PERTEMUAN 1

PENGANTAR AUDIT SISTEM INFORMASI DAN

PENDEKATAN AUDIT SISTEM INFORMASI
 Audit adalah proses sistem mengenai mendapatkan dan mengevaluasi secara
objektiv bukti yang bekaitan mengenai penilaian mengenai berbagai kegiaatan dan peristiwa
ekonomi untuk memastikan tingkat kesesuaian antara penilaian penilain dan mementuk
kriteria serta menyampaikan hasil kepada para pengguna yang berkepentingan di
perusahaan.
Jenis-jenis Audit berdasarkan :
1. Berdasarkan bidangnya yang diaudit:
a. Audit keuangan
b. Audit operasional / manajemen
c. Audit ketaatan
d. Audit Sistem Informasi
e. Audit e-commerce
f. Investigate audit

Catatan: Penjelasan jenis-jenis audit ada di modul tambahan

2. Berdasarkan auditor

a. Aduit ekstern independen

b. Audit internal

c. Auditor pemerintah

d. Auditor perpajakan

Audit Teknologi Informasi yaitu auditor yang menggunakan berbagai

keahlian dan pengetahuan bisnis untuk melalukan audit melalui sistem komputer
atau menyediakan layanan audit untuk proses data, yang melekat dalam
berbagaiteknologi.

Catatan: Penjelasan jenis-jenis audit ada di modul tambahan

 Tujuan Audit Sistem Informasi
Adapun Tujuan sudit sistem informasi yaitu :

1. Pengamanan Aset.

2. Efektifitas sistem

3. Ketersediaan

4. Kerahasiaan

5. Kehandalan

6. Menjaga intergritas Data

Catatan: Penjelasan tujuan audit ada di modul tambahan

Sistem Informasi

Sistem adalah suatu entity yang terdiri dari 2 atau lebih komponen yang saling

berinteraksi untuk mencapai tujuan.

Keuntungan dari sistem adalah kecepatan dan ada keakurasi data yang sangat

tinggi dan bisa mengerjakan proses tanpas intervensi dari manusia dan sistem yang

tingkatannya fleksibel agak rendah untuk mengadaptasi kepada kebutuhan informasi yang

belum tersedia, dan akan menekan biaya dan waktu yang sangat lama.

Tujuan Sistem Informasi adalah lebih untuk meningkatkan tata kelola IT.

Pengertian Sistem Informasi adalah sebagai suatu audit operasional terhadap

manajemen sumber daya informasi, secara efektif, efisiensi, dan ekonomis untuk unit

fungsisional sistem informasi pada organisasi.

 Audit Sistem Informasi dan Audit IT

Audit Sistem Informasi adalah proses pengumpulan dan evaluasi bukti bukti untuk
menentukan apakah sistem komputer yang di gunakan telah dapat melindungin aset milik
perusahaan, serta menjaga intergratas data dapat membantu pencapaian tujuan perusahaan
secara efisien dan efektif, dengan menggunakan sumber daya yang sudah di miliki secara
efiseinsi.

Tujuan Audit Sistem Informasi

Tujuan Audit Sistem informasi dapat dikelompokkan ke dalam 2aspek utama dari
tatat kelola IT :

a. Conformance ( Kesuaian )

b. Performance ( Kinerja)

Catatan: Penjelasan tujuan audit sistem informasi ada di modul tambahan

Standar yang di gunakan dalam Audit Sistem Informasi

Kode etik yang standar yang berlaku yang dikeluarkan oleh :

a. Standar atestasi dan standar pemeriksaan akutantan publik

b. ISACA yang dikeluarkan IT Goverment Institue yaitu :
- COBIT Executive summary
- COBIT Framwork
- COBIT Control Objektive
- COBIT Management Guidelines
- COBIT Security Baseline

Standar dan Etika Auditor

Standar profesi auditor adalah batasan kemampuan minimal yang harus dikuasi oleh seorang
auditor untukdapat melakkan kegiatan profesionalnya pada masyarakat secara sendirinya yang penuh
aturan-aturannya yang dibuat oleh perusahaan profesi yang audit

Etika yaitu menyeleraskan kebutuhan orang perorang dan kebutuhan sosial, khususnya
lingkungan para profesi tertentu seorang audit.
 Ketrampilan yang harus dimiliki oleh seorang auditor adalah :
a. Audit Skill
b. Generic Knowledge
c. Specific knowledge

Seorang Audit harus dapat menghubungkan beberapa ilmu pengetahuan yaitu :

1. Auditing
2. Manajemen Teknologi informasi
3. Teknologi Komputer
4. Perilaku Organisasi.

Prinsip-Prinsip dari Audit

Ada 4 Prinsip dalam audit:
1. Ethical Conduct
2. Fair Presentasi
3. Due Professional Care
4. Independence
5. Evidence base Approach

Catatan: Penjelasan ada di modul tambahan

 Peraturan Standar Audit

Peraturan standar yang biasa di gunakan oleh audit :

1. ISO

2. COBIT

3. Iso TR1335

4. IT Baseline Protection Manual

5. ITSEC

6. Federal Infromasi Processing Standard

7. ISO 9000

8. ITIL

Jenis-jenis Audit:

1. System Audit

2. ComplainAudit

3. Product / Service Audit

Catatan: Penjelasan standar audit dan jenis audit ada di modul tambahan
Tujuan Audit
1. Internal Audit
2. Lembaga independence diluar perusahaan
3. Third Party Audit.

Ancaman terhadap keamanan

Ada beberapa ancaman aset sistem informasi perusahaan yaitu:
1. Kebekaran
2. Variasi energi
3. Kerusakan Struktural
4. Polusi
5. Intrusi
6. Virus dan Worn
7. Penyalahgunaan aplikasi
8. Hacking

Catatan: Penjelasan ada di modul tambahan

Keuntungan dari Audit:

1. Menilai keefektifan aktivasi-aktivasi dokumentasi dalam organisasi

2. Memonitor kesesuaian dengan kebijakan, Sistem, prosedure, dan undang-
undang perusahaan
3. Mengukur Tingkat efektivitas dari sistem
4. Mengidentifikasi kelemahan disistem yang mungkin mengakibatkan
ketidaksesuaian dimasa datang
5. Menyediakan informasi untuk proses peningkatan
6. Meningkatkan saling memahami antar departemen dan antar individu
7. Melaporkan hasil tinjauan dan tindakan berdasarkan risiko ke manajemen

Yang perlu diaudit dalam sistem informasi

1. User
2. Manajemen
3. IT Manager
4. IT Specialist (network, database, system analyst, programmer, dll.)
 Yang Perlu di perhatikan atau perlu diasiapkan untuk keperluan audit yaitu
1. Persiapan yang diperlukan
2. Review Dokumen yang diperlukan
3. Persiapan kegiatan on site audit
4. Melakukan kegiatan in site audit
5. Persetujuan dan distribusi laporan audit
6. Mengfollow up audit ke pada yang berkepentingan

Tinjauan Penting dalam suatu audit TI/SI

Berikut elemen –elemen utama aktivitas peninjauan yang harus dilakukan dalam
audit SI /TI yaitu:
1. Tinjauan terkait dengan fisik dan lingkungan
2. Tinjauan administrasi sistem
3. Tinjauan perangkat lunak
4. Tinjauan keamanan jaringan
5. Tinjauan komunitas
6. Tinjauan intergrasi data
Evaluasi Audit

Kualitas dari audit harus ditingkatkan yang perlu diperhatikan oleh audit dalam melalukan
evaluasi adalah sebagai berikut:

1. Evaluasi pasca audit

2. Evaluasi audit tahunan

Evaluasi pasca audit

Evaluasi pasca audit dilakukan untuk mengetahui yaitu:
a. Kepatuhan pelaksanaan audit terhadap kebijakan dan prosedur
b. Efektivitas audit yaitu pencapaian sasaran dan tujuan audit
c. Efisiensi audit dari sisi waktu , tenaga dan biaya
d. Kinerja , sikap dan tingkah laku laku audit
e. Kepuasan audit terhadap hasil audit dan manajemen proyek
f. Hal hal yang perlu ditingkatkan untuk audit masa akan datang

Catatan: penjelasan evaluasi audit ada di modul tambahan

 Jenis dan Kelompok Pendekatan Audit SI, dan Metode Audit SI

Jenis Pendekatan Audit Si

1. Pendekatan Temuan ( Exposures Approach)

2. Pendekatan Kendali ( Control Approach)

Kelompok Pendekatan Audit Sistem Informasi

Pendekatan Audit sistem Informasi yang dapat dikatagorikan menjadi 3
kelompok :
1. Auditing around the computer
2. Audit with the computer
3. Audit throught the computer

3 kategori strategi ketika Audit Through the computer :

1. Test Data Approach ( Test data)
2. Paralel Simulation
3. Embeded Audit Module Approach

Catatan: penjelasan pendekatan audit ada di modul tambahan

Metode Proses Audit Si
Metode dalam proses Audit SI dapat dilakukan ada beberapa langkah yaitu:
a. Metode pemahaman yaitu
b. Evaluasi kendali yaitu:
c. Menilai kepatuhan
d. Penilaian Resiko

Pendekatan Audit atas pengembangan Sistem

Ada 3 pendekatan dalam melakukan audit atas pengembangan sistem:
1. Cocurrent Audit
2. Post implementation Audit
3. Genral Audit

Catatan: penjelasan metode dan pendekatan audit ada di modul tambahan

 Pengertian manajemen
Manajemen dapat diartikan juga sebagai seni mengatur suatu perusahaan atau pekerjaan
dengan fungsi manajemen yang meliputi perencanaan, pengorganisasian, pergerakan,
pengontrolan untk mencapai tujuan perusahaan secara efektif dan efisien.

Jenis Manajemen
Pembagian jenis di lihat dari seginya dapat dibagi menjadi 5 yaitu:
1. Segi Tingkatannya
2. Klasifikasi dari pengertian manajemen
3. Manajemen menurut sifatnya
4. Klasifikasi manajemen menurut fungsinya
5. Fungsi manajemen

Pengertian Sistem Pengendalian Internal dan sistem Pengendalian Umum

1. Pengendalian Manajemen
2. Sstem Pengendalian Umum

Catatan: penjelasan ada di modul tambahan

 Pengendalian umu diklasifikasi sebagai berikut :
a. Pengendalian organisasi dan manajemen
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi
c. Pengendalian terhadap pengembangan operasi sistem
d. Pengendalian terhadap perangkat lunak sistem
e. Pengendalian terhadap TI

Jenis Pengendalian Umum dan katagori pengendalian :

1. Organisasi dan manajemen :
2. Piranti Lunak dan keras
3. Pengendalian akses
4. Data dan prosedure
5. Pengembangan Sistem Baru
6. Pemeliharaan Program
7. Dokuemtasi

Catatan: penjelasan ada di modul tambahan

 PERTEMUAN 2

Pengendalian Sistem Komputerisasi,

Risko dan Manajemen Sumber data,
Tata Kelola IT
 Pengendalian Pucuk Pimpinan

Pengendalian Pucuk Pimpinan adalah sistem pengendalian intern yang ada pada suatu
perusahaan yang mendorong keterlibatan, kepedulian dan tanggung jawab pucuk pimpinan
perusahaan terhadap kegiatan TI pada perusahaan
Pucuk Pimpinan adalah direksi terdiri dari direktur utama dan para direktur lainnya yang
bertanggung jawab penuh terhadapseluruh opearsional perusahaan termasuk teknologi
komputer.
Auditor dapat mmenganalisa terhadap top manajemen dengan salah satu cara dengan
melihat bagaimana top manajemen terkait dengan sistem infrmasi apakah layak menjalani tugas
pokok dan fungsinya.

Jenis Perancangan Pengendalian

Jenis perancangan pengendalian di bagi 2 jenis yaitu:
1. Strategi Plan; (Rencana jangka Panjang)
2. Operational Plan, (Rencana Jangka Pendek)

PERENCANAN SISTEM
Rancangan sistem adalah penentuan proses dan data di perlukan oleh sistem baru,
jika sistem itu berbasis komputer, rancangannya dapat menyertakan spesifikasi jenis peralatan
yang digunakan. Perencanaan Sistem terdiri dari kegiatan- kegiatan desain untuk
menghasilkan spesifikasi sistem yang dapat memenuhi kebutuhan fungsional yang
dikembangkan ke dalam proses analis sistem.

Catatan: penjelasan ada di modul tambahan

Majamen Data
Dalam mengevaluasi majaemen data, seorang auditor harus tetap memperhatikan
pencapaian ada 4 tujuan manajemen yaitu:
1. Sharebility
2. Evolvability
3. Intergrity

System Development Life Cycle Approach

System development life cycle approach adalah metode pengembahan sistem aplikasi
yang terdiri dari beberapa tahap, setiap tahap mempunyai jenis kegiatan tertentu :
a. Feasibility Study
b. Information Analysis
c. Sistem Design,
d. Program Development
e. Procedures And From Development
f. Acceptance Test
g. Conversion
h. Operation and maintance

Catatan: penjelasan ada di modul tambahan

 Risiko
Risiko adalah suatu chances, perusahaan dapat memperkecil risiko
dengan melakukan antisipasi berupa kontrol, namun tidak mungkin
sepenuhnya untuk menghidari adanya exposure, bahkan dengan struktur
pengendalian maksimal sekalipun.

Jenis Jenis risiko

Risiko dapat di bedakan dala beberpa bentuk antara lain yaitu:

1. Risiko Bisnis
a. Risiko ekstrnal
b. Risiko internal
2. Risiko Bawaan
3. Risiko Pengendalian
4. Risiko Audit
5. Risiko Audit

Catatan: penjelasan ada di modul tambahan

 Jenis Resiko Menurut Jones dan Rama
Jones dan Rama berpendapat risiko pada hakekatnya dapat
dikelompokkan kedalam 4 jenis risiko, yaitu execution risks, information risks, asset
protection risks, dan performance risks.
1. Execution risk
2. Information risk
3. Asset protection risk
4. Performance Risk
5. IT Security Risks
6. Continuity Risks

Sistem Pengolahan data

Pengolahan data ialah kegiatan, dengan menggunakan peralatan,
ataupun hanya dengan tangan saja, tujuannya untuk mengolahan data menjadi
informasi.

Catatan: penjelasan ada di modul tambahan

 Tujuan pengolahan data
Tujuan pengolahan data adalah menghasilkan informasi yang diperlukan.

Tahapan Pengolahan data

Tahapan pengolahan data sebagai berikut:
1. Pengisian data
2. Pemeriksaan data
3. Pengelompokan data
4. Penyusunan data
5. Penjumlahan
6. Perhitungan
7. Penyimpanan data
8. Pengambian kembali

Catatan: penjelasan ada di modul tambahan

 Sistem Berbasis Teknologi Informasi
Di dalam suatu sistem berbasis teknologi informasi, pengendalian sumber
data yang baik adalah :

a. User harus dapat berbagi data

b. Data harus tersedia di gunakan kapan saja, dimana pun, dan dalam bentuk apa pun.

c. Sistem manajemen data harus menjamin adanya sistem penyimpanan yang

efisien tidak terjadi redundancy data , adanya data security

d. data harus dapat di modifikasi dengan mudah.

Setiap organisasi tentu mengakui bahwa data merupakan sumber daya yang
kritis dan harus di kelolah dengan baik , karena itu kita mencari cara untuk
menangani sistem manajemen data . Solusi teknis adalah dengan database management
sistem (DBMS) dan data repository system ( DRS) , selain itu di perkenalkan dua
keahlian penting yaitu data administration ( DA) dan database administrator ( DBA).
 Pengolahan data dapat baik harus mencapai tujuan :
a. Sharability ( kemapuan untuk berbagi)
b. Availability (ketersediaan)
c. Evoluability ( kemampuan untuk berkembang)
d. Intergrity (keutuhan dan konsistensi data)

Tugas data administration (DA) dan database administrator (DBA)

Pemahaman yang baik terhadap tugas DA dan DBA karena alas an
berikut :

1. jika DA dan DBA tidak bekerja baik, maka keamanan harta , keutuhan data

efektivitas dan efesiensi system pada lingkungan database dapat rusak berat

2. DA dan DBA , merupakan sumber daya yang penting untuk memberikan

informasi tentang kekuatan dan kelemahan lingkungan database, karena

mereka merupakan pusat kmunikasi antara pemakai dan database.

Catatan: penjelasan ada di modul tambahan

 Definisi Sistem Database

Pada sistem database ada tiga tipe pendefinisian yang harus di

lakukan yaitu:
a. External schema,
b. Conceptual schema
c. Internal Schema

Database integrity
Integritas data ( Everest ,1986 ) mengidentifikasi ke dalam 6 hal yang harus di
lakukan oleh DA dan DBA untuk Mengontrol aktivitas mereka , yaitu :
a. Definition Control
b. Existence control.
c. Access Update control
d. Update control
e. Concurrency control
f. Quality control.
g. Auditor harus melakukan wawancara dengan DA dan DBA untuk
mengetahui bagaimana control yang Mereka lakukan untuk
mengawasi keutuhan database .

Catatan: penjelasan ada di modul tambahan

 Pengendalian Manajemen Operasi

Pengedalian manajemen Operasi diterapkan dengan mencakup hal hal

sebagai berikut:

1. Pemisahan Tugas dan Fungsi

2. Pengendalian personil

3. Pengedalian Perangkat Keras

4. Pengendalian Jaringan

5. Manajemen Operasi

Pemisahan Fungsi:

1. Pemisahan Fungsi Departemen TI dan Non TI

2. Pemisahan Fungsi dalam departemen TI

Catatan: penjelasan ada di modul tambahan

Pengendalian Perangkat Keras

1. Pengawasan terhadap Akses Fisik

2. Pengaturan Lokasi Fisik

3. Penggunaan Alat Pengaman

4. Pengendalian Operasional Perangkat Lunak

5. Pengendalian Keamanan Data

Kebijakan Keamanan

Beberapa alasan dibutuhkan perhatian terhadap keamanan komputer yaitu:

1. Munculnya serangan keamanan yang potensial

2. Melindungi data informasi yang penting dan rahasia

3. Ancaman yang muncul bisa berasal dari dalam maupun luar perusahaan

Catatan: penjelasan ada di modul tambahan

 TATA KELOLA IT
Definisi tata Kelola TI merupakan suatu cabang dari tata kelola perusahaan yang terfokus
pada Sistem/Teknologi informasi serta manajemen Kinerja dan risikonya.

Tata kelola TI adalah struktur kebijakan atau prosedur dan kumpulan proses yang
bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap
pencapaian tujuan institusi, dengan cara mengoptimalkan keuntungan dan kesempatan
yang ditawarkan TI, mengendalikan penggunaan terhadap sumber daya TI dan mengelola
resiko-resiko terkait TI

Tatakelola teknologi informasi bukan bidang yang terpisah dari pengelolaan perusahan,
melainkan merupakan komponen pengelolaan perusahaan secara keseluruhan, dengan
tanggung jawab utama sebagai berikut:
1.Memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi
perusahaan.
2. Memberikan arahan kepada proses-proses yang menerap kan strategi perusahaan.
3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur.
4. Memastikan adanya informasi mengenai hasil yang dipero leh dan mengukurnya.
5. Memastikan keluaran yg dihasilkan sesuai dgn yg diharap
Catatan: penjelasan ada di modul tambahan
 Pentingnya Tata Kelola TI

Di lingkungan yang sudah memanfaatkan Teknologi Informasi (TI), tata kelola TI

menjadi hal penting yang harus diperhatikan. Hal ini dikarenakan ekspektasi dan
realitas seringkali tidak sesuai. Pihak shareholder perusahaan selalu berharap agar
perusahaan dapat :
1. Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai
dengan anggaran.
2. Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani
risiko TI.

Pengabaian Tata Kelola TI

Tata kelola TI yang dilakukan secara tidak efektif akan menjadi awal terjadinya
pengalaman buruk yang dihadapi perusahaan, yang memicu munculnya fenomena
investasi TI yang tidak diharapkan, seperti:
1. Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
2. Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang di perkirakan, dan
kualitas lebih rendah dari yang telah diantisipasi.
3. Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya
kualitas penggunaan TI.
4. Kegagalan dari inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan
yang dijanjikan

Catatan: penjelasan ada di modul tambahan

 Manfaat Tata kelola TI

Manfaat tata kelola TI adalah untuk mengatur penggunaan TI, dan memastikan kinerja
TI sesuai dengan tujuan/fokus utama area tata kelola TI

Fokus utama Area Tata Kelola TI

Fokus utama area tatat kelola TI

1. Strategic alignment
2. Value delivery
3. Resource management
4. Risk management
5. Performance measurement
Catatan: penjelasan ada di modul tambahan
 MODEL TATAKELOLA TEKNOLOGI INFORMASI

1. The IT Infrastructure Library (ITIL)

2. ISO/IEC 17799
3. COSO
COSO framework terdiri dari 3 dimensi yaitu:
3. 1. Komponen kontrol COSO
COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan
dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal:
a. Monitoring.
b. Information and communications.
c. Control activities.
d. Risk assessment.
e. Control environment.
3.2. Sasaran kontrol internal
Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai berikut:
a. Operations
b. Financial reporting
c. Compliance
3.3. Unit/Aktifitas Terhadap Organisasi

Catatan: penjelasan ada di modul tambahan

 4. Control Objectives for Information and related Technology (COBIT)
COBIT Framework terdiri atas 4 domain utama:
1. Planning & Organisation.
2. Acquisition & Implementat
3. Delivery & Support.
4. Monitoring.

COBIT mempunyai model kematangan (maturity models), untuk mengontrol

proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu
organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent
sampai dengan optimised (dari 0 sampai 5).

COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut:

1. Critical Success Factors (CSF)
2. Key Goal Indicators (KGI) – mendefinisikan
3. 3.Key Performance Indicators (KPI) – mendefinisikan

Catatan: penjelasan ada di modul tambahan

 Model COSO terdiri 5 komponen yang saling berhubungan yang akan
menunjang pencapaian tujuan perusahaan yaitu :
1. Control Environment (lingkungan pengendalian)
2. Risk Assessment
3. Control Activities
4. Information & Comunication
5. Monotoring

Kriteria kerja COBIT meliputi :

1. Efektifitas
2. Efisiensi
3. Kerahasiaan
4. Intergritas
5. Ketersediaan
6. Kepatuhan
7. Keakuratan Informasi

Catatan: penjelasan ada di modul tambahan

PERTEMUAN 3

Pengantar COBIT 4
 Pengertian COBIT

COBIT adalah untuk meyediakan manajemen dan pemilik proses bisnis dengan
modoel tata kelola teknologi informasi yang membantu dalam memberikan nilai dari TI dan
memahi serta mengelola resiko yang terkait dengan TI.
COBIT adalah kerangka kontrol yang paling tepat utnuk membantu oraganisasi
memastikan keselarasan anatara penggunaan teknologi informasi dan tujuan bisnis.
Variabel adalah segala sesuatu yang berbentuk apa saja yang ditetapkan oleh peneliti
untuk dipelajari sehingga diperoleh informasi tentang hal tersebut, kemudian ditarik
kesimpulannya
Variabel Independen ini sering disebut sebagai stimulus, prediktor, antecendent. Dalam
bahasa Indonesia sering disebut sebagai variabel bebas. Variabel bebas adalah variabel yang
mempengaruhi atau yang menjadi sebab perubahannya atau timbulnya variabel dependen
(terkait).

Hubungan antara keempat domain tersebut bisa dilihat dalam gambar dibawah ini:

Catatan: penjelasan ada di modul tambahan

COBIT adalah salah satu metodologi yang memberikan kerangka dasar dalam
menciptakan sebuah teknologi informasi yang sesuai dengan kebutuhan organisasi
dengan tetap memperhatikan faktor faktor lain yang berpengaruh COBIT 4.1
Framework , Control Objective, Mnagement Guidelines, Maturity Models

Catatan: penjelasan ada di modul tambahan

 Apa itu COBIT…?
Cobit dirancang sebagai alat penguasaan IT yang membantu dalam
pemahaman dan mengelola resiko, manfaat serta evaluasi yang
berhubungan dengan IT

Control Objectives for Information and related Technology

COBIT: Sebuah kerangka kontrol TI

COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut

1. Maturity Models
2. Critical Success Factors (CSF) – mendefinisian
3. Key Goal Indicators (KGI) – mendefinisikan
4. Key Performance Indicators (KPI) – mendefinisikan
Catatan: penjelasan ada di modul tambahan
 Tujuan COBIT, COBIT’S Vision dan COBIT’S Mission

1.Tujuan COBIT

2. COBIT’S Vision

3. COBIT’S Mission

Cobit 4

COBIT dikelompokkan kedalam 4 (empat) domain, yaitu :

1. Perencanaan dan organisasi (Planning and Organize (PO))

2. Perolehan dan implementasi (Acquired and Implement (AI))

3. Penyerahan dan Pendukung (Deliver and Support (DS))

4. Monitoring (Monitor and Evaluate (ME))

Catatan: penjelasan ada di modul tambahan

 Domain Cobit 4
A. PO6 IT Policy and Control Environment
1. PO6.1 IT Policy And Control Environment
2. PO6.2 Enterprise IT Risk and Control Framework
3. PO6.3 IT Policies Management
4. PO6.4 Policy, Standard and Procedures Rollout

B. PO7 Manage IT Human Resources

1. PO7.1 Personnel Recruitment and Retention
2. PO7.2 Personnel Competencies
3. PO7.3 Staffing of Roles
4. PO7.4 Personnel Training
5. PO7.5 Dependence Upon Individuals
6. PO7.6 Personnel Clearance Procedures
7. PO7.7 Employee Job Performance Evaluation
8. PO7.8 Job Change and Termination
Catatan: penjelasan ada di modul tambahan
6. PO8 MANAGE QUALITY
A. PO8.1 QUALITY MANAGEMENT SYSTEM
B. PO8.2 IT STANDARDS AND QUALITY PRACTICES
C. PO8.3 DEVELOPMENT AND ACQUISITION STANDARDS
D. PO8.4 CUSTOMER FOCUS
E. PO8.5 CONTINUOUS IMPROVEMENT
F. PO8.6 QUALITY MEASUREMENT, MONITORING AND REVIEW
7. DS7. EDUCATE AND TRAIN USERS
A. DS 07.01 IDENTIFICATION OF EDUCATION AND TRAINING NEEDS
B. DS 07.02 DELIVERY OF TRAINING AND EDUCATION
8. ME1 MONITOR AND EVALUATE IT PERFORMANCE
A. ME1.1 MONITORING APPROACH
B. ME1.2 DEFINITIONS AND COLLECTION OF MONITORING DATA
C. ME1.3 MONITORING METHOD
D. ME1.4 PERFORMANCE ASSESSMENT
E. ME1.5 BOARD AND EXECUTIVE REPORTING
F. ME1.6 REMEDIAL ACTIONS
9. ME2.1 MONITORING OF INTERNAL CONTROL FRAMEWORK
A. ME2.2 SUPERVISORY REVIEW
B. ME2.3 CONTROL EXCEPTIONS
C. ME2.4 CONTROL SELF-ASSESSMENT
Catatan: penjelasan ada di modul tambahan
 Model Kematangan
Framework COBIT 4.1
Indeks Kematangan
Level Kematangan

0 - 0,5 0 : Non Existent (Tidak Ada)

0,51 - 1,5 1 : Initial / Ad Hoc (Inisial)

1,51 - 2,5 2: Repeatable But Intuitive (Pengulangan proses

berdasarkan intuisi)
2,51 - 3,5 3 : Defined Process (Proses telah didefinisikan)

3,51 - 4,5 4 : Managed and Measurable (Dikelola dan terukur)

4,51 - 5 5 : Optimised ( Optimalisasi)

Catatan: penjelasan ada di modul tambahan

 COBIT Framework
Apa yang
stakeholders
harapkan dari
IT
IT
IT Processes Business
Resourc
Requirements
es

Data Planning and Effectiveness

HOW organisation Efficiency
TO DAY Information Acquisition and Confidentiality
RELATED Systems implementation Integrity
Availability
Technology Delivery and Compliance
Support Information Realibity
Facilities
Monitoring
Human
Resourece

Catatan: penjelasan ada di modul tambahan

 COBIT FRAMEWORK

Catatan: penjelasan ada di modul tambahan

 Tingkat Kematangan
Framework COBIT 4.1 Indek Kematangan
Level Kematangan
0 – 0.5 0 : Non Existent (Tidak Ada)
0.51 – 1.5 1 : Initial / Ad Hoc (Inisial)
1.51 – 2.5 2:Repeatable But Intuitive (Pengulangan proses berdasarkan intuisi)
2.51 – 3.5 3 : Defined Process (Proses telah didefinisikan)
3.51 – 4.5 4 : Managed and Measurable (Dikelola dan terukur)
4.51 – 5 5 : Optimised ( Optimalisasi)

Cobit 4.1 membantu menyokong pengembangan kebijakan yang jelas dan langkah-
langkah praktis terbaik yang dapat diambil untuk pengendalian teknologi informasi di
seluruh perusahaan. Cobit 4.1 dirancang antara lain untuk mendukung yaitu:
1. Manajemen eksekutif dan dewan direksi.
2. Bisnis dan manajemen teknologi informasi.
3. Pengelolaan, assurance, pengendalian dan security professional.

Catatan: penjelasan ada di modul tambahan

PERTEMUAN 4

Pengantar COBIT 5
 COBIT 5
COBIT 5 adalah sebuah versi pembaharuan yang menyatukan cara berpikir yang mutakhir di
dalam teknik-teknik dan tata kelola TI perusahaan. Menyediakan prinsip-prinsip, praktek-
praktek, alat-alat analisa yang telah diterima secara umum untuk meningkatkan kepercayaan
dan nilai sistem-sistem informasi. COBIT 5 dibangun berdasarkan pengembangan dari COBIT
4.1 dengan mengintegrasikan Val IT dan Risk IT dari ISACA, ITIL, dan standar-standar yang
relevan dari ISO. (A. Al-Rasyid,2011). COBIT 5 tidak bersifat preskriptif, tetapi COBIT 5
menganjurkan agar perusahaan menerapkan proses tata kelola dan manajemen sedemikian
rupa sehingga area utama tercakup, seperti yang ditunjukkan pada gambar 9.
 COBIT 5 (Lanjutan)
Model referensi proses COBIT 5 membagi proses TI perusahaan menjadi dua area
aktivitas utama—tata kelola dan manajemen—dibagi ke dalam domain proses:

1. Tata Kelola—Domain ini berisi lima proses tata kelola; dalam setiap proses,
evaluasi, langsung, dan monitor (EDM) praktik didefinisikan.

2. Manajemen—Area ini berisi empat domain yang sejalan dengan area

tanggung jawab plan, build, run and monitor (PBRM), dan mereka
menyediakan cakupan TI ujung ke ujung. Setiap domain berisi sejumlah
proses, seperti pada COBIT 4.1 dan versi sebelumnya. Meskipun sebagian
besar proses memerlukan aktivitas 'perencanaan', 'pembangunan', 'berjalan'
dan 'pemantauan' dalam proses atau dalam masalah spesifik yang ditangani—
misalnya, kualitas, keamanan—mereka ditempatkan di domain yang sesuai
dengan apa yang umumnya area aktivitas yang paling relevan ketika berkaitan
dengan TI di tingkat perusahaan.
 COBIT 5 (Lanjutan)
Model referensi proses COBIT 5 merupakan penerus dari model proses COBIT 4.1, dengan
model proses TI Risiko dan TI yang terintegrasi. Gambar 10 menunjukkan set lengkap 37
proses tata kelola dan manajemen dalam COBIT 5.
 Domain Proses Cobit 5
A. Domain Evaluate, Direct and Monitoring (EDM)
Proses tata kelola ini berhubungan dengan tujuan tata kelola pemangku kepentingan—
pengiriman nilai, optimalisasi risiko, dan optimalisasi sumber daya—dan mencakup praktik
dan aktivitas yang ditujukan untuk mengevaluasi opsi strategis, memberikan arahan kepada
TI, dan memantau hasilnya.

1. EDM01 Ensure Governance Framework Setting dan Maintenance

Menganalisis dan mengartikulasikan persyaratan untuk tata kelola TI perusahaan, dan
menerapkan serta memelihara struktur, prinsip, proses, dan praktik yang memungkinkan
yang efektif, dengan kejelasan tanggung jawab dan wewenang untuk mencapai misi, tujuan,
dan sasaran perusahaan.
a. EDM01.01 Evaluate the governance system
b. EDM01.02 Direct the governance system
c. EDM01.03 Monitoring the governance system

2. EDM02 Ensure Benefits Delivery

Mengoptimalkan kontribusi nilai bisnis dari proses bisnis, layanan TI, dan aset TI yang
dihasilkan dari investasi yang dilakukan oleh TI dengan biaya yang dapat diterima.
a. EDM02.01 Evaluate value optimisation
b. EDM02.02 Direct value optimisation

Catatan: penjelasan ada di modul tambahan

 3. EDM03 Ensure Risk Optimisation
Pastikan bahwa selera dan toleransi risiko perusahaan dipahami, diartikulasikan dan
dikomunikasikan, dan risiko terhadap nilai perusahaan yang terkait dengan penggunaan
TI diidentifikasi dan dikelola.
a. EDM03.01 Evaluate risk management
b. EDM03.02 Direct risk management
c. EDM03.03 Monitor risk management

4. EDM04 Ensure Resource Optimisation

Memastikan bahwa kapabilitas terkait TI yang memadai dan memadai (orang, proses,
dan teknologi) tersedia untuk mendukung tujuan perusahaan secara efektif dengan biaya
optimal.
a. EDM04.01 Evaluate resource management
b. EDM04.02 Direct resource management
c. EDM04.03 Monitor resource management

5. EDM05 Ensure Stakeholder Transparency

Pastikan bahwa kinerja TI perusahaan dan pengukuran serta pelaporan kesesuaian
transparan, dengan pemangku kepentingan menyetujui tujuan dan metrik serta tindakan
perbaikan yang diperlukan.
a. EDM05.01 Evaluate stakeholder reporting requirements
b. EDM05.02 Direct stakeholder communication and reporting
c. EDM05.03 Monitor stakeholder communication

Catatan: penjelasan ada di modul tambahan

B. Domain Align, Plan and Organise (APO)
Memberikan arahan untuk penyampaian solusi (BAI) dan penyampaian dan dukungan layanan
(DSS). Domain ini mencakup strategi dan taktik, dan perhatian untuk mengidentifikasi cara terbaik
TI dapat berkontribusi pada pencapaian tujuan bisnis. Perwujudan visi strategis perlu
direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi
yang tepat, serta infrastruktur teknologi, harus ditempatkan.

1. APO01 Manage the IT management framework.

Memperjelas dan memelihara tata kelola misi dan visi TI perusahaan. Menerapkan dan memelihara
mekanisme dan otoritas untuk mengelola informasi dan penggunaan TI di perusahaan untuk
mendukung tujuan tata kelola sejalan dengan prinsip dan kebijakan panduan.
a. APO01.01 Define the organisational structure
b. APO01.02 Establish roles and responsibilities
c. APO01.03 Maintain the enablers of the management system
d. APO01.04 Communicate management objectives and direction.
e. APO01.05 Optimise the placement of the IT function
f. APO01.06 Define information (data) and system ownership
g. APO01.07 Manage continual improvement of processes
h. APO01.08 Maintain compliance with policies and procedures

2. APO02 Manage strategy.

Memberikan pandangan holistik tentang bisnis saat ini dan lingkungan TI, arah masa depan, dan
inisiatif yang diperlukan untuk bermigrasi ke lingkungan masa depan yang diinginkan.
a. APO02.01 Understand enterprise direction
b. APO02.02 Assess the current environment, capabilities and performance
c. APO02.03 Define the target IT capabilities
d. APO02.04 Conduct a gap analysis
e. APO02.05 Define the strategic plan and road map
f. APO02.06 Communicate the IT strategy and direction
Catatan: penjelasan ada di modul tambahan
3. APO03 Manage enterprise architecture.
Membangun arsitektur umum yang terdiri dari lapisan arsitektur proses bisnis, informasi, data,
aplikasi dan teknologi untuk mewujudkan strategi perusahaan dan TI secara efektif dan efisien
dengan membuat model dan praktik utama yang menggambarkan arsitektur dasar dan target.
a. APO03.01 Develop the enterprise architecture vision
b. APO03.02 Define reference architecture
c. APO03.03 Select opportunities and solutions
d. APO03.04 Define architecture implementation
e. APO03.05 Provide enterprise architecture services

4. APO04 Manage innovation.

Mempertahankan kesadaran teknologi informasi dan tren layanan terkait, mengidentifikasi peluang
inovasi, dan merencanakan bagaimana memanfaatkan inovasi dalam kaitannya dengan kebutuhan
bisnis.
a. APO04.01 Create an environment conducive to innovation
b. APO04.02 Maintain an understanding of the enterprise environment
c. APO04.03 Monitor and scan the technology environment
d. APO04.04 Assess the potential of emerging technologies and innovation ideas.
e. APO04.05 Recommend appropriate further initiatives.
f. APO04.06 Monitor the implementation and use of innovation

5. APO05 Manage portofolio.

Jalankan arahan strategis yang ditetapkan untuk investasi sejalan dengan visi arsitektur
perusahaan dan karakteristik yang diinginkan dari investasi dan portofolio layanan terkait, dan
pertimbangkan berbagai kategori investasi dan sumber daya serta kendala pendanaan.
a. APO05.01 Establish the target investment mix
b. APO05.02 Determine the availability and sources of funds
c. APO05.03 Evaluate and select programmes to fund.
d. APO05.04 Monitor, optimise and report on investment portfolio performance
e. APO05.05 Maintain portfolios.
f. APO05.06 Manage benefits achievement Catatan: penjelasan ada di modul tambahan
 6. APO06 Manage budget and costs.
Mengelola aktivitas keuangan terkait TI dalam fungsi bisnis dan TI, yang mencakup anggaran,
manajemen biaya dan manfaat, dan memprioritaskan pengeluaran melalui penggunaan praktik
penganggaran formal dan sistem alokasi biaya yang adil dan merata untuk perusahaan.
a. APO06.01 Manage finance and accounting
b. APO06.02 Prioritise resource allocation.
c. APO06.03 Create and maintain budgets.
d. APO06.04 Model and allocate costs.
e. APO06.05 Manage costs.

7. APO07 Manage human resources.

Memberikan pendekatan terstruktur untuk memastikan penataan, penempatan, hak keputusan, dan
keterampilan sumber daya manusia yang optimal.
a. APO07.01 Maintain adequate and appropriate staffing
b. APO07.02 Identify key IT personnel
c. APO07.03 Maintain the skills and competencies of personnel
d. APO07.04 Evaluate employee job performance
e. APO07.05 Plan and track the usage of IT and business human resources
f. APO07.06 Manage contract staff.

8. APO08 Manage relationships.

Kelola hubungan antara bisnis dan TI dengan cara yang formal dan transparan yang memastikan
fokus pada pencapaian tujuan bersama dan bersama dari hasil perusahaan yang sukses dalam
mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko.
a. APO08.01 Understand business expectations.
b. APO08.02 Identify opportunities, risk and constraints for IT to enhance the business.
c. APO08.03 Manage the business relationship.
d. APO08.03 Manage the business relationship.
e. APO08.05 Provide input to the continual improvement of services.
Catatan: penjelasan ada di modul tambahan
9. APO09 Manage service agreements
Menyelaraskan layanan dan tingkat layanan yang mendukung TI dengan kebutuhan dan
harapan perusahaan, termasuk identifikasi, spesifikasi, desain, penerbitan, perjanjian, dan
pemantauan layanan TI, tingkat layanan, dan indikator kinerja.
a. APO09.01 Identify IT services
b. APO09.02 Catalogue IT-enabled services
c. APO09.03 Define and prepare service agreements.
d. APO09.04 Monitor and report service levels
e. APO09.04 Monitor and report service levels

10. APO10 Manage suppliers.

Kelola layanan terkait TI yang disediakan oleh semua jenis pemasok untuk memenuhi persyaratan
perusahaan, termasuk pemilihan pemasok, manajemen hubungan, manajemen kontrak, serta peninjauan dan
pemantauan kinerja pemasok untuk efektivitas dan kepatuhan.
a. APO10.01 Identify and evaluate supplier relationships and contracts.
b. APO10.02 Select suppliers.
c. APO10.03 Manage supplier relationships and contracts.
d. APO10.04 Manage supplier risk.
e. APO10.05 Monitor supplier performance and compliance.

11. APO11 Manage quality.

Tetapkan dan komunikasikan persyaratan kualitas dalam semua proses, prosedur, dan hasil perusahaan
terkait, termasuk kontrol, pemantauan berkelanjutan, dan penggunaan praktik dan standar yang telah terbukti
dalam upaya peningkatan dan efisiensi berkelanjutan.
a. APO11.01 Establish a quality management system (QMS).
b. APO11.02 Define and manage quality standards, practices and procedures
c. APO11.03 Focus quality management on customers.
d. APO11.04 Perform quality monitoring, control and reviews.
e. APO11.05 Integrate quality management into solutions for development and service delivery
f. APO11.06 Maintain continuous improvement.

Catatan: penjelasan ada di modul tambahan

12. APO12 Manage risk.
Terus mengidentifikasi, menilai, dan mengurangi risiko terkait TI dalam tingkat toleransi yang
ditetapkan oleh manajemen eksekutif perusahaan.
a. APO12.01 Collect data
b. APO12.02 Analyse risk.
c. APO12.03 Maintain a risk profile
d. APO12.04 Articulate risk
e. APO12.05 Define a risk management action portfolio
f. APO12.06 Respond to risk.

13. APO13 Manage security

Mendefinisikan, mengoperasikan dan memantau sistem untuk manajemen keamanan
informasi.
a. APO13.01 Establish and maintain an ISMS.
b. APO13.02 Define and manage an information security risk treatment plan.
c. APO13.03 Monitor and review the ISMS

Catatan: penjelasan ada di modul tambahan

 C. Domain Build, Acquire and Implement (BAI)
Memberikan solusi dan meneruskannya untuk diubah menjadi layanan. Untuk mewujudkan
strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis. Perubahan dan
pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa
solusi terus memenuhi tujuan bisnis.

1. BAI01 Manage programmes and projects.

Kelola semua program dan proyek dari portofolio investasi sejalan dengan strategi
perusahaan dan dengan cara yang terkoordinasi. Memulai, merencanakan, mengontrol, dan
melaksanakan program dan proyek, dan menutup dengan tinjauan pasca implementasi.
a. BAI01.01 Maintain a standard approach for programme and project management
b. BAI01.02 Initiate a programme
c. BAI01.03 Manage stakeholder engagement.
d. BAI01.04 Develop and maintain the programme plan.
e. BAI01.05 Launch and execute the programme.
f. BAI01.06 Monitor, control and report on the programme outcomes.
g. BAI01.07 Start up and initiate projects within a programme.
h. BAI01.08 Plan projects.
i. BAI01.09 Manage programme and project quality.
j. BAI01.10 Manage programme and project risk
k. BAI01.11 Monitor and control projects
l. BAI01.12 Manage project resources and work packages.
m. BAI01.13 Close a project or iteration.
n. BAI01.14 Close a programme.

Catatan: penjelasan ada di modul tambahan

 2. BAI02 Manage requirements definition.
Identifikasi solusi dan analisis persyaratan sebelum akuisisi atau pembuatan untuk memastikan
bahwa solusi tersebut sejalan dengan persyaratan strategis perusahaan yang mencakup proses
bisnis, aplikasi, informasi/data, infrastruktur, dan layanan. Berkoordinasi dengan pemangku
kepentingan yang terkena dampak peninjauan opsi yang layak termasuk biaya dan manfaat relatif,
analisis risiko, dan persetujuan persyaratan dan solusi yang diusulkan.
a. BAI02.01 Define and maintain business functional and technical requirements
b. BAI02.02 Perform a feasibility study and formulate alternative solutions.
c. BAI02.03 Manage requirements risk
d. BAI02.04 Obtain approval of requirements and solutions

3. BAI03 Manage solutions identification and build.

Menetapkan dan memelihara solusi yang teridentifikasi sesuai dengan persyaratan perusahaan
yang mencakup desain, pengembangan, pengadaan/sumber, dan kemitraan dengan
pemasok/vendor. Kelola konfigurasi, persiapan pengujian, pengujian, manajemen persyaratan, dan
pemeliharaan proses bisnis, aplikasi, informasi/data, infrastruktur, dan layanan.
a. BAI03.01 Design high-level solutions
b. BAI03.02 Design detailed solution components.
c. BAI03.03 Develop solution components
d. BAI03.04 Procure solution components
e. BAI03.05 Build solutions
f. BAI03.06 Perform quality assurance
g. BAI03.07 Prepare for solution testing
h. BAI03.08 Execute solution testing
i. BAI03.09 Manage changes to requirements.
j. BAI03.10 Maintain solutions
k. BAI03.11 Define IT services and maintain the service portfolio.

Catatan: penjelasan ada di modul tambahan

 4. BAI04 Manage availability and capacity.
Seimbangkan kebutuhan saat ini dan masa depan untuk ketersediaan, kinerja, dan kapasitas
dengan penyediaan layanan yang hemat biaya. Termasuk penilaian kemampuan saat ini, peramalan
kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian risiko
untuk merencanakan dan mengimplementasikan tindakan untuk memenuhi persyaratan yang
diidentifikasi.
a. BAI04.01 Assess current availability, performance and capacity and create a baseline
b. BAI04.02 Assess business impact
c. BAI04.03 Plan for new or changed service requirements.
d. BAI04.04 Monitor and review availability and capacity
e. BAI04.05 Investigate and address availability, performance and capacity issues.

5. BAI05 Manage organisational change enablement.

Maksimalkan kemungkinan keberhasilan penerapan perubahan organisasi di seluruh perusahaan
yang berkelanjutan dengan cepat dan dengan risiko yang lebih rendah, yang mencakup siklus hidup
lengkap perubahan dan semua pemangku kepentingan yang terpengaruh dalam bisnis dan TI.
a. BAI05.01 Establish the desire to change.
b. BAI05.02 Form an effective implementation team
c. BAI05.03 Communicate desired vision
d. BAI05.04 Empower role players and identify short-term wins
e. BAI05.05 Enable operation and use
f. BAI05.06 Embed new approaches.
g. BAI05.07 Sustain changes

Catatan: penjelasan ada di modul tambahan

6. BAI06 Manage changes.
Kelola semua perubahan secara terkendali, termasuk perubahan standar dan pemeliharaan darurat
yang berkaitan dengan proses bisnis, aplikasi, dan infrastruktur.
a. BAI06.01 Evaluate, prioritise and authorise change requests.
b. BAI06.02 Manage emergency changes.
c. BAI06.03 Track and report change status.
d. BAI06.04 Close and document the changes.

7. BAI07 Manage change acceptance and transitioning.

Secara formal menerima dan membuat solusi baru operasional, termasuk perencanaan implementasi,
konversi sistem dan data, pengujian penerimaan, komunikasi, persiapan rilis, promosi ke produksi
proses bisnis baru atau yang diubah dan layanan TI, dukungan produksi awal, dan tinjauan pasca
implementasi.
a. BAI07.01 Establish an implementation plan.
b. BAI07.02 Plan business process, system and data conversion.
c. BAI07.03 Plan acceptance tests.
d. BAI07.04 Establish a test environment.
e. BAI07.05 Perform acceptance tests
f. BAI07.06 Promote to production and manage releases.
g. BAI07.07 Provide early production support
h. BAI07.08 Perform a post-implementation review

8. BAI08 Manage knowledge.

Menjaga ketersediaan pengetahuan yang relevan, terkini, tervalidasi, dan andal untuk mendukung
semua aktivitas proses dan untuk memfasilitasi pengambilan keputusan. Merencanakan identifikasi,
pengumpulan, pengorganisasian, pemeliharaan, penggunaan, dan penghentian pengetahuan.
a. BAI08.01 Nurture and facilitate a knowledge-sharing culture
b. BAI08.02 Identify and classify sources of information.
c. BAI08.03 Organise and contextualise information into knowledge.
d. BAI08.04 Use and share knowledge.
e. BAI08.05 Evaluate and retire information
Catatan: penjelasan ada di modul tambahan
 9. BAI09 Manage assets.
Kelola aset TI melalui siklus hidupnya untuk memastikan bahwa penggunaannya
memberikan nilai dengan biaya optimal, aset tetap beroperasi (sesuai dengan tujuan),
diperhitungkan dan dilindungi secara fisik, dan aset yang penting untuk mendukung
kemampuan layanan dapat diandalkan dan tersedia.
a. BAI09.01 Identify and record current assets.
b. BAI09.02 Manage critical assets
c. BAI09.03 Manage the asset life cycle
d. BAI09.04 Optimise asset costs
e. BAI09.05 Manage licences.

10. BAI10 Manage configuration.

Menentukan dan memelihara deskripsi dan hubungan antara sumber daya utama dan
kemampuan yang diperlukan untuk memberikan layanan yang mendukung TI, termasuk
mengumpulkan informasi konfigurasi, menetapkan baseline, memverifikasi dan
mengaudit informasi konfigurasi, dan memperbarui repositori konfigurasi.
a. BAI10.01 Establish and maintain a configuration model.
b. BAI10.02 Establish and maintain a configuration repository and baseline.
c. BAI10.03 Maintain and control configuration items.
d. BAI10.03 Maintain and control configuration items.
e. BAI10.05 Verify and review integrity of the configuration repository

Catatan: penjelasan ada di modul tambahan

 D. Domain Deliver, Service and Support (DSS)
Menerima solusi dan membuatnya dapat digunakan oleh pengguna akhir. Domain ini
berkaitan dengan pengiriman aktual dan dukungan layanan yang diperlukan, yang meliputi
pengiriman layanan, manajemen keamanan dan kontinuitas, dukungan layanan untuk
pengguna, dan pengelolaan data dan fasilitas operasional.

1. DSS01 Manage operations.

Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang diperlukan
untuk memberikan layanan TI internal dan outsourcing, termasuk pelaksanaan prosedur
operasi standar yang telah ditentukan dan kegiatan pemantauan yang diperlukan.
a. DSS01.01 Perform operational procedures
b. DSS01.02 Manage outsourced IT services
c. DSS01.03 Monitor IT infrastructure
d. DSS01.04 Manage the environment.
e. DSS01.05 Manage facilities.

2. DSS02 Manage service requests and incidents.

Memberikan respons yang tepat waktu dan efektif terhadap permintaan pengguna dan resolusi
semua jenis insiden. Kembalikan layanan normal; merekam dan memenuhi permintaan
pengguna; dan merekam, menyelidiki, mendiagnosis, mengeskalasi, dan menyelesaikan
insiden.
a. DSS02.01 Define incident and service request classification schemes
b. DSS02.02 Record, classify and prioritise requests and incidents
c. DSS02.03 Verify, approve and fulfil service requests.
d. DSS02.04 Investigate, diagnose and allocate incidents.
e. DSS02.05 Resolve and recover from incidents
f. DSS02.06 Close service requests and incidents.
g. DSS02.07 Track status and produce reports.

Catatan: penjelasan ada di modul tambahan

 3. DSS03 Manage problems.
Identifikasi dan klasifikasikan masalah dan akar penyebabnya dan berikan resolusi tepat
waktu untuk mencegah insiden berulang. Memberikan rekomendasi untuk perbaikan.
a. DSS03.01 Identify and classify problems
b. DSS03.02 Investigate and diagnose problems.
c. DSS03.03 Raise known errors
d. DSS03.04 Resolve and close problems
e. DSS03.05 Perform proactive problem management

4. DSS04 Manage continuity.

Menetapkan dan memelihara rencana untuk memungkinkan bisnis dan TI merespons
insiden dan gangguan untuk melanjutkan operasi proses bisnis penting dan layanan TI
yang diperlukan serta menjaga ketersediaan informasi pada tingkat yang dapat diterima
oleh perusahaan.
a. DSS04.01 Define the business continuity policy, objectives and scope.
b. DSS04.02 Maintain a continuity strategy
c. DSS04.03 Develop and implement a business continuity response
d. DSS04.04 Exercise, test and review the BCP.
e. DSS04.05 Review, maintain and improve the continuity plan.
f. DSS04.06 Conduct continuity plan training.
g. DSS04.06 Conduct continuity plan training.
h. DSS04.08 Conduct post-resumption review

Catatan: penjelasan ada di modul tambahan

5. DSS05 Manage security services.
Melindungi informasi perusahaan untuk menjaga tingkat risiko keamanan informasi yang
dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan.
a. DSS05.01 Protect against malware
b. DSS05.02 Manage network and connectivity security
c. DSS05.03 Manage endpoint security
d. DSS05.04 Manage user identity and logical access.
e. DSS05.05 Manage physical access to IT assets
f. DSS05.06 Manage sensitive documents and output devices.
g. DSS05.07 Monitor the infrastructure for security-related events.

6. DSS06 Manage business process controls

Tetapkan dan pertahankan kontrol proses bisnis yang tepat untuk memastikan bahwa
informasi yang terkait dengan dan diproses oleh proses bisnis internal atau outsourcing
memenuhi semua persyaratan kontrol informasi yang relevan.
a. DSS06.01 Align control activities embedded in business processes with enterprise
objectives.
b. DSS06.02 Control the processing of information
c. DSS06.03 Manage roles, responsibilities, access privileges and levels of authority
d. DSS06.04 Manage errors and exceptions
e. DSS06.05 Ensure traceability of information events and accountabilities.
f. DSS06.06 Secure information assets.
E. Domain Monitor, Evaluate and Assess (MEA)
Memantau semua proses untuk memastikan bahwa arahan yang diberikan diikuti. Semua proses
TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan kepatuhannya terhadap
persyaratan kontrol. Domain ini membahas manajemen kinerja, pemantauan pengendalian
internal, kepatuhan terhadap peraturan, dan tata kelola.

1. MEA01 Monitor, evaluate and assess performance and conformance.

Mengumpulkan, memvalidasi, dan mengevaluasi tujuan dan metrik bisnis, TI, dan proses.
Memantau bahwa proses berjalan terhadap kinerja yang disepakati dan tujuan dan metrik
kesesuaian dan memberikan pelaporan yang sistematis dan tepat waktu.
a. MEA01.01 Establish a monitoring approach
b. MEA01.02 Set performance and conformance targets.
c. MEA01.03 Collect and process performance and conformance data.
d. MEA01.04 Analyse and report performance.
e. MEA01.05 Ensure the implementation of corrective actions

2. MEA02 Monitor, evaluate and assess the system of internal control.

Terus memantau dan mengevaluasi lingkungan pengendalian, termasuk penilaian mandiri dan
tinjauan jaminan independen. Memungkinkan manajemen untuk mengidentifikasi kekurangan dan
ketidakefisienan pengendalian dan untuk memulai tindakan perbaikan. Merencanakan, mengatur
dan memelihara standar untuk penilaian pengendalian internal dan kegiatan jaminan.
a. MEA02.01 Monitor internal controls.
b. MEA02.02 Review business process controls effectiveness
c. MEA02.03 Perform control self-assessments
d. MEA02.04 Identify and report control deficiencies.
e. MEA02.05 Ensure that assurance providers are independent and qualified
f. MEA02.06 Plan assurance initiatives.
g. MEA02.07 Scope assurance initiatives.
h. MEA02.08 Execute assurance initiatives.
3. MEA03 Monitor, evaluate and assess compliance with external
requirements.
Mengevaluasi bahwa proses TI dan proses bisnis yang didukung TI sesuai
dengan undang-undang, peraturan, dan persyaratan kontrak. Dapatkan jaminan
bahwa persyaratan telah diidentifikasi dan dipatuhi, dan integrasikan kepatuhan TI
dengan kepatuhan perusahaan secara keseluruhan.
a. MEA03.01 Identify external compliance requirements.
b. MEA03.02 Optimise response to external requirements.
c. MEA03.03 Confirm external compliance.
d. MEA03.04 Obtain assurance of external compliance
 PERTEMUAN 5

IMPLEMENTASI COBIT 4
STUDY KASUS :AUDIT TATA KELOLA TEKNOLOGI INFORMASI PADA PT XYZ MENGGUNAKAN FRAMEWORK COBIT 4.1
YANG DIPAKAI DOMAIN DALAM KASUS INI :
TABEL EVALUASI PROSES TEKNOLOGI
IT Domain IT Process
Plan and Organise PO6,PO7,PO8
Deliver and Support DS7
Monitor and Evaluation ME1, ME2

ADAPUN DESKRIPSI TIAP-TIAP PROSES TEKNOLOGI INFORMASI

Domain Descript (Plan and Organisation)

Communicate management aims and
PO6
direction
PO7 Manage IT human resources
PO8 Manage quality
Domain Descript (Delivery and Support)
DS7 Educate and Train Users
Domain Descript (Monitor and Evaluation)
ME1 Monitor and evaluate IT performance
ME2 Monitor and evaluate internal control
 Manturity level
Indeks Kematangan Level Keterangan
0 - 0.49 0 0 – Non-Existent
0.50 – 1.49 1 1 – Initial/Ad Hoc
1.50 – 2.49 2 2 – Repeatable But Intutitive
2.50 – 3.49 3 3 – Defined Process
3.50 – 4.49 4 4 – Managed and Measureabel
4.50 – 5.00 5 5 –Optimized
Pertanyaan yang diperlukan

PO ( Plan and Organise)

A. PO6 IT Policy and Control Environment
1) PO6.1 IT Policy and Control Environment
a. Menentukan unsur-unsur lingkungan pengendalian untuk teknologi informasi, sejalan
dengan filosofi manajemen perusahaan dan gaya operasi.
b. Setiap unsur harus mencakup harapan/persyaratan mengenai delivery nilai dari
investasi teknologi informasi, risiko, integritas, nilai-nilai etika, kompetensi staf,
akuntabilitas dan tanggung jawab.
c. Lingkungan pengendalian harus didasarkan pada budaya yang mendukung nilai
delivery dengan mengelola risiko yang signifikan,
d. Mendorong kerja sama lintas-divisi dan kerja sama tim, mendorong kepatuhan dan
perbaikan proses yang berkesinambungan, dan menangani proses penyimpangan
(termasuk kegagalan) dengan baik.

2) PO6.2 Enterprise IT Risk And Control Framework

Mengembangkan dan mempertahankan kerangka kerja yang mendefinisikan pendekatan
perusahaan secara keseluruhan dengan risiko dan yang sejalan dengan kebijakan
lingkungan teknologi informasi, risiko perusahaan dan kerangka kontrol.

3) PO6.3 IT Policies Management

a. Mengembangkan Dan Memelihara Seperangkat Kebijakan Untuk Mendukung Strategi
Teknologi Informasi.
b. Kebijakan Ini Harus Mencakup Peran Dan Tanggung Jawab, Proses Pengecualian,
Pendekatan Kepatuhan, Referensi Untuk Prosedur, Standar Dan Pedoman
c. Relevansi Harus Dikonfirmasi Dan Disetujui Secara Berkala
4) PO6.4 Policy, Standard and Procedures Rollout
Menggelar dan menegakkan kebijakan teknologi informasi kepada semua staf yang relevan,
sehingga berkembang dan merupakan bagian integral dari operasi perusahaan untuk terus
menjalankan standar perusahan.

5) PO6.5 Communication of IT Objectives and Direction

Kesadaran berkomunikasi dan pemahaman tentang bisnis serta tujuan teknologi informasi
oleh para pemangku kepentingan dan pengguna di seluruh perusahaan.

B. PO7 Manage IT Human Resources

1) PO7.1 Personnel Recruitment and Retention
a. Menjaga proses perekrutan personil sesuai dengan kebijakan dan prosedur (misalnya,
mempekerjakan, lingkungan kerja yang positif, dan berorientasi) organisasi personil
teknologi informasi secara keseluruhan.
b. Melaksanakan proses untuk memastikan bahwa organisasimemiliki penempatan tenaga
kerja teknologi informasi sesuai dengan keterampilan yang diperlukan untuk mencapai
tujuan organisasi.

2) PO7.2 Personnel Competencies

Secara Teratur Memverifikasi Bahwa Personel Memiliki Kompetensi Yang Memenuhi Peran
Atas Dasar Pendidikan, pelatihan Atau Pengalaman Yang Dimiliki Staf Teknologi Informasi.
3) Po7.3 Staffing Of Roles
a. Menentukan, memantau dan mengawasi peran, tanggung jawab dan kerangka kerja
kompensasi bagi personil, termasuk persyaratan untuk mematuhi kebijakan
manajemen dan prosedur, kode etik, dan praktek profesional.
b. Tingkat pengawasan harus sesuai dengan sensitivitas posisi dan luasnya tanggung
jawab yang diberikan.

4) PO7.4 Personnel Trainin

Menyediakan pelatihan kepada staf teknologi informasi dengan orientasi yang tepat dan
pelatihan yang berkelanjutan untuk meningkatkan pengetahuan, keterampilan,
kemampuan, pengendalian internal dan kesadaran keamanan pada tingkat yang
diperlukan untuk mencapai tujuan organisasi.

5) PO7.5 Dependence Upon Individual

Meminimalkan ketergantungan kritis pada satu individu kunci melalui transfer pengetahuan
(dokumentasi), berbagi pengetahuan, perencanaan suksesi dan cadangan staf

6) PO7.6 Personnel Clearance Procedures

Melakukan pemeriksaan latar belakang dalam proses rekrutmen teknologi informasi

7) PO7.7 Employee Job Performance Evaluation

Evaluasi tepat waktu harus dilakukan secara teratur terhadap tujuan individual yang
berasal dari tujuan organisasi, standar yang ditetapkan dan tanggung jawab pekerjaan
tertentu.
8) PO7.8 Job Change and Termination
Mengambil tindakan mengenai perubahan pekerjaan, terutama saat staf diberhentikan
berkerja Transfer pengetahuan harus diatur, tanggung jawab dan hak akses yang selama
ini dimiliki dihapus sehingga risiko diminimalkan dan kesinambungan fungsinya dijamin.

C. PO8 Manage Quality

1) PO8.1 Quality Management System
a. Membangun dan memelihara QMS.
b. Menyediakan, pendekatan standar formal dan berkelanjutan mengenai manajemen
mutu yang sesuai dengan kebutuhan bisnis.
c. QMS harus mengidentifikasi persyaratan kualitas dan kriteria, kunci proses teknologi
informasi dan urutan dan interaksinya, kebijakan, kriteria dan metode untuk
mendefinisikan, mendeteksi, mencegah dan memperbaiki ketidaksesuaian.

2) PO8.2 IT Standards and Quality Practices

a. Mengidentifikasi dan mempertahankan standar, prosedur dan praktek kunci proses
teknologi informasi untuk memandu organisasi dalam memenuhi maksud dari QSM.
b. Menggunakan praktek-praktek industri yang baik untuk referensi ketika meningkatkan
dan menyesuaikan praktek mutu organisasi.

3) PO8.3 Development and Acquisition Standards

a. Mengadopsi dan mempertahankan standar untuk semua pengembangan dan
akuisisi.
b. Selalu mempertimbangkan standar perangkat lunak, konvensi penamaan, format file,
skema dan data standar desain kamus, standard user interface, interoperabilitas,
efisiensi kinerja sistem, skalabilitas, standar untuk pengembangan dan pengujian,
Validasi terhadap persyaratan, rencana uji, dan satuan, regresi dan pengujian
integrasi.
4) PO8.4 Customer Focus
Fokus manajemen mutu pada pelanggan dengan menentukan kebutuhan dan
menyelaraskan dengan standar dan praktik.
5) PO8.5 Continuous Improvement
Menjaga dan secara teratur berkomunikasi mengenai keseluruhan rencana kualitas.
6) PO8.6 Quality Measurement, Monitoring and Review
a. Menentukan, merencanakan dan melaksanakan pengukuran untuk terus memantau
kepatuhan terhadap QMS, serta menyediakan nilai QMS.
b. Pengukuran, pemantauan dan pencatatan informasi harus digunakan untuk mengambil
tindakan perbaikan dan pencegahan yang tepat.

D. DS07 Educate and Train Users

1) DS07.01 Identification of education and training needs
Mengidentifikasi pelatihan dan pendidikan yang diperlukan tentang manajemen
2) DS07.02 delivery of training and education
Menyampaikan hasil pelatihan dan pendidikan terhadap sistem
3) DS07.03 evaluation of training and education
Mengevaluasi pelatihan dan pendidikan para users

E. ME1 Monitor and evaluate IT performance

1) ME1.1 monitoring approach
Membentuk kerangka pemantauan umum dan pendekatan untuk menentukan ruang
lingkup, metodologi dan proses yang harus diikuti untuk mengukur solusi teknologi
informasi dan layanan pengiriman, dan memantau kontribusi teknologi informasi pada
bisnis
2) ME1.2 definitions and collection of monitoring data
Bekerja dengan bisnis untuk menentukan keseimbangan target dan memastikan target
telah disetujui oleh pemangku kepentingan.
3) ME1.3 monitoring method
Memantau kinerja (misalnya, balanced scorecard) yang mencatat target, memberikan
ringkasan view kinerja teknologi informasi, dan memasukan ke dalam sistem pemantauan
perusahaan.
4) ME1.4 performance assessment
Berkala meninjau kinerja terhadap target, menganalisis penyebab penyimpangan, dan memulai
tindakan perbaikan untuk mengatasi penyebab penyimpangan.
5) ME1.5 board and executive reporting
Mengembangkan laporan manajemen senior yang berhubungan dengan hasil dukungan teknologi
informasi terhadap bisnis, khususnya dalam hal kinerja portofolio perusahaan, program
investasi IT, solusi dan layanan kinerja penyampaian program individu.
6) ME1.6 remedial action
Mengidentifikasi dan melakukan tindakan perbaikan berdasarkan pemantauan kinerja,
penilaian dan pelaporan. Ini termasuk tindak lanjut dari semua pemantauan, pelaporan dan
penilaian melalui: review, negosiasi dan terbentukanya tanggapan dari manajemen.
Penugasan tanggung jawab untuk perbaikan. Melacak hasil tindakan yang dilakukan

F. ME2 Monitor And Evaluate Internal Control

1) ME2.1 monitoring of internal control framework
Terus memantau, meningkatkan kontrol teknologi informasi untuk memenuhi tujuan organisasi
2) ME2.2 supervisory review
Memantau dan mengevaluasi efisiensi dan efektivitas kontrol teknologi informasi untuk
manajerial internal.
3) ME2.3 control exceptions
a. Menganalisis dan mengidentifikasi akar penyebab yang mendasarinya kesalahan kontrol.
b. Melaporkan kepada orang yang bertanggung jawab secara kolektif
4) ME2.4 control self-assessment
Mengevaluasi kelengkapan dan efektivitas pengendalian manajemen atas proses teknologi
informasi, kebijakan dan kontrak melalui program berkelanjutan dari self-assessment.
LEVEL
Indeks Kematangan Level Keterangan
0 - 0.49 0 0 – Non-Existent
0.50 – 1.49 1 1 – Initial/Ad Hoc
1.50 – 2.49 2 2 – Repeatable But Intutitive
2.50 – 3.49 3 3 – Defined Process
4 – Managed and
3.50 – 4.49 4
Measureabel
4.50 – 5.00 5 5 - Optimized
PO6 COMMUNICATE MANAGEMENT AIMS AND DIRECTIONS (MENGKOMUNIKASIKAN TUJUAN DAN
ARAHAN MANAJEMEN)
Domain Sub Domain Description Current Maturity Keterangan
T Policy and Control
PO 06.01 3.08 3 – Defined Process
Environment
Enterprise IT Risk and
PO 06.02 3.10 3 – Defined Process
Control Framework
PO 06.03 IT Policies Management 2.97 3 – Defined Process
PO 06 Policy, Standard and
PO 06.04 3.08 3 – Defined Process
Procedures Rollout
Communication of IT
PO 06.05 3.15 3 – Defined Process
Objectives and Direction
Rata- Rata 3.07 3 – Defined Process
PO7 MANAGE IT HUMAN RESOURCE (MENGELOLA SUMBER DAYA SISTEM INFORMASI)
HASIL PERHITUNGAN EVALUASI PO7

Current
Domain Sub Domain Description Keterangan
Maturity
Personnel Recruitment and 2 – Repeatable But
PO 07.01 2.48
Retention Intutitive
PO 07.02 Personnel Competencies 2.50 3 – Defined Process
PO 07.03 Staffing of Roles 2.50 3 – Defined Process
PO 07.04 Personnel Training 2.75 3 – Defined Process
PO 07 PO 07.05 Dependence Upon Individuals 2.70 3 – Defined Process
Personnel Clearance
PO 07.06 2.50 3 – Defined Process
Procedures
Employee Job Performance
PO 07.07 2.60 3 – Defined Process
Evaluation
PO 07.08 Job Change and Termination 2.63 3 – Defined Process
Rata- Rata 2.58 3 – Defined Process
PO8 MANAGE QUALITY (MANAJEMEN KUALITAS)
HASIL PERHITUNGAN EVALUASI PO8

Domain Sub Domain Description Current Maturity Keterangan

Personnel Recruitment and
PO 08.01 2.75 3 – Defined Process
Retention
PO 08.02 Personnel Competencies 2.88 3 – Defined Process
PO 08.03 Staffing of Roles 2.60 3 – Defined Process

PO 08 PO 08.04 Personnel Training 2.53 3 – Defined Process

Dependence Upon
PO 08.05 2.50 3 – Defined Process
Individuals
Personnel Clearance
PO 08.06 2.63 3 – Defined Process
Procedures
Rata- Rata 2.65 3 – Defined Process

DS7 EDUCATE AND TRAIN USERS (MENDIDIK DAN MELATIH PENGGUNA)

Domai Current
Sub Domain Description Keterangan
n Maturity
Identification of
3 – Defined
DS 07.01 Education and 3.13
Process
Training Needs
Delivery of Training 3 – Defined
DS 07.02 3.10
and Education Process
DS 07
Evaluation of
3 – Defined
DS 07.03 Training and 3.05
Process
Education
3 – Defined
Rata- Rata 3.09
Process
ME1 MONITOR AND VALUATE IT PERFORMANCE (MENGAWASI DAN MENGEVALUASI KINERJA TEKNOLOGI INFORMASI)

Domain Sub Domain Description Current Maturity Keterangan

ME 01.1 Monitoring Approach 2.63 3 – Defined Process
Definition and Collection of 2 – Repeatable But
ME 01.2 2.43
Monitoring Data Intutitive
2 – Repeatable But
ME 01.3 Monitoring Method 2.48
Intutitive
ME 01 ME 01.4 Performance Assessment 2.75 3 – Defined Process
Board and Executive
ME 01.5 2.70 3 – Defined Process
Reporting
2 – Repeatable But
ME 01.6 Remedial Actions 2.38
Intutitive
Rata-Rata 2.56 3 – Defined Process

ME2 MONITOR AND VALUATE INTERNAL CONTROL (MENGAWASI DAN MENGEVALUASI KONTROL INTERNAL)

Domain Sub Domain Description Current Maturity Keterangan

Monitoring of Internal
ME 02.1 2.85 3 – Defined Process
Control Framework
2 – Repeatable But
ME 02.2 Supervisory Review 2.30
Intutitive
ME 02 ME 02.3 Control Exceptions 2.95 3 – Defined Process

2 – Repeatable But
ME 02.4 Control Self-assessment 2.05
Intutitive
Rata-Rata 2.54 3 – Defined Process
RANGKUMAN TINGKAT KEMATANGAN (MATURITY LEVEL)

Domain Keterangan Nilai Keterangan

Communicate management aims
PO6 3.07 3. Defined process
and direction

PO7 Manage IT human resources 2.58 3. Defined process

PO8 Manage quality 2.65 3. Defined process

DS7 Educate and Train Users 3.09 3. Defined process

Monitor and evaluate IT
ME1 2.56 3. Defined process
performance
Monitor and evaluate internal
ME2 2.54 3. Defined process
control
Rata-rata 2.75 3. Defined process

Hasil perhitungan mendapati rata-rata nilai domain tata kelola teknologi informasi pada PT XYZ sebesar 2.75. Dari nilai ini dapat
ditarik kesimpulan bahwa pengelolaan teknologi informasi dilakukan secara defined process artinya pada level ini proses standar dalam
pengembangan suatu pelayanan telah didokumentasikan.
NILAI KESENJANGAN KEMATANGAN SAAT INI: Berdasarkan rangkuman nilai kematangan diatas
dapat diketahui nilai kesenjangan masing-masing domain, yaitu Hasil analisis kesenjangan (gap)

MaturityLevel
Domain
Current Maturity Expected Maturity Gap/ Selisih
PO6 3.07 3 0
PO7 2.58 3 0.42
PO8 2.65 3 0.35
DS7 3.09 3 0
ME1 2.56 3 0.44
ME2 2.54 3 0.46
Rata-rata 0.25

Berdasarkan analisis kesenjangan yang ditunjukkan tabel diatas, terdapat jarak 0.42 pada domain PO7,
0.35 pada domain PO8, 0.44 pada domain ME1 dan 0.46 pada domain ME2 antara kondisi yang
diharapkan dengan kondisi saat ini. Kesenjangan terbesar berada pada domain ME2.Walaupun gap
terbilang kecil tetapi dibutuhkan penyesuaian masing-masing domain karena nilai 0.25 adalah nilai rata-
rata perdomain, terutama penyesuaian pada domain ME2. Perbedaan kondisi kesenjangan tata kelola
PO, DS, dan ME saat ini PO6 dengan tata kelola PO, DS, dan ME yang diharapkan dapat dilihat seperti
4,003
pada 2,5 gambar dibawah ini:
3,002
ME2 2,00
1,5 PO7
1,001
0,5 Expected Maturity
-0
Current Maturity

ME1 PO8

DS7
 Hasil penentuan temuan dan rekomendasi

Hasil evaluasi menunjukan temuan terdapat gap pada domain PO dan ME, sedangkan domain DS sudah
sesuai dengan apa yang diharapkan.Pada domain mememiliki nilai kesenjangan paling besar yaitu
mencapai 0.46.Hal ini menunjukkan masalah yang dihadapi pada pengelolaan teknologi informasi PT XYZ
terdapat pada domainme yaitume2 (monitor and valuate internal control)yaitukurangnya kontrol internal
yang dilakukan pada divisi collection, sehingga menyebabkan kesenjangan hubungan antar kantor dan
konsumen.

Rekomendasi yang mampu diberikan ada bagian ME adalah perlunya manajemen memberikan tanggung
jawab pada masing–masing individu secara jelas maka tiap-tiap orang dapat mempertanggungjawabkan
setiap pekerjaannya sehingga mudah melakukan evaluasi dari setiap bagian yang belum dikerjakan oleh
masing masing pihak yang bertanggung jawab. Dengan cara ini tidak ada tumpang tindih pekerjaan dan
saling berdalih jika ada ditemukan masalah. Manajemen juga harus memberikan pendidikan diluar bidang
teknik misalnya dalam bidang hukum kepada staf untuk meningkatkan keterampilan dan pengetahuan
mereka.Setiap staf dievaluasi secara berkala untuk memastikan kinerja dapat mendukung bisnis
 PERTEMUAN 6

IMPLEMENTASI COBIT 5
 Studi Kasus

Pada Universitas XYZ saat ini sedang melakukan pengembangan pada sistem
informasi akademik kurang lebih telah berjalan selama 1 semester. Untuk
mengetahui kelayakan dari sistem informasi akaemik tersebut, pihak kampus
memanggil auditor eksternal untuk melakukan audit terhadap sistem informasi
akademik pada Universitas XYZ. Pada pelaksanaan auditnya, Auditor menggunakan
framework Cobit 5 dengan domain BAI.

Prosedur audit yang harus dilakukan oleh pihak auditor adalah sebagai berikut:
1. Menyusun perangkat kuesioner audit dengan framework Cobit 5
2. Melaksanakan assement
3. Menghitung maturity level
4. Memberikan hasil audit dan rekomendasi temuan masalah
 AUDIT WORKING PAPER DOMAIN BAI
ACADEMIC INFORMATION SYSTEM UNIVERSITAS XYZ

Narasumber :
Jabatan : Untuk kontrol lainnya,
Pilihan Tingkat Persetujuan : disusun secara mandiri
1 : Sangat Tidak Setuju berdasarkan keterangan
2 : Tidak Setuju domain tersebut. Untuk
3 : Ragu keterangan domain ada di
4 : Setuju
pertemuan 4
5 : Sangat Setuju
 Perhitungan
Tingkat Kematangan

Rumus
Index Kuisioner = ∑ Jawaban Kuisioner
∑ Domain Proses

Keterangan:
1.∑ Jawaban Kuisioner = Jumlah keseluruhan jawaban kuesioner
2.∑ Domain Proses = Jumlah keseluruhan domain proses
Cata Perhitungan

1. Kompensasi work product actual dengan standar

2. Persentasikan ke dalam skala peratingan

Notasi Deskripsi % Ketercapaian

N Not Achieved 0 – 15 %
P Partially achieved > 15 sampai 50%
L Largely achieved >50 sampai 85%
F Fully achieved >85 sampai 100%

Keterangan:
1. N = Not Achieved. Ada sedikit atau tidak ada bukti pencapaian atribut yang ditentukan
dalam proses yang dinilai
2. P = Partially achieved. Ada beberapa bukti pendekatan, dan beberapa pencapaian,
atribut yang ditentukan dalamproses yang dinilai. Beberapa aspek pencapaian atribut
mungkin tidak dapat diprediksi.
3. L = Largely achieved. Ada bukti pendekatan sistematis, dan pencapaian signifikan dari,
atribut yang ditentukandalam proses yang dinilai. Beberapa kelemahan yang terkait
dengan atribut ini mungkin ada dalam proses yang dinilai.
4. F = Fully achieved. Ada bukti pendekatan yang lengkap dan sistematis untuk, dan
pencapaian penuh dari, yang didefinisikanatribut dalam proses yang dinilai. Tidak ada
kelemahan signifikan yang terkait dengan atribut ini dalam proses penilaian.
3. Hitung nilai kematangan tiap sub-domain dengan rumus berikut

Maturity Index = % Ketercapaian X Index Kuesioner

Work Product

4. Hitung nilai kematangan domain dengan rumus berikut

Maturity Level = ∑ Maturity Index domain

∑ Dimain Proses
Hasil dari kuesioner

Index kuesioner = 13 : 3 = 4,3

WP Standar BAI .01 = 33 (berdasarkan dokumen PAM)
WP Akttual BAI.01 = 15% (berdasarkan keadaan lapangan dari WP Standar BAI.01 = 33)
Maturity Index = (15%/ 33) x 4.3 = 0,45% x 4,3 = 1,94 % = 1,94 : 100 = 0,01
Maturity Level = 1,13 / 10 = 0,11
 Sub Nama Kontrol Maturity
Domain Index
BAI01 Manage programmes and projects 0,01
BAI02 Manage requirements definition 0,48
BAI03 Manage solutions identification and build 0,03
BAI04 Manage availability and capacity 0,04
BAI05 Manage organisational change enablement 0,03
BAI06 Manage changes 0,09
BAI07 Manage change acceptance and transitioning 0,04
BAI08 Manage knowledge 0,08
BAI09 Manage assets 0,28
BAI10 Manage configuration 0,05
Total Maturity Index 1,13
Maturity Level Domain BAI (1,13/10 (jumlah domain BAI) 0,11

Kesimpulan:
Berdasarkan peratingan bahwa hasil dari audit pada sistem informasi akademik
berdasarkan cobit 5 dengan domain BAI adalah 0,11 (11%). Sehingga nilai yang
dihasilkan kurang dari 15%. Hasil yang didapat adalah Not Achieved.
Latihan Studi Kasus

Tren penggunaan aplikasi online shop XYZ saat ini semakin meningkat.
Sehingga pihak manajemen selalu melakukan evalusi terhadap penggunan
aplikasi online shop XYZ tersebut, pihak menejement menggunakan auditor
eksternal untuk melakukan audit terhadap pelayanan aplikasi online shop
XYZ. Pada pelaksanaan auditnya, Auditor menggunakan framework Cobit 5
dengan domain DSS.

Prosedur audit yang harus dilakukan oleh pihak auditor adalah sebagai berikut:
1. Menyusun perangkat kuesioner audit dengan framework Cobit 5
2. Melaksanakan assement berdasarkan kuesioner tersebut
3. Menghitung maturity level
4. Memberikan hasil audit dan rekomendasi temuan masalah