AUDIT PADA PERUSAHAAN PT.

PERTAMINA PERSERO
DENGAN MENGGUNAKAN COBIT 2019

Erwin Brolin dan Fabian Coenrad Sahusilawane (KELOMPOK 6)

Universitas Bunda Mulia (5PSI51)

s31200064@student.ubm.ac.id, s31200069@student.ubm.ac.id

Abstract

This study aims to determine the effect of information technology and information systems owned by PT.
Pertamina. Information Technology and Information Systems have a very important role for every agency or
company that uses information technology in business activities, as well as a factor in achieving the goals of
The agency or company. Measurement of this maturity level of the information system audit process is carried
out using the COBIT 2019 IT process and then the COBIT Maturity Model is mapped. The research results are
then combined to get the maturity level of the IT process.

Keyword: COBIT Maturity Model, PT.Pertamina,Information System,COBIT 2019

Abstrak

Penelitian ini bertujuan untuk mengetahui pengaruh teknologi informasi dan sistem informasi yang dimiliki oleh
Perusahaan PT.Pertamina.Teknologi Informasi dan Sistem Informasi memiliki peranan yang begitu penting
bagi setiap Instansi atau perusahaan yang memanfaatkan teknologi Informasi pada kegiatan bisnis, serta juga
sebagai faktor dalam mencapai tujuan dari Instansi atau perusahaan tersebut. Pengukuran tingkat kematangan
ini proses audit sistem informasi ini dilakukan dengan menggunakan COBIT 2019 proses TI kemudian
dipetakan COBIT Maturity Model. Hasil penelitian kemudian dipadukan unutk mendapatkan tingkat
kematangan dari proses TI.

Kata kunci: COBIT Maturity Model, PT.Pertamina,Sistem Informasi,COBIT 2019

 BAB I

PENDAHULUAN

1.1 Latar Belakang

Perkembangan dari teknologi informasi (TI) dan komunikasi kini semakin pesat
diberbagai bidang. Hal ini juga dapat dilihat dengan adanya kebutuhan suatu perusahaan
akan penerapan TI yang semakin meningkat guna untuk menunjang keberhasilan aktivitas
dari bisnis dan meningkatkan kemampuan dalam kinerja. Penggunaan dan pemanfaatan TI
sebaiknya berfungsi dalam sebuah penyediaan dan orientasi layanan sehingga perusahaan
atau sebuah instansi dapat menyelaraskan dengan adanya tujuan bisnis. Tata Kelola TI adalah
satu kesatuan dari konsep dasar Corporate Governence melalui peningkatan dari efiseiensi
dan efektivitas dalam proses Instansi yang selalu berhubungan dengan TI.Tata kelola TI
menyediakan sebuah struktur yang menghubungkan proses TI, sumber daya TI dan juga
informasi yang baik, benar, transparan sesuai tuntuan publik dan sesuai standar teknologi
Informasi. Salah satu isu yang sering marak saat ini berkenaan dengan adanya penggunaan TI
adalah banyak organisasi sudah menggunakan TI tetapi belum sadar dengan adanya tata
kelola TI yang sesuai standar untuk yang lebih optimal dan meningkatkan hasil, sekaligus
dalam mengelolanya agar lebih baik untuk menghasilkan tujuan tersebut.
Audit Sistem informasi adalah sebuah bentuk pengawasan atau pengendalian dari
infrastruktur TI secara keseluruhan. Audit Sistem informasi berjalan bersama dengan adanya
audit internal dan audit finansial, atau suatu kegiatan dari evaluasi dan pengawasan yang
sejenisnya. Mulanya ini dikenal dengan audit peroses data elektronik dan untuk saat ini audit
teknologi informasi umumnya adalah proses evaluasi dan pengumpulan dari semua kegiatan
sistem informasi dalam perusahaan atau instansi.
Sistem infomasi yang digunakan atau saat ini berjalan di Perusahaan PT.Pertamina
adalah sistem software yang akan membantu proses operasional dengan menerapkan tertib
administasi pada pompa SPBU yang ketat pencatatan dari data customer,stok minyak,deposit
di Pertamina,kupon customer dan lain-lain.
 Mengingat TI yang ada di PT.Pertamina penting dan membutuhkan sebuah investasi
yang cukup besar dalam pengadaanya jadi perlu adanya suatu pengukuran pengendalian TI
yang dilakukan. Pengelolaan pengendalian TI yang baik dari PT.Pertamina ini dapat juga
bermanfaat dalam upaya peningkatan kinerja dari perusahaan. Pengelolaan dalam
pengendalian TI di perusahaan tersebut perlu adanya pengukuran dari perencanaan teknologi
Informasi yang sudah ada, pengimplementasian dan penyampaian sampai hasil dan dengan
evaluasi atas TI. Salah satu Kerangka atau Framework yang digunakan untuk mengetahui
kinerja TI di PT.Pertamina adalah menggunakan kerangka Control Objective For
Information and Related Technology (COBIT) 2019 yang dikembangkan oleh IT Governance
Institute (ITGI) . Kerangka yang digunakan adalah 2 domain yaitu domain Plan dan OrganiZe
(PO) yang akan memberikan sebuah panduan dan arahan yang akan dilakukan untuk
memberikan suatu solusi layanan dan domain Acquire dan Implement (AI) yang akan
menyediakan dan merubahnya untuk menjadi sebuah layanan yang lebih baik.
Melihat manfaat dari penerapan TI ini untuk terciptanya suatu tata kelola dan Sistem
informasi yang sesuai standar maka akan dilakukan sebuah evaluasi pada PT.Pertamina yang
menggunakan COBIT 2019 pada sub-domain yang sesuai dengan permasalahan dan
kebutuhan PT.Pertamina. Hasil dari pengukuran ini adalah gambaran hasil tata Kelola TI dan
Sistem Informasi saat ini dan hasil rekomendasi yang akan menjadi acuan perbaikan ke
depannya sehingga pada PT.Pertamina menjadi lebih terukur dan lebih baik.

1.2 Rumusan Masalah

Berdasarkan latar belakang yang sudah dijelaskan sebelumnya, kami menemukan

beberapa rumusan masalah dalam penelitian ini, diantaranya:
1. Bagaimana pengaruh domain Plan dan Organize (PO) terhadap nilai maturity level
PT.Pertamina ?
2. Bagaimana pengaruh domain Acquire dan Implement (AI) terhadap nilai maturity
level PT.Pertamina ?
3. Apa saja kegunaan COBIT 2019 ?
4. Mengapa dalam sebuah perusahaan perlu diadakan audit ?
5. Bagaimana cara auditor meng-audit suatu perusahaan ?
6. Langkah-langkah yang harus dilakukan auditor untuk meng-audit PT.Pertamina ?
7. Domain apa saja yang dimiliki oleh framework COBIT 2019 ?
8. Selain framework COBIT 2019,Framework apa saja yang tersedia saat ini ?
1.3 Batasan Masalah
Pembatasan suatu masalah digunakan untuk menghindari adanya penyimpangan
maupun pelebaran pokok masalah agar penelitian tersebut lebih terarah dan memudahkan
dalam pembahasan sehingga tujuan penelitian akan tercapai. Beberapa batasan masalah
dalam penelitian ini adalah sebagai berikut:
1. Pengaruh domain Plan dan Organize (PO) terhadap nilai maturity level PT.Pertamina
2. Pengaruh domain Acquire dan Implement (AI) terhadap nilai maturity level
PT.Pertamina
3. Kegunaan COBIT 2019 sebagai framework untuk meng-audit PT.Pertamina
4. Domain yang dimiliki oleh framework COBIT 2019

1.4 Tujuan Penelitian

Dari latar belakang,rumusan masalah,dan baasan masalah di atas maka penulis dapat
memberitahukan tujuan penelitian sebagai berikut:
1. Untuk mengetahui pengaruh domain Plan dan Organize (PO) terhadap nilai maturity
level PT.Pertamina
2. Untuk mengetahui pengaruh domain Acquire dan Implement (AI) terhadap nilai
maturity level PT.Pertamina
3. Untuk mengetahui kegunaan COBIT 2019 dalam meng-audit PT.Pertamina
4. Untuk mengetahui domain-domain yang dimiliki oleh framework COBIT 2019

1.5 Manfaat Penelitian

Dalam penelitian ini penulis berharap dapat memberikan sumbangan pemikiran
terhadap berbagai pihak yang terkait. Manfaat yang diharapkan adalah:
1. Bagi Penulis
a. Hasil penelitian ini diharapkan dapat memberikan manfaat bagi penulis untuk
menjelaskan tentang pengaruh domain Plan dan Organize (PO) terhadap nilai
maturity PT.Pertamina
b. Hasil penelitian ini diharapkan dapat memberikan manfaat bagi penulis untuk
menjelaskan tentang pengaruh domain Plan dan Organize (PO) terhadap nilai
maturity PT.Pertamina
c. Hasil penelitian ini diharapkan dapat memberikan manfaat bagi penulis untuk
mengetahui kegunaan COBIT 2019 dalam meng-audit PT.Pertamina
d. Hasil penelitian ini diharapkan dapat memberikan manfaat bagi penulis untuk
mengetahui domain-domain yang dimiliki oleh framework COBIT 2019
 e. Diharapkan dapat memberikan manfaat bagi penulis untuk menyelesaikan
UTS Audit Sistem Informasi
2. Bagi Perusahaan
a. Diharapkan dapat memberikan manfaat bagi perusahaan agar PT.Pertamina
dapat mengevaluasi kembali apa yang menjadi kekurangan pada perusahaan
PT.Pertamina
b. Hasil penelitian ini diharapkan dapat memberikan manfaat bagi perusahaan
agar PT.Pertamina dapat memperbaiki sistem operasional perusahaan supaya
lebih efektif dan efisien
c. Hasil penelitian ini diharapkan dapat memberikan manfaat bagi perusahaan
agar PT.Pertamina dapat mencegah dan menemukan fraud yang dilakukan
oleh manajemen perusahaan
3. Bagi Akademis
a. Sebagai media referensi bagi peneliti selanjutnya yang nantinya menggunakan
konsep dan dasar penelitian yang sama, yaitu mengenai audit sistem informasi
dan cara menggunakan COBIT 2019
b. Hasil penelitian ini diharapkan dapat digunakan sebagai sumber pembelajaran
pada materi Audit Sistem Informasi
 BAB 2
LANDASAN TEORI

2.1 Pengertian Audit

Pengertian Audit Menurut A Statement of Basic Auditing Concepts atau yang
disingkat ASOBAC menyatakan, Audit merupakan sebuah proses sistematis untuk
mendapatkan dan mengevaluasi bukti kejadian ekonomi secara objektif mengenai kebijakan
serta aktivitas ekonomi untuk menentukan tingkat kecocokan/kesesuaian antara pernyataan
dengan kriteria yang telah ditetapkan dan menyampaikan hasilnya kepada pihak yang
berkepentingan.
Menurut PSAK (2006) Audit adalah suatu proses sistematis yang secara objektif
memperoleh serta mengevaluasi bukti mengenai asersi tentang aktivitas ekonomi untuk lebih
meyakinkan tingkat keterkaitan hubungan antara asersi atau pernyataan dengan kenyataan
kriteria yang sudah ditetapkan dan menyampaikann hasilnya kepada pihak yang memiliki
kepentingan.
Menurut Sukrisno (2012:2), Audit merupakan salah satu bentuk atestasi. Atestasi,
pengertian umumnya, merupakan suatu komunikasi dari seorang expert mengenai kesimpulan
tentang reliabilitas dari pernyataan seseorang.
Secara umum pengertian di atas dapat diartikan bahwa audit adalah proses sistematis
yang dilakukan oleh orang yang kompeten dan independen dengan mengumpulkan dan
mengevaluasi bahan bukti dan bertujuan memberikan pendapat mengenai kewajaran laporan
keuangan tersebut.

2.2 Audit Sistem Informasi

Menurut Ron Weber (1999,10),Audit sistem informasi adalah suatu upaya
menghimpun dan menilai berbagai bukti agar bisa menentukan apakah suatu sistem komputer
mampu mengamankan data perusahaan, menjaga integritas data, dan juga mendorong
perusahaan dalam mencapai tujuannya secara efektif dan secara efisien menggunakan sumber
daya yang ada.
 Menurut Alvin A. Arens dan James K. Loebbecke,Audit sistem informasi adalah
proses pengumpulan dan juga evaluasi atas berbagai bukti yang ada agar bisa menentukan
derajat kesesuaian antar setiap informasi dan juga kriteria yang sebelumnya sudah ditetapkan.
Itu artinya, pelaksanaan evaluasi di dalamnya dilakukan berdasarkan sejumlah kriteria
tertentu agar bisa menentukan derajat performa yang sudah dicapai.
Secara umum pengertian di atas dapat diartikan bahwa audit sistem informasi adalah
proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah sistem komputer
dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan
organisasi secara efektif dan menggunakan sumberdaya secara efisien. Auditing adalah
sebuah proses sistematis untuk secara obyektif mendapatkan dan mengevaluasi bukti
mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan
tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta
mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari
ketatakelolaan, yaitu :
1. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :
Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan
Compliance (Kepatuhan).
2. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan
untuk memperoleh kesimpulan atas aspek kinerja, yaitu Effectiveness(Efektivitas),
Efficiency (Efisiensi), Reliability (Kehandalan).
Adapun tujuan yang lain adalah :
1. Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik,
keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk
melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah,
kecelakaan, perubahan yang tidak dikehendaki.
2. Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai
dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan.

2.3 Proses Audit

Secara umum,audit adalah pemeriksaan formal atas akun laporan keauangan yang
dihasilkan oleh suatu individu,bisnis,atau organisasi.Dan dalam pelaksanaan Audit,terdapat
serangkaian proses dan langkah-langkah untuk menunjang proses tersebut yang biasa dikenal
sebagai Proses Audit.Ada enam langkah spesifik dalam Proses Audit yang harus diikuti agar
pengauditan berjalan dengan lancar.Berikut ini adalah Proses Audit yang harus diikuti yaitu :
1. Meminta Dokumen yang Dibutuhkan
Setelah mengonfirmasi bahwa Auditor akan mendatangi klien yang akan
diaudit,Auditor akann meminta dokumen-dokumen yang dibutuhkan terkait
kebutuhan Audit.Bahkan biasanya Auditor sudah mengirimkan daftar
dokumen-dokumen yang dibutuhkan terlebih dahulu kepada klien di dalam Audit
Checklist.Dokumen audit tersebut dapat mencakup salinan Laporan Audit
sebelumnya,rekening koran,nota keuangan,dan buku besar.Selain itu,Auditor juga
dapat meminta bagan organisasi klien bersama dengan daftar nama dewan dan komite
terkait.
2. Mempersiapkan Rencana Proses Audit
Auditor akan memeriksa informasi yang terkandung dalam dokumen dan
merencanakan bagaimana Proses Audit akan dilakukan.Setiap Auditor pastinya
memiliki gaya pengauditan yang berbeda-beda dengan tetap mengindahkan Kode Etik
sebagai Auditor.Workshop risiko ddapat dilakukan oleh tim Audit untuk
mengidentifikasi kemungkinan masalah yang akan muncul selama Proses Audit
dilaksanakan.Dan kemudian,Auditor akan menyusun rencana audit sesuai workshop
atau diskusi yang sudah dilakukan oleh tim Audit.
3. Menjadwalkan Rapat Terbuka
Auditor perlu mengundang Manajemen Senior,General Affair,atau Staf Administrasi
Utama dari pihak klien ke suatu Rapat Terbuka.Di dalam Rapat Terbuka,Auditor akan
mempresentasikan Ruang Lingkup Audit,lama waktu pelaksanaan audit,dan masalah
lain yang perlu dibahas terkait pelaksanaan Audit.
4. Mulai Melakukan Kerja Lapangan
Auditor mengambil informasi yang dikumpulkan dari Rapat Terbuka dan
menggunakannya untuk merealisasikan Rencana Audit.Kerja Lapangan kemudian
dilaksanakan dengan berkomunikasi kepada anggota staf dan meninjau Prosedur dan
Proses Audit.Auditor akan menguji kepatuhan klien terkait pencatatan dan pelaporan
keuangan yang sesuai dengan PSAK.Kontrol internal dievaluasi untuk memastikan
bahwa hal tersebut benar-benar dijalankan secara reliabel dan memadai.Auditor dapat
mendiskusikan suatu masalah saat masalah tersebut muncul kepada klien untuk
memberi klien tersebut kesempatan untuk memberikan feedback.
5. Menyusun Laporan
Auditor menyiapkan Laporan Audit yang berisi rincian temuan-temuan audit selama
Proses Audit dilaksanakan.Laporan Audit akan merangkum segala kesalahan
matematis,temuan yang bersifat material dan tidak material,pembayaran yang
diotorisasi tetapi tidak dibayar,dan temuan-temuan lainnya.Auditor kemudian akan
menulis komentar terkait temuan-temuan audit dan merekomendasikan sokusinya
kepada klien.
6. Menyiapkan Rapat Penutupan Proses Audit
Auditor meminta tanggapan dan persetujuan dari klien terkait masalah dan temuan
dalam Laporan Audit pada Rapat Penutupan.Dan Auditor juga tidak lupa untuk
 menjelaskan deskripsi rencana aksi manajemen untuk mengatasi masalah dan temuan
tersebut serta tanggal penyelesaian yang disepakati.Pada Rapat Penutupan,semua
pihak yang terlibat akan mendiskusikan Laporan Audit dan tanggapan manajemen
secara matang.Jika terdapat masalah lain,mereka langsung menyelesaikan dan
mencari solusinya pada Rapat Penutupan

2.4 Framework COBIT 2019

COBIT adalah kerangka kerja untuk tata kelola dan manajemen informasi dan
teknologi perusahaan, yang ditujukan untuk seluruh perusahaan.COBIT mendefinisikan
komponen dan faktor desain untuk membangun dan mempertahankan sistem tata kelola yang
paling sesuai dengan organisasi .Kerangka kerja COBIT 2019 yang diakui secara global
membantu memastikan keefektifan EGIT, memfasilitasi implementasi yang telah disesuaikan
dengan kondisi bisnis, — memperkuat peran berkelanjutan COBIT sebagai pendorong
penting inovasi dan transformasi bisnis.
COBIT 2019 merupakan pembaruan dari versi COBIT sebelumnya, dimana versi
COBIT 2019 merupakan versi penyesuaian perkembangan dengan teknologi terbaru saat ini.
Dalam COBIT 2019 terdapat 40 proses yang dikelompokkan ke dalam 5 dimensi proses yang
terdiri dari Evaluate, Direct and Monitor (EDM); Align, Plan and Organize (APO); Build,
Acquire and Implement (BAI); Deliver, Service and Support (DSS); dan Monitor, Evaluate
and Assess (MEA). Gambaran terkait kelima dimensi proses tersebut ditunjukkan pada
gambar sebagai berikut.
Framework cobit 2019 memiliki 5 domain, yaitu:
1. Evaluate, Direct and Monitor (EDM) .Dalam domain ini governance area
mengevaluasi opsi-opsi strategis, mengarahkan manajemen senior pada opsi-opsi
strategis yang dipilih dan memantau pencapaian strategi.
2. Align, Plan and Organize (APO) membahas keseluruhan organisasi, strategi, dan
kegiatan pendukung untuk IT.
3. Build, Acquire and Implement (BAI) mendefinisikan, mengakuisisi, dan
implementasi solusi IT dan integrasinya dalam proses bisnis.
4. Deliver, Service and Support (DSS) membahas operasional dan dukungan layanan IT,
termasuk keamanan.
5. Monitor, Evaluate and Assess (MEA) membahas pemantauan kinerja dan kesesuaian
IT dengan target kinerja internal, tujuan kontrol internal, dan persyaratan eksternal

2.4.1 Evaluate Direct Monitoring (EDM)

Proses tata kelola ini berfokus dengan tujuan stakeholder untuk melakukan penilaian,
optimalisasi resiko dan sumber daya, meliputi praktik dan kegiatan bertujuan agar
mengevaluasi pilihan strategis, memberikan arahan kepada TI dan hasil dari manfaat
tersebut.EDM memiliki 5 sub domain yaitu
1) EDM01 (Ensure Governance Framework Setting and Maintenance)
Pada sub domain ini,perusahaan diharapkan menganalisis dan mengartikulasikan
persyaratan untuk tata kelola perusahaan I&T. Menerapkan dan memelihara
komponen tata kelola dengan kejelasan wewenang dan tanggung jawab untuk
mencapai misi, tujuan, dan sasaran perusahaan.
2) EDM02 (Ensure Benefit Delivey)
Pada sub domain ini ,perusahaan diharapkan mengoptimalkan nilai bisnis dari
investasi dalam proses bisnis, layanan I&T, dan aset I&T.
3) EDM03 (Ensure Risk Optimisation)
Pada sub domain ini ,perusahaan diharapkan memastikan bahwa selera dan toleransi
risiko perusahaan dipahami, diartikulasikan dan dikomunikasikan, dan risiko terhadap
nilai perusahaan yang terkait dengan penggunaan I&T diidentifikasi dan dikelola.
4) EDM04 (Ensure Resource Optimisation)
 Pada sub domain ini ,perusahaan diharapkan memastikan bahwa sumber daya bisnis
dan I&T yang memadai dan memadai (manusia, proses, dan teknologi) tersedia untuk
mendukung tujuan perusahaan secara efektif dan dengan biaya yang optimal
5) EDM05 (Ensure Stakeholder Transparency).
Pada sub domain ini ,perusahaan diharapkan memastikan bahwa pemangku
kepentingan diidentifikasi dan dilibatkan dalam sistem tata kelola I&T dan bahwa
kinerja I&T perusahaan dan pengukuran dan pelaporan kesesuaian transparan, dengan
pemangku kepentingan menyetujui tujuan dan metrik serta tindakan perbaikan yang
diperlukan.

2.4.2 APO (Align, Plan and Organize)

Pada manfaat dari domain APO yaitu memberikan arahan untuk solusi BAI dan
penyediaan layanan serta dukungan (DSS). Domain APO mencakup strategi serta
mengidentifikasi resiko yang merupakan cara yang tepat bagi TI untuk dapat berkontribusi
pada tujuan bisnis. .APO memiliki 14 sub domain yaitu
1) APO01 (Managed I&T Management Framework)
Pada sub domain ini,perusahaan diharapkan merancang sistem manajemen untuk I&T
perusahaan berdasarkan tujuan perusahaan dan faktor desain lainnya. Berdasarkan
desain ini, implementasikan semua komponen sistem manajemen yang diperlukan.

2) APO02 (Managed Strategy)

 Pada sub domain ini ,perusahaan diharapkan memberikan pandangan holistik tentang
bisnis saat ini dan lingkungan I&T, arah masa depan, dan inisiatif yang diperlukan
untuk bermigrasi ke lingkungan masa depan yang diinginkan. Pastikan bahwa tingkat
digitalisasi yang diinginkan merupakan bagian integral dari arah masa depan dan
strategi I&T. Menilai kematangan digital organisasi saat ini dan mengembangkan peta
jalan untuk menutup kesenjangan. Dengan bisnis, pikirkan kembali operasi internal
serta aktivitas yang dihadapi pelanggan. Pastikan fokus pada perjalanan transformasi
di seluruh organisasi. Memanfaatkan blok bangunan arsitektur perusahaan, komponen
tata kelola, dan ekosistem organisasi, termasuk layanan yang disediakan secara
eksternal dan kemampuan terkait, untuk memungkinkan respons yang andal namun
gesit dan efisien terhadap tujuan strategis.
3) APO03 (Managed Enterprise Architecture)
Pada sub domain ini ,perusahaan diharapkan membangun arsitektur umum yang
terdiri dari proses bisnis, informasi, data, aplikasi dan lapisan arsitektur teknologi.
Buat kunci model dan praktik yang menggambarkan arsitektur dasar dan target,
sejalan dengan strategi perusahaan dan I&T. Tentukan persyaratan untuk taksonomi,
standar, pedoman, prosedur, template dan alat, dan menyediakan hubungan untuk
komponen ini. Meningkatkan keselarasan, meningkatkan kelincahan,meningkatkan
kualitas informasi dan menghasilkan potensi penghematan biaya melalui inisiatif
seperti penggunaan kembali komponen penyusun blok.
4) APO04 (Managed Innovation)
Pada sub domain ini ,perusahaan diharapkan mempertahankan kesadaran akan I&T
dan tren layanan terkait dan pantau tren teknologi yang muncul. Secara proaktif
mengidentifikasi peluang inovasi dan merencanakan bagaimana memanfaatkan
inovasi dalam kaitannya dengan kebutuhan bisnis dan strategi I&T yang ditentukan.
Menganalisis peluang apa untuk inovasi bisnis atau peningkatan dapat diciptakan
dengan munculnya teknologi, layanan, atau inovasi bisnis yang didukung I&T;
melalui teknologi mapan yang ada; dan oleh bisnis dan inovasi proses TI.
Mempengaruhi perencanaan strategis dan keputusan arsitektur perusahaan.
5) APO05 ( Managed Portfolio).
Pada sub domain ini ,perusahaan diharapkan menjalankan arahan strategis yang
ditetapkan untuk investasi sejalan dengan visi arsitektur perusahaan dan peta jalan
I&T. Pertimbangkan kategori yang berbeda investasi dan sumber daya dan kendala
pendanaan. Mengevaluasi, memprioritaskan dan menyeimbangkan program dan
 layanan, mengelola permintaan dalam kendala sumber daya dan pendanaan,
berdasarkan keselarasannya dengan tujuan strategis, nilai perusahaan, dan risiko.
Pindahkan program yang dipilih ke portofolio produk atau layanan yang aktif untuk
dieksekusi. Memantau kinerja keseluruhan portofolio produk dan layanan serta
program,mengusulkan penyesuaian yang diperlukan dalam menanggapi program,
kinerja produk atau layanan atau mengubah prioritas perusahaan.
6) APO06 ( Managed Budget and Costs).
Pada sub domain ini ,perusahaan diharapkan mengelola aktivitas keuangan terkait
I&T baik dalam fungsi bisnis dan TI, yang mencakup anggaran, manajemen biaya dan
manfaat, serta memprioritaskan pengeluaran melalui penggunaan praktik
penganggaran formal dan sistem pengalokasian biaya yang adil dan merata kepada
perusahaan. Konsultasikan dengan pemangku kepentingan untuk mengidentifikasi dan
mengendalikan total biaya dan manfaat dalam konteks rencana strategis dan taktis
I&T. Memulai tindakan korektif jika diperlukan.
7) APO07 ( Managed Human Resources).
Pada sub domain ini ,perusahaan diharapkan memberikan pendekatan terstruktur
untuk memastikan rekrutmen/akuisisi yang optimal, perencanaan, evaluasi dan
pengembangan sumber daya manusia (baik internal dan eksternal).
8) APO08 ( Managed Relationships).
Pada sub domain ini ,perusahaan diharapkan mengelola hubungan dengan pemangku
kepentingan bisnis dengan cara yang formal dan transparan yang memastikan rasa
saling percaya dan fokus gabungan untuk mencapai tujuan strategis dalam batasan
anggaran dan toleransi risiko. Mendasarkan hubungan pada komunikasi yang terbuka
dan transparan, suatu kesamaan bahasa, dan kesediaan untuk mengambil kepemilikan
dan akuntabilitas atas keputusan penting di kedua sisi. Bisnis dan TI harus bekerja
sama untuk menciptakan hasil perusahaan yang sukses dalam mendukung tujuan
perusahaan.
9) APO09 ( Managed Service Agreements).
Pada sub domain ini ,perusahaan diharapkan menyelaraskan produk dan layanan yang
mendukung I&T dan tingkat layanan dengan kebutuhan dan harapan perusahaan,
termasuk identifikasi, spesifikasi, desain,penerbitan, persetujuan, dan pemantauan
produk dan layanan I&T, tingkat layanan, dan indikator kinerja.
10) APO10 ( Managed Vendors).
 Pada sub domain ini ,perusahaan diharapkan mengelola produk dan layanan terkait
I&T yang disediakan oleh semua jenis vendor untuk memenuhi persyaratan
perusahaan. Ini termasuk pencarian dan pemilihan vendor, manajemen hubungan,
manajemen kontrak, dan peninjauan dan pemantauan kinerja vendor dan vendor
ekosistem (termasuk rantai pasokan hulu) untuk efektivitas dan kepatuhan.
11) APO11 ( Managed Quality).
Pada sub domain ini ,perusahaan diharapkan menetapkan dan komunikasikan
persyaratan kualitas dalam semua proses, prosedur, dan hasil perusahaan terkait.
Aktifkan kontrol, pemantauan berkelanjutan,dan penggunaan praktik dan standar yang
telah terbukti dalam upaya peningkatan dan efisiensi yang berkelanjutan.
12) APO12 ( Managed Risk).
Pada sub domain ini ,perusahaan diharapkan terus mengidentifikasi, menilai, dan
mengurangi risiko terkait I&T dalam tingkat toleransi yang ditetapkan oleh
manajemen eksekutif perusahaan.
13) APO13 ( Managed Security).
Pada sub domain ini ,perusahaan diharapkan mendefinisikan, mengoperasikan dan
memantau sistem manajemen keamanan informasi.
14) APO14 ( Managed Data).
Pada sub domain ini ,perusahaan diharapkan mencapai dan mempertahankan
pengelolaan aset data perusahaan yang efektif di seluruh siklus hidup data, mulai dari
pembuatan hingga pengiriman, pemeliharaan dan pengarsipan.

2.4.3 Build, Acquire and Implement (BAI)

Domain BAI memberikan solusi yang tepat sehingga berubah menjadi layanan.
Diperlukan adanya identifikasi dan implementasi yang terstruktur pada proses bisnis dalam
mewujudkan strategi TI. .BAI memiliki 11 sub domain yaitu
1) BAIO01 (Managed Programs)
Pada sub domain ini,perusahaan diharapkan mengelola semua program dari portofolio
investasi sejalan dengan strategi perusahaan dan secara terkoordinasi, berdasarkan
program standar pendekatan manajemen.Memulai, merencanakan, mengontrol, dan
menjalankan program, dan memantau nilai yang diharapkan dari program.
2) BAIO02 ( Managed Requirements Definition)
 Pada sub domain ini ,perusahaan diharapkan mengidentifikasi solusi dan analisis
persyaratan sebelum akuisisi atau pembuatan untuk memastikan bahwa solusi tersebut
selaras dengan persyaratan strategis perusahaan meliputi proses bisnis, aplikasi,
informasi/data, infrastruktur dan layanan. Koordinasikan tinjauan opsi yang layak
dengan yang terkena dampak pemangku kepentingan, termasuk biaya dan manfaat
relatif, analisis risiko, dan persetujuan persyaratan dan solusi yang diusulkan.
3) BAIO03 ( Managed Solutions Identification and Build)
Pada sub domain ini ,perusahaan diharapkan menetapkan dan memelihara produk dan
layanan yang teridentifikasi (teknologi, proses bisnis, dan alur kerja) sesuai dengan
persyaratan perusahaan meliputi desain, pengembangan, pengadaan/sumber dan
bermitra dengan vendor. Kelola konfigurasi, persiapan pengujian, pengujian,
persyaratan pengelolaan dan pemeliharaan proses bisnis, aplikasi, informasi/data,
infrastruktur dan layanan.
4) BAIO04 ( Managed Availability and Capacity)
Pada sub domain ini ,perusahaan diharapkan menyeimbangkan kebutuhan saat ini dan
masa depan untuk ketersediaan, kinerja, dan kapasitas dengan penyediaan layanan
yang hemat biaya. Sertakan penilaian arus kapabilitas, peramalan kebutuhan masa
depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian risiko
untuk merencanakan dan mengimplementasikan tindakan untuk memenuhi
persyaratan yang diidentifikasi.
5) BAIO05 ( Managed Organizational Change).
Pada sub domain ini ,perusahaan diharapkan memaksimalkan kemungkinan
keberhasilan penerapan perubahan organisasi di seluruh perusahaan yang
berkelanjutan dengan cepat dan dengan risiko yang lebih rendah. Tutupi siklus hidup
lengkap perubahan dan semua pemangku kepentingan yang terkena dampak dalam
bisnis dan TI.
6) BAIO06 ( Managed IT Changes).
Pada sub domain ini ,perusahaan diharapkan mengelola semua perubahan dengan cara
yang terkendali, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan
dengan proses bisnis, aplikasi dan infrastruktur. Ini termasuk standar dan prosedur
perubahan, penilaian dampak, prioritas dan otorisasi, perubahan darurat,pelacakan,
pelaporan, penutupan, dan dokumentasi.
7) BAIO07 ( Managed IT Change Acceptance and Transitioning).
 Pada sub domain ini ,perusahaan diharapkan secara formal menerima dan membuat
solusi baru yang operasional. Meliputi perencanaan implementasi, konversi sistem
dan data, pengujian penerimaan,
komunikasi, persiapan rilis, promosi ke produksi proses bisnis baru atau yang diubah
dan layanan I&T, dukungan produksi awal, dan review pasca implementasi.
8) BAIO08 ( Managed Knowledge).
Pada sub domain ini ,perusahaan diharapkan menjaga ketersediaan pengetahuan dan
informasi manajemen yang relevan, terkini, tervalidasi, dan andal untuk mendukung
semua aktivitas proses dan untuk memfasilitasi pengambilan keputusan yang terkait
dengan tata kelola dan manajemen I&T perusahaan. Rencana untuk identifikasi,
pengumpulan, pengorganisasian,memelihara, menggunakan, dan menghentikan
pengetahuan.
9) BAIO09 ( Managed Assets).
Pada sub domain ini ,perusahaan diharapkan mengelola aset I&T melalui siklus
hidupnya untuk memastikan bahwa penggunaannya memberikan nilai dengan biaya
yang optimal, aset tetap operasional (sesuai dengan tujuan), dan mereka
diperhitungkan dan dilindungi secara fisik. Pastikan bahwa aset-aset yang penting
untuk mendukung kemampuan layanan tersebut dapat diandalkan dan tersedia.Kelola
lisensi perangkat lunak untuk memastikan bahwa jumlah optimal diperoleh,
dipertahankan, dan digunakan sehubungan dengan penggunaan bisnis yang
diperlukan, dan perangkat lunak yang diinstal sesuai dengan perjanjian lisensi.
10) BAIO10 ( Managed Configuration).
Pada sub domain ini ,perusahaan diharapkan menetapkan dan pertahankan deskripsi
dan hubungan di antara sumber daya dan kemampuan utama yang diperlukan untuk
memberikan layanan yang mendukung I&T. Termasuk mengumpulkan informasi
konfigurasi, menetapkan baseline, memverifikasi dan mengaudit informasi
konfigurasi, dan memperbarui repositori konfigurasi
11) BAIO11 ( Managed Projects).
Pada sub domain ini ,perusahaan diharapkan mengelola semua proyek yang dimulai di
dalam perusahaan sesuai dengan strategi perusahaan dan dengan cara yang
terkoordinasi berdasarkan standar pendekatan manajemen proyek. Memulai,
merencanakan, mengontrol dan melaksanakan proyek, dan menutup dengan tinjauan
pasca implementasi.
2.4.4 Deliver, Service and Support (DSS)
 Mengenai aspek pengiriman teknologi informasi DSS mencakup bidang kinerja
aplikasi dalam sistem TI dan hasilnya serta proses yang dapat melaksanakan secara efektif
dan efisien dalam sistem TI. .DSS memiliki 6 sub domain yaitu
1) DSSO01 (Managed Operations)
Pada sub domain ini,perusahaan diharapkan mengkoordinasikan dan melaksanakan
kegiatan dan prosedur operasional yang diperlukan untuk memberikan layanan I&T
internal dan outsourcing. Sertakan pelaksanaan prosedur operasi standar yang telah
ditetapkan dan kegiatan pemantauan yang diperlukan.
2) DSSO02 ( Managed Service Requests and Incidents )
Pada sub domain ini ,perusahaan diharapkan memberikan respons yang tepat waktu
dan efektif terhadap permintaan pengguna dan resolusi semua jenis insiden.
Kembalikan layanan normal; rekam dan penuhi pengguna permintaan; dan merekam,
menyelidiki, mendiagnosis, mengeskalasi, dan menyelesaikan insiden.
3) DSSO03 (Managed Problems)
Pada sub domain ini ,perusahaan diharapkan mengidentifikasi dan mengklasifikasikan
masalah dan akar penyebabnya. Memberikan resolusi tepat waktu untuk mencegah
insiden berulang. Memberikan rekomendasi untuk perbaikan.
4) DSSO04 ( Managed Continuity)
Pada sub domain ini ,perusahaan diharapkan menetapkan dan memelihara rencana
untuk memungkinkan bisnis dan organisasi TI merespons insiden dan beradaptasi
dengan cepat terhadap gangguan. Ini akan memungkinkan operasi lanjutan dari proses
bisnis penting dan layanan I&T yang diperlukan dan menjaga ketersediaan sumber
daya, aset, dan informasi di tingkat yang dapat diterima oleh perusahaan.
5) DSSO05 ( Managed Security Services).
Pada sub domain ini ,perusahaan diharapkan melindungi informasi perusahaan untuk
menjaga tingkat risiko keamanan informasi yang dapat diterima oleh perusahaan
sesuai dengan kebijakan keamanan.Menetapkan dan memelihara peran keamanan
informasi dan hak akses. Lakukan pemantauan keamanan
6) DSSO06 ( Managed Business Process Controls).
Pada sub domain ini ,perusahaan diharapkan menetapkan dan mempertahankan
kontrol proses bisnis yang tepat untuk memastikan bahwa informasi yang terkait
dengan dan diproses oleh proses bisnis internal atau outsourcing memenuhi semua
persyaratan kontrol informasi yang relevan. Mengidentifikasi persyaratan
 pengendalian informasi yang relevan. Mengelola dan mengoperasikan kontrol input,
throughput, dan output yang memadai (kontrol aplikasi) untuk memastikan bahwa
informasi dan pemrosesan informasi memenuhi persyaratan ini.
2.4.5 Monitor, Evaluate and Assess (MEA)
Memberikan solusi oleh pengguna akhir. Domain MEA berkaitan dengan pengiriman
aktual dan dukungan layanan yang dibutuhkan, seperti mencakup pelayanan, pengelolaan
keamanan, dukungan layanan bagi pengguna, dan manajemen data serta fasilitas
operasional.MEA memiliki 4 sub domain yaitu
1) MEAO01 (Managed Performance and Conformance Monitoring)
Pada sub domain ini,perusahaan diharapkan mengumpulkan, memvalidasi, dan
mengevaluasi tujuan dan metrik perusahaan dan penyelarasan. Pantau bahwa proses
dan praktik berjalan sesuai dengan kinerja dan tujuan serta metrik yang disepakati.
Memberikan pelaporan yang sistematis dan tepat waktu
2) MEAO02 ( Managed System of Internal Control )
Pada sub domain ini ,perusahaan diharapkan terus memantau dan mengevaluasi
lingkungan kontrol, termasuk penilaian diri dan kesadaran diri. Aktifkan manajemen
untuk mengidentifikasi kontrol kekurangan dan ketidakefisienan dan untuk memulai
tindakan perbaikan. Merencanakan, mengatur, dan memelihara standar untuk
penilaian pengendalian internal dan efektivitas pengendalian proses.
3) MEAO03 ( Managed Compliance With External Requirements)
Pada sub domain ini ,perusahaan diharapkan mengevaluasi bahwa proses I&T dan
proses bisnis yang didukung I&T sesuai dengan undang-undang, peraturan, dan
persyaratan kontrak. Memperoleh jaminan bahwa persyaratan telah diidentifikasi dan
dipatuhi; mengintegrasikan kepatuhan TI dengan kepatuhan perusahaan secara
keseluruhan.
4) MEAO04 ( Managed Assurance)
Pada sub domain ini ,perusahaan diharapkan merencanakan, melingkupi, dan
melaksanakan inisiatif jaminan untuk mematuhi persyaratan internal, undang-undang,
peraturan, dan tujuan strategis. Aktifkan manajemen
untuk memberikan jaminan yang memadai dan berkelanjutan di perusahaan dengan
melakukan tinjauan dan kegiatan jaminan independen.

2.4.6 Capability Level

 Untuk menilai kelima dimensi proses di atas, COBIT 2019 memiliki model
pengukuran yang dikenal dengan istilah Capability Level. Capability level memberikan
teknik pengukuran skala bertingkat (scale rating) seperti ditunjukkan pada gambar sebagai
berikut.

Adapun generic capability model yang digunakan adalah sebagai berikut :

● Level 0—Proses tidak memiliki kemampuan dasar dan mencerminkan pendekatan
yang tidak lengkap untuk menangani tujuan tata kelola dan manajemen; itu mungkin
atau mungkin tidak memenuhi maksud dari praktik proses apa pun.
● Level 1—Proses kurang lebih mencapai tujuannya melalui penerapan rangkaian
aktivitas yang tidak lengkap yang dapat dicirikan sebagai awal atau intuitif—tidak
terlalu terorganisir.
● Level 2—Proses mencapai tujuannya melalui penerapan serangkaian aktivitas dasar,
namun lengkap, yang dapat dicirikan sebagai dilakukan.
● Level 3—Proses mencapai tujuannya dengan cara yang jauh lebih terorganisir
menggunakan aset organisasi. Proses biasanya didefinisikan dengan baik.
● Level 4—Proses mencapai tujuannya, didefinisikan dengan baik dan kinerjanya
diukur secara kuantitatif.
● Level 5—Proses mencapai tujuannya, didefinisikan dengan baik, kinerjanya diukur
untuk meningkatkan kinerja dan perbaikan terus-menerus dilakukan.
 BAB 3
METODELOGI PENELITIAN

3.1 Struktur Organisasi

Berikut dibawah ini adalah gambar Struktur Organisasi PT.Pertamina per Desember
2021 yaitu :

Tugas dan masing-masing anggota direksi PT.Pertamina yaitu :

● Direktur Utama (President Director & CEO )
Sebagai Chief Executive Officer (CEO), memberikan arahan dan
mengendalikan kebijakan visi, misi, dan strategi Perseroan.
Memimpin para anggota Direksi dalam melaksanakan keputusan
Direksi.
Menyelenggarakan dan memimpin Rapat Direksi sesuai ketentuan
Anggaran Dasar
 Menentukan keputusan yang diambil apabila dalam Rapat Direksi
terdapat jumlah suara yang setuju dan tidak setuju sama banyaknya.
Atas nama Direksi, mengesahkan semua Surat Keputusan
Direksi/Direktur Utama sesuai dengan jenis keputusan yang diatur
dalam AD/ART atau ketetapan lainnya.
Atas nama Direksi, menunjuk pekerja atau perihal lain untuk mewakili
Perseroan di dalam dan di luar Pengadilan
Memimpin dan mendorong terlaksananya pembentukan budaya
Perusahaan, peningkatan citra, dan tata kelola Perseroan (good
corporate governance).
Memimpin dan mengoordinasikan fungsi-fungsi antara lain: Corporate
Secretary, Legal Counsel, Audit Executive, Corporate Communication
& Investor Relation dan HSSE dalam mencapai sasaran kerja yang
telah ditetapkan.
Memberikan informasi kepada pemangku kepentingan terhadap
keputusan Direksi yang memberi dampak besar kepada publik yang
berkaitan dengan keputusan bisnis, aspek legal ataupun isu-isu tentang
Persero yang berkembang di masyarakat
● Direktur Penunjang Bisnis (Director of Corporate Services)
Mengelola, mengoptimalkan, dan sentralisasi proses procurement
untuk shared commodity secara PERTAMINA Grup.
Mengembangkan strategi dan optimasi pengelolaan aset penunjang
bisnis agar efisien dan memberikan nilai tambah bagi Perusahaan.
Mengoptimalkan dan mengembangkan teknologi informasi untuk
mendukung bisnis perusahaan.
Mengelola kegiatan SSC Multi-Tower.
● Direktur Keuangan (Director of Finance)
Menyediakan pendanaan investasi untuk bisnis/proyek strategis di
Perusahaan.
Mengelola dan mengoptimalkan sumber daya keuangan secara
prudent, efisien, dan memberi nilai tambah untuk mendukung bisnis
dan rencana kerja perusahaan.
 Mengoptimalkan pengelolaan keuangan perusahaan secara efektif dan
accountable.
Melakukan pelaporan dan mengendalikan kesehatan Perusahaan sesuai
standar akuntansi best practices.
● Direktur Sumber Daya Manusia (Director of Human Capital)
Mengelola quality, system, knowledge management untuk mendukung
operasi dan efisiensi perusahaan.
Mengelola dan mengembangkan human capital dan organisasi untuk
mendukung strategi bisnis dan operasional perusahaan.
Mengelola dan mengembangkan talent dan infrastruktur human capital
untuk mendukung strategi bisnis dan operasional perusahaan dengan
produktivitas tinggi
● Direktur Logistik dan Infrastruktur (Director of Intergrated Logistics and
Infrastructure)
Merencanakan dan melakukan optimasi aktivitas supply dan distribusi
produk sesuai dengan kebutuhan ketahanan energi.
Merencanakan dan melakukan koordinasi pengoperasian infrastruktur
yang diperlukan untuk supply dan distribusi produk.
Merencanakan pengembangan infrastruktur terkait logistik dan sinergi
pengembangan infrastruktur lintas subholding guna merealisasikan
biaya pengembangan infrastruktur dan logistik yang optimal
● Direktur Strategi,Portofolio,dan Pengembangan Usaha (Director of Strategy
,Portofolio,and Business Development)
Mengembangkan strategi dan masterplan bisnis untuk Grup yang
menjadi acuan sasaran kerja jangka pendek, menengah, dan panjang.
Mengkaji dan mengevaluasi rencana investasi dan portofolio bisnis di
seluruh Grup sesuai dengan prinsip bisnis dan manajemen risiko dalam
mendukung daya saing dan kelangsungan bisnis perusahaan
Mengoptimalkan sinergi dan mengembangkan bisnis perusahaan,
termasuk melalui kemitraan (joint venture).
Mengembangkan teknologi baru melalui riset yang terintegrasi dengan
masterplan bisnis untuk mendukung daya saing dan kelangsungan
bisnis perusahaan.
 Mengelola inovasi berkelanjutan dan mengembangkan bisnis new
ventures secara terintegrasi dalam mengembangkan bisnis perusahaan.

3.2 Urutan Penelitian