evaluasi tata kelola teknologi informasi pada pt nsk
TRANSCRIPT
EVALUASI TATA KELOLA TEKNOLOGI
INFORMASI PADA PT NSK BEARINGS
MANUFACTURING INDONESIA MENGGUNAKAN
COBIT 5
SKRIPSI
Oleh:
FAUZIAH
311410653
TEKNIK INFORMATIKA
SEKOLAH TINGGI TEKNOLOGI PELITA BANGSA
BEKASI
2018
EVALUASI TATA KELOLA TEKNOLOGI
INFORMASI PADA PT NSK BEARINGS
MANUFACTURING INDONESIA MENGGUNAKAN
COBIT 5
SKRIPSI
Diajukan Sebagai Salah Satu Syarat Untuk Menyelesaikan
Program Strata Satu (S1) pada Program Studi Teknik Informatika
Oleh:
FAUZIAH
311410653
TEKNIK INFORMATIKA
SEKOLAH TINGGI TEKNOLOGI PELITA BANGSA
BEKASI
2018
i
ii
iii
PERNYATAAN KEASLIAN PENELITIAN
Saya yang bertandatangan dibawah ini menyatakan bahwa, skripsi ini merupakan
karya saya sendiri (ASLI), dan isi dalam skripsi ini tidak terdapat karya yang
pernah diajukan oleh orang lain untuk memperoleh gelar akademis di suatu
institusi pendidikan tinggi manapun, dan sepanjang pengetahuan saya juga tidak
terdapat karya atau pendapat yang pernah ditulis dan/atau diterbitkan oleh orang
lain, kecuali yang secara tertulis diacu dalam naskah ini dan disebutkan dalam
daftar pustaka.
Segala sesuatu yang terkait dengan naskah dan karya yang telah dibuat adalah
menjadi tanggungjawab saya pribadi.
Bekas, 28 September 2018
Materai 6.000
FAUZIAH
NIM: 311410653
iv
Abstrak
PT NSK Bearing Manufacturing Indonesia merupakan sebuah perusahan
manufacturing yang bergerak di bidang otomotif bearing. Tata kelola teknologi
informasi perusahaan merupakan bagian penting untuk memastikan teknologi
informasi yang tersedia pada PT NSK Bearings Manufacturing Indonesia telah
menunjang tercapainya tujuan bisnis perusahaan. Dengan masalah yang
ditemukan yakni sering terjadi resave data in dan out tidak balance dan
penginvestasian TI (teknologi informasi) yang telah dilakukan tidak memberikan
dampak maksimal dalam perusahaan, rendahnya kepedulian terhadap aspek
kerahasiaan informasi, rendahnya tingkat ketersediaan informasi, tidak adanya
kebijakan dan prosedur tata kelola TI (teknologi informasi), Penelitian ini menilai
seberapa tingkat kematangan atau capability level perusahaan dengan
menggunakan COBIT 5 yang berfokus pada domain, EDM 03, APO12, APO13,
DSS05, dan BAI06, dan menghasilkan tingkat kematangan sebesar 1,20 dan gap
1,80.dan dibuatkan beberapa penyusunan rekomendasi guna meningkatakan nilai
capability level yang di harapkan agar tata kelola teknologi informasi perusahaan
lebih baik.
Kata Kunci : COBIT 5, Capability Level, Tata kelola TI (teknologi informasi).
v
Abstract
PT NSK Bearing Manufacturing Indonesia is a manufacturing company engaged
in automotive bearings. Corporate information technology governance is an
important part of ensuring the information technology available to PT NSK
Bearings Manufacturing Indonesia has supported the achievement of the
company's business objectives. With the problems found, which often occur data
resave and out balance and the investment of IT (information technology) that has
been done does not have a maximum impact on the company, low awareness of
information confidentiality, low level of availability of information, absence IT
(information technology) governance policies and procedures, this study assesses
how the level of company maturity or capability level using COBIT 5 focuses on
domains, EDM 03, APO12, APO13, DSS05, and BAI06, and produces a maturity
level of 1.20 and a gap of 1.80. and made several recommendations to improve
the expected capability so that corporate information technology governance is
better.
Keywords: COBIT 5, Capability Level, IT (information technology) governance.
vi
KATA PENGANTAR
Puji syukur penulis panjatkan ke hadiran Allah SWT. yang telah
melimpahkan segala rahmat dan hidayah-Nya, sehingga tersusunlah Skripsi yang
berjudul “EVALUASI TATA KELOLA TEKNOLOGI INFORMASI PADA PT
NSK BEARINGS MANUFACTURING INDONESIA MENGGUNAKAN
COBIT 5”.
Skripsi tersusun dalam rangka melengkapi salah satu persyaratan dalam
rangka menempuh ujian akhir untuk memperoleh gelar Sarjana Komputer
(S.Kom.) pada Program Studi Teknik Informatika di Sekolah Tinggi Teknologi
Pelita Bangsa.
Penulis sungguh sangat menyadari, bahwa penulisan Skripsi ini tidak akan
terwujud tanpa adanya dukungan dan bantuan dari berbagai pihak. Sudah
selayaknya, dalam kesempatan ini penulis menghaturkan penghargaan dan ucapan
terima kasih yang sebesar-besarnya kepada:
a. Bapak Dr. Ir. Suprianto, M.P selaku Ketua STT Pelita Bangsa
b. Bapak Aswan S.Sunge, S.Kom, M.Kom selaku Ketua Program Studi Teknik
Informatika STT Pelita Bangsa.
c. Bapak Elkin Rilvani, S.Kom, M.M selaku Pembimbing Utama yang telah
banyak memberikan arahan dan bimbingan kepada penulis dalam penyusunan
Skripsi ini.
d. Bapak Ir.Tri Ngudi Wiyatno, M.T selaku Pembimbing kedua yang telah
banyak memberikan arahan dan bimbingan kepada penulis dalam penyusunan
Skripsi ini
vii
e. Seluruh Dosen STT Pelita Bangsa yang telah membekali penulis dengan
wawasan dan ilmu di bidang teknik informatika.
f. Seluruh staf STT Pelita Bangsa yang telah memberikan pelayanan terbaiknya
kepada penulis selama perjalanan studi jenjang Strata 1.
g. Rekan-rekan mahasiswa STT Pelita Bangsa, khususnya angkatan 2014 dan TI
E 14 4, yang telah banyak memberikan inspirasi dan semangat kepada penulis
untuk dapat menyelesaikan studi jenjang Strata 1.
h. Ibu dan Ayah tercinta yang senantiasa mendo’akan dan memberikan semangat
dalam perjalanan studi Strata 1 maupun dalam kehidupan penulis.
i. Untuk para sahabat tercinta Neli Nurdalipah, Dian Damara, Upi Puji Lestari,
Vivi Mustikaningtyas R yang telah memberikan doa, semangat dan dukungan
kepada penulis.
Akhir kata, penulis mohon maaf atas kekeliruan dan kesalahan yang
terdapat dalam Skripsi ini dan berharap semoga Skripsi ini dapat memberikan
manfaat bagi khasanah pengetahuan Teknologi Informasi di lingkungan STT
Pelita Bangsa khususnya dan Indonesia pada umumnya.
Bekasi, 28 September 2018
Fauziah
viii
DAFTAR ISI
Lembar Persetujuan.. .......................................................................................... i
Lembar Pengesahan.. ........................................................................................ ii
Lembar Pernyataan Keaslian............................................................................. iii
Lembar Pernyataan............................................................................................ iii
Abstrak.. ............................................................................................................ iv
Kata Pengantar.. ................................................................................................ vi
Daftar Isi........................................................................................................... viii
Daftar Tabel.. ................................................................................................... xiv
Daftar Gambar.. ................................................................................................ xvi
BAB I PENDAHULUAN.. ...............................................................................1
1.1 Latar Belakang.. ...........................................................................................1
1.2 Identifikasi Masalah.. ...................................................................................4
1.3 Rumusan Masalah.. ......................................................................................4
1.4 Batasan Masalah...........................................................................................4
1.5 Tujuan Penelitian.. .......................................................................................4
1.6 Manfaat Penelitian.. .....................................................................................5
1.7 Sistematika Penulisan.. ................................................................................6
BAB II TINJAUAN PUSTAKA.. ....................................................................7
2.1 Kajian Pustaka.. ............................................................................................7
2.2 Landasan Teori.. ..........................................................................................10
2.2.1 Pengertian Tata Kelola. .....................................................................10
2.2.2 Pengertian Teknologi Informasi. ......................................................10
2.2.3 Pengertian Tata Kelola Teknologi Informasi.. ..................................11
2.2.4 Pengertian Evaluasi Tata Kelola Teknologi Informasi.. ...................11
2.2.5 Tujuan Tata Kelola Teknologi Informasi.. .......................................11
2.2.6 Area Tata Kelola Teknologi Informasi.. ...........................................11
2.2.7 Prinsip Tata Kelola Teknologi informasi.. ........................................12
2.3 COBIT (Control Objectives For Information & Related Technology). ......13
2.3.1 Pengertian COBIT 5.. .......................................................................14
2.3.2 Prinsip COBIT 5. ..............................................................................15
2.3.3 Implementasi COBIT 5. ....................................................................24
ix
2.3.4 Proses COBIT 5. ...............................................................................26
2.3.5 Capability Level Proses COBIT 5. ....................................................49
2.3.6 Balanced Scorecard.. ........................................................................53
2.4 Metode Pengumpulan Data.. .......................................................................53
2.4.1 Pengertian Observasi. .......................................................................53
2.4.2 Pengertian Wawancara.. ....................................................................54
2.4.3 Pengertian Kuisioner. ........................................................................54
2.5 Metode Analisis Data. .................................................................................54
2.6 Kerangka Pemikiran. ...................................................................................55
2.7 Alur Penelitian. ...........................................................................................56
2.8 Hipotesis Penelitian.. ...................................................................................57
BAB III METODOLOGI PENELITIAN. ....................................................58
3.1 Metode Peneletian . .....................................................................................58
3.2 Populasi dan Sample. ..................................................................................58
3.2.1 Object Penelitian. ..............................................................................59
3.2.2 Jadwal dan Waktu Penelitian. ...........................................................59
3.3 Metode Pengumpulan data. .........................................................................59
3.3.1 Data Primer. ......................................................................................60
3.3.2 Data Sekunder. ..................................................................................61
3.4 Sejarah Perusahaan......................................................................................62
3.4.1 Visi Perusahaan. ................................................................................63
3.4.2 Misi Perusahaan. ...............................................................................63
3.4.3 Gambar Struktur Organisasi Perusahaan. .........................................64
3.4.4 Uraian Tugas dan Tanggung Jawab. .................................................64
3.5 Metode Analisis Data. .................................................................................67
3.5.1 Analisis Tingkat Capability Level. ...................................................67
3.5.2 Analisis Gap (Kesenjangan). ............................................................67
3.5.3 Analisis Rekomendasi. ......................................................................68
BAB IV ANALISIS DAN PEMBAHASAN. .................................................69
4.1 Pemetaan dan Pemilihan Domain COBIT 5.. .............................................69
4.2 Capability Level Proses COBIT 5.. .............................................................75
4.2.1 EDM03-Ensure Risk Optimisation. ..................................................77
4.2.1.1 Evaluate risk management . .................................................78
4.2.1.2 Direct risk management. ......................................................79
x
4.2.1.3 Monitor risk management. ....................................................79
4.2.2 APO12 – Manage Risk. .....................................................................80
4.2.2.1 Collect data. .........................................................................81
4.2.2.2 Analyse risk. .........................................................................81
4.2.2.3 Maintain a risk profile. .........................................................82
4.2.2.4 Articulate risk. ......................................................................82
4.2.2.5 Define a risk management action portfolio. .........................83
4.2.2.6 Respond to risk. ....................................................................83
4.2.3 APO13 – Manage Security. ..............................................................83
4.2.3.1 Establish and maintain an information security management
system (ISMS). ...................................................................85
4.2.3.2 Define and manage an information security risk treatment plan.
..............................................................................................85
4.2.3.3 Monitor and review the ISMS. ..............................................85
4.2.4 BAI06 – Manage Changes. ...............................................................89
4.2.4.1 Evaluate, prioritise and authorise change requests. ..........90
4.2.4.2 Manage emergency changes. .............................................91
4.2.4.3 Track and report change status. .........................................91
4.2.4.4 Close and document the changes. ......................................91
4.2.5 DSS05 – Manage Security Services. .................................................93
4.2.5.1 Protect against malware. ...................................................94
4.2.5.2 Manage network and connectivity security. .......................95
4.2.5.3 Manage endpoint security. .................................................95
4.2.5.4 Manage user identity and logical access. ..........................96
4.2.5.5 Manage physical access to IT assets. .................................96
4.2.5.6 Manage sensitive documents and output devices. ..............96
4.2.5.7 Monitor the infrastructure for security-related events .......97
4.3 Hasil Perhitungan Capability Level. ..........................................................101
4.4 Penentuan Gap. ..........................................................................................105
4.5 Rekomendasi. .............................................................................................107
BAB V PENUTUP. ..........................................................................................108
5.1 Kesimpulan.................................................................................................108
5.2 Saran............................................................................................................108
Daftar Pustaka..... .............................................................................................110
xi
DAFTAR TABEL
Tabel 2.1 Tinjauan Pustaka Penelitian.. .............................................................8
Tabel 3.1 Jadwal dan Waktu Penelitian.. ..........................................................59
Tabel 3.2 Daftar Responden Penelitian.. ...........................................................61
Tabel 4.1 COBIT 5 Enterprise Goals (ISACA, 2012:19). ...............................69
Tabel 4.2 Identifikasi Tujuan Strategis dengan Balance Scorecard. ................70
Tabel 4.3 Enterprise Goals Berdasarkan Risk Otimisation.. ............................70
Tabel 4.4 Pemetaan Enterprie Goals dengan IT-Related Goals. ......................72
Tabel 4.5 Konversi tujuan perusahaan dengan Enterprise Goals COBIT 5. ....72
Tabel 4.5 Pemetaan IT-Related Goals dengan Proses COBIT 5. .....................73
Tabel 4.6 Deskripsi Proses COBIT 5 yang di Assesment. ................................75
Tabel 4.7 Template Ringkasan Pencapaian Capability Leve. ...........................76
Tabel 4.8 Ensure Risk Optimisation EDM03. ...................................................77
Tabel 4.9 Ensure Risk Optimisation EDM03 Level 1.......................................78
Tabel 4.10 Manage Risk APO12. .....................................................................80
Tabel 4.11 Manage Risk APO12 Level 1. ........................................................80
Tabel 4.12 Manage Security APO13. ...............................................................84
Tabel 4.13 Manage Security APO13 Level 1. ..................................................84
Tabel 4.14 Performance Management APO13. ................................................86
Tabel 4.15 Work Product Management APO13. ..............................................86
Tabel 4.16 Process Definition APO13. .............................................................87
Tabel 4.17 Process Deployment APO13. ..........................................................88
Tabel 4.18 Konten SOP Manage Changes AOP13. .........................................88
Tabel 4.19 Manage Changes BAI06.. ...............................................................89
Tabel 4.20 Manage Changes BAI06 Level 1....................................................90
xii
Tabel 4.21 Performance Management BAI06. .................................................91
Tabel 4.22 Work Product Management BAI06. ...............................................92
Tabel 4.23 Manage Security Services DSS05. ..................................................93
Tabel 4.24 Manage Security Services DSS05 Level 1. .....................................94
Tabel 4.25 Performance Management DSS05. ................................................97
Tabel 4.26 Work Product Management DSS05. ...............................................97
Tabel 4.27 Process Definition DSS05. .............................................................99
Tabel 4.28 Process Deployment DSS05. ..........................................................99
Tabel 4.29 Konten SOP Manage Security Services DSS05. ............................100
Tabel 4.30 Daftar Proses COBIT di Level 0. ...................................................102
Tabel 4.31 Daftar Proses COBIT di Level 1. ...................................................103
Tabel 4.32 Tabel Temuan Gap........................................................................105
Tabel 4.33 Rekomendasi. .................................................................................106
xiii
DAFTAR GAMBAR
Gambar 1.1 Permasalahan IT Governance.. ......................................................2
Gambar 2.1 Prinsip COBIT 5 ( ICASA, 2012). ...............................................15
Gambar 2.2 The Goverance Objective (ISACA,2012:17). ...............................16
Gambar 2.3 COBIT 5 Goals Cascade Overview (ISACA,2012:18). ...............18
Gambar 2.4 Enterprise Goals COBIT 5 (ISACA,2012:19). .............................19
Gambar 2.5 IT-Related Goals COBIT 5 (ISACA,2012:19). ............................20
Gambar 2.6 single integrated framework COBIT 5 (ISACA, 2012:25). ..........21
Gambar 2.7 Enterprise Enablers COBIT 5 (ISACA,2012 :27). .......................22
Gambar 2.8 Goverance and Management Key Areas (ISACA, 2012:32). .......23
Gambar 2.9 Implementasi COBIT 5 (ISACA, 2012:37)...................................24
Gambar 2.10 Proses COBIT 5 (ISACA, 2012:74). ...........................................26
Gambar 2.11 Process Capability Attributes COBIT 5 (ISACA,2012:42). .......50
Gambar 2.12 Alur Penelitian (penulis:2018). ..................................................56
Gambar 3.1 Struktur Organisasi Perusahaan . ..................................................64
Gambar 4.1 Hasil Pemetaan IT-Related Goals dengan COBIT 5 Process. ......74
Gambar 4.1 Grafik Pencapaian Capability Level COBIT. ...............................101
Gambar 4.2 Radar Chart Proses EDM03 dan APO12. ....................................102
Gambar 4.3 Radar Chart Proses APO13, BAI06, dan DSS05. ........................103
Gambar 4.4 Radar Chart hasil Capability level. ..............................................104
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Teknologi Informasi sudah merupakan hal yang penting dalam sebuah
perusahaan. Penggunaan teknologi informasi mempunyai potensi menjadi penentu
utama menuju sebuah kesuksesan atau keberhasilan yang dapat memberikan
kesempatan- kesempatan untuk mendapatkan keunggulan kompetitif dan
menawarkan perlengkapan untuk meningkatkan produktivitas, kinerja perusahaan,
dan memberikan manfaat lebih dimasa mendatang (Surendro, 2009:1).
Mayoritas perusahaan telah menggunakan sistem dalam penunjang kinerja
dan proses bisnis mereka, sistem tersebut tidak terlepas dari segala aktifitas yang
mereka lakukan, pentingnya peranan teknologi yang digunakan oleh peusahaan
tersebut memberikan dampak yang luar biasa terhadap kinerja mereka dan juga
memberikan kesempatan juga bagi pihak lain untuk memanfaatkan celah
keamanan yang tidak dipantau oleh sistem perusahaan, dalam hal tersebut peran
pemerintah pun ikut serta berupaya menanggulangi dengan mengeluarkan UU
ITE pasal 15 ayat 1 yakni memberikan perintah dalam menangani dan mengelola
sistem : “ Setiap penyelenggara sistem elektronik harus menyelenggarakan sistem
elektronik secara aman dan handal serta bertanggungjawab terhadap
beroperasinya sistem elektronik sebagai mana mestinya”. diwajibkan kepada
penyelenggara pelayanan publik harus diterapkan tata kelola dan kebijakan
keamanan infomasi untuk melindungi sistem tersebut. Menurut data survey yang
2
dikutip dari halaman sharing vision bahwa permasalahan yang terjadi terkait IT
governance sendiri sebagai berikut :
Gambar 1.1 Permasalahan IT Governance (sumber: sharingvision.com)
Hasil survei terhadap 17 perusahaan periode Juni 2013 – Maret 2014
menunjukkan bahwa permasalahan tersebut mencapai hampir 75%. Kedua
terbanyak yaitu permasalahan kurangnya skill, pengetahuan, dan pengertian
mengenai IT Governance. Jelaslah angka di atas dapat menjadi petunjuk
perusahaan harus lebih aware terhadap masalah perubahan manajemen dan
mencari solusinya.
PT NSK Bearing Manufacturing Indonesia merupakan sebuah perusahan
manufacturing yang bergerak di bidang otomotif bearing, berdiri sejak tahun
1994, dalam proses bisnisnya PT NSK Bearing Manufacturing Indonesia telah
menggunakan sistem GLOVIA sebagai penunjang dalam pengolahan data yakni
dalam department procurement (pengadaan barang) dan acounting (keuangan),
namun ada beberapa kasus yang menjadi masalah dalam sistem GLOVIA
tersebut, yakni resave data in dan out tidak balance dan penginvestasian TI
3
(teknologi informasi) yang telah dilakukan tidak mengakibatkan pengaruh apa-
apa didalam PT NSK Bearing Manufactuing Indonesia, hal ini terjadi karena
kurangnya koordinasi antara pihak-pihak di dalam perusahaan, proses TI
(teknologi informasi) tidak berjalan sesuai dengan prosedur dan tujuan
perusahaan, serta sumber daya yang dimiliki tidak memiliki skill di bidang TI
(teknologi dan informasi).
Salah satu metode pengelolaan teknologi informasi yang digunakan secara
luas adalah IT governance (tata kelola teknologi informasi) yang terdapat pada
COBIT 5 (Control Objectives for Information and Related Technology). COBIT
(Control Objectives for Information and Related Technology) adalah framework
atau kerangka kerja tata kelola TI (teknologi informasi), atau kumpulan perangkat
yang mendukung dan memungkinkan para manager untuk menjembatani jarak
(gap) yang ada antara kebutuhan yang dikendalikan (control requirement),
masalah teknis (technical issues), dan praktik baik ( good practice) untuk
mengendalikan dalam organisasi COBIT menekankan keputusan terhadap
peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai
dengan penggunaan TI (teknologi informasi), maka berdasarkan latar belakang di
atas penulis mearsa tertarik untuk mengambil judul dari masalah ini yakni :
“Evaluasi Tata Kelola Teknologi Informasi Pada PT NSK Bearings
Manufacturing Indonesia Menggunakan COBIT 5”.
4
1.2 Identifikasi Masalah
Permasalahan penelitian yang penulis ajukan ini dapat diidentifikasi sebagai
berikut:
1. Masih banyak proses dan tujuan bisnis yang tidak sejalan dengan tujuan
teknologi informasi.
2. Rendahnya kepedulian terhadap aspek kerahasiaan informasi, rendahnya
tingkat ketersediaan informasi, tidak adanya kebijakan dan prosedur tata
kelola TI (teknologi informasi).
1.3 Rumusan Masalah
Berdasarkan uraian yang telah dipaparkan oleh penulis pada latar belakang
masalah dan agar pembahasan tidak menyimpang dari judul penulisan, maka
penulis merumuskan masalah, “ bagaimana mengevaluasi tata kelola keamanan
teknologi informasi pada PT NSK Bearing Manufacturing Indonesia, dengan
mengacu pada standar COBIT 5 untuk mengetahui rekomendasi yang cocok
meningkatkan tata kelola TI (teknologi informasi) dalam PT NSK Bearing
Manufacturing Indonesia ?”.
1.4 Batasan Masalah
Lingkup dari penelitian ini dibatasi pada menilai capability level tata kelola
teknologi informasi pada PT NSK Bearing Manufacturing Indonesia.
1.5 Tujuan Penelitian
Penelitian ini bertujuan untuk:
1. Mengetahui kondisi penerapan tata kelola teknologi informasi yang
berjalan pada PT NSK Bearing Manufacturing Indonesia.
5
2. Menghasilkan rekomendasi perbaikan dan peningkatan tata kelola
teknologi informasi di PT NSK Bearing Manufacturing Indonesia.
3. Menilai hasil perhitungan Capability Level pada PT. NSK Bearing
Manufacturing Indonesia.
1.6 Manfaat Penelitian
Adapun manfaat yang dapat dijadikan inti dari penelitian ini adalah sebagai
berikut :
a. Manfaat bagi Perusahaan
Penelitian ini hendaknya dapat menjadi bahan pertimbangan bagi
manajemen dalam mengambil keputusan untuk mencapai tujuan
bisnis dan dapat menjadi bahan pertimbangan bagi PT NSK Bearing
Manufacturing Indonesia untuk meningkatkan pengawasan dan
evaluasi yang efektif dan efisien terhadap tata kelola teknologi
informasinya.
b. Bagi pihak peneliti
Menambah wawasan dan pengetahuan mengenai masalah yang
terjadi dalam perusahaan yang berhubungan dengan tata kelola
teknologi informasi.
c. Bagi Sekolah Tinggi Teknologi Pelita Bangsa
Penelitian ini dapat dijadikan sebagai referensi untuk penelitian
selanjutnya, terutama bagi mahasiswa Sekolah Tinggi Teknologi
Pelita Bangsa yang berminat melakukan penelitian yang berkaitan
dengan sistem tata kelola teknologi informasi.
6
1.7 Sistematika Penulisan
Penyusunan laporan Tugas Akhir ini menggunakan sistematika pembahasan
yang akan diuraikan menjadi susunan bab yang akan di bahas,yaitu sebagai
berikut :
BAB I PENDAHULUAN
Pada bab ini berisi tentang latar belakang masalah, identifiasi masalah
rumusan masalah, batasan masalah, tujuan dan manfaat
penelitian, metodologi penelitian dan sistematika penulisan.
BAB II LANDASAN TEORI
Pada bab ini berisi menguraikan tentang landasan teori yang digunakan
dalam melakukan analisis dan penulisan tugas akhir.
BAB III METODE PENELITIAN
Pada bab ini berisi penjelasan tentang metodologi yang digunakan
penulis dalam melakukan penelitian, uraian singkat profil perusahaan.
BAB IV ANALISIS DAN PEMBAHASAN
Pada bab ini berisi tentang analisis tata kelola teknologi informasi yang
terdiri dari pemetaan domain terhadap tujuan bisnis, menghitung
capability level, temuan gap dari hasil evaluasi, serta memberikan
rekomendasi pada perusahaan dalam mengelola tata kelola teknologi
informasinya.
BAB V KESIMPULAN DAN SARAN
Pada bab ini berisi tentang kesimpulan dan saran dari hasil bab – bab
yang telah diuraikan.
7
BAB II
TINJAUAN PUSTAKA
2.1 Kajian Pustaka
Evaluasi terhadap tata kelola teknologi informasi menggunakan Framework
COBIT 5 telah banyak diteliti dan hasil rekomendasinya sudah banyak membantu
perusahaan memperbaiki tata kelola teknologinya menjadi lebih baik. Evaluasi
menggunakan COBIT juga dilakukan di PT. Prudential Indonesia yang membahas
bagaimana COBIT dapat mengetahui kelemahan dari satu perusahan,
penelitiannya mendapati bahwa PT. Prudential Indonesia masih pada level defined
process karena kurangnya monitoring dan evaluasi (Satya Wisada Sembiring,
2013). Penelitian lain juga dilakukan di PT. Oto Multiaarta membahas bagaimana
COBIT dapat digunakan sebagai model untuk dapat menilai penerapan teknologi
informasi lebih tepat dan akurat dan dapat memberikan rekomendasi yang tepat
sesuai dengan 5 domain utama COBIT, dan ditemui bahwa PT. Oto Multiaarta
telah mencapai level 2,76 pada tata kelola teknologi informasi (Fajrin Rizkia
Pratiwi Suwarno, 2014).
Berdasarkan tinjauan pustaka diatas maka penulis menyimpulkan bahwa
Framework COBIT 5 merupakan model yang paling tepat dan telah banyak
digunakan untuk melakuan evaluasi terhadap tata kelola teknologi informasi pada
berbagai bidang organisasi yang mengimplementasikan teknologi informasi dalam
proses bisnisnya. Penulis belum menemui adanya penelitian yang membahas
tentang evaluasi tata kelola teknologi informasi pada perusahaan PT. NSK
8
Bearings Manufacturing Indonesia, maka dari itu penulis melakukan penelitian ini
di PT NSK Bearings Manufacturing Indonesia dengan mengacu pada beberapa
jurnal-jurnal penelitian terbaru seperti terdapat dalam tabel berikut ini :
Tabel 2.1 Tinjauan Pustaka Penelitian.
No Penulis Tahun Judul Metodologi Hasil
1. Fadel
Muhafiizh,
Suprapto,
Retno indah
2017 Evaluasi
Sumber Daya
Teknologi
Informasi
Perusahaan
Menggunakan
COBIT 5 ( Studi
Kasus PT
Krakatau Steel
Persero Tbk)
COBIT 5 Evaluasi
perusahaan
menggunakan
Framework
COBIT 5 dengan
sub domain
EDM04 memiliki
capability level
sebesar 3 GAP 1 ,
AP07 sebesar 2,3
dengan Gap 0,7
dan BAI 08
sebesar 2,7
dengan Gap 0,3
2 Guido
Waluyan,
Augie David
Manuputty
2016 Evaluasi Kinerja
Tata Kelola TI
Terhadap
Penerapan
Sistem
Informasi
Starclick
Framework
COBIT 5 (Studi
Kasus : PT
Telekomunikasi
Indonesia, Tbk
Semarang )
COBIT 5 Evaluasi kinerja
tata kelola
teknologi
informasi
terhadap
penerapan sistem
Starcklick di PT
Telekomunikasi
Indonesia ini
memiliki
Capability Level
1,89 yaitu level
Manage Proses
kategori Full
Achive (>85%)
3 Fahmi
Ajismanto
2017 Analisis Domain
Proses COBIT
Framework 5
pada sistem
informasi
Worksheet
(Studi Kasus :
COBIT 5 Dalam hasil
penelitian ini
proses doamin
pada COBIT 5
didapatkan dari
hasil mapping
COBIT 5 adalah
9
Perguruan tinggi
STMIK,
Politeknik
Palcomtech)
:EDM03, APO12,
APO07, MEA01,
EDM04, APO11,
APO02, AP013
dan AP004. Dan
hasil Capability
Level 3.55 berada
dalam Level 4
atau Managed and
Measurable
4 Hanim Maria
Astuti
2017 Risks
Assessment of
Information
Technology
Processes Based
on
COBIT 5
Framework: A
Case Study of
ITS Service
Desk
COBIT 5 Hasil dari
penelitian ini
menunjukkan
bahwa sebagian
besar risiko
berada dalam
kategori operasi
staf dan keahlian
IT dan
keterampilan,
sehingga kegiatan
dalam DPTSI
paling tepat
dipetakan ke
DSS01 Mengelola
proses Operasi.
Sementara
APO07
Mengelola proses
Sumber Daya
Manusia untuk
mitigasi risiko
mengukur
kategori keahlian
dan keterampilan
TI
10
2.2 Landasan Teori
2.2.1 Pengertian Tata Kelola
Tata kelola TI (teknologi informasi) adalah suatu struktur dan proses
yang saling berhubungan serta mengarahkan dan mengendalikan perusahaan
dalam pencapaian tujuan perusahaan melalui nilai tambah dan penyeimbang
antara resiko dan manfaat dari TI (teknologi informasi) serta prosesnya. (ITGI,
2000).
2.2.2 Pengertian Teknologi Informasi
Teknologi Informasi adalah salah satu alat yang digunakan oleh para
manajer untuk mengatasi perubahan yang terjadi. Dalam hal ini perubahan
yang dimaksud adalah perubahan informasi yang telah diolah dan dibuat
sebelumnya dalam penyimpanan komputer (Kenneth C.Loudon, 2004).
2.2.3 Pengertian Tata Kelola Teknologi informasi
Tata kelola TI (teknologi informasi) sebagai tanggung jawab dewan
direksi dan manajemen eksekutif organisasi yang merupakan bagian
terintegrasi dari pengelolaan perusahaan yang mencakup kepemimpinan,
struktur serta proses organisasi yang memastikan bahwa TI (teknologi
informasi) perusahaan dapat dipergunakan untuk mempertahankan dan
memperluas strategi dan tujuan organisasi (Surendro, 2009:129)
2.2.4 Pengertian Evaluasi Tata Kelola Teknologi Informasi
Evaluasi tata kelola TI (teknologi informasi) adalah proses penetapan secara
sistematis tentang nilai, tujuan, efektivitas, atau kecocokan sesuatu sesuai dengan
11
kriteria dan tujuan yang telah ditetapkan sebelumnya. Proses penetapan keputusan
itu, didasarkan atas perbandingan secara hati-hati terhadap data yang diamati
dengan menggunakan standar tertentu yang telah dibakukan (Wilbur 2009:201).
2.2.5 Tujuan Tata Kelola Teknologi Informasi
Salah satu tujuan tata kelola TI (teknologi informasi) adalah untuk
menyelaraskan setiap proses-proses bisnis yang ada dengan teknologi informasi.
Artinya adalah dengan adanya struktur dan proses yang diperlukan dalam
investasi teknologi informasi, pihak manajemen dapat memastikan teknologi
informasi yang dilakukan sesuai dengan strategi bisnis yang ada. Selain itu
terdapat tujuan tata kelola TI (teknologi informasi) lainnya adalah sebagai berikut
:
1. Menyelaraskan teknologi informasi dengan strategi perusahaan serta
realisasi dari keuntungan-keuntungan yang telah dijanjikan dari penerapan
TI (teknologi informasi).
2. Penggunaan TI (teknologi informasi) memungkinkan perusahaan
mengambil peluang-peluang yang ada, serta memaksimalkan pemanfaatan
TI (teknologi informasi) dalam memaksimalkan keuntungan dari penerapan
teknologi informasi tersebut.
3. Bertanggungjawab terhadap penggunaan sumber daya teknologi informasi.
Manajemen resiko-resiko yang ada terkait teknologi informasi secara tepat.
2.2.6 Area Tata Kelola Teknologi dan Informasi
Adapun yang menjadi area fokus dalam proses pengelolaan tata kelola TI
(teknologi informasi), dibedakan menjadi lima area utama (ITGI, 2007) :
12
1. Strategic Alignment, berfokus pada bagaimana mencapai visi dan misi dari
suatu organisasi yang selaras dengan tujuan bisnis organisasi tersebut.
2. Value Delivery, berfokus pada bagaimana mengoptimalkan nilai tambah
dari TI (teknologi informasi ) dalam mencapai visi dan misi suatu
organisasi.
3. Resources Management, berfokus pada bagaimana sumber daya dan
infrastruktur dapat mencukupi dalam penggunaannya yang optimal,
berkaitan pada investasi yang optimal dari penggunaan TI (teknologi
informasi) yang ada. Melakukan manajemen yang sesuai, adapun sumber
daya teknologi informasi yang kritis, meliputi : aplikasi, informasi,
infrastruktur dan sumber daya manusia. Dan hal-hal yang penting berkaitan
dengan optimalisasi pengetahuan dan infrastruktur yang ada.
4. Risk Management, berfokus pada bagaimana melakukan identifikasi
kemungkinan resiko-resiko yang ada, serta bagaimana mengatasi dampak
dari resiko-resiko tersebut.
5. Performance Measurement, berfokus pada bagaimana mengukur serta
mengawasi kinerja dari teknologi informasi dan menyesuaikan penggunaan
dari TI (teknologi informasi) sesuai dengan kebutuhan bisnis organisasi.
2.2.7 Prinsip Tata Kelola Teknologi Informasi
Menurut jogiyanto dan Abdillah (2011) prinsip tata kelola TI (teknologi
informasi) menunjukan kriteria dan arah tujuan strategik penerapan TI (teknologi
informasi) dalam organisasi. Prinsip tata kelola TI (teknologi informasi) adalah
sebagai berikut :
13
1. Tata kelola TI sebagai sistem pencegahan
2. Rancang tata kelola TI secara terintegrasi
3. Keterlibatan dan partisipasi eksekutif puncak
4. Kaji secara rutin
5. Selaras dengan visi organisasi
6. Tanggung jawab dan kepemilikan yang jelas
2.3 COBIT (Control Objectives For Information & Related Technology)
COBIT (Control Objectives for Information and Related Technology)
merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh
ISACA (Information Systems Audit and Control Association) dan IT
Governance Institute (ITGI) pada tahun 1992. COBIT Framework adalah
standar kontrol yang umum terhadap teknologi informasi, dengan memberikan
kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima
dan diterapkan secara internasional. COBIT adalah kumpulan dokumentasi
untuk tata kelola teknologi informasi yang membantu auditor, pengguna dan
manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol
dan masalah teknis teknologi informasi. COBIT sangat berguna bagi auditor
karena dapat membantu identifikasi teknologi informasi control issues. COBIT
juga bermanfaat bagi para pengguna teknologi informasi karena mendapatkan
keyakinan atas kehandalan sistem yang dipakai, sedangkan untuk manager
COBIT berguna untuk mengambil keputusan investasi dibidang teknologi
informasi dan menyusun rencana strategi serta keputusan. Dalam
14
perkembangan COBIT (Control Objectives for Information and Related
Technology) telah mengalami perubahan yang dimulai dari COBIT 1 hingga
COBIT 5. ISACA (Information Systems Audit and Control Association) adalah
suatu organisasi internasional pada bidang tata kelola teknologi informasi
sebagai profesional tata kelola teknologi yang dilayaninya, dengan dimulainya
ISACA pada tahun 1967, hanya kelompok kecil yang memiliki sedikit orang
dengan pekerjaan kontrol audit dalam sistem komputer, pada tahun 1969
sebagai kelompok formal, bergabung sebagai Asosiasi Electronic Data
Processing (EDP). Pada tahun 1976 membentuk yayasan pendidikan untuk
penelitian besar agar memepeluas ilmu pengetahuan dan nilai tata kelola.
ISACA membuat COBIT 1 pada tahun 1996 hanya terakait pekerjaan audit.
Kemudian merilis COBIT 2 pada tahun 1998 dengan revisi pada tingkat dan
tujuan dan tambahan seperangkat alat implementasi, COBIT 3 pada tahun 1998
dengan memberikan paham dan mengadopsi prinsip dari teknologi informasi
serta manajemen teknologi informasi. Kemudian ISACA melalui ITGI
meningkatkan dari COBIT 3 menjadi COBIT 4 ditandai dengan peningkatan
pada tata kelola teknologi informasi. Menurut ISACA, COBIT 5 adalah versi
baru dari arahan ISACA tentang tata kelola dan manajemen IT.
2.3.1 Pengertian COBIT 5
Menurut ISACA (2012), COBIT 5 merupakan generasi terbaru dari
panduan ISACA yang membahas mengenai tata kelola dan management IT
(information teknologi). COBIT 5 dibuat berdasarkan pengalaman penggunaan
COBIT selama lebih dari 15 tahun oleh banyak perusahaan dalam pengguna
15
dari bidang bisnis, komunitas IT (information teknologi), resiko, asuransi, dan
keamanan.
COBIT 5 memberikan pandangan bisnis end-to-end dari tata kelola TI
(teknologi informasi) perusahaan, yang mencerminkan peran sentral informasi
dan teknologi dalam menciptakan nilai bagi perusahaan dari semua ukuran,
prinsip-prinsip, praktek, alat-alat analisis dan model yang ditemukan di COBIT 5
mewujudkan pemikiran kepemimpinan dan bimbingan dari bisnis, TI (teknologi
informasi) dan governance ahli di seluruh dunia. COBIT 5 memberikan arahan
kepada para eksekutif dan pihak yang bertanggung jawab membuat keputusan
mengenai penggunaan teknologi dalam mendukung tujuan organisasi. COBIT 5
membantu para pemimpin bisnis memenuhi kebutuhan semua pemangku
kepentingan di perusahaan dan pada akhirnya memaksimalkan nilai dari informasi
dan teknologi
2.3.2 Prinsip COBIT 5
Gambar 2.1 Prinsip COBIT 5 ( ICASA, 2012)
16
Menurut ISACA (2012:14) COBIT 5 didasari oleh 5 prinsip kunci dalam
menjalankan governance dan management kelima prinsip COBIT 5 tersebut yaitu
:
1. Meeting Stakeholder Needs (Memenuhi Kebutuhan Stakeholder)
Gambar 2.2 The Goverance Objective (ISACA,2012:17)
Enterprises ada untuk menciptakan nilai bagi stakeholder mereka dengan menjaga
keseimbangan antara realisasi manfaat dan optimalisasi risiko dan penggunaan
sumber daya. COBIT 5 menyediakan semua proses yang diperlukan dan enabler
lain untuk mendukung penciptaan nilai bisnis melalui penggunaan teknologi
informasi. Karena setiap perusahaan memiliki tujuan yang berbeda, suatu
perusahaan dapat menyesuaikan COBIT 5 sesuai dengan konteks sendiri melalui
17
gol cascade, menerjemahkan tujuan perusahaan-tingkat tinggi ke dikelola,
spesifik, tujuan yang berkaitan dengan teknologi informasi dan pemetaan ini
untuk proses dan praktik tertentu.
a. COBIT 5 Goals Cascade
Dalam prinsip COBIT yang pertama ini mekanisme untuk menerjemahkan
kebutuhan pemangku kepentingan menjadi sasaran perusahaan yang spesifik,
dapat ditindak lanjuti dan disesuaikan, sasaran yang terkait dengan TI (teknologi
informasi) dengan beberapa step berikut ini :
Step 1. Stakeholder Drivers Influence Stakeholder Needs
Kebutuhan pemangku kepentingan dipengaruhi oleh sejumlah
pengemudi, misalnya, perubahan strategi, perubahan bisnis dan peraturan
lingkungan, dan teknologi baru.
Step 2. Stakeholder Needs Cascade to Enterprise Goals
Kebutuhan pemangku kepentingan dapat dikaitkan dengan serangkaian
sasaran perusahaan umum. Tujuan-tujuan perusahaan ini telah
dikembangkan dengan menggunakan balanced scorecard (BSC) 1
dimensi, dan mereka mewakili daftar tujuan yang umum digunakan yang
dapat ditentukan oleh perusahaan Tujuan khusus perusahaan dapat
dipetakan dengan mudah ke satu atau lebih dari tujuan perusahaan umum.
Tabel kebutuhan pemangku kepentingan dan tujuan perusahaan disajikan
dalam gambar 2.3.
18
Gambar 2.3 COBIT 5 Goals Cascade Overview (ISACA,2012:18)
Menurut ISACA (2012 : 18) COBIT 5 mendefinisikan 17 tujuan umum, seperti
yang ditunjukkan pada gambar 2.4 , yang mencakup informasi berikut:
• Dimensi BSC yang sesuai dengan tujuan perusahaan
• Tujuan perusahaan
• Hubungan dengan tiga tujuan utama tata kelola - realisasi manfaat,
pengoptimalan risiko dan sumber daya pengoptimalan. (‘P’ berarti hubungan
primer dan ‘S’ untuk hubungan sekunder, yaitu, hubungan yang kurang kuat)
19
Gambar 2.4 Enterprise Goals COBIT 5 (ISACA,2012:19)
Step 3. Enterprise Goals Cascade to IT-related Goals
Pencapaian tujuan perusahaan membutuhkan sejumlah hasil terkait TI
(teknologi informasi) yang diwakili oleh sasaran terkait TI (teknologi
informasi) yang berhubungan dengan informasi dan teknologi terkait, dan
tujuan yang terkait dengan TI (teknologi informasi) disusun sepanjang
20
dimensi IT balanced scorecard (IT BSC). COBIT 5 mendefinisikan 17
tujuan terkait TI (teknologi informasi), yang tercantum pada gambar 2.5.
Gambar 2.5 IT-Related Goals COBIT 5 (ISACA,2012:19)
2. Covering the enterprise end-to-end (Melingkupi End-to-End Perusahaan)
COBIT 5 mengintegrasikan tata kelola perusahaan dalam pemerintahan
perusahaan, ini mencakup semua fungsi dan proses dalam perusahaan. COBIT 5
tidak hanya fokus pada fungsi TI (teknologi informasi), tetapi memperlakukan
informasi dan teknologi yang terkait sebagai aset yang harus ditangani sama
seperti aset lainnya oleh semua orang dalam perusahaan. Menganggap semua tata
21
kelola dan manajemen enabler yang berkaitan dengan TI (teknologi informasi)
menjadi enterprisewide dan end-to-end, yaitu, termasuk segala sesuatu dan semua
orang-internal dan eksternal-yang relevan dengan tata kelola dan manajemen
informasi perusahaan dan terkait teknologi informasi.
3. Applying a single integrated framework (Menerapkan Satu, Kerangka
Terintegrasi)
Gambar 2.6 single integrated framework COBIT 5 (ISACA, 2012:25)
Ada banyak standar yang berkaitan dengan TI (teknologi informasi) dan praktek
yang baik, masing-masing memberikan panduan tentang subset dari kegiatan TI
(teknologi informasi). COBIT 5 menyelaraskan dengan standar dan kerangka
22
kerja relevan lainnya, seperti standar ITIL, TOGAF dan ISO dengan demikian
dapat berfungsi sebagai kerangka kerja menyeluruh untuk tata kelola dan
manajemen teknologi informasi perusahaan.
4. Enabling a holistic approach (Memungkinkan Pendekatan Holistik)
Gambar 2.7 Enterprise Enablers COBIT 5 (ISACA,2012 :27)
Efisien dan efektif tata kelola dan manajemen perusahaan TI (teknologi informasi)
memerlukan pendekatan holistik, dengan mempertimbangkan beberapa komponen
yang saling berinteraksi. COBIT 5 mendefinisikan satu set enabler untuk
mendukung pelaksanaan sistem pemerintahan dan manajemen yang komprehensif
untuk perusahaan, enabler secara luas didefinisikan sebagai sesuatu yang dapat
membantu untuk mencapai tujuan perusahaan. COBIT 5 framework
mendefinisikan tujuh kategori enabler (ISACA2012:27)
1) Prinsip, Kebijakan dan Kerangka
2) Proses
3) Struktur Organisasi
23
4) Budaya, Etika dan Perilaku
5) Informasi
6) Layanan, Infrastruktur dan Aplikasi
7) Orang-orang, Keterampilan dan Kompetensi
5. Separating governance from management (Memisahkan Tata Kelola dari
Manajemen)
Menurut COBIT 5, governance memastikan kebutuhan, kondisi dan pilihan dari
stakeholder dievaluasi untuk menentukan objektif dari perusahaan yang akan
disepakati untuk dicapai. Governance memberikan arah bagi penentuan prioritas
dan pengambilan keputusan, selain itu, governance juga memonitor kinerja dan
kesesuaian terhadap objektif yang telah disepakati. Sementara, management
meliputi aktivitas merencanakan, membangun, menjalankan dan memonitor
aktivitas yang diselaraskan dengan arahan yang ditetapkan oleh organisasi
governance untuk mencapai objektif dari perusahaan.
Gambar 2.8 Goverance and Management Key Areas (ISACA, 2012:32)
24
Perbedaan Goverance (Tata Kelola) dengan Management (Manajemen)
Goverance adalah tata kelola yang memastikan bahwa tujuan perusahaan
dapat dicapai dengan melakukan evaluasi terhadap kebutuhan, kondisi,
dan pilihan stakholder, menetapkan arah melalui prioritas dan
pengambilan keputusan terhadap arah dan tujuan yang telah disepakati.
Management (manajemen) berfungsi sebagai perencana, membangun,
menjalankan dan memonitor aktifitas-aktifitas yang sejalan dengan arah
yang telah ditetapkan oleh bahan tata kelola untuk mencapai tujuan
perusahaan. Pada kebanyakan perusahaan manajemen menjadi tanggung
jawab eksekutif manajemen dibawah pimpinan CEO.
2.3.3 Implementasi COBIT
Menurut ICASA (2012), terdapat 7 (tujuh) tahap yang terdapat dalam
implementasi COBIT 5 adalah :
Gambar 2.9 Implementasi COBIT 5 (ISACA, 2012:37)
25
1. Fase Pertama : What are The Drivers/ Initiate Program
Mengidentifikasi perubahan pendorong yang menyebabkan berubahnya
keinginan manajemen eksekutif, kemudian diekspresikan ke dalam sebiah
kasus bisnis. Perubahan pendorong bisa berasal dari kejadian
internal/eksternal, atau sebuah kondisi yang menyebabkan terjadinya
perubahan
2. Fase Kedua : Where Are We Now/ Define Problems and Opportunities
Menyelaraskan tujuan IT-related dengan strategi serta risiko organisasi,
serta memprioritaskan tujuan perusahaan, tujuan TI (teknologi informasi)
serta proses yang penting, tujuan organisasi dan teknologi informasi terpilih
kemudian diidentifikasi proses yang kritis yang perlu untuk didorong
kemampuannya untuk menjamin keluaran yang sukses dan manajemen
perlu tahu kemampuan serta kelemahan mereka saat ini.
3. Fase Ketiga : Where Do We Want To Be/Define Rod Map
Menetapkan target untuk peningkatan, berdasarkan pada analisa gap untuk
mengidentifikasi solusi dan mentukan prioritas untuk proyek-proyek yang
sekiranya mudah untuk dicapai dan paling mungkin memberikan manfaat
paling besar.
4. Fase Keempat : What Needs To Be Done/ Plan Programme
Merencanakan solusi yang layak dan praktis dengan mendefinisikan proyek
yang didukung dengan cara menganalisa kasus bisnis dan merubah rencana
untuk membantu memastikan bahwa keuntungan proyek teridentifikasi, dan
diawasi secara terus menerus.
26
5. Fase Kelima : How Do We Get There/ Excecute Plan
Implementasi dari solusi yang diusulkan ke dalam praktik keseharian dan
melakukan pengukuran serta pengawasan untuk menjamin bahwa
keselarasan bisnis dapat tercapai dan performa dapat diukur.
6. Fase Keenam : Did We Get There/ Realede Banefits
Fokus pada mempertahankan transisi dari peningkatan praktik tata kelola
dan manajemen ke dalam operasioanal bisnis yang normal dan mengawasi
pencapaian dari peningkatan tersebut menggunakan metrics performance.
7. Fase ketujuh : How Do We Keep the Momentum Going/ Review
Effectivenness
Review kesuksesan dari inisiasi, identifikasi kebutuhan tata kelola atau
manajemen dan memaksa adanya kebutuhan untuk peningkatan secara terus
menerus. Ini juga memprioritaskan kesempatan untuk meningkatkan tata
kelola TI (teknologi informasi) di Perusahaan.
2.3.4 Proses COBIT 5
Dalam COBIT 5 saat ini terbagi menjadi 5 domain yang terdiri dari 37
proses, berikut merupakan 37 model proses COBIT 5 (ISACA, 2012:74) :
Gambar 2.10 Proses COBIT 5 (ISACA, 2012:74)
27
Berikut merupakan penjabaran dari masing masing doamin yaitu sebagai
berikut :
1. Domain EDM ( Evaluate, Direct and Monitor)
Proses tata kelola ini berurusan dengan pemangku kepentingan dalam
melakukan penilaian, optimasi resiko dan sumber daya mencakup praktek dan
kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan
arahan kepada TI (teknologi informasi) dan pemantauan hasilnya. Dalam
domain EDM (Evaluate, Direct and Monitor) terdiri dari 5 subdomain dan key
goverance masing-masing yaitu :
a. EDM01 Ensure Governance Framework Setting and Maintenance
(Memastikan kerangka kerja tata kelola pengaturan dan pemeliharaan).
Menurut (ISACA, 2012) deskripsi dari proses EDM01 adalah menganalisa
untuk tata kelola teknologi informasi perusahaan dan menempatkan struktur
yang ada, prinsip, proses-proses dan praktiknya dengan kejelasan dan tanggung
jawab untuk mencapai misi dan sasaran perusahaan. Di dalam EDM01 terdapat
3 aktifitas yakni :
1. EDM01.01 Evaluate the governance system (Evaluasi sistem
pemerintahan).
2. EDM01.02 Direct the governance system (Mengarahkan sistem
pemerintahan).
3. EDM01.03 Monitor the governance system ( Pantau sistem pemerintahan).
28
b. EDM02 Ensure Benefits Delivery (Memastikan penyampaian yang bermanfaat)
Menurut ISACA (2012), deskripsi dari proses EDM02 adalah mengoptimalkan
nilai kontribusi bisnis dari sebuah bisnis proses, service teknologi informasi ,
dan asetnya harus sesuai dengan biaya dari perusahaan.
Tujuan dari proses ini adalah mengamankan nilai optimal dari pengadaan TI
(teknologi informasi), service, dan aset. Jadi bisnis itu perlu dukungan dari
keefektifan dan efisiensi. Aktifitas nya terdiri dari :
1. EDM02.01 Evaluate value optimisation (Evaluasi nilai optimasi).
2. EDM02.02 Direct value optimisation(Pengoptimalan nilai langsung).
3. EDM02.03 Monitor value optimisation (Pantau pengoptimalan nilai).
c. EDM03 Ensure Risk Optimisation (memastikan optimisasi resiko)
Menurut ISACA (2012), dalam proses EDM03 adalah memastikan besarnya
resiko dan toleransi yang dapat diterima perusahaan dimengerti, serta
dikomunikasikan dan pengelolaan resiko- resiko yang berhubungan dengan
nilai teknologi informasi pada peusahaan. Tujuannnya adalah memastikan
bahwa resiko teknologi informasi tidak melebihi kemampuan dan toleransi
perusahaan dalam menerima resiko serta mengidentifikasi dan mengelola
dampak resiko teknologi informasi . Terdapat 3 aktifitas didalamnya yakni :
1. EDM03.01 Evaluate risk management(Evaluasi manajemen risiko).
2. EDM03.02 Direct risk management. (Manajemen risiko langsung).
3. EDM03.03 Monitor risk management (Pantau manajemen risiko).
29
d. EDM04 Ensure Resource Optimisation (memastikan optimisasi sumber daya)
Menurut ISACA (2012), deskripsi dari proses EDM04 adalah memastikan
kemampuan teknologi informasi (TI) yang memadai (karyawan, proses,
teknologi) untuk mendukung tujuan perusahaan. Tujuannya adalah memastikan
sumber daya yang di butuhkan perusahaan terpenuhi secara optimal. Terdapat 3
aktifitas yakni :
1. EDM04.01 Evaluate resource management.(Evaluasi manajemen sumber
daya).
2. EDM04.02 Direct resource management(Pengelolaan sumber daya
langsung).
3. EDM04.03 Monitor resource management (Pantau pengelolaan sumber
daya).
e. EDM05 Ensure Stakeholder Transparency (memastikan transparansi
stakeholder).
Menurut ISACA (2012), deskripsi dari proses ini adalah memasikan performa
dan kecocokan teknologi informasi yang dilaporkan secara transparan.
Tujuan dari proses ini adalah memastikan komunikasi ke pemangku
kepentingan secara efektif. Terdapat 3 proses yakni:
1. EDM05.01 Evaluate stakeholder reporting requirements. (Evaluasi
persyaratan pelaporan pemangku kepentingan)
2. EDM05.02 Direct stakeholder communication and reporting.
(Komunikasi dan pelaporan pemangku kepentingan langsung).
30
3. EDM05.03 Monitor stakeholder communication (Pantau komunikasi
pemangku kepentingan).
2. Domain APO (Align, Plan and Organise)
Domain ini memberikan arah pengiriman solusi dan penyediaan layanan dan
dukungan (DSS). Domain ini mencakup strategi dan taktik, dan
mengidentifikasikan cara terbaik teknologi informasi (TI) agar dapat
berkonribusi pada pencapaian tujuan bisnis, dalam domain ini terdapat 13
subdomain dan sub aktifitasnya
a. APO01 Manage the IT Management Framework (mengelola manajemen
kerangka kerja IT)
1. APO01.01 Define the organisational structure (Tentukan struktur
organisasi).
2. APO01.02 Establish roles and responsibilities (Tetapkan peran dan
tanggung jawab).
3. APO01.03 Maintain the enablers of the management system
(Mempertahankan faktor pendukung sistem manajemen).
4. APO01.04 Communicate management objectives and direction
(Komunikasikan tujuan dan arahan manajemen).
5. APO01.05 Optimise the placement of the IT function (Mengoptimalkan
penempatan fungsi TI).
6. APO01.06 Define information (data) and system ownership (Menentukan
informasi (data) dan kepemilikan sistem).
31
7. APO01.07 Manage continual improvement of processes (Kelola
peningkatan proses yang berkelanjutan)
8. APO01.08 Maintain compliance with policies and procedures (Menjaga
kepatuhan dengan kebijakan dan prosedur).
b. APO02 Manage Strategy (mengelola strategi)
1. APO02.01 Understand enterprise direction (Memahami arah
perusahaan)
2. APO02.02 Assess the current environment, capabilities and performance
(Menilai lingkungan, kemampuan, dan kinerja saat ini).
3. APO02.03 Define the target IT capabilities (Tentukan kemampuan TI
target).
4. APO02.04 Conduct a gap analysis(Melakukan analisis kesenjangan).
5. APO02.05 Define the strategic plan and road map (Tentukan rencana
strategis dan peta jalan).
6. APO02.06 Communicate the IT strategy and direction (Komunikasikan
strategi dan arah TI).
c. APO03 Manage Enterprise Architecture (mengelola arsitektur perusahaan)
1. APO03.01 Develop the enterprise architecture vision (Kembangkan visi
arsitektur enterprise).
2. APO03.02 Define reference architecture (Tentukan arsitektur referensi)
3. APO03.03 Select opportunties and solutions (Pilih peluang dan solusi).
4. APO03.04 Define architecture implementation (Tentukan implementasi
arsitektur).
32
5. APO03.05 Provide enterprise architecture services (Menyediakan layanan
arsitektur perusahaan).
d. APO04 Manage Innovation (mengelola inovasi)
1. APO04.01 Create an environment conducive to innovation (Menciptakan
lingkungan yang kondusif untuk inovasi).
2. APO04.02 Maintain an understanding of the enterprise environment
(Mempertahankan pemahaman tentang lingkungan perusahaan).
3. APO04.03 Monitor and scan the technology environment (Pantau dan
pindai lingkungan teknologi).
4. APO04.04 Assess the potential of emerging technologies and innovation
ideas (Menilai potensi munculnya teknologi dan ide inovasi).
5. APO04.05 Recommend appropriate further initiatives (Merekomendasikan
inisiatif lebih lanjut yang sesuai)
6. APO04.06 Monitor the implementation and use of innovation (Pantau
implementasi dan penggunaan inovasi).
e. APO05 Manage Portfolio (mengelola portofolio).
1. APO05.01 Establish the target investment mix (Menetapkan bauran
investasi target).
2. APO05.02 Determien the availability and sources of funds (Tentukan
ketersediaan dan sumber dana).
3. APO05.03 Evaluate and select programmes to fund (Tentukan
ketersediaan dan sumber dana).
33
4. APO05.04 Monitor, optimise and report on investment portfolio
performance (Memantau, mengoptimalkan, dan melaporkan kinerja
portofolio investasi)
5. APO05.05 Maintain portfolios (Mempertahankan portofolio)
6. APO05.06 Manage benefits achievement (Kelola pencapaian manfaat).
f. APO06 Manage Budget and Costs (mengelola anggaran dan biaya)
1. APO06.01 Manage finance and accounting (Kelola keuangan dan
akuntansi).
2. APO06.02 Prioritise resource allocation (Prioritaskan alokasi sumber
daya).
3. APO06.03 Create and maintain budgets (Buat dan pertahankan
anggaran).
4. APO06.04 Model and allocate costs (Model dan alokasikan biaya).
5. APO06.05 Manage costs (Kelola biaya).
g. APO07 Manage Human Resources (mengelola sumberdaya manusia)
1. APO07.01 Maintain adequate and appropriate staffing (Menjaga
kepegawaian yang memadai dan tepat).
2. APO07.02 Identify key IT personnel (Identifikasi personel TI kunci).
3. APO07.03 Maintain the skills and competencies of personnel
(Mempertahankan keterampilan dan kompetensi personel).
4. APO07.04 Evaluate employee job performance (Evaluasi kinerja
pekerjaan karyawan).
34
5. APO07.05 Plan and track the usage of IT and business human resources
(Merencanakan dan melacak penggunaan TI dan sumber daya manusia
bisnis).
6. APO07.06 Manage contract staff (Kelola staf kontrak).
h. APO08 Manage Relationships (mengelola hubungan)
1. APO08.01 Understand business exepctations (Memahami exepctations
bisnis).
2. APO08.02 Identify opportunities, risk and constraints for IT to enhance
the business (Identifikasi peluang, risiko, dan hambatan bagi TI untuk
meningkatkan bisnis).
3. APO08.03 Manage the business relationship (Kelola hubungan bisnis).
4. APO08.04 Co-ordinate and communicate (Koordinasikan dan
komunikasikan).
5. APO08.05 Provide input to the continual improvement of services
(Berikan masukan untuk peningkatan layanan yang berkelanjutan).
i. APO09 Manage Service Agreements (mengelola persetujuan service/layanan)
1. APO09.01 Identify IT services (Identifikasi layanan TI).
2. APO09.02 Catalogue IT-enabled services (Katalog layanan yang didukung
IT).
3. APO09.03 Define and prepare service agreements (Tentukan dan siapkan
perjanjian layanan).
4. APO09.04 Monitor and report service levels (Pantau dan laporkan tingkat
layanan).
35
5. APO09.05 Review service agreements and contracts (Tinjau
perjanjian layanan dan kontrak).
j. APO10 Manage Suppliers (mengelola suppliers)
1. APO10.01 Identify and evaluate supplier relationships and contracts
(Identifikasi dan evaluasi hubungan dan kontrak pemasok).
2. APO10.02 Select suppliers (Pilih pemasok).
3. APO10.03 Manage supplier relationships and contracts (Kelola
hubungan dan kontrak pemasok).
4. APO10.04 Manage supplier risk (Kelola risiko pemasok).
5. APO10.05 Monitor supplier performance and compliance (Pantau
kinerja dan kepatuhan pemasok).
k. APO11 Manage Quality (mengelola kualitas)
1. APO11.01 Establish a quality management system (QMS)
(Menetapkan sistem manajemen mutu (QMS))
2. APO11.02 Define and manage quality standards, practices and
procedures (Definisikan dan kelola standar, praktik, dan prosedur
kualitas).
3. APO11.03 Focus quality management on customers (Fokus
manajemen kualitas pada pelanggan).
4. APO11.04 Perform quality monitoring, control and reviews
(Lakukan pemantauan kualitas, kontrol dan ulasan).
5. APO11.05 Integrate quality management into solutions for
development and service delivery (Mengintegrasikan manajemen
36
kualitas menjadi solusi untuk pengembangan dan penyampaian
layanan).
6. APO11.06 Maintain continuous improvement (Mempertahankan
perbaikan berkelanjutan).
l. APO12 Manage Risk (mengelola resiko)
1. APO12.01 Collect data (Mengumpulkan data).
2. APO12.02 Analyse risk (Analisis risiko).
3. APO12.03 Maintain a risk profile (Mempertahankan profil risiko).
4. APO12.04 Articulate risk (Risiko mengartikulasikan.).
5. APO12.05 Define a risk management action portfolio (Definisikan
portofolio tindakan manajemen risiko).
6. APO12.06 Respond to risk (Menanggapi risiko).
m. APO13 Manage Security (mengelola keamanan)
1. APO13.01 Establish and maintain an ISMS (Menetapkan dan
memelihara ISMS).
2. APO13.02 Define and manage an information security risk
treatment plan (Menentukan dan mengelola rencana perawatan
risiko keamanan informasi).
3. APO13.03 Monitor and review the ISMS (Pantau dan tinjau ISMS).
3. Domain BAI (Build, Acquire and Implement)
Domain BAI (Build, Acquire and Implement) memberikan solusi layanan
untuk mewujudkan strategi teknologi informasi (TI) yang di identifikasi dan di
kembangan atau diperoleh serta di implementasikan dan terintegrasi ke dalam
37
proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga di cakup
dalam domain ini . Subdomainnya terdiri dari :
a. BAI01 Manage Programmes and Projects ( mengelola program dan
proyek)
1. BAI01.01 Maintain a standard approach for programme and project
management (Mempertahankan pendekatan standar untuk manajemen
program dan proyek).
2. BAI01.02 Initiate a programme (Memulai program).
3. BAI01.03 Manage stakeholder engagement (Kelola keterlibatan
pemangku kepentingan).
4. BAI01.04 Develop and maintain the programme plan (Kembangkan
dan pelihara rencana program).
5. BAI01.05 Launch and execute the programme (Luncurkan dan jalankan
program).
6. BAI01.06 Monitor, control and report on the programme outcomes
(Pantau, kontrol, dan laporkan hasil program).
7. BAI01.07 Start up and initiate projects within a programme (Mulai dan
memulai proyek dalam suatu program).
8. BAI01.08 Plan projects (Merencanakan proyek).
9. BAI01.09 Manage programme and project quality (Kelola program dan
kualitas proyek).
10. BAI01.10 Manage programme and project risk (Kelola program dan
risiko proyek)
38
11. BAI01.11 Monitor and control projects (Pantau dan kontrol
proyek)
12. BAI01.12 Manage project resources and work packages (Kelola
sumber daya proyek dan paket pekerjaan).
13. BAI01.13 Close a project or iteration (Tutup proyek atau iterasi)
14. BAI01.14 Close a programme (Tutup sebuah program).
b. BAI02 Manage Requirements Definition (mengelola definisi
persyaratan)
1. BAI02.01 Define and maintain business functional and technical
requirements (Definisikan dan pertahankan persyaratan
fungsional dan teknis bisnis)
2. BAI02.02 Perform a feasibility study and formulate alternative
solutions (Lakukan studi kelayakan dan rumuskan solusi
alternatif).
3. BAI02.03 Manage requirements risk (Kelola risiko persyaratan)
4. BAI02.04 Obtain approval of requirements and solutions
(Dapatkan persetujuan persyaratan dan solusi).
c. BAI03 Manage SolutionsIdentification and Build (mengelola
identifikasi solusi dan pembangunan)
1. BAI03.01 Design high-level solutions (Rancang solusi tingkat
tinggi).
2. BAI03.02 Design detailed solution components (Rancang
komponen solusi terperinci)
39
3. BAI03.03 Develop solution components (Mengembangkan
komponen solusi).
4. BAI03.04 Procure solution components (Pengadaan komponen
solusi).
5. BAI03.05 Build solutions (Bangun solusi).
6. BAI03.06 Perform quality assurance (Lakukan jaminan kualitas)
7. BAI03.07 Prepare for solution testing (Persiapkan untuk pengujian
solusi)
8. BAI03.08 Execute solution testing (Jalankan pengujian solusi).
9. BAI03.09 Manage changes to requirements (Kelola perubahan
pada persyaratan)
10. BAI03.10 Maintain solutions (Pertahankan solusi)
11. BAI03.11 Define IT services and maintain the service portfolio
(Tentukan layanan TI dan pertahankan portofolio layanan).
d. BAI04 Manage Availability and Capacity (mengelola ketersediaan dan
kapasitas)
1. BAI04.01 Assess current availability, performance and capacity
and create a baseline (Menilai ketersediaan, kinerja dan kapasitas
saat ini dan membuat garis dasar).
2. BAI04.02 Assess business impact (Menilai dampak bisnis).
3. BAI04.03 Plan for new or changed service requirements
(Merencanakan persyaratan layanan baru atau yang diubah).
40
4. BAI04.04 Monitor and review availability and capacity (Pantau
dan tinjau ketersediaan dan kapasitas).
5. BAI04.05 Investigate and address availability, performance and
capacity issues (Selidiki dan atasi ketersediaan, kinerja, dan
masalah kapasitas).
e. BAI05 Manage Organisational Change Enablement (mengelola
pemberdayaan perubahan organisasi
1. BAI05.01 Establish the desire to change (Tetapkan keinginan
untuk berubah).
2. BAI05.02 Form an effective implementation team (Bentuk tim
implementasi yang efektif).
3. BAI05.03 Communicate desired vision (Komunikasikan visi yang
diinginkan).
4. BAI05.04 Empower role players and identify short-term wins
(Memberdayakan pemain peran dan mengidentifikasi kemenangan
jangka pendek).
5. BAI05.05 Enable operation and use (Aktifkan pengoperasian dan
penggunaan).
6. BAI05.06 Embed new approaches (Tanamkan pendekatan baru).
7. BAI05.07 Sustain changes (Pertahankan perubahan).
41
f. BAI06 Manage Changes (mengelola perubahan)
1. BAI06.01 Evaluate, prioritise and authorise change requests
(Mengevaluasi, memprioritaskan dan mengotorisasi permintaan
perubahan).
2. BAI06.02 Manage emergency changes (Kelola perubahan darurat).
3. BAI06.03 Track and report change status (Lacak dan laporkan
status perubahan).
4. BAI06.04 Close and document the changes (Tutup dan
dokumentasikan perubahannya).
g. BAI07 Manage Change Acceptance and Transitioning (mengelola
penerimaan terhadap perubahan dan transisi)
1. BAI07.01 Establish an implementation plan (Buat rencana
implementasi).
2. BAI07.02 Plan business process, system and data conversion
(Merencanakan proses bisnis, sistem dan konversi data).
3. BAI07.03 Plan acceptance tests (Rencanakan tes penerimaan).
4. BAI07.04 Establish a test environment (Buat lingkungan
pengujian).
5. BAI07.05 Perform acceptance tests (Lakukan tes penerimaan).
6. BAI07.06 Promote to production and manage releases
(Promosikan ke produksi dan kelola rilis).
7. BAI07.07 Provide early production support (Berikan dukungan
produksi awal).
42
8. BAI07.08 Perform a post-implementation review (Lakukan
tinjauan pasca-implementasi).
h. BAI08 Manage Knowledge ( Mengelola Pengetahuan)
1. BAI08.01 Nurture and facilitate a knowledge-sharing culture
(Memelihara dan memfasilitasi budaya berbagi pengetahuan).
2. BAI08.02 Identify and classify sources of information
(Identifikasi dan klasifikasikan sumber informasi).
3. BAI08.03 Organise and contextualise information into knowledge
(Mengatur dan mengontekstualisasikan informasi menjadi
pengetahuan).
4. BAI08.04 Use and share knowledge (Gunakan dan bagikan
pengetahuan).
5. BAI08.05 Evaluate and retire information (Mengevaluasi dan
menghentikan informasi).
i. BAI09 Manage Assets ( Mengelola Asset/modal)
1. BAI09.01 Identify and record current assets (Identifikasi dan
catat aset saat ini)
2. BAI09.02 Manage critical assets (Kelola aset penting).
3. BAI09.03 Manage the asset life cycle (Kelola siklus hidup aset).
4. BAI09.04 Optimise asset costs (Mengoptimalkan biaya aset)
5. BAI09.05 Manage licences (Kelola lisensi).
43
j. BAI10 Manage Configuration (Mengelola Konfigurasi)
1. BAI10.01 Establish and maintain a configuration model
(Menetapkan dan memelihara model konfigurasi)
2. BAI10.02 Establish and maintain a configuration repository and
baseline (Buat dan pertahankan konfigurasi repositori dan baseline).
3. BAI10.03 Maintain and control configuration items
(Mempertahankan dan mengontrol item konfigurasi).
4. BAI10.04 Produce status and configuration reports (Menghasilkan
status dan konfigurasi laporan).
5. BAI10.05 Verify and review integrity of the configuration repository
(Verifikasi dan tinjau integritas dari repositori konfigurasi).
4. Domain DSS (Deliver, Service and Support)
a. DSS01 Manage Operations (Mengelola Operasi)
1. DSS01.01 Perform operational procedures (Lakukan prosedur
operasional).
2. DSS01.02 Manage outsourced IT services (Mengelola layanan TI
yang dialihdayakan).
3. DSS01.03 Monitor IT infrastructure (Pantau infrastruktur TI).
4. DSS01.04 Manage the environment (Kelola lingkungan).
5. DSS01.05 Manage facilities (Kelola fasilitas).
b. DSS02 Manage Service Requests and Incidents (mengelola permintaan
service/layan dan insiden)
44
1. DSS02.01 Define incident and service request classification
schemes (Tentukan skema klasifikasi permintaan dan permintaan
layanan)
2. DSS02.02 Record, classify and prioritise requests and incidents
(Rekam, gambarkan dan memprioritaskan permintaan dan insiden).
3. DSS02.03 Verify, approve and fulfil service requests (Verifikasi,
menyetujui, dan memenuhi permintaan layanan).
4. DSS02.04 Investigate, diagnose and allocate incidents (Selidiki,
diagnosis, dan alokasikan insiden).
5. DSS02.05 Resolve and recover from incidents (Selesaikan dan
pulihkan dari insiden).
6. DSS02.06 Close service requests and incidents (Tutup permintaan
layanan dan insiden).
7. DSS02.07 Track status and produce reports (Lacak status dan buat
laporan)
c. DSS03 Manage Problems ( Mengelola Masalah)
1. DSS03.01 Identify and classify problems (Identifikasi dan
gambarkan masalah).
2. DSS03.02 Investigate and diagnose problems (Selidiki dan
diagnosa masalah).
3. DSS03.03 Raise known errors (Naikkan kesalahan yang
diketahui).
45
4. DSS03.04 Resolve and close problems (Selesaikan dan tutup
masalah).
5. DSS03.05 Perform proactive problem management (Lakukan
manajemen masalah proaktif).
d. DSS04 Manage Continuity ( Mengelola Kontinuitas )
1. DSS04.01 Define the business continuity policy, objectives and
scope (Tentukan kebijakan, tujuan, dan cakupan kontinuitas bisnis).
2. DSS04.02 Maintain a continuity strategy (Mempertahankan strategi
kesinambungan).
3. DSS04.03 Develop and implement a business continuity response
(Kembangkan dan terapkan respons kesinambungan bisnis).
4. DSS04.04 Exercise, test and review the BCP (Latihan, tes dan ulas
BCP).
5. DSS04.05 Review, maintain and improve the continuity plan (Tinjau,
pertahankan, dan tingkatkan rencana kesinambungan).
6. DSS04.06 Conduct continuity plan training (Melakukan pelatihan
rencana kontinuitas).
7. DSS04.07 Manage backup arrangements (Kelola pengaturan
cadangan).
8. DSS04.08 Conduct post-resumption review (Melakukan tinjauan
pasca-kembalinya).
46
e. DSS05 Manage Security Services (mengelola pelayanan keamanan)
1. DSS05.01 Protect against malware (Lindungi terhadap malware).
2. DSS05.02 Manage network and connectivity security (Kelola
keamanan jaringan dan konektivitas).
3. DSS05.03 Manage endpoint security (Kelola keamanan titik
akhir).
4. DSS05.04 Manage user identity and logical access (Kelola
identitas pengguna dan akses logis)
5. DSS05.05 Manage physical access to IT assets (Kelola akses fisik
ke aset TI).
6. DSS05.06 Manage sensitive documents and output devices (Kelola
dokumen sensitif dan perangkat output).
7. DSS05.07 Monitor the infrastructure for security-related events
(Pantau infrastruktur untuk acara terkait keamanan).
f. DSS06 Manage Business Process Controls ( mengelola pengendalian
proses bisnis )
1. DSS06.01 Align control activities embedded in business processes
with enterprise objectives (Sejajarkan aktivitas kontrol yang
tertanam dalam proses bisnis dengan tujuan perusahaan).
2. DSS06.02 Control the processing of information (Kontrol
pemrosesan informasi).
47
3. DSS06.03 Manage roles, responsibilities, access privileges and
levels of authority (Kelola peran, tanggung jawab, hak akses, dan
tingkat otoritas).
4. DSS06.04 Manage errors and exceptions (Kelola kesalahan dan
pengecualian).
5. DSS06.05 Ensure traceability of information events and
accountabilities (Pastikan ketertelusuran informasi acara dan
akuntabilitas)
6. DSS06.06 Secure information assets (Mengamankan aset
informasi).
5. Domain MEA (Monitor, Evaluate and Assess)
Domain ini menerima solusi dan dapat digunakan untuk pengguna akhir,
domain ini berkaitan dengan pengiriman aktual dan dukungan layanan yang di
butuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kelangsungan
dukungan layanan bagi pengguna, manajemen data dan fasilitas operasional,
subdomainnya teridir dari :
a. MEA01 Monitor, Evaluate and Assess Performance and Conformance (
Memonitor, Mengevaluasi dan Mengukur Kinerja dan Kesesuaian)
1. MEA01.01 Establish a monitoring approach (Menetapkan pendekatan
pemantauan).
2. MEA01.02 Set performance and conformance targets (Tetapkan target
kinerja dan kesesuaian).
48
3. MEA01.03 Collect and process performance and conformance data
(Mengumpulkan dan memproses data kinerja dan kesesuaian).
4. MEA01.04 Analyse and report performance (Analisis dan laporkan
kinerja).
5. MEA01.05 Ensure the implementation of corrective actions (Pastikan
pelaksanaan tindakan korektif).
b. MEA02 Monitor, Evaluate and Assess the System of Internal Control (
Memonitor, Mengevaluasi dan Mengukur Sistem dari Pengendalian
Internal
1. MEA02.01 Monitor internal controls (Monitor kontrol internal).
2. MEA02.02 Review business process controls effectiveness (Tinjau
efektivitas kontrol proses bisnis).
3. MEA02.03 Perform control self-assessments (Lakukan penilaian diri
kontrol).
4. MEA02.04 Identify and report control deficiencies (Identifikasi dan
laporkan kekurangan kontrol).
5. MEA02.05 Ensure that assurance providers are independent and
qualified (Pastikan bahwa penyedia jaminan independen dan
berkualitas).
6. MEA02.06 Plan assurance initiatives (Merencanakan inisiatif jaminan).
7. MEA02.07 Scope assurance initiatives (Inisiatif jaminan lingkup).
8. MEA02.08 Execute assurance initiatives (Jalankan inisiatif
penjaminan).
49
c. MEA03 Monitor, Evaluate and Assess Compliance with External
Requirements (memonitor, mengevaluasi dan mengukur kecocokan
dengan kebutuhan eksternal/luar)
1. MEA03.01 Identify external compliance requirements
(Melaksanakan inisiatif penjaminan mengidentifikasi
persyaratan kepatuhan eksternal).
2. MEA03.02 Optimise response to external requirements
(Mengoptimalkan respons terhadap persyaratan eksternal).
3. MEA03.03 Confirm external compliance (Konfirmasikan
kepatuhan eksternal).
4. MEA03.04 Obtain assurance of external compliance
(Dapatkan jaminan kepatuhan eksternal).
2.3.5 Capability Level Proses COBIT 5
Kapabilitas proses merupakan karakteristik dari kemampuan sebuah
proses untuk mencapai tujuan bisnis saat ini ataupun saat mendatang. Penilaian
kapabilitas proses dilakukan untuk mengidentifikasi level kapabilitas proses
tertentu dan kemudian menentukan langkah selanjutnya untuk melakukan
peningkatan terhadap kapabilitas proses tersebut. Setiap atribut mendefinisikan
aspek tertentu dari kapabilitas proses. Kombinasi pencapai atribut proses tersebut
akan menentukan level kapabilitas proses .
Menurut ISACA (2012:42), untuk penilaian capability level terbagi
menjadi level – level seperti yang digambarkan berikut ini :
50
Gambar 2.11 Process Capability Attributes COBIT 5 (ISACA,2012:42)
1. Incomplete Process
Incomplete process Proses tidak diimplementasi atau gagal mencapai
tujuan proses. Terdapat sedikit atau tidak ada bukti pencapaian tujuan
proses secara sistematis
2. Performed process
Implementasi proses mencapai tujuannya. Atribut proses yang
mencerminkan pencapaian level ini adalah PA1.1 process performance.
PA 1.1 mengukur sampai sejauh mana tujuan proses dicapai. Hasil
pencapaian atribut ini tercermin dari setiap proses menghasilkan keluaran
yang diharapkan.
3. Managed Process
Proses sebelumnya dijelaskan, dilakukan dan sekarang di implementasikan
dalam kelola dan produk pekerjaannya secara tepat di tetapkan dan di
kendalika
51
4. Established Process
Proses sebelumnya dijelaskan dikelola, sekarang diimplementasikan
menggunakan proses didefinisikan yang mampu mencapai hasil prosesnya.
5. Predictable Process
Proses sebelumnya dijelaskan didirikan sekarang beroperasi dalam
didefinisikan batas waktu mencapai hasil prosesnya.
6. Optimising Process
Proses yang telah dijelaskan sebelumnya, proses diprediksi terus
ditingkatkan untuk memenuhi tujuan bisnis yang relevan saat ini dan
proyeksi.
Dalam melakukan penilaian kemampuan proses dalam COBIT, tandar ISO / IEC
15504 menetapkan bahwa penilaian kemampuan proses dapat dilakukan untuk
berbagai tujuan dan dengan berbagai tingkat ketelitian. Tujuan dapat bersifat
internal, dengan fokus pada perbandingan antara area perusahaan atau proses
peningkatan untuk manfaat internal dan dapat bersifat eksternal, dengan fokus
pada penilaian formal, pelaporan dan sertifikasi. Pendekatan penilaian berbasis
COBIT 5 ISO / IEC 15504 terus memfasilitasi tujuan-tujuan berikut :
A. Memungkinkan badan tata kelola dan manajemen untuk mengukur
kapabilitas proses.
B. Aktifkan pemeriksaan 'apa adanya' dan 'harus' untuk mendukung badan
tata kelola dan investasi manajemen pengambilan keputusan sehubungan
dengan peningkatan proses.
52
C. Menyediakan analisis kesenjangan dan informasi perencanaan perbaikan
untuk mendukung definisi proyek perbaikan yang dapat dibenarkan.
D. Menyediakan badan tata kelola dan manajemen dengan penilaian penilaian
untuk mengukur dan memantau kemampuan saat ini
Menilai apakah proses mencapai tujuannya atau, mencapai tingkat kemampuan 1
dapat dilakukan dengan meninjau hasil proses seperti yang dijelaskan untuk setiap
proses dalam deskripsi proses yang terperinci, dan menggunakan skala penilaian
ISO / IEC 15504 untuk menetapkan peringkat ke tingkat berapa setiap tujuan
tercapai. skala ini terdiri dari :
N (Not achieved) atau Tidak tercapai yakni ada sedikit atau tidak ada bukti
pencapaian atribut yang ditentukan dalam proses yang dinilai. Dan
pencapaian (0 % – 15 %).
P (Partially achieved) atau di ambil sebagian ada beberapa bukti
pendekatan, dan beberapa pencapaian, atribut yang ditentukan dalam
proses yang dinilai. Beberapa aspek pencapaian atribut mungkin tidak
dapat diprediksi. (Pencapaian 15 %- 50 %).
L (Largely achieved) atau sebagian besar dicapai ada bukti pendekatan
sistematis, dan pencapaian signifikan, yang ditentukan atribut dalam
proses yang dinilai. Beberapa kelemahan yang terkait dengan atribut ini
mungkin ada dalam proses yang dinilai. (50 % - 85%).
F (Fully achieved) atau penuh pencapaian ada bukti pendekatan yang
lengkap dan sistematis untuk, dan pencapaian penuh, yang ditentukan
53
atribut dalam proses yang dinilai, tidak ada kelemahan signifikan yang
terkait dengan atribut ini dalam proses yang dinilai. (85% - 100%).
2.3.6 Balanced Scorecard
Balanced Scorecard atau kartu skor berimbang adalah adalah suatu
metode pengukuran dan penilaian kinerja suatu perusahaan dengan mengukur
empat perspektif yaitu perspektif keuangan, perspektif pelanggan, perspektif
proses bisnis internal, perspektif pembelajaran dan pertumbuhan. Menurut Kaplan
dan Norton (1997:7), balanced scorecard adalah metode alternatif yang
digunakan perusahaan untuk mengukur kinerja perusahaan secara lebih
komprehensif, tidak hanya terbatas pada kinerja keuangan, namun meluas ke
kinerja non keuangan, seperti perspektif pelanggan, proses bisnis internal serta
pembelajaran dan pertumbuhan. Menurut Kaplan dan Norton (1997:41), terdapat
4 (empat) perspektif balaced scorecard, diantaranya :
1. Perspektif keuangan
2. Perspektif pelanggan atau konsumen
3. Perspektif proses internal bisnis
4. Perspektif pembelajaran dan pertumbuhan.
2.4 Metode Pengumpulan data
2.4.1 Pengertian Observasi
Menurut Jogiyanto (2008), metode ini dilakukan dengan cara melakukan
pengamatan langsung untuk melihat dari dekat kegiatn yang dilakukan terhadap
objek yang ingin kita amati.
54
2.4.2 Pengertian Wawancara
Wawancara merupakan suatu cara pengumpulan data berupa komunikasi
dua arah untuk mendapatkan data atau informasi dari responden. Wawancara ini
merupakan suatu pendekatan komunikasi karena terjadi proses komunikasi untuk
mendapatkan datanya. Pendekatan komunikasi berbeda dengan pendekatan
observasi, pendekatan observasi tidak berinteraksi langsung dengan objek
datanya.
Menurut Jogiyanto (2008), wawancara meruakan komunikasi dua arah untuk
mendapatkan data dari responden, karena itu wawancara termasuk bagian dari
pendekatan komunikasi.
2.4.3 Pengertian Kuisioner
Metode ini dilakukan dengan cara menyebaran kertas kuisioner yang
berisi pertanyaan-pertanyaan yang dibuat untuk mendapatkan informasi yang
relevan dengan tujuan survei dan memperoleh informasi dengan reabilitas dan
validitas setinggi mungkin (Jogiyanto, 2008).
2.5 Metode Analisis Data
Dengan menggunakan COBIT 5 maka motode analisis datanya adalah :
1. Penentuan Capability Level
Tingkat kemampuan pada suatu organisasi yang dinilai, apakah sudah
mencapai tujuan, visi dan misi pada organisasi.
55
2. Gap
Dalam sebuah tata kelola (TI) terdapat sebuah proses menganalisis gap
dan mengidentifikasi perbaikan yang potensial. Gap yang di maksud
yaitu antara posisi As is dan To be dari proses-proses teknologi
informasi (TI) yang dipilih dan dinilai lalu menetralisikan gap
menjadi peluang perbaikan (Sarno, 2009).
3. Rekomendasi
Hasil dari Evaluasi yang telah dilakukan merupakan kesimpulan yang
di dapatkan, dari hasil evaluasi tersebut kemudian difokuskan untuk
penyusunan laporan hasil dari evaluasi tersebut.
2.6 Kerangka Pemikiran
Permasalahan dalam penelitian ini adalah masih banyak proses dan tujuan
bisnis perusahaan yang masih belum sejalan dengan tujuan TI (teknologi
informasi), penerapan tata kelola TI (teknologi informasi) masih belum pernah
dilakukan evalusai guna memperbaiki sistem yang ada sehingga tujuan dari
penelitian ini adalah mengetahui kondisi penerapan tata kelola teknologi
informasi yang berjalan pada PT NSK Bearing Manufacturing Indonesia serta
menilai hasil perhitungan Capability Level nya dan menghasilkan rekomendasi
perbaikan dan peningkatan tata kelola teknologi informasi di PT NSK Bearing
Manufacturing Indonesia, maka untuk analisis penelitian tersebut penulis
menggunakan framework COBIT 5 guna mendapatkan hasil capability level dan
mencari gap dari sebuah proses dalam tata kelola untuk dilakukan evalusai dan
56
rekomendasi perbaikan yang di usulkan, proses kerangka pemikiran ini seperti
pada gambar :
2.7 Alur Penelitian
Gambar 2.12 Alur Penelitian (penulis:2018)
Alur penelitian ini dimulai dari studi literatur berbagai sumber terutama dari
Framework COBIT 5 dari (ISACA, 2012). Setelah itu menentukan sasaran bisnis
yang di petakan berdasarkan COBIT 5 dengan Enterprise Goal lalu kemudian
menentukan responden kuisioner sesuai dengan proses doamin yang dipilih,
kemudian tahap selanjutnya mengumpulkan data dari wawancara dan kuisioner
kepada para responden yang terpilih, kemudian analisis perhitungan capability
57
level berdasarkan hasil dari kuisioner dan penentuan gap serta rekomendasi apa
yang harus dilakukan untuk memperbaiki tata kelola TI (teknologi informasi )
pada PT. NSK Bearings Manufacturing Indonesia.
2.8 Hipoteis Penelitian
Berdasarkan kerangka pemikiran penulis maka hipotesis yang dapat
disimpulkan dalam penelitian ini adalah :
Dugaan sementara menggunakan COBIT 5 Framework bisa mengetahui
berapa tingkat capability level pada perusahaan dan sejauh mana perusahaan
menerapkan tata kelola TI (teknologi informasi) dengan baik dan menghasilkan
temuan-temuan untuk membuat rekomendasi yang tepat guna mencapai tingkat
capability level yang di harapkan dimasa yang akan datang.
58
BAB III
METODOLOGI PENELITIAN
3.1 Metode Penelitian
Metodologi penelitian yang digunakan adalah dengan menggunakan
framework COBIT 5, yakni merupakan sebuah framework untuk menilai tata
kelola pada suatu perusahaan dalam mencapai tujuan bisnis perusahaan tersebut,
dalam penelitian evaluasi deskriptif-kuantitatif, penelitian evaluasi merupakan
bagian dari pembuatan keputusan yaitu dengan cara membandingkan suatu
kejadian, kegiatan dan produk dengan standar dan program yang telah ditetapkan
pada penelitian ini variabel yang akan diteliti menggunakan penelitian deskriptif
yaitu penelitian yang dilakukan untuk mengetahui nilai variabel mandiri baik satu
variabel atau lebih (independent) tanpa membuat perbandingan atau
penghubungan variabel lain. Jenis penelitian menggunakan penelitian kuantitatif
yaitu penelitian dengan memperoleh data yang berbentuk angka atau data .
3.2 Populasi dan Sampel
Populasi dalam penelitian ini adalah karyawan divisi IT PT. NSK Bearings
Manufacturing Indonesia yang berjumlah 5 orang karyawan terdiri dari Manager
IT, Suvervisior IT, Staf IT, Administrator network dan jaringan, Administrator
Perancangan Sistem.
Sampel data dilakukan dengan cara secara menggunakan kuisioner untuk
mendapatkan data-data sesuai fakta yang sebenarnya.
59
3.2.1 Objek Penelitian
Objek penelitian ini dilakukan pada PT. NSK Bearing Manufacturing
Indonesia yang berlokasi di Jl. Lombok blok M-4 kawasan MM2100 dan
perusahaan yang bergerak di bidang manufakturing otomotif .
3.2.2 Jadwal dan Waktu Penelitian
Jadwal dan Waktu Penelitian ini di lakukan mulai bulan April 2018 – bulan
September 2018, Berikut jadwal waktu penelitian yang penulis laksanakan :
Tabel 3.1 Jadwal dan Waktu Penelitian
3.3 Metode Pengumpulan Data
Pengumpulan data merupakan bagian yang paling penting dalam sebuah
penelitian, ketersediaan data akan sangat mempengaruhi proses berikutnya yakni
proses analisis, maka dalam teknik pengumpulan data yang dilakukan harus dapat
menjamin bahwa data yang diperoleh itu benar, akurat dan dapat
dipertanggungjawabkan
Tahap Persiapan
Penyusunan Proposal
Pengumpulan data
Persiapan Peralatan
Tahap Pelaksanaan
Implementasi
Pembahasan Hasil Penelitian
Tahapan Penyelesaian
Penulisan Skripsi
Penyelesaian Kerangka Skripsi
Penyerahan Skripsi
KegiatanNO
1
2
3
Bulan Pelaksanaan Penelitian 2018
April Mei Juni Juli Agustus September
60
3.3.1 Data Primer
Data primer adalah data yang di peroleh secara langsung maka dalam hal
ini penulis menggunakan data primer berdasarkan hasil :
1. Observasi
Observasi data yang dikumpulkan di ambil dari pengamatan langsung yang
terhadap objek yang menjadi penelitian. Observasi dilakukan pada PT NSK
Bearings Manufacturing Indonesia yang di mulai pada Juni 2018 – Juli 2018. PT
NSK Bearings Manufacturing Indonesia beralamatkan di kawasan industri
MM2100 Jl.lombok blok M-4 Cikarang Barat, Bekasi. Pengumpulan data observasi
dilakukan pada department PSC/IT, Procurement (PC), Accounting (AC), dan
Human Ressource (HR), dan pengamatan yang dilakukan adalah terhadap kegiatan
operasionalnya dalam menggunakan aplikasi Glovia yang telah berjalan dengan
baik di perusahaan tersebut, namun belum belum ada bentuk evaluasi yang
dilakukan baik internal maupun eksternal.
2. Wawancara
Wawancara ini dilakukan dengan cara berdiskusi dengan bapak fahmi
sekalu Manajer IT PT NSK Bearing Manufacturing Indonesia, pada tanggal 26
Juli 2018, bertempat di PT NSK Bearing Manufacturing Indonesia. Wawancara
ini berguna dalam mendapatkan data data yang diperlukan dalam analisis proses
bisnis TI (teknologi Informasi) yang berjalan saat ini di PT NSK Bearing
Manufacturing Indonesia, dan sebagai penguat data yang di peroleh dari hasil
kuisioner yang telah di isi oleh responden lain.
61
3. Kuisioner
Kuisioner digunakan untuk mengumpulkan fakta pada tiap proses. Kuisioner
dalam penelitian ini untuk mengukur tingkat Capability Level. Berikut daftar
responden yang mengisi Kuisioner pada PT. NSK Bearing Manufacturing
Indonesia :
Tabel 3.2 Daftar Responden Penelitian
No Proses dalam COBIT 5 Responden Terkait
1. EDM03 Ensure Risk Optimisation (
Memastikan Pengoptimalan Resiko )
-Manager IT
-Supervisior IT
-Administrator network dan jaringan
-Staff IT
- Administrator Perancangan Sistem
2. AP012 Manage Risk (Managemen
Resiko
3. AP013 Manage Risk (Managemen
Keamanan)
4. BAI06 Manage Changes (
Managemen Perubahan )
5. DSS05 Manage Security Services
(Managemen Layanan Keamanan)
Kuisioner di buat berdasarkan dengan aktifitas-aktifitas yang terdapat pada
management practice pada tiap subdomain yang akan di evaluasi, kuisioner di
bagikan kepada tiap responden dengan menjawab ya atau tidak terhadap
pertanyaan dan pernyataan dari tiap kuisioner. (kuisioner terlampir)
3.3.2 Data Sekunder
Data sekunder adalah data yang diperoleh dari sumber yang sudah ada
maka dari itu penulis menggunkan beberapa sumber data dengan meninjau ulang
62
beberapa jurnal – jurnal yang disebutkan pada tinjauan pustaka terdiri dari
beberapa jurnal yang terkait dan referensi buku yang menjadi pedoman untuk
melakukan penelitian terkait. Jurnal – jurnal yang berkaitan dengan evaluasi TI
(Teknologi Informasi) dengan menggunakan framework COBIT 5 dan beberapa
metode metode yang digunakan, serta penelitian – penelitian lain yang
mendukung skripsi ini.
3.4 Sejarah Perusahaan
PT NSK Bearings Manufacturing Indonesia adalah perusahaan yang
bergerak di bidang manufakturing otomotif. NSK berasal dari kata Nippon
artinya Jepang, Seiko artinya presisi, Kabushiki kaisha yang artinya perusahaan,
semacam PT. Berdasarkan singkatan itu dapat diartikan bahwa NSK adalah
perusahaan Jepang yang memproduksi alat-alat yang presisi.
Pada awal tahun 1990, NSK Co.Ltd sebagai induk perusahaan NSK yang
bertempat di Fukushima, Jepang, yang terus mengembangkan bisnisnya dan
berhasil masuk ke Kawasan Asia Tenggara. Oleh karena perkembangan pasar
yang sangat pesat di kawasan ini, maka pada bulan April 1994, PT.NSK Indonesia
yang bertempat sebagai Sales Officer di Indonesia.
Perusahaan ini didirikan pada tanggal 28 April 1994. Pada tanggal 1 Juni
1994 perusahaan NSK baru konstruksi atau sering disebut dengan pembangunan
gedung. Pada tanggal 1 Mei 1995, mulai melakukan produksi yang bertempat di
Blok M-4 Kawasan Berikat MM2100 Industrial Town Cikarang Barat Bekasi. PT
NSK Indonesia di buka secara resmi dan berubah nama menjadi PT NSK
Bearings Manufacturing Indonesia dan terkenal dengan sebutan A/J Plant (Asia
63
Jakarta Plant). Perusahaan ini memproduksi bearings atau yang sering disebut
oleh orang-orang di pasaran adalah klaker.
Pelanggan perusahaan ini adalah hampir semua pemegang merek kendaraan
mobil maupun motor, terutama produk dari Jepang yang ada di Indonesia, seperti
Honda, Yamaha, Suzuki, Kawasaki, dan untuk mobil seperti Toyota, Daihatsu,
Honda, Suzuki, Nissan, Mitshubishi, seiring berjalannya waktu dan meningkatnya
pasar otomotif di Indonesia, PT NSK Bearings Manufacturing Indonesia
berkembang menjadi perusahaan yang besar yang produksinya sudah mencapai
angka 40 juta unit bearings setiap bulan.
3.4.1 Visi Perusahaan
Adapun visi dari PT NSK Bearings Manufacturing adalah “Menjadi
perusahaan bearing terbesar di Indonesia dan di dunia yang mengedepankan
kualitas”. Dengan kata lain, PT NSK Bearings Manufacturing Indonesia akan
senantiasa mengembangkan teknologi guna meningkatkan kualitas produk, sistem
management. Selain itu, meningkatkan sumber daya modal dan manusia agar
menjadi perusahaan bearing terbesar di Indonesia dan di dunia, serta menjadi
acuan mutu bagi perusahaan lainnya.
3.4.2 Misi Perusahaan
Misi dari PT NSK Bearings Manufacturing adalah sebagai berikut,
1. Menghindari produk yang cacat.
2. Memelihara dan meningkatkan mutu dengan cara penetapan standar mutu
yang tinggi.
3. Mengembangkan pasar produk lokal sampai internasional.
64
4. Meningkatkan kualitas SDM.
5. Membangun sistem management yang kuat.
6. Mampu bersaing secara sehat dengan tetap mengedepankan kualitas.
3.4.3 Gambar Struktur Organisasi Perusahaan
Secara visual, struktur organisasi PT NSK Bearings Manufacturing
Indonesia dapat dilihat pada tabel sebagai berikut:
Gambar 3.1 Struktur Organisasi Perusahaan
3.4.4 Uraian Tugas dan Tanggung Jawab
Berdasarkan bagan struktur organisasi perusahaan di dalam melaksanakan
kegiatan sehari-hari, PT NSK Bearings Manufacturing Indonesia dilaksanakan
oleh beberapa jabatan masing-masing dan mempunyai fungsi, tugas seperti yang
dijelaskan sebagai berikut,
a. Presiden Direktur
President Director
General Manager
Manajer Penjualan
Manajer Akunting
Manajer Administrasi
Supervisor
Operator Produksi
Staff Devisi
Manajer Produksi
65
1. Bertanggung jawab terhadap pelaksana setiap program kerja dari kantor
pusat
2. Bertanggung jawab atas semua proses program kerja di semua departemen
b. Manajer Keseluruhan (General Manajer)
1. Bertanggung jawab untuk mengawasi beberapa departemen
2. Menetapkan kebijaksanaan perusahaan baik dalam jangka panjang maupun
dalam jangka pendek
3. Memperbaiki dan menyempurnakan tujuan organisasi agar berjalan sesuai
dengan tujuan.
c. Manajer Penjualan (Sales Manager)
1. Merancang dan mengembangkan strategi marketing yang bertujuan untuk
meningkatkan pelanggan dan pelayanan sesuai target yang ditentukan.
2. Memberikan petunjuk serta arahan dalam pengembangan produk agar
produk sesuai dengan kebutuhan pasar
3. Memonitor hasil perolehan order serta membuat laporan bulanan untuk
memastikan kapasitas masuk dan keluar produk agar mudah memastikan
target yang optimal
d. Manajer Akunting (Manajer Keuangan)
1. Memeriksa dan menandatangani laporan mutasi piutang, hutang sebelum
disampaikan ke presiden direktur
2. Memimpin penyusunan laporan keuangan dan konsulidasi semua laporan
keuangan dengan manajemen dan pihak luar untuk memastikan bahwa
laporan itu benar
66
3. Memimpin dan menerapkan sistem akutansi untuk menyelesaikan dalam
mambuat laporan perusahaan yang telah disetujui oleh presiden direktur
e. Manajer Administrasi
1. Mengelola dan mengatur dalam penggajian sesuai dengan keakuratan
waktu dan efisiensi distribusi karyawan
2. Mengawasi fungsi staff dan memastikan produktivitas dengan pemeriksaan
kualitas kinerja kerja
3. Melakukan fungsi sekretaris untuk komite atau organisasi perusahaan
f. Manajer Produksi
1. Mengatur jadwal produksi untuk semua jenis produk yang ditawarkan agar
mencapai sesuai target yang telah ditentukan
2. Mengatur pengalokasian sumber daya, jam kerja mesin, jam kerja operator,
dan pengiriman bahan baku
3. Bertanggung jawab terhadap kelancaran proses produksi mulai dalam
penerimaan sampai dengan proses produksi akhir.
4. Merencanakan semua kegiatan produksi dan perawatan mesin-mesin
produksi
g. Supervisor
1. Menyampaikan kebijakan dari atasan kepada bawahannya
2. Memberikan informasi dari manajemen mengenai kondisi bawahannya
3. Mengontrol dan mengevaluasi bawahannya
4. Memecahkan masalah dalam sehari-harinya
5. Memberikan training pada bawahannya
67
6. Memimpin dan memotivasi bawahan
h. Staff semua divisi
1. Mengumpulkan semua data-data
2. Mempersiapkan instruksi-instruksi dan dokumen-dokumen yang diperlukan
untuk kelancaran dalam melaksanakan kegiatan
i. Operator Produksi
1. Menjalankan tugas sesuai instruksi atasan
2. Melaporkan setiap masalah yang ada di lapangan
3. Mematuhi semua peraturan yang ditetapkan oleh perusahaan.
3.5 Metode Analisis Data
3.5.1 Analisis Tingkat Capability Level
Analisis tingkat kapabilitas (Capability Level) ini berdasarkan hasil
kuisioner yang telah diisi oleh responden data yang di peroleh selanjutnya
dilakukan perhitungan nilai capability level pada tiap subdomain. Tahap
berikutnya adalah menilai tingkat capability level dengan tujuan mengetahui
tingkat kapabilitas terhadap tata kelola teknologi informasi secara keseluruhan di
PT NSK Bearing Manufacturing Indonesia.
3.5.2 Analisis Gap (Kesenjangan)
Analisis kesenjangan atau gap berpedoman pada hasil nilai capability level
secara keseluruhan pada setiap subdomain dan nilai harapan pada setiap
subdomain yang diinginkan oleh PT NSK Bearing Manufacturing Indonesia,
analisis kesenjangan ini bertujuan untuk membantu perusahaan dalam mengambil
langkah selanjutnya dalam pengembangan tata kelola teknologi informasi (TI).
68
3.5.3 Analisis Rekomendasi
Merupakan laporan dari hasil audit yang dilakukan terhadap proses bisnis
yang telah di tentukan. Setelah mendapatkan hasil capability level maka dapat
dibuat tabel rekomendasi dan perbaikan untuk mencapai target ( To Be ). Laporan
ini diperoleh dari hasil analisis terhadap hasil perhitungan capability level dan
analisis gap sebagai bentuk perancangan solusi untuk membentuk usulan
perbaikan untuk mencapai tingkat kematangan yang di harapkan, penentuan
rekomendasi dilakukan dengan memberikan solusi perbaikan untuk setiap proses
yang belum terpenuhi 100%
69
BAB IV
ANALISIS DAN PEMBAHASAN
4.1 Pemetaan dan Pemilihan Domain COBIT 5
COBIT 5 telah menyediakan panduan untuk memetakan dan memilih
domain serta proses supaya penilaian sesuai dengan kebutuhan penelitian yang
dilakukan tentunya mengacu pada tujuan – tujuan strategis objek penelitian dalam
hal optimalisasi sistem informasi pada PT. NSK Bearings Manufacturing
Indonesia, berikut merupakan tabel enterprise goals yang terdapat dalam COBIT
5 sebagai acuan untuk pemetaan awal.
Tabel 4.1 COBIT 5 Enterprise Goals (ISACA, 2012:19)
70
Berikut terdapat tabel identifikasi tujuan stategis perusahaan dengan Balanced
Scorecard yakni suatu pendekatan terhadap strategi manajemen.
Tabel 4.2 Identifikasi Tujuan Strategis dengan Balance Scorecard
BSC Dimension Tujuan Strategis Perusahaan
Finance Mengurangi resiko keuangan
Mengoptimalisasi struktur biaya
Customers
Memelihara dan meningkatkan mutu
dengan cara penetapan standar mutu
yang tinggi
Internal Membangun sistem management yang
kuat.
Learning and growht Meningkatkan kualitas SDM
Proses pemilihan domain ini di awali dengan melihat objectifitas tata kelola
teknologi informasi yaitu optimalisasi sumber daya (risk optimisation)
pengoptimalan risiko dan sumber daya pengoptimalan.
‘P’ berarti hubungan primer (hubungan yang kuat )
‘S’ untuk hubungan sekunder (hubungan yang kurang kuat)
sehingga didapat tabel risk optimisation sebagai berikut :
Tabel 4.3 Enterprise Goals Berdasarkan Risk Otimisation
Dimension EG# Entreprise Goals Risk
optimisation
Financial
EG02 Portfolio of competitive
products and services P
EG03 Managed business risk
(safeguarding of assets) P
71
EG04 Compliance with external
laws and regulations P
EG05 Financial
transparency S
Customer
EG07 Business service continuity
and availability P
EG09 nformation-based strategic
decision making P
Internal processes
EG13 Managed business change
programmes P
EG15 Compliance with internal
policies P
EG16 Skilled and motivated
people P
Learn and growth
EG16 Skilled and motivated
people P
Proses selanjutnya memilih enterprise goals atau tujuan perusahaan dengan
memetakan berdasarkan dimensi BSC (Balanced Scorecard) dan pada proses
diseleksi yang mempunyai tanda primary di objek tata kelola yaitu risk
optimisation. Pada tabel 4.3 proses enterprise goal dengan objeck tata kelola
terdapat 10 enterprise goals yang terpilih , diantaranya 9 berkategori P atau
primary dan satu enterpise goals berkategori S atau secondary.
Setelah di dapat 10 enterprise goals terpilih akan di seleksi kembali dengan
17 IT-realted goals sehingga akan didapatkan IT-realted goals yang di butuhkan
untuk proses seleksi pemilihan proses- proses di COBIT 5, berikut pemetaannnya:
72
Tabel 4.4 Pemetaan Enterprie Goals dengan IT-Related Goals
Berdasarkan pemetaan tabel 4.4 Enterprie Goals dengan IT-Related Goals terpilih
untuk Enterprie Goals perusahaan yang paling tepat adalah selaras dengan IT-
Related Goals pada point 10 yakni Security of information, processing
infrastructure and applications hasil pemetaan ini dapat diperoleh juga dari hasil
konversi antara Enterprie Goals pada tabel 4.2 dengan tabel 4.4 berikut
Tabel 4.5 konversi tujuan perusahaan dengan Enterprise Goals COBIT 5
73
Proses Selanjutnya hasil dari mapping IT-Related Goals maka semua hasil
pemetaan tersebut akan di petakan kembali dengan proses yang ada pada COBIT
5, pemetaanya sebagai berikut :
Tabel 4.5 Pemetaan IT-Related Goals dengan Proses COBIT 5
74
Hasil Pemetaan di atas menjadikan IT-Related Goals dapat disupport oleh proses
COBIT 5, sehingga pemilihan proses dapat di sesuaikan dengan tujuan stategis
yang di lakukan oleh PT NSK Bearings Manufacturing Indonesia, berikut adalah
hasil pemetaan proses di atas yang telah disesuaikan dengan tujuan perusahaan.
Gambar 4.1 Hasil Pemetaan IT-Related Goals dengan COBIT 5 Process
Berdasarkan gambar 4.1 terdapat hasil pemelihan domain proses dalam COBIT 5
yang akan dilakukan evalusai guna mencapai tujuan dari IT-Related Goals
perusahaan yakni ITG-10 Security of information, processing infrastructure and
applications (Keamanan informasi, pemrosesan infrastruktur dan aplikasi) dan
berikut penjelasan tentang deskripsi proses domain yang akan di evaluasi :
75
Tabel 4.6 Deskripsi Proses COBIT 5 yang di Assesment
Domain Proses Deskripsi pada COBIT 5
EDM03- Ensure Risk
Optimisation
Memastikan bahwa resiko IT perusahaan tidak
melebihi kemampuan dan toleransi perusahaan
dalam menerima resiko, serta mengidentifikasi dan
mengelola dampak dari resiko IT terhadap nilai-
nilai pada perusahaan, dan mengurangi terjadinya
kegagalan.
APO12- Manage Risk
Mengintegrasikan management dari risiko IT
perusahaan dengan keseluruhan ERM (Enterprise
Risk Management), dan menyeimbangkan biaya dan
keuntungan dari mengelola resiko IT perusahaan.
APO13-Manage Security
Menjaga agar dampak dan kejadian dari insiden
keamanan informasi masih berada pada level risiko
yang dapat diterima perusahaan
BAI06-Manage Changes
Memungkinkan perubahan yang cepat dan bisa
diandalkan bagi bisnis dan mitigasi risiko yang
berdampak negatif bagi stabilitas lingkungan yang
diubah.
DSS05- Manage Security
Services
Meminimalisasikan dampak bisnis dari kerentanan
dan insiden dari keamanan informasi operasional.
4.2 Capability Level Proses COBIT 5
Proses penilaian capability level proses COBIT 5, masing masing proses
dicek secara bertahap apakah proses tersebut telah memenuhi persyaratan yang
harus dipenuhi pada masing masing level, mulai dari level 1 hingga level 5, selain
itu, terdapat ketentuan kategori dari hasil penilaian di tiap levelnya, yaitu suatu
proses cukup meraih kategori Largely Achieved (L) dengan range nilai berkisar
50-85% atau Fully achieved (F) dengan range nilai berkisar 85%-100% untuk
dapat dinyatakan bahwa proses tersebut telah meraih suatu level kapabilitas
tersebut, namun proses tersebut harus meraih kategori Fully achieved (F) untuk
dapat melanjutkan penilaian ke level kapabilitas berikutnya.
76
Tabel ringkasan pencapaian capability level dibuat agar pembaca dapat
dengan mudah mengetahui proses tersebut berada pada level berapa. Rincian
penilaian per masing-masing level juga dijelaskan agar pembaca dapat
mengetahui dan memahami secara spesifik kondisi masing-masing proses yang
ada di perusahaan.
Template ringkasan pencapaian capability level ditunjukkan pada tabel di
bawah ini:
Tabel 4.7 Template Ringkasan Pencapaian Capability Level
Tujuan [deskripsi mengenai tujuan dari proses tersebut]
Proses
[nama
proses]
Level
0
Level
1
Level
2
Level
3
Level
4
Level
5
PA
1.1
PA
2.1
PA
2.2
PA
3.1
PA
3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Rating
berdasarkan
persentase
Rating
berdasarkan
warna
Deskripsi:
N = Not Achieved (0% - 15%)
P = Partially Achieved (15% - 50%)
L = Largely Achieved (50% - 85%)
F = Fully Achieved (85% - 100%)
= Target Level Perusahaan
77
Berikut ini adalah penjelasan secara rinci penilaian capability level masing-
masing proses COBIT yang dievaluasi.
4.2.1 Proses EDM03 Ensure Risk Optimisation
Proses Ensure Risk Optimisation berfokus pada risk appetite dan toleransi
perusahaan dipahami, diartikulasikan dan dikomunikasikan, dan bahwa risiko
terhadap nilai perusahaan yang terkait dengan penggunaan TI diidentifikasi dan
dikelola.
Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik
mengenai penilaian proses ini adalah sebagai berikut.
Tabel 4.8 Ensure Risk Optimisation EDM03
Tujuan
Memastikan bahwa resiko IT perusahaan tidak melebihi
kemampuan dan toleransi perusahaan dalam menerima resiko,
serta mengidentifikasi dan mengelola dampak dari resiko IT
terhadap nilai-nilai pada perusahaan, dan mengurangi terjadinya
kegagalan.
Proses
Ensure Risk
Optimisation
Level
0
Level
1
Level
2
Level
3
Level
4
Level
5
PA 1.1 PA
2.1
PA
2.2
PA
3.1
PA
3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Rating
berdasarkan
persentase
100% 33,33% 0% 0% 0% 0%
Rating
berdasarkan
warna
Rincian penilaian proses Ensure Risk Optimisation pada level 1 dijelaskan
melalui tabel di bawah ini.
78
Tabel 4.9 Ensure Risk Optimisation EDM03 Level 1
4.2.1.1 Evaluate risk management
Proses “Evaluate Risk Management” pada PT NSK Bearings
Manufacturing Indonesia dinyatakan tidak lulus dengan skor 33,3%, karena:
a. Tidak memiliki risk apetite guidance secara tertulis dalam membuat Risk
Register.
b. Belum ada tim khusus dalam menangani risk terkait IT.
c. Report risk masih manual dan belum terdokumentasi itupun dilakukan
berdasarkan kasus yang terjadi.
d. Evaluation of risk management belum dilakukan oleh team IT.
EDM03 Ensure Risk Optimization
Governance Practice
Outputs Exist
Score
EDM03.01 Evaluate risk
management
Risk appetite guidance ×
33,33%
Approved risk tolerance
levels
Evaluation of risk
management activities ×
EDM03.02 Direct risk
management
Risk management policies ×
66,67%
Key objectives to be
monitored for risk
management
Approved process for
measuring risk
management
EDM03.03 Monitor risk
management
Remedial actions to
address risk management
deviations ×
0%
Risk management issues for
the board ×
Average Score 33,33%
79
4.2.1.2 Direct risk management
Proses “Direct risk management” pada PT NSK Bearings Manufacturing
Indonesia dinyatakan tidak lulus dengan skor 66,7%, karena:
a. Risk management policies belum dibuat pada PT NSK Bearings
Manufacturing Indonesia, semua hal mengenai risiko belum memiliki SOP
maupun policies tertulis.
b. Terdapat analisis terkait kasus kasus yang terjadi namun dalam
penangannya belum dilakukan pendokumentasian.
c. Melalui meeting-meeting berkala yang rutin dilakukan ditentukan proses
yang disetujui untuk mengukur risk management.
4.2.1.3 Monitor risk management
Proses “Monitor risk management” pada PT NSK Bearings
Manufacturing Indonesia dinyatakan tidak lulus dengan skor 0%, karena:
a. PT NSK Bearing Manfacturing Indonesia belum menerapkan laporan risk
management issue pada stakeholder, karena risk tidak mendapat banyak
perhatian. Terbuti dari tidak adanya dokumen atau police tentang risk IT
yang terkait.
Dari hasil penilaian capability level, proses Ensure Risk Optimisation berada di
level 0, karena proses ini hanya memperoleh status partially achieved di level 1
yaitu 33,33% sehingga tidak dapat lulus level 1.
80
4.2.2 APO12 – Manage Risk
Proses Manage Risk berfokus dalam mengidentifikasi, menilai, dan
mengurangi resiko yang berhubungan dengan IT didalam level toleransi yang
ditentukan oleh manajemen perusahaan.
Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik
mengenai penilaian proses ini adalah sebagai berikut :
Tabel 4.10 Manage Risk APO12
Tujuan
Mengintegrasikan management dari risiko IT perusahaan dengan
keseluruhan ERM (Enterprise Risk Management), dan
menyeimbangkan biaya dan keuntungan dari mengelola resiko IT
perusahaan.
Proses
Manage
Risk
Level
0
Level
1
Level
2
Level
3
Level
4
Level
5
PA 1.1 PA
2.1
PA
2.2
PA
3.1
PA
3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Rating
berdasarkan
persentase
100% 44,44% 0% 0% 0% 0%
Rating
berdasarkan
warna
Rincian penilaian proses Manage Risk pada level 1 dijelaskan melalui tabel di
bawah ini :
Tabel 4.11 Manage Risk APO12 Level 1
APO12 Manage Risk
Management
Practice
Outputs Exist Score
APO12.01 Collect
data
Data on the operating environment
relating to risk
100%
Data on risk events and contributing
factors
81
4.2.2.1 Collect data
Proses “Collect data” pada PT NSK Bearings Manufacturing Indonesia
dinyatakan lulus dengan skor 100%, karena:
1. PT NSK Bearing Manufacturing Indonesia telah mencatat semua kumpulan data
tentang kejadian – kejadian di masa lampau untuk evaluasi kedepan.
2. Factor risk IT berhubungan dengan data dijalankan hanya saja belum memiliki
SOP dalam menangani faktor dan kejadian terkait
4.2.2.2 Analyse risk
Proses “Analyse risk” pada PT NSK Bearings Manufacturing Indonesia
dinyatakan lulus dengan skor 66,67%, karena:
Emerging risk issues and factors
APO12.02 Analyse
risk
Scope of risk analysis efforts 66,67%
IT risk scenarios
Risk analysis results
APO12.03 Maintain
a risk profile
Documented risk scenarios by line of
business and function ×
0%
Aggregated risk profile, including
status of risk management actions ×
APO12.04 Articulate
risk
Risk analysis and risk profile reports
for stakeholders
33,33%
Review results of third-party risk
assessments
Opportunities for acceptance of
greater risk ×
APO12.05 Define a
risk management
action portfolio
Project proposals for reducing risk ×
0%
APO12.06 Respond
to risk
Risk-related incident response plans 66,67%
Risk impact communications
Risk-related root causes
Average Score 44,44%
82
1. Pada PT NSK Bearing Manufacturing Indonesia terdapat scenario-scenario
IT risk dari penyebab terjadi, impact terjadi, siapa yang bertanggung jawab
serta dampaknya.
2. Report hasil analisis seperti besarnya kemungkinan risk terjadi, aksi yang
dilakukan untuk mengontrol risk hingga control plan belum sepenuhnya di
jalankan.
4.2.2.3 Maintain a risk profile
Proses “Mantain a risk profile” pada PT NSK Bearings Manufacturing
Indonesia dinyatakan tidak lulus dengan skor 0%, karena:
1. Belum Mempunyai skenario dan profil risk resiko
2. Belum mempunyai team khusus dalam menangani risk management resiko
IT.
3. Belum mempunyai inikator panduan untuk menagement resiko terkait IT.
4.2.2.4 Articulate risk
Proses “Articulate risk” pada PT NSK Bearings Manufacturing Indonesia
dinyatakan lulus dengan skor 33,33%, karena:
1. Belum adanya risk assement oleh pihak ketiga seperti PWC dan di review
hasilnya untuk mengetahui hal yang perlu mengalami perubahan.
2. Untuk opportunities acceptance of greater risk tidak dilakukan karena
lebih berfokus dalam menangani problem sehingga tidak dilakukan
analisis lebih lanjut untuk mengetahui opportunities aceptance of greater
risk.
83
4.2.2.5 Define a risk management action portfolio
Proses ” Define a risk management action portfolio” pada PT NSK
Bearings Manufacturing Indonesia dinyatakan tidak lulus dengan skor 0%,
karena:
1. Tidak memiliki portfolio yang mengatur opportunities dalam mengurangi
risk yang ada, perusahaan hanya menganalisa risk yang ada tetapi belum
pernah berusaha untuk mengurangi risk tersebut.
4.2.2.6 Respond to risk
Proses “Respond to risk” pada PT NSK Bearings Manufacturing Indonesia
dinyatakan lulus dengan skor 66,67%, karena:
1. belum memiliki control plan dalam mengelola adanya risk-related
incident response plans pada IT department.
2. Kegiatan data risk impact communication dilakukan via email perusahaan
kepada stakeholder (IT Head).
Dari hasil penilaian capability level, proses Manage Risk berada di level 1 dengan
status partially achieved yaitu 44,44%, sehingga tidak dapat lulus level 1.
4.2.3 APO13 – Manage Security
Proses Manage Security berfokus dalam mendefinisikan, mengoperasikan
dan mengawasi sistem untuk manajemen keamanan informasi.
Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik
mengenai penilaian proses ini adalah sebagai berikut :
84
Tabel 4.12 Manage Security APO13
Tujuan
Menjaga agar dampak dan kejadian dari insiden keamanan
informasi masih berada pada level risiko yang dapat diterima
perusahaan.
Proses
Manage
Security
Level
0
Level
1
Level
2
Level
3
Level
4
Level
5
PA
1.1
PA
2.1
PA
2.2
PA
3.1
PA
3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Rating
berdasarkan
persentase
100% 100% 100% 100% 0% 0%
Rating
berdasarkan
warna
Rincian penilaian proses Manage Security pada level 1 dijelaskan melalui
tabel di bawah ini.
Tabel 4.13 Manage Security APO13 Level 1
APO13 Manage Security
Management Practice
Outputs Exist Score
APO13.01 Establish and
maintain an information
security management system
(ISMS)
ISMS policy
100% ISMS scope statement
APO13.02 Define and
manage an information
security risk treatment plan.
Information security risk
treatment plan
100%Information security business
cases
APO13.03 Monitor and
review the ISMS
ISMS audit reports
100%Recommendations for
improving the ISMS
Average Score 100%
85
4.2.3.1 Establish and maintain an information security management system
(ISMS)
Proses “Establish and maintain an information security management system
(ISMS)” pada PT NSK Bearings Manufacturing Indonesia dinyatakan lulus
dengan skor 100%, karena:
1. Memiliki ISMS Policy yang berisikan policy-policy seperti account,
password, software policy.
2. Scope statement pada ISMS tercantum pada security Policy PT NSK
Bearings Manufacturing Indonesia.
4.2.3.2 Define and manage an information security risk treatment plan
Pada proses “Define and manage an information security risk treatment
plan” di PT NSK Bearings Manufacturing Indonesia dinyatakan lulus dengan
skor 100%, karena:
1. PT NSK Bearings Manufacturing Indonesia telah memiliki security Policy
4.2.3.3 Monitor and review the ISMS
Pada proses “Monitor and review the ISMS” pada PT NSK Bearings
Manufacturing Indonesia dinyatakan lulus dengan skor 100%, karena:
1. Adanya Audit report yang dilakukan dan terdapat pada file hasil audit dari
auditor external di PT NSK Bearings Manufacturing Indonesia seperti dari
PT SGS.
Berikut ini adalah tabel yang menjelaskan pencapaian PT NSK Bearings
Manufacturing Indonesia untuk proses APO13 di level 2 :
86
Tabel 4.14 Performance Management APO13
Tabel 4.15 Work Product Management APO13
Semua proses yang lulus fully dari level 1 dipastikan juga lulus untuk level 2 nya
karena:
1. Karyawan sadar akan tujuan dari kegiatan yang dilakukannya.
2. Tanggung jawab untuk setiap proses sudah ditentukan, baik dalam SOP,
tugas dan wewenang jabatan, maupun penugasan secara tidak tertulis oleh
atasan.
3. Semua sumber daya yang dibutuhkan untuk melakukan kegiatan-kegiatan
dalam perusahaan sudah disediakan, misalnya untuk komputer, semua
karyawan diberikan 1 PC atau laptop masing-masing.
2.1 Performance Management
Generic Practices Exist Score
Identify the Objectives 100%
Plan and monitor the performance 100%
Adjust the performance 100%
Define responsibilities 100%
Identify and make available 100%
Manage the interfaces 100%
Average Score 100%
2.2 Work Product Management
Generic Practices Exist Score
Define the requirements for the
work products 100%
Define the requirements for
documentation and control 100%
Identify,document and control 100%
Review and adjust work products 100%
Average Score 100%
87
4. Hubungan dengan pihak lain dalam melaksanakan proses juga sudah
ditentukan, baik dalam SOP, maupun secara tidak tertulis diajarkan oleh
rekan kerja atau atasan.
5. Semua dokumen hasil kerja sudah ditentukan harus seperti apa. Beberapa
dokumen penting sudah disediakan template-nya, sedangkan sisanya
menggunakan dokumen sebelumnya sebagai batasan minimal kualitas
dokumen yang dibuat.
6. Semua dokumen yang dibuat juga mencantumkan nama pembuat, dan
pemeriksa yang menyetujuinya, biasanya atasan, hal ini bisa dilihat
misalnya di SOP.
7. Semua dokumen yang dibuat juga mencantumkan nomor revisi sehingga
menjadi jelas bahwa dokumen dalam PT NSK Bearings Manufacturing
Indonesia dikontrol dengan baik.
Dari hasil penilaian capability level, proses Manage Security berada di level 2
dengan status fully achieved yaitu 100%.
Berikut ini adalah tabel yang menjelaskan pencapaian PT NSK Bearings
Manufacturing Indonesia untuk proses APO13 di level 3 :
Tabel 4.16 Process Definition APO13
3.1 Process Definition
Generic Practices Exist
Define the standard ×
Determine the sequence and interaction between processes
Identify the roles and competencies
Identify the required infrastructure and work environment
Determine suitable methods
88
Tabel 4.17 Process Deployment APO13
Dalam melakukan penilaian level 3, dilakukan pengecekan terhadap dokumentasi
dan pelaksanaan SOP perusahaan apakah telah mencakup generic practices di
COBIT 5. Dari hasil pengecekan terbukti bahwa dalam tiap proses yang masuk ke
level 3 telah memenuhi kriteria generic practices dari standar COBIT 5, namun
ada satu proses yakni Define the standard belum terpenuhi dikarenakan untuk
standarisasi ISO 27001 belum sertifikasi masih dalam proses, sementara masih
mengadopsi standar dari JES yakni Jakarta engineering Standar .Maka tidak bisa
masuk ke dalam penilaian level 4.
Berikut ini adalah tabel yang menjelaskan kesesuaian konten SOP PT NSK
Bearings Manufacturing Indonesia untuk proses APO13.
Tabel 4.18 Konten SOP Manage Security AOP13
3.2 Process Deployment
Generic Practices Exist
Deploy a defined process
Assign and communicate roles, responsibilities and authorities
Ensure necessary competencies
Provide resources and information to support the performance
Provide adequate process infrastructure
Collect and analyze data
APO13 Manage Security
Management Practice Exist Score
APO013.01 Establish and maintain an ISMS. 100%
APO013.02 Define and manage an information security
risk treatment plan
100%
APO013.03 Monitor and review the ISMS. 100%
Average Score 100%
89
Untuk Manage Security, perusahaan sudah memiliki panduan yang menjadi satu
dengan SOP dan mendapatkan nilai 100% karena: SOP tersebut sudah mencakup
semua poin dalam management practice COBIT 5 yakni pada doamain APO13, Proses
ini merupakan salah satu proses yang sangat diperhatikan oleh perusahaan sehingga
semua poin telah tercakup di dalam SOP, mulai dari keharusan melakukan
prioritasisasi permintaan perubahan, adanya pengaturan khusus untuk emergency
changes, pelaporan pengerjaan, hingga pendokumentasian perubahan yang dilakukan
secara detil dan rapi.
4.2.4 BAI06 – Manage Changes
Pada proses Manage Changes berfokus pada pengelolaan semua perubahan
dengan terkendali, termasuk perubahan standar dan perawatan darurat yang berkaitan
dengan proses bisnis, aplikasi dan infrastruktur.
Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik
mengenai penilaian proses ini adalah sebagai berikut :
Tabel 4.19 Manage Changes BAI06
Tujuan
Memungkinkan perubahan yang cepat dan bisa diandalkan bagi bisnis
dan mitigasi risiko yang berdampak negatif bagi stabilitas lingkungan
yang diubah.
Proses
Manage
Changes
Level
0
Level
1
Level
2
Level
3
Level
4
Level
5
PA
1.1
PA
2.1
PA
2.2
PA
3.1
PA
3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Rating
berdasarkan
persentase
100% 91,66
%
100
%
100
% 0% 0%
Rating
berdasarkan
warna
90
Rincian penilaian proses Manage Changes pada level 1 dijelaskan melalui
tabel di bawah ini.
Tabel 4.20 Manage Changes BAI06 Level 1
BAI06 Manage Changes
Governance Practice
Outputs Exist Score
BAI06.01 Evaluate, prioritise
and authorise change
requests.
Impact assessments
66,67% Approved requests for
change
Change plan and schedule ×
BAI06.02 Manage emergency
changes
Post-implementation review
of emergency changes 100%
BAI06.03 Track and report
change status
Change request status
reports 100%
BAI06.04 Close and
document the changes Change documentation 100%
Average Score 91,66%
4.2.4.1 Evaluate, prioritise and authorise change requests
Proses ”Evaluate, prioritise and authorise change requests” PT NSK
Bearings Manufacturing Indonesia dinyatakan lulus dengan skor 66,67% karena:
1. Adanya permintaan perubahan, yang dilakukan berdasarkan imbas
perubahan bagi perusahaan,
2. Permintaan perubahan akan di laporkan kepada manager IT untuk
kemudian di setujui oleh pemangku kepentingan.
3. Membuat perencanaan ini biasanya akan dibuat berupa project charter.
91
4.2.4.2 Manage emergency changes
Proses ”Manage emergency changes” PT NSK Bearing Manufacturing
Indonesia dinyatakan lulus dengan skor 100% karena:
1. Adanya evaluasi pasca perubahan yang telah di implementasi yang
melibatkan semua pihak terkait.
4.2.4.3 Track and report change status
Proses ”Track and report change status” PT NSK Bearings
Manufacturing Indonesia dinyatakan lulus dengan skor 100% karena:
1. Adanya pelaporan status perubahan kepada management.
2. Perusahaan melakukan perubahan terbuka yang disetujui tepat waktu.
4.2.4.4 Close and document the changes
Proses ”Close and document the changes” PT NSK Bearings
Manufacturing Indonesia dinyatakan lulus dengan skor 100% karena:
1. Adanya prosedur operasional bisnis, dokumentasi aplikasi pada PT NSK
Bearings Manufacturing Indonesia.
Berikut ini adalah tabel yang menjelaskan pencapaian PT NSK Bearings
Manufacturing Indonesia untuk proses BAI06 di level 2.
Tabel 4.21 Performance Management BAI06
2.1 Performance Management
Generic Practices Exist Score
Identify the Objectives 100%
Plan and monitor the performance 100%
Adjust the performance 100%
Define responsibilities 100%
Identify and make available 100%
Manage the interfaces 100%
Average Score 100%
92
Tabel 4.22 Work Product Management BAI06
Semua proses yang lulus fully dari level 1 dipastikan juga lulus untuk level 2 nya
karena:
1. Karyawan sadar akan tujuan dari kegiatan yang dilakukannya.
2. Tanggung jawab untuk setiap proses sudah ditentukan, baik dalam SOP, tugas
dan wewenang jabatan, maupun penugasan secara tidak tertulis oleh atasan.
3. Semua sumber daya yang dibutuhkan untuk melakukan kegiatan-kegiatan
dalam perusahaan sudah disediakan, misalnya untuk komputer, semua
karyawan diberikan 1 PC atau laptop masing-masing.
4. Hubungan dengan pihak lain dalam melaksanakan proses juga sudah
ditentukan, baik dalam SOP, maupun secara tidak tertulis diajarkan oleh
rekan kerja atau atasan.
5. Semua dokumen hasil kerja sudah ditentukan harus seperti apa. Beberapa
dokumen penting sudah disediakan template-nya, sedangkan sisanya
menggunakan dokumen sebelumnya sebagai batasan minimal kualitas
dokumen yang dibuat.
2.2 Work Product Management
Generic Practices Exist Score
Define the requirements for the work
products 100%
Define the requirements for
documentation and control 100%
Identify,document and control 100%
Review and adjust work products 100%
Average Score 100%
93
6. Semua dokumen yang dibuat juga mencantumkan nama pembuat, dan
pemeriksa yang menyetujuinya, biasanya atasan, hal ini bisa dilihat misalnya
di SOP.
7. Semua dokumen yang dibuat juga mencantumkan nomor revisi sehingga
menjadi jelas bahwa dokumen dalam PT NSK Bearings Manufacturing
Indonesia dikontrol dengan baik.
Dari hasil penilaian capability level, proses Manage Changes berada di level 2
dengan status fully achieved yaitu 100% .
4.2.5 DSS05 – Manage Security Services
Proses Manage Security Services berfokus pada upaya melindungi
informasi perusahaan untuk mempertahankan tingkatan keamanan informasi yang
dapat diterima oleh perusahaan sesuai dengan kebijaksanaan keamanan.
Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik
mengenai penilaian proses ini adalah sebagai berikut :
Tabel 4.23 Manage Security Services DSS05
Tujuan Meminimalisasikan dampak bisnis dari kerentanan dan insiden dari
keamanan informasi operasional.
Proses
Manage
Security
Service
Level
0
Level
1
Level
2
Level
3
Level
4
Level
5
PA
1.1
PA
2.1
PA
2.2 PA 3.1 PA 3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Rating
berdasarkan
persentase
100% 100% 100% 100% 57,14% 57,14%
Rating
berdasarkan
warna
94
Rincian penilaian proses Manage Security Services pada level 1 dijelaskan
melalui tabel di bawah ini.
Tabel 4.24 Manage Security Services DSS05 Level 1
4.2.5.1 Protect against malware
Proses “Protect against malware” pada PT NSK Bearings Manufacturing
Indonesia dinyatakan lulus dengan skor 100%, karena: Adanya IT Desktop & Server
Policy dibahas mengenai software antivirus yang digunakan untuk menjaga keamanan,
update yang dilakukan terhadap antivirus, serta mengenai firewall yang memiliki
ketentuan harus selalu di set “on” dan mengenai pemblokan software-software yang
dianggap menggangu dan peraturan yang hanya memperbolehkan user menginstall
DSS05 Manage Security Services
Management Practice Outputs Exist Score
DSS05.01 Protect against
malware
Malicious software
prevention policy
100% Evaluations of potential
threats
DSS05.02 Manage network
and connectivity security
Connectivity security policy 100%
Results of penetration tests
DSS05.03 Manage endpoint
security
Security policies for
endpoint devices 100%
DSS05.04 Manage user
identity and logical access
Approved user access rights
100% Results of reviews of users
accounts and privileges
DSS05.05 Manage physical
access to IT assets
Approved access requests 100%
Access logs
DSS05.06 Manage sensitive
documents and output
devices
Inventory of sensitive
documents and devices
100%
Access privileges
DSS05.07 Monitor the
infrastructure for security-
related events
Security event logs
100% Security incident
characteristics
Security incident tickets
Average Score 100%
95
software untuk printer. Selain itu terdapat juga Policy IT Security yang membahas
mengenai peraturan-peraturan standar untuk mencegah penyebaran malware untuk
mengancam kemanan.
4.2.5.2 Manage network and connectivity security
Proses “Manage network and connectivity security” pada PT NSK Bearings
Manufacturing Indonesia dinyatakan lulus dengan skor 100%, karena:
1. IT Desktop & Server Policy membahas tentang wewenang login yang dimiliki
user yaitu hanya bisa menggunakan account login dari masing –masing user.
2. Untuk Sharing data hanya di perbolehkan dengan mendapatkan ijin akses dari
manager IT.
4.2.5.3 Manage endpoint security
Proses “Manage endpoint security” pada PT NSK Bearings Manufacturing
Indonesia dinyatakan lulus dengan skor 100%, karena:
1. Adanya kewajiban user untuk melakukan lock terhadap komputer masing-masing
pada saat tidak menggunakan komputer. Komputer harus dimatikan sebelum
meninggalkan kantor. Semua user harus mengakhiri session mereka jika sudah
selesai, dan ketentuan dimana user harus login menggunakan NPK masing-masing
dengan domain .
2. Semua department telah disediakan drive penyimpanan khusus yang tidak bisa di
akses oleh depatment lain.
3. Untuk printer dan sharing data semua menggunakan user account masing masing
sesuai dengn kartu NPK masing – masing.
96
4.2.5.4 Manage user identity and logical access
Proses “Manage user identity and logical access” pada PT NSK Bearings
Manufacturing Indonesia dinyatakan lulus dengan skor 100%, karena:
1. pada kegiatan operationalnya hak akses yang diberikan pada setiap user yang
login sudah dibeda-bedakan.
2. Perusahaan telah mengontentikasikan semua akses ke aset informasi
berdasarkan klasifikasi keamanan.
4.2.5.5 Manage physical access to IT assets
Proses “Manage physical access to IT assets” pada PT NSK Bearings
Manufacturing Indonesia dinyatakan lulus dengan skor 100%, karena:
1. Adanya peraturan hanya staff IT yang boleh masuk ke ruang server dengan
sensor muka dan sidik jari.
2. Perusahaan telah melindungi semua asset IT mereka dengan perangkat
keamanan pintu interior serta eksterior, terbukti adanya CCTV, akses sensor
sidik jari dan muka untuk area server.
4.2.5.6 Manage sensitive documents and output devices
Proses “Manage sensitive documents and output devices” pada PT NSK
Bearings Manufacturing Indonesia dinyatakan lulus dengan skor 100%, karena:
1. Adanya Documentation Policy yang didalamnya membahas tentang
pengumpulan dan penyimpanan segala informasi, ketentuan IT dalam bentuk
hardcopy maupun softcopy sebagai bukti dan keterangan yang dapat
dipergunakan sebagai acuan dalam system kerja IT. Di dalamnya juga
97
membahas mengenai tiga kategori dokumentasi pada PT NSK Bearings
Manufacturing Indonesia yaitu : Confidential, Internal use, Public
2. PT NSK Bearings Manufacturing Indonesia telah mempunyai IT Desktop &
Server Policy pada bagian software policy, server security policy, network
security policy.
4.2.5.7 Monitor the infrastructure for security-related events
Proses “Monitor the infrastructure for security-related events” pada PT NSK
Bearings Manufacturing Indonesia dinyatakan lulus dengan skor 100%, karena:
1. Perusahaan telah mencatat kejadian terkait keamanan sistem.
2. Adanya data security incident characteristic namun datanya hanya tersimpan
pada database perusahaan dan tidak ada dokumen printout
Berikut ini adalah tabel yang menjelaskan pencapaian PT NSK Bearings
Manufacturing Indonesia untuk proses DSS05 di level 2.
Tabel 4.25 Performance Management DSS05
Tabel 4.26 Work Product Management DSS05
2.1 Performance Management
Generic Practices Exist Score
Identify the Objectives 100%
Plan and monitor the performance 100%
Adjust the performance 100%
Define responsibilities 100%
Identify and make available 100%
Manage the interfaces 100%
Average Score 100%
2.2 Work Product Management
Generic Practices Exist Score
Define the requirements for the work
products 100%
98
Semua proses yang lulus fully dari level 1 dipastikan juga lulus untuk level 2
nya karena:
1. Karyawan sadar akan tujuan dari kegiatan yang dilakukannya.
2. Tanggung jawab untuk setiap proses sudah ditentukan, baik dalam SOP,
tugas dan wewenang jabatan, maupun penugasan secara tidak tertulis oleh
atasan.
3. Semua sumber daya yang dibutuhkan untuk melakukan kegiatan-kegiatan
dalam perusahaan sudah disediakan, misalnya untuk komputer, semua
karyawan diberikan 1 PC atau laptop masing-masing.
4. Hubungan dengan pihak lain dalam melaksanakan proses juga sudah
ditentukan, baik dalam SOP, maupun secara tidak tertulis diajarkan oleh
rekan kerja atau atasan.
5. Semua dokumen hasil kerja sudah ditentukan harus seperti apa. Beberapa
dokumen penting sudah disediakan template-nya, sedangkan sisanya
menggunakan dokumen sebelumnya sebagai batasan minimal kualitas
dokumen yang dibuat.
6. Semua dokumen yang dibuat juga mencantumkan nama pembuat, dan
pemeriksa yang menyetujuinya, biasanya atasan, hal ini bisa dilihat misalnya
di SOP.
Define the requirements for
documentation and control 100%
Identify,document and control 100%
Review and adjust work products 100%
Average Score 100%
99
7. Semua dokumen yang dibuat juga mencantumkan nomor revisi sehingga
menjadi jelas bahwa dokumen dalam PT NSK Bearings Manufacturing
Indonesia dikontrol dengan baik.
Berikut ini adalah tabel yang menjelaskan pencapaian PT NSK Bearings
Manufacturing Indonesia untuk proses DSS05 di level 3:
Tabel 4.27 Process Definition DSS05
Tabel 4.28 Process Deployment DSS05
Dalam melakukan penilaian level 3, dilakukan pengecekan terhadap dokumentasi
dan pelaksanaan SOP perusahaan apakah telah mencakup generic practices di COBIT
5. Dari hasil pengecekan terbukti bahwa dalam tiap proses yang masuk ke level 3 telah
memenuhi kriteria generic practices dari standar COBIT 5. Setelah itu, dilakukan
penilaian terhadap konten SOP perusahaan apakah telah mencakup poin-poin yang ada
di level 1.
3.1 Process Definition
Generic Practices Exist
Define the standard
Determine the sequence and interaction between processes
Identify the roles and competencies
Identify the required infrastructure and work environment
Determine suitable methods
3.2 Process Deployment
Generic Practices Exist
Deploy a defined process
Assign and communicate roles, responsibilities and authorities
Ensure necessary competencies
Provide resources and information to support the performance
Provide adequate process infrastructure
Collect and analyze data
100
Berikut ini adalah tabel yang menjelaskan kesesuaian konten SOP PT NSK
Bearings Manufacturing Indonesia untuk proses DSS05.
Tabel 4.29 Konten SOP Manage Security Services DSS05
Untuk Manage Security Services, perusahaan sudah memiliki panduan
berupa policy IT Desktop & Server. Policy tersebut mencakup poin 1, 2, 3, dan 6.
Policy tersebut membahas kewajiban karyawan dalam menangani PC mereka agar
terhindar dari serangan malware, mencegah upaya hacking, mengamankan
dokumen dan jaringan secara umum dengan menentukan ketentuan-ketentuan
dalam membuat password dan jangka waktu penggantian password secara berkala.
Namun belum ada panduan tertulis mengenai keamanan fisik, pemantauan
infrastruktur terhadap kejadian-kejadian keamanan, dan pengaturan identifikasi
dan hak akses user, juga belum tercapai penuh pemantauan dokumen- dokumen
sensitive.
Dari hasil penilaian capability level, proses Manage Security Services
berada di level 3 dengan status largely achieved sebesar 57,14%, sehingga proses
ini tidak dapat melanjutkan ke level selanjutnya karena untuk naik ke level
selanjutnya batas minimum yang harus dicapai adalah 85%
DSS05 Manage Security Services
Management Practice Exist Score
DSS05.01 Protect against malware 100%
DSS05.02 Manage network and connectivity security 100%
DSS05.03 Manage endpoint security 100%
DSS05.04 Manage user identity and logical access × 0%
DSS05.05 Manage physical access to IT assets 0%
DSS05.06 Manage sensitive documents and output devices × 100%
DSS05.07 Monitor the infrastructure for security-related
events ×
0%
Average Score 57,14%
101
4.3 Hasil Perhitungan Capability Level
Target capability level untuk seluruh proses yang di evaluasi pada PT NSK
Bearings Manufacturing Indonesia adalah 3,00 target ini di tetapkan berdasarkan
hasil wawancara dengan Manager IT selaku penanggung jawab dalam
pengelolaan IT. Berdasarkan hasil perhitungan 5 proses domain COBIT 5 yang
dievaluasi, maka perolehan capability level yang telah dicapai oleh PT NSK
Bearings Manufacturing Indonesia digambarkan sebagai berikut:
Gambar 4.1 Grafik Pencapaian Capability Level COBIT
Penjelasan mengenai seberapa besar gap yang ada antara target capability
level perusahaan dengan capability level yang telah dicapai perusahaan saat ini,
informasi tersebut dapat dilihat pada tabel di bawah ini
102
1. Level 0 / Not Achieved
Tabel 4.30 Daftar Proses COBIT di Level 0
No Nama Proses
Target
Level
Level
Saat Ini Gap
1 EDM03 – Ensure Risk Optimisation 3 0 3
2 APO12– Manage Risk 3 0 3
Gambar 4.2 Radar Chart Proses EDM03 dan APO12
Dari gambar 4.2 dapat disimpulkan bahwa untuk proses EDM03 dan
APO12 memiliki tingkat capability level saat ini ialah di level 0, dan target yang
akan di capai adalah level 3 sehinggga memperoleh nilai gap yakni 3.
103
2. Level 2 / Partially Achieved
Tabel 4.31 Daftar Proses COBIT di Level 1
No Nama Proses
Target
Level
Level
Saat Ini Gap
1 APO13 – Manage Security 3 2 1
2 BAI06 – Manage Changes 3 2 1
3 DSS05– Manage Security Services 3 2 1
Gambar 4.3 Radar Chart Proses APO13, BAI06, dan DSS05
Dari gambar 4.3 dapat disimpulkan bahwa untuk setiap proses APO13, BAI06,
dan DSS05 masing masing memiliki capability level saat ini di level 2, dan karena
untuk target level perusahaan di level 3, maka memiliki gap yakni bernilai 1.
Berdasarkan data hasil penilaian capability level masing-masing proses,
maka dilakukanlah perhitungan untuk mengetahui besarnya rata-rata capability
level yang telah dicapai oleh departemen IT PT NSK Bearings Manufacturing
Indonesia.
104
Perhitungan dilakukan dengan rumus rata-rata sebagai berikut:
Keterangan:
yn (y0...y5) = jumlah proses yang berada dilevel n
Z = jumlah proses yang dievaluasi
Berdasarkan data pencapaian level masing-masing proses, maka
perhitungan rata-rata capability level adalah sebagai berikut:
Capability Level = (0*2) + (1*0) + (2*3) + (3*0) + (4*0) + (5*0)
5
Capability Level = 1.20
Gambar 4.4 Radar Chart hasil Capability level
Capability Level = (0*y0) + (1*y1) + …+ (5*y5)
Z
105
Dari hasil perhitungan, maka dapat disimpulkan bahwa capability level
pada departemen IT (information teknologi) PT NSK Bearings Manufacturing
Indonesia saat ini berada di level 1,20 dan memiliki gap sebesar 1,8 untuk
mencapai level 3,00 yang menjadi target capability level perusahaan.
4.4 Penentuan Gap
Setelah di ketahui dari hasil perhitungan tingkat capability level perusahaan
saat ini dan tingkat kematangan yan di harapkan pada ke lima proses domain yang
telah di lakukan evaluasi pada divisi IT (information teknologi) PT NSK Bearings
Manufacturing Indonesia, maka untuk mencapai tingkat kematangan yang
diharapkan dibutuhkan penyesuaian dan perekomendasian untuk mencapai tingkat
kematangan yang di harapkan.
Dari hasil rata-rata dari tingkat kematangan yang saat ini ada dalam
perusahaan, berada dalam tingkat kematangan level 1 yakni Performed process
yakni hasil pencapaian atribut ini tercermin dari setiap proses menghasilkan
keluaran yang diharapkan, namun untuk mencapai level yang di harapkn yakni
level 3, maka perlu di tingkatkan kinerja perusahaan untuk dapat menutupi gap
atau kesenjangan agar dapat memenuhi tingkat kematangan yang di harapkan.
Berikut merupakan beberapa penjabaran dari hasil temuan atau gap pada
tiap key management practice :
Tabel 4.32 Tabel Temuan Gap
Proses Keterangan Temuan Gap
EDM03 – Ensure Risk
Optimisation
Memastikan bahwa resiko IT
perusahaan tidak melebihi
kemampuan dan toleransi
perusahaan dalam menerima
resiko, serta mengidentifikasi
1. Belum ada tim khusus
dalam menangani risk
terkait IT.
2. Report risk masih manual
dan belum terdokumentasi
106
dan mengelola dampak dari
resiko IT terhadap nilai-nilai
pada perusahaan, dan
mengurangi terjadinya
kegagalan.
itupun dilakukan
berdasarkan kasus yang
terjadi saja.
3. Belum mempunyai Risk
Appetite Guidance
APO12 - Manage Risk
Mengintegrasikan
management dari risiko IT
perusahaan dengan
keseluruhan ERM
(Enterprise Risk
Management), dan
menyeimbangkan biaya dan
keuntungan dari mengelola
resiko IT perusahaan.
1. belum mempunyai
control plan terkait resiko IT
2. Belum memiliki SOP
penaganan resiko yang
terkait jadi penaganannya
hanya dinamis saja, belum
terdokumentasi.
DSS05 –Manage Security
Services
Meminimalisasikan dampak
bisnis dari kerentanan dan
insiden dari keamanan
informasi operasional.
1. Belum memiliki
sertifikasi ISO27001 terkait
keamanan sistem informasi
4.5 Rekomendasi
Dengan melihat tabel 4.40 atau hasil temuan gap pada PT NSK Bearings
Manufacturing Indonesia dan meninjau terkait tingkat kematangan tata kelola IT
yang di harapkan, maka seluruh gap harus segera diatasi dan menjadikan peluang
perbaikan demi terwujudnya tata kelola IT yang lebih baik, di bawah ini adalah
rekomendasi dari penulis untuk mengatasi gap yang ada pada proses EDM03,
APO12, dan DSS05 adalah sebagai berikut :
Tabel 4.33 Rekomendasi
Proses Rekomendasi
EDM03 – Ensure Risk Optimisation
-Disarankan pada perusahaan untuk segera
dibuatkan Risk Appetite Guidance untuk
memenuhi persyaratan EDM03.01
-Disarankan pada perusahaan untuk segera
dibuatkan policy untuk Risk Management
untuk persyaratan EDM03.02
- Disarankan untuk membuat team kecil
dalam mengelola management resiko IT
dan melaporkan secara berkala kepada
107
pemangku kepentingan.
APO12 - Manage Risk
-Disarankan membuat control plan analisa
untuk mengetahui risiko baru, dan
penyebabnya.
-Disarankan membuat Project Proposals
tentang upaya mengurangi risiko.
DSS05 –Manage Security Services
-Disarankan melakukan sertifikasi ISO
27001 guna adanya standar dalam
keamanan sistem informasinya.
-Disarankan membuat SOP mengenai
Manage Physical access, ada pengaturan
tentang akses fisik ke aset IT, dan log
akses.
108
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan hasil evaluasi tata kelola TI (teknologi informasi) pada PT
NSK Bearings Manufacturing Indonesia didapatkan kesimpulan sebagai berikut :
Hasil Evaluasi dengan menggunakan COBIT 5 dan menghitung nilai capability
level rata-rata perusahaan mendapatkan nilai capability level yakni 1,20 dan
memiliki status level 1 Performed process yakni hasil pencapaian atribut ini
tercermin dari setiap proses menghasilkan keluaran yang diharapkan, namun
untuk mencapai level yang di harapkan (to be) yakni level 3, maka perlu di
tingkatkan kinerja perusahaan untuk dapat menutupi gap atau kesenjangan agar
dapat memenuhi tingkat kematangan yang di harapkan. Ketika semua proses di
evaluasi terdapat beberapa temuan / gap perusahaan yakni terdapat pada tabel
4.32 maka dari itu untuk mengatasi gap tersebut dibuatlah beberapa rekomendasi
yang tertuang pada tabel 4.33 guna mencapai capability level yang di harapkan
oleh perusahaan yakni untuk mencapai level 3.
5.2 Saran
Berdasarkan evaluasi yang telah dilakukan maka adapun saran saran yang
perlu di pertimbangkan adalah sebagai berikut :
1. PT NSK Bearings Manufacturing Indonesia disarankan untuk lebih
memperhatikan secara khusus dalam memperhatikan pengelolaan
109
terkait resiko IT (information teknologi) agar bisa sedini mungkin
dikendalikan guna selaras dengan tujuan perusahaan.
2. Disarankan melakukan sertifikasi ISO 27001 guna adanya standar
dalam keamanan sistem informasinya.
110
DAFTAR PUSTAKA
Fadel Muhafiizh, Suprapto, Retno indah (2017). Evaluasi Sumber Daya
Teknologi Informasi Perusahaan Menggunakan COBIT 5 ( Studi Kasus
PT Krakatau Steel Persero Tbk). Jurnal Pengembangan Teknologi
Informasi dan Ilmu Komputer. Vol. 1, No. 12, Desember 2017, hlm.
1687-1696. e-ISSN: 2548-964X
Fahmi Ajismanto (2017). Analisis Domain Proses COBIT Framework 5 pada
sistem informasi Worksheet (Studi Kasus : Perguruan tinggi STMIK,
Politeknik Palcomtech). Cogito Smart Journal/VOL. 3/NO. 2/DEC 2017
Fajrin Rizkya Pratiwi Suwarno.2014.Evaluasi Tata Kelola Teknologi Informasi
Menggunakan Framework COBIT 5 ada Proses Manage Relationship
(APO08) Studi Kasus : (PT Oto Multiarta).Universiats Islam Negri Syarif
Hidayatullah. Jakarta
Guido Waluyan, Augie David Manuputty (2016). Evaluasi Kinerja Tata Kelola TI
Terhadap Penerapan Sistem Informasi Starclick Framework COBIT 5
(Studi Kasus : PT Telekomunikasi Indonesia, Tbk Semarang ). TEKNOSI,
Vol. 02, No. 03, Desember 2016
Gultom, Manorang.2012.Audit Tata Kelola Teknologi informasi Pada PTPN 13
Pontianak menggunakan Framework COBIT.Jurnal ilmu ilmu Sosial
Volume 4 Nomor 1.
Hanim Maria Astuti, Feby Artwodini Muqtadiroh, Eko Wahyu Tyas
Darmaningrat, Chitra Utami Putri .2017. Risks Assessment of Information
Technology Processes Based on COBIT 5 Framework: A Case Study of ITS
Service Desk:Jurnal Sarjana Teknik Informatika, Procedia Computer
Science 124 (2017) 569–576
IGTI. 2007. COBIT 4.1.USA: IT Governance Institute
(https://estudijas.lu.lv/pluginfile.php/317103/mod_resource/content/1/COBI
T_41_Research.pdf. 02-04-18,10:44:20)
ISACA.2012.COBIT 5 Enabling Process.USA:IT Governance Institute
(https://www.dropbox.com/sh/unnd01tt2ssiy5/FT0L1Rwuvd,20-05-18:
13:24:29)
ISACA.2012.COBIT 5 Process Assesment Model.USA:IT Governance Institute
(https://www.dropbox.com/sh/unnd01tt2ssiy5/FT0L1Rwuvd,26-05-18:
09:24:29)
111
ISACA.2012.COBIT 5 Implementation.USA:IT Governance Institute
(https://www.dropbox.com/sh/unnd01tt2ssiy5/FT0L1Rwuvd,26-05-18:
09:24:29)
Jogiyanto, H.M & Abdillah, W. 2011 Sistem Tata Kelola Teknologi Informasi.
Yogyakarta:Andi
Laudron, Kenneth C. and Jane P. Laudon.2004, Sistem Informasi Manajemen
Mengelola Perusahaan Digital, Andi Offset, Yogyakarta.
Rahmi Eka Putri.2016. Penilaian Kapabilitas Proses Tata Kelola TI Berdasarkan
Proses DSS01 Pada Framework COBIT 5. Jurnal CoreIT, Vol.2, No.1.
ISSN: 2460-738X
Republik Indnesia.2008.Undang – Undang Nomor 11 tahun 2008 Tentang
Informasi Dan Transaksi Elektronik.Jakarta.
Satya Wisada Sembiring.2013.Evaluasi Teknologi Informasi Menggunakan
model COBIT 4.1 (Studi Kasus : PT Prudential Indonesia).Universitas
Atmajaya Jogyakarta.
Surendro,Kridanto.2009. Implementasi Tata Kelola Teknologi Informasi.
Bandung:Informatika
Wawolumaya, Edelwys Apriliana dkk. IT Governance – 5 Fokus Area,
http://blog.stikom.edu/erwin/files/2013/03/TKTI_P1T02R_11410100216.p
df [Diakses tanggal 17 April 2018]
https://sharingvision.com/permasalahan-it-governance-di-perusahaan/
[diakses tanggal 18 April 2018 ]
112
Daftar Riwayat Hidup
Fauziah Lahir pada tanggal 28 Agustus 1993 di
Kawasen, Kecamatan Banjarsari Kabupaten Ciamis.
Merupakan anak ke tujuh dari tujuh bersaudara dari
pasangan bapak Dulhobir dan Ibu Sartinah. Penulis
lahir dan di besarkan di Ciamis dan memulai
pendidikan di SD Negri 1 Kawasen pada tahun 2000
dan tamat pada tahun 2006 , kemudian melanjutkan
pendidikan ke SMP Negri 1 Banjarsari dan tamat pada
tahun 2009 , dan melanjutkan kembali pendidikan ke SMK Negri 1 Padaherang
tamat tahun 2012. Penulis mempunyai pengalam kerja di berbagai perusahaan
yakni :
1. PT Mattel Indonesia sebagai Staff Export Import tahun 2013 - 2014
2. PT NSK Bearing Manufacturing Indonesia sebagai Staff Export Import
2016 - Sekarang
Dan pada tahun 2014 penulis terdaftar sebagai mahasiswa di Sekolah Tinggi
Teknologi Pelita Bangsa Cikarang Fakultas Teknik Informatika dan lulus pada
tahun 2018.
Dengan Ketekunan dan motivasi yang tinggi untuk terus belajar dan berusaha
penulis telah berhasil menyelesaikan pengerjaan tugas akhir skripsi ini. Semoga
dengan penulisan tugas akhir skripsi ini mampu memberikan kontribusi yang
positif bagi dunia pendidikan.
Akhir kata penulis mengucapkan rasa syukur yang sebesar – besarnya atas
terselesaikannya skripsi yang berjudul “ Evaluasi Tata Kelola Teknologi
Informasi Pada PT NSK Bearings Manufacturing Indonesia Menggunakan
COBIT 5 “.
113
WAWANCARA
Nama : Bpk Fahmi
Jabatan : Manager IT
Hasil Wawancara Sebagai Berikut :
1. Apakah PT NSK Bearings Manufacturing Indonesia sudah memiliki
SOP/POLICE tentang management resiko terkait IT ?
Jawab : Belum memiliki
2. Sudah melakukan meeting berkala terkait resiko IT ?
Jawab : Sudah tapi tidak rutin .
3. Apakah Mempunyai Risk Register ?
Jawab : Tidak
4. Bagaimana cara collet data dan bagaimana menangani jika ada kasus
atau kejadian yang menyangkut resiko IT ?
Jawab : Kami masih menangani kasus secara dinamis, terkait collet data sudah
dilakukan pencatanan tiap kasus /kejadian hanya saja untuk control dan SOP
belum ada .
5. Apakah sudah mempunyai portofolio untuk mengatur dan menganalisis
risk IT ?
Jawab : Belum
6. Apakah PT NSK Bearings Manufacturing Indonesia telah mempunyai
ISMS police ?
114
Jawab : Sudah mempunyai
7. Apakah sudah menggunakan standart dalam penanganan security
sistemnya ?
Jawab : Belum memiliki Standarisasi ISO 27001 terkait security sistem, namun
dalam hal ini sedang dilakukan proses dan mungkin kedepannya akan
melakukan standarisasi.
8. Apakah pernah dilakukan audit external atau internal terutama dalam
penanganan Tata Kelola IT ?
Jawab : Sama sekali belum pernah .
9. Adakah software pelindung ?
Jawab : Sudah menerapkan software pelindung seperti antivirus, dll
10. Apakah ada akses yang terlindungi terkait aset IT dan fasilitas di
dalamnya ?
Jawab : Jelas ada, wewenang login , masuk ruang server , semua memiliki
akses terlindungi .
115
PENGANTAR KUESIONER PENELITIAN
Kepada Yth: Saudara/i
Dengan hormat,
Berhubung dengan penyelesaian tugas akhir (Skripsi) Teknik Informatika
di Sekolah Tinggi Teknologi Pelita Bangsa.
Nama : Fauziah
Nim : 311410653
Bersama ini kami memohon perkenan bapak/ibu untuk menjadi
responden dalam penelitian ini melalui pengisian kuisioner. Kuesioner
ini merupakan alat untuk menggali informasi mengenai pendapat
pegawai/karyawan yang berkaitan dan memiliki kepentingan baik
langsung maupun tidak langsung dengan Tata kelola TI di PT NSK
Bearing Manufacturing Indonesia. Jawaban yang bapak/ibu berikan
tidak akan mempengaruhi keberadaan bapak/ibu di lingkungan kerja.
Seluruh jawaban dan identitas bapak/ibu serta pihak ketiga lainnya,
bila ada, dijamin kerahasiaannya.
Untuk itu diharapkan jawaban serta informasi yang diberikan benar-
benar obyektif. Mohon diisi secara pribadi sesuai jawaban yang paling
mewakili pendapat Sudara. Setiap individu dapat memberikan
jawaban yang berbeda satu dengan yang lain. Tidak ada jawaban yang
salah, semua jawaban benar atau baik karena itu merupakan
keyakinan bapak/ibu, sehingga hasil olahan data ini akan menjadi data
yang valid bagi jawaban permasalahan penelitian ini
Hormat Saya,
Fauziah
116
Identitas Responden: Diharapkan mengisi Nama dan jabatan dengan benar.
Nama
Jabatan
Divisi
Tanggal Pengisian
Contoh pengisian:
Berikan tanda √ sesuai dengan penilaian Bapak/Ibu atau yang menurut
Bapak/Ibu mendekati.
NO Pernyataan / Pertanyaan T Y
1 PT NSK Bearing Manufacturing Indonesia telah
menggunakan Komputer di dalam proses kerja
sehari-hari?
2 PT NSK Bearing Manufacturing Indonesia telah
menggunakan internet untuk mendukung √
proses kerja sehari-hari?
3 Apakah Anda dapat dengan mudah mengetahui
informasi seputar produk yang ditawarkan
melalui website?
117
NO
Daftar Pertanyaan T Y
1
AP012.01 Collect data. (Mengumpulkan Data)
1. Perusahaan memelihara metode untuk pengumpulan data
terkait dengan resiko IT yang berjalan ?
2. Perusahaan mengakomodasi berbagai peristiwa yang
menjadi faktor resiko IT ?
3. Apakah perusahaan sudah melakukan survei analisis terkait
kehilangan data ?
4. Apakah perusahaan telah mencatat data insiden atau
masalah terkait IT ?
5. Bagaimana perusaaan mampu menentukan kondisi
mempengaruhi frekuensi kejadian dan besarnya kerugian ?
2
AP012.02 Analyse risk (Analisa Resiko)
1. Sudahkah perusahaan memverifikasi bahwa estimasi
dikalibrasi dengan benar dan diteliti ?
2. Apakah perusahaan telah menentukan persyaratan tingkat
tinggi untuk proyek atau program yang akan menerapkan
tanggapan risiko ?
3. Apakah perusahaan telah menganalisis dari biaya agar
menghindari resiko tinggi ?
4. Sejauh mana perusahaan mengevaluasi kontrol
operasionalnya diketahui?
5. Apakah perusahaan telah teratur membuat skenario resiko
terkait TI?
3
AP012.03 Maintain a risk profile (Mempertahankan profil risiko)
1. Sudahkah perusahaan mendokumentasikan segala
infrastruktur, fasilitas, catatan manual kritis, vendor,
pemasok dan agen outsourcing ?
2. Apakah perusahaan telah menentukan layanan TI dengan
baik ?
3. Apakah perusahaan telah mempunyai data profil risiko,
118
dan set indikator risiko yang menjadi panduan ?
4.
AP012.4 Articulate risk. ( Risiko mengartikulasikan )
1. Apakah perusahaan telah melaporkan analisis resiko
kepada pemangku kepentingan ?
2. Apakah perusahaan telah mempunyai landasan hukum atau
peraturan guna mengatasi kemungkinan terburuk sebuah
resiko bisnis ?
3. Sejauh mana laporan profil resiko di ketahui oleh
pemangku kepentingan ?
4. Apakah perusahaan telah melakukan audit internal atau
eksternal untuk meninjau resiko IT terkait dengan tujuan
bisnis ?
5.
AP012.5 Define a risk management action portfolio.( Definisikan
portofolio tindakan manajemen risiko)
1. Apakah perusahaan mempunyai portofolio untuk
memonitor resiko ?
2. Sudahkah mendokumentasikan langkah-langkah spesifik
yang harus diambil ketika suatu peristiwa risiko dapat
menyebabkan insiden operasional ?
3. Sejauh mana perusahaan mendefinisikan serangkaian
proposal proyek yang seimbang yang dirancang untuk
mengurangi risiko ?
6 AP012.6 Respond to risk (Menanggapi risiko)
1. Apakah setiap resiko bisnis yang terjadi di komunikasikan
kepada pemangku kepentingan ?
2. Apakah perusahaan sudah menerapkan cara atau agenda
ketika resiko terjadi ?
3. Perusahaan selalu melaporkan indentifikasi resiko secara
berkala ?
119
AP013 Manage Security (Kelola Keamanan)
NO
Daftar Pertanyaan T Y
1
AP013.01 Establish and maintain ISMS / information security
management system (Menetapkan dan memelihara ISMS.)
1. Apakah perusahaan telah menggunakan algoritma khusus
untuk keamanan sistem informasi yang berjalan saat ini ?
2. Apakah perusahaan melakukan perencanaan dan
menetapkan memelihara sistem keamanan informasi di
kendalikan dan di pertahankan ?
3. Apakah perusahaan menetapkan standar level keamanan
resiko pada sistem managemen keamanan informasi ?
4. Apakah perusahaan telah mengimplementasikan penetapan
dan memelihara ISMS ?
5. Apakah perusahaan mengimplementasikan standar level
keamanan resiko pada ISMS ?
2
AP013.02 Define and manage an information security risk
treatment plan. (Menentukan dan mengelola rencana perawatan
risiko keamanan informasi.)
1. Apakah perusahaan telah merumuskan dan memelihara
rencana penanganan resiko keamanan sistem informasi
yang selaras dengan tujuan bisnis ?
2. Apakah perusahaan telah mengembangkan proposal untuk
menerapkan rencana penaganan resiko keamanan
informasi
3. Sejauh mana perusahaan memberikan masukan untuk
desain dan pengembangan praktik manajemen dan solusi
yang dipilih dari rencana perawatan risiko keamanan
informasi.
4. Perusahaan telah membuat pemantauan prosedur
keamanan sistem informasi.
3
AP01.03 Monitor and review the ISMS. (Pantau dan tinjau ISMS)
1. Perusahaan telah melakukan proses terprediksi secara terus
menerus untuk menetapkan dan memelihara ISMS.
120
BAI06 Manage Changes (Kelola Perubahan)
NO
Daftar Pertanyaan
T Y
1
BAI06.01 Evaluate, prioritise and authorise change requests. (Mengevaluasi,
memprioritaskan dan mengotorisasi permintaan perubahan).
1. Sudahkan perusahaan menerapkan perubahan terkait
sumber daya yang memadai ?
2. Apakah perusahaan merencanakan dan mengevaluasi
semua permintaan secara tersruktur ?
3. Perusahaan telah Merencanakan dan mengevaluasi semua
analisis dampak pada proses bisnis, infrastruktur, sistem
dan aplikasi, rencana kesinambungan bisnis (BCP) dan
penyedia layanan untuk memastikan bahwa semua
komponen yang terkena dampak telah diidentifikasi.
4. Perusahaan menilai kemungkinan mempengaruhi
lingkungan operasional dan risiko penerapan perubahan.
Pertimbangkan implikasi keamanan, hukum, kontraktual
dan kepatuhan dari perubahan yang diminta.
5. Perusahaan melakukan perubahan dengan meliibatkan
pemilik proses bisnis dalam proses penilaian, sebagaimana
mestinya.
2
BAI06.02 Manage emergency changes (Kelola perubahan darurat)
1. Perusahaan telah memastikan bahwa prosedur
terdokumentasi ada untuk menyatakan, menilai,
memberikan persetujuan awal, mengesahkan setelah
perubahan dan mencatat perubahan keadaan darurat.
2. Perusahaan telah memastikan bahwa semua pengaturan
akses darurat untuk perubahan diotorisasi dengan tepat,
didokumentasikan dan dicabut setelah perubahan
diterapkan.
3. Perusahaan telah memantau perubahaan yang ada dan
melakukan evaluasi pasca implementasi yang melibatkan
semua pihak terkait.
121
4. Perusahaan telah mengembangan dan pemeliharaan sistem
aplikasi, pengembangan dan pengujian lingkungan,
dokumentasi dan manual, dan integritas data.
3
BAI06.03 Track and report change status (Lacak dan laporkan status
perubahan).
1. Perusahaan telah menerapkan laporan status perubahan
dengan metrik kinerja untuk memungkinkan tinjauan dan
pemantauan manajemen.
2. Perusahaan apakah telah memastikan bahwa laporan status
membentuk jejak audit sehingga perubahan dapat dilacak
dari awal hingga disposisi akhir.
3. Perusahaan melakukan perubahan terbuka untuk
memastikan bahwa semua perubahan yang disetujui
ditutup secara tepat waktu.
4 BAI06.04 Close and document the changes ( Tutup dan dokumentasikan
perubahannya )
1. Apakah perusahaan telah mempunyai dokumentasi
perubahaan (misalnya, prosedur operasional bisnis dan TI,
kesinambungan bisnis dan dokumentasi pemulihan
bencana, informasi konfigurasi, dokumentasi aplikasi,
layar bantuan, dan materi pelatihan).
2. Apakah perusahaan menentukan periode retensi yang
sesuai untuk dokumentasi perubahan dan sistem pra-dan
pasca-perubahan dan dokumentasi pengguna.
122
DSS05 Manage Security Services (Kelola Layanan Keamanan)
NO
Daftar Pertanyaan T Y
1
DSS05.01 Protect against malware. (Lindungi terhadap malware)
1. Perusahaan selalu mengomunikasikan kesadaran perangkat
lunak berbahaya.
2. Apakah perusahaan menegakkan prosedur dan tanggung
jawab pencegahan terhadap perangkat lunak berbahaya ?
3. Perusahaan telah memasang dan aktifkan alat perlindungan
perangkat lunak berbahaya pada semua fasilitas
pemrosesan.
4. Perusahaan secara teratur meninjau dan mengevaluasi
informasi tentang potensi ancaman baru (misalnya,
meninjau saran keamanan produk dan layanan vendor).
5. Sudahkah perusahaan menerapkan Filter lalu lintas masuk,
seperti email dan unduhan, untuk melindungi terhadap
informasi yang tidak diminta (mis., Spyware, email
phishing) ?
2
DSS05.02 Manage network and connectivity security (Kelola keamanan
jaringan dan konektivitas)
1. Apakah perusahaan telah menerapkan penilaian risiko dan
persyaratan bisnis, menetapkan dan mempertahankan
kebijakan untuk keamanan konektivitas ?
2. Perusahaan telah menerapkan hanya perangkat yang
berwenang yang memiliki akses ke informasi perusahaan
dan jaringan perusahaan.
3. Sejauh mana perusahaan menerapkan mekanisme
penyaringan jaringan, seperti firewall dan perangkat lunak
deteksi intrusi, dengan kebijakan yang tepat untuk
mengontrol lalu lintas masuk dan keluar ?
4. Perusahaan telah mengekripsikan informasi dalam
perjalanan sesuai dengan klasifikasinya dan menerapkan
protokol keamanan yang disetujui ke konektivitas jaringan.
5. Apakah perusahaan melakukan pengujian penetrasi secara
berkala untuk menentukan kecukupan perlindungan
123
jaringan.
3
DSS05.03 Manage endpoint security (Kelola keamanan endpoint).
1. Apakah Konfigurasi sistem operasi di perusahaan telah
diterapkan dengan cara yang aman.
2. Apakah perusahaan telah menerapkan mekanisme kuncian
perangkat.
3. Sejauh mana perusahaan mengenkripsi informasi dalam
penyimpanan sesuai dengan klasifikasinya.
4. Sejauh mana perusahaan telah melindungi integritas
sistem.
4
DSS05.04 Manage user identity and logical access ( Kelola identitas pengguna
dan akses logis)
1. Apakah perusahaan telah menerapkan hak akses pengguna
sesuai dengan fungsi bisnis dan persyaratan proses
2. Sudahkah perusahaan mensejajarkan pengelolaan identitas
dan hak akses ke peran dan tanggung jawab yang
ditetapkan, berdasarkan pada prinsip-prinsip yang tidak
memiliki hak istimewa, perlu dimiliki dan perlu diketahui.
3. Apakah perusahaan telah melakukan koordinasi dengan
unit bisnis untuk memastikan bahwa semua peran
didefinisikan secara konsisten, termasuk peran yang
ditentukan oleh bisnis itu sendiri dalam aplikasi proses
bisnis.
4. Perusahaan telah mengotentikasi semua akses ke aset
informasi berdasarkan klasifikasi keamanan mereka
5. Apakah unit bisnis yang mengelola otentikasi dalam
aplikasi yang digunakan oleh proses bisnis telah
memastikan bahwa kontrol otentikasi dikelola dengan
benar.
5
DSS05.05 Manage physical access to IT assets ( Kelola akses fisik ke aset TI )
1. Apakah IT mengelola permintaan dan pemberian akses ke
fasilitas komputasi dan disahkan oleh manajemen TI ?
2. Apakah section IT menyediakan Formulir-formulir khusus
untuk mengidentifikasi bidang-bidang yang mana individu
124
yang diberi akses.
3. 3. Perusahaan telah memastikan profil akses tetap terjaga.
Akses dasar ke situs TI (ruang server, bangunan, area atau
zona) pada fungsi dan tanggung jawab pekerjaan.
4. Apakah Log dan pemantauan semua titik masuk ke situs TI
terdata semua ?
5. Apakah perusahaan telah mebatasi akses ke situs TI yang
sensitif dengan menetapkan batasan perimeter, seperti
pagar, dinding, dan perangkat keamanan pada pintu
interior dan eksterior. Pastikan bahwa perangkat merekam
entri dan memicu alarm jika ada akses yang tidak sah.
Contoh perangkat tersebut termasuk lencana atau kartu
kunci, keypad, televisi sirkuit tertutup, dan pemindai
biometrik.
6
DSS05.06 Manage sensitive documents and output devices ( Kelola dokumen
sensitif dan perangkat output)
1. Perusahaan telah menetapkan prosedur untuk mengatur
penerimaan, penggunaan perangkat IT ?.
2. Sejauh mana perusahaan menyimpan dokumen
kerahasiaan IT ? Apakah ada filterisasi dokumen ?
3. Perusahaan telah membuat inventaris dokumen sensitif dan
perangkat output, dan lakukan rekonsiliasi secara teratur.
7
DSS05.07 Monitor the infrastructure for security-related events (Pantau
infrastruktur untuk acara terkait keamanan)
1. Perusahaan selalu mencatat kejadian terkait keamanan
yang dilaporkan oleh alat pemantauan keamanan
infrastruktur, identifikasi tingkat informasi yang akan
dicatat berdasarkan pertimbangan risiko.
2. Apakah perusahaan mempunyai jangka waktu yang tepat
untuk membantu penyelidikan di masa depan terkait
masalah atau kejadian yang pernah terjadi ?
3. Perusahaan telah menetapkan dan mengkomunikasikan
karakteristik dari potensi insiden terkait keamanan TI ?
4. Perusahaan selalu memantau insiden terkait keamanan
sistem ?
125
EDM03 Ensure Risk Optimisation (Pastikan Optimasi Risiko)
NO
Daftar Pertanyaan
T Y
1.
EDM03.01 Evaluate risk management. ( Evaluasi Manajemen Risiko)
1. Perusahaan menetapkan kepemilikan dan tanggung jawab
atas risiko yang berhubungan dengan teknologi informasi
dalam bisnis.
2. Perusahaan membentuk dan mengkomunikasikan peran
dan tanggung jawab untuk personil teknologi informasi.
3. Perusahaan memastikan bahwa tujuan TI tidak melebihi
risk appetite dan toleransi risiko, dampak risiko TI
terhadap nilai perusahaan diidentifikasi dan dikelola, dan
potensi kegagalan kepatuhan diminimalkan.
EDM03.02 Direct risk management ( Manajemen risiko langsung )
1. Perusahaan telah membentuk praktik manajemen resiko
untuk memastikan bahwa resiko TI tidak melebihi risk
manajemen.
2. Sejauh mana Perusahaan menempatkan proses teknologi
informasi di tempatnya untuk secara berkala meninjau
struktur organisasi teknologi informasi dalam
menyesuaikan kebutuhan staf dan sumber strategi untuk
memenuhi tujuan bisnis yang diharapkan dan perubahan
keadaan.
3. Sejauh mana Perusahaan menetapakan jalur pelaporan dari
teknologi informasi manajer sepadan dengan pentingnya
teknologi informasi dalam Perusahaan.
EDM03.03 Monitor risk management ( Pantau manajemen risiko )
1. Sejauh mana Perusahaan menerapkan praktek-praktek
pengawasan yang memadai dalam fungsi teknologi
informasi untuk memastikan bahwa peran dan tanggung
jawab itu dilakukan dengan benar
2. Sejauh mana Perusahaan menetapkan kepemilikan dan
tanggung jawab atas risiko yang berhubungan dengan
teknologi informasi dalam bisnis