Anda di halaman 1dari 16

ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.

1 April 2015 | Page 1129

Audit Teknologi Informasi menggunakan Framework COBIT 5


Pada Domain DSS (Delivery, Service, and Support) (Studi Kasus :
iGracias Telkom University)
Rio Kurnia Candra1, Imelda Atastina2, Yanuar Firdaus3
Program Studi Teknik Informatika Telkom University, Bandung
1
rioinkurnia@gmail.com, 2imelda@telkomuniversity.ac.id, 3 yanuar@telkomuniversity.ac.id

Abstraksi
Teknologi informasi (TI) merupakan suatu bagian yang sangat penting bagi perusahaan atau
lembaga dan merupakan suatu nilai investasi untuk menjadikan perusahaan atau lembaga
tersebut menjadi lebih baik. Perusahaan atau lembaga menempatkan teknologi informasi sebagi
suatu hal yang dapat mendukung pencapaian rencana strategis perusahaan untuk mencapai
sasaran visi, misi dan tujuan perusahaan atau lembaga tersebut, begitu halnya dengan Telkom
University. Teknologi Informasi yang diterapkan perlu diatur agar dapat dimanfaatkan dengan
baik. Untuk mengatur teknologi informasi itu sendiri memerlukan audit yang bertujuan untuk
mengevaluasi dan memastikan pemenuhannya ditinjau dari pendekatan objektif dari suatu
standar. Teknologi Informasi di Telkom University memerlukan audit untuk mengevaluasi, menilai
kapabilitas, dan menyusun rekomendasi terhadap teknologi informasi yang dipakai. Framework
audit yang digunakan adalah COBIT 5 domain DSS (Deliver, Service, dan Support) yang fokus
pada penilaian pengiriman dan layanan teknologi informasi serta dukungannya termasuk
pengelolaan masalah agar keberlanjutan layanan tetap terjaga.
Kata Kunci : audit, COBIT 5, domain DSS, Teknologi Informasi, Telkom University.

Abstract
Information technology (IT) is very important part for the company or institution and an
investment to make the value of the company or institution to be better. Company or institution
placing information technology as a sign of things to support the achievement of the company's
strategic plan to achieve the goals of vision, mission and objectives of the company or
institution, well as with Telkom University. Information Technology applied should be regulated
in order to put to good use. To manage information technology requires audit aimed to evaluate
and ensure compliance in terms of the objective of a standard approach. Information Technology
at Telkom University require audits to evaluate, assess capabilities, and make a recommendation
on the use of information technology. Audit framework used is COBIT 5 domain DSS (Deliver,
Service, and Support) which focus on the assessment and delivery of information technology
services and support for sustainability issues including the management of the service is
maintained.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1130

Key Word : audit, COBIT 5, domain DSS, Information Technology, Telkom University.

1. Pendahuluan pelayanan akademik yang diperuntukan bagi


seluruh civitas akademika, salah satu sistem
Saat ini Teknologi informasi (TI) menjadi informasi yang dimilki oleh Telkom
suatu bagian yang sangat penting bagi University adalah iGracias ( Integrated
perusahaan atau lembaga lembaga yang Academic Information System) yang
bersekala enterpirse. Perusahaan atau ditangani oleh Direktorat Sistem Informasi
lembaga menempatkan teknologi sebagi Telkom University.
suatu hal yang dapat mendukung pencapaian iGracias merupakan sistem informasi yang
rencana strategis perusahaan untuk digunakan untuk keperluan akademik di
mencapai sasaran visi, misi dan tujuan lingkungan Telkom University yang dapat
perusahaan atau lembaga tersebut. diakses oleh mahasiswa, dosen, dan juga
Perusahaan atau lembaga tersebut berupaya orangtua mahasiswa tersebut. Banyak fiture
untuk menerapkan suatu sistem informasi yang terdapat pada sistem tersebut misalnya
yang dapat memenuhi kebutuhan perusahaan untuk keperluan registrasi, input mata
dalam mencapai tujuannya misalnya untuk kuliah, perwalian dan lain lain. iGracias
meningkatkan kegiatan operasional kerja. yang telah diimplimentasikan pada Telkom
Fungsi teknologi informasi tidak hanya Univrsitay tentu perlu untuk diukur dan
untuk meningkatkan operasional kerja tetapi dievaluasi untuk mengetahui apakah
juga memberi nilai tambah dan keuntungan teknologi informasi yang diimplementasikan
kompetitif [19]. sudah sesuai dengan yang diharapkan dan
Dengan berbagai keuntungan dan mampu memudahkan proses bisnis dari
pentingnya Teknologi informasi, Perguruan Telkom University. Untuk itu perlu
Tinggi (PT) mengimplementasikan ke dalam dilakukannya Audit teknologi informasi.
proses operasionalnya. Perguruan tinggi Dengan dilakukannya audit maka dapat
dapat memanfaatkan Teknologi informasi diketahui tingkat keamanan asset,
untuk pelayanan administrasi, mendukung pemeliharaan integritas data, dapat
Kegiatan Belajar Mengajar (KBM), sebagai mendorong pencapaian tujuan organisasi
media berkomunikasi, dan membantu untuk secara efektif dan menggunakan sumberdaya
pengambilan keputusan. Dengan secara effisien [20], dan juga dapat diketahui
diimplimentasikan teknologi informasi yang tingkat kematangan teknologi informasi di
baik pada PT maka akan meningkatkan Telkom University dan menghasilkan
kualitas layanan di PT tersebut. Telkom rekomendasi untuk mencapai tingkat
University merupakan salah satu Perguruan kematangan yang optimal sehingga dapat
Tinggi swasta di Indonesia, yang bernaung membantu merealisasikan visi , misi, dan
dibawah Yayasan Pendidikan Telkom tujuan di Telkom University.
(YPT). Telkom University memiliki visi yaitu Audit teknologi informasi memiliki
menjadi perguruan tinggi berkelas dunia beberapa standar yang digunakan untuk
(A World Class University) yang berperan peneletian. Contoh standar tersebut adalah
aktif dalam pengembangan ilmu pengetahuan ITIL dan COBIT 5. ITIL memiliki fokus
dan seni berbasis teknologi informasi. pada layanan untuk pelanggan dan tidak
Telkom University telah menerapkan memberikan proses penyelarasan strategi
penggunaan teknologi informasi sebagai perusahaan terhadap strategi teknologi
penunjang dalam hal informasi yang dikembangkan [10]. COBIT
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1131

5 merupakan standar komprehensif yang dilakukan oleh pihak internal, karena


membantu perusahaan dalam mencapai tujuan monitoring dengan audit memiliki intensitas
dan menghasilkan nilai melalui tata kelola dan dan jangka waktu yang berbeda [16].
manajemen teknologi informasi yang efektif.
COBIT 5 menyediakan kerangka kerja IT 2. Tinjauan Pustaka
Governance dan control objectives yang 2.1 Sistem
rinci bagi manajemen, pemilik proses bisnis,
pemakai dan auditor, karena mengelola Menurut Andri Kristanto (2008:1), Sistem
teknologi informasi secara holistic sehingga merupakan jaringan kerja dari prosedur
nilai yang diberikan oleh teknologi prosedur yang saling berhubungan,
informasi dapat tercapai optimal dengan berkumpul bersama sama untuk
memperhatikan segala aspek tata kelola melakukan suatu kegiatan atau
teknologi informasi mulai dari sisi people, menyelesaikan suatu sasaran tertentu [2].
skills, competencies, services, infrastructure, Menurut Gordon B.Davis (1974;81),
dan applications yang merupakan bagian Sistem dapat berupa abstrak atau fisis.
dari enabler suatu tata kelola teknologi Sistem yang abstrak adalah susunan yang
informasi [12]. COBIT 5 menyediakan teratur dari gagasan-gagasan atau konsepsi-
kerangka kerja yang lengkap. Terdapat 5 konsepsi yang saling bergantung [2].
domain dan 37 proses pada COBIT 5 yang Azhar Susanto (2000:3), Sistem adalah
dapat digunakan untuk melakukan audit. kumpulan /group dari sub sistem / bagian /
Maka dari itu COBIT 5 dianggap sesuai dan komponen apapun baik phisik maupun non
dapat membantu dalam proses audit phisik yang saling berhubungan satu sama
teknologi informasi karena mencakup semua lain dan bekerja sama secara harmonis untuk
elemen pada teknologi informasi yang mencapai satu tujuan tertentu [2].
dipakai. Dari pengertian diatas, dapat disimpulkan
Domain DSS dipilih karena dianggap sesuai bahwa sistem adalah kumpulan dari
dengan kondisi teknologi informasi yang komponen komponen yang saling
ada pada Telkom University saat ini. berhubungan dan bergantung untuk
Dengan kondisi teknologi informasi di mencapai suatu tujuan tertentu.
Telkom University yang sedang berlangsung 2.2 Informasi
dan kebutuhan untuk mengirimkan layanan, Menurut Jogiyanto HM. (1999: 692),
melayani, dan mendukung layanan teknologi Informasi dapat didefinisikan sebagai hasil
informasi, maka Domain DSS yang dari pengolahan data dalam suatu bentuk yang
dianggap sesuai dengan hal tersebut. lebih berguna dan lebih berarti bagi
Domain lain seperti APO (Align, Plan, and penerimanya yang menggambarkan suatu
Organize) akan dirasa sesuai diterapkan kejadian kejadian (event) yang nyata (fact)
pada tata kelola teknologi informasi yang yang digunakan untuk pengambilan
belum dijalankan atau akan dijalankan, keputusan [5].
domain BAI (Build, Acquire, and Menurut Anton M. Meliono. (1990: 331),
Implement) akan dirasa sesuai diterapkan Informasi adalah data yang telah diproses
pada unit khusus yang berperan sebagai untuk suatu tujuan tertentu. Tujuan tersebut
pembangun (developer) atau memperbaiki adalah untuk menghasilkan sebuah
tata kelola teknologi informasi yang sudah keputusan [5].
ada, domain MEA (Monitor, Evaluate, and Menurut Gordon B. Davis (1991: 28),
Asses) akan dirasa sesuai diterapkan untuk Informasi adalah data yang telah diolah
kondisi yang telah dibangun dan menjadi sebuah bentuk yang berarti bagi
berlangsung, dan pelaksanaan monitoring penerimanya dan bermanfaat bagi
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1132

pengambilan keputusan saat ini atau membentuk suatu kesatuan untuk


mendatang [5]. mengintegrasi data, dan bertujuan mengolah
Dari pengertian diatas, dapat disimpulkan data menjadi informasi.
bahwa informasi adalah data yang telah 2.4 Teknologi Informasi
diolah menjadi data yang berguna untuk Teknologi Informasi adalah studi atau
suatu tujuan tertentu, yang dapat bermanfaat peralatan elektronika, terutama komputer,
bagi pengambilan keputusan saat ini atau untuk menyimpan, menganalisa, dan
mendatang. mendistribusikan informasi apa saja,
2.3 Sistem Informasi termasuk kata-kata, bilangan, dan gambar
Menurut Laudon, Kenneth , Jane (2007:42), (kamus Oxford, 1995) [6].
Sistem informasi adalah suatu sistem di Menurut Haag & Keen (1996), Teknologi
dalam suatu organisasi yang Informasi adalah seperangkat alat yang
mempertemukan kebutuhan pengolahan membantu anda bekerja dengan informasi dan
transaksi harian, mendukung operasi, melaksanakan tugas-tugas yang berhubungan
bersifat manajerial dan kegiatan strategi dari dengan pemrosesan informasi [6].
suatu organisasi dan menyediakan pihak luar Menurut martin (1999), Teknologi
tertentu dengan laporan-laporan yang Informasi tidak hanya terbatas pada
diperlukan [8]. teknologi komputer (software & hardware)
yang digunakan untuk memproses atau
Menurut Budi Sutedjo Dharma Oetomo
menyimpan informasi, melainkan juga
(2006: 36), Sistem Informasi adalah mencakup teknologi komunikasi untuk
kumpulan elemen yang saling berhubungan mengirimkan informasi [6].
satu sama lain untuk membentuk suatu 2.5 Audit
kesatuan untuk mengintegrasi data, Menurut Sukrisno Agoes (2004), Suatu
memproses dan menyimpan serta pemeriksaan yang dilakukan secara kritis
mendistribusikan informasi tersebut [8]. dan sistematis oleh pihak yang independen,
Menurut Gondodiyoto (2007), Sistem terhadap laporan keuangan yang telah
informasi dapat didefinisikan sebagai disusun oleh manajemen beserta catatan-
kumpulan elemen elemen atau sumber catatan pembukuan dan bukti-bukti
daya dan jaringan prosedur yang saling pendukungnya, dengan tujuan untuk dapat
berkaitan secara terpadu, terintegrasi dalam memberikan pendapat mengenai kewajaran
suatu hubungan hierarki tertentu, dan laporan keuangan tersebut [3].
bertujuan mengolah data menjadi informasi Menurut Arens dan Loebbecke (2003),
[8]. Suatu proses pengumpulan dan
Menurut OBrien (2005, P5), Sistem pengevaluasian bahan bukti tentang
informasi adalah suatu kombinasi informasi yang dapat diukur mengenai suatu
terartur apapun dari people (orang), entitas ekonomi yang dilakukan seorang
hardware (perangkat keras), software yang kompeten dan independen untuk dapat
(piranti lunak), computer networks and data menentukan dan melaporkan kesesuaian
communications (jaringan komunikasi), dan informasi dengan kriteria-kriteria yang telah
database (basis data) yang mengumpulkan, ditetapkan. Auditing seharusnya dilakukan
mengubah dan menyebarkan informasi di oleh seorang yang independen dan
dalam suatu bentuk organisasi [8]. kompeten [3].
Dari pengertian diatas, dapat disimpulkan Menurut Mulyadi (2002), Auditing
bahwa sistem informasi adalah kumpulan merupakan suatu proses sistematik untuk
dari elemen elemen atau sumber daya dan
jaringan yang saling berkaitan satu sama lain
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1133

memperoleh dan mengevaluasi bukti secara menjamin integritas data yang memadai
objektif mengenai pernyataan-pernyataan [7].
tentang kegiatan dan kejadian ekonomi Dari pengertian diatas, dapat disimpulkan
dengan tujuan untuk menetapkan tingkat bahwa audit sistem informasi adalah proses
kesesuaian antara pernyataan-pernyataan pengumpulan bukti dan evaluasi untuk
tersebut dengan kriteria yang telah mengetahui tingkat kesesuaian sistem
ditetapkan, serta penyampaian hasil-hasilnya informasi dengan prosedur yang telah
kepada pemakai yang berkepentingan [3]. ditetapkan dan mengetahui apakah sistem
Dari pengertian diatas, dapat disimpulkan informasi telah didesain dan
bahwa audit adalah proses pengumpulan dan diimplementasikan secara efektif, efisien
evaluasi bukti dengan tujuan untuk dan ekonimis, memiliki mekanisme
menentukan dan melaporkan kesesuaian pengamanan asset yang memadai dan
informasi dengan kriteria kriteria yang menjamin integritas data.
telah di tetapkan. 2.7 COBIT
Tujuan audit adalah mendapatkan informasi Menurut Sasongko (2009), Control
faktual dan signifikan berupa data hasil Objective for Information & Related
analisa, penilaian, rekomendasi auditor yang Technology(COBIT) adalah sekumpulan
dapat digunakan oleh auditee atau dokumentasi best practice untuk IT
menejemen untuk berbagai keperluan Governance yang dapat membantu auditor,
misalnya untuk dasar pengambilan pengguna (user), dan manajemen, untuk
keputusan , pengendalian manajemen, menjembatani gap antara resiko bisnis,
perbaikan atau perubahan dalam berbagai kebutuhan kontrol dan masalah-masalah
aspek dalam upaya mengamankan kebijakan teknis IT [4] .
dan mencapai tujuan organisasi secara Menurut Tanuwijaya dan Sarno (2010),
keseluruhan [18]. COBIT mendukung tata kelola TI dengan
2.6 Audit Sistem Informasi/Teknologi menyediakan kerangka kerja untuk
Informasi mengatur keselarasan TI dengan bisnis.
Menurut Weber (1999, p.10), Audit sistem Selain itu, kerangka kerja juga memastikan
informasi adalah proses pengumpulan dan bahwa TI memungkinkan bisnis,
pengevaluasian bukti untuk menentukan memaksimalkan keuntungan, resiko TI
apakah sistem komputer dapat melindungi dikelola secara tepat, dan sumber daya TI
aset, memelihara integritas data, digunakan secara bertanggung jawab [4].
memungkinkan tujuan organisasi untuk COBIT adalah salah satu framework yang
dicapai secara efektif dan menggunakan digunakan untuk standar audit, COBIT
sumber daya secara efisien [7]. merupakan standar yang dinilai lengkap dan
Menurut Gondodiyoto (2003, p.151), Audit cakupan yang menyeluruh sebagai
sistem informasi merupakan suatu framework audit. COBIT dikembangkan
pengevaluasian untuk mengetahui secara berkala oleh ISACA. Didalam
bagaimana tingkat kesesuaian antara aplikasi COBIT ini terdapat beberapa Domain yang
sistem informasi dengan prosedur yang telah digunakan untuk proses audit.
ditetapkan dan mengetahui apakah suatu 2.8 Pemetaan Hubungan Enterprise
sistem informasi telah didesain dan Goals, IT Related Goals, dan
diimplementasikan secara efektif, efisien, Proses control
dan ekonomis, memiliki mekanisme Pemetaan hubungan ini digunakan utnuk
pengamanan aset yang memadai, serta melakukan penilaian tingkat kapabilitas,
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1134

beberapa tahap hubungan pemetaan terseut


diantaranya antara adalah :
1. Pemetaan Enterprise Goals dengan
tujuan perusahaan.
Pemetaan dilakukan ke dalam perspektif IT
Balanced Scorecard (IT BSC). Jika
hubungan keterkaitan antara tujuan
perusahaan yang menjadi objek dengan
Enterprise Goals pada COBIT 5 sangat kuat,
maka diberi tanda P yang berarti primary.
Jika terdapat hubungan yang tidak dominan,
maka diberi tanda S yang berarti secondary.
Jika tidak ada hubungan sama
sekali maka dikosongkan.

Gambar 2.4 Pemetaan Enterprise Goal


dengan IT-Related Goal
3. Pemetaan IT Related Goalsd
dengan Proses domain DSS
Pemetaan ini dilakukan untuk
Gambar 2.3 Pemetaan Enterprise Goal mendapat proses proses domain
dengan Tujuan Perusahaan DSS mana sajakah yang masuk
dalam ruang kegiatan audit. Setiap
2. Pemetaan Enterprise Goals dengan tujuan TI memiliki masing-masing
IT Related Goals. proses TI yang relevan. Setelah
Pemetaan yang dilakukan pada dilakukan mapping terhadap tujuan
hubungan sama dengan yang bisnis perusahaan dengan tujuan TI,
dilakukan pada hubungan Enterprise selanjutnya dilakukan mapping
Goals dengan Tujuan perusahaan. tujuan TI dengan proses TI [12].
Jika hubungan keterkaitan antara IT
Related Goals yang menjadi objek
dengan Enterprise Goals yang
terpilih pada COBIT 5 sangat kuat,
maka diberi tanda P yang berarti
primary. Jika terdapat hubungan
yang tidak dominan, maka diberi
tanda S yang berarti secondary.
Jika tidak ada hubungan sama sekali
maka dikosongkan.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1135

Gambar 2.6 Diagram RACI


Mapping tersebut dilakukan untuk seluruh
control objective yang ada pada domain
DSS. Dalam mapping tersebut diberi suatu
nilai berupa R/A/C/I, yang memiliki arti
[12] :
R (Responsible), berarti bahwa
bagian tersebut merupakan pihak
Gambar 2.5 Pemetaan IT-Related Goal
pelaksana yang harus bertanggung
dengan Proses Domain DSS
jswab melaksanakan dan
menyelesaikan aktivitas yang
2.9 Diagram RACI
menjadi tanggung jawabnya.
Diagram RACI adalah bagian dari
Responsibility Assignment Matrix (RAM), A (Accountable) berarti bahwa
yaitu bentuk pemetaan antara sumberdaya bagian tersebut merupakan pihak
dengan aktivitas dalam setiap prosedur. yang harus mengarahkan jalannya
RACI merupakan singkatan dari R pelaksanaan aktivitas.
(Responsible), A (Accountable), C C (Consulted) berarti bahwa bagian
(Consulted), dan I (Informed). Untuk tersebut merupakan pihak yang akan
melakukan penilaian dengan domain DSS, menjadi tempat konsultasi selama
maka dilakukan mapping antara sub control pelaksanaan aktivitas.
objectives dan sumber daya manusia yang I (Informed) berarti bahwa bagian
ada pada pelaksaan sistem informasi. tersebut merupakan pihak yang
Berikut contoh dari diagram RACI pada diberikan infromasi mengenai
DSS04 [12] : pelaksanaan aktivitas.
2.10 Proses Capability Model
ISO/IEC 15505 mendefinisikan pengukuran
untuk penilaian kemampuan proses dari
framework COBIT. Process capability
didefinisikan pada 6 level poin dari 0 sampai
5, yang mempresentasikan peningkatan
capability dari proses yang
diimplementasikan.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1136

c. Largely achieved, apabilahasil


penilaian >50% - 85%
d. Fully achieved, apabila hasil
penilaian >85% - 100%
3. Metodologi
3.1 Metode Konseptual
Penelitian yang akan dilakukan akan terdiri
dari beberapa fase-fase audit yang terdiri
dari perencanaan, pengumpulan data,
analisis data, dan laporan. Audit akan
dijalankan mulai studi pendahuluan terhadap
studi pustaka dan studi kasus, kemudian fase
Gambar 2.7 Level Capability
Berikut adalah penjelasan level dari process terakhir akan diakhiri dengan pembuatan
capability [14] : laporan yang didalamnya terdapat hasil
a. Level 0 (Incomplete) rekomendasi, yang menunjukkan kegiatan
Proses tidak melaksanakan atau gagal audit selesai dan ditutup.
untuk mencapai tujuan proses. Pada
tingkat ini, ada sedikit atau tidak sama
sekali bukti (evidence) dari setiap
pencapaian tujuan proses.
b. Level 1 (Perfomed)
Proses diimplementasikan untuk
mencapai tujuan bisnisnya.
c. Level 2 (Managed)
Proses yang diimplementasikan
dikelola (plan, monitor, and adjusted)
dan hasilnya ditetapkan dan dikontrol.
d. Level 3 (Established)
Proses didokumentasikan dan
dikomunikasikan (untuk efisiensi
organisasi).
e. Level 4 (Predictable) Gambar 3.1 Meteode Konseptual
Proses dimonitor, diukur, dan diprediksi
untuk mencapai hasil. 3.2 Prosedur Audit
f. Level 5 (Optimizing)
Sebelumnya proses telah di prediksikan
kemudian ditingkatkan untuk
memenuhi tujuan bisnis yang relevan
dan tujuan yang akan dating.

Setiap proses yang dinilai akan


menghasilkan 4 level rating point, yaitu :
a. Not achieved, apabila hasil
penilaian antara 0% - 15%
b. Partially achieved, apabila hasil
penilaian >15% - 50% Gambar 3.2 Prosedur Audit
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1137

4. Implementasi dan Analisis Hasil


4.1 Teknik Pengumpulan Data
Tahap awal pelaksanaan audit ini adalah
pengumpulan data, untuk mendukung
penilaian ,evaluasi lapangan dan juga untuk
mengetahui kondisi nyata dari Direktorat
SISFO terhadap audit yang dilakukan.
Pengumpulan data dilakukan melalui
kuisioner, wawancara, dan survey lapangan.
Dalam pengumpulan data melalui kuisioner
dan wawancara ini dilakukan berdasarkan
tabel Raci Chart yang sudah dipetakan
dengan struktur organisasi di Telkom Gambar 4.1 Pengumpulan data
University. Table Raci Chart sendiri dapat di
lihat pada lampiran A Langkah awal dari pengumpulan data ini
4.1.1 Kuisioner mulai dari menyiapkan daftar kuisioner,
Pada tahap ini, dilakukannya kuisioner kemudian di sesuai atau di petakan dengan
untuk mencari tanggapan tanggapan dari hasil diagram RACI supaya daftar kuisoner
para responden mengenai kondisi terkini tepat dengan sasaran. Setelah itu melakukan
yang ada pada Direktorat SISFO terkait validasi hasil kuisioner, apabila data
dengan domain DSS (Deliver, Service and kuisioner ada yang tidak valid maka
Support). Kuisioner ini berisikan pertanyaan kuisioner yang tidak valid diulang kembali
pertanyaan yang sesuai dengan proses
sampai menghasilkan hasil valid. Kemudin
proses yang ada pada Domain DSS (Deliver,
Service and Support). setelah semua data valid maka dilakukan
4.1.2 Wawancara kroscek dengan melakukan wawancara ke
Pada tahap wawancara ini, dilakukan untuk pihak yang memiliki jabatan tinggi di
mengkroscek/mencari kebenaran dari Direktorat SISFO, kemudian disertai dengan
tanggapan tanggapan pada kuisioner yang pengambilan bukti.
telah di dapat, dan juga untuk memperoleh 4.2 Teknik Pengukuran Data
bukti bukti yang terkait dengan domain Pengukuran data digunakan untuk
DSS (Deliver, Service and Support). menilai apakah hasil dari kuisioner tersebut
Wawancara dilakukan secara face to face dapat dipercaya atau valid. Dalam teknik
dengan responden, dan juga pengukuran data disini menggunakan
didokumentasikan dengan rekaman validasi. Jenis jenis dari validasi pun
wawancara. bermacam macam, disini penulis
4.1.3 Langkah Pengumpulan Data mneggunakan jenis validasi korelasi
Dalam pengumpulan data terdapat langkah product moment yang di kemukakan oleh
tersendiri, berikut adalah langkah langkah pearson.
peneliti untuk melakukan pengumpulan data Pemilihan jenis validasi dengan korelasi
: product moment ini dirasa cocok karena
instrument yang digunakan dalam
pengukuran validasi ini serupa
(menggunakan variable interval), dan cara
perhitungan yang dapat diterapkan dengan
baik. Pada validasi korelasi product moment
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1138

ini item dikatakan valid jika nilai-nilai Total rekapitulasi nilai proses pada domain DSS
Correlation lebih besar dari nilai kritis. Nilai (Deliver, Service, and Support) :
r-kritis yang ditetapkan adalah sebesar 0,30 Tabel 4.36
[17]. item pertanyaan yang memiliki nilai
koefisien validitas lebih besar dari nilai r-
kritisnya dapat disimpulkan bahwa item
tersebut valid dalam yang berarti bahwa
item yang digunakan untuk mengukur suatu
kajian dalam Direktorat SISFO dalam
domain DSS (Deliver, Service and Support)
Dari Capability level yang didapat 4.36
menghasilkan data yang valid/dapat
dilakukan pembulatan untuk memudahkan
dipercaya.
mencari kondisi terkini berdasarkan kriteria
Hasil nilai perhitungan validasi tiap item
capability level yang telah ditetapkan.
dapat dilihat pada lampiran C.
Dalam melakaukan pembulatan tersebut
4.3 Analisis Hasil menggunakan konsep penentuan capability
4.3.1 Analisis Hasil Kuisioner
process tertentu, yaitu suatu proses akan
Dalam menentukan kondisi pada level
mencapai level k jika semua atribut sebelum
manakah aktifitas aktifitas yang terdapat
level k terpenuhi secara fully achieved dan
pada form kerja audit itu berada, maka
semua atribut di level k telah terpenuhi
dilakukan analisis berupa mencari level
secara largely (>50% hingga 85%) atau fully
yang tepat pada form hasil kuisioner.
achieved (>85%) [15]. Disini penulis
Penentuan level ditiap aktifitas ini dilakukan
menggunakan pilihan yang terpenuhi secara
dengan memilih nilai modus atau nilai yang
fully achieved atau level terpenuhi dengan
paling banyak muncul pada tiap aktifitasnya.
nilai >85%, yang di rasa akan lebih akurat
Dan apabila nilai yang muncul itu terdapat 2
dalam menilai atau menggambarkan kondisi
level atau mungkin lebih, maka yang di pilih
yang existing yang ada.
adalah nilai level yang terkecil diantaranya,
4.4 Pengumpulan Evidence dan
misalkan pada DSS01-01 pada aktifitas ke 3
kondisi existing
terdapat 9 responden, kemudian dari 9
4.4.1 Pengumpulan dan daskripsi
responden yang memilih di level 2 adalah 4
Evidence
orang, di level 4 adalah 4 orang, dan di
Dalam penentuan suatu kondisi yang di
level 5 adalah 1 orang. Maka level yang
dapat sudah valid atau belum, dalam audit
terpilih adalah pada level 3, karena diartikan
ini dilakukan dengan pengumpulan bukti
juga berarti 4 orang yang memilih di level 4
bukti yang sudah ditetapkan pada COBIT 5
tersbut juga merasa bahwa pada aktifitas ke
Domain DSS (Deliver, Service, and
3 telah berada pada level 3.
Support). Hasil bukti yang di dapat diperiksa
4.3.2 Rekapitulasi Nilai Capability dengan kesesuaiaan kondisi existing yang
Setelah dilakukan analisis hasil kuisoner
telah dapat dan menjadi alat ukur tersendiri.
maka di dapatkanlah hasil nilai nilai pada
4.4.2 Penilaian kondisi existing
tiap aktifitas yang ada pada domain DSS (
4.4.2.1 Kondisi Existing DSS01
Deliver, service, and Support) dan di
Berdasarkan audit yang dilakukan pada
masukan ke dalam form kerja audit. lingkung domain DSS, maka didapatlah
Tindakan selanjutnya yang dilakukan adalah kondisi existing dari DSS01 :
mencari rata rata nilai pada tiap proses 1) Menjalankan absensi dan rekap
untuk mengetahui bagaimana kondisi tiap dilakukan dengan baik.
proses yang ada. Berikut adalah hasil
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1139

2) Dalam menjalankan prosedur 6) Ada yang memonitoring bagaimana


operasional telah dilakukan dengan baik, tindakan terhadap insiden yang ada dari
dan ada beberapa aktivitas-aktivitas helpdesk Direktorat SISFO.
tertulis di Standard Operating 7) Dilakukannya pelaporan saat rapat
Procedure (SOP) dan roadmap yang besar Direktorat SISFO tiap 3 bulan
berdasarkan kalender akademik. terhadap insiden insiden yang ada.
3) Tidak asuransi independent terhadap 4.4.2.3 Kondisi Existing DSS03
Berdasarkan audit yang dilakukan pada
manajemen outsourced IT service.
lingkung domain DSS, maka didapatlah
4) Pelaksanaan monitoring infrastruktur IT
kondisi existing dari DSS03 :
terlaksana dengan baik.
1) Direktorat SISFO melakukan
5) Dalam manage environtmen Direktorat
pengklasifikasian terhadap
SISFO menjalankan kehendak sesuai
permasalahan yang muncul, dan
dengan yang di tetapkan oleh SDM.
tertulis dalam SLA
6) Dalam menjaga fasilitas yang dimiliki,
2) Permasalah yang ada di rekap dan
tidak ada penilaian terhadap fasilitas
dilaporkan dalam rapat besar tiap 3
yang ada. Dalam pengawasan fasilitas bulan Direktorat SISFO
disak ada yang mengawasi, terdapat 3) Melakukan investigasi dan
CCTV tapi tidak ada orang yang mendiagnosa masalah masalah yang
menjaganya. timbung, namun pendokumentasiannya
4.4.2.2 Kondisi Existing DSS02 tidak dijaga, jadi hanya terdokumentasi
Berdasarkan audit yang dilakukan pada dalam notulensi RTM (Rapat Tinjauan
lingkung domain DSS, maka didapatlah Manajemen).
kondisi existing dari DSS02 : 4) Terdapat pencatatan dari kejadian error
1) Dalam menjalankan layanan insiden dan terhadap iGracias, dan juga dilaporkan
permintaan layanan telah dibuatkan saat rapat besar 3 bulan Direktorat
skema layanan/ SOP tentang request SISFO
insiden. 5) Dalam menyelesaikan masalah dan
2) Terdapat aturan aturan mengenai menutup masalah dikomunikasikan
penanganan insiden, dan telah di dalam RTM dan dilakukan dengan
dokumentasikan dalam bentuk SLA. baik, direkap dan dijaga dengan baik.
3) Direktorat SISFO memiliki aplikasi 4.4.2.4 Kondisi Existing DSS04
sistem informasi tersendiri dalam Berdasarkan audit yang dilakukan pada
pelayanan yang berkaitan dengan sistem lingkung domain DSS, maka didapatlah
informasi di Telkom University. kondisi existing dari DSS04 :
4) Aplikasi sistem informasi yang dimiliki 1) Direktur Direktorat SISFO membuat
Direktorat SISFO dapat digunakan kebijakan terhadap keberlangsungan
dalam merekap insiden insiden yang proses bisnis dengan melakukan
terjadi, laporan insiden yang terjadi, kesepakatan terhadap unit SPM dan
laporan status insiden yang sedang kemudian disetujui oleh Warek I
dikerjakan, dan laporan insiden yang
Telkom University
sudah selesai.
5) Pada aplikasi tersebut insiden yang 2) Direktorat SISFO membuat antisipasi
diterima di alokasikan ke bagian yang terhadap ganguan dari skenario insiden
sesuai untuk menanganinya. yang ada dengan meresolusi gangguan
secara teknis dan menyelesaikan
gangguan non teknis dengan kebijakan.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1140

3) Dilakukanya pemantauan/penilaian Apabila ada permintaan hak akses


terdahap proses bisinis yang maka permintaan harus di disposisi.
berlangsung oleh SPM dan SAI. 5) Terdapat pemantauan dari aktifitas
4) Untuk menjaga keberlangsungan pengaksesan padasistem iGracias
strategi dalam proses bisnis terlebih 6) Setiap perangkat sensitive dan
dahulu dilakukan analisis perangkat perangkat yang ada di
pengaruh/dampak yang terjadi dengan inventariskan dengan baik kebagian
kesiapan dan ketetapan di Direktorat logistic.
SISFO dan pilihan strategi yang ada di 7) Dibuatkannya daftar hask akses yang
komunikasikan dengan pihak SPM. istimewa berdasarkan structural
5) Tidak dilakukannya Bussines Plan 8) Terdapat penentuan karakteristik
Continuity untuk pengembangan keamanan dalam memonitoring
implementasi proses bisnis di keamanan infrastruktur yang di
Direktorat SISFO, hal ini sedang dalam tentukan dalam rapat dan terdapat
tahap perencanaan, belum berlangsung. security incident ticket dalam sistem
Rencana ini akan berlangsung setelah informasi helpdesk.
berlangsungnya sertifikasi. 4.4.2.6 Kondisi Existing DSS06
6) Adanya pelatihan yang dilakukan Berdasarkan audit yang dilakukan pada
terhadap pegawai untuk pengembangan lingkung domain DSS, maka didapatlah
skill setiap 1 tahun sekali. Hasil pelatihan kondisi existing dari DSS06 :
dilaporkan dalam bentuk laporan 1) Penyelarasan aktivitas kontrol yang ada
kegiatan. di proses bisnis dengan tujuan
7) Dalam menejemen backup Direktorat SISFO sudah berlangsung
dilakukannya test terlebih dahulu, baik. Dilengkapi laporan tinjuan dan
kemudian hasil dilaporkan setelah itu juga analisis terhadap akar
baru digunakan secara tetap. permasalahan yang muncul
8) Melakukan review terhadap kegiatan 2) Pemantauan dilakukan terus menerus
proses bisnis dan membuat daftar namun tidak terdapat dokumentasinya.
daftar perubahan terhadap perencanaan 3) Peran, tanggungjawab, hak akses dan
yang telah disusun dalam RTM. level otoritas telah didefinisikan dan
4.4.2.5 Kondisi existing DSS05 terdokumentasi dalam sistem
Berdasarkan audit yang dilakukan pada dashboard yang bersifat private.
lingkung domain DSS, maka didapatlah 4) Telah dilakukannya koreksi yang
kondisi existing dari DSS05 : dilakukan oleh pihak SPM untuk
1) Ada aturan tertulis dalam aktivitas- mengetahui kesalahan kesalahan
aktivitas untuk melindungi fasilitas kemudian dianalisis dan dilaporkan saat
dari maleware, namun dokumen tidak RTM.
dijaga. 5) Terdapat rekaman di sistem informasi
2) Melakaukan riset terhadap ancaman helpdesk yang dapat digunakan untuk
ancaman yang potensial. memastikan jejak kegiatan informasi
3) Dibuatnya kebijakan mengenai dan pertanggung jawabannya.
keamanan konektifitas dan perangkat 6) Tidak adanya laporan mengenai daftar
endpoint yang terdapat pada SKPL. daftar pelangaran terhadap sistem
4) Dalam manjemen hak akses yang padahal dilakukan analisisnya.
dilakukannya pembuatan hak akses 4.5 Analisis Gap
pada SKPL, kemudian dimonitorng.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1141

Analisis Gap ini dlakukan untuk mencari aktivitas-aktivitas telah dilakukan, ada
selisih dari level capability yang didapat standar penerapan dalam melakukan proses
dengan level target yang ingin dicapai. tersebut, terdokumentasi dan komunikasi
Dalam penentuan level target, ditentukan berjalan dengan baik.
dengan level yang sedang dituju dari level 4.6 Rekomendasi
rata rata yang didapat. Contoh untuk 4.6.1 Rekomendasi DSS01
DSS01 di peroleh level rata rata 3,82 maka Berdasarkan analisis Gap yang di dapat
DSS01 sedang dalam tahap menuju level dengan level target yang ingin dicapai pada
capability 4 dan masih mencapai 0,82 atau DSS01, maka berikut adalah beberapa
82% di atas level 3 atau kurang dari 0,18 rekomendasi yang dapat penulis berikat
atau 18% menuju level capabilty 4. untuk meningkatkan kualitas Direktorat
Sehingga ditetapkan level targetnya adalah SISFO :
level 4. 1) Menindak lanjuti hasil audit
4.5.7 Analisis keseluruhan Gap independent terhadap kualitas
Berikut ini adalah hasil dari pelaksanaan layanan, lingkungan dan dengan
audit, diperolehnya hasil capability level pihak luar yang menjalin kerjasama,
untuk keseluruhan proses adalah sebagai apabila dari audit independent tidak
berikut : ada maka ditambahkan sendiri.
Tabel 4.44 2) Melakukan analisis perangkat IT
untuk mencegah ancaman yang
timbul dari tindakan manusia seperti
pencurian, dan juga terlindung dari
ancaman dari hal hal lain misalkan
kebocoran, akan hujan, bahaya
kebakaran karena konsleting dll.
3) Melakukan penilaian terhadap
infrastruktur yang dimilki dan dibuat
dokumentasinya untuk bahan
evaluasi kedepan.
4) Menjaga dan memonitoring
infrastruktur dengan baik, karena
telah disediakan CCTV namun tidak
ada yang menoperasikannya, lebih
baik disediakan pegawai yang
bertugas untuk memonitoringnya,
misalkan satpam.
4.6.2 Rekomendasi DSS02
Berdasarkan analisis Gap yang di dapat dan
dengan level target yang ingin dicapai pada
DSS02, maka berikut adalah beberapa
rekomendasi yang dapat penulis berikat
Gambar 4.2 Diagram Rata rata untuk meningkatkan kualitas Direktorat
Capability SISFO :
Dari Tabel 4.44 diperoleh capability level 1) Membuat klasifikasi terhadap jenis
tiap-tiap proses domain DSS COBIT 5, dari jenis layanan dan insiden yang dilayani,
gambar 4.2 dapat diketahui bahwa rata-rata sehingga mudah untuk dipetakan ke
capability level yang diperoleh berada pada
level 3 yaitu Establsh Process. Artinya
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1142

bagian atau divisi yang akan langsung 2) Mendokumentasikan dan mengalisa


menyelesaikan layanan atau insiden kembali laporan masalah yang ada
tersebut. baik yang sudah terselesaikan maupun
2) Membuat strategi strategi dalam yang belum terselesaikan.
permintaan layanan dan pemecahan 3) Menganalisa akar akar permasalahan
insiden baik dalam bentuk kebijakan yang muncul dan pemecahan masalah,
ataupun tindakan penanganan langsung kemudian mendokumentasikannya
seperti sistem. supaya tidak terjadi masalah yang
3) Melakukan review terhadap SLA yang sama.
dibuat minimal tiap satu tahun untuk 4) Membuat sistem/skema yang dapat
mengetahui ketidaksesuaian yang mengetahui jalannya penyelesaian
terjadi dan melukan inovasi terhadap pemecahan masalah yang ada agar dapat
SLA yang sudah ada. dipantau oleh pihak atasan.
4) Memberikan wadah untuk kritik dan 5) Membuat dokumentasi terkait solusi
saran kepada konsumen untuk menilai solusi dalam pemecahan masalah.
pelayanan, kepuasan konsumen dan 6) Melakukan analisa pembiayan untuk
pengembangannya. menyelesaikan masalah, melakukan
5) Membuat inovasi strategi terhadap pemantauan dan didokumentasikan.
insiden yang belum terselesaikan, 7) Memebuat analisa pengalokasian
menganalisis dan mengevaluasi sumberdaya yang akan digunakan
kembali inovasi strategi yang dibuat. untuk mengoptimalkan resource yang
6) Membuat dokumentasi terhadap dimiliki.
resolusi atau solusi alternative terhadap 4.6.4 Rekomendasi DSS04
pemecahan insiden dan Berdasarkan analisis Gap yang di dapat dan
mengevaluasinya. dengan level target yang ingin dicapai pada
7) Mengembangkan sistem yang dapat DSS04, maka berikut adalah beberapa
melaporkan kecenderungan masalah
rekomendasi yang dapat penulis berikat
atau insiden yang dihadapi sehingga
pihak Direktorat SISFO dapat untuk meningkatkan kualitas Direktorat
mengetahui kesalahan kesalahan yang SISFO :
didapatkan. 1) Melakukan pengukuran
8) Mendefinisikan batas waktu pemecahan keberlangsungan proses bisnis untuk
dalam klasifikasi insiden dan mengetahui tingkat kematangannya
mengevaluasi minimal tiap bulan dan kesenjangan proses bisnis,
sekali. didokumentasikan dan dievaluasi.
4.6.3 Rekomendasi DSS03 2) Mengukur kesesuaian kebijakan yang
Berdasarkan analisis Gap yang di dapat dan dibuat dalam keberlangsungan proses
dengan level target yang ingin dicapai pada bisnis.
DSS03, maka berikut adalah beberapa 3) Menganalisis dan membuat skema atau
rekomendasi yang dapat penulis berikat SOP tentang terjadinya gangguan
untuk meningkatkan kualitas Direktorat dalam sekenario proses bisnis yang
SISFO : ditetapkan.
1) Melakukan pemantauan terhadap 4) Melakukan evaluasi terhadap
kinerja penyelesaian masalah yang kebutuhan keberlanjutan proses bisnis
telah ditentukan. yang berlangsung.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1143

5) Menetapkan ukuran ukuran terhadap 6) Mengukur kualitas sistem keamanan


ancaman ancaman yang dapat dan hak akses yang diberikan.
menggangu jalannya proses bisnis. 7) Mengevaluasi atau memantau hak akses
6) Membuat skema atau sistem yang yang diberikan untuk terjaga dari
berisi respon terhadap insiden dan ancaman ancaman yang potensial.
kominukasinya, mendokumentasikan 4.6.6 Rekomendasi DSS06
dan dievaluasi. Berdasarkan analisis Gap yang di dapat dan
7) Membuat business continuity plan dengan level target yang ingin dicapai pada
(BCP) untuk pengembangan proses DSS06, maka berikut adalah beberapa
bisnis dan dokumentasikan. rekomendasi yang dapat penulis berikat
8) Melakukan pengukuran dan evaluasi untuk meningkatkan kualitas Direktorat
terhadap tujuan pelatihan. SISFO :
9) Melakukan penjaminan keamanan 1) Menetapkan ukuran ukuran
terhadap distribusi data yang bersifat goal dari proses bisnis,
rahasia. mendokumentasikan dan dievaluasi.
10) Membuat ketetapan ukuran ukuran 2) Membuat laporan dari kontrol
untuk pengambangan latihan pemrosesan agar mudah diketahui
sumberdaya manusia yang dimiliki, gejala gejala yang timbul.
dan dipantau keberlangsungannya. 3) Memantau dan mengevaluasi
4.6.5 Rekomendasi DSS05 prosedur keamanan untuk melindungi
Berdasarkan analisis Gap yang di dapat dan aset informasi.
dengan level target yang ingin dicapai pada 4) Membuat kebijakan dalam
DSS05, maka berikut adalah beberapa penentuan peran yang berwenang untuk
rekomendasi yang dapat penulis berikat mengakses aktivitas atau data yang
untuk meningkatkan kualitas Direktorat bersifat sensitive, dijelaskan secara
rinci dan didokumentasikan.
SISFO :
5) Mereview penyimpangan
1) Membuat kebijakan terkait dengan
penyimpangan yang terjadi dalam
maleware software, didokumentasikan
keberlangsungan prose bisnis,
dan dievaluasi. (mis: menginstall
mendokumentasikan dan dievaluasi
antivirus yang diwajibkan)
6) Membuat kebijakan terhadap
2) Menetapkan sistem yang digunakan
pemberian hukuman kepada pegawai
untuk mengevaluasi ancaman
yang melakukan pelanggaran
ancaman yang akan timbul,
pelanggaran dalam pemantauan
didokumentasikan dan dimonitoring.
kegiatan proses bisnis.
3) Melakukan evaluasi yang dilakukan
7) Menyimpang dengan baik atau
rutin, minimal tiap semester terhadap
mengarsipkan data seperti sumber
sistem informasi yang dikhawatirkan
informasi, rekaman transaksi untuk
dapat timbul potensi ancaman baru.
dijadikan bukti dalam pengukuran
4) Memberikan peringatan kepada semua
pegawai akan kedasarannya terhadap penilaian keberlangsungan proses bisnis
keamanan sistem dan perangkat yang dan dapat sebagai rekomendasi.
dimiliki. 8) Mengidentifikasi jenis jenis
5) Membuat laporan mengenai ujicoba data yang bersifat rahasia, membuat
sistem keamanan yang diterapkan dan prosedur penyimpanan dan
dievaluasi. penghapusan yang tepat.
ISSN : 2355-9365 e-Proceeding of Engineering : Vol.2, No.1 April 2015 | Page 1144

4.6.7 Rekomendasi umum yaitu DSS01, DSS02, DSS03, DSS04,


keseluruhan proses DSS05, dan DSS06.
Sebelumnya telah dituliskan beberapa 2) Dari hasil audit, diketahui ada 1 proses
rekomendasi yang berdasar pada tiap proses yang mempunyai level kapabilitas 4
yang ada pada domain DSS (Deliver, yaitu DSS02, ada 5 proses yang
Service, and Support). Berikut ini beberapa mempunyai level kapabilitas 3 yaitu
DSS01, DSS03, DSS04, DSS05 dan
tambahan rekomendasi secara umum
DSS06.
berdasar kondisi Direktorat SISFO dalam 3) Menurut level kapabilitas masing-
ruang lingkup iGracias. masing proses, ditentukan level target
Capability level yang didapat secara keseluhan masing-masing proses yaitu berupa 1
adalah level 3 Established Process, level level di atas level kapabilitas,yang
target yang ingin dicapai adalah 4 Predictable ditentukan berdasar analisis dan juga
process, sehingga rekomendasi yang disusun persetujuan dengan stakeholder,
adalah sebagai berikut: sehingga didapat level target untuk
1) Membuat penerapan pengukuran DSS01, DSS03, DSS04, DSS05 dan
layanan yang harus dipenuhi dalam tiap DSS06 adalah level 4, untuk DSS02
proses bisnis untuk terjaminnya sistem adalah level 5.
iGracias berjalan dengan baik. 4) Level capability keseluruhan yang
2) Membuat sistem monitoring dan diperoleh berdasarkan keseluruhan rata
evaluasi yang tepat terhadap proses rata adalah 3, yang berarti sebagian
bisnis untuk mengoptimalkan besar aktifitas pada domain DSS untuk
keberlangusngan iGracias. Direktorat SISFO Telkom University
3) Membuat dokumentasi atau laporan telah dilakukan, ada standar penerapan
mengenai keseluruhan hasil proses yang dalam melakukan proses tersebut,
berlangsung, dan juga pelanggaran yang terdokumentasi dan komunikasi berjalan
terjadi sebagai bahan evaluasi dan dengan baik.
pengembangan keberlanjutannya. 5.2 Saran
4) Membuat dan menjaga dengan baik Berikut adalah saran yang dapat
pendokumentasian informasi yang dapat disampaikan dalam tugas akhir ini adalah :
meningkatkan/menjaga keberlangsungan 1) Penilaian tingkat kapabilitas terkait
jalannya sistem iGracias.
Direktorat SISFO Telkom University
5. Kesimplan dan Saran
dalam tugas akhir ini dapat
5.1 Kesimpulan
dilanjutkan lagi pada modul-modul
Berdasarkan audit yang dilakukan pada
lain menggunakan COBIT 5.
Direktorat SISFO Telkom University dalam
2) Dapat ditambahkan
study kasus iGracias dengan framework
scoring/pembobotan dalam terkait
COBIT 5 Domain DSS (Deliver, Service,
pengumpulan bukti/evidence yang
and Support) maka kesimpulan dari tugas
dicari, Untuk memperjelas
akhir ini adalah :
pemberian rekomendasi.
1) Pada tahap Pra audit telah diperoleh 6
proses domain DSS COBIT 5 yang 3) Metode dalam penghitungan validasi
dimana merupakan keseluruhan proses dan penentuan level capability tiap
dari domain DSS yang sesuai dengan aktifitas dapat dilakukan dengan
kondisi tata kelola Direktorat SISFO metode yang berbeda.
Telkom University dan digunakan
sebagai ruang lingkup dan standar audit