TUGAS SIK COBIT

17 NOVEMBER 2022
KELOMPOK COBIT
BKT 5A

1. ANDINI SHAKILA HERMANSYAH

2. APRILIA AZALI
3. AZZAHRA YULIA ANDRIANA
4. DINDA DEVI SURYANI
5. NATASYA ZAHRA SOFYANA
6. SITI MUHAIMINAH

Control Objective for Information and related Technology

(COBIT)

COBIT adalah suatu panduan standar praktik manajemen teknologi informasi. COBIT
menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis. COBIT mampu
menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak & adopsi yang
cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang
diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat
lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.

COBIT memiliki 4 cakupan domain, yaitu:

1. Perencanaan dan organisasi (plan and organise)
Domain ini meliputi strategi dan taktik serta memperhatikan identifikasi cara agar
teknologi informasi dapat memberikan kontribusi sebaik-baiknya terhadap pencapaian
tujuan bisnis. Realisasi dari strategi harus direncanakan, dikomunikasikan dan dikelola
dalam berbagai sudut pandang.
2. Pengadaan dan implementasi (acquire and implement)
Untuk dapat merealisasikan strategi TI, solusi TI harus dapat diidentifikasi,
dikembangkan atau didapatkan serta harus diimplementasikan dan diintegrasikan ke
dalam proses bisnis. Selain itu, pemeliharaan dari sistem yang sudah ada juga termasuk
kedalam domain ini untuk memastikan bahwa solusi yang ada terus memenuhi tujuan
bisnis.
3. Pengantaran dan dukungan (deliver and support)
Domain ini memperhatikan penyampaian sesungguhnya dari layanan yang diperlukan
dan mencakup mencakup penyediaan layanan, manajemen keamanan dan
kelangsungan, dukungan layanan pada pengguna, manajemen data dan fasilitas
operasional.
4. Pengawasan dan evaluasi (monitor and evaluate)
Domain ini berfokus pada penilaian dari seluruh proses TI berdasarkan dari kualitas dan
kepatuhan terhadap persyaratan kontrol. Domain ini membahas masalah performa,
pengawasan internal kontrol, kepatuhan peraturan dan tata kelola
Profil Perusahaan PT Kereta Api Indonesia
PT. Kereta Api Indonesia (Persero) yang selanjutnya disingkat sebagai PT. KAI adalah Badan
Usaha Milik Negara yang menyediakan, mengatur, dan mengurus jasa angkutan kereta api di
Indonesia. PT. KAI merupakan salah satu operator kereta api terbesar di indonesia. Dalam
masa lima tahun terakhir sejak 2009, PT. KAI telah melakukan langkah revolusioner dalam
merevatilisasi bisnis sesuai perubahan zaman dan kondisi eksternal yang dinamik.

Penerapan COBIT di PT Kereta Api Indonesia

Perencanaan dan organisasi (plan and organise)
● PO1 Define a strategic IT plan.
PT KAI sudah terdapat IT Master Plan yang berisikan tentang rencana kerja dan
investasi strategis pengembangan TI untuk jangka panjang selama 5 tahun dan untuk
jangka pendek dibuat untuk kurun waktu kurang dari 1 tahun.
● PO2 Define the information architecture
PT KAI belum terdapat model arsitektur informasi terstandar yang digunakan.

● PO3 Determine technological direction

Manajemen PT KAI telah merancang arah pengembangan teknologi perusahaan. Hal ini
ditandai dengan rencana penambahan modul ERP perusahaan, peningkatan
infrastruktur TI perusahaan dan berbagai sertifikasi ISO dalam bidang teknologi
informasi
● PO4 Define the IT processes, organization and relationships
PT KAI telah memiliki pembagian tugas yang jelas pada divisi TI hal ini di tuangkan
dalam tugas pokok inti divisi TI. Selain itu keamanan informasi sudah dilakukan dengan
melakukan encryption serta cryptographic pada informasi perusahaan
● PO5 Manage the IT investment
Pada PT KAI manajemen telah menentukan prioritas investasi TI yang sesuai dengan
budget perusahaan selain itu penetapan budget untuk investasi TI telah dilakukan oleh
dewan direksi untuk setiap tahunnya. Perencanaan penggunaan dana investasi TI ini
dituangkan dalam IT Master Plan perusahaan
● PO6 Communicate management aims and direction
Manajemen PT KAI telah secara aktif mengomunikasikan penerapan TI antara
dewan direksi dan divisi TI. Hal ini dilakukan melalui rapat koordinasi dan
evaluasi yang rutin dilakukan baik secara horizontal maupun vertical.
● PO7 Manage IT human resources
Pada PT KAI terdapat pendekatan strategis untuk merekrut dan mengelola IT personnel.
Rencana training resmi telah ditetapkan untuk SDM TI. Program rotasi karyawan sudah
ditetapkan dalam rangka pengembangan skill manajemen dan teknik.
● PO8 Manage quality
Pada PT KAI manajemen telah menerapkan ISO 9001 yang mengatur tentang quality
management system terhadap berbagai divisi dan sarana pada perusahaan. Hal ini
menunjukan bahwa manajemen telah menyadarinya sebuah kebutuhan atas kualitas
mutu
 ● PO9 Assess and manage IT risks
Pada PT KAI, manajemen khususnya divisi TI belum memiliki pengukuran risiko yang
terdokumentasi dan formal
● PO10 Manage projects
Pada PT KAI sudah terdapat gambaran dan rencana mengenai pengembangan TI pada
perusahaan yang tergambarkan dalam Master Plan IT. Walau begitu dalam manajemen
proyek belum terdapat kerangka kerja formal, perusahaan masih menggunakan
pendekatan tradisional dalam menjalankan proyek

Pengadaan dan implementasi (acquire and implement)

● AI1 Identify automated solutions
Pada PT KAI rencana pembelian atau pembuatan mengenai proyek TI sudah dilakukan
tahapan perencanaan oleh business process owner terkait. Rencana ini mencakup
mengenai biaya, waktu dan spesifikasi proyek yang diinginkan
● AI2 Acquire and maintain application software
Pada PT KAI saat perusahaan memutuskan untuk membuat atau membeli sebuah
aplikasi atau perangkat TI maka persyaratan dan spesifikasi diberikan oleh tim BPO.
Spesifikasi dan persyaratan ini akan dikonsultasikan dengan divisi TI dan ditranslasikan
kedalam sebuah solusi yang terencana
● AI3 Acquire and maintain technology infrastructure
PT KAI sudah melakukan perawatan dan perencanaan pemeliharaan infrastruktur
secara berkala. Pada datacenter perusahaan setiap minggu sistem akan di switch ke
back-up system untuk dirotasi dan memastikan bahwa sistem cadangan bekerja
● AI4 Enable operation and use
Pada PT KAI dalam memastikan penerapan sebuah sistem atau aplikasi baru agar
dapat digunakan oleh end- user divisi TI melakukan pelatihan kepada para pengguna.
● AI5 Procure IT resources
Pada PT KAI pengadaan kebijakan dan prosedur akuisisi TI telah ditetapkan,
didokumentasikan dan dikomunikasikan. Kebijakan dan prosedur akuisisi TI di PT KAI
mengacu kepada proses bisnis perusahaan secara keseluruhan. Manajemen TI
mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI.
● AI6 Manage changes
Pada PT KAI sudah terdapat dokumentasi formal mengenai perubahan yang berkaitan
dengan TI yang mencakup prosedur, proses, kebijakan dan sistem. Perubahan sistem
yang besar misalnya pada saat penerapan ERP SAP dilakukan sesuai dengan standard
sistem terkait yang mencakup persiapan proyek, business blueprint hingga persiapan go
live
● AI7 Install and accredit solutions and changes
Hal ini tidak dapat dibahas lebih lanjut karena pada pengujian dan pengetesan sebuah
sistem yang mempengaruhi operasi secara besar perusahaan menyerahkana
sepenuhnya test environment dan test procedure kepada pihak eksternal dan vendor
yang menyediakan jasa pengadaan sistem
Pengantaran dan dukungan (deliver and support)
● DS1 Define and manage service levels
Pada PT KAI untuk berbagai pelayanan TI yang terkait dengan pihak eksternal maupun
internal, manajemen menentukan batasan SLA minimum yakni kehandalan (reliability)
99,9% . untuk pihak eksternal manajemen TI melakukan penilaian performa setiap bulan
untuk memastikan tingkat operasional memenuhi SLA yang telah ditentukan
● DS2 Manage third-party services
Pada PT KAI untuk pelayanan yang disediakan oleh pihak ketiga seperti RTS, jaringan
dan sebagainya sudah memiliki dokumentasi SLA dalam bentuk perjanjian formal.
Perjanjian mengenai SLA ini mengatur hal-hal penting seperti kehandalan minimum
mengenai layanan, penalty bila target tidak tercapai dan berbagai hal lainnya.
● DS3 Manage performance and capacity
Pada PT KAI penentuan kapasitas dan perfoma pada bidang TI sudah diselaraskan
dengan peramalan kebutuhan bisnis. Hal ini sesuai dengan manajemen stratejik
perusahaan yang disudah mempertimbangkan berbagai asumsi makro dan
perkembangan bisnis. Pembuatan IT Master Plan sudah diseleraskan dengan
manajemen stratejik perusahaan
● DS4 Ensure continuous service
PT KAI sudah memiliki beberapa IT Continuity Plan untuk beberapa infrastruktur vital
seperti datacenter yang memiliki 2 offsite back up storage yang terletak di Jakarta dan
BSD.
● DS5 Ensure systems security
Pada PT KAI perusahaan telah melakukan berbagai langkah pengamanan informasi.
Hal ini dapat dilihat dari penerapan pembatasan akses pengguna yang dibagi menjadi 3
level, penggunaan firewall pada datacenter perusahaan, encryption pada server mail
hingga pengadopsian ISO 27001 mengenai standardisasi keamanan informasi sesuai
dengan standard internasional
● DS6 Identify and allocate costs
Pada PT KAI sudah terdapat ketentuan dan dokumentasi mengenai biaya teknologi
informasi, Alokasi biaya TI perusahaan disesuaikan dengan kebutuhan bisnis dan
pelaksanaannya harus sesuai dengan yang telah direncanakan
● DS7 Educate and train users
Pada PT KAI manajemen TI telah melakukan pelatihan baik terhadap internal divisi TI
dan kepada end-user agar pengoperasian sistem berjalan efektif. PT KAI sudah memiliki
dokumentasi dan perencanaan formal mengenai pelatihan dan pendidikan pengguna,
selain itu PT KAI juga rutin melakukan sertifikasi bagi personnel TI
● DS8 Manage service desk and incidents
Pada PT KAI sudah terdapat help desk untuk membantu pengguna akhir jika terdapat
permasalahan dalam sistem. Sudah terdapat SOP dan dokumentasi lainnya yang
membantu dan mengarahkan tugas help desk dalam menghadapi beberapa
permasalahan umum
● DS9 Manage the configuration
PT KAI belum memilik manajemen konfigurasi secara formal dan terdokumentasi.
● DS10 Manage problems
 Pada PT KAI permasalahan diidentifikasi apakah terjadi karena kesalahan pengguna
atau kesalahan sistem oleh help desk. Apabila kesalahan sistem terjadi terkait dengan
aplikasi yang disediakan eksternal vendor maka penyelesaian masalah menggunakan
bantuan vendor
● DS11 Manage operations
Pada PT KAI sudah melakukan beberapa manajemen terkait operasi seperti
pengawasan infrastruktur TI, pengukuran kehandalan dan pemenuhan SLA, pembakuan
dan dokumentasi SOP terkait operasi serta perawatan terhadap infrastruktur.

Pengawasan dan evaluasi (monitor and evaluate)

● ME1 Monitor and Evaluate IT performance
Pada PT KAI sudah melakukan pengawasan dan pengukuran kinerja untuk beberapa
pelayanan TI. Tingkat SLA berbagai infrastruktur TI di awasi oleh sistem terintegrasi,
evaluasi personil dilakukan sesuai dengan KPI dan sudah dikembangkan pendekatan
balance scorecard untuk pengukuran kinerja
● ME2 Provide IT Governance
Salah satu tujuan PT KAI adalah penerapan tata kelola perusahaan yang termasuk
didalamnya tata kelola teknologi informasi. Hal ini terlihat dengan pembentukan komite
audit di tahun 2012, pembentukan IT Steering Committee dan perubahan struktur
organisasi perusahaan. Perencanaan stratejik perusahaan juga sudah dituangkan
kedalam RJPP perusahaan dan pendekatan BSC sudah digunakan untuk memetakan
tujuan perusahaan beserta KPI

Kesimpulan

1. Penerapan tata kelola teknologi informasi pada PT KAI berada pada tingkatan
Repeatable but intuitive, dimana proses telah dikembangkan hingga tahapan yang
memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang
sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard,
dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi
terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat.
2. Berdasarkan hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada PT
KAI terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. IT Process
dan Control Objectives yang teridentifikasi ini harus diperhatikan perusahaan dalam
menjalankan tata kelola teknologi informasi.
3. Di PT KAI terdapat 4 proses pada level Managed and Measurable, 11 proses pada level
defined, 11 proses pada level repeatable but intuitive dan 4 proses level pada level ad-
hoc. Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi perusahaan,
manajemen dapat berfokus pada proses TI yang masih rendah (berada pada level ad-
hoc dan repeatable but intuitive).