi yang diharapka (to be) sebesar 2,42 atau berada di

level 2 yaitu Managed Process. Artinya adalah untuk tercapainya kapabilitas

tersebut, maka PT. Jasa Marga (Persero), Tbk memerlukan suatu pengaturan yang

matang berupa perencanaan, monitor dan penyesuaian serta implementasi pada

proses monitor, evaluasi dan penilaian kesesuaian dan kinerja yang selaras dengan

perencanaan tersebut. Yang berarti direncanakan berdasarkan kinerja organisasi,

dimonitor untuk hasilnya dilaporkan pada laporan akuntabilitas organisasi dan

disesuaikan sesuai dengan visi misi PT. Jasa Marga (Persero), Tbk. Berikut ini

174

hasil representasi diagram MEA01 (Monitor, Evaluate and Assess Performance

and Conformance):

Gambar 4.4 Diagram Representasi Nilai Kapabilitas MEA01

4.6.2 Penentuan Nilai dan Tingkat Kapabilitas MEA02

Berikut ini adalah hasil penentuan nilai dan capability level pada

MEA01 (Monitor, Evaluate and Assess Performance and

Conformance) di PT. Jasa Marga (Persero), Tbk sebagai berikut:

1) Nilai Capability MEA02.01 (Memantau Pengendalian Internal)

As is:

𝐶𝐿 = (0 𝑥 0) + (65,47 𝑥 1) + (34,52 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,36

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (41,67 𝑥 2) + (58,33 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,58

175





2) Nilai Capability MEA02.02 (Mengulas Kontrol Keefektifan Proses

Bisnis)

As is:

𝐶𝐿 = (0 𝑥 0) + (80 𝑥 1) + (20 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,2

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (55 𝑥 2) + (45 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,45





3) Nilai Capability MEA02.03 (Melaksanakan Kontrol Penilaian Mandiri)

As is:

𝐶𝐿 = (0 𝑥 0) + (75 𝑥 1) + (25 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,25

To be:

176

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (48.82 𝑥 2) + (51.18 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,09





4) Nilai Capability MEA02.04 (Mengidentifikasi dan Melaporkan

Kekurangan Pengendalian)

As is:

𝐶𝐿 = (0 𝑥 0) + (72,72 𝑥 1) + (27,28 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,27

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (46,97 𝑥 2) + (53,03 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,53




pada level 3 Established Process.

5) Nilai Capability MEA02.05 (Memastikan bahwa Penyedia

Assurance/Jaminan Independen dan Berkualitas)

As is:

177

𝐶𝐿 = (0 𝑥 0) + (83,33 𝑥 1) + (16,67 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,16

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (0 𝑥 2) + (100 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 3



nilai kapabilitas kondisi yang diharapkan (to be) adalah 3 yang berarti berada pada

level 3 Established Process.

6) Nilai Capability MEA02.06 (Menginisiasi Rencana

Assurance/Jaminan)

As is:

𝐶𝐿 = (0 𝑥 0) + (100 𝑥 1) + (0 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (0 𝑥 2) + (100 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 3



nilai kapabilitas kondisi yang diharapkan (to be) adalah 3 yang berarti berada pada

level 3 Established Process.

7) Nilai Capability MEA02.07 (Menginisiasi Ruang Lingkup

Assurance/Jaminan)

178

As is:

𝐶𝐿 = (0 𝑥 0) + (90 𝑥 1) + (10 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,1

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (60 𝑥 2) + (40 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2.4





8) Nilai Capability MEA02.08 (Melaksanakan Inisiatif

Assurance/Jaminan)

As is:

𝐶𝐿 = (0 𝑥 0) + (87,50 𝑥 1) + (12,50 𝑥 2) + (0 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 1,12

To be:

𝐶𝐿 = (0 𝑥 0) + (0 𝑥 1) + (87,50 𝑥 2) + (12,50 𝑥 3) + (0 𝑥 4) + (0 𝑥 5)

100= 2,12





179

9) Tingkat Kapabilitas MEA02

Tabel 4.42 Tingkat Kapabilitas MEA02

No Sub Proses Nilai Kapabilitas Tingkat Kapabilitas

As is To be As is To be

1 MEA02.01 1,36 2,58 1 3

2 MEA02.02 1,2 2,45 1 2

3 MEA02.03 1,25 2,09 1 2

4 MEA02.04 1,27 2,53 1 3

5 MEA02.05 1,16 3 1 3

6 MEA02.06 1 3 1 3

7 MEA02.07 1,1 2,4 1 2

8 MEA02.08 1,12 2,12 1 2

Rata-rata 1,18 2,50 1 2

Dari tabel di ata menjelaskan bahwa nilai untuk kondisi saat ini (as is) pada

MEA02 adalah 1,18 sehingga menempatkan proses MEA02 di PT. Jasa Marga

(Persero), Tbk khususnya pada Divisi IT berada di level 1 yaitu Performed

Process. Artinya adalah pada MEA02 (Monitor, Evaluate and Assess the System

of Internal Control) terdapat penerapan proses yang telah dilakukan dan mencapai

tujuan prosesnya.

Sedangkan untuk kondisi yang diharapka (to be) sebesar 2,50 atau berada di

level 2 yaitu Managed Process. Artinya adalah untuk tercapainya kapabilitas

tersebut, maka PT. Jasa Marga (Persero), Tbk dalam menjalankan proses yang ada

pada MEA02 harus sesuai dengan proses yang telah didefinisikan secara detil.

Sehingga tidak hanya pengaturan yang matang dalam pelaksanaan proses, namun

dalam implementasi proses sesuai dengan pengaturan tersebut. Pada tingkat ini

180

PT. Jasa Marga (Persero), Tbk bukan hanya memiliki kebijakan dan standar tetapi

juga harus diimplementasikan. Berikut ini hasil representasi diagram MEA02

(Monitor, Evaluate and Assess the System of Internal Control):

Gambar 4.5 Diagram Representasi Nilai Kapabilitas MEA02

4.6.3 Pencapaian Proses pada PT. Jasa Marga (Persero), Tbk

Dalam penelitian ini telah dilakukan kegiatan pengamatan untuk kelengkapan dari

proses atribut yang telah dicapai oleh Divisi IT di PT. Jasa Marga (Persero), Tbk.

Seperti diketahui pada subbab sebelumnya telah dilakukan penentuan nilai dan

tingkat kapabilitas masing-masing proses, yang menghasilkan Proses MEA01 dan

MEA02 saat ini berada di level 1 (Performed Process). Artinya adalah organisasi

harus dapat memenuhi proses atribut pada level 1.

Pada level 1 menurut Praktik Umum (GPs) dan Hasil Kerja Umum (GWPs)

yang ada pada COBIT 5, maka Divisi IT di PT. Jasa Marga (Persero), Tbk harus

dapat menyediakan bukti bahwa adanya proses yang ingin atau telah dilakukan

181

dalam hal MEA01 (Monitor, Evaluate and Assess Performance and

Conformance) dan MEA02 (Monitor, Evaluate and Asses the System of Internal

Control). Untuk lebih jelasnya peneliti telah menjelaskan bukti tersebut dalam

poin 4.4 Data Collection yang dapat dilihat di atas.

Dalam hal ini tingkat kapabilitas dari masing-masing proses di atas tidak

serta merta berakhir sampai disitu saja. Perlu adanya pemeriksaan syarat-syarat

kapabilitas proses tersebut dari level 1 sampai 5 yang harus dipenuhi PT. Jasa

Marga (Persero), Tbk. Pemeriksaan ini mengacu pada process capability

indicators yang tercantum dalam kerangka kerja COBIT 5, pencapaian itu

dilakukan supaya mencapai level kapabilitas yang diharapkan. Berikut ini adalah

tabel yang menjelaskan pencapaian Divisi IT PT. Jasa Marga (Persero), Tbk untuk

proses MEA01 (Monitor, Evaluate and Assess Performance and Conformance):

Tabel 4.43 Tabel Proses MEA01 PA 1.1 Process Performance


Base Practies Work Product Exist Evidence

MEA01.01

Monitoring kebutuhan √ Master Plan TI

Tujuan dan metrik monitoring yang

telah disetujui √ Master Plan TI

MEA01.02 Monitoring target - -

MEA01.03 Data monitoring yang telah diolah √ Annual Report

MEA01.04 Laporan Kinerja √ Laporan

Performance

MEA01.05 Tindakan dan tugas perbaikan - -

Status dan hasil tindakan - -

Rata-rata Skor 57,14%

182

Dari tabel di atas diketahui bahwa terdapat dokumen Master Plan TI

sebagai bukti berjalannya monitoring terhadap Divisi IT di PT. Jasa Marga

(Persero), Tbk. Laporan kinerja Divisi IT juga dapat dilihat pada dokumen

Laporan Performance. Namun banyak kegiatan lain dari proses MEA01 yang

belum berjalan atau terdokumentasikan di PT. Jasa Marga (Persero), Tbk, seperti

target monitoring, tindakan dan tugas perbaikan serta status dan hasil tindakan

perbaikan, sehingga tidak ditemukan bukti dari proses-proses tersebut.

Berdasarkan pencapaian PA 1.1 Process Performance yang dijelaskan di

atas, maka diketahui skor pencapaian PA 1.1 process performance adalah 57,14%

yang termasuk dalam tingkat penilaian L (Largely Achieved). Tingkat penilaian L

menunjukkan bahwa PT. Jasa Marga (Persero), Tbk sudah memenuhi syarat

pencapaian level 1 (performed process). Namu belum bisa melanjutkan penilaian

ke level 2 atau selanjutnya karena syarat yang harus dipenuhi yakni mencapai

tingkat penilaian fully achieved (85%) pada level 1. Berikut ini adalah tabel yang

menjelaskan pencapaian Divisi IT PT. Jasa Marga (Persero), Tbk untuk proses

MEA02 (Monitor, Evaluate and Asses the System of Internal Control):

Tabel 4.44 Tabel Proses MEA02 PA 1.1 Process Performance


Base Practies Work Product Exist Evidence

MEA02.01

Hasil pemantauan dan review

pengendalian internal √ Annual Report

Hasil benchmarking dan evaluasi

lainnya - -

MEA02.02 Bukti efektivitas pengendalian √ Master Plan TI

183

MEA02.03

Rencana dan kriteria self-assessment √ Master Plan TI

Hasil self-assessment √ Assessment

Maturity Level

Hasil review self-assessment √ Assessment

Maturity Level

MEA02.04 Kontrol kekurangan √ Master Plan TI

Tindakan perbaikan √ Master Plan TI

MEA02.05 Hasil evaluasi penyedia jaminan √ Assessment GCG

MEA02.06

Penilaian tingkat tinggi - -

Rencana jaminan √ Master Plan TI

Kriteria Penilaian - -

MEA02.07

Cakupan penilaian jaminan - -

Rencana keterlibatan - -

Review praktik jaminan - -

MEA02.08 Hasil peninjauan jaminan - -

Laporan review jaminan - -

Rata-rata Skor 52,94%

Berdasarkan tabel di atas diketahui bahwa terdapat dokumen Master Plan

TI sebagai bukti berjalannya proses pengendalian efektivitas dan hasil

pemantauan dan review pengendalian internal pada Divisi IT di PT. Jasa Marga

(Persero), Tbk. Dokumen assessment maturity level sebagai bukti hasil rencana,

kriteria dan review self-assessment dan hasil dari kontrol kekurangan dan tindakan

perbaikan, rencana jaminan yang juga dibuktikan dengan Master Plan TI serta

hasil evaluasi penyedia jaminan yang terdapat pada laporan Assessment GCG.

Namun masih banyak kegiatan lain dari proses MEA02 yang belum berjalan atau

terdokumentasikan di PT. Jasa Marga (Persero), Tbk, sehingga tidak ditemukan

bukti dari proses-proses tersebut.

184

Berdasarkan pencapaian PA 1.1 Process Performance yang dijelaskan di

atas, maka diketahui skor pencapaian PA 1.1 process performance adalah 52,94%

yang termasuk dalam tingkat penilaian L (Largely Achieved). Tingkat penilaian L

menunjukkan bahwa PT. Jasa Marga (Persero), Tbk sudah memenuhi syarat

pencapaian level 1 (performed process). Namu belum bisa melanjutkan penilaian

ke level 2 atau selanjutnya karena syarat yang harus dipenuhi yakni mencapai

tingkat penilaian fully achieved (85%) pada level 1.

4.7 Reporting the Result

Reporting the result adalag tahap ketujuh berdasarkan process assessment model

yang membahas tentang laporan dan hasil proses penilaian dari tahap-tahap

sebelumnya. Dalam hal ini akan dipaparkan gaps atau kesenjangan yang terdapat

pada setiap proses serta rekomendasi untuk mencapai tingkat kapabilitas proses

yang diharapkan pada PT. Jasa Marga (Persero), Tbk khususnya di Divisi IT.

Berdasarkan jawaban dari kuesioner setiap proses yang diberikan kepada

beberapa responden dengan menggunakan skala Likert. Diketahui bahwa nilai

yang dimiliki Proses MEA01 (Monitor, Evaluate and Assess Performance and

Conformance untuk kondisi as is adalah 1,22 yakni berada pada level 1

(Performed Process) dan nilai proses MEA02 (Monitor, Evaluate, and Assess The

System of Internal Control) adalah 1,18 dengan tingkat kapabilitas yakni level 1

(Performed Process). Hasil yang diperoleh ini masih belum dapat dipastikan

kebenarannya karena hanya berdasarkan pandangan dari pihak instansi. Oleh

185

karena itu, peneliti memastikannya dengan rating scale yang ada pada COBIT 5

untuk menelusuri bukti pencapaian instansi pada level-level tersebut.

Dalam tata kelola teknologi informasi pada COBIT 5 terdapat beberapa

ketentuan yang harus dipenuhi oleh perusahaan agar dapat mencapai good

governance. Gaps didapatkan dari nilai tingkat kapabilitas kondisi as is pada

setiap proses terhadap nilai tingkat kapabilitas kondisi to be. Sementara,

rekomendasi diberikan sesuai dengan pemenuhan syarat untuk mencapai tingkat

kapabilitas yang diharapkan. Pada proses MEA01 dan MEA02 rekomendasi

diberikan untuk memenuhi semua work product yang ada di level 1 (Performed

Process).

4.7.1 Gap dan Rekomendasi

Dalam hal ini akan dipaparkan gaps antara capability level saat ini dan capability

level yang diharapkan PT. Jasa Marga (Persero), Tbk khususnya pada Divisi IT.

Penjelasannya akan digambarkan dalam bentuk tabel yang berisi gaps dan

rekomendasi untuk Divisi IT dalam mencapai tingkat kapabilitas yang diharapkan.

4.7.1.1 Gap dan Rekomendasi Proses MEA01

Nilai yang didapatkan pada proses MEA01 (Monitor, Evaluate, and Assess

Performance and Conformance) adalah 1,22 berada pada level 1 (Performed

Process), sementara level yang diharapkan berada pada level 2 (Managed

Process) yaitu dimana kebijakan dan prosedur terkait telah dijalankan, dikontrol

dan dikelola dengan tepat. Gaps dan rekomendasi ini didapat dari hasil

186

pemenuhan proses yang sudah dipaparkan pada tahap-tahap sebelumnya sehingga

rekomendasi yang diberikan sesuai dengan kebutuhan organisasi saat ini. Maka

rekomendasi untuk Divisi IT di PT. Jasa Marga (Persero), Tbk pada proses

MEA01 yakni untuk mencapai level yang diharapkan tersebut.

Rekomendasi yang diberikan untuk proses MEA02 yakni berupa

pemenuhan process attribute sesuai dengan temuan yang didapatkan pada tahap

pemenuhan indikator kapabilitas proses sebelumnya. Berikut adalah tabel

penjabaran gaps dan rekomendasi pada proses MEA01:

Tabel 4.45 Gaps dan Rekomendasi Proses MEA01.01

Key Management Practice Keterangan

MEA01.01 Menetapkan Pendekatan Monitoring

Analisa Gap

Tidak semua pihak pada Divisi IT terlibat dengan para stakeholder untuk

mengkomunikasikan kebutuhan dan tujuan proses serta komunikasi ini

belum dilakukan secara berkala.

Divisi IT belum melakukan perencanaan yang terdokumentasi mengenai

pengalokasian sumber daya dalam melakukan monitoring.

Divisi IT belum optimal dalam melakukan monitoring secara terus

menerus. Dimana monitoring yang dilakukan hanya ketika terdapat

keluhan mengenai TI dari user.

Divisi IT belum melakukan evaluasi untuk menilai kesesuaian antara tujuan

dan matrik dengan bukti hasil kinerja yang dilakukan.

Rekomendasi

Seluruh pihak di Divisi IT hendaknya terlibat secara langsung dengan para

stakeholder untuk mengkomunikasikan kebutuhan dan tujuan yang

diharapkan serta direkomendasikan komunikasi ini untuk dilakukan secara

berkala. Perencanaan ini juga harus didokumentasikan untuk kebutuhan

evaluasi di masa yang akan datang. Divisi IT juga perlu membuat prosedur

yang lebih rinci untuk mendukung komunikasi tersebut.

187

Perlu adanya standar dan prosedur yang menjelaskan terkait

pendokumentasian kegiatan pengalokasian sumber daya dalam melakukan

monitoring.

Divisi IT direkomendasikan untuk membuat standar dan prosedur secara

tertulis untuk mekanisme baru terkait kegiatas monitoring dan evaluasi

yang dilakukan oleh Divisi IT yang menjelaskan secara rinci mengenai

ketetapan waktu pelaksanaan dan pelaporan secara rutin.

Divisi IT direkomendasikan untuk membuat kebijakan secara tertulis untuk

pelaksanaan evaluasi terhadap kesesuaian hasil kinerja yang kemudian

dibuatkan standar dan prosedur terkait kegiatan tersebut.



MEA01.02 Mengatur Tujuan Kinerja dan

Kesesuaian

Analisa Gap

Divisi IT belum melakukan pendokumentasian terkait hasil kegiatan

pendefinisian dan peninjauan secara berkala terhadap tujuan dan metrik

dengan para stakeholder melalui rapat koordinasi.

Adanya rencana untuk melakukan publikasi target perubahan kepada

pengguna, tetapi belum dilaksanakan.

Divisi IT belum melakukan dokumentasi terkait kegiatan monitoring target

untuk kinerja TI

Rekomendasi

Divisi IT direkomendasikan untuk membuat standar dan prosedur untuk

kegiatan peninjauan terhadap tujuan dan metrik dengan stakeholder yang

dilakukan melalui rapat koordinasi dimana dalam prosedur itu mencakup

pembuatan dokumentasi untuk hasil proses yang telah dilaksanakan.

Perlu adanya kebijakan secara tertulis untuk kegiatan publikasi target

perubahan kepada pengguna agar dapat terlaksana.

Membuat perencanaan untuk kegiatan evaluasi antara tujuan dan matrik

188

yang spesifik dan dapat dicapai secara relevan. Divisi IT juga dapat

menambahkan perencanaan tersebut ke dalam master plan TI agar dapat

mendukung proses tersebut terlaksana.



MEA01.03 Mengumpulkan Proses Kinerja dan

Kesesuaian Data

Analisa Gap

Divisi IT telah mengumpulkan data dari proses yang telah dilakukan,

namun belum secara otomatis, dimana belum menggunakan sistem atau

alat-alat untuk mengelola format dari data yang dianalisis.

Divisi IT belum melakukan penilaian efisiensi, kesesuaian dan validasi

integritas dari data kinerja yang dikumpulkan.

Rekomendasi

Divisi IT direkomendasikan untuk membuat perencanaan yang

dicantumkan dalam master plan TI untuk penggunaan sistem dan alat-alat

untuk mengolah data yang dianalisis guna membantu dalam penyusunan

data secara sistematis.

Divisi IT direkomendasikan untuk membuat standar dan prosedur terkait

kegiatan kualitas penilaian efisiensi, kesesuaian dan validasi integritas dari

data yang dikumpulkan agar nantinya hasil kegiatan tersebut dapat

terdokumentasikan.



MEA01.04 Menganalisis dan Melaporkan Kinerja

Analisa Gap

Divisi IT belum optimal dalam memberikan rekomendasi untuk

penyelesaian masalah terkait target yang tidak terealisasi.

Belum terlaksananya proses menghubungkan pencapaian target kinerja

189

karyawan untuk mendapatkan kompensasi penghargaan.

Divisi IT belum melakukan perbandingan antara nilai kinerja dengan target

dan tolak ukur perusahaan.

Divisi IT belum melakukan pendistribusian laporan kinerja kepada

stakeholder.

Rekomendasi

Divisi IT direkomendasikan untuk mengumpulkan lebih banyak evidence

terkait kinerja yang tidak memnuhi target agar lebih memahami penyebab

masalah yang terjadi sehingga rekomendasi yang diberikan akan lebih

mudah untuk disesuaikan dengan tujuan awal kinerja tersebut.

Divisi IT direkomendasikan untuk membuat kebijakan secara tertulis terkait

kompensasi penghargaan untuk karyawan yang memenuhi pencapaian

target kinerja.


kegiatan perbandingan antara nilai kinerja dengan target dan tolak ukur

perusahaan agar mendukung kegiatan tersebut dapat terlaksana serta

mendokumentasikan hasil kegiatan yang dilakukan.

Direkomendasikan Divisi IT agar mendistribusikan laporan kinerja kepada

stakeholder dan mendokumentasikan kegiatan pendistribusian tersebut

untuk membuktikan kegiatan tersebut telah dilaksanakan.



MEA01.05 Memastikan Pelaksanaan Tindakan

Perbaikan

Analisa Gap

Divisi IT belum melakukan dokumentasi proses terhadap peninjauan

manajemen terkait pilihan dan rekomendasi terhadap masalah dan

penyimpangan.

Divisi IT belum melakukan dokumentasi terkait pembagian tanggung

jawab untuk tindakan perbaikan.

Divisi IT belum melakukan penelusuran terhadap hasil tindakan perbaikan

190

terhadap apakah kinerja organisasi telah berjalan semestinya dan belum

melakukan dokumentasi terkait hasil tindakan yang dilakukan.

Rekomendasi

Divisi IT direkomendasikan untuk membuat standar dan prosedur untuk

kegiatan peninjauan tanggapan dari manajemen terkait pilihan dan

rekomendasi untuk mengatasi masalah dan penyimpangan yang terjadi

sehingga kegiatan tersebut juga dapat terdokumentasi dengan baik sebagai

bukti kegiatan tersebut terlaksana.

Perlu ditetapkan pembagian tanggungg jawab yang khusus bertugas dan

menangani tindakan perbaikan mengenai TI. Perbaruan struktur Divisi IT

dapat mengacu pada jajaran jabatan yang terdapat pada RACI Chart

COBIT 5. Pembagian tersebut juga perlu didokumentasikan.


penelusuran terhadap hasil tindakan perbaikan sehinggan memudahkan

untuk mengidentifikasi tindakan perbaikan dan dokumentasi ke dalam

laporan performance.

4.7.1.2 Gap dan Rekomendasi Proses MEA02

Nilai yang didapatkan pada proses MEA02 (Monitor, Evaluate, and Assess

Performance and Conformance) adalah 1,18 berada pada level 1 (Performed

Process), sementara level yang diharapkan berada pada level 2 (Managed

Process) yaitu dimana kebijakan dan prosedur terkait telah dijalankan, dikontrol

dan dikelola dengan tepat. Gaps dan rekomendasi ini didapat dari hasil

pemenuhan proses yang sudah dipaparkan pada tahap-tahap sebelumnya sehingga

rekomendasi yang diberikan sesuai dengan kebutuhan organisasi saat ini. Maka

rekomendasi untuk Divisi IT di PT. Jasa Marga (Persero), Tbk pada proses

MEA02 yakni untuk mencapai level yang diharapkan tersebut.

191

Rekomendasi yang diberikan untuk proses MEA02 yakni berupa

pemenuhan process attribute sesuai dengan temuan yang didapatkan pada tahap

pemenuhan indikator kapabilitas proses sebelumnya. Berikut adalah tabel

penjabaran gaps dan rekomendasi pada proses MEA02:



MEA02.01 Memantau Pengendalian Internal

Analisa Gap

Terdapat pelaksanaan benchmarking dan evaluasi lainnya dengan beberapa

perusahaan namun kegiatan tersebut belum mengalami langkah progresif.

Hal itu disebabkan karena kegiatan hanya sebatas pelaksanaan saja, tidak

ada laporan terkait dan kegiatan tida terdokumentasikan.

Adanya hasil pemantauan pengendalian internal yang ditulis setiap tahun.

Namun tidak dirumuskan secara rinci dan tidak terdefinisi dengan jelas

sehingga dapat mempersulit pihak manajemen saat melakukan penilaian.

Rekomendasi

PT. Jasa Marga (Persero), Tbk direkomendasikan untuk membuat standar

dan prosedur secara tertulis kepada setiap divisi termasuk Divisi IT untuk

membuat laporan hasil benchmarking dan evaluasi lainnya saat

melaksanakan aktivitas tersebut. Laporan tersebut berguna untuk membantu

PT. Jasa Marga (Persero), Tbk dalam mengidentifikasi dan

membandingkan permasalahan ysng terjadi dan faktor penyebabnya.

Divisi IT harus membuat suatu kebijakan dan standar secara tertulis untuk

diberlakukan dalam melakukan pemantauan pengendalian internal dan

membuat ulasannya. Untuk dapat mengawasi operasi organisasi,

manajemen hanya mengandalkan kepercayaan atas berbagai laporan dan

analisa (Gondodiyoto, 2007). Hasil dari aktivitas itu juga harus dicatat

sebagai penerus informasi dilingkungan organisasi atau diantara organisasi

yang berbeda (Gondodiyoto, 2007).

192



MEA02.02 Mengulas Proses Bisnis Keefektifan

Pengendalian

Analisa Gap

Adanya bukti efektifitas pengendalian yang dimiliki PT. Jasa Marga

(Persero), Tbk. Namun tergabung dalam Master Plan TI dan tidak

terpelihara dengan baik. Dimana PT. Jasa Marga (Persero), Tbk belum

melakukan perencanaan secara tertulis berkaitan dengan mempertahankan

bukti keefektifan pengendalian.

Rekomendasi

PT. Jasa Marga (Persero), Tbk direkomendasikan untuk membuat standar

dan prosedur untuk memelihara bukti dari pengendalian yang msih

tergabung di dalam master plan TI. Hal itu dapat dilakuakan dengan

membuat suatu database yang menyimpan bukti evaluasi, operasi dan

pemeliharaan.

Bukti tersebut dapat didokumentasikan dalam bentuk hardcopy maupun

softcopy. Standar dan prosedur ini perlu untuk bukti kagiatan pemeliharaan

pengendalian sehingga sangat efektif jika dijadikan sebagai bahan evaluasi

karena sistem pengendalian internal harus terus menerus dievaluasi,

diperbaiki dan disesuaikan dengan perkembangan kondisi teknologi.



MEA02.03 Melakukan Kontrol Penilaian Mandiri

Analisa Gap

Adanya rencana panilaian mandiri yang sudah terancang dari Divisi IT

namun rencana tersebut belum ditindaklanjuti terkait frekuensi untuk

penilaian mandiri secara konsisten.

Hasil penilaian mandiri saat ini telah dilaporkan secara tertulis. Namun

belum terorganisir dengan rapih dan penilaian yang dilakukan hanya

sebatas di Divisi IT saja.

193

Rekomendasi

Divisi IT direkomendasikan untuk menganalisis rencana penilaian dari

setiap bidang sebagai bahan penilaiannya untuk ditindaklanjuti. Perlu

mengadakan rapat internal yang rutin untuk membuat rencana penilaian

dimasa yang akan datang dan untuk menentukan frekuensi penilaian

mandiri agar dilakukan secara berkala.

Perlu adanya standar dan prosedur yang menjelaskan secara rinci kegiatan

penilaian mandiri yang dapat ditambahkan pada Pedoman dan Standar Tata

Kelola TI saat ini.

Divisi IT direkomendasikan untuk membuat database yang memuat seluruh

records dari hasil penilaian mandiri. Selain itu, ruang lingkup penilaian

mandiri diperluas ke seluruh divisi data departemen yang ada di PT. Jasa

Marga (Persero), Tbk. Perlu SOP terkait hal ini.



MEA02.04 Mengidentifikasi dan Melaporkan

Kekurangan Penngendalian

Analisa Gap

Divisi IT saat ini masih mengalami kekurangan kendali dalam pelaksanaan

pengendalian internal. Walaupun adanya perencanaan perbaikan, namun

belum ada respon terkait dari top management.

Terkait kekurangan pada pelaksanaan pengendalian internal ini dapat

disebabkan karena Divisi IT belum melakukan perencanaan proses

pelacakan kepatuhan pegawai terhadap kebijakan dan prosedur yang ada.

Divisi IT belum melakukan dokumentasi tertulis terkait tindak lanjut dari

semua kekurangan pengendalian guna memastikan kekurangan telah

ditangani.

Divisi IT belum melakukan dokumentasi kebijakan terkait proses

mengkomunikasikan dan menginformasikan kekurangan pengendalian

kepada para stakeholder.

194

Rekomendasi

Divisi IT direkomendasikan untuk membuat standar dan prosedur yang

diberlakukan untuk menganalisis akar penyebab kurangnya pelaksanaan

pengendalian internal.

Divisi IT direkomendasikan untuk membuat perencanaan secara tertulis

untuk proses pelacakan kepatuhan pegawai terhadap kebijakan dan

prosedur. Perlu adanya sosialisasi yang dilakukan di seluruh divisi tentang

kebijakan dan prosedur yang berlaku. Rekomendasi tersebut dapat

ditambahkan ke dalam Master Plan IT agar dapat terlaksana.

Perlu dibuatkannya kebijakan mengenai analisa dan pengambilan tindakan

terhadap ketidakpatuhan pegawai.

Perlu adanya standar dan prosedur terkait pendokumentasian pada proses

tindak lanjut dari hasil analisis kekurangan pengendalian untuk memastikan

penanganan kekurangan tersebut.

Divisi IT direkomendasikan untuk membuat kebijakan tertulis dalam

pelaksanaan komunikasi dengan stakeholder serta menginformasikannya

kepada pemilik proses terkait dengan kekurangan pengendalian.



MEA02.05 Memastikan bahwa Penyedia

Assurance Independen dan Berkualitas

Analisa Gap

Adanya penyedia jaminan eksternal yang telah melakukan penilaian pada

aspek tata kelola TI. Namun belum ada penilaian untuk tingkat kompetensi

dan kualifikasi penyedia assurance.

Divisi IT belum melakukan perencanaan proses analisis kepatuhan pegawai

terhadap kode etik dan standar yang berlaku.

Rekomendasi

Divisi IT direkomendasikan menbuat standar dan prosedur untuk

melakukan penilaian terhadap penyedia assurance agar memenuhi

kompetensi dan kualifikasi yang diharapkan. Karena pihak auditor

195

eksternal merupakan pihak yang termasuk berkepentingan terhadap sistem

pengendalian internal (Gondodiyoto, 2017).

Divisi IT direkomendasikan untuk membuat perencanaan secara tertulis

pada proses analisa kepatuhan pegawai terhadap kode etik dan standar yang

berlaku. Perlu adanya kebijakan dalam analisa dan pengambilan tindakan

terhadap ketidakpatuhan pegawai.



MEA02.06 Menginisiasi Rencana Assurance

Analisa Gap

Belum adanya penentuan kriteria penilaian dalam pemantauan kepatuhan

pegawai terhadap prosedur dan kebijakan internal di Divisi IT.

Rekomendasi

Divisi IT direkomendasikan untuk membuat kabijakan dan standar yang

diberlakukan untuk menentukan kriteria dan merencanakan penilaian resiko

level tinggi atau penilaian tentang kondisi aktual kepatuhan pegawai

terhadap prosedur yang berlaku. SOP diperlukan untuk mendukung

kegiatan tersebut.



MEA02.07 Menginisiasi Ruang Lingkup

Assurance

Analisa Gap

Belum adanya ruang lingkup jaminan yang ditetapkan dan disetujui dengan

manajemen bedasarkan tujuan pengendalian internal.

Belum adanya penanggungjawab yang terdapat di struktur organisasi yang

bertugas dalam menilai jaminan kinerja dari internal kontrol.

Belum adanya praktik ulasan assurance yang dilakukan dalam

mengumpulkan dan mengevaluasi informasi dari proses yang dikaji.

196

Rekomendasi

Divisi IT direkomendasikan untuk membuat standar dan prosedur yang

diberlakukan untuk mengidentifikasi tujuan organisasi dan TI dalam

lingkungan sumber daya organisasi dengan bantuan dari pihak eksternal

yang berkompeten.

Perlu dilakukan identifikasi sisa resiko berdasarkan laporan setiap bidang.

Hal ini penting untuk dapat mengawasi operasi organisasi karena

manajemen hanya mengandalkan kepercayaan atas berbagai laporan dan

analisa. Sistem pengendalian yang baik adalah bukan yang paling maksimal

tetapi yang paling optimal.



MEA02.08 Melaksanakan Inisiatif Assurance

Analisa Gap

Belum adanya hasil ulasan terkait batas pelaksanaan pengendalian internal

untuk ditetapkan dan disetujui oleh top management di Divisi IT.

Divisi IT belum melakukan dokumentasi kebijakan terkait kegiatan

komunikasi kepada manajemen selama pelaksanaan inisiatif untuk

perencanaan assurance.

Rekomendasi

Divisi IT direkomendasikan untuk membuat kebijakan dan standar yang

berlaku untuk membuat rencana tindak lanjut penyelesaian masalah internal

termasuk regulasi otoritas bidang TI untuk mengelola TI yang jelas dan

tegas di PT. Jasa Marga (Persero), Tbk. Dengan membuat dokumentasi dan

laporan sebagai bahan evaluasi.

Perlu adanya prosedur tertulis untuk kegiatan terakait komunikasi kepada

manajemen selama pelaksanaan inisiatif untuk perencanaan assurance

sehingga ada pemahaman dan kesepakatan yang jelas tentang pekerjaan

yang dilakukan.

197

BAB V

PENUTUP

Bab ini membahas mengenai kesimpulan dari pembahasan pada bab

sebelumnya serta saran untuk perbaikan dalam penerapan Tata Kelola TI yang

berfokus pada monitoring, evaluasi dan penilaian kinerja dan kesesuaian serta

monitoring, evaluasi dan penilaian sistem pengendalian internal, sehingga

capability level yang diharapkan dapat tercapai oleh Divisi IT di PT. Jasa Marga

(Persero), Tbk.

5.1 Kesimpulan

Berdasarkan hasil analisis dan uraian dari pembahasan bab sebelumnya, maka

kesimpulan yang dapat peneliti berikan adalah sebagai berikut:

1) Berdasarkan hasil evaluasi tata kelola teknologi informasi dengan

menggunakan framework COBIT 5 pada Divisi IT di PT. Jasa Marga

(Persero), Tbk. Maka diketahui tingkat kapabilitas yang didapatkan

pada proses MEA01 (Monitor, Evaluate and Assess Performance and

Conformance) saat ini berada di level 1 (Performed Process) dengan

nilai kapabilitas sebesar 1,22. Sementara tingkat kapabilitas yang

diharapkan berada di level 2 (Managed Process) dengan nilai

kapabilitas sebesar 2,42.

2) Pada proses MEA02 (Monitor, Evaluate and Assess System of Internal

Control) berada di level 1 (Performed Process) dengan nilai

198

kapabilitas sebesar 1,18. Sementara tingkat kapabilitas yang

diharapkan berada di level 2 (Managed Process) dengan nilai

kapabilitas sebesar 2,5.

3) Diantara rentang nilai pada level 1 dengan level 2 terdapat gap sebesar

1,2 untuk MEA01 dan 1,32 untuk MEA02. Dengan kata lain untuk

mencapai level yang diharapkan tersebut, Divisi IT harus dapat

memenuhi terlebih dahulu indikator-indikator kapabilitas proses Work

Products/Generic Work Product (WPs/GWPs) pada level 1 yang

masih belum terpenuhi.

4) Penelitian ini dapat menjadi bahan pertimbangan bagi para pengambil

keputusan atau tingkat manajerial tertinggi di PT. Jasa Marga

(Persero), Tbk khususnya Divisi IT dalam rencana pengembangan

pedoman dan standar tata kelola TI dengan memperhatikan faktor-

faktor penghambat dalam pengimplementasiannya.

5.2 Saran

Berdasarkan kesimpulan dan analisa yang telah dibahas sebelumnya, maka

peneliti memberikan saran untuk peneliti selanjutnya berdasarkan batasa-batasan

dalam pelaksanaan penelitian, sebagai berikut:

1) Dari hasil penelitian yang telah dilakukan, peneliti memberikan saran

untuk peneliti selanjutnya agar dapat meninjau kembali dan dapat

memperbaiki hal-hal berikut:

199

a. Dalam pemilihan domain yang akan digunakan sebaiknya

memilih IT-related goals lebih dari satu sehingga memberikan

pilihan domain yang lebih banyak dan memberikan ruang

lingkup pembahasan masalah yang lebih luas.

b. Pada pembuatan pertanyaan dalam kuesioner, sebaiknya

memperbaiki tata bahasa yang digunakan karena mempengaruhi

pengertian para responden agar tidak terjadi pemahaman yang

bias.

c. Pemilihan pihak yang akan terlibat dalam kegiatan evaluasi

melalui RACI Chart, sebaiknya tidak terpaku pada Responsible

saja tetapi juga melibatkan Accountable, Consulted dan

Informed dalam mecari data atau informasi secara langsung

maupun tidak langsung.

2) Untuk pihak Divisi IT agar dapat terus melakukan peningkatan dalam

kontrol dan dokumentasi pada setiap kegiatan yang berkaitan dengan

TI, karena bukti itu sangat berguna sebagai bahan evaluasi di masa

yang akan datang.

3) PT. Jasa Marga (Persero), Tbk diharapkan untuk selalu

mengembangkan pedoman tata kelola TI sesuai framework yang

digunakan dan memperhatikan penerapannya melalui sosialisasi

secara menyeluruh karena mayoritas pegawasi masih belum memiliki

kesadaran akan pentingnya tata kelola TI di perusahaan.

200

DAFTAR PUSTAKA

Candra, R. K., & Atastina, I. (2015). Audit Teknologi Informasi Menggunakan

Framework COBIT 5 Pada Domain DSS (Delivery, Service and Support) di

iGracias Telkom University. Telkom University, 5-20.

Fauziyah. (2010). Pengantar Teknologi Informasi. Bandung: Muara Indah.

Fitroh, Siregar, S., & Rustamaji, E. (2017). Determining Evaluated Domain

Process through Problem Identification using COBIT 5 Framework. Cyber

and IT Service Management, 108.

Gondodiyoto, S. (2007). Audit Sistem Informasi: Pendekatan COBIT. Jakarta:

Mitra Wacana Media.

Guritno, S., Sudaryono, & Rahardja, U. (2011). Theort and Application of IT

Research: Metodologi Penelitian Teknologi Informasi. Yogyakarta: ANDI.

Hilmawan, H. (2015). Analisis Tata Kelola Teknologi Informasi Menggunakan

Kerangka Kerja COBIT 5 Pada AMIK JTC Semarang. Jurnal Teknologi

dan Sistem Komputer, 3, 247-252.

Huda, M., & Hidayah, N. A. (2015). A Conceptual Model of Social Technology

Implementation. Seminar Prosiding SENATKOM 2015.

Huda, M., & Hussin, H. (2016). Evaluation Model of Information Technology

Innovation Effectiveness: Case of Higher Education Institutions in

Indonesia.

Indrajit, Richardus Eko. (2011). Manajemen Organisasi dan Tata Kelola

Teknologi Informasi. Graha Ilmu: Yogyakarta.

ISACA. (2012). A Business Framework for the Governance and Management of

Enterprise IT. USA: IT Governance Institute.

ISACA. (2012). Enabling Process. USA: ISACA.

ISACA. (2012). Implementation. USA: ISACA.

ISACA. (2012). Process Assessment Model (PAM): Using COBIT 5. USA:

ISACA.

ITGI. (2007). IT Governance Implementation Guide 2nd Edition. USA: IT

Govenance Institute

Jogiyanto. (2008). Metodologi Penelitian SIstem Informasi. Yogyakarta: ANDI.

201

Jogiyanto, H. (2011). Sistem Tata Kelola Teknologi Informasi. Yogyakarta: Andi.

Jogiyanto, H., & Abdillah, W. (2011). Sistem Tatakelola Teknologi Informasi.

Yogyakarta: ANDI.

Kaban, I. (2009). Tata Kelola Teknologi informasi (IT Governance). Jurnal

Jurusan Komputerisasi Akuntansi, Fakultas Ilmu Komputer, Universitas

Bina Nusantara, CommIT, Vol. 3 No. 1.

Lutman, J., & Kempaiah. (2007). An Update on Business-IT Alignment: A Line

Has Been Drawn. MIS Quarterly Executive, 6(3): 165-177.

Mulyadi. (20014). Sistem Akuntasi. Yogyakarta: Salemba Empat.

Nursalam. (2008). Konsep dan Penerapan Metodologi Penelitian Ilmu

Keperawatan. Jakarta: Salemba Medika.

Oltsik, J. (2009). Information Security Management: Analysis and

Recommendations. English: Hype-free Consulting.

Purwanto, N. (2007). Prinsip-Prinsip dan Teknik Evaluasi Pengajaran. Bandung:

Rosdakarya.

Risnita. (2012). Pengembangan Skala Model Likert. Edu-Bio, Vol 3, Hal 86-98.

Sanjaya, W. (2013). Penelitian Pendidikan: Jenis, Metode dan Prosedur. Jakarta:

Kharisma Putra Utama.

Sarno, R. (2009). Audit Sistem dan Teknologi Informasi. Surabaya: ITS Press.

Siregar, Sahbani. (2016). Evaluasi Tata Kelola Teknologi Informasi Berdasarkan

Framework COBIT 5 Pada Pusat Informasi dan Hubungan Masyarakat

Kementrian Agama RI (Fokus EDM03, APO01, MEA02). Jakarta: UIN

Syarif Hidayatullah

Subiyakto, A., & Ahlan, A. (2013). A Coherent Framework or Understanding

Critical Success Factors of ICT Project Environment. International

Conference on Research and Innovation in Information System (ICRIIS).

Subiyakto, A., Ahlan, A. R., Kartiwi, M., Putra, S. J., & Durachman, Y. (2016).

The User Satisfication Perspective of the Informastion System Projects.

Indonesia Journal if Electrical Engineering and Computer Science, Vol 4,

No. 1 October 2016. pp 215-223.

Sugiyono. (2010). Metode Penelitian Kuantitatif dan Kualitatif dan R&D.

Bandung: Alfabeta.

Sugiyono, & Azwar. (2009). Skala Likert. Dipetik Juli 26, 2017, dari

http://repository.upi.edu/622/6/S_PPB_0808368_Chapter3.pdf

202

Suminar, Suryo. 2014. Evaluasi Tata Kelola Teknologi Informasi Menggunakan

Framework COBIT 5 Fokus Proses Manage Security (APO13) dan Manage

Security Service (DSS05). Jakarta: UIN Syarif Hidayatullah.

Supriyana. (2010). Model Arsitektur Bisnis, Sistem Informasi dan Teknologi di

Bakosurtanal Berbasis TOGAF.

Surendro, K. (2009). Implementasu Tata Kelola Teknologi Informasi. Bandung:

Informatika.

Wakhinuddin. (2009). Analisa Gap. Dipetik Juli 26, 2017, dari

http://wakhinuddin.wordpress.com/2009/11/24/analisis-gap/

Weill, P., & Ross, J. (2007). IT Governance: How Top Performers Manage IT

Decision Rights for Superior Results. Boston: Harvard Business School

Press.

Williams et al. (2007). Using Information Technology: Pengenalan Praktis Dunia

Komputer dan Komunikasi. Yogyakarta: ANDI.

Yunanda. (2009). Pengertian Evaluasi.

203

LAMPIRAN-LAMPIRAN

204

Hasil Wawancara

Nama : Bapak Randy Prasetia Putra, M.TI

Jabatan : President Divisi IT

Tanggal : 18 Mei 2017

Tempat : Kantor Pusat PT. Jasa Marga (Persero), Tbk

Berikut hasil wawancara peneliti dengan Kepala Divisi IT:

1. Apa jabatan bapak dala PT. Jasa Marga (Persero), Tbk?

Jawab:

Kepala divisi IT atau dalam struktur organisasi disebut President Divisi IT

2. Adakah visi dan misi PT. Jasa Marga (Persero), Tbk? Apa visi dan misi

tersebut?

Jawab:

PT. Jasa Marga (Persero), Tbk memiliki visi “Menjadi Perusahaan Jalan Tol

Nasional Terbesar, Terpercaya dan Berkesinambungan” dan memiliki misi:

Memaksimalkan Pengembangan Kawasan untuk Meningkatkan Kemajuan

Masyarakat dan Keuntungan Perusahaan.

Menjalankan Usaha Jalan Tol di Seluruh Rantai Nilai Secara Profesional

dan Berkesinambungan.

Memimpin Pembangunan Jalan Tol di Indonesia untuk Meningkatkan

Konektivitas Nasional.

205

3. Sistem informasi apa yang digunakan di PT. Jasa Marga (Persero), Tbk?

Jawab:

Sistem informasi di PT. Jasa Marga (Persero), Tbk menggunakan ERP

(Enterprise Resource Planning) berbasis Oracle e-bussiness Suite untuk

mengintegrasikan berbagai fungsi bisnis seperti finance, human resource dan

logistic.

4. Adakah perencanaan strategis yang digunakan Divisi IT dalam menjalankan

pengelolaan teknologi informasi?

Jawab:

Ada, di sini disebut Master Plan Teknologi Informasi yang dirancang setiap

lima tahun dalam menerapkan pengelolaan teknologi informasi.

5. Adakah laporan evaluasi kinerja perusahaan untuk mengentahui kinerja

perusahaan minimal setahun sekali?

Jawab:

Ya, ada dibuktikan dengan dokumen Annual Report yang dibuat setiap tahun.

6. Apa saja kendala yang ditemui dalam pengelolaan teknologi informasi di PT.

Jasa Marga (Persero), Tbk?

Jawab:

Seperti halnya rencana yang ada di Divisi IT sudah dijelaskan di dokumen

master plan TI, namun pada pelaksanaannya banyak program kerja yang

terlambat waktu penyelesaiannya sehingga menghambat program kerja

lain untuk dikerjakan. Bahkan ada beberapa program yang sudah dalam

tahap pengerjaan menjadi tidak terealisasikan.

206

Kemudian pada standar dan prosedur yang ada di PT. Jasa Marga

(Persero), Tbk sudah dijelaskan bahwa Divisi IT yang bertanggung jawab

dalam pembangunan, pengembangan dan pengawasan sistem informasi

yang ada di perusahaan. Namun, ditemukan beberapa aplikasi yang kami

(divisi IT) tidak mengetahui asalnya dari mana, sehingga beberapa aplikasi

menjadi tidak digunakan.

7. Apa yang menyebabkan masalah mengenai pelaksanaan program kerja

tersebut?

Jawab:

Kemungkinan yang pertama adalah karena kurangnya analisis pada tahap

awal pelaksanaan program, seperti analisis waktu, biaya dan tujuan.

Kemungkinan yang kedua adalah karena kurangnya pengawasan pada setiap

tahapan pengerjaan, apakah tahapan yang sedang dikerjakan sudah sesuai

atau belum itu yang kurang diawasi sehingga ketika masalah muncul dan

pengerjaan jadi terhambat,, masalah yang terjadi jadi kurang jelas

penyebabnya.

8. Apakah di PT. Jasa Marga (Persero), Tbk terdapat pengendalian internal?

Jawab:

Ya, ada. Namun fungsinya belum terlalu optimal karena masih banyak

pegawai yang tidak mematuhi kebijakan dan prosedur perusahaan. Dimana

dalam prosedurnya, pengendalian internal berfungsi untuk mendorong

pegawai agar dipatuhinya kebijakan dan prosedur yang ada dalam

perusahaan.

207

Hasil Wawancara

Nama : Ibu Diah Eka Yulianti, S.Kom

Jabatan : Senior Specialist IT Control & Monitoring

Tanggal : 20 Maret 2017

Tempat : Kantor Pusat PT. Jasa Marga (Persero), Tbk

Berikut hasil wawancara peneliti dengan Senior Specialist IT Control &

Monitoring:

1. Bagaimana penerapan tata kelola teknologi informasi pada PT. Jasa Marga

(Persero), Tbk? Apakah sudah sesuai standard?

Jawab:

Belum memenuhi standard yang berlaku, namun sudah ada usaha untuk

menuju standard tersebut.

2. Bagaimana kegiatan monitoring untuk pengelolaan TI di PT. Jasa Marga

(Persero), Tbk? Apakah sudah optimal?

Jawab:

Kegiatan monitoring untuk pengelolaan TI memang belum optimal, dimana

pengawasan baru dilakukan ketika ada keluhan dari user mengenai masalah

TI. Sehingga awal mula terjadi masalah sulit terdefinisi dengan baik yang

menyebabkan solusi yang diberikan seringkali tidak pas dengan yang

dibutuhkan.

208

3. Apakah terdapat manual book dan SOP dalam penggunaan teknologi

informasi di PT. Jasa Marga (Persero), Tbk?

Jawab:

Ada, di PT. Jasa Marga (Persero), Tbk SOP tergabung dalam dokumen

Pedoman dan Standar Tata Kelola TI, yang berisi prosedur-prosedur untuk

setiap kegiatan di perusahaan. Contohnya yang terkait Divisi IT terdapat

dokumen Prosedur Pengelolaan Proyek Teknologi Informasi, dokumen

tersebut menjadi satu dalam Pedoman dan Standar Tata Kelola TI.

4. Apakah di PT. Jasa Marga (Persero), Tbk pernah dilakukan audit?

Jawab:

Untuk manajemen setiap satu tahun sekali melakukan audit untuk ISO

9001:2015 Manajemen Mutu, ISO 14001:2015 Standar Lingkungan dan ISO

45001:2016 Manajemen Kesehatan dan Keselamatan Kerja. Untuk Divisi IT

sendiri pernah dilakukan evaluasi menggunaka COBIT 4.1 pada tahun 2016,

namun hanya penilaian secara umum, sehingga rekomendasi yang diberikan

tidak untuk seluruh permasalahan yang ada di Divisi IT.

5. Adakah hambatan maupun kesulitan yang dihadapi dalam penerapan tata

kelola teknologi informasi?

Jawab:

Ya, ditemukan kendala dalam melakuka pengelolaan tata kelola teknologi

informasi. Masalah utama yang terjadi adalah karena ketidakpatuhan pegawai

terhadap peraturan yang ada di Pedoman dan Standar Tata Kelola TI sehingga

masih terjadi kendala dalam menerapkan tata kelola yang baik.

209

KUESIONER

ANALISA TATA KELOLA TEKNLOGI INFORMASI PADA DOMAIN MONITOR,

EVALUATE AND ASSESS DI PT. JASA MARGA (Persero), Tbk

CAPABILITY LEVEL

Kuesioner ini merupakan bagian dari penelitian skripsi dari Shally Putri Nur

Amalia Program Studi Sistem Informasi, Universitas Islam Negeri Syarif Hidayatullah Jakarta,

yang bertujuan untuk memperoleh data ataupun opini dari Bapak/Ibu yang bekerja di PT. Jasa

Marga (Persero), Tbk sebagai pihak yang terkait khususnya bagian yang termasuk pada RACI

COBIT 5.0 dalam MEA01 (Monitor, Evaluate and Assess Performance and Conformance)

dan MEA02 (Monitor, Evaluate and Assess the System of Internal Control).

Kuesioner Capability Level ini dikembangkan untuk mengetahui tingkat kematangan

pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk kondisi yang

diharap kan (to be). Untuk mempermudah narasumber menjawab, kuesioner ini didesain dalam

format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan

dikelompokkan menurut atribut kematangan dan pada setiap pertanyaan memiliki 2 (dua)

jawaban yang masing-masing mewakili kondisi terkini dan kondisi yang diharapkan. Masing-

masing pertanyaan mempunyai 6 (enam) pilihan jawaban yang menunjukkan tingkat

kematangan terhadap atribut tertentu pada proses pengelolaan konfigurasi. Pilihan tersebut dari

a sampai f secara berturut-turut mempresentasikan tingkat kematangan yang semakin

meningkat terhadap sesuatu, yaitu a=0, b=1, c=2, d=3, e=4 dan f=5.

Pada kolom “Jawaban”, narasumber dapat memilih salah satu jawaban yang di

anggap bisa mewakili kondisi kematangan baik yang saat ini maupun yang diharapkan, terkait

dengan atribut kematangan tertentu dengan memberikan tanda ceklis (√) pada tempat yang

tersedia. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan selanjutnya akan

dilakukan analisis yang dapat menjadi dasar pendefinisian rancangan solusi untuk perbaikan

dalam proses monitor, evaluate and assess.

Untuk kebutuhan di atas mohon kiranya Bapak/Ibu sebagai narasumber dapat

memberikan jawaban atas pertanyaan-pertanyaan yang diberikan dalam kuesioner ini untuk

kemudian dapat saya olah dalam penelitian skripsi ini. Terimakasih atas perhatian dan

waktunya.

Nama Narasumber

Jabatan Narasuber

Unit/Bidang/Subbid

210

Keterangan Indikator Kapabilitas

a = 0 → Tidak adanya proses yang dilaksanakan atau gagal untuk mencapai tujuan.

b = 1 → Adanya proses namun belum ditentukan apakah suatu proses sudah memberikan hasil

yang sesuai.

c = 2 → Adanya perencanaan, monitoring dan penyesuaian pada pelaksanaan proses.

d = 3 → Adanya implementasi proses yang telah mampu dalam mencapai hasil proses.

e = 4 → Adanya proses dan dijalankan secara konsisten dengan batasan-batasan agar mampu

meraih tujuan dari proses tersebut.

f = 5 → Adanya proses dan terprediksi terus-menerus ditingkatkan untuk memenuhi tujuan bisnis

dan tujuan proyek perusahaan.

1.) MEA01 (Monitor, Evaluate and Assess Performance and Conformance)

MEA01.01 (Menetapkan Pendekatan Monitoring)

Aktifitas Proses Saat ini (As is) Yang diharapkan (To be)

a b c d e f a b c d e f

Sejauh mana identifikasi kegiatan yang

dilakukan pemangku kepentingan

(misalnya, manajemen, pemilik proses

dan penguna).

Sejauh mana pengikutsertaan

stakeholders dalam komunikasi

persyaratan perusahaan dan tujuan untuk

monitoring.

Sejauh mana keselarasan dalam

mempertahankan monitoring secara terus

menerus.

Sejauh mana evaluasi yang dilakukan

perusahaan dengan menggunakan alat

yang digunakan dalam mengumpulkan

data dan laporan (misalnya, aplikasi

pengawasan bisnis).

Sejauh mana kesesuaian antara tujuan

dan matrik (misalnya, kinerja, nilai,

resiko) dengan bukti data hasil kinerja.

211

Sejauh mana alur manajemen dan kontrol

proses perubahan dalam pengawasan dan

pelaporan.

Sejauh mana pengalokasian sumber daya

dalam melakukan monitoring.

Sejauh mana validasi yang dilakukan

secara berkala dalam mengidentifikasi

stakeholders, kebutuhan dan sumberdaya

baru atau yang diubah.

MEA01.02 (Mengatur Kinerja dan Menyesuaikan Tujuan)



Sejauh mana pendefinisian dan

peninjauan secara berkala terhadap

tujuan dan matrik dengan para

stakeholders.

Sejauh mana komunikasi usulan

perubahan kinerja dan kesesuaian target

serta toleransi dengan stakeholders.

Sejauh mana dilakukan publikasi

perubahan target dan toleransi kepada

pengguna informasi.

Sampai saat ini, sejauh mana dilakukan

evaluasi antara tujuan dan matrik yang

spesifik, terukur dan dapat dicapai secara

relevan.

212

MEA01.03 (Mengumpulkan Proses Kinerja dan Kesesuaian Data)



Bagaimana tingkat pengumpulan data

dari proses kinerja yang ditetapkan.

Sejauh mana penilaian efensiensi,

kesesuaian dan validasi integrasi dari

data yang dikumpulkan.

Sampai saat ini, bagaimana proses

pengumpulan data untuk mendukung

pengukuran pencapaian tujuan kinerja.

Sejauh mana keselarasan antara data

yang terkumpul dengan laporan hasil

kinerja perusahaan.

Bagaimana penggunaan sistem dan alat-

alat yang cocok untuk mengelola format

dari data yang dianalisis.

MEA01.04 (Menganalisis dan Melaporkan Kinerja)



Bagaimana tingkat prancangan laporan

proses kinerja yang ringkas dan mudah

dipahami dan disesuaikan dengan

berbagai kebutuhan manajemen dan

audien.

Bagaimana perbandingan antara nilai

kinerja dengan target dan tolak ukur

internal perusahaan.

Sejauh mana kesesuaian antara

rekomendasi perubahan yang diberikan

dengan tujuan dan matrik.

Sejauh mana tingkat analisa penyebab

target tidak terealisasi.

Sejauh mana tingkat pendistribusian

213

laporan kepada stakeholders.

Bagamana kesesuaian antara kelayakan

dan pencapaian target kinerja dengan

sistem kompensasi penghargaan

organisasi.

MEA01.05 (Memastikan Pelaksanaan Tindakan Perbaikan)



Sejauh mana peninjauan, respon, pilihan

dan rekomendasi dari manajemen dalam

menangani masalah dan penyimpangan.

Bagaimana pembagian tanggung jawab

untuk tidakan perbaikan.

Sejauh mana tingkat penelusuran

terhadap hasil tidakan perbaikan.

Bagaimana tingkat laporan dari hasil

tindakan yang dilakukan.

2.) MEA02 (Monitor, Evaluate and Assess the System of Control Internal)

MEA02.01 (Memantau Pengendalian Internal)



Sejauh mana tingkat kegiatan

pengawasan, pengendalian dan evaluasi

pada efisiensi serta efektifitas internal

berdasarkan standar tata kelola

organisasi dan kerangka kerja

perusahaan yang berlaku.

Sejauh mana manajemen

mempertimbangankan evaluasi

independen dari sistem pengendalian

internal.

214

Sejauh mana tingkat identifikasi batas-

batas sistem pengendalian internal TI

(misalnya mempertimbangkan

bagaimana organisasi pengendalian

internal TI memperhitungkan

pengembangan outsourcing dan atau

kegiatan produksi.

Sampai saat ini, sejauh mana tingkat

kegiatan terkait pengendalian internal

organisasi, tindak lanjut analisis dan

tindakan korektif yang diutamakan

organisasi dilaksanakan sesuai dengan

manajemen resiko (misalnya,

mengklasifikasikan pengecualian tertentu

sebagai resiko utama dan lain-lain

sebagai resiko tidak utama).

Sejauh mana tingkat pemeliharaan sistem

pengendalian internal TI, mengingat

perubahan yang sedang berlangsung

dalam bisnis dan resiko TI serta

lingkungan pengendalian organisasi.

Sejauh mana tingkat evaluasi kinerja

framework pengendalian IT terhadap

standar industri yang berlaku.

Bagaimana tingkat penilaian terkait

status penyedia layanan eksternal untuk

pengendalian internal dan

mengkonfirmasi bahwa penyedia layanan

mematuhi persyaratan hukum dan

peraturan kewajiban kontrak.

MEA02.02 (Mengulas Proses Bisnis Keefektifan Pengendalian)



Sejauh mana organisasi memahami dan

memprioritaskan resiko untuk tujuan

215

organisasi.

Bagaimana proses identifikasi

pengendalian utama dan pengembangan

strategi yang cocok untuk memvalidasi

pengendalian.

Sejauh mana tingkat pengembangan dan

penerapan prosedur keefektifan agar

informasi yang didapatkan sesuai dengan

kriteria.

Sampai saat ini, bagaimana proses

identifikasi informasi yang persuasif

menunjukkan apakah lingkungan

pengendalian internal beroperasi secara

efektif.

Sejauh mana mempertahankan bukti

efektivitas dari pengendalian.

MEA02.03 (Melaksanakan Kontrol Penilaian Mandiri)



Sejauh mana tingkat mempertahankan

rencana dan ruang lingkup serta

mengidentifikasi kriteria evaluasi untuk

melakukan penilaian mandiri dengan

mempertimbangkan standar audit

internal.

Sejauh mana tingkat penentuan frekuensi

penilaian mandiri secara berkala..

Bagaimana tingkat penetapan tanggung

jawab terkait penilaian mandiri kepada

individu yang tepat untuk menjamin

objektivitas dan kompetensi.

Sejauh mana tingkat tinjauan independen

untuk menjamin objektivitas dari

penilaian dan memungkinkan berbagi

praktek pengendalian internal yang baik

216

dari perusahaan lain.

Sampai saat ini, sejauh mana tingkat

perbandingan hasil penilaian terhadap

standar industri dan kerangka kerja yang

baik.

Sejauh mana tingkat pelaporan hasil

penilaian dan perbandingan untuk

tindakan perbaikan.

Sejauh mana terkait pendekatan yang

konsisten dalam melakukan kontrol

penilaian diri dan koordinasi dengan

auditor internal dan eksternal.

MEA02.04 (Mengidentifikasi dan Melaporkan Kekurangan Pengendalian)



Sejauh mana tingkat identifikasi laporan

dan catatan kekurangan pengendalian

dan penetapan tanggung jawab untuk

menyelesaikan pengendalian.

Sejauh mana tingkat pertimbangan resiko

perusahaan untuk membangun batasan

peningkatan kekurangan pengendalian

dan kesalahan.

Sejauh mana keputusan kekurangan

pengendalian harus dikomunikasikan

kepada individu yang bertanggung jawab

serta menginformasikannya kepada

pemilik proses yang terkena dampak dan

para stakeholders.

Sejauh mana tingkat tindak lanjut dari

semua kekurangan pengendalian guna

memastikan bahwa persetujuan tindakan

telah ditangani.

Sejauh mana tingkat komunikasi

prosedur untuk peningkatan

217

pengendalian pengecualian masalah,

analisis akar penyebab masalah dan

pelaporan kepada pemilik proses.

Sampai saat ini sejauh mana tingkat

identifikasi dan penerapan tindakan

perbaikan yang timbul dari penilaian

pengendalian dan pelaporan.

MEA02.05 (Memastikan bahwa Penyedia Assurance/Jaminan Independen dan Berkualitas)



Bagaimana tingkat penyedia jaminan

yang independen dan berkualitas.

Sejauh mana tingkat kepatuhan terhadap

kode etik dan standar yang berlaku

(misalnya, Kode Etik Profesional

ISACA, ISO) dan standar jaminan

lainnya.

Sejauh mana organisasi membangun

kemandirian penyedia assurance.

Sampai saat ini bagaimana tingkat

kompetensi dan kualifikasi penyedia

assurance.

MEA02.06 (Menginisiasi Rencana Assurance/Jaminan)



Sejauh mana tingkat penentuan para

pengguna untuk menginisiasi assurance.

Sejauh mana tingkat penilaian resiko

level tinggi dan/atau penilaian tentang

kemampuan proses untuk mendiagnosis

resiko dan mengidentifikasi proses TI

yang kritis.

218

Sejauh mana tingkat pemilihan,

penyesuaian dan pencapaian kesepakatan

tentang tujuan pengendalian untuk proses

penting yang akan menjadi dasar

penilaian kontrol

MEA02.07 (Menginisiasi Ruang Lingkup Assurance/Jaminan)


a b c d e F a b c d e f

Sejauh mana tingkat penentuan ruang

lingkup assurance dengan

mengidentifikasi tujuan perusahaan dan

IT untuk lingkungan sumber daya, serta

semua entitas auditable yang relevan

dalam perusahaan dan eksternal

perusahaan

Bagaimana tingkat penetapan rencana

suatu jaminan dalam menentukan

kebutuhan sumber daya.

Sejauh mana tingkat praktik yang

dilakukan dalam mengumpulkan dan

mengevaluasi informasi dari proses yang

dikaji untuk keperluan pengendalian

serta evaluasi resiko yang ada.

Sejauh ini bagaimana tingkat tindakan

dalam mengesahkan desain pengendalian

dan capaian guna menentukan apakah

tingkat efektivitas mendukung resiko

yang dapat diterima (yang dibutuhkan

oleh organisasi).

Sejauh mana tingkat manajemen

menentukan praktik untuk

mengidentifikasi sisa resiko (dalam

persiapan untuk pelaporan).

219

MEA02.08 (Melaksanankan Inisisatif Assurance/Jaminan)



Sejauh mana pemahaman tentang subjek

assurance.

Sejauh mana tingkat penentuan ruang

lingkup tujuan pengendalian utama untuk

subjek assurance.

Sejauh mana tingkat pengujian efektifitas

desain pengendalian dari tujuan utama

pengendalian.

Sejauh mana tingkat alternatif/tambahan

dalam menguji hasil dari tujuan utama

pengendalian.

Sejauh mana tingkat manajemen

mendokumentasikan dampak kelemahan

pengendalian.

Sejauh mana tingkat komunikasi

terhadap manajemen selama pelaksanaan

inisiatif sehingga ada pemahaman yang

jelas tentang pekerjaan yang dilakukan

dan kesepakatan serta penerimaan

temuan awal dan rekomendasi.

Bagaimana tingkat pengawasan kegiatan

assurance dan kerja yang dilakukan

setelah memenuhi tujuan dan kualitas

yang dapat diterima.

Sejauh mana manajemen dengan laporan

(selaras dengan kerangka acuan, ruang

lingkup dan disepakati pada standar

pelaporan) yang mendukung hasil

inisiatif dan memungkinkan fokus pada

masalah utama dan tindakan penting.

220

DOKUMENTASI

Pedoman dan Standar Tata Kelola TI PT.

Jasa Marga (Persero), Tbk

Annual Report PT. Jasa Marga (Persero), Tbk

Master Plan Divisi IT

221

Keputusan Vice P resident IT Tentang Pemberlakuan

Pedoman dan Standar Tata Kelola TI di Divisi IT

222

Salah Satu Prosedur pada Pedoman dan

Standar Tata Kelola TI: Prosedur Pengelolaan

Proyek Teknologi Informasi

Lembar Pengesahan Prosedur

yang Berlaku di Divisi IT

Laporan Performance Kinerja TI pada Divisi IT

223

Pedoman Etika dan Perilaku PT. Jasa Marga (Persero), Tbk

224

Hasil Self Assessment oleh

Divisi IT

Hasil Evaluasi Penyedia Jaminan (Assessment GCG)

evaluasi tata kelola teknologi informasi...

Documents