LANDASAN TEORI
informasi adalah tanggung jawab dewan direksi dan manajemen eksekutif. Ini
merupakan bagian tak terpisahkan dari tata kelola universitas dan terdiri dari
organisasi.
informasi.
10
11
kepentingan, (4) Mengelola risiko, (5) Memberikan nilai bagi bisnis dan kontrol
sistem informasi.
melakukan bisnis dalam skala global, downtime sistem dan network telah menjadi
(Rahmadhanty, 2010).
Menurut Fox dan Zonneveld, menyimpulkan dalam tata kelola yang baik
awal. Setelah itu, perulangan secara berkelanjutan dibentuk, kinerja diukur dan
dibandingkan dengan sasaran awal, menghasilkan arahan kembali dari aktivitas yang
diperlukan dan perubahan sasaran yang sesuai. Ketika sasaran menjadi tanggung
jawab utama dan ukuran kinerja manajemen, itu jelas harus dikembangkan dengan
Governance penting dikarenakan ketidak sesuaian antara harapan dan realita atau
1. Memberikan solusi IT dengan kualitas yang baik, tepat waktu, dan efisien.
resiko.
1. Kerugian bisnis, kerusakan reputasi atau posisi kompetitif yang menurun lemah.
2. Batas waktu tidak tercapai, biaya lebih tinggi dibandingkan harapan yang
diinginkan
dibawah ini:
teknologi informasi.
informasi.
dengan tujuan bisnis. Sebagai penjelasan dapat dikatakan bahwa tata kelola
15
teknologi informasi.
dukungan produk dan jasa teknologi informasi dan juga pengelolaan dari
operasional teknologi informasi yang ada pada saat ini. Sedangkan tata kelola
teknologi informasi mempunyai ruang lingkup yang lebih luas, dan berkonsentrasi
bisnis saat ini dan saat yang akan datang, baik dari sudut internal bisnis maupun
eksternal
2.5 COBIT
dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor,
manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis,
arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process
owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat
COBIT merupakan suatu cara untuk menerapkan tata kelola TI. COBIT
berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan
sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan
pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada audit, COBIT versi 2 pada tahun 1998 yang menekankan pada
tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada
manajemen, COBIT versi 4 pada bulan desember 2005 dan versi 4.1 pada bulan mei
2007 lebih mengarah pada tata kelola TI, dan terakhir COBIT versi 5 pada bulan juni
memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih menyeluruh untuk
seluruh lingkup universitas, meliputi seluruh lingkup bisnis dan lingkup area
eksternal yang berhubungan dengan TI. COBIT 5 bersifat umum dan berguna untuk
segala jenis ukuran universitas, baik itu sektor komersial, sektor non profit atau pada
18
sektor pemerintahan atau publik. COBIT 5 didasarkan pada lima prinsip kunci untuk
universitas untuk membangun sebuah kerangka tata kelola dan manajemen yang
sumber daya. COBIT 5 menyediakan semua proses yang dibutuhkan dan pemicu-
pemicu lainnya untuk mendukung penciptaan nilai bisnis melalui penggunaan TI.
19
Oleh karena itu setiap universitas memiliki tujuan yang berbeda, sebuah universitas
dapat mengkustomisasi COBIT 5 agar sesuai dengan konteks universitas itu sendiri
menjadi tujuan yang dapat diatur, spesifik dan berhubungan dengan TI, serta
beberapa kepentingan dari para stakeholder yang berbeda-beda. Oleh karena itu,
tersebut ditentukan oleh faktor eksternal (pasar, industri, geopolitik, dsb) dan faktor
internal (budaya, organisasi, selera risiko, dsb), dan memerlukan sebuah sistem tata
kelola dan manajemen yang disesuaikan. Alur tujuan dalam COBIT 5 adalah suatu
spesifik pada setiap tingkatan dan setiap area universitas dalam mendukung tujuan
utama universitas dan memenuhi kebutuhan stakeholder, dan hal ini secara efektif
mendukung keselarasan antara kebutuhan universitas dengan solusi dan layanan TI.
strategi, lingkungan bisnis dan peraturan yang berubah, dan munculnya teknologi
baru.
Scorecard (BSD), dan BSD tersebut merepresentasikan sebuah daftar tujuan yang
tujuan universitas tertentu dapat dipetakan secara mudah menjadi satu atau lebih
berhubungan dengan TI, yang diwakili oleh tujuan-tujuan TI. Tujuan-tujuan yang
Pemicu meliputi proses, struktur organisasi dan informasi, dan untuk tiap pemicu,
serangkaian tujuan yang spesifik dapat didefinisikan untuk mendukung tujuan TI.
tidak hanya fokus pada ‘fungsi TI’, namun memperlakukan informasi dan teknologi
22
yang berhubungan dengannya sebagai suatu aset yang perlu ditangani oleh semua
orang dalam universitas seperti juga aset-aset universitas yang lain. COBIT 5
termasuk semua orang dan semua hal internal dan eksternal yang berhubungan
universitas. Oleh karena itu, sistem tata kelola untuk TI universitas yang diusulkan
dalam COBIT 5 ini dapat terintegrasi secara baik ke dalam sistem tata kelola
manapun. COBIT 5 meliputi semua fungsi dan proses yang dibutuhkan untuk
ujung ke ujung, termasuk semua hal dan semua orang, internal dan eksternal, yang
termasuk juga aktivitas-aktivitas dan tanggung jawab dari kedua fungsi, yaitu fungsi
TI dan fungsi bisnis selain TI. Pendekatan yang digunakan dalam tata kelola adalah
sebagai berikut :
Pemicu Tata Kelola adalah sumber daya organisasi untuk tata kelola, seperti
kerangka kerja, prinsip, struktur, proses, dan praktik. Sumber daya universitas juga
23
(infrastruktur TI, aplikasi, dsb), manusia dan informasi. Kekurangan sumber daya
sebuah nilai.
Tata kelola dapat diterapkan pada seluruh universitas, suatu entitas, suatu aset
pandangan yang berbeda terhadap tata kelola seperti apa sajakah yang dapat
diterapkan dalam universitas, dan hal tersebut sangat penting menentukan ruang
Elemen terakhir adalah peranan, aktivitas, dan hubungan tata kelola. Hal ini
menentukan siapa yang terlibat dalam tata kelola, bagaimana mereka terlibat, apa
yang mereka lakukan dan bagaimana mereka berinteraksi dalam suatu ruang lingkup
sistem tata kelola. Dalam COBIT 5, perbedaan jelas dibuat antara aktivitas tata kelola
dan aktivitas manajemen, dan juga mengenai interaksi antar keduanya dan para
Gambar 2.7 Peranan, Aktifitas, dan Hubungan Tata Kelola dan Manajemen
(ITGI COBIT 5, 2012;24)
Ada beberapa standar dan best practices yang berhubungan dengan TI,
masing-masing menyediakan panduan dalam sebuah bagian dari aktivitas TI. COBIT
a. COBIT 5 selaras dengan standar dan kerangka kerja lain yang relevan dan
COBIT 5 sebagai kerangka kerja untuk tata kelola dan manajemen secara
tersebut.
kolektif mempengaruhi apakah sesuatu dapat berjalan dengan baik, dalam kasus ini
adalah apakah tata kelola dan manajemen TI universitas dapat berjalan dengan baik.
suatu universitas.
4. Budaya, Etika, dan Kebiasaan, sering diremehkan sebagai salah satu kunci
universitas.
memerlukan input dari pemicu yang lain untuk dapat berfungsi secara efektif,
bagi pemicu yang lain, misalnya proses menghasilkan informasi, kemampuan dan
Kerangka COBIT 5 memuat suatu perbedaan yang jelas antara tata kelola dan
manajemen. Dua disiplin yang berbeda ini juga meliputi aktivitas yang berbeda,
memerlukan struktur organisasi yang berbeda dan melayani tujuan yang berbeda pula.
Kunci perbedaan antara tata kelola dan manajemen menurut COBIT 5 adalah:
pilihan selalu dievaluasi untuk menentukan tujuan universitas yang seimbang dan
pengambilan keputusan, dan memantau pemenuhan unjuk kerja terhadap tujuan dan
arah yang disepakati. Pada kebanyakan universitas, tata kelola secara menyeluruh
Tanggung jawab tata kelola yang lebih spesifik dapat didelegasikan kepada sebuah
memantau aktivitas dalam rangka penyelarasan dengan arah universitas yang telah
ditentukan oleh badan pengelola (tata kelola), untuk mencapai tujuan universitas.
Berdasarkan definisi tata kelola dan manajemen, jelas terlihat bahwa keduanya
mengarahkan, dan memantau diperlukan suatu interaksi antara tata kelola dan
manajemen untuk menghasilkan sistem tata kelola yang efektif dan efisien.
Gambar 2.9 Area Kunci Tata kelola dan Manajemen dalam COBIT
(ITGI COBIT 5, 2012;32)
Dalam COBIT 5 terdapat suatu model referensi proses yang menentukan dan
menjelaskan secara detail mengenai proses tata kelola dan manajemen. Model
tersebut mewakili semua proses yang biasa ditemukan dalam universitas yang
berhubungan dengan aktivitas TI, serta menyediakan model sebagai referensi yang
mudah dipahami dalam operasional TI dan oleh manajer bisnis. Model proses yang
diberikan merupakan suatu model yang lengkap dan menyeluruh, tapi bukan
spesifik. Model referensi proses dalam COBIT 5 membagi proses tata kelola dan
1. Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik-
29
2. Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari
Plan, Build, Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI
yang menyeluruh dari ujung ke ujung. Domain ini merupakan evolusi dari domain
Pengaturan.
Mengimplementasikan.
Dukungan.
Penilaian.
Model proses referensi dalam COBIT 5 adalah suksesor dari model proses
COBIT 4.1, dengan mengintegrasikan model proses dari RiskIT dan ValIT.
Secaratotal ada 37 proses tata kelola dan manajemen dalam COBIT 5 sebagaimana
utama yaitu :
dan monitoring (EDM) yang telah ditetapkan. Proses EDM ini membahas
mengenai objek tata kelola seperti value delivery risk, risk optimisationdan
adalah:
Pemeliharaan)
Manfaat)
Sumber Daya)
Transparansi Stakeholder)
2. Management of Enterprise IT
jawabnya yaitu plan, build, run dan monitor (PBRM). Berikut ini keempat
domain manajemen:
Arsitektur)
Biaya)
Manusia)
Layanan)
Domain Build, Acquire and Implement (BAI) merupakan domain kedua pada
semua objek pada sistem untuk memenuhi arahan target bisnis proses
Proyek)
Kebutuhan)
33
dan Kapasitas)
Keamanan)
saat ini masih memenuhi tujuan yang sudah dirancang dan pengendalian yang
lain:
Kesesuaian)
Internal)
Persyaratan Eksternal)
meraih tingkat kapabilitas yang ditentukan oleh atribut proses. Bukti atas indikator
kapabilitas. Di dalam enam tingkat tersebut terdapat sembilan atribut proses. Tingkat
0 tidak memiliki indikator apapun, karena tingkat 0 menyatakan proses yang belum
diimplementasikan atau proses yang gagal, meskipun sebagian, untuk mencapai hasil
akhirnya.
yang lebih tinggi. Hal ini dilakukan karena level 1 menentukan apakah suatu proses
mencapai tujuannya, dan oleh karena itu sangat penting untuk dicapai, dan juga
diimplementasikan atau gagal mencapai tujuannya. Pada tingkatan ini, hanya ada
sedikit bukti atau bahkan tidak ada bukti adanya pencapaian sistematik dari
berikut:
Pengukuran mengenai seberapa jauh tujuan dari suatu proses telah berhasil
37
Performa proses pada tahap ini dikelola yang mencakup perencanaan, monitor,
Mengukur sejauh mana hasil kerja yang dihasilkan oleh proses dikelola.
Hasil kerja yang dimaksud dalam hal ini adalah hasil dari proses.
yang telah didefinisikan, yang mampu untuk mencapai hasil yang diharapkan.
dari proses yang telah didefinisikan. Sebagai hasil pencapaian penuh atribut
ini.
diharapkan.
tujuan bisnis saat ini dan masa depan. Ketentuan atribut proses pada level 5
penyebab umum dari adanya variasi di dalam performa, dan dari investigasi
memiliki hasil yang berdampak secara efektif untuk mencapai tujuan dari
yaitu:
1) Process capability attribute indicator, yang digunakan pada level 1 sampai level
Pada COBIT® 4.1, RiskIT, dan ValIT terdapat model kematangan proses
Process Assessment. Model ini mengukur performansi tiap-tiap proses tata kelola
area-area yang perlu untuk ditingkatkan performansinya. Model ini berbeda dengan
model proses maturity (tingkat kematangan) dalam COBIT® 4.1, baik pada desain
maupun penggunaannya.
41
Gambar 2.12 Model Kematangan Proses dalam COBIT 4.1 Sumber : ISACA,
2012. COBIT 5, Enabling and Process
Dalam kategori ini tidak ada atau hanya sedikit bukti atas pencapaian atribut
42
proses tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15%.
beberapa pencapaian atribut atas proses tersebut. Range nilai yang diraih pada
Dalam kategori ini terdapat bukti atas pendekatan sistematis, dan pencapaian
signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak
signifikan. Range nilai yang diraih pada kategori ini berkisar 50-85%.
Dalam kategori ini terdapat bukti atas pendekatan sistematis dan lengkap, dan
pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait
atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 85-
100%. Suatu proses cukup meraih kategori Largely achieved (L) atau Fully
achieved (F) untuk dapat dinyatakan bahwa proses tersebut telah meraih suatu
level kapabilitas tersebut, namun proses tersebut harus meraih kategori fully
misalnya bagi suatu proses untuk meraih level kapabilitas 3, maka level 1 dan 2
proses tersebut harus mencapai kategori fully achieved (F), sementara level
kapabilitas 3 cukup mencapai kategori largely achieved (L) atau fully achieved
(F).
43
COBIT® 4.1.
model baru ini memberikan sebuah dasar bagi penilaian yang lebih formal
dan teliti.
(GEIT). COBIT 5 sebagaimana juga Val IT dan Risk IT ini lebih berorientasi pada
COBIT 4.1 juga menyebutkan adanya enabler-enabler, hanya saja Cobit 4.1 tidak
bagian enabler COBIT 5 dan perbandingan untuk hal yang sama di COBIT 4.1 :
COBIT 4.1.
2. Proses-proses.
3. Struktur Organisasi.
5. Informasi.
Dalam COBIT 4.1, informasi merupakan salah satu sumber daya TI (IT
resources).
Dalam COBIT 4.1, hanya disebutkan “orang” sebagai salah satu sumber daya
domain governance dan beberapa proses baik yang sama sekali baru ataupun
Selain mengkonsolidasikan COBIT 4.1, Val IT, dan Risk IT dalam sebuah
COBIT 4.1, serta beberapa modifikasi pada proses-proses yang sudah ada
Risk IT dan Val IT. Sehingga proses-proses pada COBIT 5 ini lebih holistik,
COBIT 4.1
Divisi Sistem
Pada penilitian ini
Informasi
didapati bahwa
Manajemen
sebagian besar
Evaluasi It (Kepala SIM,
penerapan proses
Governance Bidang Penelitian
Dwi Rizki dari COBIT
Berdasarkan Pengembangan dilakukan
Kesumaw framework 4.1 di PT.
1 Cobit 4.1 (Studi SIM, Bidang terhadap 137
ardhani Timah (Persero) Tbk
Kasus Di Pt Operasi, Staf TI Detial kontrol
(2012) berada pada level
Timah (Persero) bidang jaringan objek meliputi PO rata-rata 3.7.
Tbk) dan Keamanan, (1-10), AI (1-7),
Kepala DS (1-8,10-13),
Akuntansi, dan ME (1 dan 4).
Bidang SDM
Tidak disebutkan
Pengukuran Menggunakan 30
secara jelas Diperoleh hasil
Widiyati Tingkat subdomain
dalam tabel bahwa penerapan
2 Kania Kemapanan COBIT 4.1
RACI hanya teknologi RFID di
(2011) Penerapan meliputi PO (1-
disebutkan diisi Perpustakaan
Teknologi 8,10), AI (1-13),
oleh petugas
Rfid Di
Nasional RI baru
Perpustakaan
mencapai tingkat
Nasional Ri DS (1-7), ME(1-
perpustakaan. kemapanan level 2
Berdasarkan 4)
(Repeatable but
Framework
Intuitive).
Cobit 4.1
47
Hasil pengolahan
kuisioner mendapati
Chairman, IT
nilai rata-rata untuk
Manager, Head
Evaluasi Tata domain PO dan ME
Executive COBIT 4.1
kelota adalah 2,5 dari
Satya Commite, Menggunakan 80
Teknologi rentang nilai 0
Wisada Director detail control
4 Informasi (studi sampai 5. Hasil
Sembirin g Operational, IT objektif. Meliputi
kasus penelitian
(2013) Asset Manager, PO (1-10) dan
PT.Prudential menemukan
Head CENAS, ME (1- 4)
Indonesia) kelemahan terdapat
Internal Auditor,
pada subdomain
Head CSO
PO2, PO8, PO9,
ME2 dan ME3