TUGAS ARTIKEL

AUDIT SISTEM INFORMASI

COBIT

DISUSUN OLEH:

Rani Febrina Utari

10184093
SI-RS.72

STMIK PROFESIONAL MAKASSAR

SISTEM INFORMASI
2021
 BAB I
PENDAHULUAN

1. Latar Belakang
COBIT (Control Objectives for Information and Related Technology)
adalah kerangka kerja tata kelola IT (IT Governance Framework) dan
kumpulan perangkat yang mendukung dan memungkinkan para manager
untuk menjembatani jarak (gap) yang ada antara kebutuhan yang
dikendalikan (control requirement), masalah teknis (technical issues) dan
resiko bisnis (bussiness risk).

COBIT mempermudah perkembangan peraturan yang jelas (clear policy

development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu
organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan
IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan
dari kerangka COBIT.

Dalam pembahasan ini, ada beberapa hal mengenai sistem manajemen

data yang dibahas. Hal-hal yang dibahas secara umum ada dua, yaitu: 1)
definisi COBIT, 2) sejarah COBIT, 3) manfaat COBIT, dan 4) perbedaan versi
COBIT .

2. Rumusan Masalah
Berdasarkan latar belakang di atas, maka masalah pokok pada pembahasan
ini adalah:
a. Apakah yang dimaksud COBIT?
b. Bagaimana sejarah COBIT?
c. Apa saja manfaat dan perbedaan versi COBIT?
3. Tujuan
Tujuan dari pembahasan sistem manajemen data adalah:
a. Menjelaskan tentang COBIT
b. Menjelaskan sejarah COBIT
c. Menyebutkan dan menjelaskan tentang manfaat dan perbedaan versi
COBIT.
 BAB II
PEMBAHASAN

2.1 Pengertian COBIT - The ISACA Framework (Kerangka ISACA)

COBIT (Control Objectives for Information and Related Technology)

adalah kerangka kerja tata kelola IT (IT Governance Framework) dan
kumpulan perangkat yang mendukung dan memungkinkan para manager
untuk menjembatani jarak (gap) yang ada antara kebutuhan yang
dikendalikan (control requirement), masalah teknis (technical issues) dan
resiko bisnis (bussiness risk).

COBIT mempermudah perkembangan peraturan yang jelas (clear policy

development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu
organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan
IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan
dari kerangka COBIT.

2.2 Sejarah Perkembangan COBIT

COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang
menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT
Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang
mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT.

COBIT terdiri atas 4 domain, yaitu : a.) Planning and Organizing, b.)
Acquisition and Implementation, c.) Delivery and Support, d.) Monitoring and
Evaluation.

2.3 Manfaat COBIT

Manfaat dalam penerapan COBIT ini antara lain :

a. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung
keputusan bisnis.
 b. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara
efektif dan inovatif.
c. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi
yang reliable dan efisien.
d. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
e. Mengoptimalkan biaya dari layanan dan teknologi TI.
f. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan
kebijakan.

2.4 COBIT Versi 4.1

2.4.1 Kerangka Kerja
Kerangka kerja pengendalian COBIT terdiri dari empat hal, yakni :
a. Mengaitkannya dengan tujuan organisasi,
b. Mengorganisasikan aktivitas TI ke dalam model proses,
c. Mengidentifikasi sumber daya utama TI untuk melakukan percepatan,
d. Mendefinisikan tujuan pengendalian manajemen untuk
dipertimbangkan.

COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses,

kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran
pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa
(primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi
informasi yang mana.
1. Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut :
a. Merencanakan dan mengorganisasikan,
b. Memperoleh dan mengimplementasikan,
c. Melaksanakan dan mendukung,
d. Memonitor dan mengevaluasi.

2. Proses yang berjumlah 34, terdiri dari PO1 sampai PO10 (indikator Plan
dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1
sampai DS13 (indikator Direct dan Support), serta ME1 sampai ME4
(indikator Monitor dan Evaluate).

3. Kriteria informasi, yang meliputi tujuh hal berikut ini :

COBIT menetapkan standar penilaian terhadap sumber daya teknologi
informasi dengan kriteria sebagai berikut:
a. Efektivitas : untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis seperti penyampaian informasi
dengan benar, konsisten, dapat dipercaya dan tepat waktu.
b. Efisiensi : memfokuskan pada ketentuan informasi melalui
pengunaan sumber daya yang optimal.
c. Kerahasiaan : memfokuskan proteksi terhadap informasi yang
penting dari yang tidak memiliki otorisasi.
d. Integritas : berhubungan dengan keakuratan dan kelengkapan
informasi sebagai kebenaran yang sesuai dengan harapan dan nilai
bisnis.
e. Ketersediaan : berhubungan dengan informasi yang tersedian ketika
diperlukan dalam proses bisnis sekarang dan yang akan datang.
f. Kepatuhan : sesuai menurut hukum, peraturan, dan rencana
perjanjian untuk proses bisnis.
g. Keakuratan informasi : berhubungan dengan ketentuan kecocokan
informasi untuk manajemen mengoperasikan entitas dan mengatur
pelatihan dan kelengkapan laporan pertanggungjawaban.
 4. Sumber daya teknologi informasi,meliputi : Sistem aplikasi, Informasi,
Infrastruktur, dan Personil.

2.5 COBIT Maturity Model

COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa

pengelolaan IT pada suatu organisasi dengan menggunakan maturity
models yang bisa digunakan untuk penilaian kesadaran pengelolaan
(management awareness) dan tingkat kematangan (maturity level). COBIT
mempunyai model kematangan (maturity models) untuk mengontrol
proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga
suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala
nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non
Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized
(Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).

Model kematangan (maturity models) tersebut seperti terlihat dalam

Gambar berikut:

Gambar Maturity Model (Sumber: IT Governance Institute, 2007)

2.6 COBIT 5
2.6.1 COBIT 5 – Product Family – The Overarching Framework Product

2.6.2 COBIT 5 – Value Creation (Nilai Penciptaan)

a. Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola
dan menejemen yang baik dari aset-aset informasi dan teknologi,
termasuk pengaturan pengamanan informasi.
b. Kebutuhan para penegak hukum, pembuat peraturan dan pembuat
kontrak yang diluar perusahaan (hukum luar, peraturan dan kontrak
kepatuhan) berhubungan dengan penggunaan informasi dan teknologi
yang semakin meningkat diperusaahaan, menjadi ancaman jika terjadi
kebocoran.
c. COBIT 5 menyediakan kerangka kerja yang lengkap (kerangka
komprehensif) yang membantu perusahaan untuk mencapai target
mereka dan memberikan nilai melalui tata kelola dan menejemen
perusahaan yang baik dibidang IT – menyediakan dasar yang kuat untuk
pengaturan keamanan informasi.
2.6.3 COBIT 5 – Framework (Kerangka Kerja)
a. Seperti yang telah dijelaskan, COBIT 5 membantu perusahaan untuk
menciptakan nilai IT yang optimal dengan menjaga keseimbangan
antara mewujudkan manfaat dan mengoptimalisasi tingkat resiko dan
sumber yang digunakan.
b. COBIT memungkinkan informasi dan teknologi yang berhubungan
untuk dikelolah dan diatur dengan cara yang menyeluruh pada setiap
bagian perusahaan, mengambil peran penuh pada bisnis dan area
 fungsional dari tanggung jawab perusahaan, dengan
mempertimbangkan bahwa IT berhubungan dengan stakeholders
yang berasal dari internal dan eksternal perusahaan.
c. COBIT 5 – Principle dan Enablers adalah umum dan bermanfaat untuk
semua ukuran perusahaan, baik itu komersial ataupun tidak, atau
untuk penyedia layanan publik.

COBIT 5 – Principle dan Enabler

Kerangka kerja ini membahas bisnis maupun IT bidang fungsional disuatu
perusahaan dan mempertimbangkan TI terkait kepentingan stakeholder internal
& eksternal. Berdasarkan 5 prinsip COBIT 5 didasarkan pada lima prinsip kunci
untuk tata kelola dan manajemen perusahaan TI:

a. Prinsip 1: pertemuan pemangku kepentingan kebutuhan

b. Prnsip 2: meliputi Enterprise end-to-end
c. Prinsip 3: menerapkan kerangka, single terpadu
d. Prinsip 4: mengaktifkan pendekatan kebutuhan
e. Prinsip 5: tata pemisahan dari manajemen
Dan kerangka COBIT 5 juga menjelaskan 7 kategori enabler:
a. Prinsip kebijakan dan kerangka kerja adalah cara untuk menerjemahkan
perilaku yang diinginkan menjadi panduan praktis manajemen.
b. Proses menggambarkan aturan praktekterorganisir dan kegiatan untuk
mencapai tujuan tertentu dan menghasilkan output dalam mendukung
pencapaian keseluruhan TI tujuan yang terkait.
c. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam
suatu perusahaan.
 d. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering
diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.
e. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan
teratur, tetapi pada tingkat operasional, informasi adalah hal utama dari
perusahaan itu sendiri.
f. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan
aplikasi yang menyediakan perusahaan dengan pengelolaan informasi
teknologi dan jasa.
g. Orang-orang (SDM), keterampilan, dan kompetensi yang diperlukan
untuk keberhasilan menyelesaikan semua kegiatan, dan untuk membuat
keputusan yang benar dan mengambil tindakan korektif.

Tata kelola dan manajemen, Governance memastikan bahwa tujuan

perusahaan yang dicapai dengan cara mengevaluasi kebutuhan pemangku
kepentingan, kondisi dan pilihan, menetapkan arah melalui prioritas dan
pengambilan keputusan, dan pemantauan kinerja, kepatuhan dan kemajuan
terhadap setuju pada arah dan tujuan (EDM). Rencana manajemen, membangun,
berjalan dan kegiatan monitor sejalan dengan arah yang ditetapkan oleh badan
pemerintahan untuk mencapai tujuan perusahaan (PBRM). Dalam ringkasan
COBIT 5 menyatukan lima prinsip yang memungkinkan perusahaan untuk
membangun pemerintahan yang efektif dan kerangka kerja manajemen
berdasarkan holistik, tujuh enabler yang mengoptimalkan informasi dan investasi
teknologi dan penggunaan kepentingan stakeholder. Penggunaan COBIT 5 untuk
keamanan informasi dapat membantu perusahaan dari semua sisi:
a. Mengurangi kompleksitas dan meningkatkan efektifitas biaya.
b. Meningkatkan kepuasan pengguna dengan pengaturan keamanan
informasi dan hasil.
c. Meningkatkan integrasi keamanan informasi.
d. Memberikan informasi keputusan resiko dan risk awareness.
e. Mengurangi insiden keamanan informasi.
f. Meningkatkan dukungan untuk inovasi dan daya saing.
 COBIT 5 – Enabling Prosesses
Governance and Management
a. Tata kelola (governance) memanstikan bahwa tujuan perusahaan dapat
dicapai dengan melakukan evaluasi (evaluating) terhadap kebutuhan,
kondisi dan pilihan stakeholder; menetapkan arah (direction) melalui
skala prioritas dan pengambilan kepeutusan; dan pengawasan
(monitoring) pada saat pelaksanaan, penyesuaian dan kemajuan
terhadap arah dan tujuan yang telah disetujui (EDM).
b. Management plans, builds, runs and mionitors (PBMR) aktifitas-aktifitas
yang selaras dengan arah yang telah ditentukan oleh badan
pemerintahan untuk mencapai tujuan perusahaan.
2.6.4 COBIT 5 – Integrates Earlier ISACA Frameworks
COBIT 5 telah memperjelas proses menejemen tiap tingkatan dan
menggabungkan isi dari COBIT 4.1, Val IT dan Risk IT menjadi satu model
proses.

2.6.5 COBIT 5 – Integrates BMIS Components Too

COBIT 5 juga telah menyertakan model pendekatan yang menyeluruh,
berhubungan atar tiap komponen dari cara kerja Business Model for
Information Security (BMIS) dan menggabungkannya kedalam komponen
kerangka kerja.

Perkenalan tentang BMIS (Business Model for Information Security)

a. Sebuah pendekatan yang menyeluruh dan business-oriented untuk
mengatur keamanan informasi (information security), dan sebuah istilah
yang umum untuk keamanan informasi serta menejemen bisnis yang
berbicara tentang menejemen bisnis yang berbicara tentang
perlindungan informasi (Information Protection).
 b. BMIS menantang pemikiran yang tradisional dan memungkinkan kita
untuk melakukan evaluasi ulang secara kretif terhadap investasi yang
dilakukan pada keamanan informasi.
c. BMIS menyediakan penjelasan secara mendalam untuk keseluruhan
model bisnis yang memeriksa masalah keamanan dari sudut pandang
sistem.
2.6.6 COBIT 5 – Integrates BMIS Components
a. Beberapa dari komponen BMIS saat ini telah terintegrasi kedalam COBIT 5
sebagai pendorong (interacting enablers) yang mendukung perusahaan
untuk mencapai tujuan bisnisnya dan menciptakan stakeholder value : a.
Organisasi, b. Orang, c. Budaya, d. Teknologi, e. Faktor manusia.
b. Komponen BMIS yang lain sebenarnya berhubungan dengan aspek yang
lebih besar pada kerangka COBIT 5 :
a. Govering – Dimensi dari aktifitas tata kelola (evaluate, direct, monitor-
ISO/IEC 38500) ditujukkan pada tingkatan perusahaan dalam kerangka
kerja COBIT 5.
b. Architecture – (termasuk proses model) – COBIT 5 mencakup kebutuhan
yang ditujukan untuk aspek arsitektur perusahaan yang menghubungkan
organisasi dengan teknologi secara efektif.
c. Emergence – Sifat yang menyeluruh dn terpadu dari pendukung COBIT 5
mendukung perusahaan untuk beradaptasi dengan perusahaan yang
terjadi pada kebutuhan stakeholder dan enabler capabilities sesuai
kebutuhan.
2.6.7 COBIT 5 – Implementasi
a. Perkembangan dari the Governance of Enterprise IT (GEIT) secara luas
diakui oleh top menejemen sebagai bagian penting dari tata kelola
perusahaan.
b. Informasi dn kegunaan dari teknologi informasi terus berkembang
menjadi bagian dari setiap aspek bisnis dan kehidupan.
c. Kebutuhan untuk menggunakan lebih banyak manfaat dari investasi IT
dan mengelola berbagai peningkatan resiko yang terkait dengan IT,
termasuk resiko keamanan.
d. Meningkatnya peraturan dan perundangan pada penggunaan dan
keamanan informasi bisnis juga menyebabkan meningkatnya
kewaspadaan terhadap pentingnya penggunaan tata kelola yang baik
(well-governed), pengaturan dan pengamanan penggunaan IT.
e. ISACA telah mengembangkan kerangka kerja COBIT 5 untuk membantu
perusahaan menggunakan pembangkit tata kelola yang sehat (sound
governance enablers).
f. Menerapkan GEIT yang baik hampir tidak mungkin tanpa melibatkan
kerangka kerja tata kelola yang efektif. Praktik terbaik dan standart juga
tersedia untuk mendukung COBIT 5.
g. Bagaimanapun juga, kerangka kerja, praktik terbaik dan standr hanya
berguna jika digunakan dan disesuaikan secara efektif. Tedapat banyak
tantangan yang ditemui dan masalah yang harus ditangani berhubungan
hal tersebut jika ingin GEIT dapat diimplementasikan dengan sukses.
h. Penerapan COBIT 5 mencangkup :
 Penentuan posisi GEIT pada perusahaan.
 Mengambil langkah pertama menuju perbaikan GEIT.
 Pelaksanaan tantangan dan faktor keberhasilan.
 Memungkinkan GEIT yang terkait dengan perubahan dan perilaku
organisasi.
 Menerapkan perbaikan yang berkelanjutan yang mencangkup
pemberdayaan perubahan dan menejemen program.
 Menggunakan COBIT 5 dan komponen-komponennya.

COBIT 5 Implementation
2.6.8 COBIT 5 – Produk Keluarga – Includes an Information Security Member

COBIT 5 and Information Security

COBIT 5 menangani tentang keamanan informasi terutama :

a. Fokus pada sistem manajemen keamanan informasi (ISMS) dalam
menyelaraskan, merencanakan dan mengatur (APO) domain manajemen,
APO 13 mengelola keamanan, menetapkan keunggulan keamanan
informasi dalam kerangka proses COBIT 5.
b. Proses ini menyoroti kebutuhan untuk manajemen perusahaan untuk
merencanakan dan membangun ISMS yang sesuai untuk mendukung
prinsip-prinsip tata kelola informasi keamanan dan keamanan-dampak
tujuan bisnis yang dihasilkan dari domain, mengevaluasi dan monitor
langsung (EDM) pemerintahan.
c. COBIT 5 untuk keamanan informasi akan menjadi pandangan diperpanjang
dari COBIT 5 yang menjelaskan setiap komponen COBIT 5 dari perspektif
keamanan informasi.
d. Nilai tambah bagi konstituen keamanan informasi akan diciptakan melalui
penjelasan tambahan, aktivitas, proses dan rekomendasi.
e. Ini COBIT 5 untuk tata kelola keamanan informasi dan manajemen yang
akan memberikan profesional keamanan pedoman yang rinci untuk
menggunakan COBIT 5 karena mereka menetapkan, menerapkan dan
 memelihara keamanan informasi dalam kebijakan bisnis, proses dan
struktur dari sebuah perusahaan.

2.7 IT IL ( Information Technology Infrastructure Library)

IT Infrastructure Library (ITIL) merupakan sebuah framework yang
memberikan panduan (guidance) mengenai pengelolaan IT berbasis
layanan yang telah banyak diadopsi oleh berbagai organisasi dan
perusahaan diberbagai industri dan sektor. Apabila ITIL diterapkan secara
tepat, maka akan memberikan manfaat yang optimal dalam memudahkan
pengelolaan layanan IT, meningkatkan kualitas layanan IT, bahkan sampai
membuahkan kepuasan pengguna layanan IT.

ITIL juga diartikan sebagai best practice dari Service Management IT dan
menjadi pilihan terpopuler saat ini sebagai framework analyst business
seorang/sebuah client untuk defining roadmap bisnis dan infrastruktur IT
yang konsisten dan komprehensif, agar bisnis perusahaan (business
plan/strategy) sejalan dengan IT dan infrastruktur-nya. Sehingga
kedepannya dapat mencapai kualitas dukungan layanan IT yang terkelola.

ITIL mencakup delapan kumpulan yaitu: 1. Service Support, 2. Service

Delivery, 3. Planning to Implement Service Management, 4. ICT
Infrastructure Management, 5. Application Management, 6. Business
Perspective, 7. Security Management, 8. Software Asset Management. Tiga
diantaranya, yaitu Service Support, Service Delivery, dan Security
Management merupakan area utama, yang disebut juga IT Service
Management (ITSM).

Pada dasarnya, kerangka kerja ITIL bertujuan secara kelanjutan

meningkatkan efisiensi operasional TI dan kualitas layanan pelanggan.
Kerangka kerja yang diberikan belum memberikan panduan pengelolaan TI
yang memenuhi kebutuhan ditingkat yang lebih tinggi (high level objective)
di perusahaan sepert COBIT yang dibahas sebelumnya.
2.8 ISO/IEC 17799
ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang
dikembangkan oleh The International Organization for Standardization (ISO)
dan The International Electronical Commission (IEC). ISO/IEC 17799 adalah
panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk
memastikan keaman informasi perusahaan.

ISO IEC 17799 bertujuan memperkuat tiga elemen dasar keamanan

informasi , yaitu: Confidentiality, Integrity, Availability. ISO IEC 17799
disajikan dalam entuk panduan dan rekomendasi yang terdiri dari 36 security
objectives dan 127 security controls yang dikelompokkan kedalam 10
domain keamanan informasi. Berikut 10 domain keamanan informasi ISO IEC
17799, yaitu Security Policy, Organizational Security, Asset Classification And
Control, Personel Security, Physical And Environmental Security,
Communications And Operation Management, Access Control, Syestem
Development And Maintenance, Business Continuity Management,
Compliance.

BAB III
 STUDY KASUS
EVALUASI TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA
KERJA COBIT DALAM MENDUKUNG LAYANAN SISTEM INFORMASI AKADEMIK
STUDI KASUS : UNIVERSITAS BUDI LUHUR
3.1 Analisis Kondisi Tata Kelola TI Sistem Informasi Akademik Universitas
Budi Luhur
Untuk mengetahui kondisi tata kelola TI sistem informasi akademik
Universitas Budi Luhur dilakukan tiga tahap analisis yaitupertama
melakukan analisis kedudukan fungsi TI di Universitas Budi Luhur
kemudian dilanjutkan dengan melakukan analisis kondisi saat ini tata
kelola TI sistem informasi akademik Universitas Budi Luhur dan diakhiri
dengan analisis tingkat kematangan tata kelola TI sistem informasi
akademik Universitas Budi Luhur menggunakan kerangka kerja COBIT
khususnya domain penyampaian & dukungan (deliver & support) dan
domain pengawasan dan evaluasi (monitor and evaluate).

3.1.1 Analisis Kedudukan Fungsi TI

Fungsi TI Universitas Budi Luhurberada pada Biro Sistem Informasi
(BSI) yang dalam struktur organisasi keberadaannya di bawah Deputi
Bidang Penjaminan Mutu. BSI mempunyai wewenang untuk
menyediakan hal-hal yang berkaitan dalam pelayanan sistem informasi
untuk mendukung kegiatan di lingkungan Universitas Budi Luhur
termasuk di dalamnya sistem informasi akademik. Sedangkan
tanggung jawab BSI antara lain adalah :
3.1.2. Analisis Kondisi Tata Kelola TI Saat Ini
Kondisi kemampuan tata kelola TI saat ini dari sistem informasi
akademik Universitas Budi Luhur dapat diidentifikasi melalui analisis
tingkat kematangan yang mengacu pada tingkat kematangan COBIT
khususnya domain penyampaian & dukungan dan domain pengawasan
dan evaluasi. COBIT memiliki 6 tingkat kematangan TI, seperti tertera
pada Tabel 1 di bawah ini :
 Tabel 1. Tingkat Kematangan COBIT
Tingkat Nilai
Keterangan
Kematangan Kematangan
0,00 - 0,50 Proses pengelolaan tidak
0-Non- Existent
diterapkan
Proses pengelolaan dilakukan
1-Initial/Ad Hoc 0,51 - 1,50 secara tidak berkala dan tidak
terorganisir
2- Repeatable
1,51 - 2,50 Proses dilakukan secara berulang
but Intuitive
Proses telah terdokumentasi dan
3- dikomunikasikan, pengawasan
2,51 - 3,50
Defined dan pelaporan tidak dilakukan
Process secara
berkala
4-Managed
And
3,51 - 4,50 Proses terawasi dan terukur
Measurabl
e
5-Optimised Best practice telah diterapkan
4,51 - 5,00
dalam proses pengelolaan

Setelah dilakukan penghitungan tingkat kematangan, dari 13 proses yang

terdapat pada domain penyampaian dan dukungan (deliver and support),
10 proses (77%) diantaranya mempunyai tingkat kematangan saat ini pada
tingkat 2-repeatable but intuitive dan sisanya sebanyak 3 proses (33%)
mempunyai tingkat kematangan saat ini pada tingkat 3-defined process
terdapat pada tabel di bawah ini :
 Tabel 2. Tingkat Kematangan saat ini Domain DS
Kematangan Saat Ini
Proses
Nilai Tingkat
DS1: Mendefinisikan dan 2- Repeatable
2,479
mengelola tingkat layanan but Intuitive
DS2:Mengelola pelayanan dari 2- Repeatable
2,236
pihak ketiga but Intuitive
DS3:Mengatur Kinerja dan 3-Defined
2,643
Kapasitas Process
DS4: Menjamin Keberlangsungan 2- Repeatable
2,285
Pelayanan but Intuitive
2- Repeatable
DS5: Menjamin Keamanan Sistem 2,18
but Intuitive
DS6: Mengidentifikasi dan 2- Repeatable
2,486
mengalokasikan biaya but Intuitive
DS7: Memberikan pendidikan dan 2- Repeatable
2,133
pelatihan pada pengguna but Intuitive
DS8: Mengelola service desk dan 2- Repeatable
2,138
insiden but Intuitive
2- Repeatable
DS9: Mengatur konfigurasi 2,298
but Intuitive
2- Repeatable
DS10:Mengatur Permasalahan 1,916
but Intuitive
3-Defined
DS11: Mengatur Data 2,61
Process
2- Repeatable
DS12: Mengatur Lingkungan Fisik 2,433
but Intuitive
3-Defined
DS13: Mengatur Operasional 2,788
Process
2- Repeatable
Rata-Rata 2,355
but Intuitive
Sedangkan dari 3 proses yang terdapat pada domain pengawasan dan
evaluasi (monitor and evaluate) terdapat 3 proses (75%) diantaranya
mempunyai tingkat kematangan saat ini pada tingkat 2-repeatable but
intuitive dan sisanya sebanyak 1 proses (25%) mempunyai tingkat
kematangan saat ini pada tingkat 3-defined process terdapat pada Tabel 3
di bawah ini :

Tabel 3. Tingkat Kematangan saat ini dalam domain ME

Kematangan Saat Ini
Proses
Nilai Tingkat
ME1: Mengawasi dan 2,55 3-Defined
mengevaluasi kinerja TI Process
ME2: Mengawasi dan 2,42 2-
mengevaluasi kontrol Repeatable
internal but Intuitive
ME3: Menjamin kepatuhan 2,29 2- Repeatable
hukum but Intuitive
ME4: Menyediakan Tata Kelola TI 2,19 2- Repeatable
but Intuitive
Rata-Rata 2,36 2-
Repeatable
but
Intuitive

Secara umum kondisi tata kelola TI saat ini pada sistem informasi
akademik Universitas Budi Luhur khususnya domainpenyampaian dan
dukungan (deliver and support) dan domain pengawasan danevaluasi
(monitor and evaluate) masih pada tingkat 2-repeatable but intuitive
seperti yang disajikan pada Tabel IV-4 di bawah ini. Hal ini berarti
proses- proses TI yang mendukung sistem informasi akademik
Universitas Budi Luhur telah berkembang untuk memberikan layanan
yang optimal, dimana prosedur-prosedur yang sama telah dilakukan
oleh orang yang berbeda. Namun di dalamnya belum ada komunikasi
atau pelatihan
 formal terhadap prosedur standar dan tanggungjawab diserahkan
kepada individu. Selain itu juga masih terdapat kepercayaan yang tinggi
pada kemampuan individu, sehingga kesalahan sangat mungkin terjadi.

3.1.3. Analisis Tingkat Kematangan Proses TI

Target/harapan kematangan proses TI adalah kondisi ideal tingkat
kematangan proses yang diharapkan, yang akan menjadi acuan dalam
model tata kelola TI sistem informasi akademik Universitas Budi Luhur
yang akan dikembangkan. Target/harapan kematangan proses TI dapat
ditentukancdengan melihat lingkungan internal bisnis Universitas Budi
Luhur seperti visi dan misi, tujuan universitas maka dapat ditetapkan
bahwa untuk dapat mendukung pencapaian tujuan Universitas Budi
Luhur setidaknyatingkat kematangan yang dilakukan harus ada pada
tingkat 3 (defined process).
Berdasarkan hasil wawancara dan hasil temuan yang berupa
pendapat / opini dari para responden didapatkan hasil pengukuran
tingkat kematangan prosesprosesdalam domain penyampaian &
dukungan (deliver & support) yang ditunjukkan pada Tabel 4 berikut ini :
Tabel 4. Gap Tingkat Kematangan Domain DS
Tingkat kematangan
Proses harap
Saat ini Gap
an
DS1: Mendefinisikan dan mengelola
2,479 3 0,521
tingkat layanan
DS2: Mengelola pelayanan dari pihak
2,236 3 0,764
ketiga
DS3: Mengatur Kinerja dan Kapasitas 2,643 3 0,357
DS4: Menjamin Keberlangsungan
2,285 3 0,715
Pelayanan
DS5: Menjamin Keamanan Sistem 2,18 3 0,82
DS6: Mengidentifikasi dan
2,486 3 0,514
mengalokasikan biaya
 DS7: Memberikan pendidikan dan
2,133 3 0,867
pelatihan pada pengguna
DS8: Mengelola service desk dan
2,138 3 0,862
insiden
DS9: Mengatur konfigurasi 2,298 3 0,702
DS10: Mengatur Permasalahan 1,916 3 1,084
DS11: Mengatur Data 2,61 3 0,39
DS12: Mengatur Lingkungan Fisik 2,433 3 0,567
DS13: Mengatur Operasional 2,788 3 0,222
Rata-Rata 2,355 3 0,645

Tingkat kematangan proses-proses dalam domain penyampaian &

dukungan (deliver & support) dapat digambarkan dalam diagram laba-laba
yang ditunjukkan pada Gambar 4 berikut ini :

Gambar 5. Diagram Laba-Laba Gap Tingkat Kematangan Domain DS

Sedangkan pendapat/opini dari para responden didapatkan hasil
pengukuran tingkat kematangan proses-proses dalam domain pengawasan
dan evaluasi (monitor and evaluate) ditunjukkan pada Tabel 5 berikut ini :

Tabel 5. Gap Tingkat Kematangan Domain ME

 Tinkat kematangan
Proses Harapa
Saat ini Gap
n
ME1: Mengawasi dan mengevaluasi
2,55 3 0,452
kinerja TI
ME2: Mengawasi dan mengevaluasi
2,42 3 0,578
kontrol internal
ME3: Menjamin kepatuhan hukum 2,29 3 0,715
ME4: Menyediakan Tata Kelola TI 2,19 3 0,806
Rata-Rata 2,36 3 0,806

Tingkat kematangan proses-proses dalam domain pengawasan dan

evaluasi (monitor and evaluate) dapat digambarkan dalam diagram laba-
laba yang ditunjukkan pada Gambar 5 berikut ini :

Gambar 5. Diagram Laba-Laba Gap Tingkat Kematangan Domain ME

3.1.4. Langkah-Langkah Untuk Mengatasi Gap Kematangan Proses TI

Langkah-langkah untuk mengatasi perbedaan (gap) tingkat
kematangan merupakan tindakan-tindakan yang perlu dilakukan pada
setiap proses TI di Univeritas Budi Luhur yang memiliki tingkat
kematangan saat ini (current maturity level) di bawah tingkat
kematangan yang diharapkan (expected maturity level) yaitu proses
Langkah-langkah perbaikan tata kelola TI sistem informasi akademik
Universitas Budi Luhur diarahkan menuju tingkat kematangan 3-defined
process yang dilakukan pada proses-proses yang mempunyai nilai
tingkat kematangan saat ini lebih kecil daripada tingkat kematangan
yang diharapkan, yaitu proses TI
 selain DS3, DS11, DS13 dan ME1 dengan membuat prosedur sudah
standar, mendokumentasikan dan mengkomunikasikan melalui
pelatihan. Tetapi pelaksanaannya diserahkan pada individu untuk
mengikuti proses tersebut, sehingga penyimpangan tidak mungkin akan
diketahui. Prosedurnya belum sempurna, namun sekedar formalitas atas
praktek yang ada.

Berikut ini adalah langkah-langkah dapat dilakukan untuk mengatasi

gap tingkat kematangan pada proses-proses tata kelola TI Univeritas
Budi Luhur melalui kegiatan- kegiatan:

a). DS10:Mengatur permasalahan

Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang
harus dilakukan adalah :
1) Pemenuhan terhadap kebutuhan bisnis dengan menjamin kepuasan
end user melalui pemberian layanan dan level layanan, mengurangi
penyelesaian dan penyampaian.
2) Memfokuskan pada merekam, melacak dan menyelesaikan masalah
operasional, menyelidiki akar masalah bagi semua permasalahan
yang ada, dan mendefinisikan penyelesaian bagi identifikasi masalah
pengoperasian.
3) Hal tersebut dapat dicapai dengan :
a. Melaksanakan analisa akar masalah untuk pelaporan
b. Menganalisa trend
c. Mengambil alih masalah dan perkembangan penyeleasian masalah
4) Indikator keberhasilannya diukur melalui :
a. Jumlah masalah yang berakibat pada bisnis
b. Persentase jumlah masalah yang terselesaikan dalam waktu yang
telah ditetapkan
c. Frekuensi laporan atau update masalah secara terus menerus,
yang didasarkan pada masalah terberat
5) Aktifitas yang perlu dilakukan dengan :
a. Manajemen memberikan dukungan
 b. dalam bentuk penyediaan anggaran bagi staf dan pelatihan.
c. Melakukan standarisasi penyelesaian masalah dan proses
peningkatannya.
d. Membuat tim untuk mencatat dan penelusuran masalah serta
penyelesaiannya, menggunakan alat yang ada tanpa sentralisasi.
e. Menyebarluaskan informasi di antara staf secara proaktif dan
bersifat formal
f. Manajemen meninjau insiden dan menganalisa identifikasi
permasalahan, serta pemecahannya.

b). ME4:Menyediakan tata kelola TI

Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang

harus dilakukan adalah :
1) Pemenuhan terhadap kebutuhan bisnisdengan mengintegrasikan tata
kelola IT dan tata kelola perusahaan dan melengkapinya dengan
hukum dan peraturan.
2) Memfokuskan pada penyiapkan laporan stratergi IT, kemampuan dan
resiko serta merespon kebutuhan tata kelola yang sesuai dengan
arahan
3) Hal tersebut dapat dicapai dengan :
a. Menetapkan sebuah kerangka kerja IT yang terintegrasi dengan
tata kelola perusahaan
b. Mendapatkan kepastian yang independen atas status tata kelola
4) Indikator keberhasilannya diukur melalui :
a. Banyaknya laporan IT dibuat untuk stakeholders (termasuk tingkat
kematangan)
b. Banyaknya laporan IT kepada atasan (termasuk tingkat
kematangan)
c. Banyaknya kajian independen terhadap pemenuhan IT
5) Aktifitas yang perlu dilakukan dengan :
a. Manajemen audit mengidentifikasi dan memahami inisiatif dan
lingkungan TI.
 b. Manajemen TI melakukan audit independen.
c. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan
dilanjutkan dengan memberikan kebebasan dan otoritas dari
fungsi audit.
d. Merencanakan dan mengelola audit
e. Menetapkan staf audit mematuhi standar audit.
f. Membuat rencana penggunaan perangkat standar untuk
melakukan otomasi dalam melakukan audit independen.
g. Menetapkan tanggungjawab untuk melakukan audit independen
serta permasalahan yang terjadi dikendalikan oleh pihak yang
bertanggung jawab.
h. Melakukan resolusi atas komentar audit.
i. Melakukan penjaminan kualitas dilakukan untuk memastikan
bahwa pelaksanaan telah sesuai dengan standar audit yang dapat
diterapkan dan untuk meningkatkan efektivitas dari aktivitas
fungsi audit.

3.2. Implikasi Penelitian

Implikasi penelitian ini dapat ditinjau dari tiga sudut pandang yang
meliputi :
3.2.1 Aspek Manajerial
a. Ditetapkan suatu kerangka manajemen mutu layanan (yang
meliputi prosesproses kebutuhan layanan, ketetapan layanan,
rencana mutu layanan, rencana mutu beroperasi dan membiayai
sumber daya) antara customer dan provider service sistem
akademik Universitas Budi Luhur.
b. Dibuat mekanisme sistem keamanan yang mampu menjamin mutu
keamanan baik pengguna, data, informasi, infrastruktur dan
jaringan pada sistem informasi akademik Universitas Budi Luhur.
c. Dilakukan pelatihan dan pendidikan secara berkala (minimal sekali
dalam setahun) dengan memperhatikan strategi dan kebutuhan
 bisnis saat ini dan masa datang serta kemampuan dan kebutuhan
saat ini.
d. Dibuat mekanisme untuk menetapkan, menerapkan, dan
memelihara prosedur standar bagi operasi TI dan memastikan
berjalan sesuai dengan tugasnya masingmasing.
e. Dibuat mekanisme pengawasan dan penilaian kinerja TI pada sistem
informasi akademik Universitas Budi Luhur.
f. Dibuat suatu kerangka pengelolaan TI mencakup kepemimpinan,
peran dan tanggung jawab, kebutuhan informasi, dan struktur
organisasi untuk memastikan bahwa program investasi TI enterprise
dijalankan bersama dan disampikan pada sasaran dan strategi
enterprise.

3.2.2Aspek Sistem
a. Dibuat sistem pengawasan terhadap kinerja mutu layanan,
kerjasama dengan pihak ketiga, sumber daya TI sistem informasi
akademik Universitas Budi Luhur.
b. Dibuat sistem pembiayaan TI tepat yang disesuaikan dengan jenis
layanan pada sistem informasi akademik Universitas Budi Luhur.
c. Dibuat sistem pengelolaan konfigurasi yang tepat meliputi
hardware, aplikasi software, middleware, dokumentasi, tools dan
prosedur- prosedur bagi pengoperasian, pengaksesan, dan
penggunaan layanan dan sistem.

3.2.3. Penelitian Lanjutan

a. Dilakukan penelitian tentang kinerja mutu layanan, kerjasama
dengan pihak ketiga, sumber daya TI sistem informasi akademik
Universitas BudiLuhur.
b. Dilakukan penelitian tentang efektifitas kinerja TI pada sistem
informasi akademik Universitas Budi Luhur.

3.3. Kesimpulan
Berdasarkan penelitian yang telah dilakukan, maka dapat diambil
kesimpulan sebagai berikut:
a. Tingkat kematangan tata kelola TI layanan sistem informasi
akademik Universitas Budi Luhur pada domain penyampaian &
dukungan dan pengawasan & evaluasi masih belum memuaskan
karena berada di tingkat 2- repeatable but intuitive, sehingga
hipotesis penelitian diterima.
b. Kondisi saat ini pelaksanaan tata kelola TI pada sistem informasi
akademik Universitas Budi Luhur khususnya proses-proses dalam
domain penyampaian dan dukungan (deliver and support) dan
domain pengawasan dan evaluasi (monitor and evaluate) kecuali
DS3, DS11, DS13 dan ME1 telah berkembang untuk memberikan
layanan yang optimal, dimana prosedur-prosedur yang sama telah
dilakukan oleh orang yang berbeda. Namun di dalamnya belum
adakomunikasi atau pelatihan formal terhadap prosedur standar
dan tanggung jawab masih diserahkan kepada individu. Selain itu
juga masih terdapat kepercayaan yang tinggi terhadap kemampuan
individu, sehingga kesalahan sangat mungkin terjadi.
c. Tingkat kematangan tata kelola TI sistem informasi akademik
Universitas Budi Luhur khususnya proses-proses dalam domain
penyampaian dan dukungan dan domain pengawasan dan evaluasi
masih berada di tingkat 2-repeatable but intuitive kecuali DS3,
DS11, DS13 dan ME1 telah mencapai tingkat 3-defined process
sesuai dengan harapan manajemen.
d. Rekomendasi perbaikan tata kelola TI sistem informasi akademik
Universitas Budi Luhur diarahkan menuju tingkat kematangan 3-
defined process yang dilakukan pada proses-proses yang
mempunyai nilai tingkat kematangan saat ini lebih kecil daripada
tingkat kematangan yang diharapkan, yaitu proses TI selain DS3,
DS11, DS13 dan ME1 dengan membuat prosedur sudah standar,
mendokumentasikan dan mengkomunikasi-kan melalui pelatihan.
Tetapi pelaksanaan-nya diserahkan pada individu untuk mengikuti
proses tersebut, sehingga penyimpangan tidak mungkin akan
diketahui. Prosedurnya belum sempurna, namun sekedar formalitas
atas praktek yang ada.