makalah cobit
DESCRIPTION
perbedaan COBIT 4.1 dan COBIT 5, ITIL, ISOTRANSCRIPT
TUGAS MAKALAH
AUDIT SISTEM INFORMASI
COBIT
Disusun Oleh :
1. Faisal Puri C. 4.43.09.1.10
2. Ida Sulistiyoningsih 4.43.09.1.13
3. Rezha Rifki F. 4.43.09.1.20
4. Siska Widya P. 4.43.09.1.21
PROGRAM STUDI AKUNTANSI
JURUSAN AKUNTANSI
POLITEKNIK NEGERI SEMARANG
2013
BAB I
PENDAHULUAN
1. Latar Belakang
COBIT (Control Objectives for Information and Related Technology) adalah
kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan
perangkat yang mendukung dan memungkinkan para manager untuk
menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan
(control requirement), masalah teknis (technical issues) dan resiko bisnis
(bussiness risk).
COBIT mempermudah perkembangan peraturan yang jelas (clear policy
development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu
organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan
IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan
dari kerangka COBIT.
Dalam pembahasan ini, ada beberapa hal mengenai sistem manajemen data
yang dibahas. Hal-hal yang dibahas secara umum ada dua, yaitu: 1) definisi
COBIT, 2) sejarah COBIT, 3) manfaat COBIT, dan 4) perbedaan versi COBIT
.
2. Rumusan Masalah
Berdasarkan latar belakang di atas, maka masalah pokok pada pembahasan ini
adalah:
a. Apakah yang dimaksud COBIT?
b. Bagaimana sejarah COBIT?
c. Apa saja manfaat dan perbedaan versi COBIT?
3. Tujuan
Tujuan dari pembahasan sistem manajemen data adalah:
a. Menjelaskan tentang COBIT
b. Menjelaskan sejarah COBIT
c. Menyebutkan dan menjelaskan tentang manfaat dan perbedaan versi COBIT.
BAB II
PEMBAHASAN
2.1 Pengertian COBIT - The ISACA Framework (Kerangka ISACA)
COBIT (Control Objectives for Information and Related Technology)
adalah kerangka kerja tata kelola IT (IT Governance Framework) dan
kumpulan perangkat yang mendukung dan memungkinkan para manager
untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan
(control requirement), masalah teknis (technical issues) dan resiko bisnis
(bussiness risk).
COBIT mempermudah perkembangan peraturan yang jelas (clear policy
development) dan praktik baik (good practice) untuk mengendalikan IT dalam
organisasi. COBIT menekankan keputusan terhadap peraturan, membantu
organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan
IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan
dari kerangka COBIT.
2.2 Sejarah Perkembangan COBIT
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang
menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT
Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang
mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT.
COBIT terdiri atas 4 domain, yaitu : a.) Planning and Organizing, b.)
Acquisition and Implementation, c.) Delivery and Support, d.) Monitoring
and Evaluation.
2.3 Manfaat COBIT
Manfaat dalam penerapan COBIT ini antara lain :
a. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung
keputusan bisnis.
b. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI
secara efektif dan inovatif.
c. Mencapai tingkat operasional yang lebih baik dengan aplikasi
teknologi yang reliable dan efisien.
d. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
e. Mengoptimalkan biaya dari layanan dan teknologi TI.
f. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan
kebijakan.
2.4 COBIT Versi 4.1
2.4.1 Kerangka Kerja
Kerangka kerja pengendalian COBIT terdiri dari empat hal, yakni :
a. Mengaitkannya dengan tujuan organisasi,
b. Mengorganisasikan aktivitas TI ke dalam model proses,
c. Mengidentifikasi sumber daya utama TI untuk melakukan percepatan,
d. Mendefinisikan tujuan pengendalian manajemen untuk dipertimbangkan.
COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses,
kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran
pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa
(primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi
informasi yang mana.
1. Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut :
a. Merencanakan dan mengorganisasikan,
b. Memperoleh dan mengimplementasikan,
c. Melaksanakan dan mendukung,
d. Memonitor dan mengevaluasi.
2. Proses yang berjumlah 34, terdiri dari PO1 sampai PO10 (indikator Plan
dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1
sampai DS13 (indikator Direct dan Support), serta ME1 sampai ME4
(indikator Monitor dan Evaluate).
3. Kriteria informasi, yang meliputi tujuh hal berikut ini :
COBIT menetapkan standar penilaian terhadap sumber daya teknologi
informasi dengan kriteria sebagai berikut:
a. Efektivitas : untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis seperti penyampaian informasi
dengan benar, konsisten, dapat dipercaya dan tepat waktu.
b. Efisiensi : memfokuskan pada ketentuan informasi melalui
pengunaan sumber daya yang optimal.
c. Kerahasiaan : memfokuskan proteksi terhadap informasi yang
penting dari yang tidak memiliki otorisasi.
d. Integritas : berhubungan dengan keakuratan dan kelengkapan
informasi sebagai kebenaran yang sesuai dengan harapan dan nilai
bisnis.
e. Ketersediaan : berhubungan dengan informasi yang tersedian ketika
diperlukan dalam proses bisnis sekarang dan yang akan datang.
f. Kepatuhan : sesuai menurut hukum, peraturan, dan rencana
perjanjian untuk proses bisnis.
g. Keakuratan informasi : berhubungan dengan ketentuan kecocokan
informasi untuk manajemen mengoperasikan entitas dan mengatur
pelatihan dan kelengkapan laporan pertanggungjawaban.
4. Sumber daya teknologi informasi,meliputi : Sistem aplikasi, Informasi,
Infrastruktur, dan Personil.
2.5 COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa
pengelolaan IT pada suatu organisasi dengan menggunakan maturity models
yang bisa digunakan untuk penilaian kesadaran pengelolaan (management
awareness) dan tingkat kematangan (maturity level). COBIT mempunyai
model kematangan (maturity models) untuk mengontrol proses-proses IT
dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi
dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent
sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial,
2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan
Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Model kematangan (maturity models) tersebut seperti terlihat dalam
Gambar berikut:
Gambar Maturity Model
(Sumber: IT Governance Institute, 2007)
2.6 COBIT 5
2.6.1 COBIT 5 – Product Family – The Overarching Framework Product
2.6.2 COBIT 5 – Value Creation (Nilai Penciptaan)
a. Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan
menejemen yang baik dari aset-aset informasi dan teknologi, termasuk
pengaturan pengamanan informasi.
b. Kebutuhan para penegak hukum, pembuat peraturan dan pembuat kontrak
yang diluar perusahaan (hukum luar, peraturan dan kontrak kepatuhan)
berhubungan dengan penggunaan informasi dan teknologi yang semakin
meningkat diperusaahaan, menjadi ancaman jika terjadi kebocoran.
c. COBIT 5 menyediakan kerangka kerja yang lengkap (kerangka
komprehensif) yang membantu perusahaan untuk mencapai target mereka
dan memberikan nilai melalui tata kelola dan menejemen perusahaan yang
baik dibidang IT – menyediakan dasar yang kuat untuk pengaturan
keamanan informasi.
2.6.3 COBIT 5 – Framework (Kerangka Kerja)
a. Seperti yang telah dijelaskan, COBIT 5 membantu perusahaan untuk
menciptakan nilai IT yang optimal dengan menjaga keseimbangan
antara mewujudkan manfaat dan mengoptimalisasi tingkat resiko dan
sumber yang digunakan.
b. COBIT memungkinkan informasi dan teknologi yang berhubungan
untuk dikelolah dan diatur dengan cara yang menyeluruh pada setiap
bagian perusahaan, mengambil peran penuh pada bisnis dan area
fungsional dari tanggung jawab perusahaan, dengan
mempertimbangkan bahwa IT berhubungan dengan stakeholders yang
berasal dari internal dan eksternal perusahaan.
c. COBIT 5 – Principle dan Enablers adalah umum dan bermanfaat
untuk semua ukuran perusahaan, baik itu komersial ataupun tidak, atau
untuk penyedia layanan publik.
COBIT 5 – Principle dan Enabler
Kerangka kerja ini membahas bisnis maupun IT bidang fungsional disuatu
perusahaan dan mempertimbangkan TI terkait kepentingan stakeholder internal &
eksternal. Berdasarkan 5 prinsip COBIT 5 didasarkan pada lima prinsip kunci
untuk tata kelola dan manajemen perusahaan TI:
a. Prinsip 1: pertemuan pemangku kepentingan kebutuhan
b. Prnsip 2: meliputi Enterprise end-to-end
c. Prinsip 3: menerapkan kerangka, single terpadu
d. Prinsip 4: mengaktifkan pendekatan kebutuhan
e. Prinsip 5: tata pemisahan dari manajemen
Dan kerangka COBIT 5 juga menjelaskan 7 kategori enabler:
a. Prinsip kebijakan dan kerangka kerja adalah cara untuk menerjemahkan
perilaku yang diinginkan menjadi panduan praktis manajemen.
b. Proses menggambarkan aturan praktekterorganisir dan kegiatan untuk
mencapai tujuan tertentu dan menghasilkan output dalam mendukung
pencapaian keseluruhan TI tujuan yang terkait.
c. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam
suatu perusahaan.
d. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering
diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.
e. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan
teratur, tetapi pada tingkat operasional, informasi adalah hal utama dari
perusahaan itu sendiri.
f. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan
aplikasi yang menyediakan perusahaan dengan pengelolaan informasi
teknologi dan jasa.
g. Orang-orang (SDM), keterampilan, dan kompetensi yang diperlukan untuk
keberhasilan menyelesaikan semua kegiatan, dan untuk membuat
keputusan yang benar dan mengambil tindakan korektif.
Tata kelola dan manajemen, Governance memastikan bahwa tujuan perusahaan
yang dicapai dengan cara mengevaluasi kebutuhan pemangku kepentingan,
kondisi dan pilihan, menetapkan arah melalui prioritas dan pengambilan
keputusan, dan pemantauan kinerja, kepatuhan dan kemajuan terhadap setuju pada
arah dan tujuan (EDM). Rencana manajemen, membangun, berjalan dan kegiatan
monitor sejalan dengan arah yang ditetapkan oleh badan pemerintahan untuk
mencapai tujuan perusahaan (PBRM). Dalam ringkasan COBIT 5 menyatukan
lima prinsip yang memungkinkan perusahaan untuk membangun pemerintahan
yang efektif dan kerangka kerja manajemen berdasarkan holistik, tujuh enabler
yang mengoptimalkan informasi dan investasi teknologi dan penggunaan
kepentingan stakeholder. Penggunaan COBIT 5 untuk keamanan informasi dapat
membantu perusahaan dari semua sisi:
a. Mengurangi kompleksitas dan meningkatkan efektifitas biaya.
b. Meningkatkan kepuasan pengguna dengan pengaturan keamanan
informasi dan hasil.
c. Meningkatkan integrasi keamanan informasi.
d. Memberikan informasi keputusan resiko dan risk awareness.
e. Mengurangi insiden keamanan informasi.
f. Meningkatkan dukungan untuk inovasi dan daya saing.
COBIT 5 – Enabling Prosesses
Governance and Management
a. Tata kelola (governance) memanstikan bahwa tujuan perusahaan dapat
dicapai dengan melakukan evaluasi (evaluating) terhadap kebutuhan,
kondisi dan pilihan stakeholder; menetapkan arah (direction) melalui skala
prioritas dan pengambilan kepeutusan; dan pengawasan (monitoring) pada
saat pelaksanaan, penyesuaian dan kemajuan terhadap arah dan tujuan
yang telah disetujui (EDM).
b. Management plans, builds, runs and mionitors (PBMR) aktifitas-aktifitas
yang selaras dengan arah yang telah ditentukan oleh badan pemerintahan
untuk mencapai tujuan perusahaan.
2.6.4 COBIT 5 – Integrates Earlier ISACA Frameworks
COBIT 5 telah memperjelas proses menejemen tiap tingkatan dan
menggabungkan isi dari COBIT 4.1, Val IT dan Risk IT menjadi satu model
proses.
2.6.5 COBIT 5 – Integrates BMIS Components Too
COBIT 5 juga telah menyertakan model pendekatan yang menyeluruh,
berhubungan atar tiap komponen dari cara kerja Business Model for
Information Security (BMIS) dan menggabungkannya kedalam komponen
kerangka kerja.
Perkenalan tentang BMIS (Business Model for Information Security)
a. Sebuah pendekatan yang menyeluruh dan business-oriented untuk
mengatur keamanan informasi (information security), dan sebuah istilah
yang umum untuk keamanan informasi serta menejemen bisnis yang
berbicara tentang menejemen bisnis yang berbicara tentang perlindungan
informasi (Information Protection).
b. BMIS menantang pemikiran yang tradisional dan memungkinkan kita
untuk melakukan evaluasi ulang secara kretif terhadap investasi yang
dilakukan pada keamanan informasi.
c. BMIS menyediakan penjelasan secara mendalam untuk keseluruhan model
bisnis yang memeriksa masalah keamanan dari sudut pandang sistem.
2.6.6 COBIT 5 – Integrates BMIS Components
a. Beberapa dari komponen BMIS saat ini telah terintegrasi kedalam COBIT 5
sebagai pendorong (interacting enablers) yang mendukung perusahaan
untuk mencapai tujuan bisnisnya dan menciptakan stakeholder value : a.
Organisasi, b. Orang, c. Budaya, d. Teknologi, e. Faktor manusia.
b. Komponen BMIS yang lain sebenarnya berhubungan dengan aspek yang
lebih besar pada kerangka COBIT 5 :
a. Govering – Dimensi dari aktifitas tata kelola (evaluate, direct, monitor-
ISO/IEC 38500) ditujukkan pada tingkatan perusahaan dalam kerangka
kerja COBIT 5.
b. Architecture – (termasuk proses model) – COBIT 5 mencakup
kebutuhan yang ditujukan untuk aspek arsitektur perusahaan yang
menghubungkan organisasi dengan teknologi secara efektif.
c. Emergence – Sifat yang menyeluruh dn terpadu dari pendukung COBIT
5 mendukung perusahaan untuk beradaptasi dengan perusahaan yang
terjadi pada kebutuhan stakeholder dan enabler capabilities sesuai
kebutuhan.
2.6.7 COBIT 5 – Implementasi
a. Perkembangan dari the Governance of Enterprise IT (GEIT) secara luas
diakui oleh top menejemen sebagai bagian penting dari tata kelola
perusahaan.
b. Informasi dn kegunaan dari teknologi informasi terus berkembang menjadi
bagian dari setiap aspek bisnis dan kehidupan.
c. Kebutuhan untuk menggunakan lebih banyak manfaat dari investasi IT
dan mengelola berbagai peningkatan resiko yang terkait dengan IT,
termasuk resiko keamanan.
d. Meningkatnya peraturan dan perundangan pada penggunaan dan
keamanan informasi bisnis juga menyebabkan meningkatnya kewaspadaan
terhadap pentingnya penggunaan tata kelola yang baik (well-governed),
pengaturan dan pengamanan penggunaan IT.
e. ISACA telah mengembangkan kerangka kerja COBIT 5 untuk membantu
perusahaan menggunakan pembangkit tata kelola yang sehat (sound
governance enablers).
f. Menerapkan GEIT yang baik hampir tidak mungkin tanpa melibatkan
kerangka kerja tata kelola yang efektif. Praktik terbaik dan standart juga
tersedia untuk mendukung COBIT 5.
g. Bagaimanapun juga, kerangka kerja, praktik terbaik dan standr hanya
berguna jika digunakan dan disesuaikan secara efektif. Tedapat banyak
tantangan yang ditemui dan masalah yang harus ditangani berhubungan
hal tersebut jika ingin GEIT dapat diimplementasikan dengan sukses.
h. Penerapan COBIT 5 mencangkup :
Penentuan posisi GEIT pada perusahaan.
Mengambil langkah pertama menuju perbaikan GEIT.
Pelaksanaan tantangan dan faktor keberhasilan.
Memungkinkan GEIT yang terkait dengan perubahan dan perilaku
organisasi.
Menerapkan perbaikan yang berkelanjutan yang mencangkup
pemberdayaan perubahan dan menejemen program.
Menggunakan COBIT 5 dan komponen-komponennya.
COBIT 5 Implementation
2.6.8 COBIT 5 – Produk Keluarga – Includes an Information Security
Member
COBIT 5 and Information Security
COBIT 5 menangani tentang keamanan informasi terutama :
a. Fokus pada sistem manajemen keamanan informasi (ISMS) dalam
menyelaraskan, merencanakan dan mengatur (APO) domain manajemen,
APO 13 mengelola keamanan, menetapkan keunggulan keamanan
informasi dalam kerangka proses COBIT 5.
b. Proses ini menyoroti kebutuhan untuk manajemen perusahaan untuk
merencanakan dan membangun ISMS yang sesuai untuk mendukung
prinsip-prinsip tata kelola informasi keamanan dan keamanan-dampak
tujuan bisnis yang dihasilkan dari domain, mengevaluasi dan monitor
langsung (EDM) pemerintahan.
c. COBIT 5 untuk keamanan informasi akan menjadi pandangan diperpanjang
dari COBIT 5 yang menjelaskan setiap komponen COBIT 5 dari perspektif
keamanan informasi.
d. Nilai tambah bagi konstituen keamanan informasi akan diciptakan melalui
penjelasan tambahan, aktivitas, proses dan rekomendasi.
e. Ini COBIT 5 untuk tata kelola keamanan informasi dan manajemen yang
akan memberikan profesional keamanan pedoman yang rinci untuk
menggunakan COBIT 5 karena mereka menetapkan, menerapkan dan
memelihara keamanan informasi dalam kebijakan bisnis, proses dan
struktur dari sebuah perusahaan.
2.7 IT IL ( Information Technology Infrastructure Library)
IT Infrastructure Library (ITIL) merupakan sebuah framework yang
memberikan panduan (guidance) mengenai pengelolaan IT berbasis layanan
yang telah banyak diadopsi oleh berbagai organisasi dan perusahaan
diberbagai industri dan sektor. Apabila ITIL diterapkan secara tepat, maka
akan memberikan manfaat yang optimal dalam memudahkan pengelolaan
layanan IT, meningkatkan kualitas layanan IT, bahkan sampai membuahkan
kepuasan pengguna layanan IT.
ITIL juga diartikan sebagai best practice dari Service Management IT dan
menjadi pilihan terpopuler saat ini sebagai framework analyst business
seorang/sebuah client untuk defining roadmap bisnis dan infrastruktur IT
yang konsisten dan komprehensif, agar bisnis perusahaan (business
plan/strategy) sejalan dengan IT dan infrastruktur-nya. Sehingga
kedepannya dapat mencapai kualitas dukungan layanan IT yang terkelola.
ITIL mencakup delapan kumpulan yaitu: 1. Service Support, 2. Service Delivery,
3. Planning to Implement Service Management, 4. ICT Infrastructure
Management, 5. Application Management, 6. Business Perspective, 7. Security
Management, 8. Software Asset Management. Tiga diantaranya, yaitu Service
Support, Service Delivery, dan Security Management merupakan area utama,
yang disebut juga IT Service Management (ITSM).
Pada dasarnya, kerangka kerja ITIL bertujuan secara kelanjutan meningkatkan
efisiensi operasional TI dan kualitas layanan pelanggan. Kerangka kerja yang
diberikan belum memberikan panduan pengelolaan TI yang memenuhi kebutuhan
ditingkat yang lebih tinggi (high level objective) di perusahaan sepert COBIT
yang dibahas sebelumnya.
2.8 ISO/IEC 17799
ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang
dikembangkan oleh The International Organization for Standardization (ISO) dan
The International Electronical Commission (IEC). ISO/IEC 17799 adalah
panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk
memastikan keaman informasi perusahaan.
ISO IEC 17799 bertujuan memperkuat tiga elemen dasar keamanan informasi ,
yaitu: Confidentiality, Integrity, Availability. ISO IEC 17799 disajikan dalam
entuk panduan dan rekomendasi yang terdiri dari 36 security objectives dan 127
security controls yang dikelompokkan kedalam 10 domain keamanan informasi.
Berikut 10 domain keamanan informasi ISO IEC 17799, yaitu Security Policy,
Organizational Security, Asset Classification And Control, Personel Security,
Physical And Environmental Security, Communications And Operation
Management, Access Control, Syestem Development And Maintenance, Business
Continuity Management, Compliance.
BAB III
STUDY KASUS
EVALUASI TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN
KERANGKA KERJA COBIT DALAM MENDUKUNG LAYANAN SISTEM
INFORMASI AKADEMIK STUDI KASUS : UNIVERSITAS BUDI LUHUR
3.1 Analisis Kondisi Tata Kelola TI Sistem Informasi Akademik Universitas
Budi Luhur
Untuk mengetahui kondisi tata kelola TI sistem informasi akademik Universitas
Budi Luhur dilakukan tiga tahap analisis yaitupertama melakukan analisis
kedudukan fungsi TI di Universitas Budi Luhur kemudian dilanjutkan dengan
melakukan analisis kondisi saat ini tata kelola TI sistem informasi akademik
Universitas Budi Luhur dan diakhiri dengan analisis tingkat kematangan tata
kelola TI sistem informasi akademik Universitas Budi Luhur menggunakan
kerangka kerja COBIT khususnya domain penyampaian & dukungan (deliver &
support) dan domain pengawasan dan evaluasi (monitor and evaluate).
3.1.1 Analisis Kedudukan Fungsi TI
Fungsi TI Universitas Budi Luhurberada pada Biro Sistem Informasi (BSI) yang
dalam struktur organisasi keberadaannya di bawah Deputi Bidang Penjaminan
Mutu. BSI mempunyai wewenang untuk menyediakan hal-hal yang berkaitan
dalam pelayanan sistem informasi untuk mendukung kegiatan di lingkungan
Universitas Budi Luhur termasuk di dalamnya sistem informasi akademik.
Sedangkan tanggung jawab BSI antara lain adalah :
3.1.2.Analisis Kondisi Tata Kelola TI Saat Ini
Kondisi kemampuan tata kelola TI saat ini dari sistem informasi akade
mik Universitas Budi Luhur dapat diidentifikasi melalui analisis tingkat
kematangan yang mengacu pada tingkat kematangan COBIT khususnya domain
penyampaian & dukungan dan domain pengawasan dan evaluasi. COBIT
memiliki 6 tingkat kematangan TI, seperti tertera pada Tabel 1 di bawah ini :
Tabel 1. Tingkat Kematangan COBIT
Tingkat
Kematangan
Nilai
Kematangan
Keterangan
0-Non- Existent 0,00 - 0,50 Proses pengelolaan tidak diterapkan
1-Initial/Ad Hoc 0,51 - 1,50 Proses pengelolaan dilakukan secara tidak berkala dan
tidak terorganisir
2- Repeatable but
Intuitive
1,51 - 2,50 Proses dilakukan secara berulang
3-Defined Process 2,51 - 3,50 Proses telah terdokumentasi dan dikomunikasikan,
pengawasan dan pelaporan tidak dilakukan secara
berkala
4-Managed And
Measurable
3,51 - 4,50 Proses terawasi dan terukur
5-Optimised 4,51 - 5,00 Best practice telah diterapkan dalam proses pengelolaan
Setelah dilakukan penghitungan tingkat kematangan, dari 13 proses yang terdapat
pada domain penyampaian dan dukungan (deliver and support), 10 proses (77%)
diantaranya mempunyai tingkat kematangan saat ini pada tingkat 2-repeatable but
intuitive dan sisanya sebanyak 3 proses (33%) mempunyai tingkat kematangan
saat ini pada tingkat 3-defined process terdapat pada tabel di bawah ini :
Tabel 2. Tingkat Kematangan saat ini Domain DS
Proses Kematangan Saat Ini
Nilai Tingkat
DS1: Mendefinisikan dan mengelola tingkat layanan 2,479 2- Repeatable but Intuitive
DS2:Mengelola pelayanan dari pihak ketiga 2,236 2- Repeatable but Intuitive
DS3:Mengatur Kinerja dan Kapasitas 2,643 3-Defined Process
DS4: Menjamin Keberlangsungan Pelayanan 2,285 2- Repeatable but Intuitive
DS5: Menjamin Keamanan Sistem 2,18 2- Repeatable but Intuitive
DS6: Mengidentifikasi dan mengalokasikan biaya 2,486 2- Repeatable but Intuitive
DS7: Memberikan pendidikan dan pelatihan pada
pengguna
2,133 2- Repeatable but Intuitive
DS8: Mengelola service desk dan insiden 2,138 2- Repeatable but Intuitive
DS9: Mengatur konfigurasi 2,298 2- Repeatable but Intuitive
DS10:Mengatur Permasalahan 1,916 2- Repeatable but Intuitive
DS11: Mengatur Data 2,61 3-Defined Process
DS12: Mengatur Lingkungan Fisik 2,433 2- Repeatable but Intuitive
DS13: Mengatur Operasional 2,788 3-Defined Process
Rata-Rata 2,355 2- Repeatable but
Intuitive
Sedangkan dari 3 proses yang terdapat pada domain pengawasan dan evaluasi
(monitor and evaluate) terdapat 3 proses (75%) diantaranya mempunyai tingkat
kematangan saat ini pada tingkat 2-repeatable but intuitive dan sisanya sebanyak
1 proses (25%) mempunyai tingkat kematangan saat ini pada tingkat 3-defined
process terdapat pada Tabel 3 di bawah ini :
Tabel 3. Tingkat Kematangan saat ini dalam domain ME
Proses Kematangan Saat Ini
Nilai Tingkat
ME1: Mengawasi dan mengevaluasi kinerja TI 2,55 3-Defined Process
ME2: Mengawasi dan mengevaluasi kontrol internal 2,42 2- Repeatable but Intuitive
ME3: Menjamin kepatuhan hukum 2,29 2- Repeatable but Intuitive
ME4: Menyediakan Tata Kelola TI 2,19 2- Repeatable but Intuitive
Rata-Rata 2,36 2- Repeatable but Intuitive
Secara umum kondisi tata kelola TI saat ini pada sistem informasi akademik
Universitas Budi Luhur khususnya domainpenyampaian dan dukungan (deliver
and support) dan domain pengawasan danevaluasi (monitor and evaluate) masih
pada tingkat 2-repeatable but intuitive seperti yang disajikan pada Tabel IV-4 di
bawah ini. Hal ini berarti proses-proses TI yang mendukung sistem informasi
akademik Universitas Budi Luhur telah berkembang untuk memberikan layanan
yang optimal, dimana prosedur-prosedur yang sama telah dilakukan oleh orang
yang berbeda. Namun di dalamnya belum ada komunikasi atau pelatihan formal
terhadap prosedur standar dan tanggung
jawab diserahkan kepada individu. Selain itu juga masih terdapat kepercayaan
yang tinggi pada kemampuan individu, sehingga kesalahan sangat mungkin
terjadi.
3.1.3.Analisis Tingkat Kematangan Proses TI
Target/harapan kematangan proses TI adalah kondisi ideal tingkat kematangan
proses yang diharapkan, yang akan menjadi acuan dalam model tata kelola TI
sistem informasi akademik Universitas Budi Luhur yang akan dikembangkan.
Target/harapan kematangan proses TI dapat ditentukancdengan melihat
lingkungan internal bisnis Universitas Budi Luhur seperti visi dan misi, tujuan
universitas maka dapat ditetapkan bahwa untuk dapat mendukung pencapaian
tujuan Universitas Budi Luhur setidaknya
tingkat kematangan yang dilakukan harus ada pada tingkat 3 (defined process).
Berdasarkan hasil wawancara dan hasil temuan yang berupa pendapat / opini dari
para responden didapatkan hasil pengukuran tingkat kematangan prosesproses
dalam domain penyampaian & dukungan (deliver & support) yang ditunjukkan
pada Tabel 4 berikut ini :
Tabel 4. Gap Tingkat Kematangan Domain DS
Proses Tingkat kematangan
Saat ini harapan Gap
DS1: Mendefinisikan dan mengelola tingkat layanan 2,479 3 0,521
DS2:Mengelola pelayanan dari pihak ketiga 2,236 3 0,764
DS3:Mengatur Kinerja dan Kapasitas 2,643 3 0,357
DS4: Menjamin Keberlangsungan Pelayanan 2,285 3 0,715
DS5: Menjamin Keamanan Sistem 2,18 3 0,82
DS6: Mengidentifikasi dan mengalokasikan biaya 2,486 3 0,514
DS7: Memberikan pendidikan dan pelatihan pada pengguna 2,133 3 0,867
DS8: Mengelola service desk dan insiden 2,138 3 0,862
DS9: Mengatur konfigurasi 2,298 3 0,702
DS10:Mengatur Permasalahan 1,916 3 1,084
DS11: Mengatur Data 2,61 3 0,39
DS12: Mengatur Lingkungan Fisik 2,433 3 0,567
DS13: Mengatur Operasional 2,788 3 0,222
Rata-Rata 2,355 3 0,645
Tingkat kematangan proses-proses dalam domain penyampaian & dukungan
(deliver & support) dapat digambarkan dalam diagram laba-laba yang ditunjukkan
pada Gambar 4 berikut ini :
Gambar 5. Diagram Laba-Laba Gap Tingkat Kematangan Domain DS
Sedangkan pendapat/opini dari para responden didapatkan hasil pengukuran
tingkat kematangan proses-proses dalam domain pengawasan dan evaluasi
(monitor and evaluate) ditunjukkan pada Tabel 5 berikut ini :
Tabel 5. Gap Tingkat Kematangan Domain ME
Proses Tinkat kematangan
Saat ini Harapan Gap
ME1: Mengawasi dan mengevaluasi kinerja TI 2,55 3 0,452
ME2: Mengawasi dan mengevaluasi kontrol internal 2,42 3 0,578
ME3: Menjamin kepatuhan hukum 2,29 3 0,715
ME4: Menyediakan Tata Kelola TI 2,19 3 0,806
Rata-Rata 2,36 3 0,806
Tingkat kematangan proses-proses dalam domain pengawasan dan evaluasi
(monitor and evaluate) dapat digambarkan dalam diagram laba-laba yang
ditunjukkan pada Gambar 5 berikut ini :
Gambar 5. Diagram Laba-Laba Gap Tingkat Kematangan Domain ME
3.1.4. Langkah-Langkah Untuk Mengatasi Gap Kematangan Proses TI
Langkah-langkah untuk mengatasi perbedaan (gap) tingkat kematangan
merupakan tindakan-tindakan yang perlu dilakukan pada setiap proses TI di
Univeritas Budi Luhur yang memiliki tingkat kematangan saat ini (current
maturity level) di bawah tingkat kematangan yang diharapkan (expected
maturity level) yaitu proses Langkah-langkah perbaikan tata kelola TI sistem
informasi akademik Universitas Budi Luhur diarahkan menuju tingkat
kematangan 3-defined process yang dilakukan pada proses-proses yang
mempunyai nilai tingkat kematangan saat ini lebih kecil daripada tingkat
kematangan yang diharapkan, yaitu proses TI selain DS3, DS11, DS13 dan
ME1 dengan membuat prosedur sudah standar, mendokumentasikan dan
mengkomunikasikan melalui pelatihan. Tetapi pelaksanaannya diserahkan pada
individu untuk mengikuti proses tersebut, sehingga penyimpangan tidak
mungkin akan diketahui. Prosedurnya belum sempurna, namun sekedar
formalitas atas praktek yang ada.
Berikut ini adalah langkah-langkah dapat dilakukan untuk mengatasi gap
tingkat kematangan pada proses-proses tata kelola TI Univeritas Budi Luhur
melalui kegiatan- kegiatan:
a). DS10:Mengatur permasalahan
Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang harus
dilakukan adalah :
1) Pemenuhan terhadap kebutuhan bisnis dengan menjamin kepuasan end user
melalui pemberian layanan dan level layanan, mengurangi penyelesaian dan
penyampaian.
2) Memfokuskan pada merekam, melacak dan menyelesaikan masalah
operasional, menyelidiki akar masalah bagi semua permasalahan yang ada,
dan mendefinisikan penyelesaian bagi identifikasi masalah pengoperasian.
3) Hal tersebut dapat dicapai dengan :
a. Melaksanakan analisa akar masalah untuk pelaporan
b. Menganalisa trend
c. Mengambil alih masalah dan perkembangan penyeleasian masalah
4) Indikator keberhasilannya diukur melalui :
a. Jumlah masalah yang berakibat pada bisnis
b. Persentase jumlah masalah yang terselesaikan dalam waktu yang telah
ditetapkan
c. Frekuensi laporan atau update masalah secara terus menerus, yang
didasarkan pada masalah terberat
5) Aktifitas yang perlu dilakukan dengan :
a. Manajemen memberikan dukungan
b. dalam bentuk penyediaan anggaran bagi staf dan pelatihan.
c. Melakukan standarisasi penyelesaian masalah dan proses
peningkatannya.
d. Membuat tim untuk mencatat dan penelusuran masalah serta
penyelesaiannya, menggunakan alat yang ada tanpa sentralisasi.
e. Menyebarluaskan informasi di antara staf secara proaktif dan bersifat
formal
f. Manajemen meninjau insiden dan menganalisa identifikasi
permasalahan, serta pemecahannya.
b). ME4:Menyediakan tata kelola TI
Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang harus
dilakukan adalah :
1) Pemenuhan terhadap kebutuhan bisnisdengan mengintegrasikan tata kelola
IT dan tata kelola perusahaan dan melengkapinya dengan hukum dan
peraturan.
2) Memfokuskan pada penyiapkan laporan stratergi IT, kemampuan dan
resiko serta merespon kebutuhan tata kelola yang sesuai dengan arahan
3) Hal tersebut dapat dicapai dengan :
a. Menetapkan sebuah kerangka kerja IT yang terintegrasi dengan tata
kelola perusahaan
b. Mendapatkan kepastian yang independen atas status tata kelola
4) Indikator keberhasilannya diukur melalui :
a. Banyaknya laporan IT dibuat untuk stakeholders (termasuk tingkat
kematangan)
b. Banyaknya laporan IT kepada atasan (termasuk tingkat kematangan)
c. Banyaknya kajian independen terhadap pemenuhan IT
5) Aktifitas yang perlu dilakukan dengan :
a. Manajemen audit mengidentifikasi dan memahami inisiatif dan
lingkungan TI.
b. Manajemen TI melakukan audit independen.
c. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan
dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit.
d. Merencanakan dan mengelola audit
e. Menetapkan staf audit mematuhi standar audit.
f. Membuat rencana penggunaan perangkat standar untuk melakukan
otomasi dalam melakukan audit independen.
g. Menetapkan tanggungjawab untuk melakukan audit independen serta
permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung
jawab.
h. Melakukan resolusi atas komentar audit.
i. Melakukan penjaminan kualitas dilakukan untuk memastikan bahwa
pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan
untuk meningkatkan efektivitas dari aktivitas fungsi audit
3.2. Implikasi Penelitian
Implikasi penelitian ini dapat ditinjau dari tiga sudut pandang yang meliputi :
3.2.1 Aspek Manajerial
a. Ditetapkan suatu kerangka manajemen mutu layanan (yang meliputi
prosesproses kebutuhan layanan, ketetapan layanan, rencana mutu
layanan, rencana mutu beroperasi dan membiayai sumber daya) antara
customer dan provider service sistem akademik Universitas Budi Luhur.
b. Dibuat mekanisme sistem keamanan yang mampu menjamin mutu
keamanan baik pengguna, data, informasi, infrastruktur dan jaringan pada
sistem informasi akademik Universitas Budi Luhur.
c. Dilakukan pelatihan dan pendidikan secara berkala (minimal sekali dalam
setahun) dengan memperhatikan strategi dan kebutuhan bisnis saat ini dan
masa datang serta kemampuan dan kebutuhan saat ini.
d. Dibuat mekanisme untuk menetapkan, menerapkan, dan memelihara
prosedur standar bagi operasi TI dan memastikan berjalan sesuai dengan
tugasnya masingmasing.
e. Dibuat mekanisme pengawasan dan penilaian kinerja TI pada sistem
informasi akademik Universitas Budi Luhur.
f. Dibuat suatu kerangka pengelolaan TI mencakup kepemimpinan, peran
dan tanggung jawab, kebutuhan informasi, dan struktur organisasi untuk
memastikan bahwa program investasi TI enterprise dijalankan bersama
dan disampikan pada sasaran dan strategi enterprise.
3.2.2Aspek Sistem
a. Dibuat sistem pengawasan terhadap kinerja mutu layanan, kerjasama
dengan pihak ketiga, sumber daya TI sistem informasi akademik
Universitas Budi Luhur.
b. Dibuat sistem pembiayaan TI tepat yang disesuaikan dengan jenis layanan
pada sistem informasi akademik Universitas Budi Luhur.
c. Dibuat sistem pengelolaan konfigurasi yang tepat meliputi hardware,
aplikasi software, middleware, dokumentasi, tools dan prosedur-prosedur
bagi pengoperasian, pengaksesan, dan penggunaan layanan dan sistem.
3.2.3. Penelitian Lanjutan
a. Dilakukan penelitian tentang kinerja mutu layanan, kerjasama dengan
pihak ketiga, sumber daya TI sistem informasi akademik Universitas
BudiLuhur.
b. Dilakukan penelitian tentang efektifitas kinerja TI pada sistem informasi
akademik Universitas Budi Luhur.
3.3. Kesimpulan
Berdasarkan penelitian yang telah dilakukan, maka dapat diambil kesimpulan
sebagai berikut:
a. Tingkat kematangan tata kelola TI layanan sistem informasi akademik
Universitas Budi Luhur pada domain penyampaian & dukungan dan
pengawasan & evaluasi masih belum memuaskan karena berada di tingkat
2- repeatable but intuitive, sehingga hipotesis penelitian diterima.
b. Kondisi saat ini pelaksanaan tata kelola TI pada sistem informasi
akademik Universitas Budi Luhur khususnya proses-proses dalam domain
penyampaian dan dukungan (deliver and support) dan domain pengawasan
dan evaluasi (monitor and evaluate) kecuali DS3, DS11, DS13 dan ME1
telah berkembang untuk memberikan layanan yang optimal, dimana
prosedur-prosedur yang sama telah dilakukan oleh orang yang berbeda.
Namun di dalamnya belum adakomunikasi atau pelatihan formal terhadap
prosedur standar dan tanggung jawab masih diserahkan kepada individu.
Selain itu juga masih terdapat kepercayaan yang tinggi terhadap
kemampuan individu, sehingga kesalahan sangat mungkin terjadi.
c. Tingkat kematangan tata kelola TI sistem informasi akademik Universitas
Budi Luhur khususnya proses-proses dalam domain penyampaian dan
dukungan dan domain pengawasan dan evaluasi masih berada di tingkat 2-
repeatable but intuitive kecuali DS3, DS11, DS13 dan ME1 telah
mencapai tingkat 3-defined process sesuai dengan harapan manajemen.
d. Rekomendasi perbaikan tata kelola TI sistem informasi akademik
Universitas Budi Luhur diarahkan menuju tingkat kematangan 3-defined
process yang dilakukan pada proses-proses yang mempunyai nilai tingkat
kematangan saat ini lebih kecil daripada tingkat kematangan yang
diharapkan, yaitu proses TI selain DS3, DS11, DS13 dan ME1 dengan
membuat prosedur sudah standar, mendokumentasikan dan
mengkomunikasi-kan melalui pelatihan. Tetapi pelaksanaan-nya
diserahkan pada individu untuk mengikuti proses tersebut, sehingga
penyimpangan tidak mungkin akan diketahui. Prosedurnya belum
sempurna, namun sekedar formalitas atas praktek yang ada.
BAB IV
PENUTUP
4.1. Kesimpulan
COBIT (Control Objectives for Information and Related Technology) adalah
kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan
perangkat yang mendukung dan memungkinkan para manager untuk
menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control
requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk).
Manfaat dalam penerapan COBIT ini antara lain :
1. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung
keputusan bisnis.
2. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara
efektif dan inovatif.
3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi
yang reliable dan efisien.
4. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
5. Mengoptimalkan biaya dari layanan dan teknologi TI.
6. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan
kebijakan.
Macam-macam COBIT :
1. COBIT Versi 4.1
COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses,
kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran
pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa
(primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi
informasi yang mana.
2. COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa
pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang
bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness)
dan tingkat kematangan (maturity level)
3. COBIT 5
Untuk menyajikan enterprise stakeholder value, dibutuhkan tata kelola dan
menejemen yang baik dari aset-aset informasi dan teknologi, termasuk pengaturan
pengamanan informasi
IT IL ( Information Technology Infrastructure Library)
IT Infrastructure Library (ITIL) merupakan sebuah framework yang
memberikan panduan (guidance) mengenai pengelolaan IT berbasis layanan yang
telah banyak diadopsi oleh berbagai organisasi dan perusahaan diberbagai industri
dan sektor.
ISO IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang
dikembangkan oleh The International Organization for Standardization (ISO) dan
The International Electronical Commission (IEC). ISO/IEC 17799 adalah
panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk
memastikan keaman informasi perusahaan.
DAFTAR PUSTAKA
Hermawan, Iwan.2011.Resume Artikel Ilmiah Cobits Model.
http://iwanpolines.blogspot.com/2011/05/resume-artikel-ilmiah-cobits-model-
as.html
Sarno, Riyanarto.2009. Audit Sistem dan Teknologi Informasi.ITS
Press:Surabaya
ISACA. (2007). COBIT 4.1, IT Governance Institute.
http://www.isaca.org/COBIT/
http://12puby.blogspot.com/2011/03/cobit-it-il-dan-iso-17799.html
http://itilindo.com
http://auditti.wordpress.com/2010/11/29/sistim-manajemen-keamanan-informasi-
dan-iso-27000-%E2%80%93-part-2/
http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1-sekarang-cobit-5-
apa-bedanya.html