Anda di halaman 1dari 81

PENILAIAN TERHADAP IMPLEMENTASI IT GOVERNANCE

PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM


DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5
PADA DOMAIN DELIVER, SERVICE AND SUPPORT DAN
ALIGN, PLAN AND ORGANIZE

TUGAS AKHIR

Oleh :

IDA BAGUS GEDE WISNU WIBAWA


116091002

PROGRAM STUDI SISTEM INFORMASI


FAKULTAS REKAYASA INDUSTRI
INSTITUT TEKNOLOGI TELKOM
BANDUNG
2013

PENILAIAN TERHADAP IMPLEMENTASI IT GOVERNANCE


PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM
DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5
PADA DOMAIN DELIVER, SERVICE AND SUPPORT DAN
ALIGN, PLAN AND ORGANIZE

TUGAS AKHIR
Diajukan untuk Memenuhi Salah Satu Syarat Menyelesaikan
Program Studi Strata-1 Sistem Informasi Fakultas Rekayasa Industri
Institut Teknologi Telkom

Oleh :

IDA BAGUS GEDE WISNU WIBAWA


116091002

PROGRAM STUDI SISTEM INFORMASI


FAKULTAS REKAYASA INDUSTRI
INSTITUT TEKNOLOGI TELKOM
BANDUNG
2013

iii

LEMBAR PENGESAHAN
Tugas Akhir dengan Judul :

PENILAIAN TERHADAP IMPLEMENTASI IT GOVERNANCE


PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM
DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5
PADA DOMAIN DELIVER, SERVICE AND SUPPORT DAN
ALIGN, PLAN AND ORGANIZE
Telah Disetujui dan Disahkan Untuk Mengikuti Sidang Tugas Akhir
Program Studi Strata-1 Sistem Informasi Fakultas Rekayasa Industri
Institut Teknologi Telkom

Oleh :
Ida Bagus Gede Wisnu Wibawa
116091002

Bandung, 24 Juli 2013


Menyetujui,
Pembimbing I

Pembimbing II

M. Teguh Kurniawan, ST.,MT

Dedy Rahman Wijaya, ST.,MT

iv

ABSTRAK
Politeknik Telkom merupakan salah satu institusi yang berada dibawah
naungan Yayasan Pendidikan Telkom (YPT) yang berdiri pada tahun 2007.
Politeknik Telkom mempunyai visi yaitu menjadi Politeknik unggulan di bidang
Manajemen dan Teknologi Informasi & Komunikasi di Asia Tenggara, serta
memiliki strategi untuk menuju Good University Governance. Untuk itu
diperlukan kontribusi yang besar dari bagian Sistem Informasi (SISFO) untuk
mewujudkannya.
Untuk mengetahui tingkat implementasi dan rekomendasi untuk
meningkatkan kinerja TI maka dilakukan penilaian audit sistem informasi. Penilaian
dilakukan dengan menggunakan framework COBIT versi 5 karena penilaian
yang dilakukan akan lebih fokus pada kontrol untuk setiap prosesnya. Untuk
mencapai keselarasan dari base practices terhadap kebutuhan bisnis, maka
digunakanlah COBIT karena menyediakan kontrol framework berdasarkan
model proses teknologi informasi yang seharusnya cocok untuk Perguruan Tinggi
secara umum.
Pada penelitian ini akan menilai 2 domain pada COBIT 5, yakni APO
dan DSS. Berdasarkan mapping Rencana Strategis terhadap Enterprise Goal
yang ada di COBIT 5 didapatkan proses-proses TI yang akan dinilai, antara
lain APO01, APO05, APO11, APO12 DSS02, DSS05, dan DSS06. Terdapat 5
tahapan dalam proses penilaian, yakni tahap inisiasi dan persiapan , tahap kajian
objek, tahap validasi data, tahap analisis dan pelaporan, dan tahap kesimpulan dan
saran. Dari hasil penilaian terdapat 1 proses yang berada pada level terendah yaitu
0 pada proses APO12. Sedangkan 5 proses yang berada pada level 1 yakni
proses APO01, APO05, APO11, DSS05, dan DSS06. Dan 1 proses yang berada pada
level 3 yang sesuai dengan target dari Politeknik Telkom yaitu DSS02.

Kata kunci: Penilaian Teknologi Informasi, COBIT, APO, DSS

ABSTRACT
Polytechnic Telkom is one institution under the auspices of Telkom
Education Foundation (YPT). Polytechnic Telkom has a vision to become an
excellent Polytechnic in Management and Information Technology & Communication
in South West Asia, also it has a strategy to get the Good University Governance.
Therefore, they need big contributions from Information System unit (SISFO) to mak
it happen.
To find out the implementation level of Information Technology in Polytechnic
Telkom and recommendation to increase it, then the assessment of information system
audit was held. Assessment using the framework COBIT 5 version because the
assessment will focus on controls for each process. To achieve alignment of best
practices to the needs of the business, it is used COBIT at the top level
(highest level) because it provides a control framework based on process
model of information technology that should be suitable for the university in
general.
This research will assess two domains of COBIT 5, the APO and DSS. Based
on the mapping of the Enterprise Strategic Plan Goal 5 which was obtained COBIT
IT processes to be assessed, among other APO01, APO05, APO11, APO12, DSS02,
DSS05 and DSS06. There are 5 stages in the assessment process, they are initiation
and preparing stage, study of objective stage, validation data stage, analyze and
reporting stage, and conclution and recommendation stage. From the assessment
result, there is 1 process in the lowest level, which is 0, in APO12. There are 5
processes in level 1 that is APO01, APO05, APO11, DSS05 and DSS06. And last that
is 1 process in level 3 which is suitable with the target from Polytechnic Telkom, that
is DSS02.

Keywords: Assessment of Information Technology, COBIT, APO, DSS

vi

DAFTAR ISI

DAFTAR ISI ................................................................................................................. v


DAFTAR GAMBAR .................................................................................................... x
DAFTAR TABEL ........................................................................................................ xi
BAB I PENDAHULUAN ............................................................................................. 1
I.1.

Latar Belakang ............................................................................................... 1

I.2.

Rumusan Masalah .......................................................................................... 5

I.3.

Tujuan ............................................................................................................. 5

I.4.

Manfaat ........................................................................................................... 5

I.5.

Batasan Masalah ............................................................................................. 6

BAB II TINJAUAN PUSTAKA................................................................................... 7


II.1

Penelitian Terkait ........................................................................................... 7

II.2

Teknologi Informasi ....................................................................................... 8

II.2.1

Definisi Teknologi Informasi .................................................................. 8

II.2.2

Peran Teknologi Informasi bagi Organisasi ............................................ 8

II.3

IT Governance ................................................................................................ 8

II.3.1

Definisi IT Governance ........................................................................... 8

II.3.2

Pentingnya IT Governance bagi Perguruan Tinggi ................................. 9

II.4

Audit Teknologi Informasi ............................................................................. 9

II.4.1

Definisi Audit Teknologi Informasi ........................................................ 9

II.4.2

Pentingnya Audit Teknologi Informasi ................................................. 10

II.4.3

Metodologi Audit Teknologi Informasi ................................................ 11

II.5

ITIL ............................................................... Error! Bookmark not defined.

II.6

COBIT .......................................................................................................... 12

II.6.1 Sejarah COBIT ........................................................................................... 12


II.7

Capability Model .......................................................................................... 19

II.8

IT Balance Scorecard ................................................................................... 20

II.9

Analisis SWOT ............................................. Error! Bookmark not defined.

BAB III METODOLOGI PENELITIAN.................................................................... 25


vii

III.1

Model Konseptual ........................................................................................ 25

III.2

Sistematika Penelitian .................................................................................. 26

Tahap Inisiasi dan Persiapan................................................................................ 28


Tahap Analisis dan Pelaporan.............................................................................. 28
Tahap Kesimpulan dan Saran .............................................................................. 29
BAB IV PELAKSANAAN PENELITIAN................................................................. 30
IV.1 Perencanaan Penilaian ..................................................................................... 30
IV.1.1

Estimasi Waktu Proses Penilaian .......................................................... 30

IV.1.1

Perancangan Program Penilaian ............ Error! Bookmark not defined.

IV.1.3 Mapping Renstra terhadap COBIT 5 ........................................................ 31


IV.1.4 Identifikasi Proses yang akan dinilai ........................................................ 34
IV.1.5 Perancangan Form Assessment ............................................................... 35
IV.2 Pelaksanaan Penelitian .................................................................................... 35
IV.2.1 Deskripsi Objek Penelitian ....................................................................... 35
IV.2.2 Struktur Organisasi ................................................................................... 36
IV.2.3 Pemilihan Objek Penilaian ....................................................................... 37
IV.2.4 Penilaian Capability Level ........................................................................ 37
IV.2.5 Rekapitulasi Hasil Penilaian Capability Level ......................................... 48
BAB V ANALISIS DAN REKOMENDASI.............................................................. 51
V.1 Analisis Gap antara Hasil Penilaian dengan Target Optimal ........................... 51
V.1.1 Analisis Gap Proses APO01 Mengelola IT Management Framework ... 51
V.1.2 Analisis Gap Proses APO05 Mengelola Portofolio ................................ 52
V.1.3 Analisis Gap Proses APO11 Mengelola Kualitas ................................... 54
V.1.4 Analisis Gap Proses APO12 Mengelola Resiko ..................................... 55
V.1.5 Analisis Gap Proses DSS02 Mengelola Permintaan Layanan dan Insiden
............................................................................................................................. 57
V.1.6 Analisis Gap Proses DSS05 Mengelola Layanan Keamanan ................. 57
V.1.7 Analisis Gap Proses DSS06 Mengelola Kontrol Proses Bisnis .............. 59
V.2 Analisis Prioritas .............................................................................................. 60
V.2.1 Kriteria Prioritas......................................................................................... 60

viii

V.2.2 Penentuan Skala Prioritas .......................................................................... 61


V.3 Rekomendasi .................................................................................................... 62
V.3.1 Rekomendasi Perbaikan Proses APO01 Mengelola IT Management
Framework ........................................................................................................... 62
V.3.2 Rekomendasi Perbaikan Proses APO05 Mengelola Portofolio .............. 63
V.3.3 Rekomendasi Perbaikan Proses APO11 Mengelola Kualitas ................. 64
V.3.4 Rekomendasi Perbaikan Proses APO12 Mengelola Resiko .................. 64
V.3.5 Rekomendasi Perbaikan Proses DSS02 Mengelola Permintaan Layanan
dan Insiden ........................................................................................................... 65
V.3.6 Rekomendasi Perbaikan Proses DSS05 Mengelola Layanan Keamanan 65
V.3.7 Rekomendasi Perbaikan Proses DSS06 Mengelola Kontrol Proses Bisnis
............................................................................................................................. 66
BAB VI KESIMPULAN DAN SARAN .................................................................... 68
VI.1 Kesimpulan ..................................................................................................... 68
VI.1.1 Hasil Penilaian .......................................................................................... 68
VI.1.2 Rekomendasi ................................................................................................ 68
VI.1.3 Saran ......................................................................................................... 69
DAFTAR PUSTAKA ................................................................................................. 70

ix

DAFTAR GAMBAR

Gambar I-1 Tingkat Kepuasan Terhadap Sistem Informasi Layanan Akademik di


Politeknik Telkom ......................................................................................................... 3
Gambar II-1 Gambaran Umum dari COBIT 5 ............................................................ 15
Gambar III-1 Model Konseptual ................................................................................. 25
Gambar III-2 Sistematika Penelitian ........................................................................... 27
Gambar I-1 Langkah-langkah penilaian...................................................................... 31
Gambar I-2 Struktur Organisasi Politeknik Telkom (Politeknik Telkom, 2013)........ 36
Gambar I-3 Tingkat Capability Level pada Proses APO01 ........................................ 39
Gambar I-4 Tingkat Capability Level pada Proses APO05 ........................................ 40
Gambar I-5 Tingkat Capability Level pada Proses APO11 ........................................ 41
Gambar I-6 Tingkat Capability Level pada Proses APO12 ........................................ 45
Gambar I-7 Tingkat Capability Level pada Proses DSS02 ......................................... 45
Gambar I-8 Tingkat Capability Level pada Proses DSS05 ......................................... 47
Gambar I-9 Tingkat Capability Level pada Proses DSS06 ......................................... 48
Gambar I-10 Rekapitulasi Capability Level................................................................ 50
Gambar V-1 Sebab Akibat Gap pada proses APO01 .................................................. 52
Gambar V-2 Sebab Akibat Gap pada Proses APO05.................................................. 53
Gambar V-3 Sebab Akibat Gap pada Proses APO11.................................................. 55
Gambar V-4 Sebab Akibat Gap pada Proses APO12.................................................. 56
Gambar V-5 Sebab Akibat Gap pada Proses DSS05 .................................................. 58
Gambar V-6. Sebab Akibat Gap pada Proses DSS06 ................................................. 59
Gambar V-7 Distribusi Prioritas ................................................................................. 62
Gambar VI-1Capability Level Domain APO dan DSS ............................................... 68

DAFTAR TABEL

Tabel I-1 Perbandingan Framework COBIT dan ITIL ................................................. 4


Tabel II-1 Perbandingan COBIT 4.1 dengan COBIT 5 .............................................. 14
Tabel IV-1 Estimasi Waktu Proses Penilaian ............................................................. 30
Tabel IV-2 Hasil Mapping Renstra terhadap Enterprise Goal .................................... 33
Tabel IV-3 Hasil Mapping APO ................................................................................. 34
Tabel IV-4 Hasil Mapping DSS .................................................................................. 35
Tabel IV-5 Objek Penilaian ........................................................................................ 37
Tabel IV-6 Daftar Dokumen & Base Practice yang belum dilakukan pada APO01 .. 38
Tabel IV-7 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO05. 39
Tabel IV-8 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO11. 40
Tabel IV-9 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO12.. 42
Tabel IV-10 Daftar Dokumen & Base Practice yang Belum dilakukan pada DSS05 46
Tabel IV-11 Daftar Dokumen & Base Practice yang Belum dilakukan pada DSS06 47
Tabel IV-12 Rekapitulasi Capability Level ................................................................ 49
Tabel V-1 Gap pada proses APO01 ............................................................................ 51
Tabel V-2 Gap pada Proses APO05 ............................................................................ 52
Tabel V-3 Gap pada Proses APO11 ............................................................................ 54
Tabel V-4 Gap pada Proses APO12 ............................................................................ 55
Tabel V-5 Gap pada Proses DSS02 ............................................................................ 57
Tabel V-6 Gap pada Proses DSS05 ............................................................................ 57
Tabel V-7 Gap pada Proses DSS06 ............................................................................ 59
Tabel V-8 Kriteria Prioritas Berdasarkan Manfaat ..................................................... 60
Tabel V-9 Kriteria Prioritas Berdasarkan Cost ........................................................... 61
Tabel V-10 Kriteria Prioritas Berdasarkan Kemudahan Implementasi ...................... 61
Tabel V-11 Distribusi Prioritas Rekomendasi APO01. .............................................. 63
Tabel V-12 Distribusi Prioritas Rekomendasi APO05 ............................................... 63
Tabel V-13Distribusi Prioritas Rekomendasi APO11 ................................................ 64
Tabel V-14 Distribusi Prioritas Rekomendasi APO12 ............................................... 65

xi

Tabel V-15 Distribusi Prioritas Rekomendasi DSS05 ................................................ 66


Tabel V-16 Distribusi Proses Perbaikan DSS06 ......................................................... 66

xii

BAB I
PENDAHULUAN

I.1. Latar Belakang


Pesatnya perkembangan Teknologi Informasi (TI) pada saat ini telah menjadikan TI
sebagai salah satu strategi organisasi dalam mencapai tujuannya. TI adalah suatu
teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan,
menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan
informasi yang relevan, akurat dan tepat waktu yang digunakan untuk keperluan
pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk
pengambilan keputusan1. TI dapat dikatakan menjadi kunci dalam memenangkan
persaingan yang semakin lama akan semakin meningkat. Dengan penerapan TI yang
efektif dan efisien, maka dapat mempermudah dan mempercepat pelaksanaan proses
bisnis sebuah organisasi. Dengan pelaksanaan proses bisnis yang baik dan cepat
maka akan memberikan berbagai keuntungan bagi organisasi tersebut, misalnya
meningkatkan efektivitas dan efisiensi dari laporan keuangan, penghematan waktu,
tenaga dan biaya usaha dengan tingkat pelayanan yang membaik, dan dapat
melindungi asset perusahaan. Hal ini membuktikan bahwa penerapan TI pada suatu
organisasi dapat menentukan tingkat kesuksesan organisasi tersebut kedepannya.
Dengan berbagai keuntungan yang ditawarkan TI seperti contoh diatas, hampir semua
organisasi mengimplementasikan TI ke dalam proses operasionalnya, termasuk
organisasi yang bergerak di dunia pendidikan seperti Perguruan Tinggi (PT). PT
dapat memanfaatkan TI dalam tiga tingkatan, yaitu memberikan dukungan untuk
pelayanan administrasi, sebagai alat bantu pengajaran, dan sarana komunikasi serta
pemanfaatan

TI

untuk

membantu

pengambilan

keputusan.

Dengan

diimplementasikannya TI yang efektif dan efisien pada PT maka akan meningkatkan


kualitas layanan kepada seluruh elemen PT, baik Mahasiswa, Staf Pengajar, bagian
Administrasi, Dewan Direksi, hingga orangtua Mahasiswa.

Peranan TI yang vital ini tentunya bisa menimbulkan kerugian apabila tidak ada
aturan maupun tata kelola yang mengontrol pelaksanaan implementasi TI. Adapun
contoh kerugian yang bisa terjadi misalnya informasi yang salah diakibatkan oleh
pemrosesan data yang salah, yang dapat berdampak pada pengambilan keputusan
yang tidak tepat. Kerugian lain misalnya bocornya data-data penting organisasi yang
tentunya bisa berdampak buruk apabila data tersebut disalahgunakan. Untuk
mencegah hal tersebut dan mengoptimalkan kinerja TI, maka diperlukanlah tata
kelola TI yang baik. Tata Kelola TI (IT Governance) menurut IT Governance
Institute (2001) adalah pertanggungjawaban dewan direksi dan manajemen eksekutif,
yang merupakan bagian yang terintegrasi dengan tata kelola perusahaan, berisi
kepemimpinan dan struktur organisasi serta proses - proses yang menjamin bahwa TI
organisasi mengandung dan mendukung strategi dan tujuan bisnis2.
Politeknik Telkom merupakan salah satu PT swasta di Indonesia yang berdiri pada
tahun 2007, yang bernaung dibawah Yayasan Pendidikan Telkom (YPT). Motto dari
Politeknik Telkom adalah Giving and Caring The World3. Visi Politeknik Telkom
adalah Menjadi Politeknik unggulan di bidang Manajemen dan Teknologi Informasi
& Komunikasi di Asia Tenggara3. Dan salah satu misi Politeknik Telkom adalah
Terus melakukan transisi untuk tumbuh secara mandiri, berkelanjutan, dan
mempunyai tata kelola yang baik (Good Polytechnic Governance)3.

Untuk

menunjang ketiga hal tersebut maka diperlukan dukungan TI yang baik oleh bagian
SISFO Politeknik Telkom yang mampu mengefektifkan dan mengefisiensikan setiap
proses aktivitas.dari Politeknik Telkom.
Sistem Informasi Akademik merupakan suatu kebutuhan yang mutlak bagi pelayanan
pendidikan terutama pada PT, sehingga dapat memberikan kemudahan dalam
administrasi bagi PT yang menerapkannya. Manfaat dari Sistem Informasi Akademik
yang dibangun oleh SISFO Politeknik Telkom adalah meningkatnya kualitas
pelayanan terhadap mahasiswa dan pelayanan untuk seluruh pihak yang terkait
dengan proses akademik yang ada. Peranan Sistem Informasi yang signifikan inilah

yang harus diimbangi dengan pengaturan dan pengelolaan yang tepat sehingga
kerugian-kerugian yang mungkin terjadi dapat dihindari.
Berdasarkan survei yang telah dilakukan terhadap tingkat kepuasan user di Politeknik
Telkom terhadap Sistem Informasi Layanan Akademik, didapatkan hasil sebagai
berikut.

5.0
4.0

Tingkat Kepuasan Terhadap Sistem Informasi


Layanan Akademik di Politeknik Telkom

1
2
3
4
5

3.48

3.0

Keterangan
Sangat tidak puas
Tidak puas
Cukup (tidak buruk, tetapi belum baik)
Puas
Sangat puas

2.0
1.0

Gambar I-1 Tingkat Kepuasan Terhadap Sistem Informasi Layanan Akademik di


Politeknik Telkom
Sample diambil dari mahasiswa Politeknik Telkom. Berdasarkan hasil diatas,
mahasiswa mengaku cukup puas, tidak terlalu buruk tetapi belum baik, dengan
Sistem Informasi layanan akademik di Politeknik Telkom. Evaluasi yang dilakukan
yakni penilaian terhadap TI sehingga diharapkan upaya tersebut dapat meningkatkan
kinerja sistem layanan akademik.
TI yang sudah diimplementasikan pada Politeknik Telkom tentu perlu untuk diukur
dan dievaluasi untuk mengetahui apakah TI yang diimplementasikan sudah sesuai
dengan yang diharapkan dan mampu memudahkan proses bisnis dari Politeknik
Telkom. Untuk itu diperlukan Audit penerapan TI. Dengan audit sistem informasi
maka pengamanan aset, pemeliharaan integritas data, dapat mendorong pencapaian
tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien 4.
Dengan melakukan audit, selain mengetahui hasil kinerja implementasi TI, juga dapat

diketahui tingkat kematangan TI di Politeknik Telkom dan menghasilkan


rekomendasi untuk mencapai tingkat kematangan yang optimal sehingga dapat
membantu merealisasikan visi dan misi Politeknik Telkom.
Audit penerapan TI dapat dilakukan dengan menggunakan berbagai framework .
Adapun dua framework yang biasanya digunakan adalah Conrol Objective for
Information and Related Technology (COBIT) dari ISACA dan Information
Technology Infrastructure Library (ITIL). Berikut perbandingannya5.
Tabel I-1 Perbandingan Framework COBIT dan ITIL
Area
Fokus
Tujuan

Area

COBIT Versi 5
IT Governance

ITIL
Menyelaraskan
layanan
TI
dengan kebutuhan bisnis
Mengatur dan mengelola TI Meningkatkan
efisiensi
secara holistic sehingga operasional TI dan kualitas
menciptakan
nilai
yang layanan pelanggan
optimal dari penggunaan TI
5 domain dan 37 proses
9 proses

COBIT dapat membantu auditor, user dan manajemen untuk menjembati gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. ITIL merupakan
kumpulan base practice untuk proses manajemen implementasi TI. ITIL menjelaskan
proses-proses yang perlu diterapkan untuk menjalankan dan mendukung layanan TI
yang berfokus pada bisnis6. Oleh karena itu framework yang cocok digunakan dalam
penelitian ini adalah COBIT versi 5.
Penilaian dengan menggunakan framework COBIT versi 5 dirasa cukup tepat untuk
melakukan evaluasi terhadap sistem yang dibangun oleh SISFO Politeknik Telkom
karena audit yang dilakukan akan lebih fokus pada kontrol untuk setiap prosesnya.
Adapun aspek yang perlu diperhatikan adalah proses pengiriman teknologi informasi
dan dukungan yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan
efisien, seperti proses pengaturan permintaan layanan dan insiden, layanan keamanan,
dan control proses bisnis. Aspek lain yang perlu diperhatikan adalah bentuk
4

organisasi dan infrastruktur TI, seperti proses mengatur framework IT Management,


Enterprise Architechture, dan Human Relations. Untuk penilaian masing-masing
aspek tersebut, dapat digunakan domain yang terdapat di COBIT 5 yaitu domain
Delivery, Service, and Support (DSS) serta domain Align, Plan, and Organize (APO).
I.2. Rumusan Masalah
Rumusan masalah dalam penelitian ini adalah sebagai berikut.
1.

Bagaimana melakukan penilaian terhadap aktivitas layanan akademik di


Politeknik Telkom berdasarkan untuk domain DSS dan APO di framework
COBIT versi 5?

2.

Apa rekomendasi untuk aktivitas layanan akademik di Politeknik Telkom


berdasarkan standar yang ada di domain DSS dan APO di framework COBIT
versi 5?

I.3. Tujuan
Tujuan dari penelitian ini adalah sebagai berikut.
1.

Melakukan penilaian terhadap aktivitas layanan akademik di Politeknik Telkom


berdasarkan pada domain DSS dan APO di framework COBIT versi 5

2.

Memberikan rekomendasi agar aktivitas layanan akademik di Politeknik Telkom


berdasarkan standar yang ada di domain DSS dan APO di framework COBIT
versi 5

I.4. Manfaat
Manfaat yang dapat diperoleh dari penelitian ini adalah sebagai berikut.
1.

Menyelaraskan tujuan TI dengan tujuan bisnis Politeknik Telkom khususnya


pada bidang akademik.

2.

Meningkatkan kinerja operasional aktivitas layanan akademik Politeknik


Telkom.

3.

Adanya rekomendasi perbaikan dimasa yang akan datang.

4.

Mengetahui gap antara kondisi layanan TI pada bidang akademik saat ini dengan
kondisi yang diharapkan.

5.

Mengetahui capability level terhadap implementasi IT Governance

I.5. Batasan Masalah


Batasan masalah pada penelitian ini adalah sebagai berikut.
1.

Data yang digunakan pada penelitian ini adalah data pada tahun 2011-2012
melalui bagian SISFO Politeknik Telkom

2.

Pada penelitian ini tidak dilakukan penilaian pada sisi financial.

3.

Kegiatan penilaian ini hanya sampai pada tahap pemberian dokumen


rekomendasi. Untuk audit yang sesungguhnya dilakukan oleh pihak auditor
resmi.

BAB II
TINJAUAN PUSTAKA

II.1 Penelitian Terkait


Berikut beberapa penelitian yang terkait dengan penelitian saat ini.
1. Audit Teknologi Informasi di STT Telkom dengan Menggunakan Tool
COBIT
(Tugas Akhir : Saraswati Ritonga / 112030061)
Audit teknologi Informasi pada STT Telkom dengan menggunakan Tool
COBIT. Proses proses yang diaudit ditentukan berdasarkan presfektif yang
ada di Balance Scorecard (BSC), dari hasil audit akan dipetakan ke dalam
Maturity Model. Domain yang digunakan dalam proses audit adalah (1)
Domain PO: PO1, PO7, PO8, PO9, (2) Domain AI: AI4, (3) Domain DS:
DS4, DS10, (4) Domain ME: ME1, ME3. Dari hasil audit yang dilakukan
dilakukan analisis dan rekomendasi pada setiap proses TI.

2. Audit

Penerapan

Teknologi

Informasi

Berbasis

Risiko

dengan

Framework COBIT versi 4.1 di Institut Teknologi Telkom


(Tugas Akhir: Candra Widya Iswara / 116080037)
Masalah mendasar terkait IT Governance di IT Telkom saat ini adalah belum
adanya pemahaman yang jelas terkait manajemen risiko TI dan pengukuran
terhadap kinerja proses TI belum dilakukan. Berdasarkan kondisi tersebut
perlu dilakukannya audit penerapan TI untuk mengevaluasi kontrol-kontrol TI
serta mengetahui maturity level TI. Audit didukung dengan Control Objective
for Information and Related Technology (COBIT) versi 4.1 dan Risk
ITFramework. Proses-proses TI yang akan diaudit yakni PO2, PO3, PO7,
PO8, PO9, AI1, AI, AI4, AI6, AI7, DS1, DS3, DS4, DS5, DS8, DS11, DS12,
ME2. Audit ini terdiri dari 3 proses yakni pre audit, fieldwork, dan reporting.
Hasil audit menunjukkan bahwa maturity level penerapan TI di IT Telkom

adalah 11% level Non Existent, 17% level Initial / Ad hoc, 33% level
Repeatable but Intuitive, 39% level Defined, 0% level Managed and
Measurable dan )% level Optimized.

II.2

Teknologi Informasi

II.2.1 Definisi Teknologi Informasi


TI merupakan kombinasi teknologi komputer yang terdiri dari perangkat keras dan
lunak untuk mengolah dan menyimpan informasi dengan teknologi komunikasi untuk
melakukan penyaluran informasi. Sehingga dapat disimpulkan bahwa TI merupakan
suatu alat bantu yang berupa hardware dan software yang dapat memproses data
menjadi informasi sehingga lebih bermanfaat dan dapat digunakan untuk
mempermudah serta mempercepat aktivitas manusia7. Sementara, Williams dan
Sawyer (2007), mengungkapkan bahwa teknologi informasi adalah teknologi yang
menggabungkan komputasi (computer) dengan jalur komunikasi kecepatan tinggi
yang membawa data, suara, dan video8.
II.2.2 Peran Teknologi Informasi bagi Organisasi
TI sangat berperan dalam menunjang seluruh kegiatan yang ada di organisasi.
Dengan menggunakan TI, informasi yang dihasilkan lebih cepat dan tepat sehingga
dapat meningkatkan performansi suatu organisasi serta daya saing organisasi. Dengan
diterapkannya TI, dapat mempermudah sharing data antar unit yang ada pada suatu
organisasi serta bermanfaat untuk manajemen level atas untuk membuat keputusan.
II.3

IT Governance

II.3.1 Definisi IT Governance


Menurut Tarigan (2006) IT Governance diartikan sebagai struktur dari hubungan dan
proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya
dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil
menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi
informasi dan prosesnya9.

II.3.2 Pentingnya IT Governance bagi Perguruan Tinggi


IT Governance sangat penting untuk sebuah Perguruan Tinggi. Penerapan IT
Governance pada Perguruan Tinggi akan membantu untuk10:
1. Menetapkan secara jelas strategi TI dan menyelaraskannya dengan strategi
universitas secara global
2. Menentukan siapa yang bertanggungjawab untuk perencanaan strategis TI,
pengambilan keputusan, dan mengeksploitasi TI
3. Membuat penghematan biaya dalam investasi TI
4. Mengurangi risiko yang terkait dengan TI
5. Selalu melakukan evaluasi dan monitoring proses dan jasa berbasis TI dengan
menggunakan indikator yang tepat
6. Mencapai tingkat kepatuhan yang tinggi terhadap peraturan, menerapkan
standar internasional, dan memperoleh sertifikasi mutu yang berkaitan dengan
IT Governance dengan mudah.
Dengan penerapan IT Governance, Perguruan Tinggi akan memperoleh beberapa
manfaat, seperti meningkatnya kepuasan user, meningkatkan citra Perguruan Tinggi,
dan memiliki daya saing.
II.4

Audit Teknologi Informasi

II.4.1 Definisi Audit Teknologi Informasi


Audit TI atau audit Sistem Informasi adalah bentuk pemeriksaan dan pengendalian
dari infrastruktur TI secara menyeluruh. Audit TI dapat berjalan bersama- sama
dengan audit finansial dan audit internal atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan
data elektronik, dan sekarang audit TI secara umum merupakan proses pengumpulan
dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain
adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem

informasi perusahaan itu telah bekerja secara efektif dan integratif dalam mencapai
target organisasinya.
II.4.2 Pentingnya Audit Teknologi Informasi
Ron Weber, menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan,
antara lain4:
1. Kerugian akibat kehilangan data.
Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan
komputer yang dimiliki akan mengakibatkan seluruh data hilang. Kehilangan
data akan mengakibatkan perusahaan tidak dapat melakukan pengecekan
data. Bahkan waktu yang dibutuhkan menjadi sangat lama karena harus
melakukan verifikasi manual atas dokumen yang dimiliki.
2. Kesalahan dalam pengambilan keputusan.
Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision
Support Sistem (DSS) untuk mengambil keputusan-keputusan penting. Risiko
yang muncul apabila terjadi kesalahan memasukkan data ke sistem TI yang
digunakan.
3. Risiko kebocoran data.
Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak
ternilai harganya. Kebocoran data ini akan berdampak terhadap kehilangan
sejumlah sejumlah data dan dapat mengganggu kelangsungan hidup
perusahaan.
4. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar.
Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat
bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI
tidak mendatangkan keuntungan. Selain itu, sulit mengukur manfaat yang
dapat diberikan TI.

10

II.4.3 Metodologi Audit Teknologi Informasi


Tahapan dalam melakukan proses audit adalah sebagai berikut.
a. Mengimplementasikan sebuah strategi audit serta control practice yang dapat
disepakati semua pihak.
b. Menetapkan langkah-langkah audit yang rinci.
c. Mempergunakan fakta atau bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
d. Membuat laporan beserta kesimpulannya berdasarkan fakta yang diperoleh
dilapangan.
e. Mengidentikasi apakah tujuan audit tercapai.
f. Menyampaikan laporan kepada pihak auditee.
g. Memastikan bahwa organisasi mengimplementasian control practice.
Sedangkan metodologi audit TI antara lain adalah sebagai berikut.
1. Tahap Inisiasi
Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan,
yaitu:
a. Memahami visi dan misi dari objek audit, sasaran, tujuan, dan
prosesnya.
b. Mengidentifikasi kebijakan, standar, pedoman, serta prosedur dari
objek yang akan diaudit.
c. Melakukan analisis risiko
2. Tahap Preparation
Pada tahap persiapan dilakukan penentuan ruang lingkup audit dan tujuan
audit, maka dilakukan hal berikut.
a. Menentukan tujuan audit.
b. Melakukan pemilihan control objective yang akan digunakan untuk
menguji keefektifan dari proses TI yang ada.
c. Mendokumentasikan arsitektur yang ada di objek audit.

11

d. Mendefinisikan proses-proses TI yang akan dikaji.


e. Mendefinisikan komponen TI yang ada di objek yang akan diaudit.
3. Tahap Kajian Objek dan Analisis
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam
melakukan sebuah kajian TI. Kajian ini meliputi detailed control objective
yang disesuaikan dengan keadaan dari objek yang akan diaudit (berdasarkan
pada high level control objective). Kajian akan dilakukan dengan pendekatan
audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya
adalah mendokumentasian temuan-temuan hasil audit.
4. Tahap Pelaporan
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang
didapat. Diharapkan hasil dari tahap ini mendapatkan suatu kesimpulan
alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.

II.5

COBIT

II.5.1 Sejarah COBIT


COBIT merupakan kerangka kerja yang dikembangkan oleh IT Governance Institute
(ITGI) pada tahun 1996 dengan ISACA Information Sistems Audit and Control
Association. COBIT Framework dibentuk agar dapat berjalan berdampingan dengan
standar dan base practices yang lainnya (Setiawan, 2008). COBIT adalah kerangka IT
Governance yang ditujukan kepada manajemen, staf pelayanan TI, control
department, fungsi audit, dan bagi pemilik proses bisnis (business process owners),
untuk memastikan confidentiality, integrity dan availability data serta informasi
sensitif dan kritikal. Kerangka kerja COBIT mencakup keseluruhan proses bisnis
perusahaan seperti rencana strategis untuk TI, delivery dan support, monitor, serta
kontrol TI dan memaparkannya kedalam struktur aktifitas logis yang dapat dikelola,
dikendalikan secara efektif.

12

Tujuan dari COBIT adalah menyediakan model dasar yang memungkinkan


pengembangan prosedur yang jelas dalam mengontrol informasi dalam suatu
perusahaan untuk mencapai tujuan bisnisnya11. Tujuan utama COBIT adalah
memberikan kebijaksanaan yang jelas dan latihan yang bagus mengenai IT
Governance bagi organisasi diseluruh dunia untuk membantu manajemen senior
untuk memahami dan mengatur risiko-risiko yang berhubungan dengan TI.
II.6.1 COBIT 5
COBIT 5 adalah edisi terbaru dari Framework COBIT ISACA yang menyediakan
penjabaran bisnis secara end-to-end dari tatakelola teknologi informasi perusahaan
untuk menggambarkan peran utama dari informasi dan teknologi dalam menciptakan
nilai perusahaan. COBIT 5 adalah sebuah versi pembaharuan yang menyatukan cara
berpikir yang mutakhir di dalam teknik-teknik dan tata kelola TI perusahaan.
Menyediakan prinsip-prinsip, praktek-praktek, alat-alat analisa yang telah diterima
secara umum untuk meningkatkan kepercayaan dan nilai sistem-sistem informasi.
COBIT

akan

mendasarkan

sekaligus

memperluas

COBIT

4.1

dengan

menghubungkannya dengan kerangka standar dan sumber daya utama lainnya, seperti
ITIL, ISO, ISF, OECD, AICPA, dan NIST. COBIT 5 juga akan mengintegrasikan
pedoman dari ISACA lainnya, seperti Val IT, IT Risk, the IT Assurance Framework
and the Business Model for Information Security (BMIS), menjadi satu peta yang
kohesif dan komprehensif.

Beberapa perbedaan antara COBIT 4.1 dan COBIT 5 adalah sebagai berikut5.

13

Tabel II-1 Perbandingan COBIT 4.1 dengan COBIT 5


No
1

Parameter
Driver

COBIT 4.1
Base Practice

COBIT 5
Stakeholder Expectation

Area domain

4 area domain

5 area domain dengan


nama yang berbeda dan
selaras dengan domain
yang ada pada COBIT
4.1

Jumlah proses

34 proses

37 proses

Framework

Framework
yang
Hanya
framework terintegrasi dengan Val
COBIT 4.1
IT, Risk IT, ITAF, BMIS
etc. with COBIT 4.1

Capability
/
Maturity Models
Maturity Model

Process
Model

Capability

Goals Cascade

Tujuan IT berasal dari


tujuan pemeliharaan Tujuan IT berasal dari
reputasi
perusahaan stakeholder expectation
dan kepemimpinan

Enablers

Tidak
enabler

Control
Objectives

Tidak ada pemisahan


control objectives karena
Terdapat 210 control
sudah termasuk bagian
objectives
dari Management and
Governance practice

memiliki

Memiliki 7 enabler

Berikut adalah gambaran umum dari COBIT 5

14

Gambar II-1 Gambaran Umum dari COBIT 5


Dari gambar diatas dapat dilihat COBIT 5 memiliki cakupan 5 principles, 7 enablers,
dan 5 domain dengan 37 proses5.
Berikut 5 principles dari framework COBIT 55.
1. Meeting Stakeholder Needs
Organisasi berusaha untuk menciptakan suatu nilai pada stakeholder dengan
menjaga keseimbangan antara mencapai keuntungan, optimisasi resiko, dan
penggunaan resource. Prinsip ini menterjemahkan enterprise goal menjadi
spesifik, yakni IT-related Goals untuk kemudian diterjemahkan lagi menjadi
tujuan yang lebih spesifik
2. Covering the End-to-end
Prinsip ini meliputi seluruh fungsi dan proses yang ada pada suatu organisasi,
tidak hanya fokus pada fungsi TI tetapi juga memperhatikan aset-aset yang
dimiliki oleh suatu organisasi. Semua hal yang berhubungan dengan IT
Governance, manajemen, dan end-to-end juga dipertimbangkan.
15

3. Applying a Single Integrated Framework


Framework COBIT 5 dapat diselaraskan dengan standar atau base practice
lainnya yang berhubungan dengan proses TI yang berfungsi untuk
melakukan penilaian terhadap implementasi TI.
4. Enabling a Holistic Approach
Untuk mewujudkan IT Governance dan manajemen yang baik sesuai dengan
standar yang ada, maka COBIT 5 mendefinisikan 7 enabler untuk mencapai
tingkat kematangan dari implementasi TI disuatu organisasi.
Tujuh enabler tersebut adalah sebagai berikut.
a. Processes menjelaskan kumpulan praktik dan aktivitas yang
terorganisir untuk mencapai tujuan yang telah ditentukan dan
menghasilkan sekumpulan output dalam dukungan pencapaian seluruh
sasaran TI.
b. Organisational structure merupakan entitas pembuatan keputusan
kunci didalam organisasi.
c. Culture, ethnic, and behavior merupakan kebiasaan dari individu
dan organisasi yang sering dianggap sebagai faktor penghambat
kesuksesan didalam aktivitas tata kelola dan manajemen.
d. Principles, policies, and framework merupakan sarana untuk
menterjemahkan tingkah laku yang diinginkan ke dalam petunjuk
praktik untuk pelaksanaan manajemen harian.
e. Information diperlukan penyebaran seluruh informasi yang
dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan
untuk menjaga agar perusahaan dapat berjalan dan dikelola dengan
baik.
f. Service, infrastructure, and applications menyediakan layanan dan
proses teknologi informasi bagi organisasi.
g. People, skills, and competencies dibutuhkan untuk menyelesaikan
semua aktivitas dan membuat keputusan yang tepat serta mengambil
aksi-aksi perbaikan.

16

5.

Separating Governance From Management


Framework COBIT 5 memisahkan area antara Governance dan Manajemen.
a. Governance
Governance bertanggung jawab untuk memberikan pengarahan ke pada
stakeholder, kemudian me-monitor aktivitas yang dilakukan oleh
stakeholder, kemudian melakukan evaluasi terhadap seluruh aktivitas
yang telah dilakukan.
b. Manajemen
Manajemen bertanggung jawab dalam pelaksanaan arahan yang telah
diberikan, melakukan perencanaan, membangun, menjalankan serta memonitor aktivitas yang dilakukan.

Sedangkan domain yang ada pada framework COBIT 5 adalah sebagai berikut5.
1.

Evaluate, Direct, and Monitor.


Mengevaluasi kebutuhan stakeholder, mengatur arahan melalui pembuatan
keputusan dan skala prioritas, kepatuhan, dan kemajuan terhadap arah dan
tujuan.
Domain ini memiliki 5 proses, yakni:

2.

a.

EDM01 EnsureGovernance Framework Setting and Maintenance

b.

EDM02 Ensure Benefits Delivery

c.

EDM03 Ensure Risk Optimization

d.

EDM04 Ensure Resource Optimization

e.

EDM05 Ensure Stakeholder Transparency

Align, Plan, and Organise.


Membahas mengenai bentuk organisasi dan infrastruktur IT dengan tujuan
untuk mencapai hasil yang optimal dan menghasilkan banyak manfaat
dengan penggunaan TI.
Domain ini memiliki 13 proses, yakni:
a.

APO01 Manage the IT Management Framework

17

b.

APO02 Manage Strategy

c.

APO03 Manage Enterprise Architecture

d.

APO04 Manage Innovation

e.

APO05 Manage Portofolio

f.

APO06 Manage Budget and Costs

g.

APO07 Manage Human Relations

h.

APO08 Manage Relationships

i.

APO09 Manage Service Agreements

j.

APO10 Manage Suppliers

k.

APO11 Manage Quality

l.

APO12 Manage Risk

m. APO13 Manage Security

3.

Build, Acquire, and Implement.


Meliputi

identifikasi

IT

requirement,

penguasaan

teknologi,

dan

implementasinya dalam proses bisnis perusahaan.


Domain ini memiliki 10 proses, yakni:

4.

a.

BAI01 Manage Programs and Projects

b.

BAI02 Manage Requirements Definition

c.

BAI03 Manage Solutions Identification and Build

d.

BAI04 Manage Availability and Capacity

e.

BAI05 Manage Organisational Change Enablement

f.

BAI06 Manage Changes

g.

BAI07 Manage Changes Acceptance and Transitioning

h.

BAI08 Manage Knowledge

i.

BAI09 Manage Assets

j.

BAI10 Manage Configuration

Deliver, Service, and Support.

18

Fokus pada aspek pengiriman teknologi informasi, proses, dan dukungan


yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan efisien.
Domain ini memiliki 6 proses, yakni:

5.

a.

DSS01 Manage Operations

b.

DSS02 Manage Service Requests and Incidents

c.

DSS03 Manage Problems

d.

DSS04 Manage Continuity

e.

DSS05 Manage Security Service

f.

DSS06 Manage Business Process Controls

Monitor, Evaluate, and Assess


Menawarkan strategi perusahaan dalam menilai kebutuhan perusahaan,
mencakup penilaian independen terhadap efektivitas sistem TI.
Domain ini memiliki 3 proses, yakni:
a.

MEA01 - Monitor, Evaluate, and Assess Performance and


Conformance

b.

MEA02 - Monitor, Evaluate, and Assessthe Sistem of Internal


Control

c.

MEA03 - Monitor, Evaluate, and Assess Compliance with External


Requirements

II.6

Capability Model

ISO 15504 mendefinisikan pengukuran untuk penilaian kemampuan proses (process


capability) dari framework COBIT. Process capability didefinisikan pada 6 skala
poin dari 0 hingga 5. Skala ini merepresentasikan peningkatan capability dari proses
yang diimplementasikan, bukan dari pencapaian tujuan proses untuk memenuhi
tujuan bisnis saat ini dengan tujuan bisnis yang akan datang.
Berikut penjelasan skala dari process capability.

19

a.

Skala 0 (incomplete process)


Proses tidak dilaksanakan atau gagal untuk mencapai tujuan prosesnya. Pada
tingkat ini, ada sedikit atau tidak sama sekali bukti (evidence) dari setiap
pencapaian tujuan proses.

b.

Skala 1 (performed process)


Proses diimplementasikan untuk mencapai tujuan bisnisnya.

c.

Skala 2 (managed process)


Proses yang diimplementasikan dikelola (plan, monitor, and adjusted) dan
hasilnya ditetapkan dan dikontrol.

d.

Skala 3 (established process)


Proses didokumentasikan dan dikomunikasikan (untuk efisiensi organisasi).

e.

Skala 4 (predictable process)


Proses dimonitor, diukur, dan diprediksi untuk mencapai hasil.

f.

Skala 5 (optimizing process)


Sebelumnya proses telah diprediksikan kemudian ditingkatkan untuk
memenuhi tujuan bisnis yang relevan dan tujuan yang akan datang.

II.7

IT Balance Scorecard

Penggunaan IT BSC merupakan salah satu cara paling efektif untuk membantu
penyelarasan TI dan bisnis. Tujuannya adalah membuat sebuah fasilitas bagi
pelaporan manajemen, menumbuhkan konsensus diantara stakeholder kunci
mengenai tujuan strategis TI, menunjukkan efektivitas dan nilai tambah dari TI dan
mengkomunikasikan kinerja risiko serta kemampuan TI.
Berikut perspektif dalam mengevaluasi kinerja TI antara lain sebagai berikut.
1.

Perspektif Kontribusi Organisasi (Corporate Contribution)


Perspektif kontribusi organisasi (corporate contribution) adalah perspektif
yang mengevaluasi kinerja TI berdasarkan pandangan dari manajemen
eksekutif, para direktur, dan shareholder. Evaluasi TI dapat dipisahkan

20

menjadi 2 macam, yakni jangka pendek yang berupa evaluasi secara financial
dan jangka panjang yang berorientasi pada proyek dan fungsi TI itu sendiri.
2.

Perspektif Orientasi Pengguna (User Orientation)


Perspektif orientasi pengguna (user orientation) adalah perspektif yang
mengevaluasi kinerja TI berdasarkan cara pandang pengguna bisnis yang ada.
Dalam perspektif ini, organisasi melakukan identifikasi pelanggan dan
segmen pasar yang akan dimasuki. Dengan perspektif orientasi pengguna ini,
maka organisasi dapat menyelaraskan berbagai ukuran pelanggan, yaitu
kepuasan, loyalitas, retensi, akuisisi, dan profitabilitas, dengan pelanggan
sendiri, dan segmen pasar sasaran.

3.

Perspektif Keunggulan Operasional (Operational Excellence)


Perspektif ini adalah perspektif yang menilai kinerja TI berdasarkan cara
pandang manajemen dengan audit dan pihak yang menetapkan aturan-aturan
yang digunakan.

4.

Perspektif Orientasi Dimasa Depan ( Future Orientation)


Perspektif ini adalah perspektif yang menilai kinerja TI berdasarkan cara
pandang dari departemen itu sendiri, yaitu pelaksanaan, para praktisi dan
professional yang ada. Pada perspektif terakhir ini akan menyiapkan
infrastruktur organisasi yang memungkinkan tujuan-tujuan dalam tiga
perspektif lainnya dapat dicapai. Kemampuan organisasi untuk dapat
menghasilkan produk atau jasa di masa mendatang dengan kemampuan
layanan yang memuaskan harus dipersiapkan mulai dari saat ini. Pihak
manajemen harus dapat memperkirakan tren dimasa datang dan membuat
langkah-langkah persiapan untuk mengantisipasinya.

II.8 Assessment Process Teknologi Informasi


II.8.1 Definisi Assessment Process TI
Menurut ISO/IEC 15504-4, assessment proses adalah aktifitas yang dilakukan
sebagai bagian dari inisiatif perbaikan proses ataupun bagian dari pendekatan

21

determinasi kapabilitas proses. Tujuan perbaikan proses adalah secara kontinyu


meningkatkan

efektifitas

dan

efisiensi

perusahaan.

Tujuan

determinasi

kapabilitas proses adalah untuk mengidentifikasi kekuatan, kelemahan dan risiko


dari proses tertentu dengan mengambil referensi kepada requirement proses
tersebut dan penyelarasannya terhadap kebutuhan bisnis.
II.8.2 Tahapan Assessment
Berikut

ini

merupakan

tahapan

assessment

menurut

ISO/IEC

15504-4

berdasarkan Process Assessment Model (PAM) dengan menggunakan Process


Reference Model (PRM) COBIT 5.

Gambar II-2 Tahapan Assessment (Sumber: ISACA)


Adapun cara untuk melakukan Assessment adalah:
a.

Planning
Assessment plan mendeskripsikan seluruh aktivitas yang akan dilakukan
dalam pelaksanaan assessment, yang termasuk di dalamnya antara lain

22

identifikasi ruang lingkup

proyek,

mengalokasikan

sumber

daya

untuk

melaksanakan assessment, menentukan metode untuk menyusun, mereview,


melakukan validasi dan mendokumentasikan informasi yang dibutuhkan
untuk melakukan assessment serta mengordinasikan aktifitas assessment
dengan organisasi atau grup yang akan di-assess.
b.

Data Collection
Assessor

mendapatkan

dan

mendokumentasikan

pemahaman

mengenai

proses-proses TI saat ini termasuk tujuan, input, output serta work product
yang memadai

untuk

mendukung

kepentingan

assessment.

Data

yang

dikumpulkan untuk mengevaluasi proses TI harus dikumpulkan secara


sistematis sesuai ruang lingkup. Setiap evidence harus didokumentasikan ke
dalam assessment record.
c.

Data Validation
Terkait akurasi dan kecukupan data assessment sesuai ruang lingkup, hal
yang perlu diperhatikan antara lain adalah informasi yang didapatkan dari
pihak pertama, sebisa mungkin sumber yang independen dan melaksanakan
sesi feedback untuk melakukan validasi terhadap data yang sudah dikumpulkan

d.

Process Atribute Rating


Untuk setiap proses yang dinilai, diberikan rating untuk setiap atribut
proses sesuai dengan aturan yang ada pada COBIT 5. Traceability harus
dilakukan antara evidence objek yang telah dikumpulkan sebelumnya dengan
rating

proses

yang diberikan. Untuk setiap rating, keterhubungan antara

indikator dan evidence objek harus direkam ke dalam working paper.


e.

Reporting
Hasil assessment dianalisis dan disampaikan ke dalam bentuk laporan.
Laporan harus mengandung isu-isu kunci yang dihasilkan dari proses
assessment yakni area kekuatan dan kelemahan dari proses yang di-assess dan
temuan risiko tinggi, diketahuinya kesenjangan antara kapabilitas yang ada
dengan yang diharapkan ke depan (target).

23

II.9 RACI Chart


Diagram RACI yang merupakan bagian dari Rensponsibility Assignment Matrix
(RAM). RAM adalah suatu bentuk pemetaan antara sumber daya dengan aktivitas
dalam setiap prosedur. RACI

merupakan

singkatan

dari Responsibility (R),

Accountable (A), Consult (C), dan Inform (I). Berikut merupakan definisi dari
diagram RACI.
a. Responsibility (R) menunjukkan bahwa bagian tersebut merupakan pihak
pelaksana yang harus bertanggungjawab melaksanakan dan menyelesaikan
aktivitas yang menjadi tanggung jawabnya.
b. Accountable (A) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana
yang harus mengarahkan jalannya pelaksanaan aktivitas.
c. Consult (C) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana
yang akan menjadi tempat konsultasi selama pelaksanaan aktivitas.
d. Inform (I) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana
yang akan menjadi pihak yang diberikan informasi mengenai pelaksanaan
aktivitas.

24

BAB III
METODOLOGI PENELITIAN

III.1

Model Konseptual

Model konseptual merupakan suatu kerangka konseptual yang menerangkan


mengenai serangkaian ide global tentang keterlibatan variabel-variabel yang
berkaitan terhadap suatu ilmu dan pengembangannya. Model konseptual dari
penelitian ini adalah sebagai berikut.

Gambar III-1 Model Konseptual


Dokumen yang digunakan sebagai input dalam penelitian ini adalah rencana strategis
(renstra). Renstra memberikan informasi berupa tujuan bisnis dari Politeknik Telkom.
Renstran tersebut dipetakan (mapping) kedalam IT BSC untuk mengetahui hubungan
antara tujuan TI Politeknik Telkom, tujuan bisnis Politeknik Telkom, dan proses TI
yang ada dalam framework COBIT 5. Setelah dilakukan mapping, diperoleh domain
apa saja yang harus diukur (IT Process), dalam penelitian ini domain yang akan
diukur adalah domain DSS dan APO . Dari penilaian domain, dihasilkan suatu nilai
yang disebut capability level dan opportunity of improvement (OFI).

25

III.2

Sistematika Penelitian

Sistematika penelitian merupakan tahapan yang harus dilakukan dalam suatu


penelitian untuk mencapai hasil yang diinginkan. Sistematika penelitian dalam
penelitian ini adalah sebagai berikut.

26

Gambar III-2 Sistematika Penelitian

27

Tahap Inisiasi dan Persiapan


Pada tahap ini dilakukan perumusan masalah sehingga bisa diketahui tujuan dalam
penelitian ini. Setelah dibuat tujuan penelitian, maka bisa ditentukan batasan
penelitian agar dapat fokus pada tujuan. Studi literatur dan studi objek kajian
dilakukan pada tahap ini, yakni mempelajari teori-teori yang relevan seperti IT
Governance, framework COBIT 5 dan IT BSC, diperkuat dengan dokumen yang
diperoleh dari Politeknik Telkom seperti, dokumen renstra, struktur organisasi, dan
proses bisnis.
Tahap Kajian Objek
Inputan pada tahap ini berupa dokumen renstra. Setelah melakukan tahap inisiasi,
dibuat timeline penilaian agar proses penilaian dapat selesai tepat waktu. Kemudian
dilakukan mapping antara business goal yang ada pada renstra kedalam perspektif IT
BSC pada framework COBIT 5. Mapping tersebut bertujuan menghubungkan antara
tujuan TI, tujuan bisnis dengan proses TI. Sehingga didapatkan domain yang harus
diukur, yakni domain DSS dan APO . Pada tahap ini juga dilakukan perancangan
prosedur penilaian yang akan digunakan, meliputi pembuatan kuesioner dan
pembuatan form assessment, yang nantinya akan diverifikasi untuk menuju ke tahap
berikutnya.
Tahap Validasi Data
Tahap data validation merupakan tahap proses inti dari penelitian ini. Ditahap ini
dilakukan proses penilaian pada domain DSS dan APO dengan cara wawancara
dengan narasumber atau observasi secara langsung di Politeknik Telkom. Hasil dari
tahap ini kemudian

diproses

pada

tahap

process

attribute

rating

untuk

menghasilkan suatu skala.

28

Tahap Analisis dan Pelaporan


Tahap analisis dan rekomendasi merupakan tahap proses inti dari penelitian ini.
Ditahap ini dilakukan proses penilaian pada domain yang didapat dari proses
mapping, wawancara dengan narasumber, dan observasi di Politeknik Telkom.
Kemudian hasilnya berupa suatu besaran nilai yang kemudian dilakukan penilaian
terhadap capability process untuk menghasilkan capability level. Disini juga
dilakukan verifikasi terhadap temuan yang ada. Kemudian dilakukan penyususnan
proses perbaikan untuk tiap proses. Setelah itu dilakukan penyusunan Laporan Hasil
Penilaian (LHP) yang akan diserahkan ke SISFO Politeknik Telkom sebagai pihak
auditee.
Tahap Kesimpulan dan Saran
Pada tahap terakhir diaakan exit meeting antara auditor dengan auditee. Tujuannya
adalah untuk memberikan kesimpulan dari penelitian ini dan saran untuk penelitian
selanjutnya serta penyerahan dan penandatanganan dokumen LHP. Dengan
penandatanganan ini, maka berakhirlah proses penilaian terhadap implementasi IT
Governance di Politeknik Telkom.

29

BAB IV
PELAKSANAAN PENELITIAN
IV.1 Perencanaan Penilaian
Perencanaan merupakan salah satu faktor kunci dalam keberhasilan sebuah kegiatan.
Begitu pula dengan penelitian ini. Agar kegiatan penilaian ini berjalan sistematis,
diperlukan perencanaan yang disusun harus jelas dan detail. Perencanaan pada
kegiatan penilaian ini meliputi pengumpulan data dan dokumen, mapping terhadap
renstra Politeknik Telkom dengan Framework COBIT versi 5, identifikasi domain
yang dinilai, perancangan prosedur penilaian, serta analisis dan rekomendasi
IV.1.1 Estimasi Waktu Proses Penilaian
Perencanaan penilaian diawali dengan membuat estimasi waktu dari proses penilaian
yang telah disusun. Berikut merupakan estimasi waktu proses penilaian yang telah
disusun.
Tabel IV-1 Estimasi Waktu Proses Penilaian
No
1
2
3
4
5
6
7
8
9
10

Nama Pekerjaan
Pengumpulan data dan dokumen
Mapping renstra ke framework COBIT 5
Identifikasi domain yang dinilai
Perancangan prosedur penilaian
Proses penilaian
Observasi
Identifikasi temuan
Pembuatan rekomendasi
Pembuatan laporan
Exit meeting

Hari
20
7
2
2
20
7
4
5
4
1

IV.1.2 Perancangan Program Penilaian


Adapun langkah-langkah untuk melakukan penilaian dimulai dari mapping antara
renstra Politeknik Telkom dengan enterprise goal yang ada di COBIT 5. Hasil dari
mapping tersebut nantinya harus divalidasi oleh bagian SISFO sebagai pihak TI dan
bagian Satuan Penjaminan Mutu (SPM) sebagai pihak bisnis. Langkah selanjutnya

30

adalah penilaian untuk menilai skala posisi TI pada Politeknik Telkom. Berikut
merupakan langkah-langkah penilaian yang telah dilakukan di Politeknik Telkom.

Gambar IV-I-1 Langkah-langkah penilaian


IV.1.3 Mapping Renstra terhadap COBIT 5
Adapun langkah untuk melakukan mapping ini adalah dengan mencari kesesuaian
antara enterprise goal yang terdapat di COBIT 5 dengan strategi bisnis dari Politeknik

31

Telkom yang tercantum pada renstra tahun 2010-2013. Mapping ini berfungsi untuk
mengetahui proses apa saja yang akan dinilai dengan melakukan pembobotan
terhadap hasil mapping. Berikut hasil mapping yang telah dilakukan.

32

Tabel IV-2 Hasil Mapping Renstra terhadap Enterprise Goal


Renstra Politeknik Telkom

No

Enterprise Goals COBIT 5

Memanfaatk
an
keterlibatan
mahasiswa
dalam
membangun
institusi
dalam artian
seluasluasnya

Inovasi
Internal
dalam
rangka
penguata
n struktur,
proses,
sistem,
dan tata
kelola

Optimalis
asi
dukungan
IT guna
mengingk
atkan
efektivitas
dan
efisiensi
organisasi

Implementa
si
Penjaminan
Mutu

Pembangunan
core
competencies
Politeknik
Telkom dan
program studi
yang ada

Nilai bagi stakeholder terhadap investasi


bisnis

Portofolio produk dan layanan yang


kompetitif

Risiko bisnis dikelola pengamanan asset

Kepatuhan terhadap hukum dan peraturan


eksternal

Transparansi keuangan

Budaya pelayanan berorientasi pelanggan

Layanan bisnis kontinuitas dan ketersediaan

10

Tanggapan yang cepat terhadap perubahan


lingkungan bisnis
Tanggapan yang cepat terhadap perubahan
lingkungan
Optimalisasi biaya pelayanan

11

Optimalisasi fungsi proses bisnis

12

Optimalisasi biaya proses bisnis

13

Program perubahan bisnis dikelola

14

Operasional dan produktivitas staf

15

Kepatuhan terhadap kebijakan internal

16

Orang-orang terampil dan termotivasi

17

Budaya inovasi produk dan bisnis

33

IV.1.4 Identifikasi Proses yang akan dinilai


Berdasarkan hasil mapping renstra terhadap enterprise goal kemudian dilakukan
pembobotan (hasil lengkapnya terdapat di lampiran ) maka didapat proses yang akan
dilakukan penilaian. Penilain akan dilakukan pada proses-proses yang termasuk
domain APO dan DSS. APO merupakan domain yang membahas mengenai bentuk
organisasi dan infrastruktur IT dengan tujuan untuk mencapai hasil yang optimal dan
menghasilkan banyak manfaat dengan penggunaan TI, sedangkan DSS merupakan
domain yang fokus pada aspek pengiriman teknologi informasi, proses, dan dukungan
yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan efisien.
Berikut merupakan proses-proses yang akan dilakukan penilaian.
Tabel IV-3 Hasil Mapping APO
No

Proses

Nama Proses

Disarankan

APO01

Mengelola IT Management Framework

Ya

APO02

Mengelola Strategi

Tidak

APO03

Mengelola Enterprise Architecture

Tidak

APO04

Mengelola Inovasi

Tidak

APO05

Mengelola Portofolio

Ya

APO06

Mengelola Anggaran dan Biaya

Tidak

APO07

Mengelola Sumber Daya Manusia

Tidak

APO08

Mengelola Hubungan

Tidak

APO09

Mengelola Persetujuan Layanan

Tidak

10

APO10

Mengelola Supplier

Tidak

11

APO11

Mengelola Kualitas

Ya

12

APO12

Mengelola Resiko

Ya

13

APO13

Mengelola Keamanan

Tidak

34

Tabel IV-4 Hasil Mapping DSS


No

Proses

Nama Proses

Disarankan

DSS01

Mengelola Operasi

Tidak

DSS02

Mengelola Permintaan Layanan dan Insiden Ya

DSS03

Mengelola Masalah

Tidak

DSS04

Mengelola Keberlanjuta

Tidak

DSS05

Mengelola Layanan Keamanan

Ya

DSS06

Mengelola Kontrol Proses Bisnis

Ya

Adapun proses yang dinilai meliputi APO01, APO05, APO11, APO12, DSS02,
DSS05, dan DSS06.
IV.1.5 Perancangan Form Assessment
Perancangan program penilaian meliputi form assessment yang berupa pertanyaan
yang disusun berdasarkan kriteria-kriteria yang ada pada COBIT 5. Form assessment
yang digunakan berisi mengenai kinerja proses TI, pengelolaan kinerja TI,
pengelolaan produk TI, definisi proses TI, dan implementasi proses TI. Untuk
penjelasan lebih lengkap mengenai form assessment terdapat pada Lampiran .
IV.2 Pelaksanaan Penelitian
IV.2.1 Deskripsi Objek Penelitian
Objek penilaian pada penelitian ini adalah Politeknik Telkom. Politeknik Telkom
merupakan salah satu PT swasta di Indonesia yang berdiri pada tahun 2007, yang
bernaung dibawah Yayasan Pendidikan Telkom (YPT). Motto dari Politeknik Telkom
adalah Giving and Caring The World. Visi Politeknik Telkom adalah Menjadi
Politeknik unggulan di bidang Manajemen dan Teknologi Informasi & Komunikasi di
Asia Tenggara. Dan salah satu misi Politeknik Telkom adalah Terus melakukan
transisi untuk tumbuh secara mandiri, berkelanjutan, dan mempunyai tata kelola yang
baik (Good Polytechnic Governance). Untuk menunjang ketiga hal tersebut maka

35

diperlukan

dukungan

TI

yang

baik

yang

mampu

mengefektifkan

dan

mengefisiensikan setiap proses aktivitas.dari Politeknik Telkom. Pada Politeknik


Telkom bagian SISFO dan Layanan Akademik bertugas untuk menyediakan layanan
dan dukungan TI untuk menunjang proses bisnis Politeknik Telkom tersebut, seperti
menyediakan infrastruktur jaringan dan aplikasi student portal yaitu SIPOLITEL.
IV.2.2 Struktur Organisasi
Berikut ini merupakan struktur Organisasi dari Politeknik Telkom.

Gambar IV-I-2 Struktur Organisasi Politeknik Telkom (Politeknik Telkom, 2013)


Bagian SISFO dan Layanan Akademik yang kepalai oleh seorang Manager setingkat
kepala bagian bertanggung jawab langsung kepada Wakil Direktur II, yang juga
membawahi bagian Dukungan Manajemen. Bagian SISFO dan Layanan Akademik
masing-masing memiliki seorang asisten manager dan memliliki beberapa staf untuk

36

menangani aplikasi dan infrastruktur TI, yaitu programmer, system analist, network
engineer, hardware engineer dan network engineer.
IV.2.3 Pemilihan Objek Penilaian
Pemilihan objek yang dinilai dilakukan berdasarkan diagram RACI dari COBIT 5
yang telah dipetakan sesuai dengan kondisi di Politeknik Telkom. Hal ini bertujuan
agar penilaian tepat dilakukan terhadap pihak yang memiliki tanggungjawab terhadap
proses terkait.
Tabel IV-5 Objek Penilaian
No

Proses

Nama Proses

Objek Penilaian

APO01

Mengelola IT Management Framework

Manager SISFO

APO05

Mengelola Portofolio

Manager SISFO

APO11

Mengelola Kualitas

Manager SPM

APO12

Mengelola Resiko

Manager SPM

DSS02

Mengelola Permintaan Layanan dan Insiden

Manager SISFO

DSS05

Mengelola Layanan Keamanan

Manager SISFO

DSS06

Mengelola Kontrol Proses Bisnis

Manager SISFO

IV.2.4 Penilaian Capability Level


Target pencapaian capability level untuk Politeknik Telkom

ada pada skala 3.

Berikut merupakan tingkat capability level dari hasil penilaian yang dibandingkan
dengan target yang diinginkan oleh Politeknik Telkom.
e.

Proses APO01 - Mengelola IT Management Framework

Pada proses APO01 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.

37

Tabel IV-6 Daftar Dokumen dan Base Practice yang belum dilakukan pada APO01
Dokumen
1. Definisi IT-related
2. Komunikasi pada tujuan TI
3. Data integrity procedures

Base Practice
1. Mengidentifikasi keputusan yang
diperlukan
untuk
pencapaian
outcome perusahaan dan strategi TI,
dan
untuk
pengelolaan
dan
pelaksanaan layanan TI.
2. Membentuk IT strategy committee
(atau setara) di tingkat direksi
3. Membentuk IT strategy committee
(atau setara) yang terdiri dari
eksekutif, bisnis, dan manajemen TI
untuk menentukan prioritas dari ITenabled investment programmes
sejalan dengan strategi bisnis dan
prioritas prusahaan, melacak status
proyek dan menyelesaikan konflik
sumber daya, dan memantau tingkat
layanan dan layanan perbaikan
4. Menetapkan,
menyetujui
dan
mengkomunikasikan IT-related roles
and resposibilities untuk semua
personil dalam perusahaan, sejalan
dengan kebutuhan bisnis dan tujuan.
Dengan
jelas
menggambarkan
tanggung jawab dan akuntabilitas,
terutama
untuk
pengambilan
keputusan dan persetujuan
5. Mendapatkan pemahaman tentang
visi, arahan, dan strategy perusahaan

Berdasarkan penilaian yang telah dilakukan, maka ditemukan 3 dokumen dan 5 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.

38

APO01 - Mengelola IT Management


Framework

2
1
0
Target

Capability Level

Gambar IV-I-3 Tingkat Capability Level pada Proses APO01


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO01 berada pada level 1.
b.

Proses APO05 Mengelola Portofolio

Pada proses APO05 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-7 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO05
Dokumen
Base Practice
1. Pengembalian harapan investasi
1. Penentuan implikasi dari sumber
2. Penilaian business case
pendanaan
pada
pengembalian
3. Aksi Koreksi untuk meningkatkan
harapan investasi
realisasi manfaat
2. Penentuan kandidat program yang
harus dipindahkan ke investasi
portofolio yang aktif
3. Penentuan
pencapaian
yang
dibutuhkan untuk siklus hidup
ekonomi setiap program yang dipilih
4. Memberikan laporan manajemen
untuk
manajemen
senior
dari
kemajuan perusahaan kea rah tujuan
yang diidentifikasi
5. Mengahapus program dari investasi
portofolio ketika manfaat yang
diinginkan telah tercapai
6. Pertimbangan mendapatkan bimbingan
dari ahli eksternal, benchmarking
39

untuk menguji dan


metrik dan target

meningkatkan

Berdasarkan penilaian yang telah dilakukan, maka ditemukan 3 dokumen dan 6 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.

APO05 - Mengelola Portofolio


3
2
1
0
Target

Capability Level

Gambar IV-I-4 Tingkat Capability Level pada Proses APO05


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO05 berada pada level 1.
b. Proses APO11 - Mengelola Kualitas
Pada proses APO11 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-8 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO11
Dokumen
Base Practice
1. Peran, tanggung jawab dan decision 1. Memastikan bahwa framework kontrol
rights QMS
TI, bisnis dan proses TI termasuk
2. Komunikasi
dalam
perbaikan
standar, formal dan pendekatan
berkelanjutan dan best practices
berkelanjutan untuk manajemen mutu
yang sesuai dengan persyaratan
perusahaan
2. Mendefinisikan peran, tugas, hak dan
tanggung jawab untuk keputusan
40

manajemen mutu dalam struktur


organisasi.
3. Menyelaraskan manajemen mutu TI
dengan sistem mutu perusahaan untuk
mendorong
standarisasi
dan
pendekatan terhadap kualitas.
4. Secara efektif mengkomunikasikan
pendekatan
(misalnya,
melalui
program reguler, kualitas pelatihan
formal).
5. Pertimbangkan manfaat dan biaya
sertifikasi mutu.
6. Memberikan karyawan
pelatihan
dalam metode dan sarana perbaikan
berkelanjutan.
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 2 dokumen dan 6 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.

APO11 - Mengelola Kualitas


3
2
1
0
Target

Capability Level

Gambar IV-I-5 Tingkat Capability Level pada Proses APO11


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO11 berada pada level 1.

41

c. Proses APO12 - Mengelola Resiko


Pada proses APO12 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-9 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO12
Dokumen
1. Data di lingkungan kerja yang
berhubungan dengan resiko
2. data pada saat terjadi resiko dan
factor penyebabnya
3. Ruang lingkup dari usaha analisis
resiko
4. Skenario resiko TI
5. Hasil analisis resiko
6. Skenario
resiko
yang
terdokumentasi sesuai bisnis dan
fungsi
7. Keseluruhan profil resiko
8. Laporan analisis resiko dan profil
resiko untuk para stakeholder
9. Hasil tinjauan penilaian resiko thirdparty
10. Kesempatan untuk penerimaan
resiko yang lebih besar
11. Proposal proyek untuk menurunkan
resiko
12. Mengkomunikasikan
dampak
terjadinya resiko
13. Akar penyebab resiko terkait

Base Practice
1. Memantapkan dan mempertahankan
metode pengumpulan data, klasifikasi
dan analisis resiko terkait
2. Merekam data yang relevan pada
lingkungan operasi internal dan
eksternal perusahaan
3. Menganalisis data historis resiko TI
dan pengalaman kerugian dari data
yang tersedia
4. Mengatur data yang dikumpulkan dan
menyoroti akar penyebabnya
5. Menentukan kondisi khusus yang ada
atau tidak ketika resiko terjadi
6. Pelaksanaan event periodik dan
analisis
faktor
resiko
untuk
mengidentifikasi
apakah
resiko
tersebut baru atau muncul kembali
7. Menentukan analisis resiko yang
tepat, mempertimbangkan semua
factor resiko dan kritikalitas asset
bisnis
8. Membuat
dan
secara
teratur
mengupdate skenario resiko TI
9. Memperkirakan
frekuensi
dan
besarnya kerugian atau keuntungan
yang terkait dengan resiko resiko TI.
10. Membandingkan residual risk untuk
toleransi resiko yang dapat diterima
11. Tentukan high-level requirement
untuk proyek atau program yang akan
menerapkan tanggapan resiko tertentu
12. Validasi hasil analisis resiko sebelum
menggunakannya dalam pengambilan
keputusan
13. Mengumpulkan scenario resiko saai
42

ini berdasarkan kategori bisnis dan


area fungsional
14. Mengambil semua informasi profil
resiko
dan
mengkonsolidasikan
menjadi sebuah profil resiko
15. Menentukan seperangkat indikator
resiko
yang
memungkinkan
identifikasi cepat serta pemantauan
resiko saat ini
16. Menangkap informasi atas peristiwa
resiko TI yang telah terwujud, untuk
dimasukkan ke dalam profil resiko TI
17. Melaporkan hasil analisis resiko
kepada semua stakeholder terkait
untuk
mendukung
keputusan
perusahaan
18. Menyediakan pengambil keputusan
dengan pemahaman tentang skenario
terburuk dan paling mungkin terjadi
19. Laporan profil resiko saat ini untuk
semua
stakeholder,
termasuk
efektivitas proses manajemen resiko
dan efektifitas control
20. Meninjau hasil penilaian tujuan pihak
ketiga, audit internal dan ulasan
jaminan tinjauan, lalu memetakannya
ke dalam profil resiko
21. Mengidentifikasi
peluang
yang
berkaitan
dengan
TI
yang
memungkinkan penerimaan resiko
yang lebih besar dan meningkatkan
growth dan return
22. Menjaga investasi kegiatan control
untuk mengelola resiko dan yang
memungkinkan resiko untuk diambil
23. Menentukan apakah setiap entitas
organisasi memonitor risiko dan
menerima tanggung jawab atas
operasi dalam diri individu dan
tingkat portofolio toleransi
24. Menentukan proposal proyek yang
seimbang
dirancang
untuk
mengurangi risiko dan/atau proyek
yang
memungkinkan
peluang

43

strategis
perusahaan,
mempertimbangkan biaya/manfaat,
efek pada profil risiko dan peraturan
yang berlaku
25. Menyiapkan,
memelihara
dan
menguji
rencana
yang
mendokumentasi
langkah-langkah
spesifik untuk mengetahui kapan
peristiwa risiko dapat menyebabkan
insiden
operasional
atau
perkembangan yang menyebabkan
dengan serius pada bisnis
26. Mengelompokkan
insiden,
dan
membandingkan eksposur aktual
terhadap ambang batas toleransi
risiko. Mengkomunikasikan dampak
bisnis pada para pengambil keputusan
sebagai bagian dari pelaporan, dan
memperbarui profil risiko
27. Menerapkan rencana respon yang
tepat untuk meminimalkan dampak
risiko ketika insiden terjadi
28. Memeriksa
peluang
efek
samping/kerugian dan kehilangan
yang pernah terjadi dan menentukan
akar
penyebabnya.
Mengkomunikasikan akar penyebab,
kebutuhan tambahan repon risiko dan
perbaikan proses untuk pengambil
keputusan yang tepat dan memastikan
bahwa penyebab, persyaratan respon,
dan perbaikan proses termasuk dalam
proses tata kelola risiko
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 13 dokumen dan 28
base practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat
capability level sebagai berikut.

44

APO12 - Mengelola Resiko


3
2
1
0
Target

Capability Level

Gambar IV-I-6 Tingkat Capability Level pada Proses APO12


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO12 berada pada level 0.
d. Proses DSS02 - Mengelola Permintaan Layanan dan Insiden
Berdasarkan penilaian yang telah dilakukan pada proses DSS02, seluruh dokumen
dan base practice telah didokumentasikan dan dilakukan oleh Politeknik Telkom.
Sehingga diperoleh tingkat capability level sebagai berikut.

DSS02 - Mengelola Permintaan


Layanan dan Insiden
3
2
1
0
Target

Capability Level

Gambar IV-I-7 Tingkat Capability Level pada Proses DSS02


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses DSS02 juga berada pada level 3,

45

sehingga pada proses ini Politeknik Telkom sudah mencapai target yang telah
ditetapkan.
e. Proses DSS05 - Mengelola Layanan Keamanan
Pada proses DSS05 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom
Tabel IV-10 Daftar Dokumen dan Base Practice yang Belum dilakukan pada DSS05
Dokumen
Base Practice
1. Perangkat lunak berbahaya yang 1. Menginstall
dan
mengaktifkan
melawan kebijakan
perangkat proteksi terhadap software
2. Inventarisasi
dokumen
dan
yang berbahaya pada seluruh
perangkat sensitif
fasilitas pengolahan, dengan data
software berbahaya yang diperbarui
sesuai kebutuhan (otomatis atau
semi-otomatis).
2. Mendistribusikan semua proteksi
terhadap software berbahaya secara
terpusat (version dan patch-level)
menggunakan konfigurasi yang
terpusat dan manajemen perubahan
3. Mengadakan
pelatihan
berkala
mengenai malware pada email dan
saat penggunaan internet. User
dilatih untuk tidak menginstal
software yang dibagikan atau tidak
disetujui
4. Menetapkan
prosedur
untuk
mengatur penerimaan, penggunaan,
penghapusan
dan
pembuangan
perangkat dengan bentuk khusus dan
output ke dalam maupun keluar
perusahaan
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 2 dokumen dan 4 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.

46

DSS05 - Mengelola Layanan


Keamanan
3
2
1
0
Target

Capability Level

Gambar IV-I-8 Tingkat Capability Level pada Proses DSS05


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses DSS05 berada pada level 1.
f. Proses DSS06 - Mengelola Kontrol Proses Bisnis
Pada proses DSS06 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-11 Daftar Dokumen dan Base Practice yang Belum dilakukan pada DSS06
Dokumen
1. Bukti koreksi kesalahan
remidiasi

dan

1.

2.
3.

4.

5.

Base Practice
Prioritas
aktivitas
kontrol
berdasarkan risiko inheren pada
bisnis dan indetifikasi kontrol kunci
Memastikan kepemilikan kunci
aktivitas control
Menangani output yang diotorisasi,
menyampaikan ke penerima yang
tepat dan melindungi informasi
selama transmisi. Memverifikasi
akurasi dan kelengkapan output
Alokasi peran untuk aktivitas
sensitif
sehingga
terhadap
perbedaan jelas segregation duty
Menyediakan
awareness
dan
pelatihan mengenai peran dan
tanggung jawab pada basis reguler

47

6.

7.

8.
9.

sehingga semua orang memahami


tanggung
jawab;
kepentingan
kontrol; integritas tanggung jawab
mereka, kerahasiaan dan privasi
informasi perusahaan disemua form
Secara periode mereview defenisi
kontrol akses, log, dan laporan
eksepsi untuk memastikan semua
privileges akses valid dan selaras
dengan staf yang ada dan alokasi
peran mereka
Melakukan follow up, koreksi,
persetujuan, dan resubmit sumber
dokumen dan transaksi
Memelihara bukti aksi remedial
Menyediakan penggunaan training
dan kesadaran yang dapat diterima

Berdasarkan penilaian yang telah dilakukan, maka ditemukan 1 dokumen dan 9 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.

DSS06 - Mengelola Kontrol


Proses Bisnis
3
2
1
0
Target

Capability Level

Gambar IV-I-9 Tingkat Capability Level pada Proses DSS06


Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses DSS06 berada pada level 1.
IV.2.5 Rekapitulasi Hasil Penilaian Capability Level
Persentase capability level dari hasil penilaian secara keseluruhan adalah sebagai
berikut.
48

Tabel IV-12 Rekapitulasi Capability Level


Proses TI

APO01

APO05

APO11

APO12

DSS02

DSS05

DSS06

Process
Attribute (PA)
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

Capability Level
86%
80.56%
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
72%
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
87%
50%
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
8%
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
100%
100%
100%
100%
100%
88.89%
88%
21%
Tidak Dinilai
Tidak Dinilai
76%
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai
Tidak Dinilai

Capability
yang dicapai
1

49

Pencapaian capability level untuk masing-masing proses TI adalah sebagai berikut.

APO01
APO05
APO11
Capability Level

APO12

Target Optimal
DSS02
DSS05
DSS06
0

Gambar IV-I-10 Rekapitulasi Capability Level


Berdasarkan penilaian yang dilakukan, terdapat 1 proses yang telah mencapai pada
level yang ditargetkan yaitu capability level 3 atau established pada proses DSS05,
namun ada pula 1 proses yang berada pada capability level 0 atau incomplete process
yaitu proses APO12. Sedangkan sisanya yaitu proses APO01, APO05, APO11, DSS05
dan DSS06 berada pada capability level 1 atau performed process.

50

BAB V
ANALISIS DAN REKOMENDASI
V.1 Analisis Gap antara Hasil Penilaian dengan Target Optimal
V.1.1 Analisis Gap Proses APO01 Mengelola IT Management Framework
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO01 tiap levelnya. Berikut merupakan tabel Gap dari proses APO01
Tabel V-1 Gap pada proses APO01
Proses
TI

APO01

Process
Hasil
Attribute Penilaian
(PA)
(%)
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

86%
80.56%
0%
0%
0%

Target
Optimal
(%)

Gap
(%)

100%

14%
19.44%
100%
100%
100%

Proses APO01 memiliki gap sebesar 14% pada PA 1.1, gap sebesar 19.44% pada
PA2.1, dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut
menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan
IT Management Framework di Politeknik Telkom dinilai masih rendah karena hanya
mencapai skala 1 (performed process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO01.

51

Gambar V-1 Sebab Akibat Gap pada proses APO01


Berdasarkan analisis akar permasalahan dengan diagram

fishbone pada proses

APO01 menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola IT


Management Framework dikarenakan faktor Sistem dan Manajemen. Faktor Sistem
diakibatkan Komunikasi tujuan dan arahan manajemen, dimana informasi yang
disampaikan terkadang kurang terperinci seseuai dengan tingkat penerimanya. Selain
itu Informasi data dan Sistem Kepemilikan, dimana belum ada pendefinisian prosedur
data integritas. Dari faktor Manajemen ada unsur peran dan tanggung jawab, dimana
belum ada pendefinisian IT-related roles and responsibilities.
V.1.2 Analisis Gap Proses APO05 Mengelola Portofolio
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO05 tiap levelnya.Berikut ini merupakan tabel gap pada proses APO05.
Tabel V-2 Gap pada Proses APO05
Proses
TI

APO05

Process
Hasil
Attribute Penilaian
(PA)
(%)
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

72%
0%
0%
0%
0%

Target
Optimal
(%)

Gap
(%)

100%

28%
100%
100%
100%
100%

52

Proses APO05 memiliki gap sebesar 28% pada PA 1.1 dan gap sebesar 100% pada
PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan dokumen dan base
practice yang belum terpenuhi. Untuk pengelolaan Portofolio di Politeknik Telkom
dinilai masih rendah karena hanya mencapai skala 1 (performed process) dari
capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO05.

Gambar V-2 Sebab Akibat Gap pada Proses APO05


Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO05
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola portofolio
dikarenakan faktor Manajemen dan Sistem. Dari faktor Manajemen ada unsur
pencapaian manfaat, dimana belum ada aksi koreksi untuk meningkatkan realisasi
manfaat. Ada pula unsur Sumber Pendanaan, dimana belum ada pendefinisian
pengembalian harapan investasi. Dari faktor Sistem ada unsur pendanaan, dimana
belum ada penilaian untuk business case.

53

V.1.3 Analisis Gap Proses APO11 Mengelola Kualitas


Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO11 tiap levelnya.Berikut ini merupakan tabel gap pada proses APO11.
Tabel V-3 Gap pada Proses APO11
Proses
TI

APO11

Process
Hasil
Attribute Penilaian
(PA)
(%)
PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

87%
50%
0%
0%
0%

Target
Optimal
(%)

Gap
(%)

100%

13%
50%
100%
100%
100%

Proses APO11 memiliki gap sebesar 13% pada PA 1.1, gap sebesar 50% pada PA 2.1
dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut
menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan
kualitas di Politeknik Telkom dinilai masih rendah karena hanya mencapai skala 1
(performed process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO11.

54

Gambar V-3 Sebab Akibat Gap pada Proses APO11


Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO11
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola kualitas
dikarenakan faktor sistem, manajemen dan keterampilan. Faktor sistem ada unsur
perbaikan berkelanjutan, dimana Politeknik Telkom belum melakukan benchmarking
hasil tinjauan kualitas data historis internal. Faktor manajemen ada unsur Quality
Management Service (QMS) dimana belum ada pendefinisian peran, tanggung jawab
dan pengambilan keputusan untuk QMS. Selain itu ada unsur standar manajemen
kualitas dimana belum ada pertimbangan manfaat dan sertifikasi mutu. Terakhir ada
faktor keterampilan terdapat unsur sarana perbaikan berkelanjutan, dimana belum
dilaksanakan pelatihan dalam metode dan sarana perbaikan berkelanjutan.
V.1.4 Analisis Gap Proses APO12 Mengelola Resiko
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO01 tiap levelnya. Berikut ini merupakan tabel gap pada proses APO12.
Tabel V-4 Gap pada Proses APO12
Proses
TI

Process
Attribute
(PA)

Hasil
Penilaian
(%)

APO12

PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

8%
0%
0%
0%

Target
Optimal
(%)

Gap
(%)

100%

92%
100%
100%
100%
100%

0%

Proses APO12 memiliki gap sebesar 92% pada PA 1.1, dan gap sebesar 100% pada
PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan banyak sekali dokumen
dan base practice yang belum terpenuhi. Untuk pengelolaan resiko di Politeknik
Telkom berdasarkan hasil assesstment sangat rendah karena berada pada level
terendah yaitu 0 (incomplete process) pada capability level.

55

Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO12.

Gambar V-4 Sebab Akibat Gap pada Proses APO12


Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO12
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola Resiko
dikarenakan faktor sistem, resiko dan manajemen. Faktor sistem terdapat unsur
pengumpulan data, diamana belum ada pengumpulan data di lingkungan kerja yang
berhubungan dengan resiko. Dari faktor manajemen ada unsur portofolio tindakan
manajemen, dimana belum ada proposal proyek untuk menurunkan resiko. Terakhir
faktor resiko terdapat unsur analisis resiko, dimana belum ada pendefinisian scenario
resiko TI dan hasil analisis resiko. Unsur selanjutnya ada profil resiko, dimana belum
ada pendokumentasian scenario resiko sesuai dengan fungsi dan area bisnis. Unsur
terakhir ada respon terhadap resiko, dimana belum ada penentuan akar penyebab
resiko.

56

V.1.5 Analisis Gap Proses DSS02 Mengelola Permintaan Layanan dan Insiden
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
DSS02 tiap levelnya.Berikut merupakan tabel gap pada proses DSS02.
Tabel V-5 Gap pada Proses DSS02
Process
Hasil
Attribute Penilaian
(PA)
(%)

Proses
TI

DSS02

PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

100%
100%
100%
100%
100%

Target
Optimal
(%)

Gap (%)

100%

0%
0%
0%
0%
0%

Dari hasil assessment didapat gap PA 1.1 hingga PA 3.2 dari proses DSS02 adalah
sebesar 0%, yang artinya seluruh dokumen dan base practice pengelolaan permintaan
layanan dan inseiden yang terdapat pada framework COBIT 5 sudah lengkap dan
dijalankan. Hasil ini menunjukkan bahwa proses DSS02 berada pada level 3
(established process) pada capability level, dimana sudah sesuai dengan target yang
ditetapkan oleh Politeknik Telkom.
V.1.6 Analisis Gap Proses DSS05 Mengelola Layanan Keamanan
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
DSS05 tiap levelnya. Berikut merupakan tabel gap pada proses DSS05.
Tabel V-6 Gap pada Proses DSS05
Proses
TI

DSS05

Process
Hasil
Attribute Penilaian
(PA)
(%)
PA 1.1
PA 2.1
PA 2.2
PA 3.1

88%
88.89%
0%
0%

Target
Optimal
(%)

Gap (%)

100%

12.%
11.11%
100%
100%

57

PA 3.2

0%

100%

Proses DSS05 memiliki gap sebesar 12% pada PA 1.1, gap sebesar 11.11% pada PA
2.1 dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut
menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan
layanan keamanan di Politeknik Telkom dinilai masih rendah karena hanya mencapai
skala 1 (performed process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses DSS05.

Gambar V-5 Sebab Akibat Gap pada Proses DSS05


Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses DSS05
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola layanan
keamanan dikarenakan faktor manajemen dan keamanan. Faktor manajemen terdapat
unsur dokumen sensitif, dimana belum ada inventarisasi dokumen sensitif. Dan dari
faktor keamanan ada unsur Malware, dimana Politeknik Telkom belum memasang
perangkat proteksi terhadap malware.

58

V.1.7 Analisis Gap Proses DSS06 Mengelola Kontrol Proses Bisnis


Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
DSS06 tiap levelnya. Berikut merupakan tabel gap pada proses DSS06.
Tabel V-7 Gap pada Proses DSS06
Proses
TI

Process
Attribute
(PA)

Hasil
Penilaian
(%)

DSS06

PA 1.1
PA 2.1
PA 2.2
PA 3.1
PA 3.2

76%
0%
0%
0%
0%

Target
Optimal
(%)

Gap (%)

100%

24.00%
100%
100%
100%
100%

Proses DSS06 memiliki gap sebesar 24% pada PA 1.1, dan gap sebesar 100% pada
PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan dokumen dan base
practice yang belum terpenuhi. Untuk pengelolaan

kontrol proses bisnis di

Politeknik Telkom dinilai masih rendah karena hanya mencapai skala 1 (performed
process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses DSS06

Gambar V-6. Sebab Akibat Gap pada Proses DSS06


59

Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses DSS06
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola control
proses bisnis dikarenakan faktor sistem, manajemen dan keamanan. Faktor sistem
tedapat unsur aktivitas control, dimana Politeknik Telko belum memastikan
kepemilikan kunci aktivitas kontrol. Dari faktor manajemen terdapat unsur kesalahan
dan eksepsi, dimana belum ada dokumentasi bukti hasil koreksi kesalahan dan
koreksi. Dan dari faktor keamanan ada unsur alokasi hak akses, dimana belum ada
alokasi peran untuk aktivitas sensitif.
V.2 Analisis Prioritas
V.2.1 Kriteria Prioritas
Berikut ini merupakan kriteria prioritas yang dibagi berdasarkan manfaat, cost, dan
tingkat kemudahan implementasi.
a.

Kriteria berdasarkan manfaat

Berikut ini merupakan tabel kriteria prioritas berdasarkan manfaat


Tabel V-8 Kriteria Prioritas Berdasarkan Manfaat
High
Dampak positif dari
implementasi rekomendasi
berpengaruh lebih dari
70% dari stakeholder
organisasi

Medium
Dampak positif dari
implementasi rekomendasi
berpengaruh pada 50% 70% dari stakeholder
organisasi

Low
Dampak
positif
dari
implementasi rekomendasi
berpengaruh kurang dari
50% dari stakeholder
organisasi

Adapun penilaian manfaat dihitung dengan menggunakan kriteria intangible. Manfaat


dikatakan high apabila dampak positif dari implementasi rekomendasi berpengaruh
ke seluruh stakeholder organisasi. Sedangkan manfaat dikatakan medium jika dampak
positif dari implementasi rekomendasi berpengaruh ke sebagian stakeholder. Dan
kriteria low jika manfaat dari implementasi rekomendasi berpengaruh ke sebagian
kecil dari stakeholder.

60

b.

Kriteria berdasarkan cost

Berikut ini merupakan tabel kriteria prioritas berdasarkan cost.


Tabel V-9 Kriteria Prioritas Berdasarkan Cost
High
Lebih dari Rp. 20.000.000

Medium
Antara Rp.10.000.000
sampai Rp.20.000.000

Low
Kurang dari Rp.10.000.000

Cost ditentukan berdasarkan rata-rata gaji per bulan SDM TI di Politeknik Telkom.
Cost dikatakan high apabila cost yang dibutuhkan lebih dari Rp. 20.000.000 per
bulan, sedangkan cost dikatakan medium jika cost yang dibutuhkan antara Rp.
10.000.000 sampai Rp. 20.000.000. Dan kriteria low apabila cost yang dibutuhkan
kurang dari Rp. 10.000.000 per bulan.
c.

Kriteria berdasarkan tingkat kemudahan implementasi

Berikut ini merupakan tabel kriteria prioritas berdasarkan kemudahan implementasi


Tabel V-10 Kriteria Prioritas Berdasarkan Kemudahan Implementasi
High
5 orang atau lebih

Medium
Low
Antara 3 sampai 4 orang Antara 1 sampai 2 orang

Tingkat kemudahan implementasi ditentukan berdasarkan banyaknya orang yang


melakukan rekomendasi terkait. Implementasi dikatakan high apabila implementasi
dilakukan oleh 5 orang atau lebih . Sedangkan implementasi dikatakan medium jika
implementasi dilakukan oleh 34 orang. Untuk kriteria low jika implementasi
dilakukan oleh 12 orang.
V.2.2 Penentuan Skala Prioritas
Adapun cara dalam menentukan skala prioritas untuk rekomendasi perbaikan adalah
dengan cara memberikan bobot untuk masing-masing rekomendasi. Bobot diberikan
dengan mempertimbangkan tiga aspek, yaitu manfaat dari implementasi, cost yang
dibutuhkan untuk mengimplementasikan rekomendasi, dan tingkat kemudahan untuk

61

melakukan implementasi rekomendasi. Berdasarkan hasil analisis prioritas terhadap


168 rekomendasi, didapatkan skala prioritas 1 hingga 5 dari rekomendasi perbaikan
yang diberikan. Berikut merupakan grafik yang menunjukkan distribusi skala
prioritas rekomendasi.

Jumlah Rekomendasi
60

57

55

50

42

40
30

Jumlah Rekomendasi

20

13

10

0
1

Gambar V-7 Distribusi Prioritas


Detail selengkapnya pembobotan pada analisis prioritas terdapat di lampiran I.
V.3 Rekomendasi
V.3.1 Rekomendasi Perbaikan Proses APO01 Mengelola IT Management
Framework
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO01.

62

Tabel V-11 Distribusi Prioritas Rekomendasi APO01.


Prioritas
1
2
3
4
5

Jumlah Rekomendasi
4
1
4
0
11

Rekomendasi untuk APO01 diantaranya menciptakan stretegi TI komite di dewan


direksi, menetapkan peran dan tanggung jawab yang berhubungan dengan TI pada
semua personil di perusahaan, dan membuat analisis keputusan yang diperlukan
untuk menciptakan outcome dan strategi TI. Untuk rekomendasi selengkapnya
terlampir pada Lampiran .
V.3.2 Rekomendasi Perbaikan Proses APO05 Mengelola Portofolio
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO05.
Tabel V-12 Distribusi Prioritas Rekomendasi APO05
Prioritas
1
2
3
4
5

Jumlah Rekomendasi
5
1
10
6
5

Rekomendasi untuk APO05 diantaranya melakukan monitor sumber pendanaan,


menentukan kandidat program yang akan dimasukkan ke dalam portofolio aktif,
mendokumentasikan

laporan

manajemen

untuk

manajemen

senior,

dan
63

mempertimbangkan bimbingan dari pihak luar atau benchmarking untuk menguji


matriks dan meningkatkan target. Untuk rekomendasi selengkapnya terlampir pada
Lampiran .
V.3.3 Rekomendasi Perbaikan Proses APO11 Mengelola Kualitas
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO11.
Tabel V-13Distribusi Prioritas Rekomendasi APO11
Prioritas
1
2
3
4
5

Jumlah Rekomendasi
9
0
7
4
7

Rekomenasi untuk APO11 diantaranya membuat pertimbangan manfaat dan


sertifikasi mutu, memberikan pelatihan kepada karyawan dalam metode dan sarana
perbaikan, dan melakukan penyelarasan manajemen mutu TI dengan sistem mutu
perusahaan. Untuk rekomendasi selengkapnya terlampir pada Lampiran.
V.3.4 Rekomendasi Perbaikan Proses APO12 Mengelola Resiko
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO12.

64

Tabel V-14 Distribusi Prioritas Rekomendasi APO12


Prioritas
1
2
3
4
5

Jumlah Rekomendasi
26
0
10
1
11

Rekomendasi untuk proses APO12 adalah diantaranya mendokumentasikan kinerja


proses dan melakukan base practice mengenai aktivitas yang terkait dengan proses
mengelola resiko, selain itu juga melakukan monitoring kinerja dan output proses
dan mampu mendefinisikan dan mengimplementasikan proses pengelolaan resiko
sesuai dengan prosedur. Untuk rekomendasi selengkapnya tercantum di lampiran .
V.3.5 Rekomendasi Perbaikan Proses DSS02 Mengelola Permintaan Layanan
dan Insiden
Pada proses ini semua dokumen telah didokumentasikan dan telah dilaksanakan oleh
Politeknik Telkom, sehingga telah mencapai target dari capability level yang telah
ditetapkan yaitu pada skala 3.
V.3.6 Rekomendasi Perbaikan Proses DSS05 Mengelola Layanan Keamanan
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses DSS05.

65

Tabel V-15 Distribusi Prioritas Rekomendasi DSS05


Prioritas
1
2
3
4
5

Jumlah Rekomendasi
5
0
2
1
10

Rekomendasi untuk DSS05 diantaranya memasang proteksi terhadap software


berbahaya, mendokumentasikan proses pengelolaan layanan keamanan, dan
mendefinisikan requirement untuk output hasil dari pengelolaan layanan keamanan.
Untuk rekomendasi selengkapnya terlampir pada Lampiran.
V.3.7 Rekomendasi Perbaikan Proses DSS06 Mengelola Kontrol Proses Bisnis
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses DSS06.
Tabel V-16 Distribusi Proses Perbaikan DSS06
Prioritas
1
2
3
4
5

Jumlah Rekomendasi
8
0
9
1
11

Rekomendasi untuk DSS06 diantaranya membentuk sebuah prioritas aktivitas kontrol


berdasarkan resiko pada bisnis yang mungkin dihadapi, membuat penanganan output
yang diotorisasi, dan melakukan komunikasi efektif dan mendefinisikan tanggung

66

jawab antar pihak yang terlibat dalam proses pengelolaan kontrol proses bisnis.
Untuk rekomendasi selengkapnya terlampir pada Lampiran.

67

BAB VI
KESIMPULAN DAN SARAN
VI.1 Kesimpulan
VI.1.1 Hasil Penilaian
Berdasarkan hasil penilaian layanan akademik di Politeknik Telkom pada domain
APO dan DSS dengan menggunakan framework COBIT 5 diperoleh hasil capability
level sebagai berikut:
4

Domain APO

DomainDSS
1

0
Capability 0

Capability 1

Capability 3

Gambar VI-1Capability Level Domain APO dan DSS


Dari hasil penilaian diperoleh bahwa ada 1 proses yang berada pada level 0 atau
incomplete Process yaitu APO12, 5 proses yang berada pada level 1 atau performed
process yaitu APO01, APO05, APO11, DSS05 dan DSS06. Dan 1 proses yang berada
pada level 3 atau established process yaitu DSS02.
VI.1.2 Rekomendasi
Berikut ini merupakan rekomendasi yang disusun untuk membantu Politeknik
Telkom dalam mencapai target optimalnya di skala 3 capability level.

68

1.

Merencanakan dan menetukan prosedur untuk setiap proses sehingga setiap


proses tersebut mampu mencapai hasil yang optimal. Dari hasil penilaian
didapat hasil bahwa Politeknik Telkom

masih belum optimal dalam

pengelolaan prosedur untuk membantu mencapai hasil optimal.


2.

Melakukan dan mengimplementasikan analisis pengelolaan resiko untuk


mengantisipasi kemungkinan resiko yang terjadi. Dari hasil penilaian didapat
hasil bahwa Politeknik Telkom

masih belum optimal dalam

pengelolaan

resiko
3.

Melakukan dan mengkomunikasikan perencanan strategi dengan matang,


sehingga semua pihak dapat memahami arahan dan tujuan perencanaan tersebut
dengan tepat.

VI.1.3 Saran
Berikut ini merupakan saran yang diberikan untuk Politeknik Telkom dan penelitian
selanjutnya.
a.

Bagi Politeknik Telkom

1.

Mengimplementasikan rekomendasi yang telah diberikan sesuai dengan


prioritasnya

2.

Melakukan audit TI untuk mengetahui tingkat keamanan dan jaringan pada


Politeknik Telkom

b.

Bagi penelitian selanjutnya

Melakukan penelitian tentang audit TI untuk mengetahui tingkat keamanan dan


jaringan di Politeknik Telkom

69

DAFTAR PUSTAKA

1.

Wardana, Wawan. (2002). Perkembangan Teknologi Informasi di Indonesia.

2.

IT Governance. http://www.itgovernance.co.uk (accessed Januari 17, 2013).

3.

Politeknik Telkom. 2012. http://www.politekniktelkom.ac.id/ (accessed


Desember 23, 2012).

4.

Webber, Ron. (2000). Information System Controls and Audit.

5.

ISACA. www.isaca.org (accessed Desember 24, 2012).

6.

The UK Chapter of the itSM. (2007). An Introductory Overview of ITIL V3..

7.

Martin E, Wainright., Brown V. Carol., DeHayes W. Daniel., Hoffer A.


Jeffrey.,Perkins C. William. (2005). Managing Information Technology.

8.

William dan Sawyer. (2007). Using Information Technology.

9.

Tarigan, Joshua. (2006). Merancang It Governance Dengan Cobit & ArbanesOxley Dalam Konteks Budaya Indonesia.

10. Hannover Research. (2008). Governance of Information Technology in


Higher Education.
11. Mutyarini,

Kuswardani,

Sembiring,

Jaka.

(2006).

Arsitektur

Sistem

Informasi untuk Institusi Perguruan Tinggi.


12. Suharto, Ignatius. (2004). Perekayasaan Metodologi Penelitian.

70