LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 324 Audit TI untuk Menemukan Pola Best Practice Pengelolaan TI pada Perbankan (Studi Kasus PT. Bank Syariah Mandiri Cabang Denpasar) Shofwan Hanief Email : zwanhanf27@gmail.com Abstrak PT. Bank Syariah Mandiri cabang Denpasar sudah menggunakan TI untuk menunjang proses pelayanan yang dilakukan. Sampai saat ini TI yang ada belum pernah dilakukan penilaian sejauh mana proses-proses tersebut dapat berjalan dengan baik. Agar implementasi IT Governance yang ada di PT. Bank Syariah Mandiri berlangsung secara efektif, organisasi perlu menilai sejauh mana IT Governance yang sekarang berlangsung dan mengidentifikasi peningkatan yang dapat dilakukan. Pengunaan model maturity (kematangan) dalam hal ini akan memudahkan dalam penilaian dengan cara pendekatan yang terstruktur terhadap skala yang mudah dimengerti dan konsisten. Salah satu alat yang digunakan untuk IT Governance adalah COBIT (Control Objectives for Information and Related Technology) yaitu suatu model standar pengelolaan TI yang dapat membantu pihak manajemen dan pemakai untuk menjembatani kesenjangan antara resiko bisnis, kebutuhan kontrol, dan permasalahan teknis.Analisis untuk tingkat kematangan dilakukan dengan cara membandingkan tingkat kematangan yang ada pada saat ini dengan tingkat kematangan yang dituju.Tingkat kematangan saat ini (current maturity level) untuk setiap proses yang ada pada domain Deliver and Support rata-rata berada pada level 2, walaupun ada sebagian kecil yang berada di level 3, bahkan di level 1. Hal ini dapat dikatakan bahwa proses tata kelola TI di PT. Bank Syariah Mandiri cabang Denpasar sudah dilakukan tetapi belum berjalan secara optimal. Kata kunci : Tata kelola TI, Domain Deliver and Support, current maturity level, expected maturity level . 1. Pendahuluan Teknologi Informasi (TI) saat ini menjadi teknologi yang banyak diadopsi oleh hampir seluruh organisasi dan dipercaya dapat membantu meningkatkan efisiensi proses yang berlangsung. Untuk mencapai hal tersebut diperlukan suatu pengelolaan TI yang ada secara terstruktur dan berjalan secara efektif. Perkembangan terbaru dalam TI telah memberikan dampak besar atas bidang audit (auditing). TI telah menginspirasi rekayasa ulang berbagai proses bisnis tradisional untuk mendukung operasi yang lebih efektif dan efisien serta meningkatkan komunikasi dalam entitas serta operasi yang lebih efisien dan untuk meningkatkan komunikasi dalam entitas serta antara entitas dengan para pelanggan dan pemasoknya. Akan tetapi, berbagai kemajuan ini membawa berbagai resiko baru yang membutuhkan pengendalian internal khusus, seperti resiko penyusupan oleh orang yang tidak berwenang, otorisasi yang dapat ditembus oleh pengguna yang tidak berwenang, kehilangan atau ketidak konsistenan data, dan distribusi informasi yang tidak sesuai dengan kebutuhan. Oleh sebab itulah perlu adanya IT Governance di PT. Bank Syariah Mandiri cabang Denpasar. Kesuksesan enterprise governance didapatkan melalui peningkatan dalam efektivitas dan efisiensi dalam proses organisasi yang berhubungan. IT Governance yang menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan organisasi.Peranan IT Governance tidaklah diragukan lagi dalam pencapaian tujuan suatu organisasi yang mengadopsi TI. Seperti fungsi-fungsi manajemen lainnya pada organisasi publik, maka IT Governance yang pada intinya adalah bagaimana mengatur penggunaan TI agar LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 325 menghasilkan output yang maksimal dalam organisasi, membantu proses pengambilan keputusan dan membantu proses pemecahan masalah. Prinsip-prinsip IT Governance harus dilakukan secara terintegrasi, sebagaimana fungsi-fungsi manajemen dilaksanakan secara sistematik dilaksanakan pada sebuah organisasi publik. IT Governance memungkinkan organisasi untuk memperoleh keuntungan penuh dari suatu informasinya, dengan memaksimalkan keuntungan dari peluang dan keuntungan kompetitif yang dimiliki, 0leh karenanya IT Governance juga harus dilakukan pada lingkungan perbankan. Bank merupakan sebuah institusi dengan salah satu tugas yang diembannya adalah memberikan pelayanan kepada nasabah untuk melakukan transaksi-transaksi keuangan . Dalam prosesnya, bank membutuhkan sumber informasi yang mutakhir dan selalu terkini. Pengembangan implementasi teknologi informasi dan komunikasi (TIK) di perbankan merupakan upaya yang sudah seharusnya dilakukan. Agar implementasi IT Governance yang ada di PT. Bank Syariah Mandiri cabang Denpasar dapat berlangsung secara efektif, organisasi perlu menilai sejauh mana IT Governance yang sekarang berlangsung dan mengidentifikasi peningkatan yang dapat dilakukan dengan cara melakukan penilaian terhadap TI yang diterapkan melalui audit TI. Hal tersebut berlaku pada semua proses yang dikelola yang terkandung dalam TI dan proses IT Governance itu sendiri. Pengunaan model maturity (kematangan) dalam hal ini akan memudahkan dalam penilaian dengan cara pendekatan yang terstruktur terhadap skala yang mudah dimengerti dan konsisten. Salah satu tools yang digunakan untuk IT Governance adalah COBIT (Control Objectives for Information and Related Technology) 4.1 yaitu suatu model standar yang menyediakan dokumentasi best practice pengelolaan TI yang dapat membantu pihak manajemen dan pemakai untuk menjembatani kesenjangan antara resiko bisnis, kebutuhan kontrol, dan permasalahan teknis.Berdasarkan hal tersebut dan berdasarkan perencanaan strategi pengembangan yang ada di PT. Bank Syariah Mandiri cabang Denpasar, maka PT. Bank Syariah Mandiri cabang Denpasar perlu menerapkan IT Governance terhadap sistem informasi perbankan dengan menggunakan kerangka kerja COBIT Versi 4.1 khususnya untuk domain Deliver and Support (DS). Dalam pelaksanaannya saat ini di PT. Bank Syariah Mandiri sudah ada mekanisme audit keuangan yang dilakukan setiap periode tertentu. Dimana audit yang dilakuakn mengacu pada audit keuangan dan segala aspek yang terkait didalamnya, termasuk sumber daya manusia yang melakukan operasional sehari-hari. Dari hasil audit tersebut biasanya akan menangani pemasalahan-permasalahan yang berhubungan dengan keuangan perusahaan, seperti selisih, pajak, utang, dan piutang yang bemasalah. Dan dari hasil audit tersebut direkomendasikan suatu cara untuk menangani permasalahan yang terjadi agar perusahaan dapat mengembalikan posisi keuangan dalam kondisi yang normal, dan merekomendasikan beberapa karyawan yang dinilai perlu untuk dilakukan pembekalan ulang untuk ditraining kembali agar bisa menjalankan bisnis perusahaan sesuai dengan job desk yang sudah ditetapkan. Dari hal tersebut diatas, penulis merasa melakukan penelitian terhadap TI yang ada di PT. Bank Syariah Mandiri cabang Denpasar, agar proses bisnis dan operasional yang dilakukan sehari - hari dengan menggunakan TI dapat terukur. 2. Kajian Pustaka 2.1. IT Governance Secara formal pengelolaan TI memiliki definisi sebagai berikut (ITGI, 2000): “Pengelolaan TI adalah suatu struktur dan proses yang saling berhubungan serta mengarahkan dan mengendalikan perusahaan dalam pencapaian tujuan perusahaan melalui nilai tambah dan penyeimbangan antara risiko dan manfaat dari teknologi informasi serta prosesnya”. IT Governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui peningkatan dalam efektivitas dan efisiensi dalam proses perusahaan yangberhubungan. IT LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 326 Governance menyediakan struktur yang menghubungkan proses TI,sumber daya TI dan informasi bagi strategi dan tujuan perusahaan.Lebih jauh lagi IT Governance menggabungkan good (best) practice dari perencanaandan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dansupport, serta memantau kinerja TI untuk memastikan kalau informasi perusahaandan teknologi yang berhubungan mendukung tujuan bisnis perusahaan. Selain definisi di atas pengelolaan TI juga didefinisikan sebagai “Sebuah kerangka kebijakan, prosedur dan kumpulan proses-proses yang bertujuan untuk mengarahkan dan mengendalikan perusahaan dalam rangka pencapaian tujuan perusahaan dengan memberikan tambahan nilai bisnis, melalui penyeimbangan keuntungan dan resiko TI beserta proses-proses yang ada di dalamnya”. IT Governance memungkinkan perusahaan untuk memperoleh keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari peluang dan keuntungan kompetitif yang dimiliki. Menurut hasil penelitian CSIR MIT, terdapat lima kunci keputusan pengelolaan, sehingga teknologi informasi adalah sebuah aset yang strategis. Ke lima kunci tersebut adalah: Pertama, IT Principal. Keputusan teknologi informasi ini adalah kumpulan dari pernyataan- pernyataan level eksekutif tinggi tentang bagaimana teknologi informasi dapat digunakan organisasi Kedua, IT architecture decisions. Dengan mengklarifikasikan teknologi sebagai pendukung bisnis organisasi yang telah dikembangkan melalui principal IT baik secara eksplisit maupun implisit, selanjutnya memerlukan proses standarisasi dan integrasi di dalam suatu organisasi Ketiga, IT Infrastucture. Prasarana dan sarana teknologi informasi yang menyangkut jaringan, komputer, perangkat keras dan lunak lainnya adalah suatu kumpulan komponen yang diharapkan bisa mempercepat proses perhitungan, pengiriman dalam berbagai media informasi (data, informasi, gambar, video, teks) dalam waktu yang singkat dan proses penyimpanan yang efektif. Keempat, kebutuhan aplikasi bisnis. Dalam pengembangan teknologi informasi keperluan bisnis yang spesifik sehingga kehadiran teknologi informasi memberikan suatu nilai baru bagi organisasi. Dua hal penting dalam identifikasi keperluan bisnis yang terkait dengan teknologi informasi yaitu kreativitas dan disiplin. Kelima, IT investment and prioritization. Investasi teknologi informasi sering menjadi bahan yang sulit dimengerti oleh top manajemen dari suatu organisasi, hal ini dikarenakan nilai baru yang ditimbulkan tidak langsung terasa oleh organisasi. 2.2. COBIT (Control Objectives For Information And Related Technology) Alat yang komprehensif untuk menciptakan adanya IT Governance di organisasi adalah penggunaan COBIT (Control Objectives For Information And RelatedTechnology) yang mempertemukan kebutuhan beragam manajemen dengan menjembatani celah antara risiko bisnis, kebutuhan kontrol, dan masalah-masalah teknis TI. COBIT menyediakan referensi best business practice yang mencakup keseluruhan proses bisnis organisasi dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola dan dikendalikan secara efektif. Tujuan utama COBIT adalah memberikan kebijaksanaan yang jelas dan latihan yang bagus bagi IT Governance bagi organisasi di seluruh dunia untuk membantu manajemen senior untuk memahami dan mengatur risiko–risiko yang berhubungan dengan TI. COBIT melakukannya dengan menyediakan kerangka kerja IT Governance dan petunjuk kontrol obyektif yang rinci bagi manajemen, pemilik proses bisnis, pemakai dan auditor. LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 327 2.2.1. Kerangka Kerja COBIT COBIT (Control Objectives For Information And Related Technology) adalah kerangka IT Governance yang ditujukan kepada manajemen, staf pelayanan TI, control departement, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owner’s), untuk memastikan confidenciality, integrity dan availability data serta informasi sensitif dan kritikal. Konsep dasar kerangka kerja COBIT adalah bahwa penentuan kendali dalam TI berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber daya terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model kendali, yaitu model kendali bisnis (business controls model) dan model kendali TI (IT focused control model), COBIT mencoba untuk menjembatani kesenjangan dari kedua jenis kendali tersebut. Pada dasarnya kerangka kerja COBIT terdiri dari 3 tingkatcontrol objectives, yaitu activities dan tasks, process, domains. Activities dan tasks merupakan kegiatan rutin yang memiliki konsep daur hidup, sedangkan task merupakan kegiatan yang dilakukan secara terpisah. Selanjutnya kumpulan activity dan task ini dikelompokan ke dalam proses TI yang memiliki permasalahan pengelolaan TI yang sama dikelompokan ke dalam domains (ITGI,2005). Gambar 1. COBIT cube (ITGI: 2005) COBIT di rancang terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise,Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Berikut kerangka kerja COBIT yang terdiri dari 34 proses TI yang terbagi ke dalam 4 domain pengelolaan, yaitu (ITGI,2005 : P25): Plan and Organise (PO),mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives, yaitu: PO1 - Define a strategic IT plan. PO2 – Define the information architechture. PO3 – Determine technological direction. PO4 – Define the IT processes, organisation and relationships. PO5 - Manage the IT investment. PO6 – Communicate management aims and direction. PO7 – Manage IT human resource. PO8 – Manage quality. PO9 – Asses and manage IT risks. PO10 – Manage projects. Acquire and Implement (AI), domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai dan solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain AI terdiri dari 7 control objectives, yaitu: LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 328 AI1 – Identify automated solutions. AI2 – Acquire and maintain application software. AI3 – Acquire and maintain technology infrastructure. AI4 – Enable operation and use. AI5 – Procure IT resources. AI6 – Manage changes. AI7 – Install and accredit solutions and changes. Deliver and Support (DS), domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain DS terdiri dari 13 controlobjectives, yaitu: DS1 – Define and manage service levels. DS2 – Manage third-party services. DS3 – Manage performance and capacity. DS4 – Ensure continuous service. DS5 – Ensure systems security. DS6 – Identify and allocate costs. DS7 – Educate and train users. DS8 – Manage service desk and incidents. DS9 – Manage the configuration. DS10 – Manage problems. DS11 – Manage data. DS12 – Manage the physical environment. DS13 – Manage operations. Monitor and Evaluate (ME), domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Berikut proses-proses TI pada domain monitoring and evaluate: ME1 – Monitor and evaluate IT performance. ME2 – Monitor and evaluate internal control. ME3 – Ensure regulatory compliance. ME4 – Provide IT Governance. Dengan melakukan kontrol terhadap ke 34 obyektif tersebut, organisasi dapat memperoleh keyakinan akan kelayakan pengelolaan dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung proses TI tersebut tersedia lagi sekitar 215 tujuan kontrol yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi. Karena COBIT berorientasi bisnis, maka untuk memahami control objectives dalam rangka mengelola TI yang terkait dengan risiko bisnis dilakukan dengancara: a. Mulai dengan sasaran bisnis dalam framework. b. Pilih proses dan kontrol TI yang sesuai untuk enterprise dari controlobjectives. c. Operasikan rencana bisnis. d. Menilai prosedur dan hasil dengan pedoman audit. Menilai status organisasi, identifikasi aktivitas yang kritis untuk kesuksesan dan performansi ukuran dalam mencapai tujuan enterprise dengan pedoman manajemen. Manajemen sebuah organisasi akan berfungsi secara efektif apabila para pengambil keputusan selalu ditunjang dengan keberadaan informasi yang berkualitas. COBIT mendeskripsikan karakteristik informasi yang berkualitas menjadi tujuh aspek utama, yaitu masing-masing (ITGI,2005) : LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 329 a. Effectiveness, dimana informasi yang dihasilkan haruslah relevan dan dapat memenuhi kebutuhan dari setiap proses bisnis terkait dan tersedia secara tepat waktu, akurat, konsisten dan dapat dengan mudah diakses. b. Efficiency, dimana informasi dapat diperoleh dan disediakan melalui cara yang ekonomis, terutama terkait dengan konsumsi sumber daya yang dialokasikan. c. Confindentiality, dimana informasi rahasia dan yang bersifat sensitif harus dapat dilindungi atau dijamin keamanannya, terutama dari pihak-pihak yang tidak berhak mengetahuinya. d. Avaibility, dimana informasi haruslah tersedia bilamana dibutuhkan dengan kinerja waktu dan kapabilitas yang diharapkan. e. Compliance, dimana informasi yang dimiliki harus dapat dipertanggungjawabkan kebenarannya dan mengacu pada hukum maupun regulasi yang berlaku, termasuk di dalamnya mengikuti standar nasional atau internasional yang ada. f. Reliability, dimana informasi yang dihasilkan haruslah berasal dari sumber yang dapat dipercaya sehingga tidak menyesatkan para pengambil keputusan yang menggunakan informasi tersebut. Gambar 2. Kerangka kerja COBIT (ITGI,2005) Untuk memastikan hasil yang diperoleh dari proses TI sesuai kebutuhan bisnis, perlu diterapkan kendali-kendali yang tepat terhadap proses TI tersebut. Hasil yang diperoleh perlu diukur dan dibandingkan kesesuaiannya dengan kebutuhan bisnis organisasi secara berkala. Keseluruhan informasi tersebut dihasilkan oleh sebuah TI yang dimiliki organisasi, dimana didalamnya terdapat sejumlah komponen sumber daya penting, yaitu (ITGI, 2005) : a. Aplikasi, yang merupakan sekumpulan program untuk mengolah dan menampilkan data maupun informasi yang dimiliki oleh organisasi. b. Informasi, yang merupakan hasil pengolahan dari data yang merupakan bahan mentah dari setiap informasi yang dihasilkan, dimana di dalamnya terkandung fakta dari aktivitas transaksi dan interaksi sehari-hari masing-masing proses bisnis yang ada di organisasi. c. Infrastruktur, yang terdiri dari sejumlah perangkat keras, infrastruktur teknologi informasi sebagai teknologi pendukung untuk menjalankan portfolio aplikasi yang ada. Selain itu yang termasuk dalam infrastruktur dapat berupa sarana fisik seperti ruangan dan gedung dimana keseluruhan perangkat sistem dan teknologi informasi ditempatkan. d. Manusia, yang merupakan pemakai dan pengelola dari sistem informasi yang dimiliki. 2.2.2. Model Maturity COBIT mempunyai model kematangan untuk mengontrol proses-proses TI dengan menggunakan metode penilaian/scoring sehingga organisasi dapat menilai proses-proses TI yang dimilikinya (skala 0 sampai 5). Maturity Models yang ada pada COBIT dapat dilihat pada gambardibawah ini: LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 330 Gambar 3. Model maturity (ITGI, 2005) Dengan adanya maturity level model, maka organisasi dapat mengetahui posisi kematangannya saat ini, dan secara terus menerus serta berkesinambungan harus berusaha untuk meningkatkan levelnya sampai tingkat tertinggi agar aspek governance terhadap teknologi informasi dapat berjalan secara efektif. Berikut ini adalah tabel yang menjelaskan mengenai model maturity. Tabel 1. Generic Maturity Model 3. METODE PENELITIAN 3.1 Jenis Penelitian Jenis penelitian yang dilakukan oleh penulis yaitu sebagai berikut : a. Penelitian tentang evaluasi tata kelola TI bersifat penelitian deskriptif,artinya hasil penelitian disampaikan dalam bentuk deskripsi yang bersifat kualitatif maupun kuantitatif. b. Selain itu Penelitian ini bersifat eksploratif artinya penelitian dilakukan dengan cara menggali informasi untuk pengelolaan TI yang berlangsung di PT. Bank Syariah Mandiri Cabang Denpasar. c. Penelitian ini dilakukan di PT. Bank Syariah mandiri cabang Denpasar yang beralamat di Jl. Teuku Umar no.177 selama 3 bulan. 3.2. Perancangan Penelitian Dalam melakukan penelitian ini, penulis melakukan langkah-langkah penelitian tata kelola TI di PT. Bank Syariah Mandiri cabang Denpasar yang diilustrasikan sepertigambar berikut. Gambar 4. Langkah-langkah Penelitian a. Studi awal Dalam melakukan studi awal, penulis melakukan : pencarian materi, pembuatan draf kuesioner, serta mempelajari sistem informasi dan teknologi informasi yang diterapkan di perusahaan tersebut. LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 331 b. Pengumpulan data Padatahapan ini, penulis melakukan pengumpulan data yang diperoleh dengan cara wawancara, observasi dan pemberian kuesioner kepada beberapa karyawan di perusahaan tersebut, juga melakukan public hearing untuk menggali informasi mengenai tata kelola di PT. Bank Syarian Mandiri c. Pengolahan data Pada tahapan ini, penulis melakukan pengolahan data dari kuesioner yang di isi oleh para responden dengan cara melakukan pemetaan terhadap Framework COBIT 4.1 pada domain dengan hasilnya berupa tingkat maturity. d. Analisa data dan control objective Pada tahapan ini, penulis melakukan analisa data dan control objective yang diperoleh dari tingkat maturity, dengan mencari mekanisme best practice dalam melakukan pengukuran maturity level pada PT. Bank Syariah Mandiri cabang Denpasar. e. Kesimpulan dan saran Pada tahap akhir penulis membuat kesimpulan dan saran dari semua proses penelitian yang dilakukan. 3.3. Metode Pemilihan Sampel Sebelum melakukan pemilihan sampel dalam penelitian ini, penulis membuat populasi sampel seperti yang dapat pada tabel berikut. Tabel 2. Populasi Sampel Dari populasi sampel tersebut di atas, maka penulis menggunakan metode pemilihan sampel dengan menggunakan teknik purposive sampling. Melalui teknik ini, pemilihan sample dilakukan berdasarkan tujuan dari penelitian dan pertimbangan-pertimbangan tertentu. Pertimbangan itu adalah, pertama sample yang dipilih merupakan manajemen dari PT. Bank Syariah Mandiri, kedua sample yang dipilih merupakan sampel yang bersentuhan langsung dengan teknologi informasi yang diterapkandi perusahaan tersebut dalam karyawan yang mengelola TI atau karyawan yang mempunyai wawasan di bidang TI, dalam hal ini karyawan yang mempunyai wawasan tentang TI ditempatkan di back office,Ketiga, sampel yang dipilih merupakan pengguna langsung dari sistem informasi di perusahaan tersebut dalam hal ini staff operasional dan back office. 3.4. Instrumentasi Penelitian Instrument yang digunakan dalam penelitian ini adalah berupa kuesioner. Kuesioner disusun dan dikelompokan berdasarkan proses, dimana setiap proses dibagi menurut level, pada setiap level di sajikan butir-butir pertanyaan yang bersifat “endclose”. Berikut ini sebaran kuesioner menurut masing-masing proses dapat dilihat pada tabel berikut ini. Tabel 3. Instrumentasi Penelitian LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 332 3.5. Metode Pengumpulan Data Metode pengumpulan data merupakan bagian paling penting dalam sebuah penelitian. Ketersediaan data akan sangat menentukan dalam proses pengolahan dan analisa selanjutnya. Karenanya, dalam pengumpulan data harus dilakukan teknik yang menjamin bahwa data diperoleh itu benar, akurat dan bisa dipertanggungjawabkan sehingga hasil pengolahan dan analisa data tidak bias. Data yang dikumpulkan dalam penelitian ini merupakan data primer dan sekunder yang diperoleh dari berbagai sumber. Teknik pengumpulannya dilakukan melalui beberapa langkah yakni: a. Data primer diperoleh melalui : 1. Wawancara, yaitu dengan melakukan tanya jawab dengan seseorang untuk mendapatkan keterangan atau pendapatnya akan suatu hal atau masalah. 2. Observasi, yaitu dilakukan dengan melakukan pengamatan secara langsung terhadap obyek penelitian, selama periode waktu tertentu. 3. Metode Survei, yaitu dengan menggunakan kuesioner yang dibagikan kepada responden yang terpilih sebagai sampel dalam penelitian. Kuesioner berisi daftar pertanyaan yang ditujukan kepada responden untuk diisi. Dengan demikian, peneliti akan memperoleh data atau fakta yang bersifat teoritis yang memiliki hubungan dengan permasalahan yang akan dibahas. b. Data sekunder meliputi struktur organisasi, infrastruktur TI, gambaran sistem informasi di perusahaan tersebut, dan lain-lain. Data sekunder diperoleh melalui: 1. Studi dokumentasi Studi dokumentasi digunakan untuk mencari data-data sekunder yang dibutuhkan dalam melakukan tata kelola TI yang ada. 2. Akses internet Akses internet digunakan untuk mencari data-data pendukung dari berbagai buku, ebook, maupun jurnal-jurnal yang disediakan di internet. 3. Studi yang relevan Studi yang relevan ini digunakan sebagai acuan dalam melakukan penelitian. 3.6. Metode Pengolahan Data Proses pengolahan data yang dilakukan dalam penelitian ini adalah sebagai berikut : a. Pengolahan data kuantitatif hanya dilakukan pada pengolahan tingkat maturity b. Pengolahan tingkat maturity dilakukan pada masing-masing proses untuk setiap responden. Dilakukan dengan mempertimbangkan jumlah level, jumlah kuisioner pada masing-masing level. c. Agregasi tingkat maturity semua responden dilakukan dengan cara menghitung rata-rata aritmatik. d. Hasil agregasi disajikan dalam bentuk tabel dan grafik radar. Dikarenakan pengolahan data tingkat maturity dilakukan dengan teknik-teknik yang sederhana, maka rangkaian prosedur pengolahan tidak dikemas dalam bentuk program. 3.7. Teknik Analisis Teknik analisis yang dilakukan pada penelitian ini dilakukan dengan beberapa cara, yaitu sebagai berikut : a. Untuk memperoleh gambaran tata kelola saat ini, analisis dikembangkan dengan cara mensintesakan hasil-hasil yang terkumpul melalui kuesioner. b. Analisis untuk maturity dilakukan dengan cara membandingkan tingkat maturity yang ada pada saat ini dengan tingkat maturity yang dituju LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 333 c. Kesenjangan antara yang diperoleh saat ini dengan yang dituju merupakan indikator dalam dalam rumusan rekomendasi perbaikan tata kelola. 3.8. Pengembangan Kuesioner Pada penelitian ini survei dengan metode kuesioner dikembangkan dalam 5 level kedewasaan disetiap domainnya, sehingga akan lebih mudah untuk memetakan pertanyaan-pertanyaan di setiap level tersebut kedalam subdomain yang ada pada domain DS. Contoh Kuesioner yang dikembangkan oleh penulis untuk mendapatkan hasil tingkat maturitas domain DS pada PT. Bank Syariah Mandiri cabang Denpasar beserta pemetaan terhadap subdomain yang ada dan level kedewasaan pada masing-masing domainnya dapat dilihat pada tabel 4. Tabel 4. Kuisioner Domain DS 1 dan Level Kedewasaan Pada contoh tabel 4, disusun pertanyaan-pertanyaan dalam bentuk kuesioner, dimana masing- masing pertanyaan dibagi menjadi atas 6 level kedewasaan (level 0 -5) untuk mendapatkan perhitungan yang akurat terhadap domain DS 1 pada framework COBIT 4.1 dalam hal ini Menetapkan dan Mengelola Tingkat Layanan. Hal ini dilakukan juga untuk setiap domain DS yang lainnya. 4. PEMBAHASAN 4.1. Kuesioner Kuesioner berisi daftar pertanyaan yang akan ditanyakan langsung kepada pegawai yang berwenang sehubungan dengan bidangnya. Kuesioner bertujuan untuk mendapatkan bukti yang kompeten (berhubungan) guna mendukung kesimpulan yang akan diambil. Adapun kuesioner yang dibuat adalah kuesioner Menetapkan dan Mengelola Tingkat Layanan (DS 1), Mengelola Layanan Dari Pihak Ketiga (DS 2), Mengatur Kinerja dan Kapasitas (DS 3), Menjamin Keberlangungan Layanan (DS 4), Pengendalian Manajemen Keamanan (DS 5), Mengidentifikasi Dan Mengalokasikan Biaya (DS 6), Mengedukasi dan Melatih User (DS 7), Mengelola Service Desk dan Masalah (DS 8), Mengatur Konfigurasi (DS 9), Mengelola Masalah (DS 10), Pengendalian Manajemen Data (DS 11), Mengatur Lingkungan Fisik (DS 12), dan Mengatur Operasional (DS 13). Tabel kuesioner disusun terdiri dari enam kolom yaitu: 1) Kolom no urut pertanyaan. 2) Kolom pertanyaan terhadap pengendalian 3) Kolom jawaban. 4) Kolom penilaian. Pengendalian pada Domain DS terhadap TI di PT. Bank Syariah Mandiri Cabang Denpasar perlu dilakukan untuk mendapatkan level kedewasaan terhadap domain DS pada Framework COBIT 4.1 di TI perusahaan yang saat ini sudah ada. Disamping itu, tujuan audit TI ini dilakukan juga untuk melakukan pembenahan terhadap TI yang pada saat dihitung nanti tidak sesuai dengan harapan dari PT. Bank Syariah Mandiri Cabang Denpasar, dimana harapan dari perusahaan, TI yang sudah ada saat ini berada pada level 3. Penilaiankuesioner pada Domain DS ini menggunakan suatu ceklist yang berisi setiap segi mutu LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 334 yang dinilai. Dalam penilaian kualitatif pada suatu ceklist digunakan sistempembobotan menggunakan skala : 0,00=tidak sama sekali 0,33=sedikit 0,66=sebagian besar 1,00= seluruhnya 4.2. Pengolahan Data Kuesioner Contoh Hasil kuesioner mengenai domain DS pada framework COBIT 4.1 dapat dilihat pada tabel 5. Kuesioner dipecah menjadi 6 bagian dengan menyusun pertanyaan berdasarkan level kedewasaan. Perhitungan skor kuesioner ini dihitung untuk setiap respondennya di setiap level kedewasaan. Tabel 6 menjelaskan contoh perhitungan kuisioner DS 1. Pada kolom tingkat kepatutan merupakan skor yang didapatkan dengan cara menjumlahkan total nilai dari kuisioner yang diisi, setelah didapatkan maka dibagi dengan banyaknya soal yang terdapat pada level kedewasaan di domain tersebut. Sedangkan kolom total tingkat kepatutan merupakan nilai yang dibagi dengan mencari rata-rata dari setiap level kedewasaan. 4.3. Tingkat Maturitas Pengelolaan TI PT. Bank Syariah Mandiri Cabang Denpasar Dari hasil perhitungan kuesioner pada Domain DS, maka didapatkan tingkat maturitas untuk pengelolaan TI di PT. Bank Syariah Mandiri Cabang Denpasar dapat disajikan dalam gambar 5. Gambar 5. Grafik Radar Tingkat Kematangan Pengelolaan Teknologi Informasi PT. Bank Syariah Mandiri Cabang Denpasar Pada Domain DS 5. KESIMPULAN Setelah dilakukan penelitian audit TI yang dilakukan di PT. Bank Syariah Mandiri cabang Denpasar, ada beberapa kesimpulan yang dapat diambil adalah sebagai berikut : a. Tata kelola TI PT. Bank Syariah Mandiri cabang Denpasar sudah dilakukan walaupun masih belum berjalan secara optimal karena belum mencapai pada tingkat kematangan yang diharapkan yaitu level 3 (Perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari). b. Maturity Level yang ada pada setiap proses TI yang terdapat dalam domain Deliver and Support (DS) rata-rata berada pada level 2 (Perusahaan telah memiliki pola yang berulangkali dilakukan dalam melakukan manajemen aktivitas terkait dengan pengelolaan TI, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi Tabel 5. Perhitungan Skor Responden Terhadap Domain DS 1 Tabel 6. Tingkat Kedewasaan Proses TI Domain DS 1 LONTAR KOMPUTER VOL. 4 NO. 2DESEMBER 2013 ISSN: 2088-1541 335 ketidakkonsistenan) sehingga masih perlu dilakukan perbaikan terhadap proses-proses yang telah berjalan baik itu bersifat prioriras maupun super proiritas. Proses yang perlu diperbaiki untuk semua proses yang prioritas yaitu : 1. DS1 = 2.83 2. DS3 = 2.57 3. DS9 = 2.7 Sedangkan untuk superprioritas yaitu 1. DS2 = 2.00 2. DS4 = 2.43 3. DS6 = 2.39 4. DS7 = 1.79 5. DS8 = 1.14 6. DS10 = 2.05 7. DS12 = 2.48 8. DS13 = 2.36 c. Ada 2 proses tata kelola TI yang harus dipertahankan, yaitu pada domain DS 5 dan DS 11. Sedangkan pada domain DS yang lainnya proses tata kelola TI perlu diperbaiki, karena masih berada pada level 2.Rata-rata proses tata kelola TI menjadi superprioritas. Superprioritas utama berada pada proses DS 2, DS 7, DS 4, DS 6, DS 8, DS 10, DS 12, DS 13 sedangkan prioritas utama berada pada proses DS 1, DS 3, DS 9. Walaupun teknologi informasi PT. Bank Syariah Mandiri cabang Denpasarsudah berjalan selama 9 tahun, ternyata sebagian besar proses masih perlu diperbaiki bahkan sampai pada penanganan yang bersifat superprioritas. a. Melakukan evaluasi tata kelola selain untuk mengetahui tingkat kematangan tiap proses TI pada setiap domain, juga untuk menetapkan indikator kinerja dan tujuan (KPI dan KGI) dan critical success factor (CSF). b. Evaluasi tata kelola TI untuk selanjutnya dapat dilakukan pada semua proses yang ada pada 4 domain dalam COBIT, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) dan Monitor and Evaluate (ME), untuk mendapatkan hasil evaluasi yang lebih lengkap dan disarankan dapat dilakukan secara rutin setiap periode waktu tertentu (secara periodik), agar tingkat kematangan yang diinginkan dapat dicapai. DAFTAR PUSTAKA [1]. Appendix IV—COBIT 4.1 Primary Reference Material . ... Appendix V—Cross-references Between COBIT 3rd Edition and COBIT 4.1, http://www.trainning.com.br/download/COBIT_41.pdf.[diunduh:3 Desember 2010]. [2]. Dajtmiko, Bambang. 2007. Audit Sistem Informasi Untuk Menilai Proses Penyampaian dan Dukungan (Delivery and Support) Dalam Pelayanan Informasi Dengan Menggunakan Framework COBIT Studi Kasus : PT. Telekomunikasi Indonesia, Tbk. R&D Center. Program Magister Informatika, Sekolah Tinggi Elektro dan Informatika Institut Teknologi Bandung. [3]. Riasetiawan, Mardhani. 2007. Pembuatan Pedoman Tata Kelola Teknologi Informasi Menggunakan IT Governance Design Framework Pada UGM. Program Studi Magister Teknologi Informasi, Jurusan Teknik Elekto Yogyakarta. [4]. Solikin. 2004. Pengelolaan Informasi Sekolah Tinggi Manajemen Informatika dan Komputer “AMIK BANDUNG. Program Magister Sistem Informasi, Departemen Teknik Informatika Institut Teknologi Bandung. [5]. Sarno, Riyanarto., 2009. Audit Sistem dan Teknologi Informasi. Cetakan pertama. Surabaya: ITS Press. [6]. Sugiyono, 2004. Metodologi Penelitian Bisnis. Cetakan ketujuh. Bandung: Alfabeta [7]. Surendro, K., 2009. Implementasi Tata Kelola Teknologi Informasi, Informatika, Bandung. http://www.trainning.com.br/download/COBIT_41.pdf