1. 1. TUGAS MAKALAH AUDIT SISTEM INFORMASI COBIT Disusun Oleh : 1.

Faisal Puri C. 4.43.09.1.10 2. Ida Sulistiyoningsih 4.43.09.1.13 3. Rezha Rifki F.

4.43.09.1.20 4. Siska Widya P. 4.43.09.1.21 PROGRAM STUDI AKUNTANSI
JURUSAN AKUNTANSI POLITEKNIK NEGERI SEMARANG 2013
2. 2. BAB I PENDAHULUAN 1. Latar Belakang COBIT (Control Objectives for
Information and Related Technology) adalah kerangka kerja tata kelola IT (IT
Governance Framework) dan kumpulan perangkat yang mendukung dan
memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara
kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues)
dan resiko bisnis (bussiness risk). COBIT mempermudah perkembangan peraturan
yang jelas (clear policy development) dan praktik baik (good practice) untuk
mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap
peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan
penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan
penerapan dari kerangka COBIT. Dalam pembahasan ini, ada beberapa hal mengenai
sistem manajemen data yang dibahas. Hal-hal yang dibahas secara umum ada dua,
yaitu: 1) definisi COBIT, 2) sejarah COBIT, 3) manfaat COBIT, dan 4) perbedaan
versi COBIT . 2. Rumusan Masalah Berdasarkan latar belakang di atas, maka masalah
pokok pada pembahasan ini adalah: a. Apakah yang dimaksud COBIT? b. Bagaimana
sejarah COBIT? c. Apa saja manfaat dan perbedaan versi COBIT?
3. 3. 3. Tujuan Tujuan dari pembahasan sistem manajemen data adalah: a. Menjelaskan
tentang COBIT b. Menjelaskan sejarah COBIT c. Menyebutkan dan menjelaskan
tentang manfaat dan perbedaan versi COBIT.
4. 4. BAB II PEMBAHASAN 2.1 Pengertian COBIT - The ISACA Framework
(Kerangka ISACA) COBIT (Control Objectives for Information and Related
Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan
kumpulan perangkat yang mendukung dan memungkinkan para manager untuk
menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control
requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk).
COBIT mempermudah perkembangan peraturan yang jelas (clear policy
development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi
untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan
untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT. 2.2
Sejarah Perkembangan COBIT COBIT muncul pertama kali pada tahun 1996 yaitu
COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998
yang menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT
Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang mengarah
pada tata kelola dan menejemen untuk aset-aset perusahaan IT. COBIT terdiri atas 4
domain, yaitu : a.) Planning and Organizing, b.) Acquisition and Implementation, c.)
Delivery and Support, d.) Monitoring and Evaluation.
5. 5. 2.3 Manfaat COBIT Manfaat dalam penerapan COBIT ini antara lain : a.
Mengelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis.
b. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif
dan inovatif. c. Mencapai tingkat operasional yang lebih baik dengan aplikasi
teknologi yang reliable dan efisien. d. Mengelola resiko terkait TI pada tingkatan yang
dapat diterima. e. Mengoptimalkan biaya dari layanan dan teknologi TI. f.
Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan. 2.4
COBIT Versi 4.1 2.4.1 Kerangka Kerja Kerangka kerja pengendalian COBIT terdiri
 dari empat hal, yakni : a. Mengaitkannya dengan tujuan organisasi, b.
Mengorganisasikan aktivitas TI ke dalam model proses, c. Mengidentifikasi sumber
daya utama TI untuk melakukan percepatan, d. Mendefinisikan tujuan pengendalian
manajemen untuk dipertimbangkan.
6. 6. COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses, kriteria
informasi dan sumber daya teknologi informasi menjadi 318 sasaran pengendalian
(control objectives) dengan aplikasi pada tingkatan seperti apa (primer atau sekunder)
serta dapat diterapkan pada sumber daya teknologi informasi yang mana. 1. Lingkup
pekerjaan (domain) yang meliputi empat hal sebagai berikut : a. Merencanakan dan
mengorganisasikan, b. Memperoleh dan mengimplementasikan, c. Melaksanakan dan
mendukung, d. Memonitor dan mengevaluasi. 2. Proses yang berjumlah 34, terdiri
dari PO1 sampai PO10 (indikator Plan dan Organize), AI1 sampai AI7 (indikator
Acquire dan Implement), DS1 sampai DS13 (indikator Direct dan Support), serta
ME1 sampai ME4 (indikator Monitor dan Evaluate). 3. Kriteria informasi, yang
meliputi tujuh hal berikut ini : COBIT menetapkan standar penilaian terhadap sumber
daya teknologi informasi dengan kriteria sebagai berikut:
7. 7. a. Efektivitas : untuk memperoleh informasi yang relevan dan berhubungan dengan
proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya
dan tepat waktu. b. Efisiensi : memfokuskan pada ketentuan informasi melalui
pengunaan sumber daya yang optimal. c. Kerahasiaan : memfokuskan proteksi
terhadap informasi yang penting dari yang tidak memiliki otorisasi. d. Integritas :
berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang
sesuai dengan harapan dan nilai bisnis. e. Ketersediaan : berhubungan dengan
informasi yang tersedian ketika diperlukan dalam proses bisnis sekarang dan yang
akan datang. f. Kepatuhan : sesuai menurut hukum, peraturan, dan rencana perjanjian
untuk proses bisnis. g. Keakuratan informasi : berhubungan dengan ketentuan
kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur
pelatihan dan kelengkapan laporan pertanggungjawaban. 4. Sumber daya teknologi
informasi,meliputi :Sistem aplikasi,Informasi,Infrastruktur, danPersonil. 2.5COBIT
Maturity Model COBIT menyediakan parameter untuk penilaian setinggi dan sebaik
apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang
bisa digunakan untuk penilaian kesadaran pengelolaan(management awareness)dan
tingkat kematangan (maturity level). COBIT mempunyai model kematangan
(maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode
penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang
dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu:
0: Non Existen, 1: Initial,
8. 8. 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah,
2010; Setiawan, 2008; Nurlina dan Cory, 2008). Model kematangan (maturity
models) tersebut seperti terlihat dalam Gambar berikut: Gambar Maturity Model
(Sumber: IT Governance Institute, 2007) 2.6 COBIT 5 2.6.1 COBIT 5 – Product
Family – The Overarching Framework Product 2.6.2 COBIT 5 – Value Creation
(Nilai Penciptaan) a. Untuk menyajikan enterprise stakeholder value, dibutuhkan tata
kelola dan menejemen yang baik dari aset-aset informasi dan teknologi, termasuk
pengaturan pengamanan informasi.
9. 9. b. Kebutuhan para penegak hukum, pembuat peraturan dan pembuat kontrak yang
diluar perusahaan (hukum luar, peraturan dan kontrak kepatuhan) berhubungan
dengan penggunaan informasi dan teknologi yang semakin meningkat diperusaahaan,
menjadi ancaman jika terjadi kebocoran. c. COBIT 5 menyediakan kerangka kerja
yang lengkap (kerangka komprehensif) yang membantu perusahaan untuk mencapai
 target mereka dan memberikan nilai melalui tata kelola dan menejemen perusahaan
yang baik dibidang IT – menyediakan dasar yang kuat untuk pengaturan keamanan
informasi. 2.6.3 COBIT 5 – Framework (Kerangka Kerja) a. Seperti yang telah
dijelaskan, COBIT 5 membantu perusahaan untuk menciptakan nilai IT yang optimal
dengan menjaga keseimbangan antara mewujudkan manfaat dan mengoptimalisasi
tingkat resiko dan sumber yang digunakan. b. COBIT memungkinkan informasi dan
teknologi yang berhubungan untuk dikelolah dan diatur dengan cara yang menyeluruh
pada setiap bagian perusahaan, mengambil peran penuh pada bisnis dan area
fungsional dari tanggung jawab perusahaan, dengan mempertimbangkan bahwa IT
berhubungan dengan stakeholders yang berasal dari internal dan eksternal perusahaan.
c. COBIT 5 – Principle dan Enablers adalah umum dan bermanfaat untuk semua
ukuran perusahaan, baik itu komersial ataupun tidak, atau untuk penyedia layanan
publik.
10. 10. COBIT 5 – Principle dan Enabler Kerangka kerja ini membahas bisnis maupun IT
bidang fungsional disuatu perusahaan dan mempertimbangkan TI terkait kepentingan
stakeholder internal & eksternal. Berdasarkan 5 prinsip COBIT 5 didasarkan pada
lima prinsip kunci untuk tata kelola dan manajemen perusahaan TI: a. Prinsip 1:
pertemuan pemangku kepentingan kebutuhan b. Prnsip 2: meliputi Enterprise end-to-
end c. Prinsip 3: menerapkan kerangka, single terpadu d. Prinsip 4: mengaktifkan
pendekatan kebutuhan e. P r i n s i p 5: tata pemisahan dari manajemen Dan kerangka
COBIT 5 juga menjelaskan 7 kategori enabler: a. Prinsip kebijakan dan kerangka
kerja adalah cara untuk menerjemahkan perilaku yang diinginkan menjadi panduan
praktis manajemen. b. Proses menggambarkan aturan praktekterorganisir dan kegiatan
untuk mencapai tujuan tertentu dan menghasilkan output dalam mendukung
pencapaian keseluruhan TI tujuan yang terkait. c. Struktur organisasi adalah
pengambilan keputusan kunci entitas dalam suatu perusahaan. d. Budaya, etika dan
perilaku individu dan perusahaan yang sangat sering diremehkan sebagai faktor
keberhasilan dalam kegiatan tata kelola dan manajemen.
11. 11. e. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan
teratur, tetapi pada tingkat operasional, informasi adalah hal utama dari perusahaan itu
sendiri. f. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan
aplikasi yang menyediakan perusahaan dengan pengelolaan informasi teknologi dan
jasa. g. Orang-orang (SDM), keterampilan, dan kompetensi yang diperlukan untuk
keberhasilan menyelesaikan semua kegiatan, dan untuk membuat keputusan yang
benar dan mengambil tindakan korektif. Tata kelola dan manajemen, Governance
memastikan bahwa tujuan perusahaan yang dicapai dengan cara mengevaluasi
kebutuhan pemangku kepentingan, kondisi dan pilihan, menetapkan arah melalui
prioritas dan pengambilan keputusan, dan pemantauan kinerja, kepatuhan dan
kemajuan terhadap setuju pada arah dan tujuan (EDM). Rencana manajemen,
membangun, berjalan dan kegiatan monitor sejalan dengan arah yang ditetapkan oleh
badan pemerintahan untuk mencapai tujuan perusahaan (PBRM). Dalam ringkasan
COBIT 5 menyatukan lima prinsip yang memungkinkan perusahaan untuk
membangun pemerintahan yang efektif dan kerangka kerja manajemen berdasarkan
holistik, tujuh enabler yang mengoptimalkan informasi dan investasi teknologi dan
penggunaan kepentingan stakeholder. Penggunaan COBIT 5 untuk keamanan
informasi dapat membantu perusahaan dari semua sisi: a. Mengurangi kompleksitas
dan meningkatkan efektifitas biaya. b. Meningkatkan kepuasan pengguna dengan
pengaturan keamanan informasi dan hasil. c. Meningkatkan integrasi keamanan
informasi. d. Memberikan informasi keputusan resiko dan risk awareness. e.
 Mengurangi insiden keamanan informasi. f. Meningkatkan dukungan untuk inovasi
dan daya saing.
12. 12. COBIT 5 – Enabling Prosesses Governance and Management a. Tata kelola
(governance) memanstikan bahwa tujuan perusahaan dapat dicapai dengan melakukan
evaluasi (evaluating) terhadap kebutuhan, kondisi dan pilihan stakeholder;
menetapkan arah (direction) melalui skala prioritas dan pengambilan kepeutusan; dan
pengawasan (monitoring) pada saat pelaksanaan, penyesuaian dan kemajuan terhadap
arah dan tujuan yang telah disetujui (EDM). b. Management plans, builds, runs and
mionitors (PBMR) aktifitas-aktifitas yang selaras dengan arah yang telah ditentukan
oleh badan pemerintahan untuk mencapai tujuan perusahaan. 2.6.4 COBIT 5 –
Integrates Earlier ISACA Frameworks COBIT 5 telah memperjelas proses
menejemen tiap tingkatan dan menggabungkan isi dari COBIT 4.1, Val IT dan Risk
IT menjadi satu model proses.
13. 13. 2.6.5 COBIT 5 – Integrates BMIS Components Too COBIT 5 juga telah
menyertakan model pendekatan yang menyeluruh, berhubungan atar tiap komponen
dari cara kerja Business Model for Information Security (BMIS) dan
menggabungkannya kedalam komponen kerangka kerja. Perkenalan tentang BMIS
(Business Model for Information Security) a. Sebuah pendekatan yang menyeluruh
dan business-oriented untuk mengatur keamanan informasi (information security),
dan sebuah istilah yang umum untuk keamanan informasi serta menejemen bisnis
yang berbicara tentang menejemen bisnis yang berbicara tentang perlindungan
informasi (Information Protection). b. BMIS menantang pemikiran yang tradisional
dan memungkinkan kita untuk melakukan evaluasi ulang secara kretif terhadap
investasi yang dilakukan pada keamanan informasi. c. BMIS menyediakan penjelasan
secara mendalam untuk keseluruhan model bisnis yang memeriksa masalah keamanan
dari sudut pandang sistem.
14. 14. 2.6.6 COBIT 5 – Integrates BMIS Components a. Beberapa dari komponen BMIS
saat ini telah terintegrasi kedalam COBIT 5 sebagai pendorong (interacting enablers)
yang mendukung perusahaan untuk mencapai tujuan bisnisnya dan menciptakan
stakeholder value : a. Organisasi, b. Orang, c. Budaya, d. Teknologi, e. Faktor
manusia. b. Komponen BMIS yang lain sebenarnya berhubungan dengan aspek yang
lebih besar pada kerangka COBIT 5 : a. Govering – Dimensi dari aktifitas tata kelola
(evaluate, direct, monitorISO/IEC 38500) ditujukkan pada tingkatan perusahaan
dalam kerangka kerja COBIT 5. b. Architecture – (termasuk proses model) – COBIT
5 mencakup kebutuhan yang ditujukan untuk aspek arsitektur perusahaan yang
menghubungkan organisasi dengan teknologi secara efektif. c. Emergence – Sifat
yang menyeluruh dn terpadu dari pendukung COBIT 5 mendukung perusahaan untuk
beradaptasi dengan perusahaan yang terjadi pada kebutuhan stakeholder dan enabler
capabilities sesuai kebutuhan. 2.6.7 COBIT 5 – Implementasi a. Perkembangan dari
the Governance of Enterprise IT (GEIT) secara luas diakui oleh top menejemen
sebagai bagian penting dari tata kelola perusahaan. b. Informasi dn kegunaan dari
teknologi informasi terus berkembang menjadi bagian dari setiap aspek bisnis dan
kehidupan. c. Kebutuhan untuk menggunakan lebih banyak manfaat dari investasi IT
dan mengelola berbagai peningkatan resiko yang terkait dengan IT, termasuk resiko
keamanan. d. Meningkatnya peraturan dan perundangan pada penggunaan dan
keamanan informasi bisnis juga menyebabkan meningkatnya kewaspadaan terhadap
pentingnya penggunaan tata kelola yang baik (well-governed), pengaturan dan
pengamanan penggunaan IT.
15. 15. e. ISACA telah mengembangkan kerangka kerja COBIT 5 untuk membantu
perusahaan menggunakan pembangkit tata kelola yang sehat (sound governance
 enablers). f. Menerapkan GEIT yang baik hampir tidak mungkin tanpa melibatkan
kerangka kerja tata kelola yang efektif. Praktik terbaik dan standart juga tersedia
untuk mendukung COBIT 5. g. Bagaimanapun juga, kerangka kerja, praktik terbaik
dan standr hanya berguna jika digunakan dan disesuaikan secara efektif. Tedapat
banyak tantangan yang ditemui dan masalah yang harus ditangani berhubungan hal
tersebut jika ingin GEIT dapat diimplementasikan dengan sukses. h. Penerapan
COBIT 5 mencangkup :  Penentuan posisi GEIT pada perusahaan.  Mengambil
langkah pertama menuju perbaikan GEIT.  Pelaksanaan tantangan dan faktor
keberhasilan.  Memungkinkan GEIT yang terkait dengan perubahan dan perilaku
organisasi.  Menerapkan perbaikan yang berkelanjutan yang pemberdayaan
perubahan dan menejemen program.  Menggunakan COBIT 5 dan komponen-
komponennya. COBIT 5 Implementation mencangkup
16. 16. 2.6.8 COBIT 5 – Produk Keluarga – Includes an Information Security Member
COBIT 5 and Information Security COBIT 5 menangani tentang keamanan informasi
terutama : a. Fokus pada sistem manajemen keamanan informasi (ISMS) dalam
menyelaraskan, merencanakan dan mengatur (APO) domain manajemen, APO 13
mengelola keamanan, menetapkan keunggulan keamanan informasi dalam kerangka
proses COBIT 5. b. Proses ini menyoroti kebutuhan untuk manajemen perusahaan
untuk merencanakan dan membangun ISMS yang sesuai untuk mendukung prinsip-
prinsip tata kelola informasi keamanan dan keamanan-dampak tujuan bisnis yang
dihasilkan dari domain, mengevaluasi dan monitor langsung (EDM) pemerintahan. c.
COBIT 5 untuk keamanan informasi akan menjadi pandangan diperpanjang dari
COBIT 5 yang menjelaskan setiap komponen COBIT 5 dari perspektif keamanan
informasi. d. Nilai tambah bagi konstituen keamanan informasi akan diciptakan
melalui penjelasan tambahan, aktivitas, proses dan rekomendasi.
17. 17. e. Ini COBIT 5 untuk tata kelola keamanan informasi dan manajemen yang akan
memberikan profesional keamanan pedoman yang rinci untuk menggunakan COBIT
5 karena mereka menetapkan, menerapkan dan memelihara keamanan informasi
dalam kebijakan bisnis, proses dan struktur dari sebuah perusahaan. 2.7 IT IL (
Information Technology Infrastructure Library) IT Infrastructure Library (ITIL)
merupakan sebuah framework yang memberikan panduan (guidance) mengenai
pengelolaan IT berbasis layanan yang telah banyak diadopsi oleh berbagai organisasi
dan perusahaan diberbagai industri dan sektor. Apabila ITIL diterapkan secara tepat,
maka akan memberikan manfaat yang optimal dalam memudahkan pengelolaan
layanan IT, meningkatkan kualitas layanan IT, bahkan sampai membuahkan kepuasan
pengguna layanan IT. ITIL juga diartikan sebagai best practice dari Service
Management IT dan menjadi pilihan terpopuler saat ini sebagai framework analyst
business seorang/sebuah client untuk defining roadmap bisnis dan infrastruktur IT
yang konsisten dan komprehensif, agar bisnis perusahaan (business plan/strategy)
sejalan dengan IT dan infrastruktur-nya. Sehingga kedepannya dapat mencapai
kualitas dukungan layanan IT yang terkelola. ITIL mencakup delapan kumpulan
yaitu:1. Service Support, 2. Service Delivery, 3. Planning to Implement Service
Management, 4. ICT Infrastructure Management, 5. Application Management, 6.
Business Perspective, 7. Security Management, 8. Software Asset Management. Tiga
diantaranya, yaitu Service Support, Service Delivery, dan Security
Managementmerupakan area utama, yang disebut juga IT Service Management
(ITSM). Pada dasarnya, kerangka kerja ITIL bertujuan secara kelanjutan
meningkatkan efisiensi operasional TI dan kualitas layanan pelanggan. Kerangka
kerja yang
18. 18. diberikan belum memberikan panduan pengelolaan TI yang memenuhi kebutuhan
ditingkat yang lebih tinggi (high level objective) di perusahaan sepert COBIT yang
dibahas sebelumnya. 2.8 ISO/IEC 17799 ISO IEC 17799 adalah kode praktis
pengelolaan keamanan informasi yang dikembangkan oleh The International
Organization for Standardization (ISO) dan The International Electronical
Commission (IEC). ISO/IEC 17799 adalah panduan yang terdiri dari saran dan
rekomendasi yang digunakan untuk memastikan keaman informasi perusahaan. ISO
IEC 17799 bertujuan memperkuat tiga elemen dasar keamanan informasi , yaitu:
Confidentiality, Integrity, Availability. ISO IEC 17799 disajikan dalam entuk
panduan dan rekomendasi yang terdiri dari 36 security objectives dan 127 security
controls yang dikelompokkan kedalam 10 domain keamanan informasi. Berikut 10
domain keamanan informasi ISO IEC 17799, yaitu Security Policy, Organizational
Security, Asset Classification And Control, Personel Security, Physical And
Environmental Security, Communications And Operation Management, Access
Control, Syestem Development And Maintenance, Business Continuity Management,
Compliance.
19. 19. BAB III STUDY KASUS EVALUASI TATA KELOLA TEKNOLOGI
INFORMASIMENGGUNAKAN KERANGKA KERJA COBIT DALAM
MENDUKUNG LAYANAN SISTEM INFORMASI AKADEMIKSTUDI KASUS :
UNIVERSITAS BUDI LUHUR 3.1 Analisis Kondisi Tata Kelola TI Sistem
Informasi Akademik Universitas BudiLuhur Untuk mengetahui kondisi tata kelola TI
sistem informasi akademik Universitas Budi Luhur dilakukan tiga tahap analisis
yaitupertama melakukan analisis kedudukan fungsi TI di Universitas Budi Luhur
kemudian dilanjutkan dengan melakukan analisis kondisi saat ini tata kelola TI sistem
informasi akademik Universitas Budi Luhur dan diakhiri dengan analisis tingkat
kematangan tata kelola TI sistem informasi akademik Universitas Budi Luhur
menggunakan kerangka kerja COBIT khususnya domain penyampaian & dukungan
(deliver & support) dan domain pengawasan dan evaluasi (monitor and evaluate).
3.1.1 Analisis Kedudukan Fungsi TI Fungsi TI Universitas Budi Luhurberada pada
Biro Sistem Informasi (BSI) yang dalam struktur organisasi keberadaannya di bawah
Deputi Bidang Penjaminan Mutu. BSI mempunyai wewenang untuk menyediakan
hal-hal yang berkaitan dalam pelayanan sistem informasi untuk mendukung kegiatan
di lingkungan Universitas Budi Luhur termasuk di dalamnya sistem informasi
akademik. Sedangkan tanggung jawab BSI antara lain adalah : 3.1.2.Analisis Kondisi
Tata Kelola TI Saat Ini Kondisi kemampuan tata kelola TI saat ini dari sistem
informasi akade mik Universitas Budi Luhur dapat diidentifikasi melalui analisis
tingkat kematangan yang mengacu pada tingkat kematangan COBIT khususnya
domain penyampaian & dukungan dan domain pengawasan dan evaluasi. COBIT
memiliki 6 tingkat kematangan TI, seperti tertera pada Tabel 1 di bawah ini : Tabel 1.
Tingkat Kematangan COBIT
20. 20. Tingkat Nilai Keterangan Kematangan Kematangan 0-Non- Existent 0,00 - 0,50
Proses pengelolaan tidak diterapkan 1-Initial/Ad Hoc 0,51 - 1,50 Proses pengelolaan
dilakukan secara tidak berkala dan tidak terorganisir 2- Repeatable but 1,51 - 2,50
Proses dilakukan secara berulang 2,51 - 3,50 Proses telah terdokumentasi dan
dikomunikasikan, Intuitive 3-Defined Process pengawasan dan pelaporan tidak
dilakukan secara berkala 4-Managed 3,51 - 4,50 Proses terawasidan terukur 4,51 -
5,00 Best practicetelah diterapkandalam prosespengelolaan AndMeasurable 5-
Optimised Setelah dilakukan penghitungan tingkat kematangan, dari 13 proses yang
terdapat pada domain penyampaian dan dukungan (deliver and support), 10 proses
(77%) diantaranya mempunyai tingkat kematangan saat ini pada tingkat 2-
 repeatablebut intuitive dan sisanya sebanyak 3 proses (33%) mempunyai tingkat
kematangan saat ini pada tingkat 3-defined process terdapat pada tabel di bawah ini :
Tabel 2. Tingkat Kematangan saat ini Domain DS Proses Kematangan Saat Ini Nilai
Tingkat DS1: Mendefinisikan dan mengelola tingkat layanan 2,479 2- Repeatable but
Intuitive DS2:Mengelola pelayanan dari pihak ketiga 2,236 2- Repeatable but
Intuitive DS3:Mengatur Kinerja dan Kapasitas 2,643 3-Defined Process DS4:
Menjamin Keberlangsungan Pelayanan 2,285 2- Repeatable but Intuitive DS5:
Menjamin Keamanan Sistem 2,18 2- Repeatable but Intuitive DS6: Mengidentifikasi
dan mengalokasikan biaya 2,486 2- Repeatable but Intuitive DS7: Memberikan
pendidikan dan pelatihan pada 2,133 2- Repeatable but Intuitive pengguna
21. 21. DS8: Mengelola service desk dan insiden 2,138 2- Repeatable but Intuitive DS9:
Mengatur konfigurasi 2,298 2- Repeatable but Intuitive DS10:Mengatur
Permasalahan 1,916 2- Repeatable but Intuitive DS11: Mengatur Data 2,61 3-Defined
Process DS12: Mengatur Lingkungan Fisik 2,433 2- Repeatable but Intuitive DS13:
Mengatur Operasional 2,788 3-Defined Process Rata-Rata 2,355 2- Repeatable but
Intuitive Sedangkan dari 3 proses yangterdapat pada domain pengawasan danevaluasi
(monitor and evaluate) terdapat 3proses (75%) diantaranya mempunyai
tingkatkematangan saat ini pada tingkat 2-repeatablebut intuitive dan sisanya
sebanyak 1 proses(25%) mempunyai tingkat kematangan saatini pada tingkat
3defined process terdapatpada Tabel 3 di bawah ini : Tabel 3. Tingkat Kematangan
saat ini dalam domain ME Proses Kematangan Saat Ini Nilai Tingkat ME1:
Mengawasi dan mengevaluasi kinerja TI 2,55 3-Defined Process ME2: Mengawasi
dan mengevaluasi kontrol internal 2,42 2- Repeatable but Intuitive ME3: Menjamin
kepatuhan hukum 2,29 2- Repeatable but Intuitive ME4: Menyediakan Tata Kelola TI
2,19 2- Repeatable but Intuitive Rata-Rata 2,36 2- Repeatable but Intuitive Secara
umum kondisi tata kelola TIsaat ini pada sistem informasi akademikUniversitas Budi
Luhur khususnya domainpenyampaian dan dukungan (deliver andsupport) dan
domain pengawasan danevaluasi (monitor and evaluate) masih padatingkat 2-
repeatable but intuitive seperti yangdisajikan pada Tabel IV4 di bawah ini. Hal ini
berarti proses-proses TI yang mendukungsistem informasi akademik Universitas Budi
Luhur telah berkembang untuk memberikanlayanan yang optimal, dimana prosedur-
proseduryang sama telah dilakukan olehorang yang berbeda. Namun di dalamnya
belum ada komunikasi atau pelatihan formalterhadap prosedur standar dan tanggung
22. 22. jawab diserahkan kepada individu. Selain itujuga masih terdapat kepercayaan
yang tinggipada kemampuan individu, sehinggakesalahan sangat mungkin terjadi.
3.1.3.Analisis Tingkat Kematangan ProsesTI Target/harapan kematangan proses
TIadalah kondisi ideal tingkat kematanganproses yang diharapkan, yang akan
menjadiacuan dalam model tata kelola TI sisteminformasi akademik Universitas Budi
Luhuryang akan dikembangkan. Target/harapankematangan proses TI dapat
ditentukancdengan melihat lingkungan internal bisnisUniversitas Budi Luhur seperti
visi dan misi,tujuan universitas maka dapat ditetapkanbahwa untuk dapat mendukung
pencapaiantujuan Universitas Budi Luhur setidaknya tingkat kematangan yang
dilakukan harus adapada tingkat 3 (defined process). Berdasarkan hasil wawancara
danhasil temuan yang berupa pendapat / opinidari para responden didapatkan
hasilpengukuran tingkat kematangan prosesproses dalam domain penyampaian
&dukungan (deliver & support) yangditunjukkan pada Tabel 4 berikut ini : Tabel 4.
Gap Tingkat Kematangan DomainDS Proses Tingkat kematangan Saat ini harapan
Gap DS1: Mendefinisikan dan mengelola tingkat layanan 2,479 3 0,521
DS2:Mengelola pelayanan dari pihak ketiga 2,236 3 0,764 DS3:Mengatur Kinerja dan
Kapasitas 2,643 3 0,357 DS4: Menjamin Keberlangsungan Pelayanan 2,285 3 0,715
 DS5: Menjamin Keamanan Sistem 2,18 3 0,82 DS6: Mengidentifikasi dan
mengalokasikan biaya 2,486 3 0,514 DS7: Memberikan pendidikan dan pelatihan
pada pengguna 2,133 3 0,867 DS8: Mengelola service desk dan insiden 2,138 3 0,862
DS9: Mengatur konfigurasi 2,298 3 0,702 DS10:Mengatur Permasalahan 1,916 3
1,084 DS11: Mengatur Data 2,61 3 0,39 DS12: Mengatur Lingkungan Fisik 2,433 3
0,567 DS13: Mengatur Operasional 2,788 3 0,222
23. 23. Rata-Rata Tingkat 2,355 kematangan proses-prosesdalam 3 domain 0,645
penyampaian & dukungan(deliver & support) dapat digambarkan dalamdiagram laba-
laba yang ditunjukkan padaGambar 4 berikut ini : Gambar 5. Diagram Laba-Laba
GapTingkat Kematangan Domain DS Sedangkan pendapat/opini dari pararesponden
didapatkan hasil pengukurantingkat kematangan proses-proses dalamdomain
pengawasan dan evaluasi (monitorand evaluate) ditunjukkan pada Tabel 5berikut ini :
Tabel 5. Gap Tingkat Kematangan DomainME Proses Tinkat kematangan Saat ini
Harapan Gap ME1: Mengawasi dan mengevaluasi kinerja TI 2,55 3 0,452 ME2:
Mengawasi dan mengevaluasi kontrol internal 2,42 3 0,578 ME3: Menjamin
kepatuhan hukum 2,29 3 0,715 ME4: Menyediakan Tata Kelola TI 2,19 3 0,806 Rata-
Rata 2,36 3 0,806 Tingkat kematangan proses-prosesdalam domain pengawasan dan
evaluasi(monitor and evaluate) dapat digambarkandalam diagram laba-laba yang
ditunjukkanpada Gambar 5 berikut ini :
24. 24. Gambar 5. Diagram Laba-Laba GapTingkat Kematangan Domain ME 3.1.4.
Langkah-Langkah Untuk MengatasiGap Kematangan Proses TI Langkah-langkah
untuk mengatasiperbedaan (gap) tingkat kematanganmerupakan tindakan-tindakan
yang perludilakukan pada setiap proses TI di UniveritasBudi Luhur yang memiliki
tingkatkematangan saat ini (current maturity level)di bawah tingkat kematangan
yangdiharapkan (expected maturity level) yaituproses Langkah-langkah perbaikan
tata kelolaTI sistem informasi akademik UniversitasBudi Luhur diarahkan menuju
tingkatkematangan 3-defined process yangdilakukan pada proses-proses
yangmempunyai nilai tingkat kematangan saat inilebih kecil daripada tingkat
kematangan yangdiharapkan, yaitu proses TI selain DS3,DS11, DS13 dan ME1
dengan membuatprosedur sudah standar, mendokumentasikandan
mengkomunikasikan melalui pelatihan.Tetapi pelaksanaannya diserahkan
padaindividu untuk mengikuti proses tersebut,sehingga penyimpangan tidak mungkin
akandiketahui. Prosedurnya belum sempurna, namun sekedar formalitas atas praktek
yangada. Berikut ini adalah langkah-langkahdapat dilakukan untuk mengatasi gap
tingkatkematangan pada proses-proses tata kelola TIUniveritas Budi Luhur melalui
kegiatan- kegiatan: a). DS10:Mengatur permasalahan Tingkat kematangan yang dituju
: 3-DefinedProcess, maka langkah yang harus dilakukanadalah :
25. 25. 1) Pemenuhan terhadap kebutuhan bisnisdengan menjamin kepuasan end user
melalui pemberian layanan dan levellayanan, mengurangi penyelesaian
danpenyampaian. 2) Memfokuskan pada merekam, melacakdan menyelesaikan
masalahoperasional, menyelidiki akar masalah bagi semua permasalahan yang ada,
danmendefinisikan penyelesaian bagiidentifikasi masalah pengoperasian. 3) Hal
tersebut dapat dicapai dengan : a. Melaksanakan analisa akar masalahuntuk pelaporan
b. Menganalisa trend c. Mengambil alih masalah danperkembangan penyeleasian
masalah 4) Indikator keberhasilannya diukurmelalui : a. Jumlah masalah yang
berakibat padabisnis b. Persentase jumlah masalah yangterselesaikan dalam waktu
yangtelah ditetapkan c. Frekuensi laporan atau updatemasalah secara terus menerus,
yangdidasarkan pada masalah terberat 5) Aktifitas yang perlu dilakukan dengan : a.
Manajemen memberikan dukungan b. dalam bentuk penyediaan anggaranbagi staf
dan pelatihan. c. Melakukan standarisasi penyelesaianmasalah dan proses
 peningkatannya. d. Membuat tim untuk mencatat danpenelusuran masalah
sertapenyelesaiannya, menggunakan alatyang ada tanpa sentralisasi. e.
Menyebarluaskan informasi di antarastaf secara proaktif dan bersifatformal f.
Manajemen meninjau insiden danmenganalisa identifikasipermasalahan, serta
pemecahannya. b). ME4:Menyediakan tata kelola TI
26. 26. Tingkat kematangan yang dituju : 3-DefinedProcess, maka langkah yang harus
dilakukanadalah : 1) Pemenuhan terhadap kebutuhan bisnisdengan mengintegrasikan
tata kelola ITdan tata kelola perusahaan danmelengkapinya dengan hukum
danperaturan. 2) Memfokuskan pada penyiapkan laporanstratergi IT, kemampuan dan
resikoserta merespon kebutuhan tata kelolayang sesuai dengan arahan 3) Hal tersebut
dapat dicapai dengan : a. Menetapkan sebuah kerangka kerjaIT yang terintegrasi
dengan tatakelola perusahaan b. Mendapatkan kepastian yangindependen atas status
tata kelola 4) Indikator keberhasilannya diukurmelalui : a. Banyaknya laporan IT
dibuat untukstakeholders (termasuk tingkat kematangan) b. Banyaknya laporan IT
kepada atasan(termasuk tingkat kematangan) c. Banyaknya kajian
independenterhadap pemenuhan IT 5) Aktifitas yang perlu dilakukan dengan : a.
Manajemen audit mengidentifikasidan memahami inisiatif danlingkungan TI. b.
Manajemen TI melakukan auditindependen. c. Kontrak untuk dandilanjutkan fungsi
dengan audit TI dibuatoleh memberikankebebasan manajemen dan otoritas senior dari
fungsiaudit. d. Merencanakan dan mengelola audit e. Menetapkan staf audit
mematuhistandar audit. f. Membuat rencana penggunaanperangkat standar untuk
melakukan otomasi dalam melakukan audit independen. g. Menetapkan
tanggungjawab untukmelakukan audit independen serta permasalahan yang
terjadidikendalikan oleh pihak yangbertanggung jawab.
27. 27. h. Melakukan resolusi atas komentaraudit. i. Melakukan penjaminan
kualitasdilakukan untuk memastikan bahwapelaksanaan telah sesuai denganstandar
audit yang dapat diterapkandan untuk meningkatkan efektivitasdari aktivitas fungsi
audit 3.2. Implikasi Penelitian Implikasi penelitian ini dapat ditinjaudari tiga sudut
pandang yang meliputi : 3.2.1 Aspek Manajerial a. Ditetapkan suatu kerangka
manajemenmutu layanan (yang meliputi prosesproses kebutuhan layanan, ketetapan
layanan, rencana mutu layanan, rencanamutu beroperasi dan membiayai sumberdaya)
antara customer dan providerservice sistem akademik UniversitasBudi Luhur. b.
Dibuat mekanisme sistem keamananyang mampu menjamin mutu keamananbaik
pengguna, data, informasi,infrastruktur dan jaringan pada sisteminformasi akademik
Universitas Budi Luhur. c. Dilakukan pelatihan dan pendidikansecara berkala
(minimal sekali dalamsetahun) dengan memperhatikan strategidan kebutuhan bisnis
saat ini dan masadatang serta kemampuan dan kebutuhansaat ini. d. Dibuat
mekanisme untuk menetapkan,menerapkan, dan memelihara prosedurstandar bagi
operasi TI dan memastikanberjalan sesuai dengan tugasnya masingmasing. e. Dibuat
mekanisme pengawasan danpenilaian kinerja TI pada sisteminformasi akademik
Universitas BudiLuhur. f. Dibuat suatu kerangka pengelolaan TImencakup
kepemimpinan, peran dantanggung jawab, kebutuhan informasi,dan struktur
organisasi untuk memastikan bahwa program investasi TIenterprise dijalankan
bersama dandisampikan pada sasaran dan strategienterprise. 3.2.2Aspek Sistem a.
Dibuat sistem pengawasan terhadapkinerja mutu layanan, kerjasama denganpihak
ketiga, Universitas BudiLuhur. sumber daya TI sisteminformasi akademik
28. 28. b. Dibuat sistem pembiayaan TI tepat yangdisesuaikan dengan jenis layanan
padasistem informasi akademik UniversitasBudi Luhur. c. Dibuat sistem pengelolaan
konfigurasi yang tepat meliputi hardware, aplikasisoftware, middleware,
dokumentasi, toolsdan prosedur-prosedur bagipengoperasian, pengaksesan,
 danpenggunaan layanan dan sistem. 3.2.3. Penelitian Lanjutan a. Dilakukan penelitian
tentang kinerjamutu layanan, kerjasama dengan pihakketiga, sumber daya TI
sisteminformasi akademik Universitas BudiLuhur. b. Dilakukan penelitian
tentangefektifitas kinerja TI pada sisteminformasi akademik Universitas BudiLuhur.
3.3.Kesimpulan Berdasarkan penelitian yang telah dilakukan, maka dapat diambil
kesimpulansebagai berikut: a. Tingkat kematangan tata kelola TIlayanan sistem
informasi akademikUniversitas Budi Luhur pada domainpenyampaian & dukungan
danpengawasan & evaluasi masih belummemuaskan karena berada di tingkat 2-
repeatable but intuitive, sehinggahipotesis penelitian diterima. b. Kondisi saat ini
pelaksanaan tata kelola TIpada sistem informasi akademikUniversitas Budi Luhur
khususnya proses-prosesdalam domain penyampaian dandukungan (deliver and
support) dandomain pengawasan dan evaluasi(monitor and evaluate) kecuali DS3,
DS11, DS13 dan ME1 telah berkembanguntuk memberikan layanan yang
optimal,dimana prosedur-prosedur yang samatelah dilakukan oleh orang yang
berbeda.Namun di dalamnya belum adakomunikasi atau pelatihan formalterhadap
prosedur standar dan tanggungjawab masih diserahkan kepada individu.Selain itu juga
masih terdapat kepercayaan yang tinggi terhadapkemampuan individu, sehingga
kesalahansangat mungkin terjadi. c. Tingkat kematangan tata kelola TI
sisteminformasi akademik Universitas BudiLuhur khususnya proses-proses
dalamdomain penyampaian dan
29. 29. dukungan dandomain pengawasan dan evaluasi masihberada di tingkat
2repeatable butintuitive kecuali DS3, DS11, DS13 danME1 telah mencapai tingkat 3-
definedprocess sesuai dengan harapanmanajemen. d. Rekomendasi perbaikan tata
kelola TIsistem informasi akademik Universitas Budi Luhur diarahkan menuju
tingkatkematangan 3-defined process yangdilakukan pada proses-proses
yangmempunyai nilai tingkat kematangan saatini lebih kecil daripada
tingkatkematangan yang diharapkan, yaitu prosesTI selain DS3, DS11, DS13 dan
ME1dengan membuat prosedur danmengkomunikasi-kan sudah melalui
standar,mendokumentasikan pelatihan.Tetapi pelaksanaan-nya diserahkan
padaindividu untuk mengikuti proses tersebut,sehingga penyimpangan tidak
mungkinakan diketahui. Prosedurnya belumsempurna, namun sekedar formalitas
ataspraktek yang ada.
30. 30. BAB IV PENUTUP 4.1.Kesimpulan COBIT (Control Objectives for Information
and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance
Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para
manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang
dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis
(bussiness risk). Manfaat dalam penerapan COBIT ini antara lain : 1. Mengelola
Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis. 2.
Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan
inovatif. 3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi
yang reliable dan efisien. 4. Mengelola resiko terkait TI pada tingkatan yang dapat
diterima. 5. Mengoptimalkan biaya dari layanan dan teknologi TI. 6. Mendukung
kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan. Macam-macam
COBIT : 1. COBIT Versi 4.1 COBIT 4.1 mentabulasikan empat lingkup pekerjaan
atau domain, proses, kriteria informasi dan sumber daya teknologi informasi menjadi
318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan seperti
apa (primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi
informasi yang mana.
31. 31. 2. COBIT Maturity Model COBIT menyediakan parameter untuk penilaian
setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan
maturity models yang bisa digunakan untuk penilaian kesadaran
pengelolaan(management awareness)dan tingkat kematangan (maturity level) 3.
COBIT 5 Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan
menejemen yang baik dari aset-aset informasi dan teknologi, termasuk pengaturan
pengamanan informasi IT IL ( Information Technology Infrastructure Library) IT
Infrastructure Library (ITIL) merupakan sebuah framework yang memberikan
panduan (guidance) mengenai pengelolaan IT berbasis layanan yang telah banyak
diadopsi oleh berbagai organisasi dan perusahaan diberbagai industri dan sektor. ISO
IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang dikembangkan
oleh The International Organization for Standardization (ISO) dan The International
Electronical Commission (IEC). ISO/IEC 17799 adalah panduan yang terdiri dari
saran dan rekomendasi yang digunakan untuk memastikan keaman informasi
perusahaan.
32. 32. DAFTAR PUSTAKA Hermawan, Iwan.2011.Resume Artikel Ilmiah Cobits
Model. http://iwanpolines.blogspot.com/2011/05/resume-artikel-ilmiah-cobits-
modelas.html Sarno, Riyanarto.2009. Audit Sistem dan Teknologi Informasi.ITS
Press:Surabaya ISACA. (2007). COBIT 4.1, IT Governance Institute.
http://www.isaca.org/COBIT/ http://12puby.blogspot.com/2011/03/cobit-it-il-dan-iso-
17799.html http://itilindo.com http://auditti.wordpress.com/2010/11/29/sistim-
manajemen-keamanan-informasidan-iso-27000-%E2%80%93-part-2/
http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1-sekarang-cobit-5apa-
bedanya.html