TUGAS MAKALAH AUDIT SISTEM INFORMASI COBIT

Disusun Oleh : 1. Faisal Puri C. 2. Ida Sulistiyoningsih 3. Rezha Rifki F. 4. Siska Widya P. 4.43.09.1.10 4.43.09.1.13 4.43.09.1.20 4.43.09.1.21

PROGRAM STUDI AKUNTANSI JURUSAN AKUNTANSI POLITEKNIK NEGERI SEMARANG 2013

BAB I PENDAHULUAN

1.

Latar Belakang COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk).

COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) dan praktik baik (good practice) untuk mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT. Dalam pembahasan ini, ada beberapa hal mengenai sistem manajemen data yang dibahas. Hal-hal yang dibahas secara umum ada dua, yaitu: 1) definisi COBIT, 2) sejarah COBIT, 3) manfaat COBIT, dan 4) perbedaan versi COBIT . 2. Rumusan Masalah Berdasarkan latar belakang di atas, maka masalah pokok pada pembahasan ini adalah: a. Apakah yang dimaksud COBIT? b. Bagaimana sejarah COBIT? c. Apa saja manfaat dan perbedaan versi COBIT?

3.

Tujuan Tujuan dari pembahasan sistem manajemen data adalah:

a. b. c.

Menjelaskan tentang COBIT Menjelaskan sejarah COBIT Menyebutkan dan menjelaskan tentang manfaat dan perbedaan versi COBIT.

BAB II PEMBAHASAN 2.1 Pengertian COBIT - The ISACA Framework (Kerangka ISACA) COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk). COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) dan praktik baik (good practice) untuk mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT. 2.2 Sejarah Perkembangan COBIT COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT. COBIT terdiri atas 4 domain, yaitu : a.) Planning and Organizing, b.) Acquisition and Implementation, c.) Delivery and Support, d.) Monitoring and Evaluation.

2.3 Manfaat COBIT Manfaat dalam penerapan COBIT ini antara lain : a. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis. b. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif. c. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang reliable dan efisien. d. Mengelola resiko terkait TI pada tingkatan yang dapat diterima. e. Mengoptimalkan biaya dari layanan dan teknologi TI. f. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan. 2.4 COBIT Versi 4.1 2.4.1 Kerangka Kerja Kerangka kerja pengendalian COBIT terdiri dari empat hal, yakni : a. Mengaitkannya dengan tujuan organisasi, b. Mengorganisasikan aktivitas TI ke dalam model proses, c. Mengidentifikasi sumber daya utama TI untuk melakukan percepatan, d. Mendefinisikan tujuan pengendalian manajemen untuk dipertimbangkan.

COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses, kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa (primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi informasi yang mana. 1. Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut : a. Merencanakan dan mengorganisasikan, b. Memperoleh dan mengimplementasikan, c. Melaksanakan dan mendukung, d. Memonitor dan mengevaluasi. 2. Proses yang berjumlah 34, terdiri dari PO1 sampai PO10 (indikator Plan dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1 sampai DS13 (indikator Direct dan Support), serta ME1 sampai ME4 (indikator Monitor dan Evaluate). 3. Kriteria informasi, yang meliputi tujuh hal berikut ini : COBIT menetapkan standar penilaian terhadap sumber daya teknologi informasi dengan kriteria sebagai berikut:

a. Efektivitas : untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu. b. Efisiensi : memfokuskan pada ketentuan informasi melalui pengunaan sumber daya yang optimal. c. Kerahasiaan : memfokuskan proteksi terhadap informasi yang penting dari yang tidak memiliki otorisasi. d. Integritas : berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis. e. Ketersediaan : berhubungan dengan informasi yang tersedian ketika diperlukan dalam proses bisnis sekarang dan yang akan datang. f. Kepatuhan : sesuai menurut hukum, peraturan, dan rencana perjanjian untuk proses bisnis. g. Keakuratan informasi : berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan dan kelengkapan laporan pertanggungjawaban. 4. Sumber daya teknologi informasi,meliputi : Sistem aplikasi, Informasi, Infrastruktur, dan Personil. 2.5 COBIT Maturity Model COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial,

2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008). Model kematangan (maturity models) tersebut seperti terlihat dalam Gambar berikut:

Gambar Maturity Model (Sumber: IT Governance Institute, 2007) 2.6 COBIT 5 2.6.1 COBIT 5 Product Family The Overarching Framework Product

2.6.2 COBIT 5 Value Creation (Nilai Penciptaan) a. Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan menejemen yang baik dari aset-aset informasi dan teknologi, termasuk pengaturan pengamanan informasi.

b. Kebutuhan para penegak hukum, pembuat peraturan dan pembuat kontrak yang diluar perusahaan (hukum luar, peraturan dan kontrak kepatuhan) berhubungan dengan penggunaan informasi dan teknologi yang semakin meningkat diperusaahaan, menjadi ancaman jika terjadi kebocoran. c. COBIT 5 menyediakan kerangka kerja yang lengkap (kerangka komprehensif) yang membantu perusahaan untuk mencapai target mereka dan memberikan nilai melalui tata kelola dan menejemen perusahaan yang baik dibidang IT menyediakan dasar yang kuat untuk pengaturan keamanan informasi. 2.6.3 COBIT 5 Framework (Kerangka Kerja) a. Seperti yang telah dijelaskan, COBIT 5 membantu perusahaan untuk menciptakan nilai IT yang optimal dengan menjaga keseimbangan antara mewujudkan manfaat dan mengoptimalisasi tingkat resiko dan sumber yang digunakan. b. COBIT memungkinkan informasi dan teknologi yang berhubungan untuk dikelolah dan diatur dengan cara yang menyeluruh pada setiap bagian perusahaan, mengambil peran penuh pada bisnis dan area fungsional dari tanggung jawab perusahaan, dengan

mempertimbangkan bahwa IT berhubungan dengan stakeholders yang berasal dari internal dan eksternal perusahaan. c. COBIT 5 Principle dan Enablers adalah umum dan bermanfaat untuk semua ukuran perusahaan, baik itu komersial ataupun tidak, atau untuk penyedia layanan publik.

COBIT 5 Principle dan Enabler

Kerangka kerja ini membahas bisnis maupun IT bidang fungsional disuatu perusahaan dan mempertimbangkan TI terkait kepentingan stakeholder internal & eksternal. Berdasarkan 5 prinsip COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen perusahaan TI: a. Prinsip 1: pertemuan pemangku kepentingan kebutuhan b. Prnsip 2: meliputi Enterprise end-to-end c. Prinsip 3: menerapkan kerangka, single terpadu d. Prinsip 4: mengaktifkan pendekatan kebutuhan e. P r i n s i p

5: tata pemisahan dari manajemen Dan kerangka COBIT 5 juga menjelaskan 7 kategori enabler: a. Prinsip kebijakan dan kerangka kerja adalah cara untuk menerjemahkan perilaku yang diinginkan menjadi panduan praktis manajemen. b. Proses menggambarkan aturan praktekterorganisir dan kegiatan untuk mencapai tujuan tertentu dan menghasilkan output dalam mendukung pencapaian keseluruhan TI tujuan yang terkait. c. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam suatu perusahaan. d. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan manajemen.

e. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan teratur, tetapi pada tingkat operasional, informasi adalah hal utama dari perusahaan itu sendiri. f. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan aplikasi yang menyediakan perusahaan dengan pengelolaan informasi teknologi dan jasa. g. Orang-orang (SDM), keterampilan, dan kompetensi yang diperlukan untuk keberhasilan menyelesaikan semua kegiatan, dan untuk membuat keputusan yang benar dan mengambil tindakan korektif. Tata kelola dan manajemen, Governance memastikan bahwa tujuan perusahaan yang dicapai dengan cara mengevaluasi kebutuhan pemangku kepentingan, kondisi dan pilihan, menetapkan arah melalui prioritas dan pengambilan keputusan, dan pemantauan kinerja, kepatuhan dan kemajuan terhadap setuju pada arah dan tujuan (EDM). Rencana manajemen, membangun, berjalan dan kegiatan monitor sejalan dengan arah yang ditetapkan oleh badan pemerintahan untuk mencapai tujuan perusahaan (PBRM). Dalam ringkasan COBIT 5 menyatukan lima prinsip yang memungkinkan perusahaan untuk membangun pemerintahan yang efektif dan kerangka kerja manajemen berdasarkan holistik, tujuh enabler yang mengoptimalkan informasi dan investasi teknologi dan penggunaan kepentingan stakeholder. Penggunaan COBIT 5 untuk keamanan informasi dapat membantu perusahaan dari semua sisi: a. Mengurangi kompleksitas dan meningkatkan efektifitas biaya. b. Meningkatkan kepuasan pengguna dengan pengaturan keamanan informasi dan hasil. c. Meningkatkan integrasi keamanan informasi. d. Memberikan informasi keputusan resiko dan risk awareness. e. Mengurangi insiden keamanan informasi. f. Meningkatkan dukungan untuk inovasi dan daya saing.

COBIT 5 Enabling Prosesses Governance and Management a. Tata kelola (governance) memanstikan bahwa tujuan perusahaan dapat dicapai dengan melakukan evaluasi (evaluating) terhadap kebutuhan, kondisi dan pilihan stakeholder; menetapkan arah (direction) melalui skala prioritas dan pengambilan kepeutusan; dan pengawasan (monitoring) pada saat pelaksanaan, penyesuaian dan kemajuan terhadap arah dan tujuan yang telah disetujui (EDM). b. Management plans, builds, runs and mionitors (PBMR) aktifitas-aktifitas yang selaras dengan arah yang telah ditentukan oleh badan pemerintahan untuk mencapai tujuan perusahaan. 2.6.4 COBIT 5 Integrates Earlier ISACA Frameworks COBIT 5 telah memperjelas proses menejemen tiap tingkatan dan menggabungkan isi dari COBIT 4.1, Val IT dan Risk IT menjadi satu model proses.

2.6.5 COBIT 5 Integrates BMIS Components Too COBIT 5 juga telah menyertakan model pendekatan yang menyeluruh, berhubungan atar tiap komponen dari cara kerja Business Model for Information Security (BMIS) dan menggabungkannya kedalam komponen kerangka kerja.

Perkenalan tentang BMIS (Business Model for Information Security) a. Sebuah pendekatan yang menyeluruh dan business-oriented untuk mengatur keamanan informasi (information security), dan sebuah istilah yang umum untuk keamanan informasi serta menejemen bisnis yang berbicara tentang menejemen bisnis yang berbicara tentang perlindungan informasi (Information Protection). b. BMIS menantang pemikiran yang tradisional dan memungkinkan kita untuk melakukan evaluasi ulang secara kretif terhadap investasi yang dilakukan pada keamanan informasi. c. BMIS menyediakan penjelasan secara mendalam untuk keseluruhan model bisnis yang memeriksa masalah keamanan dari sudut pandang sistem.

2.6.6 COBIT 5 Integrates BMIS Components a. Beberapa dari komponen BMIS saat ini telah terintegrasi kedalam COBIT 5 sebagai pendorong (interacting enablers) yang mendukung perusahaan untuk mencapai tujuan bisnisnya dan menciptakan stakeholder value : a. Organisasi, b. Orang, c. Budaya, d. Teknologi, e. Faktor manusia. b. Komponen BMIS yang lain sebenarnya berhubungan dengan aspek yang lebih besar pada kerangka COBIT 5 : a. Govering Dimensi dari aktifitas tata kelola (evaluate, direct, monitorISO/IEC 38500) ditujukkan pada tingkatan perusahaan dalam kerangka kerja COBIT 5. b. Architecture (termasuk proses model) COBIT 5 mencakup kebutuhan yang ditujukan untuk aspek arsitektur perusahaan yang menghubungkan organisasi dengan teknologi secara efektif. c. Emergence Sifat yang menyeluruh dn terpadu dari pendukung COBIT 5 mendukung perusahaan untuk beradaptasi dengan perusahaan yang terjadi pada kebutuhan stakeholder dan enabler capabilities sesuai kebutuhan. 2.6.7 COBIT 5 Implementasi a. Perkembangan dari the Governance of Enterprise IT (GEIT) secara luas diakui oleh top menejemen sebagai bagian penting dari tata kelola perusahaan. b. Informasi dn kegunaan dari teknologi informasi terus berkembang menjadi bagian dari setiap aspek bisnis dan kehidupan. c. Kebutuhan untuk menggunakan lebih banyak manfaat dari investasi IT dan mengelola berbagai peningkatan resiko yang terkait dengan IT, termasuk resiko keamanan. d. Meningkatnya peraturan dan perundangan pada penggunaan dan keamanan informasi bisnis juga menyebabkan meningkatnya kewaspadaan terhadap pentingnya penggunaan tata kelola yang baik (well-governed), pengaturan dan pengamanan penggunaan IT.

e. ISACA telah mengembangkan kerangka kerja COBIT 5 untuk membantu perusahaan menggunakan pembangkit tata kelola yang sehat (sound governance enablers). f. Menerapkan GEIT yang baik hampir tidak mungkin tanpa melibatkan kerangka kerja tata kelola yang efektif. Praktik terbaik dan standart juga tersedia untuk mendukung COBIT 5. g. Bagaimanapun juga, kerangka kerja, praktik terbaik dan standr hanya berguna jika digunakan dan disesuaikan secara efektif. Tedapat banyak tantangan yang ditemui dan masalah yang harus ditangani berhubungan hal tersebut jika ingin GEIT dapat diimplementasikan dengan sukses. h. Penerapan COBIT 5 mencangkup : Penentuan posisi GEIT pada perusahaan. Mengambil langkah pertama menuju perbaikan GEIT. Pelaksanaan tantangan dan faktor keberhasilan. Memungkinkan GEIT yang terkait dengan perubahan dan perilaku organisasi. Menerapkan perbaikan yang berkelanjutan yang mencangkup

pemberdayaan perubahan dan menejemen program. Menggunakan COBIT 5 dan komponen-komponennya.

COBIT 5 Implementation

2.6.8 COBIT 5 Produk Keluarga Includes an Information Security Member

COBIT 5 and Information Security

COBIT 5 menangani tentang keamanan informasi terutama : a. Fokus pada sistem manajemen keamanan informasi (ISMS) dalam menyelaraskan, merencanakan dan mengatur (APO) domain manajemen, APO 13 mengelola keamanan, menetapkan keunggulan keamanan informasi dalam kerangka proses COBIT 5. b. Proses ini menyoroti kebutuhan untuk manajemen perusahaan untuk merencanakan dan membangun ISMS yang sesuai untuk mendukung prinsip-prinsip tata kelola informasi keamanan dan keamanan-dampak tujuan bisnis yang dihasilkan dari domain, mengevaluasi dan monitor langsung (EDM) pemerintahan. c. COBIT 5 untuk keamanan informasi akan menjadi pandangan diperpanjang dari COBIT 5 yang menjelaskan setiap komponen COBIT 5 dari perspektif keamanan informasi. d. Nilai tambah bagi konstituen keamanan informasi akan diciptakan melalui penjelasan tambahan, aktivitas, proses dan rekomendasi.

e. Ini COBIT 5 untuk tata kelola keamanan informasi dan manajemen yang akan memberikan profesional keamanan pedoman yang rinci untuk menggunakan COBIT 5 karena mereka menetapkan, menerapkan dan memelihara keamanan informasi dalam kebijakan bisnis, proses dan struktur dari sebuah perusahaan. 2.7 IT IL ( Information Technology Infrastructure Library) IT Infrastructure Library (ITIL) merupakan sebuah framework yang memberikan panduan (guidance) mengenai pengelolaan IT berbasis layanan yang telah banyak diadopsi oleh berbagai organisasi dan perusahaan diberbagai industri dan sektor. Apabila ITIL diterapkan secara tepat, maka akan memberikan manfaat yang optimal dalam memudahkan pengelolaan layanan IT, meningkatkan kualitas layanan IT, bahkan sampai membuahkan kepuasan pengguna layanan IT. ITIL juga diartikan sebagai best practice dari Service Management IT dan menjadi pilihan terpopuler saat ini sebagai framework analyst business seorang/sebuah client untuk defining roadmap bisnis dan infrastruktur IT yang konsisten dan komprehensif, agar bisnis perusahaan (business plan/strategy) sejalan dengan IT dan infrastruktur-nya. Sehingga kedepannya dapat mencapai kualitas dukungan layanan IT yang terkelola.

ITIL mencakup delapan kumpulan yaitu: 1. Service Support, 2. Service Delivery, 3. Planning to Implement Service Management, 4. ICT Infrastructure Management, 5. Application Management, 6. Business Perspective, 7. Security Management, 8. Software Asset Management. Tiga diantaranya, yaitu Service Support, Service Delivery, dan Security Management merupakan area utama, yang disebut juga IT Service Management (ITSM). Pada dasarnya, kerangka kerja ITIL bertujuan secara kelanjutan meningkatkan efisiensi operasional TI dan kualitas layanan pelanggan. Kerangka kerja yang

diberikan belum memberikan panduan pengelolaan TI yang memenuhi kebutuhan ditingkat yang lebih tinggi (high level objective) di perusahaan sepert COBIT yang dibahas sebelumnya. 2.8 ISO/IEC 17799 ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electronical Commission (IEC). ISO/IEC 17799 adalah

panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk memastikan keaman informasi perusahaan. ISO IEC 17799 bertujuan memperkuat tiga elemen dasar keamanan informasi , yaitu: Confidentiality, Integrity, Availability. ISO IEC 17799 disajikan dalam entuk panduan dan rekomendasi yang terdiri dari 36 security objectives dan 127 security controls yang dikelompokkan kedalam 10 domain keamanan informasi. Berikut 10 domain keamanan informasi ISO IEC 17799, yaitu Security Policy, Organizational Security, Asset Classification And Control, Personel Security, Physical And Environmental Security, Communications And Operation

Management, Access Control, Syestem Development And Maintenance, Business Continuity Management, Compliance.

BAB III STUDY KASUS EVALUASI TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA COBIT DALAM MENDUKUNG LAYANAN SISTEM INFORMASI AKADEMIK STUDI KASUS : UNIVERSITAS BUDI LUHUR

3.1 Analisis Kondisi Tata Kelola TI Sistem Informasi Akademik Universitas Budi Luhur Untuk mengetahui kondisi tata kelola TI sistem informasi akademik Universitas Budi Luhur dilakukan tiga tahap analisis yaitupertama melakukan analisis kedudukan fungsi TI di Universitas Budi Luhur kemudian dilanjutkan dengan melakukan analisis kondisi saat ini tata kelola TI sistem informasi akademik Universitas Budi Luhur dan diakhiri dengan analisis tingkat kematangan tata kelola TI sistem informasi akademik Universitas Budi Luhur menggunakan kerangka kerja COBIT khususnya domain penyampaian & dukungan (deliver & support) dan domain pengawasan dan evaluasi (monitor and evaluate).

3.1.1 Analisis Kedudukan Fungsi TI Fungsi TI Universitas Budi Luhurberada pada Biro Sistem Informasi (BSI) yang dalam struktur organisasi keberadaannya di bawah Deputi Bidang Penjaminan Mutu. BSI mempunyai wewenang untuk menyediakan hal-hal yang berkaitan dalam pelayanan sistem informasi untuk mendukung kegiatan di lingkungan Universitas Budi Luhur termasuk di dalamnya sistem informasi akademik. Sedangkan tanggung jawab BSI antara lain adalah : 3.1.2.Analisis Kondisi Tata Kelola TI Saat Ini Kondisi kemampuan tata kelola TI saat ini dari sistem informasi akade mik Universitas Budi Luhur dapat diidentifikasi melalui analisis tingkat kematangan yang mengacu pada tingkat kematangan COBIT khususnya domain penyampaian & dukungan dan domain pengawasan dan evaluasi. COBIT memiliki 6 tingkat kematangan TI, seperti tertera pada Tabel 1 di bawah ini : Tabel 1. Tingkat Kematangan COBIT

Tingkat Kematangan 0-Non- Existent

Nilai Kematangan 0,00 - 0,50

Keterangan

Proses pengelolaan tidak diterapkan

1-Initial/Ad Hoc

0,51 - 1,50

Proses pengelolaan dilakukan secara tidak berkala dan tidak terorganisir

2- Repeatable but Intuitive 3-Defined Process

1,51 - 2,50

Proses dilakukan secara berulang

2,51 - 3,50

Proses telah terdokumentasi dan dikomunikasikan, pengawasan dan pelaporan tidak dilakukan secara berkala

4-Managed And Measurable

3,51 - 4,50

Proses terawasi dan terukur

5-Optimised

4,51 - 5,00

Best practice telah diterapkan dalam proses pengelolaan

Setelah dilakukan penghitungan tingkat kematangan, dari 13 proses yang terdapat pada domain penyampaian dan dukungan (deliver and support), 10 proses (77%) diantaranya mempunyai tingkat kematangan saat ini pada tingkat 2-repeatable but intuitive dan sisanya sebanyak 3 proses (33%) mempunyai tingkat kematangan saat ini pada tingkat 3-defined process terdapat pada tabel di bawah ini : Tabel 2. Tingkat Kematangan saat ini Domain DS
Proses Nilai DS1: Mendefinisikan dan mengelola tingkat layanan DS2:Mengelola pelayanan dari pihak ketiga DS3:Mengatur Kinerja dan Kapasitas DS4: Menjamin Keberlangsungan Pelayanan DS5: Menjamin Keamanan Sistem DS6: Mengidentifikasi dan mengalokasikan biaya DS7: Memberikan pendidikan dan pelatihan pada pengguna 2,479 2,236 2,643 2,285 2,18 2,486 2,133 Kematangan Saat Ini Tingkat 2- Repeatable but Intuitive 2- Repeatable but Intuitive 3-Defined Process 2- Repeatable but Intuitive 2- Repeatable but Intuitive 2- Repeatable but Intuitive 2- Repeatable but Intuitive

DS8: Mengelola service desk dan insiden DS9: Mengatur konfigurasi DS10:Mengatur Permasalahan DS11: Mengatur Data DS12: Mengatur Lingkungan Fisik DS13: Mengatur Operasional Rata-Rata

2,138 2,298 1,916 2,61 2,433 2,788 2,355

2- Repeatable but Intuitive 2- Repeatable but Intuitive 2- Repeatable but Intuitive 3-Defined Process 2- Repeatable but Intuitive 3-Defined Process 2- Repeatable but Intuitive

Sedangkan dari 3 proses yang terdapat pada domain pengawasan dan evaluasi (monitor and evaluate) terdapat 3 proses (75%) diantaranya mempunyai tingkat kematangan saat ini pada tingkat 2-repeatable but intuitive dan sisanya sebanyak 1 proses (25%) mempunyai tingkat kematangan saat ini pada tingkat 3-defined process terdapat pada Tabel 3 di bawah ini : Tabel 3. Tingkat Kematangan saat ini dalam domain ME
Proses Nilai ME1: Mengawasi dan mengevaluasi kinerja TI ME2: Mengawasi dan mengevaluasi kontrol internal ME3: Menjamin kepatuhan hukum ME4: Menyediakan Tata Kelola TI Rata-Rata 2,55 2,42 2,29 2,19 2,36 Kematangan Saat Ini Tingkat 3-Defined Process 2- Repeatable but Intuitive 2- Repeatable but Intuitive 2- Repeatable but Intuitive 2- Repeatable but Intuitive

Secara umum kondisi tata kelola TI saat ini pada sistem informasi akademik Universitas Budi Luhur khususnya domainpenyampaian dan dukungan (deliver and support) dan domain pengawasan danevaluasi (monitor and evaluate) masih pada tingkat 2-repeatable but intuitive seperti yang disajikan pada Tabel IV-4 di bawah ini. Hal ini berarti proses-proses TI yang mendukung sistem informasi akademik Universitas Budi Luhur telah berkembang untuk memberikan layanan yang optimal, dimana prosedur-prosedur yang sama telah dilakukan oleh orang yang berbeda. Namun di dalamnya belum ada komunikasi atau pelatihan formal terhadap prosedur standar dan tanggung

jawab diserahkan kepada individu. Selain itu juga masih terdapat kepercayaan yang tinggi pada kemampuan individu, sehingga kesalahan sangat mungkin terjadi.

3.1.3.Analisis Tingkat Kematangan Proses TI Target/harapan kematangan proses TI adalah kondisi ideal tingkat kematangan proses yang diharapkan, yang akan menjadi acuan dalam model tata kelola TI sistem informasi akademik Universitas Budi Luhur yang akan dikembangkan. Target/harapan kematangan proses TI dapat ditentukancdengan melihat

lingkungan internal bisnis Universitas Budi Luhur seperti visi dan misi, tujuan universitas maka dapat ditetapkan bahwa untuk dapat mendukung pencapaian tujuan Universitas Budi Luhur setidaknya tingkat kematangan yang dilakukan harus ada pada tingkat 3 (defined process). Berdasarkan hasil wawancara dan hasil temuan yang berupa pendapat / opini dari para responden didapatkan hasil pengukuran tingkat kematangan prosesproses dalam domain penyampaian & dukungan (deliver & support) yang ditunjukkan pada Tabel 4 berikut ini : Tabel 4. Gap Tingkat Kematangan Domain DS
Proses Tingkat kematangan Saat ini DS1: Mendefinisikan dan mengelola tingkat layanan DS2:Mengelola pelayanan dari pihak ketiga DS3:Mengatur Kinerja dan Kapasitas DS4: Menjamin Keberlangsungan Pelayanan DS5: Menjamin Keamanan Sistem DS6: Mengidentifikasi dan mengalokasikan biaya DS7: Memberikan pendidikan dan pelatihan pada pengguna DS8: Mengelola service desk dan insiden DS9: Mengatur konfigurasi DS10:Mengatur Permasalahan DS11: Mengatur Data DS12: Mengatur Lingkungan Fisik 2,479 2,236 2,643 2,285 2,18 2,486 2,133 2,138 2,298 1,916 2,61 2,433 harapan 3 3 3 3 3 3 3 3 3 3 3 3 Gap 0,521 0,764 0,357 0,715 0,82 0,514 0,867 0,862 0,702 1,084 0,39 0,567

DS13: Mengatur Operasional Rata-Rata

2,788 2,355

3 3

0,222 0,645

Tingkat kematangan proses-proses dalam domain penyampaian & dukungan (deliver & support) dapat digambarkan dalam diagram laba-laba yang ditunjukkan pada Gambar 4 berikut ini :

Gambar 5. Diagram Laba-Laba Gap Tingkat Kematangan Domain DS Sedangkan pendapat/opini dari para responden didapatkan hasil pengukuran tingkat kematangan proses-proses dalam domain pengawasan dan evaluasi (monitor and evaluate) ditunjukkan pada Tabel 5 berikut ini : Tabel 5. Gap Tingkat Kematangan Domain ME
Proses Tinkat kematangan Saat ini ME1: Mengawasi dan mengevaluasi kinerja TI ME2: Mengawasi dan mengevaluasi kontrol internal ME3: Menjamin kepatuhan hukum ME4: Menyediakan Tata Kelola TI Rata-Rata 2,55 2,42 2,29 2,19 2,36 Harapan 3 3 3 3 3 Gap 0,452 0,578 0,715 0,806 0,806

Tingkat kematangan proses-proses dalam domain pengawasan dan evaluasi (monitor and evaluate) dapat digambarkan dalam diagram laba-laba yang ditunjukkan pada Gambar 5 berikut ini :

Gambar 5. Diagram Laba-Laba Gap Tingkat Kematangan Domain ME

3.1.4. Langkah-Langkah Untuk Mengatasi Gap Kematangan Proses TI Langkah-langkah untuk mengatasi perbedaan (gap) tingkat kematangan merupakan tindakan-tindakan yang perlu dilakukan pada setiap proses TI di Univeritas Budi Luhur yang memiliki tingkat kematangan saat ini (current maturity level) di bawah tingkat kematangan yang diharapkan (expected maturity level) yaitu proses Langkah-langkah perbaikan tata kelola TI sistem informasi akademik Universitas Budi Luhur diarahkan menuju tingkat kematangan 3-defined process yang dilakukan pada proses-proses yang mempunyai nilai tingkat kematangan saat ini lebih kecil daripada tingkat kematangan yang diharapkan, yaitu proses TI selain DS3, DS11, DS13 dan ME1 dengan membuat prosedur sudah standar, mendokumentasikan dan mengkomunikasikan melalui pelatihan. Tetapi pelaksanaannya diserahkan pada individu untuk mengikuti proses tersebut, sehingga penyimpangan tidak mungkin akan diketahui. Prosedurnya belum sempurna, namun sekedar formalitas atas praktek yang ada. Berikut ini adalah langkah-langkah dapat dilakukan untuk mengatasi gap tingkat kematangan pada proses-proses tata kelola TI Univeritas Budi Luhur melalui kegiatan- kegiatan: a). DS10:Mengatur permasalahan Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang harus dilakukan adalah :

1) Pemenuhan terhadap kebutuhan bisnis dengan menjamin kepuasan end user melalui pemberian layanan dan level layanan, mengurangi penyelesaian dan penyampaian. 2) Memfokuskan pada merekam, melacak dan menyelesaikan masalah operasional, menyelidiki akar masalah bagi semua permasalahan yang ada, dan mendefinisikan penyelesaian bagi identifikasi masalah pengoperasian. 3) Hal tersebut dapat dicapai dengan : a. Melaksanakan analisa akar masalah untuk pelaporan b. Menganalisa trend c. Mengambil alih masalah dan perkembangan penyeleasian masalah 4) Indikator keberhasilannya diukur melalui : a. Jumlah masalah yang berakibat pada bisnis b. Persentase jumlah masalah yang terselesaikan dalam waktu yang telah ditetapkan c. Frekuensi laporan atau update masalah secara terus menerus, yang didasarkan pada masalah terberat 5) Aktifitas yang perlu dilakukan dengan : a. Manajemen memberikan dukungan b. dalam bentuk penyediaan anggaran bagi staf dan pelatihan. c. Melakukan standarisasi penyelesaian masalah dan proses

peningkatannya. d. Membuat tim untuk mencatat dan penelusuran masalah serta penyelesaiannya, menggunakan alat yang ada tanpa sentralisasi. e. Menyebarluaskan informasi di antara staf secara proaktif dan bersifat formal f. Manajemen meninjau insiden dan menganalisa identifikasi

permasalahan, serta pemecahannya. b). ME4:Menyediakan tata kelola TI

Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang harus dilakukan adalah : 1) Pemenuhan terhadap kebutuhan bisnisdengan mengintegrasikan tata kelola IT dan tata kelola perusahaan dan melengkapinya dengan hukum dan peraturan. 2) Memfokuskan pada penyiapkan laporan stratergi IT, kemampuan dan resiko serta merespon kebutuhan tata kelola yang sesuai dengan arahan 3) Hal tersebut dapat dicapai dengan : a. Menetapkan sebuah kerangka kerja IT yang terintegrasi dengan tata kelola perusahaan b. Mendapatkan kepastian yang independen atas status tata kelola 4) Indikator keberhasilannya diukur melalui : a. Banyaknya laporan IT dibuat untuk stakeholders (termasuk tingkat kematangan) b. Banyaknya laporan IT kepada atasan (termasuk tingkat kematangan) c. Banyaknya kajian independen terhadap pemenuhan IT 5) Aktifitas yang perlu dilakukan dengan : a. Manajemen audit mengidentifikasi dan memahami inisiatif dan lingkungan TI. b. Manajemen TI melakukan audit independen. c. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit. d. Merencanakan dan mengelola audit e. Menetapkan staf audit mematuhi standar audit. f. Membuat rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen. g. Menetapkan tanggungjawab untuk melakukan audit independen serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. h. Melakukan resolusi atas komentar audit.

i. Melakukan penjaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan untuk meningkatkan efektivitas dari aktivitas fungsi audit 3.2. Implikasi Penelitian Implikasi penelitian ini dapat ditinjau dari tiga sudut pandang yang meliputi : 3.2.1 Aspek Manajerial a. Ditetapkan suatu kerangka manajemen mutu layanan (yang meliputi prosesproses kebutuhan layanan, ketetapan layanan, rencana mutu layanan, rencana mutu beroperasi dan membiayai sumber daya) antara customer dan provider service sistem akademik Universitas Budi Luhur. b. Dibuat mekanisme sistem keamanan yang mampu menjamin mutu keamanan baik pengguna, data, informasi, infrastruktur dan jaringan pada sistem informasi akademik Universitas Budi Luhur. c. Dilakukan pelatihan dan pendidikan secara berkala (minimal sekali dalam setahun) dengan memperhatikan strategi dan kebutuhan bisnis saat ini dan masa datang serta kemampuan dan kebutuhan saat ini. d. Dibuat mekanisme untuk menetapkan, menerapkan, dan memelihara prosedur standar bagi operasi TI dan memastikan berjalan sesuai dengan tugasnya masingmasing. e. Dibuat mekanisme pengawasan dan penilaian kinerja TI pada sistem informasi akademik Universitas Budi Luhur. f. Dibuat suatu kerangka pengelolaan TI mencakup kepemimpinan, peran dan tanggung jawab, kebutuhan informasi, dan struktur organisasi untuk memastikan bahwa program investasi TI enterprise dijalankan bersama dan disampikan pada sasaran dan strategi enterprise. 3.2.2Aspek Sistem a. Dibuat sistem pengawasan terhadap kinerja mutu layanan, kerjasama dengan pihak ketiga, sumber daya TI sistem informasi akademik Universitas Budi Luhur.

b. Dibuat sistem pembiayaan TI tepat yang disesuaikan dengan jenis layanan pada sistem informasi akademik Universitas Budi Luhur. c. Dibuat sistem pengelolaan konfigurasi yang tepat meliputi hardware, aplikasi software, middleware, dokumentasi, tools dan prosedur-prosedur bagi pengoperasian, pengaksesan, dan penggunaan layanan dan sistem. 3.2.3. Penelitian Lanjutan a. Dilakukan penelitian tentang kinerja mutu layanan, kerjasama dengan pihak ketiga, sumber daya TI sistem informasi akademik Universitas BudiLuhur. b. Dilakukan penelitian tentang efektifitas kinerja TI pada sistem informasi akademik Universitas Budi Luhur.
3.3. Kesimpulan

Berdasarkan penelitian yang telah dilakukan, maka dapat diambil kesimpulan sebagai berikut: a. Tingkat kematangan tata kelola TI layanan sistem informasi akademik Universitas Budi Luhur pada domain penyampaian & dukungan dan pengawasan & evaluasi masih belum memuaskan karena berada di tingkat 2- repeatable but intuitive, sehingga hipotesis penelitian diterima. b. Kondisi saat ini pelaksanaan tata kelola TI pada sistem informasi akademik Universitas Budi Luhur khususnya proses-proses dalam domain penyampaian dan dukungan (deliver and support) dan domain pengawasan dan evaluasi (monitor and evaluate) kecuali DS3, DS11, DS13 dan ME1 telah berkembang untuk memberikan layanan yang optimal, dimana prosedur-prosedur yang sama telah dilakukan oleh orang yang berbeda. Namun di dalamnya belum adakomunikasi atau pelatihan formal terhadap prosedur standar dan tanggung jawab masih diserahkan kepada individu. Selain itu juga masih terdapat kepercayaan yang tinggi terhadap kemampuan individu, sehingga kesalahan sangat mungkin terjadi. c. Tingkat kematangan tata kelola TI sistem informasi akademik Universitas Budi Luhur khususnya proses-proses dalam domain penyampaian dan

dukungan dan domain pengawasan dan evaluasi masih berada di tingkat 2repeatable but intuitive kecuali DS3, DS11, DS13 dan ME1 telah mencapai tingkat 3-defined process sesuai dengan harapan manajemen. d. Rekomendasi perbaikan tata kelola TI sistem informasi akademik Universitas Budi Luhur diarahkan menuju tingkat kematangan 3-defined process yang dilakukan pada proses-proses yang mempunyai nilai tingkat kematangan saat ini lebih kecil daripada tingkat kematangan yang diharapkan, yaitu proses TI selain DS3, DS11, DS13 dan ME1 dengan membuat prosedur sudah melalui standar, pelatihan. mendokumentasikan Tetapi dan

mengkomunikasi-kan

pelaksanaan-nya

diserahkan pada individu untuk mengikuti proses tersebut, sehingga penyimpangan tidak mungkin akan diketahui. Prosedurnya belum sempurna, namun sekedar formalitas atas praktek yang ada.

BAB IV PENUTUP 4.1.Kesimpulan COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk

menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk). Manfaat dalam penerapan COBIT ini antara lain : 1. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis. 2. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif. 3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang reliable dan efisien. 4. Mengelola resiko terkait TI pada tingkatan yang dapat diterima. 5. Mengoptimalkan biaya dari layanan dan teknologi TI. 6. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan. Macam-macam COBIT : 1. COBIT Versi 4.1 COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses, kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa (primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi informasi yang mana.

2. COBIT Maturity Model COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level) 3. COBIT 5 Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan menejemen yang baik dari aset-aset informasi dan teknologi, termasuk pengaturan pengamanan informasi IT IL ( Information Technology Infrastructure Library) IT Infrastructure Library (ITIL) merupakan sebuah framework yang memberikan panduan (guidance) mengenai pengelolaan IT berbasis layanan yang telah banyak diadopsi oleh berbagai organisasi dan perusahaan diberbagai industri dan sektor. ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electronical Commission (IEC). ISO/IEC 17799 adalah

panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk memastikan keaman informasi perusahaan.

DAFTAR PUSTAKA

Hermawan, Iwan.2011.Resume Artikel Ilmiah Cobits Model. http://iwanpolines.blogspot.com/2011/05/resume-artikel-ilmiah-cobits-modelas.html Sarno, Riyanarto.2009. Audit Sistem dan Teknologi Informasi.ITS Press:Surabaya ISACA. (2007). COBIT 4.1, IT Governance Institute. http://www.isaca.org/COBIT/ http://12puby.blogspot.com/2011/03/cobit-it-il-dan-iso-17799.html http://itilindo.com http://auditti.wordpress.com/2010/11/29/sistim-manajemen-keamanan-informasidan-iso-27000-%E2%80%93-part-2/ http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1-sekarang-cobit-5apa-bedanya.html