COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola TI dan kumpulan perangkat yang membantu manajer mengelola risiko bisnis, masalah teknis, dan kebutuhan kontrol. Dokumen ini membahas pengertian, sejarah perkembangan, manfaat, dan perbedaan versi COBIT serta penjelasan mengenai COBIT 5.
1. TUGAS MAKALAH
AUDIT SISTEM INFORMASI
COBIT
Disusun Oleh :
1. Faisal Puri C.
4.43.09.1.10
2. Ida Sulistiyoningsih
4.43.09.1.13
3. Rezha Rifki F.
4.43.09.1.20
4. Siska Widya P.
4.43.09.1.21
PROGRAM STUDI AKUNTANSI
JURUSAN AKUNTANSI
POLITEKNIK NEGERI SEMARANG
2013
2. BAB I
PENDAHULUAN
1.
Latar Belakang
COBIT (Control Objectives for Information and Related Technology) adalah
kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan
perangkat yang mendukung dan memungkinkan para manager untuk
menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan
(control requirement), masalah teknis (technical issues) dan resiko bisnis
(bussiness risk).
COBIT mempermudah perkembangan peraturan yang jelas (clear policy
development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu
organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan
IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan
dari kerangka COBIT.
Dalam pembahasan ini, ada beberapa hal mengenai sistem manajemen data
yang dibahas. Hal-hal yang dibahas secara umum ada dua, yaitu: 1) definisi
COBIT, 2) sejarah COBIT, 3) manfaat COBIT, dan 4) perbedaan versi COBIT
.
2.
Rumusan Masalah
Berdasarkan latar belakang di atas, maka masalah pokok pada pembahasan ini
adalah:
a. Apakah yang dimaksud COBIT?
b. Bagaimana sejarah COBIT?
c. Apa saja manfaat dan perbedaan versi COBIT?
3. 3.
Tujuan
Tujuan dari pembahasan sistem manajemen data adalah:
a.
Menjelaskan tentang COBIT
b.
Menjelaskan sejarah COBIT
c.
Menyebutkan dan menjelaskan tentang manfaat dan perbedaan versi COBIT.
4. BAB II
PEMBAHASAN
2.1 Pengertian COBIT - The ISACA Framework (Kerangka ISACA)
COBIT (Control Objectives for Information and Related Technology)
adalah kerangka kerja tata kelola IT (IT Governance Framework) dan
kumpulan perangkat yang mendukung dan memungkinkan para manager
untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan
(control requirement), masalah teknis (technical issues) dan resiko bisnis
(bussiness risk).
COBIT mempermudah perkembangan peraturan yang jelas (clear policy
development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu
organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan
IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan
dari kerangka COBIT.
2.2 Sejarah Perkembangan COBIT
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang
menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT
Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang
mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT.
COBIT terdiri atas 4 domain, yaitu : a.) Planning and Organizing, b.)
Acquisition and Implementation, c.) Delivery and Support, d.) Monitoring and
Evaluation.
5. 2.3 Manfaat COBIT
Manfaat dalam penerapan COBIT ini antara lain :
a. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung
keputusan bisnis.
b. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI
secara efektif dan inovatif.
c. Mencapai tingkat operasional yang lebih baik dengan aplikasi
teknologi yang reliable dan efisien.
d. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
e. Mengoptimalkan biaya dari layanan dan teknologi TI.
f. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan
kebijakan.
2.4 COBIT Versi 4.1
2.4.1 Kerangka Kerja
Kerangka kerja pengendalian COBIT terdiri dari empat hal, yakni :
a. Mengaitkannya dengan tujuan organisasi,
b. Mengorganisasikan aktivitas TI ke dalam model proses,
c. Mengidentifikasi sumber daya utama TI untuk melakukan percepatan,
d. Mendefinisikan tujuan pengendalian manajemen untuk dipertimbangkan.
6. COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses,
kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran
pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa
(primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi
informasi yang mana.
1. Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut :
a. Merencanakan dan mengorganisasikan,
b. Memperoleh dan mengimplementasikan,
c. Melaksanakan dan mendukung,
d. Memonitor dan mengevaluasi.
2. Proses yang berjumlah 34, terdiri dari PO1 sampai PO10 (indikator Plan
dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1
sampai DS13 (indikator Direct dan Support), serta ME1 sampai ME4
(indikator Monitor dan Evaluate).
3. Kriteria informasi, yang meliputi tujuh hal berikut ini :
COBIT menetapkan standar penilaian terhadap sumber daya teknologi
informasi dengan kriteria sebagai berikut:
7. a. Efektivitas : untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis seperti penyampaian informasi
dengan benar, konsisten, dapat dipercaya dan tepat waktu.
b. Efisiensi : memfokuskan pada ketentuan informasi melalui
pengunaan sumber daya yang optimal.
c. Kerahasiaan : memfokuskan proteksi terhadap informasi yang
penting dari yang tidak memiliki otorisasi.
d. Integritas : berhubungan dengan keakuratan dan kelengkapan
informasi sebagai kebenaran yang sesuai dengan harapan dan nilai
bisnis.
e. Ketersediaan : berhubungan dengan informasi yang tersedian ketika
diperlukan dalam proses bisnis sekarang dan yang akan datang.
f. Kepatuhan : sesuai menurut hukum, peraturan, dan rencana
perjanjian untuk proses bisnis.
g. Keakuratan informasi : berhubungan dengan ketentuan kecocokan
informasi untuk manajemen mengoperasikan entitas dan mengatur
pelatihan dan kelengkapan laporan pertanggungjawaban.
4. Sumber
daya
teknologi
informasi,meliputi
:Sistem
aplikasi,Informasi,Infrastruktur, danPersonil.
2.5COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa
pengelolaan IT pada suatu organisasi dengan menggunakan maturity models
yang bisa digunakan untuk penilaian kesadaran pengelolaan(management
awareness)dan tingkat kematangan (maturity level). COBIT mempunyai
model kematangan (maturity models) untuk mengontrol proses-proses IT
dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi
dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent
sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial,
8. 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan
Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Model kematangan (maturity models) tersebut seperti terlihat dalam
Gambar berikut:
Gambar Maturity Model
(Sumber: IT Governance Institute, 2007)
2.6 COBIT 5
2.6.1 COBIT 5 – Product Family – The Overarching Framework Product
2.6.2 COBIT 5 – Value Creation (Nilai Penciptaan)
a. Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan
menejemen yang baik dari aset-aset informasi dan teknologi, termasuk
pengaturan pengamanan informasi.
9. b. Kebutuhan para penegak hukum, pembuat peraturan dan pembuat kontrak
yang diluar perusahaan (hukum luar, peraturan dan kontrak kepatuhan)
berhubungan dengan penggunaan informasi dan teknologi yang semakin
meningkat diperusaahaan, menjadi ancaman jika terjadi kebocoran.
c. COBIT 5 menyediakan kerangka kerja yang lengkap (kerangka
komprehensif) yang membantu perusahaan untuk mencapai target mereka
dan memberikan nilai melalui tata kelola dan menejemen perusahaan yang
baik dibidang IT – menyediakan dasar yang kuat untuk pengaturan
keamanan informasi.
2.6.3 COBIT 5 – Framework (Kerangka Kerja)
a. Seperti yang telah dijelaskan, COBIT 5 membantu perusahaan untuk
menciptakan nilai IT yang optimal dengan menjaga keseimbangan
antara mewujudkan manfaat dan mengoptimalisasi tingkat resiko dan
sumber yang digunakan.
b. COBIT memungkinkan informasi dan teknologi yang berhubungan
untuk dikelolah dan diatur dengan cara yang menyeluruh pada setiap
bagian perusahaan, mengambil peran penuh pada bisnis dan area
fungsional
dari
tanggung
jawab
perusahaan,
dengan
mempertimbangkan bahwa IT berhubungan dengan stakeholders yang
berasal dari internal dan eksternal perusahaan.
c. COBIT 5 – Principle dan Enablers adalah umum dan bermanfaat
untuk semua ukuran perusahaan, baik itu komersial ataupun tidak, atau
untuk penyedia layanan publik.
10. COBIT 5 – Principle dan Enabler
Kerangka kerja ini membahas bisnis maupun IT bidang fungsional disuatu
perusahaan dan mempertimbangkan TI terkait kepentingan stakeholder internal &
eksternal. Berdasarkan 5 prinsip COBIT 5 didasarkan pada lima prinsip kunci
untuk tata kelola dan manajemen perusahaan TI:
a. Prinsip 1: pertemuan pemangku kepentingan kebutuhan
b. Prnsip 2: meliputi Enterprise end-to-end
c. Prinsip 3: menerapkan kerangka, single terpadu
d. Prinsip 4: mengaktifkan pendekatan kebutuhan
e. P
r
i
n
s
i
p
5: tata pemisahan dari manajemen
Dan kerangka COBIT 5 juga menjelaskan 7 kategori enabler:
a. Prinsip kebijakan dan kerangka kerja adalah cara untuk menerjemahkan
perilaku yang diinginkan menjadi panduan praktis manajemen.
b. Proses menggambarkan aturan praktekterorganisir dan kegiatan untuk
mencapai tujuan tertentu dan menghasilkan output dalam mendukung
pencapaian keseluruhan TI tujuan yang terkait.
c. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam
suatu perusahaan.
d. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering
diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.
11. e. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan
teratur, tetapi pada tingkat operasional, informasi adalah hal utama dari
perusahaan itu sendiri.
f. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan
aplikasi yang menyediakan perusahaan dengan pengelolaan informasi
teknologi dan jasa.
g. Orang-orang (SDM), keterampilan, dan kompetensi yang diperlukan untuk
keberhasilan menyelesaikan semua kegiatan, dan untuk membuat
keputusan yang benar dan mengambil tindakan korektif.
Tata kelola dan manajemen, Governance memastikan bahwa tujuan perusahaan
yang dicapai dengan cara mengevaluasi kebutuhan pemangku kepentingan,
kondisi dan pilihan, menetapkan arah melalui prioritas dan pengambilan
keputusan, dan pemantauan kinerja, kepatuhan dan kemajuan terhadap setuju pada
arah dan tujuan (EDM). Rencana manajemen, membangun, berjalan dan kegiatan
monitor sejalan dengan arah yang ditetapkan oleh badan pemerintahan untuk
mencapai tujuan perusahaan (PBRM). Dalam ringkasan COBIT 5 menyatukan
lima prinsip yang memungkinkan perusahaan untuk membangun pemerintahan
yang efektif dan kerangka kerja manajemen berdasarkan holistik, tujuh enabler
yang mengoptimalkan informasi dan investasi teknologi dan penggunaan
kepentingan stakeholder. Penggunaan COBIT 5 untuk keamanan informasi dapat
membantu perusahaan dari semua sisi:
a. Mengurangi kompleksitas dan meningkatkan efektifitas biaya.
b. Meningkatkan kepuasan pengguna dengan pengaturan keamanan
informasi dan hasil.
c. Meningkatkan integrasi keamanan informasi.
d. Memberikan informasi keputusan resiko dan risk awareness.
e. Mengurangi insiden keamanan informasi.
f. Meningkatkan dukungan untuk inovasi dan daya saing.
12. COBIT 5 – Enabling Prosesses
Governance and Management
a. Tata kelola (governance) memanstikan bahwa tujuan perusahaan dapat
dicapai dengan melakukan evaluasi (evaluating) terhadap kebutuhan,
kondisi dan pilihan stakeholder; menetapkan arah (direction) melalui skala
prioritas dan pengambilan kepeutusan; dan pengawasan (monitoring) pada
saat pelaksanaan, penyesuaian dan kemajuan terhadap arah dan tujuan
yang telah disetujui (EDM).
b. Management plans, builds, runs and mionitors (PBMR) aktifitas-aktifitas
yang selaras dengan arah yang telah ditentukan oleh badan pemerintahan
untuk mencapai tujuan perusahaan.
2.6.4 COBIT 5 – Integrates Earlier ISACA Frameworks
COBIT 5 telah memperjelas proses menejemen tiap tingkatan dan
menggabungkan isi dari COBIT 4.1, Val IT dan Risk IT menjadi satu model
proses.
13. 2.6.5 COBIT 5 – Integrates BMIS Components Too
COBIT 5 juga telah menyertakan model pendekatan yang menyeluruh,
berhubungan atar tiap komponen dari cara kerja Business Model for
Information Security (BMIS) dan menggabungkannya kedalam komponen
kerangka kerja.
Perkenalan tentang BMIS (Business Model for Information Security)
a. Sebuah pendekatan yang menyeluruh dan business-oriented untuk
mengatur keamanan informasi (information security), dan sebuah istilah
yang umum untuk keamanan informasi serta menejemen bisnis yang
berbicara tentang menejemen bisnis yang berbicara tentang perlindungan
informasi (Information Protection).
b. BMIS menantang pemikiran yang tradisional dan memungkinkan kita
untuk melakukan evaluasi ulang secara kretif terhadap investasi yang
dilakukan pada keamanan informasi.
c. BMIS menyediakan penjelasan secara mendalam untuk keseluruhan model
bisnis yang memeriksa masalah keamanan dari sudut pandang sistem.
14. 2.6.6 COBIT 5 – Integrates BMIS Components
a. Beberapa dari komponen BMIS saat ini telah terintegrasi kedalam COBIT 5
sebagai pendorong (interacting enablers) yang mendukung perusahaan
untuk mencapai tujuan bisnisnya dan menciptakan stakeholder value : a.
Organisasi, b. Orang, c. Budaya, d. Teknologi, e. Faktor manusia.
b. Komponen BMIS yang lain sebenarnya berhubungan dengan aspek yang
lebih besar pada kerangka COBIT 5 :
a.
Govering – Dimensi dari aktifitas tata kelola (evaluate, direct, monitorISO/IEC 38500) ditujukkan pada tingkatan perusahaan dalam kerangka
kerja COBIT 5.
b.
Architecture – (termasuk proses model) – COBIT 5 mencakup
kebutuhan yang ditujukan untuk aspek arsitektur perusahaan yang
menghubungkan organisasi dengan teknologi secara efektif.
c.
Emergence – Sifat yang menyeluruh dn terpadu dari pendukung COBIT
5 mendukung perusahaan untuk beradaptasi dengan perusahaan yang
terjadi pada kebutuhan stakeholder dan enabler capabilities sesuai
kebutuhan.
2.6.7 COBIT 5 – Implementasi
a. Perkembangan dari the Governance of Enterprise IT (GEIT) secara luas
diakui oleh top menejemen sebagai bagian penting dari tata kelola
perusahaan.
b. Informasi dn kegunaan dari teknologi informasi terus berkembang menjadi
bagian dari setiap aspek bisnis dan kehidupan.
c. Kebutuhan untuk menggunakan lebih banyak manfaat dari investasi IT dan
mengelola berbagai peningkatan resiko yang terkait dengan IT, termasuk
resiko keamanan.
d. Meningkatnya peraturan dan perundangan pada penggunaan dan
keamanan informasi bisnis juga menyebabkan meningkatnya kewaspadaan
terhadap pentingnya penggunaan tata kelola yang baik (well-governed),
pengaturan dan pengamanan penggunaan IT.
15. e. ISACA telah mengembangkan kerangka kerja COBIT 5 untuk membantu
perusahaan menggunakan pembangkit tata kelola yang sehat (sound
governance enablers).
f. Menerapkan GEIT yang baik hampir tidak mungkin tanpa melibatkan
kerangka kerja tata kelola yang efektif. Praktik terbaik dan standart juga
tersedia untuk mendukung COBIT 5.
g. Bagaimanapun juga, kerangka kerja, praktik terbaik dan standr hanya
berguna jika digunakan dan disesuaikan secara efektif. Tedapat banyak
tantangan yang ditemui dan masalah yang harus ditangani berhubungan
hal tersebut jika ingin GEIT dapat diimplementasikan dengan sukses.
h. Penerapan COBIT 5 mencangkup :
Penentuan posisi GEIT pada perusahaan.
Mengambil langkah pertama menuju perbaikan GEIT.
Pelaksanaan tantangan dan faktor keberhasilan.
Memungkinkan GEIT yang terkait dengan perubahan dan perilaku
organisasi.
Menerapkan
perbaikan
yang
berkelanjutan
yang
pemberdayaan perubahan dan menejemen program.
Menggunakan COBIT 5 dan komponen-komponennya.
COBIT 5 Implementation
mencangkup
16. 2.6.8 COBIT 5 – Produk Keluarga – Includes an Information Security
Member
COBIT 5 and Information Security
COBIT 5 menangani tentang keamanan informasi terutama :
a. Fokus pada sistem manajemen keamanan informasi (ISMS) dalam
menyelaraskan, merencanakan dan mengatur (APO) domain manajemen,
APO 13 mengelola keamanan, menetapkan keunggulan keamanan
informasi dalam kerangka proses COBIT 5.
b. Proses ini menyoroti kebutuhan untuk manajemen perusahaan untuk
merencanakan dan membangun ISMS yang sesuai untuk mendukung
prinsip-prinsip tata kelola informasi keamanan dan keamanan-dampak
tujuan bisnis yang dihasilkan dari domain, mengevaluasi dan monitor
langsung (EDM) pemerintahan.
c. COBIT 5 untuk keamanan informasi akan menjadi pandangan diperpanjang
dari COBIT 5 yang menjelaskan setiap komponen COBIT 5 dari perspektif
keamanan informasi.
d. Nilai tambah bagi konstituen keamanan informasi akan diciptakan melalui
penjelasan tambahan, aktivitas, proses dan rekomendasi.
17. e. Ini COBIT 5 untuk tata kelola keamanan informasi dan manajemen yang
akan memberikan profesional keamanan pedoman yang rinci untuk
menggunakan COBIT 5 karena mereka menetapkan, menerapkan dan
memelihara keamanan informasi dalam kebijakan bisnis, proses dan
struktur dari sebuah perusahaan.
2.7 IT IL ( Information Technology Infrastructure Library)
IT Infrastructure Library (ITIL) merupakan sebuah framework yang
memberikan panduan (guidance) mengenai pengelolaan IT berbasis layanan
yang telah banyak diadopsi oleh berbagai organisasi dan perusahaan
diberbagai industri dan sektor. Apabila ITIL diterapkan secara tepat, maka
akan memberikan manfaat yang optimal dalam memudahkan pengelolaan
layanan IT, meningkatkan kualitas layanan IT, bahkan sampai membuahkan
kepuasan pengguna layanan IT.
ITIL juga diartikan sebagai best practice dari Service Management IT dan
menjadi pilihan terpopuler saat ini sebagai framework analyst business
seorang/sebuah client untuk defining roadmap bisnis dan infrastruktur IT
yang konsisten dan komprehensif, agar bisnis perusahaan (business
plan/strategy) sejalan dengan IT dan infrastruktur-nya. Sehingga kedepannya
dapat mencapai kualitas dukungan layanan IT yang terkelola.
ITIL mencakup delapan kumpulan yaitu:1. Service Support, 2. Service Delivery,
3. Planning to Implement Service Management, 4. ICT Infrastructure
Management, 5. Application Management, 6. Business Perspective, 7. Security
Management, 8. Software Asset Management. Tiga diantaranya, yaitu Service
Support, Service Delivery, dan Security Managementmerupakan area utama,
yang disebut juga IT Service Management (ITSM).
Pada dasarnya, kerangka kerja ITIL bertujuan secara kelanjutan meningkatkan
efisiensi operasional TI dan kualitas layanan pelanggan. Kerangka kerja yang
18. diberikan belum memberikan panduan pengelolaan TI yang memenuhi kebutuhan
ditingkat yang lebih tinggi (high level objective) di perusahaan sepert COBIT
yang dibahas sebelumnya.
2.8 ISO/IEC 17799
ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang
dikembangkan oleh The International Organization for Standardization (ISO) dan
The International Electronical Commission (IEC). ISO/IEC 17799
adalah
panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk
memastikan keaman informasi perusahaan.
ISO IEC 17799 bertujuan memperkuat tiga elemen dasar keamanan informasi ,
yaitu: Confidentiality, Integrity, Availability. ISO IEC 17799 disajikan dalam
entuk panduan dan rekomendasi yang terdiri dari 36 security objectives dan 127
security controls yang dikelompokkan kedalam 10 domain keamanan informasi.
Berikut 10 domain keamanan informasi ISO IEC 17799, yaitu Security Policy,
Organizational Security, Asset Classification And Control, Personel Security,
Physical
And
Environmental
Security,
Communications
And
Operation
Management, Access Control, Syestem Development And Maintenance, Business
Continuity Management, Compliance.
19. BAB III
STUDY KASUS
EVALUASI TATA KELOLA TEKNOLOGI INFORMASIMENGGUNAKAN
KERANGKA KERJA COBIT DALAM MENDUKUNG LAYANAN SISTEM
INFORMASI AKADEMIKSTUDI KASUS : UNIVERSITAS BUDI LUHUR
3.1 Analisis Kondisi Tata Kelola TI Sistem Informasi Akademik Universitas
BudiLuhur
Untuk mengetahui kondisi tata kelola TI sistem informasi akademik Universitas
Budi Luhur dilakukan tiga tahap analisis yaitupertama melakukan analisis
kedudukan fungsi TI di Universitas Budi Luhur kemudian dilanjutkan dengan
melakukan analisis kondisi saat ini tata kelola TI sistem informasi akademik
Universitas Budi Luhur dan diakhiri dengan analisis tingkat kematangan tata
kelola TI sistem informasi akademik Universitas Budi Luhur menggunakan
kerangka kerja COBIT khususnya domain penyampaian & dukungan (deliver &
support) dan domain pengawasan dan evaluasi (monitor and evaluate).
3.1.1 Analisis Kedudukan Fungsi TI
Fungsi TI Universitas Budi Luhurberada pada Biro Sistem Informasi (BSI) yang
dalam struktur organisasi keberadaannya di bawah Deputi Bidang Penjaminan
Mutu. BSI mempunyai wewenang untuk menyediakan hal-hal yang berkaitan
dalam pelayanan sistem informasi untuk mendukung kegiatan di lingkungan
Universitas Budi Luhur termasuk di dalamnya sistem informasi akademik.
Sedangkan tanggung jawab BSI antara lain adalah :
3.1.2.Analisis Kondisi Tata Kelola TI Saat Ini
Kondisi kemampuan tata kelola TI saat ini dari sistem informasi akade
mik Universitas Budi Luhur dapat diidentifikasi melalui analisis tingkat
kematangan yang mengacu pada tingkat kematangan COBIT khususnya domain
penyampaian & dukungan dan domain pengawasan dan evaluasi. COBIT
memiliki 6 tingkat kematangan TI, seperti tertera pada Tabel 1 di bawah ini :
Tabel 1. Tingkat Kematangan COBIT
20. Tingkat
Nilai
Keterangan
Kematangan
Kematangan
0-Non- Existent
0,00 - 0,50
Proses pengelolaan tidak diterapkan
1-Initial/Ad Hoc
0,51 - 1,50
Proses pengelolaan dilakukan secara tidak berkala dan
tidak terorganisir
2- Repeatable but
1,51 - 2,50
Proses dilakukan secara berulang
2,51 - 3,50
Proses telah terdokumentasi dan dikomunikasikan,
Intuitive
3-Defined Process
pengawasan dan pelaporan tidak dilakukan secara
berkala
4-Managed
3,51 - 4,50
Proses terawasidan terukur
4,51 - 5,00
Best practicetelah diterapkandalam prosespengelolaan
AndMeasurable
5-Optimised
Setelah dilakukan penghitungan tingkat kematangan, dari 13 proses yang terdapat
pada domain penyampaian dan dukungan (deliver and support), 10 proses (77%)
diantaranya mempunyai tingkat kematangan saat ini pada tingkat 2-repeatablebut
intuitive dan sisanya sebanyak 3 proses (33%) mempunyai tingkat kematangan
saat ini pada tingkat 3-defined process terdapat pada tabel di bawah ini :
Tabel 2. Tingkat Kematangan saat ini Domain DS
Proses
Kematangan Saat Ini
Nilai
Tingkat
DS1: Mendefinisikan dan mengelola tingkat layanan
2,479
2- Repeatable but Intuitive
DS2:Mengelola pelayanan dari pihak ketiga
2,236
2- Repeatable but Intuitive
DS3:Mengatur Kinerja dan Kapasitas
2,643
3-Defined Process
DS4: Menjamin Keberlangsungan Pelayanan
2,285
2- Repeatable but Intuitive
DS5: Menjamin Keamanan Sistem
2,18
2- Repeatable but Intuitive
DS6: Mengidentifikasi dan mengalokasikan biaya
2,486
2- Repeatable but Intuitive
DS7: Memberikan pendidikan dan pelatihan pada
2,133
2- Repeatable but Intuitive
pengguna
21. DS8: Mengelola service desk dan insiden
2,138
2- Repeatable but Intuitive
DS9: Mengatur konfigurasi
2,298
2- Repeatable but Intuitive
DS10:Mengatur Permasalahan
1,916
2- Repeatable but Intuitive
DS11: Mengatur Data
2,61
3-Defined Process
DS12: Mengatur Lingkungan Fisik
2,433
2- Repeatable but Intuitive
DS13: Mengatur Operasional
2,788
3-Defined Process
Rata-Rata
2,355
2- Repeatable but
Intuitive
Sedangkan dari 3 proses yangterdapat pada domain pengawasan danevaluasi
(monitor and evaluate) terdapat 3proses (75%) diantaranya mempunyai
tingkatkematangan saat ini pada tingkat 2-repeatablebut intuitive dan sisanya
sebanyak 1 proses(25%) mempunyai tingkat kematangan saatini pada tingkat 3defined process terdapatpada Tabel 3 di bawah ini :
Tabel 3. Tingkat Kematangan saat ini dalam domain ME
Proses
Kematangan Saat Ini
Nilai
Tingkat
ME1: Mengawasi dan mengevaluasi kinerja TI
2,55
3-Defined Process
ME2: Mengawasi dan mengevaluasi kontrol internal
2,42
2- Repeatable but Intuitive
ME3: Menjamin kepatuhan hukum
2,29
2- Repeatable but Intuitive
ME4: Menyediakan Tata Kelola TI
2,19
2- Repeatable but Intuitive
Rata-Rata
2,36
2- Repeatable but Intuitive
Secara
umum
kondisi
tata
kelola
TIsaat
ini
pada
sistem
informasi
akademikUniversitas Budi Luhur khususnya domainpenyampaian dan dukungan
(deliver andsupport) dan domain pengawasan danevaluasi (monitor and evaluate)
masih padatingkat 2-repeatable but intuitive seperti yangdisajikan pada Tabel IV4 di bawah ini. Hal ini berarti proses-proses TI yang mendukungsistem informasi
akademik Universitas Budi Luhur telah berkembang untuk memberikanlayanan
yang optimal, dimana prosedur-proseduryang sama telah dilakukan olehorang
yang berbeda. Namun di dalamnya belum ada komunikasi atau pelatihan
formalterhadap prosedur standar dan tanggung
22. jawab diserahkan kepada individu. Selain itujuga masih terdapat kepercayaan
yang tinggipada kemampuan individu, sehinggakesalahan sangat mungkin terjadi.
3.1.3.Analisis Tingkat Kematangan ProsesTI
Target/harapan
kematangan
proses
TIadalah
kondisi
ideal
tingkat
kematanganproses yang diharapkan, yang akan menjadiacuan dalam model tata
kelola TI sisteminformasi akademik Universitas Budi Luhuryang akan
dikembangkan. Target/harapankematangan proses TI dapat ditentukancdengan
melihat lingkungan internal bisnisUniversitas Budi Luhur seperti visi dan
misi,tujuan universitas maka dapat ditetapkanbahwa untuk dapat mendukung
pencapaiantujuan Universitas Budi Luhur setidaknya
tingkat kematangan yang dilakukan harus adapada tingkat 3 (defined process).
Berdasarkan hasil wawancara danhasil temuan yang berupa pendapat / opinidari
para responden didapatkan hasilpengukuran tingkat kematangan prosesproses
dalam domain penyampaian &dukungan (deliver & support) yangditunjukkan
pada Tabel 4 berikut ini :
Tabel 4. Gap Tingkat Kematangan DomainDS
Proses
Tingkat kematangan
Saat ini
harapan
Gap
DS1: Mendefinisikan dan mengelola tingkat layanan
2,479
3
0,521
DS2:Mengelola pelayanan dari pihak ketiga
2,236
3
0,764
DS3:Mengatur Kinerja dan Kapasitas
2,643
3
0,357
DS4: Menjamin Keberlangsungan Pelayanan
2,285
3
0,715
DS5: Menjamin Keamanan Sistem
2,18
3
0,82
DS6: Mengidentifikasi dan mengalokasikan biaya
2,486
3
0,514
DS7: Memberikan pendidikan dan pelatihan pada pengguna
2,133
3
0,867
DS8: Mengelola service desk dan insiden
2,138
3
0,862
DS9: Mengatur konfigurasi
2,298
3
0,702
DS10:Mengatur Permasalahan
1,916
3
1,084
DS11: Mengatur Data
2,61
3
0,39
DS12: Mengatur Lingkungan Fisik
2,433
3
0,567
DS13: Mengatur Operasional
2,788
3
0,222
23. Rata-Rata
Tingkat
2,355
kematangan
proses-prosesdalam
3
domain
0,645
penyampaian
&
dukungan(deliver & support) dapat digambarkan dalamdiagram laba-laba yang
ditunjukkan padaGambar 4 berikut ini :
Gambar 5. Diagram Laba-Laba GapTingkat Kematangan Domain DS
Sedangkan pendapat/opini dari pararesponden didapatkan hasil pengukurantingkat
kematangan proses-proses dalamdomain pengawasan dan evaluasi (monitorand
evaluate) ditunjukkan pada Tabel 5berikut ini :
Tabel 5. Gap Tingkat Kematangan DomainME
Proses
Tinkat kematangan
Saat ini
Harapan
Gap
ME1: Mengawasi dan mengevaluasi kinerja TI
2,55
3
0,452
ME2: Mengawasi dan mengevaluasi kontrol internal
2,42
3
0,578
ME3: Menjamin kepatuhan hukum
2,29
3
0,715
ME4: Menyediakan Tata Kelola TI
2,19
3
0,806
Rata-Rata
2,36
3
0,806
Tingkat
kematangan
proses-prosesdalam
domain
pengawasan
dan
evaluasi(monitor and evaluate) dapat digambarkandalam diagram laba-laba yang
ditunjukkanpada Gambar 5 berikut ini :
24. Gambar 5. Diagram Laba-Laba GapTingkat Kematangan Domain ME
3.1.4. Langkah-Langkah Untuk MengatasiGap Kematangan Proses TI
Langkah-langkah
untuk
mengatasiperbedaan
(gap)
tingkat
kematanganmerupakan tindakan-tindakan yang perludilakukan pada setiap
proses TI di UniveritasBudi Luhur yang memiliki tingkatkematangan saat ini
(current maturity level)di bawah tingkat kematangan yangdiharapkan (expected
maturity level) yaituproses Langkah-langkah perbaikan tata kelolaTI sistem
informasi
akademik
UniversitasBudi
Luhur
diarahkan
menuju
tingkatkematangan 3-defined process yangdilakukan pada proses-proses
yangmempunyai nilai tingkat kematangan saat inilebih kecil daripada tingkat
kematangan yangdiharapkan, yaitu proses TI selain DS3,DS11, DS13 dan ME1
dengan
membuatprosedur
sudah
standar,
mendokumentasikandan
mengkomunikasikan melalui pelatihan.Tetapi pelaksanaannya diserahkan
padaindividu untuk mengikuti proses tersebut,sehingga penyimpangan tidak
mungkin akandiketahui. Prosedurnya belum sempurna, namun sekedar
formalitas atas praktek yangada.
Berikut ini adalah langkah-langkahdapat dilakukan untuk mengatasi gap
tingkatkematangan pada proses-proses tata kelola TIUniveritas Budi Luhur
melalui kegiatan- kegiatan:
a). DS10:Mengatur permasalahan
Tingkat kematangan yang dituju : 3-DefinedProcess, maka langkah yang harus
dilakukanadalah :
25. 1) Pemenuhan terhadap kebutuhan bisnisdengan menjamin kepuasan end user
melalui pemberian layanan dan levellayanan, mengurangi penyelesaian
danpenyampaian.
2) Memfokuskan pada merekam, melacakdan menyelesaikan masalahoperasional,
menyelidiki
akar
masalah
bagi
semua
permasalahan
yang
ada,
danmendefinisikan penyelesaian bagiidentifikasi masalah pengoperasian.
3) Hal tersebut dapat dicapai dengan :
a. Melaksanakan analisa akar masalahuntuk pelaporan
b. Menganalisa trend
c. Mengambil alih masalah danperkembangan penyeleasian masalah
4) Indikator keberhasilannya diukurmelalui :
a. Jumlah masalah yang berakibat padabisnis
b. Persentase jumlah masalah yangterselesaikan dalam waktu yangtelah
ditetapkan
c. Frekuensi
laporan
atau
updatemasalah
secara
terus
menerus,
yangdidasarkan pada masalah terberat
5) Aktifitas yang perlu dilakukan dengan :
a. Manajemen memberikan dukungan
b. dalam bentuk penyediaan anggaranbagi staf dan pelatihan.
c. Melakukan
standarisasi
penyelesaianmasalah
dan
proses
peningkatannya.
d. Membuat
tim
untuk
mencatat
danpenelusuran
masalah
sertapenyelesaiannya, menggunakan alatyang ada tanpa sentralisasi.
e. Menyebarluaskan
informasi
di
antarastaf
secara
proaktif
dan
bersifatformal
f. Manajemen meninjau insiden danmenganalisa identifikasipermasalahan,
serta pemecahannya.
b). ME4:Menyediakan tata kelola TI
26. Tingkat kematangan yang dituju : 3-DefinedProcess, maka langkah yang harus
dilakukanadalah :
1) Pemenuhan terhadap kebutuhan bisnisdengan mengintegrasikan tata kelola
ITdan
tata
kelola
perusahaan
danmelengkapinya
dengan
hukum
danperaturan.
2) Memfokuskan pada penyiapkan laporanstratergi IT, kemampuan dan
resikoserta merespon kebutuhan tata kelolayang sesuai dengan arahan
3) Hal tersebut dapat dicapai dengan :
a. Menetapkan sebuah kerangka kerjaIT yang terintegrasi dengan tatakelola
perusahaan
b. Mendapatkan kepastian yangindependen atas status tata kelola
4) Indikator keberhasilannya diukurmelalui :
a. Banyaknya laporan IT dibuat untukstakeholders (termasuk tingkat
kematangan)
b. Banyaknya laporan IT kepada atasan(termasuk tingkat kematangan)
c. Banyaknya kajian independenterhadap pemenuhan IT
5) Aktifitas yang perlu dilakukan dengan :
a. Manajemen
audit
mengidentifikasidan
memahami
inisiatif
danlingkungan TI.
b. Manajemen TI melakukan auditindependen.
c. Kontrak
untuk
dandilanjutkan
fungsi
dengan
audit
TI dibuatoleh
memberikankebebasan
manajemen
dan
otoritas
senior
dari
fungsiaudit.
d. Merencanakan dan mengelola audit
e. Menetapkan staf audit mematuhistandar audit.
f. Membuat rencana penggunaanperangkat standar untuk melakukan
otomasi dalam melakukan audit independen.
g. Menetapkan tanggungjawab untukmelakukan audit independen serta
permasalahan yang terjadidikendalikan oleh pihak yangbertanggung
jawab.
27. h. Melakukan resolusi atas komentaraudit.
i. Melakukan
penjaminan
kualitasdilakukan
untuk
memastikan
bahwapelaksanaan telah sesuai denganstandar audit yang dapat
diterapkandan untuk meningkatkan efektivitasdari aktivitas fungsi audit
3.2. Implikasi Penelitian
Implikasi penelitian ini dapat ditinjaudari tiga sudut pandang yang meliputi :
3.2.1 Aspek Manajerial
a. Ditetapkan suatu kerangka manajemenmutu layanan (yang meliputi
prosesproses kebutuhan layanan, ketetapan layanan, rencana mutu
layanan, rencanamutu beroperasi dan membiayai sumberdaya) antara
customer dan providerservice sistem akademik UniversitasBudi Luhur.
b. Dibuat mekanisme sistem keamananyang mampu menjamin mutu
keamananbaik pengguna, data, informasi,infrastruktur dan jaringan pada
sisteminformasi akademik Universitas Budi Luhur.
c. Dilakukan pelatihan dan pendidikansecara berkala (minimal sekali
dalamsetahun) dengan memperhatikan strategidan kebutuhan bisnis saat
ini dan masadatang serta kemampuan dan kebutuhansaat ini.
d. Dibuat mekanisme untuk menetapkan,menerapkan, dan memelihara
prosedurstandar bagi operasi TI dan memastikanberjalan sesuai dengan
tugasnya masingmasing.
e. Dibuat
mekanisme
pengawasan
danpenilaian
kinerja
TI
pada
sisteminformasi akademik Universitas BudiLuhur.
f. Dibuat suatu kerangka pengelolaan TImencakup kepemimpinan, peran
dantanggung jawab, kebutuhan informasi,dan struktur organisasi untuk
memastikan bahwa program investasi TIenterprise dijalankan bersama
dandisampikan pada sasaran dan strategienterprise.
3.2.2Aspek Sistem
a. Dibuat sistem pengawasan terhadapkinerja mutu layanan, kerjasama
denganpihak
ketiga,
Universitas BudiLuhur.
sumber
daya
TI
sisteminformasi
akademik
28. b. Dibuat sistem pembiayaan TI tepat yangdisesuaikan dengan jenis layanan
padasistem informasi akademik UniversitasBudi Luhur.
c. Dibuat sistem pengelolaan konfigurasi yang tepat meliputi hardware,
aplikasisoftware, middleware, dokumentasi, toolsdan prosedur-prosedur
bagipengoperasian, pengaksesan, danpenggunaan layanan dan sistem.
3.2.3. Penelitian Lanjutan
a. Dilakukan penelitian tentang kinerjamutu layanan, kerjasama dengan
pihakketiga, sumber daya TI sisteminformasi akademik Universitas
BudiLuhur.
b. Dilakukan penelitian tentangefektifitas kinerja TI pada sisteminformasi
akademik Universitas BudiLuhur.
3.3.Kesimpulan
Berdasarkan
penelitian
yang
telah
dilakukan,
maka
dapat
diambil
kesimpulansebagai berikut:
a. Tingkat
kematangan
tata
kelola
TIlayanan
sistem
informasi
akademikUniversitas Budi Luhur pada domainpenyampaian & dukungan
danpengawasan & evaluasi masih belummemuaskan karena berada di
tingkat 2-repeatable but intuitive, sehinggahipotesis penelitian diterima.
b. Kondisi saat ini pelaksanaan tata kelola TIpada sistem informasi
akademikUniversitas Budi Luhur khususnya proses-prosesdalam domain
penyampaian dandukungan (deliver and support) dandomain pengawasan
dan evaluasi(monitor and evaluate) kecuali DS3, DS11, DS13 dan ME1
telah berkembanguntuk memberikan layanan yang optimal,dimana
prosedur-prosedur
yang
samatelah
dilakukan
oleh
orang
yang
berbeda.Namun di dalamnya belum adakomunikasi atau pelatihan
formalterhadap prosedur standar dan tanggungjawab masih diserahkan
kepada individu.Selain itu juga masih terdapat kepercayaan yang tinggi
terhadapkemampuan individu, sehingga kesalahansangat mungkin terjadi.
c. Tingkat kematangan tata kelola TI sisteminformasi akademik Universitas
BudiLuhur khususnya proses-proses dalamdomain penyampaian dan
29. dukungan dandomain pengawasan dan evaluasi masihberada di tingkat 2repeatable butintuitive kecuali DS3, DS11, DS13 danME1 telah mencapai
tingkat 3-definedprocess sesuai dengan harapanmanajemen.
d. Rekomendasi perbaikan tata kelola TIsistem informasi akademik
Universitas Budi Luhur diarahkan menuju tingkatkematangan 3-defined
process yangdilakukan pada proses-proses yangmempunyai nilai tingkat
kematangan saatini lebih kecil daripada tingkatkematangan yang
diharapkan, yaitu prosesTI selain DS3, DS11, DS13 dan ME1dengan
membuat
prosedur
danmengkomunikasi-kan
sudah
melalui
standar,mendokumentasikan
pelatihan.Tetapi
pelaksanaan-nya
diserahkan padaindividu untuk mengikuti proses tersebut,sehingga
penyimpangan
tidak
mungkinakan
diketahui.
Prosedurnya
belumsempurna, namun sekedar formalitas ataspraktek yang ada.
30. BAB IV
PENUTUP
4.1.Kesimpulan
COBIT (Control Objectives for Information and Related Technology) adalah
kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan
perangkat
yang
mendukung
dan
memungkinkan
para
manager
untuk
menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control
requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk).
Manfaat dalam penerapan COBIT ini antara lain :
1. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung
keputusan bisnis.
2. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara
efektif dan inovatif.
3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi
yang reliable dan efisien.
4. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
5. Mengoptimalkan biaya dari layanan dan teknologi TI.
6. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan
kebijakan.
Macam-macam COBIT :
1. COBIT Versi 4.1
COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses,
kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran
pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa
(primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi
informasi yang mana.
31. 2. COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa
pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang
bisa
digunakan
untuk
penilaian
kesadaran
pengelolaan(management
awareness)dan tingkat kematangan (maturity level)
3. COBIT 5
Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan
menejemen yang baik dari aset-aset informasi dan teknologi, termasuk pengaturan
pengamanan informasi
IT IL ( Information Technology Infrastructure Library)
IT Infrastructure Library (ITIL) merupakan sebuah framework yang
memberikan panduan (guidance) mengenai pengelolaan IT berbasis layanan yang
telah banyak diadopsi oleh berbagai organisasi dan perusahaan diberbagai industri
dan sektor.
ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang
dikembangkan oleh The International Organization for Standardization (ISO) dan
The International Electronical Commission (IEC). ISO/IEC 17799
adalah
panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk
memastikan keaman informasi perusahaan.
32. DAFTAR PUSTAKA
Hermawan, Iwan.2011.Resume Artikel Ilmiah Cobits Model.
http://iwanpolines.blogspot.com/2011/05/resume-artikel-ilmiah-cobits-modelas.html
Sarno, Riyanarto.2009. Audit Sistem dan Teknologi Informasi.ITS
Press:Surabaya
ISACA. (2007). COBIT 4.1, IT Governance Institute.
http://www.isaca.org/COBIT/
http://12puby.blogspot.com/2011/03/cobit-it-il-dan-iso-17799.html
http://itilindo.com
http://auditti.wordpress.com/2010/11/29/sistim-manajemen-keamanan-informasidan-iso-27000-%E2%80%93-part-2/
http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1-sekarang-cobit-5apa-bedanya.html