BUTA 3.docx

7/27/2019 BUTA 3.docx

http://slidepdf.com/reader/full/buta-3docx 1/81

PENILAIAN TERHADAP IMPLEMENTASI I T GOVERNANCE

PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM

DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5

PADA DOMAIN DEL IVER, SERVICE AND SUPPORT DAN

ALI GN, PLAN AND ORGANIZE

TUGAS AKHIR

Oleh :

IDA BAGUS GEDE WISNU WIBAWA

116091002

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS REKAYASA INDUSTRI

INSTITUT TEKNOLOGI TELKOM

BANDUNG

2013

7/27/2019 BUTA 3.docx


iii






TUGAS AKHIR

Diajukan untuk Memenuhi Salah Satu Syarat Menyelesaikan

Program Studi Strata-1 Sistem Informasi Fakultas Rekayasa Industri

Institut Teknologi Telkom

Oleh :

IDA BAGUS GEDE WISNU WIBAWA

116091002

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS REKAYASA INDUSTRI

INSTITUT TEKNOLOGI TELKOM

BANDUNG

2013

7/27/2019 BUTA 3.docx


iv

LEMBAR PENGESAHAN

Tugas Akhir dengan Judul :






Telah Disetujui dan Disahkan Untuk Mengikuti Sidang Tugas Akhir

Program Studi Strata-1 Sistem Informasi Fakultas Rekayasa Industri

Institut Teknologi Telkom

Oleh :

Ida Bagus Gede Wisnu Wibawa

116091002

Bandung, 24 Juli 2013

Menyetujui,

Pembimbing I Pembimbing II

M. Teguh Kurniawan, ST.,MT Dedy Rahman Wijaya, ST.,MT

7/27/2019 BUTA 3.docx


v

ABSTRAK

Politeknik Telkom merupakan salah satu institusi yang berada dibawah

naungan Yayasan Pendidikan Telkom (YPT) yang berdiri pada tahun 2007.Politeknik Telkom mempunyai visi yaitu menjadi Politeknik unggulan di bidang

Manajemen dan Teknologi Informasi & Komunikasi di Asia Tenggara, serta

memiliki strategi untuk menuju Good University Governance. Untuk itudiperlukan kontribusi yang besar dari bagian Sistem Informasi (SISFO) untuk

mewujudkannya.

Untuk mengetahui tingkat implementasi dan rekomendasi untuk

meningkatkan kinerja TI maka dilakukan penilaian audit sistem informasi. Penilaian

dilakukan dengan menggunakan framework COBIT versi 5 karena penilaianyang dilakukan akan lebih fokus pada kontrol untuk setiap prosesnya. Untuk

mencapai keselarasan dari base practices terhadap kebutuhan bisnis, maka

digunakanlah COBIT karena menyediakan kontrol framework berdasarkan

model proses teknologi informasi yang seharusnya cocok untuk Perguruan Tinggisecara umum.

Pada penelitian ini akan menilai 2 domain pada COBIT 5, yakni APO

dan DSS . Berdasarkan mapping Rencana Strategis terhadap Enterprise Goal

yang ada di COBIT 5 didapatkan proses-proses TI yang akan dinilai, antaralain APO01, APO05, APO11, APO12 DSS02, DSS05, dan DSS06 . Terdapat 5

tahapan dalam proses penilaian, yakni tahap inisiasi dan persiapan , tahap kajian

objek, tahap validasi data, tahap analisis dan pelaporan, dan tahap kesimpulan dan

saran. Dari hasil penilaian terdapat 1 proses yang berada pada level terendah yaitu0 pada proses APO12. Sedangkan 5 proses yang berada pada level 1 yakni

proses APO01, APO05, APO11, DSS05, dan DSS06 . Dan 1 proses yang berada padalevel 3 yang sesuai dengan target dari Politeknik Telkom yaitu DSS02.

Kata kunci: Penilaian Teknologi Informasi, COBIT, APO, DSS

7/27/2019 BUTA 3.docx


vi

ABSTRACT

Polytechnic Telkom is one institution under the auspices of Telkom

Education Foundation (YPT). Polytechnic Telkom has a vision to become an

excellent Polytechnic in Management and Information Technology & Communicationin South West Asia, also it has a strategy to get the Good University Governance.

Therefore, they need big contributions from Information System unit (SISFO) to mak

it happen.

To find out the implementation level of Information Technology in PolytechnicTelkom and recommendation to increase it, then the assessment of information system

audit was held. Assessment using the framework COBIT 5 version because the

assessment will focus on controls for each process. To achieve alignment of best

practices to the needs of the business, it is used COBIT at the top level(highest level) because it provides a control framework based on process

model of information technology that should be suitable for the university in

general.

This research will assess two domains of COBIT 5, the APO and DSS. Based

on the mapping of the Enterprise Strategic Plan Goal 5 which was obtained COBIT IT processes to be assessed, among other APO01, APO05, APO11, APO12, DSS02,

DSS05 and DSS06. There are 5 stages in the assessment process, they are initiation

and preparing stage, study of objective stage, validation data stage, analyze andreporting stage, and conclution and recommendation stage. From the assessment

result, there is 1 process in the lowest level, which is 0, in APO12. There are 5

processes in level 1 that is APO01, APO05, APO11, DSS05 and DSS06. And last that

is 1 process in level 3 which is suitable with the target from Polytechnic Telkom, that

is DSS02.

Keywords: Assessment of Information Technology, COBIT, APO, DSS

7/27/2019 BUTA 3.docx


vii

DAFTAR ISI

DAFTAR ISI ................................................................................................................. v

DAFTAR GAMBAR .................................................................................................... x

DAFTAR TABEL ........................................................................................................ xi

BAB I PENDAHULUAN ............................................................................................. 1

I.1. Latar Belakang ............................................................................................... 1

I.2. Rumusan Masalah .......................................................................................... 5

I.3. Tujuan ............................................................................................................. 5

I.4. Manfaat ........................................................................................................... 5

I.5. Batasan Masalah ............................................................................................. 6

BAB II TINJAUAN PUSTAKA ................................................................................... 7

II.1 Penelitian Terkait ........................................................................................... 7

II.2 Teknologi Informasi ....................................................................................... 8

II.2.1 Definisi Teknologi Informasi .................................................................. 8

II.2.2 Peran Teknologi Informasi bagi Organisasi ............................................ 8

II.3 IT Governance ................................................................................................ 8

II.3.1 Definisi IT Governance ........................................................................... 8

II.3.2 Pentingnya IT Governance bagi Perguruan Tinggi ................................. 9

II.4 Audit Teknologi Informasi ............................................................................. 9

II.4.1 Definisi Audit Teknologi Informasi ........................................................ 9

II.4.2 Pentingnya Audit Teknologi Informasi ................................................. 10

II.4.3 Metodologi Audit Teknologi Informasi ................................................ 11

II.5 ITIL ............................................................... Error! Bookmark not defined.

II.6 COBIT .......................................................................................................... 12

II.6.1 Sejarah COBIT ........................................................................................... 12

II.7 Capability Model .......................................................................................... 19

II.8 IT Balance Scorecard ................................................................................... 20

II.9 Analisis SWOT ............................................. Error! Bookmark not defined.

BAB III METODOLOGI PENELITIAN.................................................................... 25

7/27/2019 BUTA 3.docx


viii

III.1 Model Konseptual ........................................................................................ 25

III.2 Sistematika Penelitian .................................................................................. 26

Tahap Inisiasi dan Persiapan................................................................................ 28

Tahap Analisis dan Pelaporan.............................................................................. 28

Tahap Kesimpulan dan Saran .............................................................................. 29

BAB IV PELAKSANAAN PENELITIAN ................................................................. 30

IV.1 Perencanaan Penilaian ..................................................................................... 30

IV.1.1 Estimasi Waktu Proses Penilaian .......................................................... 30

IV.1.1 Perancangan Program Penilaian ............ Error! Bookmark not defined.

IV.1.3 Mapping Renstra terhadap COBIT 5 ........................................................ 31

IV.1.4 Identifikasi Proses yang akan dinilai ........................................................ 34

IV.1.5 Perancangan Form Assessment ............................................................... 35

IV.2 Pelaksanaan Penelitian .................................................................................... 35

IV.2.1 Deskripsi Objek Penelitian ....................................................................... 35

IV.2.2 Struktur Organisasi ................................................................................... 36

IV.2.3 Pemilihan Objek Penilaian ....................................................................... 37

IV.2.4 Penilaian Capability Level ........................................................................ 37

IV.2.5 Rekapitulasi Hasil Penilaian Capability Level ......................................... 48

ANALISIS DAN REKOMENDASI .............................................................. 51 BAB V

V.1 Analisis Gap antara Hasil Penilaian dengan Target Optimal ........................... 51

V.1.1 Analisis Gap Proses APO01 – Mengelola IT Management Framework ... 51

V.1.2 Analisis Gap Proses APO05 – Mengelola Portofolio ................................ 52

V.1.3 Analisis Gap Proses APO11 – Mengelola Kualitas ................................... 54

V.1.4 Analisis Gap Proses APO12 – Mengelola Resiko ..................................... 55

V.1.5 Analisis Gap Proses DSS02 – Mengelola Permintaan Layanan dan Insiden

............................................................................................................................. 57

V.1.6 Analisis Gap Proses DSS05 – Mengelola Layanan Keamanan ................. 57

V.1.7 Analisis Gap Proses DSS06 – Mengelola Kontrol Proses Bisnis .............. 59

V.2 Analisis Prioritas .............................................................................................. 60

V.2.1 Kriteria Prioritas......................................................................................... 60

7/27/2019 BUTA 3.docx


ix

V.2.2 Penentuan Skala Prioritas .......................................................................... 61

V.3 Rekomendasi .................................................................................................... 62

V.3.1 Rekomendasi Perbaikan Proses APO01 – Mengelola IT Management

Framework ........................................................................................................... 62

V.3.2 Rekomendasi Perbaikan Proses APO05 – Mengelola Portofolio .............. 63

V.3.3 Rekomendasi Perbaikan Proses APO11 – Mengelola Kualitas ................. 64

V.3.4 Rekomendasi Perbaikan Proses APO12 – Mengelola Resiko .................. 64

V.3.5 Rekomendasi Perbaikan Proses DSS02 – Mengelola Permintaan Layanan

dan Insiden ........................................................................................................... 65

V.3.6 Rekomendasi Perbaikan Proses DSS05 – Mengelola Layanan Keamanan 65

V.3.7 Rekomendasi Perbaikan Proses DSS06 – Mengelola Kontrol Proses Bisnis

............................................................................................................................. 66

KESIMPULAN DAN SARAN .................................................................... 68 BAB VI

VI.1 Kesimpulan ..................................................................................................... 68

VI.1.1 Hasil Penilaian .......................................................................................... 68

VI.1.2 Rekomendasi ................................................................................................ 68

VI.1.3 Saran ......................................................................................................... 69

DAFTAR PUSTAKA ................................................................................................. 70

7/27/2019 BUTA 3.docx


x

DAFTAR GAMBAR

Gambar I-1 Tingkat Kepuasan Terhadap Sistem Informasi Layanan Akademik di

Politeknik Telkom ......................................................................................................... 3

Gambar II-1 Gambaran Umum dari COBIT 5 ............................................................ 15

Gambar III-1 Model Konseptual ................................................................................. 25

Gambar III-2 Sistematika Penelitian ........................................................................... 27

Gambar I-1 Langkah-langkah penilaian...................................................................... 31

Gambar I-2 Struktur Organisasi Politeknik Telkom (Politeknik Telkom, 2013)........ 36

Gambar I-3 Tingkat Capability Level pada Proses APO01 ........................................ 39




Gambar I-7 Tingkat Capability Level pada Proses DSS02 ......................................... 45



Gambar I-10 Rekapitulasi Capability Level ................................................................ 50

Gambar V-1 Sebab Akibat Gap pada proses APO01 .................................................. 52

Gambar V-2 Sebab Akibat Gap pada Proses APO05.................................................. 53



Gambar V-5 Sebab Akibat Gap pada Proses DSS05 .................................................. 58

Gambar V-6. Sebab Akibat Gap pada Proses DSS06 ................................................. 59

Gambar V-7 Distribusi Prioritas ................................................................................. 62

Gambar VI-1Capability Level Domain APO dan DSS ............................................... 68

7/27/2019 BUTA 3.docx


xi

DAFTAR TABEL

Tabel I-1 Perbandingan Framework COBIT dan ITIL ................................................. 4

Tabel II-1 Perbandingan COBIT 4.1 dengan COBIT 5 .............................................. 14

Tabel IV-1 Estimasi Waktu Proses Penilaian ............................................................. 30

Tabel IV-2 Hasil Mapping Renstra terhadap Enterprise Goal .................................... 33

Tabel IV-3 Hasil Mapping APO ................................................................................. 34

Tabel IV-4 Hasil Mapping DSS .................................................................................. 35

Tabel IV-5 Objek Penilaian ........................................................................................ 37

Tabel IV-6 Daftar Dokumen & Base Practice yang belum dilakukan pada APO01 .. 38

Tabel IV-7 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO05. 39

Tabel IV-8 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO11. 40

Tabel IV-9 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO12.. 42

Tabel IV-10 Daftar Dokumen & Base Practice yang Belum dilakukan pada DSS05 46

Tabel IV-11 Daftar Dokumen & Base Practice yang Belum dilakukan pada DSS06 47

Tabel IV-12 Rekapitulasi Capability Level ................................................................ 49

Tabel V-1 Gap pada proses APO01 ............................................................................ 51

Tabel V-2 Gap pada Proses APO05 ............................................................................ 52



Tabel V-5 Gap pada Proses DSS02 ............................................................................ 57



Tabel V-8 Kriteria Prioritas Berdasarkan Manfaat ..................................................... 60

Tabel V-9 Kriteria Prioritas Berdasarkan Cost ........................................................... 61

Tabel V-10 Kriteria Prioritas Berdasarkan Kemudahan Implementasi ...................... 61

Tabel V-11 Distribusi Prioritas Rekomendasi APO01. .............................................. 63

Tabel V-12 Distribusi Prioritas Rekomendasi APO05 ............................................... 63

Tabel V-13Distribusi Prioritas Rekomendasi APO11 ................................................ 64

Tabel V-14 Distribusi Prioritas Rekomendasi APO12 ............................................... 65

7/27/2019 BUTA 3.docx


xii

Tabel V-15 Distribusi Prioritas Rekomendasi DSS05 ................................................ 66

Tabel V-16 Distribusi Proses Perbaikan DSS06 ......................................................... 66

7/27/2019 BUTA 3.docx


1

BAB I

PENDAHULUAN

I.1. Latar Belakang

Pesatnya perkembangan Teknologi Informasi (TI) pada saat ini telah menjadikan TI

sebagai salah satu strategi organisasi dalam mencapai tujuannya. TI adalah suatu

teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan,

menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan

informasi yang relevan, akurat dan tepat waktu yang digunakan untuk keperluan

pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk

pengambilan keputusan1. TI dapat dikatakan menjadi kunci dalam memenangkan

persaingan yang semakin lama akan semakin meningkat. Dengan penerapan TI yang

efektif dan efisien, maka dapat mempermudah dan mempercepat pelaksanaan proses

bisnis sebuah organisasi. Dengan pelaksanaan proses bisnis yang baik dan cepat

maka akan memberikan berbagai keuntungan bagi organisasi tersebut, misalnya

meningkatkan efektivitas dan efisiensi dari laporan keuangan, penghematan waktu,

tenaga dan biaya usaha dengan tingkat pelayanan yang membaik, dan dapat

melindungi asset perusahaan. Hal ini membuktikan bahwa penerapan TI pada suatuorganisasi dapat menentukan tingkat kesuksesan organisasi tersebut kedepannya.

Dengan berbagai keuntungan yang ditawarkan TI seperti contoh diatas, hampir semua

organisasi mengimplementasikan TI ke dalam proses operasionalnya, termasuk

organisasi yang bergerak di dunia pendidikan seperti Perguruan Tinggi (PT). PT

dapat memanfaatkan TI dalam tiga tingkatan, yaitu memberikan dukungan untuk

pelayanan administrasi, sebagai alat bantu pengajaran, dan sarana komunikasi serta

pemanfaatan TI untuk membantu pengambilan keputusan. Dengan

diimplementasikannya TI yang efektif dan efisien pada PT maka akan meningkatkan

kualitas layanan kepada seluruh elemen PT, baik Mahasiswa, Staf Pengajar, bagian

Administrasi, Dewan Direksi, hingga orangtua Mahasiswa.

7/27/2019 BUTA 3.docx


2

Peranan TI yang vital ini tentunya bisa menimbulkan kerugian apabila tidak ada

aturan maupun tata kelola yang mengontrol pelaksanaan implementasi TI. Adapun

contoh kerugian yang bisa terjadi misalnya informasi yang salah diakibatkan oleh

pemrosesan data yang salah, yang dapat berdampak pada pengambilan keputusan

yang tidak tepat. Kerugian lain misalnya bocornya data-data penting organisasi yang

tentunya bisa berdampak buruk apabila data tersebut disalahgunakan. Untuk

mencegah hal tersebut dan mengoptimalkan kinerja TI, maka diperlukanlah tata

kelola TI yang baik. Tata Kelola TI (IT Governance) menurut IT Governance

Institute (2001) adalah pertanggungjawaban dewan direksi dan manajemen eksekutif,

yang merupakan bagian yang terintegrasi dengan tata kelola perusahaan, berisi

kepemimpinan dan struktur organisasi serta proses - proses yang menjamin bahwa TI

organisasi mengandung dan mendukung strategi dan tujuan bisnis2.

Politeknik Telkom merupakan salah satu PT swasta di Indonesia yang berdiri pada

tahun 2007, yang bernaung dibawah Yayasan Pendidikan Telkom (YPT). Motto dari

Politeknik Telkom adalah “Giving and Caring The World”3. Visi Politeknik Telkom

adalah “Menjadi Politeknik unggulan di bidang Manajemen dan Teknologi Informasi

& Komunikasi di Asia Tenggara”3. Dan salah satu misi Politeknik Telkom adalah

“Terus melakukan transisi untuk tumbuh secara mandiri, berkelanjutan, danmempunyai tata kelola yang baik (Good Polytechnic Governance)”

3. Untuk

menunjang ketiga hal tersebut maka diperlukan dukungan TI yang baik oleh bagian

SISFO Politeknik Telkom yang mampu mengefektifkan dan mengefisiensikan setiap

proses aktivitas.dari Politeknik Telkom.

Sistem Informasi Akademik merupakan suatu kebutuhan yang mutlak bagi pelayanan

pendidikan terutama pada PT, sehingga dapat memberikan kemudahan dalam

administrasi bagi PT yang menerapkannya. Manfaat dari Sistem Informasi Akademik

yang dibangun oleh SISFO Politeknik Telkom adalah meningkatnya kualitas

pelayanan terhadap mahasiswa dan pelayanan untuk seluruh pihak yang terkait

dengan proses akademik yang ada. Peranan Sistem Informasi yang signifikan inilah

7/27/2019 BUTA 3.docx


3

yang harus diimbangi dengan pengaturan dan pengelolaan yang tepat sehingga

kerugian-kerugian yang mungkin terjadi dapat dihindari.

Berdasarkan survei yang telah dilakukan terhadap tingkat kepuasan user di Politeknik

Telkom terhadap Sistem Informasi Layanan Akademik, didapatkan hasil sebagai

berikut.

Gambar I-1 Tingkat Kepuasan Terhadap Sistem Informasi Layanan Akademik di

Politeknik Telkom

Sample diambil dari mahasiswa Politeknik Telkom. Berdasarkan hasil diatas,

mahasiswa mengaku cukup puas, tidak terlalu buruk tetapi belum baik, dengan

Sistem Informasi layanan akademik di Politeknik Telkom. Evaluasi yang dilakukan

yakni penilaian terhadap TI sehingga diharapkan upaya tersebut dapat meningkatkan

kinerja sistem layanan akademik.

TI yang sudah diimplementasikan pada Politeknik Telkom tentu perlu untuk diukur

dan dievaluasi untuk mengetahui apakah TI yang diimplementasikan sudah sesuai

dengan yang diharapkan dan mampu memudahkan proses bisnis dari Politeknik

Telkom. Untuk itu diperlukan Audit penerapan TI. Dengan audit sistem informasi

maka pengamanan aset, pemeliharaan integritas data, dapat mendorong pencapaian

tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien4.

Dengan melakukan audit, selain mengetahui hasil kinerja implementasi TI, juga dapat

3.48

1.0

2.0

3.0

4.0

5.0

Tingkat Kepuasan Terhadap Sistem Informasi

Layanan Akademik di Politeknik Telkom

Keterangan

1 Sangat tidak puas

2 Tidak puas

3 Cukup (tidak buruk, tetapi belum baik)

4 Puas5 Sangat puas

7/27/2019 BUTA 3.docx


4

diketahui tingkat kematangan TI di Politeknik Telkom dan menghasilkan

rekomendasi untuk mencapai tingkat kematangan yang optimal sehingga dapat

membantu merealisasikan visi dan misi Politeknik Telkom.

Audit penerapan TI dapat dilakukan dengan menggunakan berbagai framework .

Adapun dua framework yang biasanya digunakan adalah Conrol Objective for

Information and Related Technology (COBIT) dari ISACA dan Information

Technology Infrastructure Library (ITIL). Berikut perbandingannya5.

Tabel I-1 Perbandingan Framework COBIT dan ITIL

Area COBIT Versi 5 ITIL

Fokus IT Governance Menyelaraskan layanan TIdengan kebutuhan bisnis

Tujuan Mengatur dan mengelola TI

secara holistic sehingga

menciptakan nilai yang

optimal dari penggunaan TI

Meningkatkan efisiensi

operasional TI dan kualitas

layanan pelanggan

Area 5 domain dan 37 proses 9 proses

COBIT dapat membantu auditor, user dan manajemen untuk menjembati gap antara

resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. ITIL merupakan

kumpulan base practice untuk proses manajemen implementasi TI. ITIL menjelaskan

proses-proses yang perlu diterapkan untuk menjalankan dan mendukung layanan TI

yang berfokus pada bisnis6. Oleh karena itu framework yang cocok digunakan dalam

penelitian ini adalah COBIT versi 5.

Penilaian dengan menggunakan framework COBIT versi 5 dirasa cukup tepat untuk

melakukan evaluasi terhadap sistem yang dibangun oleh SISFO Politeknik Telkom

karena audit yang dilakukan akan lebih fokus pada kontrol untuk setiap prosesnya.

Adapun aspek yang perlu diperhatikan adalah proses pengiriman teknologi informasi

dan dukungan yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan

efisien, seperti proses pengaturan permintaan layanan dan insiden, layanan keamanan,

dan control proses bisnis. Aspek lain yang perlu diperhatikan adalah bentuk

7/27/2019 BUTA 3.docx


5

organisasi dan infrastruktur TI, seperti proses mengatur framework IT Management,

Enterprise Architechture, dan Human Relations. Untuk penilaian masing-masing

aspek tersebut, dapat digunakan domain yang terdapat di COBIT 5 yaitu domain

Delivery, Service, and Support (DSS) serta domain Align, Plan, and Organize (APO).

I.2. Rumusan Masalah

Rumusan masalah dalam penelitian ini adalah sebagai berikut.

1. Bagaimana melakukan penilaian terhadap aktivitas layanan akademik di

Politeknik Telkom berdasarkan untuk domain DSS dan APO di framework

COBIT versi 5?

2.

Apa rekomendasi untuk aktivitas layanan akademik di Politeknik Telkom berdasarkan standar yang ada di domain DSS dan APO di framework COBIT

versi 5?

I.3. Tujuan

Tujuan dari penelitian ini adalah sebagai berikut.

1. Melakukan penilaian terhadap aktivitas layanan akademik di Politeknik Telkom

berdasarkan pada domain DSS dan APO di framework COBIT versi 5

2.

Memberikan rekomendasi agar aktivitas layanan akademik di Politeknik Telkom

berdasarkan standar yang ada di domain DSS dan APO di framework COBIT

versi 5

I.4. Manfaat

Manfaat yang dapat diperoleh dari penelitian ini adalah sebagai berikut.

1. Menyelaraskan tujuan TI dengan tujuan bisnis Politeknik Telkom khususnya

pada bidang akademik.

2. Meningkatkan kinerja operasional aktivitas layanan akademik Politeknik

Telkom.

3. Adanya rekomendasi perbaikan dimasa yang akan datang.

7/27/2019 BUTA 3.docx


6

4. Mengetahui gap antara kondisi layanan TI pada bidang akademik saat ini dengan

kondisi yang diharapkan.

5. Mengetahui capability level terhadap implementasi IT Governance

I.5. Batasan Masalah

Batasan masalah pada penelitian ini adalah sebagai berikut.

1. Data yang digunakan pada penelitian ini adalah data pada tahun 2011-2012

melalui bagian SISFO Politeknik Telkom

2. Pada penelitian ini tidak dilakukan penilaian pada sisi financial.

3. Kegiatan penilaian ini hanya sampai pada tahap pemberian dokumen

rekomendasi. Untuk audit yang sesungguhnya dilakukan oleh pihak auditor

resmi.

7/27/2019 BUTA 3.docx


7

BAB II

TINJAUAN PUSTAKA

II.1 Penelitian Terkait

Berikut beberapa penelitian yang terkait dengan penelitian saat ini.

1. Audit Teknologi Informasi di STT Telkom dengan Menggunakan Tool

COBIT

(Tugas Akhir : Saraswati Ritonga / 112030061)

Audit teknologi Informasi pada STT Telkom dengan menggunakan Tool

COBIT . Proses – proses yang diaudit ditentukan berdasarkan presfektif yangada di Balance Scorecard (BSC), dari hasil audit akan dipetakan ke dalam

Maturity Model . Domain yang digunakan dalam proses audit adalah (1)

Domain PO: PO1, PO7, PO8, PO9, (2) Domain AI: AI4, (3) Domain DS:

DS4, DS10, (4) Domain ME: ME1, ME3. Dari hasil audit yang dilakukan

dilakukan analisis dan rekomendasi pada setiap proses TI.

2. Audit Penerapan Teknologi Informasi Berbasis Risiko dengan

Framework COBIT versi 4.1 di Institut Teknologi Telkom

(Tugas Akhir: Candra Widya Iswara / 116080037)

Masalah mendasar terkait IT Governance di IT Telkom saat ini adalah belum

adanya pemahaman yang jelas terkait manajemen risiko TI dan pengukuran

terhadap kinerja proses TI belum dilakukan. Berdasarkan kondisi tersebut

perlu dilakukannya audit penerapan TI untuk mengevaluasi kontrol-kontrol TI

serta mengetahui maturity level TI. Audit didukung dengan Control Objective

for Information and Related Technology (COBIT) versi 4.1 dan Risk

ITFramework . Proses-proses TI yang akan diaudit yakni PO2, PO3, PO7,

PO8, PO9, AI1, AI, AI4, AI6, AI7, DS1, DS3, DS4, DS5, DS8, DS11, DS12,

ME2. Audit ini terdiri dari 3 proses yakni pre audit , fieldwork , dan reporting .

Hasil audit menunjukkan bahwa maturity level penerapan TI di IT Telkom

7/27/2019 BUTA 3.docx


8

adalah 11% level Non Existent , 17% level Initial / Ad hoc, 33% level

Repeatable but Intuitive, 39% level Defined , 0% level Managed and

Measurable dan )% level Optimized .

II.2 Teknologi Informasi

II.2.1 Definisi Teknologi Informasi

TI merupakan kombinasi teknologi komputer yang terdiri dari perangkat keras dan

lunak untuk mengolah dan menyimpan informasi dengan teknologi komunikasi untuk

melakukan penyaluran informasi. Sehingga dapat disimpulkan bahwa TI merupakan

suatu alat bantu yang berupa hardware dan softwar e yang dapat memproses data

menjadi informasi sehingga lebih bermanfaat dan dapat digunakan untuk

mempermudah serta mempercepat aktivitas manusia7. Sementara, Williams dan

Sawyer (2007), mengungkapkan bahwa teknologi informasi adalah teknologi yang

menggabungkan komputasi (computer ) dengan jalur komunikasi kecepatan tinggi

yang membawa data, suara, dan video8.

II.2.2 Peran Teknologi Informasi bagi Organisasi

TI sangat berperan dalam menunjang seluruh kegiatan yang ada di organisasi.

Dengan menggunakan TI, informasi yang dihasilkan lebih cepat dan tepat sehingga

dapat meningkatkan performansi suatu organisasi serta daya saing organisasi. Dengan

diterapkannya TI, dapat mempermudah sharing data antar unit yang ada pada suatu

organisasi serta bermanfaat untuk manajemen level atas untuk membuat keputusan.

II.3 I T Governance

II.3.1 Definisi I T Governance

Menurut Tarigan (2006) IT Governance diartikan sebagai struktur dari hubungan dan

proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya

dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil

menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi

informasi dan prosesnya9.

7/27/2019 BUTA 3.docx


9

II.3.2 Pentingnya IT Governancebagi Perguruan Tinggi

IT Governance sangat penting untuk sebuah Perguruan Tinggi. Penerapan IT

Governance pada Perguruan Tinggi akan membantu untuk 10

:

1. Menetapkan secara jelas strategi TI dan menyelaraskannya dengan strategi

universitas secara global

2. Menentukan siapa yang bertanggungjawab untuk perencanaan strategis TI,

pengambilan keputusan, dan mengeksploitasi TI

3. Membuat penghematan biaya dalam investasi TI

4. Mengurangi risiko yang terkait dengan TI

5.

Selalu melakukan evaluasi dan monitoring proses dan jasa berbasis TI denganmenggunakan indikator yang tepat

6. Mencapai tingkat kepatuhan yang tinggi terhadap peraturan, menerapkan

standar internasional, dan memperoleh sertifikasi mutu yang berkaitan dengan

IT Governance dengan mudah.

Dengan penerapan IT Governance, Perguruan Tinggi akan memperoleh beberapa

manfaat, seperti meningkatnya kepuasan user , meningkatkan citra Perguruan Tinggi,

dan memiliki daya saing.

II.4 Audit Teknologi Informasi

II.4.1 Definisi Audit Teknologi Informasi

Audit TI atau audit Sistem Informasi adalah bentuk pemeriksaan dan pengendalian

dari infrastruktur TI secara menyeluruh. Audit TI dapat berjalan bersama- sama

dengan audit finansial dan audit internal atau dengan kegiatan pengawasan dan

evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan

data elektronik, dan sekarang audit TI secara umum merupakan proses pengumpulan

dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain

adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem

7/27/2019 BUTA 3.docx


10

informasi perusahaan itu telah bekerja secara efektif dan integratif dalam mencapai

target organisasinya.

II.4.2 Pentingnya Audit Teknologi Informasi

Ron Weber, menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan,

antara lain4:

1. Kerugian akibat kehilangan data.

Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan

komputer yang dimiliki akan mengakibatkan seluruh data hilang. Kehilangan

data akan mengakibatkan perusahaan tidak dapat melakukan pengecekan

data. Bahkan waktu yang dibutuhkan menjadi sangat lama karena harus

melakukan verifikasi manual atas dokumen yang dimiliki.

2. Kesalahan dalam pengambilan keputusan.

Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision

Support Sistem (DSS) untuk mengambil keputusan-keputusan penting. Risiko

yang muncul apabila terjadi kesalahan memasukkan data ke sistem TI yang

digunakan.

3. Risiko kebocoran data.

Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak

ternilai harganya. Kebocoran data ini akan berdampak terhadap kehilangan

sejumlah sejumlah data dan dapat mengganggu kelangsungan hidup

perusahaan.

4. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar.

Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat

bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI

tidak mendatangkan keuntungan. Selain itu, sulit mengukur manfaat yang

dapat diberikan TI.

7/27/2019 BUTA 3.docx


11

II.4.3 Metodologi Audit Teknologi Informasi

Tahapan dalam melakukan proses audit adalah sebagai berikut.

a.

Mengimplementasikan sebuah strategi audit serta control practice yang dapatdisepakati semua pihak.

b. Menetapkan langkah-langkah audit yang rinci.

c. Mempergunakan fakta atau bahan bukti yang cukup, handal, relevan, serta

bermanfaat.

d. Membuat laporan beserta kesimpulannya berdasarkan fakta yang diperoleh

dilapangan.

e. Mengidentikasi apakah tujuan audit tercapai.

f. Menyampaikan laporan kepada pihak auditee.

g. Memastikan bahwa organisasi mengimplementasian control practice.

Sedangkan metodologi audit TI antara lain adalah sebagai berikut.

1. Tahap Inisiasi

Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan,

yaitu:

a.

Memahami visi dan misi dari objek audit, sasaran, tujuan, dan

prosesnya.

b. Mengidentifikasi kebijakan, standar, pedoman, serta prosedur dari

objek yang akan diaudit.

c. Melakukan analisis risiko

2. Tahap Preparation

Pada tahap persiapan dilakukan penentuan ruang lingkup audit dan tujuan

audit, maka dilakukan hal berikut.

a. Menentukan tujuan audit.

b. Melakukan pemilihan control objective yang akan digunakan untuk

menguji keefektifan dari proses TI yang ada.

c. Mendokumentasikan arsitektur yang ada di objek audit.

7/27/2019 BUTA 3.docx


12

d. Mendefinisikan proses-proses TI yang akan dikaji.

e. Mendefinisikan komponen TI yang ada di objek yang akan diaudit.

3. Tahap Kajian Objek dan Analisis

Kajian akan dilakukan dengan menggunakan panduan yang ada dalam

melakukan sebuah kajian TI. Kajian ini meliputi detailed control objective

yang disesuaikan dengan keadaan dari objek yang akan diaudit (berdasarkan

pada high level control objective). Kajian akan dilakukan dengan pendekatan

audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya

adalah mendokumentasian temuan-temuan hasil audit.

4. Tahap Pelaporan

Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang

didapat. Diharapkan hasil dari tahap ini mendapatkan suatu kesimpulan

alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.

II.5 COBIT

II.5.1 Sejarah COBIT

COBIT merupakan kerangka kerja yang dikembangkan oleh IT Governance Institute

(ITGI) pada tahun 1996 dengan ISACA – Information Sistems Audit and Control

Association. COBIT Framework dibentuk agar dapat berjalan berdampingan dengan

standar dan base practices yang lainnya (Setiawan, 2008). COBIT adalah kerangka IT

Governance yang ditujukan kepada manajemen, staf pelayanan TI, control

department , fungsi audit, dan bagi pemilik proses bisnis (business process owner’s),

untuk memastikan confidentiality, integrity dan availability data serta informasi

sensitif dan kritikal. Kerangka kerja COBIT mencakup keseluruhan proses bisnis perusahaan seperti rencana strategis untuk TI, delivery dan support , monitor , serta

kontrol TI dan memaparkannya kedalam struktur aktifitas logis yang dapat dikelola,

dikendalikan secara efektif.

7/27/2019 BUTA 3.docx


13

Tujuan dari COBIT adalah menyediakan model dasar yang memungkinkan

pengembangan prosedur yang jelas dalam mengontrol informasi dalam suatu

perusahaan untuk mencapai tujuan bisnisnya11

. Tujuan utama COBIT adalah

memberikan kebijaksanaan yang jelas dan latihan yang bagus mengenai IT

Governance bagi organisasi diseluruh dunia untuk membantu manajemen senior

untuk memahami dan mengatur risiko-risiko yang berhubungan dengan TI.

II.6.1 COBIT 5

COBIT 5 adalah edisi terbaru dari Framework COBIT ISACA yang menyediakan

penjabaran bisnis secara end-to-end dari tatakelola teknologi informasi perusahaan

untuk menggambarkan peran utama dari informasi dan teknologi dalam menciptakan

nilai perusahaan. COBIT 5 adalah sebuah versi pembaharuan yang menyatukan cara

berpikir yang mutakhir di dalam teknik-teknik dan tata kelola TI perusahaan.

Menyediakan prinsip-prinsip, praktek-praktek, alat-alat analisa yang telah diterima

secara umum untuk meningkatkan kepercayaan dan nilai sistem-sistem informasi.

COBIT 5 akan mendasarkan sekaligus memperluas COBIT 4.1 dengan

menghubungkannya dengan kerangka standar dan sumber daya utama lainnya, seperti

ITIL, ISO, ISF , OECD, AICPA, dan NIST . COBIT 5 juga akan mengintegrasikan pedoman dari ISACA lainnya, seperti Val IT , IT Risk , the IT Assurance Framework

and the Business Model for Information Security (BMIS), menjadi satu peta yang

kohesif dan komprehensif.

Beberapa perbedaan antara COBIT 4.1 dan COBIT 5 adalah sebagai berikut5.

7/27/2019 BUTA 3.docx


14

Tabel II-1 Perbandingan COBIT 4.1 dengan COBIT 5

No Parameter COBIT 4.1 COBIT 5

1 Driver Base Practice Stakeholder Expectation

2 Area domain 4 area domain

5 area domain dengannama yang berbeda dan

selaras dengan domain

yang ada pada COBIT4.1

3 Jumlah proses 34 proses 37 proses

4 FrameworkHanya framework

COBIT 4.1

Framework yangterintegrasi dengan Val

IT, Risk IT, ITAF, BMIS

etc. with COBIT 4.1

5Capability /

Maturity Model Maturity Models

Process Capability

Model

6 Goals Cascade

Tujuan IT berasal daritujuan pemeliharaan

reputasi perusahaan

dan kepemimpinan

Tujuan IT berasal dari

stakeholder expectation

7 Enablers Tidak memilikienabler

Memiliki 7 enabler

8ControlObjectives

Terdapat 210 controlobjectives

Tidak ada pemisahan

control objectives karena

sudah termasuk bagian

dari Management andGovernance practice

Berikut adalah gambaran umum dari COBIT 5

7/27/2019 BUTA 3.docx


15

Gambar II-1 Gambaran Umum dari COBIT 5

Dari gambar diatas dapat dilihat COBIT 5 memiliki cakupan 5 principles, 7 enablers,

dan 5 domain dengan 37 proses5.

Berikut 5 principles dari framework COBIT 55

.

1. Meeting Stakeholder Needs

Organisasi berusaha untuk menciptakan suatu nilai pada stakeholder dengan

menjaga keseimbangan antara mencapai keuntungan, optimisasi resiko, dan

penggunaan resource. Prinsip ini menterjemahkan enterprise goal menjadi

spesifik, yakni IT-related Goals untuk kemudian diterjemahkan lagi menjadi

tujuan yang lebih spesifik

2.

Covering the End-to-end

Prinsip ini meliputi seluruh fungsi dan proses yang ada pada suatu organisasi,

tidak hanya fokus pada fungsi TI tetapi juga memperhatikan aset-aset yang

dimiliki oleh suatu organisasi. Semua hal yang berhubungan dengan IT

Governance, manajemen, dan end-to-end juga dipertimbangkan.

7/27/2019 BUTA 3.docx


16

3. Applying a Single Integrated Framework

Framework COBIT 5 dapat diselaraskan dengan standar atau base practice

lainnya yang berhubungan dengan proses TI yang berfungsi untuk

melakukan penilaian terhadap implementasi TI.

4. Enabling a Holistic Approach

Untuk mewujudkan IT Governance dan manajemen yang baik sesuai dengan

standar yang ada, maka COBIT 5 mendefinisikan 7 enabler untuk mencapai

tingkat kematangan dari implementasi TI disuatu organisasi.

Tujuh enabler tersebut adalah sebagai berikut.

a. Processes – menjelaskan kumpulan praktik dan aktivitas yang

terorganisir untuk mencapai tujuan yang telah ditentukan dan

menghasilkan sekumpulan output dalam dukungan pencapaian seluruh

sasaran TI.

b. Organisational structure – merupakan entitas pembuatan keputusan

kunci didalam organisasi.

c. Culture, ethnic, and behavior – merupakan kebiasaan dari individu

dan organisasi yang sering dianggap sebagai faktor penghambat

kesuksesan didalam aktivitas tata kelola dan manajemen.

d.

Principles, policies, and framework – merupakan sarana untuk

menterjemahkan tingkah laku yang diinginkan ke dalam petunjuk

praktik untuk pelaksanaan manajemen harian.

e. Information – diperlukan penyebaran seluruh informasi yang

dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan

untuk menjaga agar perusahaan dapat berjalan dan dikelola dengan

baik.

f.

Service, infrastructure, and applications – menyediakan layanan dan

proses teknologi informasi bagi organisasi.

g. People, skills, and competencies – dibutuhkan untuk menyelesaikan

semua aktivitas dan membuat keputusan yang tepat serta mengambil

aksi-aksi perbaikan.

7/27/2019 BUTA 3.docx


17

5. Separating Governance From Management

Framework COBIT 5 memisahkan area antara Governance dan Manajemen.

a. Governance

Governance bertanggung jawab untuk memberikan pengarahan ke pada

stakeholder , kemudian me-monitor aktivitas yang dilakukan oleh

stakeholder , kemudian melakukan evaluasi terhadap seluruh aktivitas

yang telah dilakukan.

b. Manajemen

Manajemen bertanggung jawab dalam pelaksanaan arahan yang telah

diberikan, melakukan perencanaan, membangun, menjalankan serta me-

monitor aktivitas yang dilakukan.

Sedangkan domain yang ada pada framework COBIT 5 adalah sebagai berikut5.

1. Evaluate, Direct, and Monitor.

Mengevaluasi kebutuhan stakeholder, mengatur arahan melalui pembuatan

keputusan dan skala prioritas, kepatuhan, dan kemajuan terhadap arah dan

tujuan.

Domain ini memiliki 5 proses, yakni:

a.

EDM01 – EnsureGovernance Framework Setting and Maintenance

b. EDM02 – Ensure Benefits Delivery

c. EDM03 – Ensure Risk Optimization

d. EDM04 – Ensure Resource Optimization

e. EDM05 – Ensure Stakeholder Transparency

2. Align, Plan, and Organise.

Membahas mengenai bentuk organisasi dan infrastruktur IT dengan tujuan

untuk mencapai hasil yang optimal dan menghasilkan banyak manfaat

dengan penggunaan TI.


a. APO01 – Manage the IT Management Framework

7/27/2019 BUTA 3.docx


18

b. APO02 – Manage Strategy

c. APO03 – Manage Enterprise Architecture

d. APO04 – Manage Innovation

e.

APO05 – Manage Portofolio

f. APO06 – Manage Budget and Costs

g. APO07 – Manage Human Relations

h. APO08 – Manage Relationships

i. APO09 – Manage Service Agreements

j. APO10 – Manage Suppliers

k. APO11 – Manage Quality

l. APO12 – Manage Risk

m. APO13 – Manage Security

3. Build, Acquire, and Implement .

Meliputi identifikasi IT requirement, penguasaan teknologi, dan

implementasinya dalam proses bisnis perusahaan.


a. BAI01 – Manage Programs and Projects

b.

BAI02 – Manage Requirements Definition

c. BAI03 – Manage Solutions Identification and Build

d. BAI04 – Manage Availability and Capacity

e. BAI05 – Manage Organisational Change Enablement

f. BAI06 – Manage Changes

g. BAI07 – Manage Changes Acceptance and Transitioning

h. BAI08 – Manage Knowledge

i.

BAI09 – Manage Assets

j. BAI10 – Manage Configuration

4. Deliver, Service, and Support.

7/27/2019 BUTA 3.docx


19

Fokus pada aspek pengiriman teknologi informasi, proses, dan dukungan

yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan efisien.


a.

DSS01 – Manage Operations

b. DSS02 – Manage Service Requests and Incidents

c. DSS03 – Manage Problems

d. DSS04 – Manage Continuity

e. DSS05 – Manage Security Service

f. DSS06 – Manage Business Process Controls

5. Monitor, Evaluate, and Assess

Menawarkan strategi perusahaan dalam menilai kebutuhan perusahaan,

mencakup penilaian independen terhadap efektivitas sistem TI.


a. MEA01 - Monitor, Evaluate, and Assess Performance and

Conformance

b. MEA02 - Monitor, Evaluate, and Assessthe Sistem of Internal

Control

c.

MEA03 - Monitor, Evaluate, and Assess Compliance with External

Requirements

II.6 Capabil ity Model

ISO 15504 mendefinisikan pengukuran untuk penilaian kemampuan proses ( process

capability) dari framework COBIT . Process capability didefinisikan pada 6 skala

poin dari 0 hingga 5. Skala ini merepresentasikan peningkatan capability dari proses

yang diimplementasikan, bukan dari pencapaian tujuan proses untuk memenuhi

tujuan bisnis saat ini dengan tujuan bisnis yang akan datang.

Berikut penjelasan skala dari process capability.

7/27/2019 BUTA 3.docx


20

a. Skala 0 (incomplete process)

Proses tidak dilaksanakan atau gagal untuk mencapai tujuan prosesnya. Pada

tingkat ini, ada sedikit atau tidak sama sekali bukti (evidence) dari setiap

pencapaian tujuan proses.

b. Skala 1 ( performed process)

Proses diimplementasikan untuk mencapai tujuan bisnisnya.

c. Skala 2 (managed process)

Proses yang diimplementasikan dikelola ( plan, monitor, and adjusted ) dan

hasilnya ditetapkan dan dikontrol.

d. Skala 3 (established process)

Proses didokumentasikan dan dikomunikasikan (untuk efisiensi organisasi).

e. Skala 4 ( predictable process)

Proses dimonitor, diukur, dan diprediksi untuk mencapai hasil.

f. Skala 5 (optimizing process)

Sebelumnya proses telah diprediksikan kemudian ditingkatkan untuk

memenuhi tujuan bisnis yang relevan dan tujuan yang akan datang.

II.7 I T Balance Scorecard

Penggunaan IT BSC merupakan salah satu cara paling efektif untuk membantu

penyelarasan TI dan bisnis. Tujuannya adalah membuat sebuah fasilitas bagi

pelaporan manajemen, menumbuhkan konsensus diantara stakeholder kunci

mengenai tujuan strategis TI, menunjukkan efektivitas dan nilai tambah dari TI dan

mengkomunikasikan kinerja risiko serta kemampuan TI.

Berikut perspektif dalam mengevaluasi kinerja TI antara lain sebagai berikut.

1.

Perspektif Kontribusi Organisasi (Corporate Contribution)

Perspektif kontribusi organisasi (corporate contribution) adalah perspektif

yang mengevaluasi kinerja TI berdasarkan pandangan dari manajemen

eksekutif, para direktur, dan shareholder . Evaluasi TI dapat dipisahkan

7/27/2019 BUTA 3.docx


21

menjadi 2 macam, yakni jangka pendek yang berupa evaluasi secara financial

dan jangka panjang yang berorientasi pada proyek dan fungsi TI itu sendiri.

2. Perspektif Orientasi Pengguna (User Orientation)

Perspektif orientasi pengguna (user orientation) adalah perspektif yang

mengevaluasi kinerja TI berdasarkan cara pandang pengguna bisnis yang ada.

Dalam perspektif ini, organisasi melakukan identifikasi pelanggan dan

segmen pasar yang akan dimasuki. Dengan perspektif orientasi pengguna ini,

maka organisasi dapat menyelaraskan berbagai ukuran pelanggan, yaitu

kepuasan, loyalitas, retensi, akuisisi, dan profitabilitas, dengan pelanggan

sendiri, dan segmen pasar sasaran.

3. Perspektif Keunggulan Operasional (Operational Excellence)

Perspektif ini adalah perspektif yang menilai kinerja TI berdasarkan cara

pandang manajemen dengan audit dan pihak yang menetapkan aturan-aturan

yang digunakan.

4.

Perspektif Orientasi Dimasa Depan ( Future Orientation)

Perspektif ini adalah perspektif yang menilai kinerja TI berdasarkan cara

pandang dari departemen itu sendiri, yaitu pelaksanaan, para praktisi dan

professional yang ada. Pada perspektif terakhir ini akan menyiapkan

infrastruktur organisasi yang memungkinkan tujuan-tujuan dalam tiga

perspektif lainnya dapat dicapai. Kemampuan organisasi untuk dapat

menghasilkan produk atau jasa di masa mendatang dengan kemampuan

layanan yang memuaskan harus dipersiapkan mulai dari saat ini. Pihak

manajemen harus dapat memperkirakan tren dimasa datang dan membuat

langkah-langkah persiapan untuk mengantisipasinya.

II.8 Assessment Process Teknologi Informasi

II.8.1 Definisi Assessment Process TI

Menurut ISO/IEC 15504-4, assessment proses adalah aktifitas yang dilakukan

sebagai bagian dari inisiatif perbaikan proses ataupun bagian dari pendekatan

7/27/2019 BUTA 3.docx


22

determinasi kapabilitas proses. Tujuan perbaikan proses adalah secara kontinyu

meningkatkan efektifitas dan efisiensi perusahaan. Tujuan determinasi

kapabilitas proses adalah untuk mengidentifikasi kekuatan, kelemahan dan risiko

dari proses tertentu dengan mengambil referensi kepada requirement proses

tersebut dan penyelarasannya terhadap kebutuhan bisnis.

II.8.2 Tahapan Assessment

Berikut ini merupakan tahapan assessment menurut ISO/IEC 15504-4

berdasarkan Process Assessment Model (PAM) dengan menggunakan Process

Reference Model (PRM) COBIT 5.

Gambar II-2 Tahapan Assessment (Sumber: ISACA)

Adapun cara untuk melakukan Assessment adalah:

a. Planning

Assessment plan mendeskripsikan seluruh aktivitas yang akan dilakukan

dalam pelaksanaan assessment, yang termasuk di dalamnya antara lain

7/27/2019 BUTA 3.docx


23

identifikasi ruang lingkup proyek, mengalokasikan sumber daya untuk

melaksanakan assessment, menentukan metode untuk menyusun, mereview,

melakukan validasi dan mendokumentasikan informasi yang dibutuhkan

untuk melakukan assessment serta mengordinasikan aktifitas assessment

dengan organisasi atau grup yang akan di-assess.

b. Data Collection

Assessor mendapatkan dan mendokumentasikan pemahaman mengenai

proses-proses TI saat ini termasuk tujuan, input, output serta work product

yang memadai untuk mendukung kepentingan assessment. Data yang

dikumpulkan untuk mengevaluasi proses TI harus dikumpulkan secara

sistematis sesuai ruang lingkup. Setiap evidence harus didokumentasikan ke

dalam assessment record.

c. Data Validation

Terkait akurasi dan kecukupan data assessment sesuai ruang lingkup, hal

yang perlu diperhatikan antara lain adalah informasi yang didapatkan dari

pihak pertama, sebisa mungkin sumber yang independen dan melaksanakan

sesi feedback untuk melakukan validasi terhadap data yang sudah dikumpulkan

d. Process Atribute Rating

Untuk setiap proses yang dinilai, diberikan rating untuk setiap atribut

proses sesuai dengan aturan yang ada pada COBIT 5. Traceability harus

dilakukan antara evidence objek yang telah dikumpulkan sebelumnya dengan

rating proses yang diberikan. Untuk setiap rating, keterhubungan antara

indikator dan evidence objek harus direkam ke dalam working paper.

e. Reporting

Hasil assessment dianalisis dan disampaikan ke dalam bentuk laporan.

Laporan harus mengandung isu-isu kunci yang dihasilkan dari proses

assessment yakni area kekuatan dan kelemahan dari proses yang di-assess dan

temuan risiko tinggi, diketahuinya kesenjangan antara kapabilitas yang ada

dengan yang diharapkan ke depan (target).

7/27/2019 BUTA 3.docx


24

II.9 RACI Chart

Diagram RACI yang merupakan bagian dari Rensponsibility Assignment Matrix

(RAM). RAM adalah suatu bentuk pemetaan antara sumber daya dengan aktivitas

dalam setiap prosedur. RACI merupakan singkatan dari Responsibility (R),

Accountable (A), Consult (C), dan Inform (I). Berikut merupakan definisi dari

diagram RACI.

a. Responsibility ( R) menunjukkan bahwa bagian tersebut merupakan pihak

pelaksana yang harus bertanggungjawab melaksanakan dan menyelesaikan

aktivitas yang menjadi tanggung jawabnya.

b. Accountable (A) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana

yang harus mengarahkan jalannya pelaksanaan aktivitas.

c. Consult (C) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana

yang akan menjadi tempat konsultasi selama pelaksanaan aktivitas.

d. Inform (I) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana

yang akan menjadi pihak yang diberikan informasi mengenai pelaksanaan

aktivitas.

7/27/2019 BUTA 3.docx


25

BAB III

METODOLOGI PENELITIAN

III.1 Model Konseptual

Model konseptual merupakan suatu kerangka konseptual yang menerangkan

mengenai serangkaian ide global tentang keterlibatan variabel-variabel yang

berkaitan terhadap suatu ilmu dan pengembangannya. Model konseptual dari

penelitian ini adalah sebagai berikut.

Gambar III-1 Model Konseptual

Dokumen yang digunakan sebagai input dalam penelitian ini adalah rencana strategis

(renstra). Renstra memberikan informasi berupa tujuan bisnis dari Politeknik Telkom.

Renstran tersebut dipetakan (mapping ) kedalam IT BSC untuk mengetahui hubungan

antara tujuan TI Politeknik Telkom, tujuan bisnis Politeknik Telkom, dan proses TI

yang ada dalam framework COBIT 5. Setelah dilakukan mapping , diperoleh domain

apa saja yang harus diukur ( IT Process), dalam penelitian ini domain yang akan

diukur adalah domain DSS dan APO . Dari penilaian domain, dihasilkan suatu nilai

yang disebut capability level dan opportunity of improvement (OFI ).

7/27/2019 BUTA 3.docx


26

III.2 Sistematika Penelitian

Sistematika penelitian merupakan tahapan yang harus dilakukan dalam suatu

penelitian untuk mencapai hasil yang diinginkan. Sistematika penelitian dalam

penelitian ini adalah sebagai berikut.

7/27/2019 BUTA 3.docx


27

Gambar III-2 Sistematika Penelitian

7/27/2019 BUTA 3.docx


28

Tahap Inisiasi dan Persiapan

Pada tahap ini dilakukan perumusan masalah sehingga bisa diketahui tujuan dalam

penelitian ini. Setelah dibuat tujuan penelitian, maka bisa ditentukan batasan

penelitian agar dapat fokus pada tujuan. Studi literatur dan studi objek kajian

dilakukan pada tahap ini, yakni mempelajari teori-teori yang relevan seperti IT

Governance, framework COBIT 5 dan IT BSC , diperkuat dengan dokumen yang

diperoleh dari Politeknik Telkom seperti, dokumen renstra, struktur organisasi, dan

proses bisnis.

Tahap Kajian Objek

Inputan pada tahap ini berupa dokumen renstra. Setelah melakukan tahap inisiasi,

dibuat timeline penilaian agar proses penilaian dapat selesai tepat waktu. Kemudian

dilakukan mapping antara business goal yang ada pada renstra kedalam perspektif IT

BSC pada framework COBIT 5. Mapping tersebut bertujuan menghubungkan antara

tujuan TI, tujuan bisnis dengan proses TI. Sehingga didapatkan domain yang harus

diukur, yakni domain DSS dan APO . Pada tahap ini juga dilakukan perancangan

prosedur penilaian yang akan digunakan, meliputi pembuatan kuesioner dan

pembuatan form assessment , yang nantinya akan diverifikasi untuk menuju ke tahap berikutnya.

Tahap Validasi Data

Tahap data validation merupakan tahap proses inti dari penelitian ini. Ditahap ini

dilakukan proses penilaian pada domain DSS dan APO dengan cara wawancara

dengan narasumber atau observasi secara langsung di Politeknik Telkom. Hasil dari

tahap ini kemudian diproses pada tahap process attribute rating untuk

menghasilkan suatu skala.

7/27/2019 BUTA 3.docx


29

Tahap Analisis dan Pelaporan

Tahap analisis dan rekomendasi merupakan tahap proses inti dari penelitian ini.

Ditahap ini dilakukan proses penilaian pada domain yang didapat dari proses

mapping, wawancara dengan narasumber, dan observasi di Politeknik Telkom.

Kemudian hasilnya berupa suatu besaran nilai yang kemudian dilakukan penilaian

terhadap capability process untuk menghasilkan capability level . Disini juga

dilakukan verifikasi terhadap temuan yang ada. Kemudian dilakukan penyususnan

proses perbaikan untuk tiap proses. Setelah itu dilakukan penyusunan Laporan Hasil

Penilaian (LHP) yang akan diserahkan ke SISFO Politeknik Telkom sebagai pihak

auditee.

Tahap Kesimpulan dan Saran

Pada tahap terakhir diaakan exit meeting antara auditor dengan auditee. Tujuannya

adalah untuk memberikan kesimpulan dari penelitian ini dan saran untuk penelitian

selanjutnya serta penyerahan dan penandatanganan dokumen LHP. Dengan

penandatanganan ini, maka berakhirlah proses penilaian terhadap implementasi IT

Governance di Politeknik Telkom.

7/27/2019 BUTA 3.docx


30

BAB IV

PELAKSANAAN PENELITIAN

IV.1 Perencanaan Penilaian

Perencanaan merupakan salah satu faktor kunci dalam keberhasilan sebuah kegiatan.

Begitu pula dengan penelitian ini. Agar kegiatan penilaian ini berjalan sistematis,

diperlukan perencanaan yang disusun harus jelas dan detail. Perencanaan pada

kegiatan penilaian ini meliputi pengumpulan data dan dokumen, mapping terhadap

renstra Politeknik Telkom dengan Framework COBIT versi 5, identifikasi domain

yang dinilai, perancangan prosedur penilaian, serta analisis dan rekomendasi

IV.1.1 Estimasi Waktu Proses Penilaian

Perencanaan penilaian diawali dengan membuat estimasi waktu dari proses penilaian

yang telah disusun. Berikut merupakan estimasi waktu proses penilaian yang telah

disusun.

Tabel IV-1 Estimasi Waktu Proses Penilaian

No Nama Pekerjaan Hari

1 Pengumpulan data dan dokumen 20

2 Mapping renstra ke framework COBIT 5 7

3 Identifikasi domain yang dinilai 2

4 Perancangan prosedur penilaian 25 Proses penilaian 20

6 Observasi 7

7 Identifikasi temuan 4

8 Pembuatan rekomendasi 5

9 Pembuatan laporan 4

10 Exit meeting 1

IV.1.2 Perancangan Program Penilaian

Adapun langkah-langkah untuk melakukan penilaian dimulai dari mapping antararenstra Politeknik Telkom dengan enterprise goal yang ada di COBIT 5. Hasil dari

mapping tersebut nantinya harus divalidasi oleh bagian SISFO sebagai pihak TI dan

bagian Satuan Penjaminan Mutu (SPM) sebagai pihak bisnis. Langkah selanjutnya

7/27/2019 BUTA 3.docx


31

adalah penilaian untuk menilai skala posisi TI pada Politeknik Telkom. Berikut

merupakan langkah-langkah penilaian yang telah dilakukan di Politeknik Telkom.

Gambar IV-I-1 Langkah-langkah penilaian

IV.1.3 Mapping Renstra terhadap COBIT 5

Adapun langkah untuk melakukan mapping ini adalah dengan mencari kesesuaian

antara enterprise goal yang terdapat di COBIT 5 dengan strategi bisnis dari Politeknik

7/27/2019 BUTA 3.docx


32

Telkom yang tercantum pada renstra tahun 2010-2013. Mapping ini berfungsi untuk

mengetahui proses apa saja yang akan dinilai dengan melakukan pembobotan

terhadap hasil mapping. Berikut hasil mapping yang telah dilakukan.

7/27/2019 BUTA 3.docx


33

Tabel IV-2 Hasil Mapping Renstra terhadap Enterprise Goal

No Enterprise Goals COBIT 5

Renstra Politeknik Telkom

Memanfaatk

an

keterlibatan

mahasiswa

dalam

membangun

institusi

dalam artian

seluas-

luasnya

Inovasi

Internal

dalam

rangka

penguata

n struktur,

proses,

sistem,

dan tata

kelola

Optimalis

asi

dukungan

IT guna

mengingk

atkan

efektivitas

dan

efisiensi

organisasi

Implementa

si

Penjaminan

Mutu

Pembangunan

core

competencies

Politeknik

Telkom dan

program studi

yang ada

1 Nilai bagi stakeholder terhadap investasi

bisnis

2 Portofolio produk dan layanan yang

kompetitif

3 Risiko bisnis dikelola pengamanan asset

4 Kepatuhan terhadap hukum dan peraturan

eksternal

5 Transparansi keuangan

6 Budaya pelayanan berorientasi pelanggan

7 Layanan bisnis kontinuitas dan ketersediaan

8 Tanggapan yang cepat terhadap perubahan

lingkungan bisnis

9 Tanggapan yang cepat terhadap perubahan

lingkungan

10 Optimalisasi biaya pelayanan

11 Optimalisasi fungsi proses bisnis

12 Optimalisasi biaya proses bisnis

13 Program perubahan bisnis dikelola

14 Operasional dan produktivitas staf

15 Kepatuhan terhadap kebijakan internal

16 Orang-orang terampil dan termotivasi

17 Budaya inovasi produk dan bisnis

7/27/2019 BUTA 3.docx


34

IV.1.4 Identifikasi Proses yang akan dinilai

Berdasarkan hasil mapping renstra terhadap enterprise goal kemudian dilakukan

pembobotan (hasil lengkapnya terdapat di lampiran ) maka didapat proses yang akan

dilakukan penilaian. Penilain akan dilakukan pada proses-proses yang termasuk

domain APO dan DSS. APO merupakan domain yang membahas mengenai bentuk

organisasi dan infrastruktur IT dengan tujuan untuk mencapai hasil yang optimal dan

menghasilkan banyak manfaat dengan penggunaan TI, sedangkan DSS merupakan

domain yang fokus pada aspek pengiriman teknologi informasi, proses, dan dukungan

yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan efisien.

Berikut merupakan proses-proses yang akan dilakukan penilaian.

Tabel IV-3 Hasil Mapping APO

No Proses Nama Proses Disarankan

1 APO01 Mengelola IT Management Framework Ya

2 APO02 Mengelola Strategi Tidak

3 APO03 Mengelola Enterprise Architecture Tidak

4 APO04 Mengelola Inovasi Tidak

5 APO05 Mengelola Portofolio Ya6 APO06 Mengelola Anggaran dan Biaya Tidak

7 APO07 Mengelola Sumber Daya Manusia Tidak

8 APO08 Mengelola Hubungan Tidak

9 APO09 Mengelola Persetujuan Layanan Tidak

10 APO10 Mengelola Supplier Tidak

11 APO11 Mengelola Kualitas Ya

12 APO12 Mengelola Resiko Ya

13 APO13 Mengelola Keamanan Tidak

7/27/2019 BUTA 3.docx


35

Tabel IV-4 Hasil Mapping DSS

No Proses Nama Proses Disarankan

1 DSS 01 Mengelola Operasi Tidak

2 DSS 02 Mengelola Permintaan Layanan dan Insiden Ya

3 DSS 03 Mengelola Masalah Tidak

4 DSS 04 Mengelola Keberlanjuta Tidak

5 DSS 05 Mengelola Layanan Keamanan Ya

6 DSS 06 Mengelola Kontrol Proses Bisnis Ya

Adapun proses yang dinilai meliputi APO01, APO05 , APO11, APO12, DSS 02,

DSS 05, dan DSS 06.

IV.1.5 Perancangan Form Assessment

Perancangan program penilaian meliputi form assessment yang berupa pertanyaan

yang disusun berdasarkan kriteria-kriteria yang ada pada COBIT 5. Form assessment

yang digunakan berisi mengenai kinerja proses TI, pengelolaan kinerja TI,

pengelolaan produk TI, definisi proses TI, dan implementasi proses TI. Untuk

penjelasan lebih lengkap mengenai form assessment terdapat pada Lampiran .

IV.2 Pelaksanaan Penelitian

IV.2.1 Deskripsi Objek Penelitian

Objek penilaian pada penelitian ini adalah Politeknik Telkom. Politeknik Telkom

merupakan salah satu PT swasta di Indonesia yang berdiri pada tahun 2007, yang

bernaung dibawah Yayasan Pendidikan Telkom (YPT). Motto dari Politeknik Telkom

adalah “Giving and Caring The World. Visi Politeknik Telkom adalah “Menjadi

Politeknik unggulan di bidang Manajemen dan Teknologi Informasi & Komunikasi di

Asia Tenggara”. Dan salah satu misi Politeknik Telkom adalah “Terus melakukan

transisi untuk tumbuh secara mandiri, berkelanjutan, dan mempunyai tata kelola yang

baik (Good Polytechnic Governance)”. Untuk menunjang ketiga hal tersebut maka

7/27/2019 BUTA 3.docx


36

diperlukan dukungan TI yang baik yang mampu mengefektifkan dan

mengefisiensikan setiap proses aktivitas.dari Politeknik Telkom. Pada Politeknik

Telkom bagian SISFO dan Layanan Akademik bertugas untuk menyediakan layanan

dan dukungan TI untuk menunjang proses bisnis Politeknik Telkom tersebut, seperti

menyediakan infrastruktur jaringan dan aplikasi student portal yaitu SIPOLITEL.

IV.2.2 Struktur Organisasi

Berikut ini merupakan struktur Organisasi dari Politeknik Telkom.

Gambar IV-I-2 Struktur Organisasi Politeknik Telkom (Politeknik Telkom, 2013)

Bagian SISFO dan Layanan Akademik yang kepalai oleh seorang Manager setingkat

kepala bagian bertanggung jawab langsung kepada Wakil Direktur II, yang juga

membawahi bagian Dukungan Manajemen. Bagian SISFO dan Layanan Akademik

masing-masing memiliki seorang asisten manager dan memliliki beberapa staf untuk

7/27/2019 BUTA 3.docx


37

menangani aplikasi dan infrastruktur TI, yaitu programmer, system analist, network

engineer, hardware engineer dan network engineer.

IV.2.3 Pemilihan Objek Penilaian

Pemilihan objek yang dinilai dilakukan berdasarkan diagram RACI dari COBIT 5

yang telah dipetakan sesuai dengan kondisi di Politeknik Telkom. Hal ini bertujuan

agar penilaian tepat dilakukan terhadap pihak yang memiliki tanggungjawab terhadap

proses terkait.

Tabel IV-5 Objek Penilaian

No Proses Nama Proses Objek Penilaian

1 APO01 Mengelola IT Management Framework Manager SISFO

2 APO05 Mengelola Portofolio Manager SISFO

3 APO11 Mengelola Kualitas Manager SPM

4 APO12 Mengelola Resiko Manager SPM

5 DSS02 Mengelola Permintaan Layanan dan Insiden Manager SISFO

6 DSS05 Mengelola Layanan Keamanan Manager SISFO

7 DSS06 Mengelola Kontrol Proses Bisnis Manager SISFO

IV.2.4 Penilaian Capabil ity Level

Target pencapaian capability level untuk Politeknik Telkom ada pada skala 3.

Berikut merupakan tingkat capability level dari hasil penilaian yang dibandingkan

dengan target yang diinginkan oleh Politeknik Telkom.

e. Proses APO01 - Mengelola I T M anagement F ramework

Pada proses APO01 ada beberapa aktivitas yang tidak didokumentasikan serta

beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice

yang belum ada di Politeknik Telkom.

7/27/2019 BUTA 3.docx


38

Tabel IV-6 Daftar Dokumen dan Base Practice yang belum dilakukan pada APO01

Dokumen Base Practice

1. Definisi IT-related

2.

Komunikasi pada tujuan TI3. Data integrity procedures

1. Mengidentifikasi keputusan yang

diperlukan untuk pencapaianoutcome perusahaan dan strategi TI,

dan untuk pengelolaan dan

pelaksanaan layanan TI.2. Membentuk IT strategy committee

(atau setara) di tingkat direksi3. Membentuk IT strategy committee

(atau setara) yang terdiri dari

eksekutif, bisnis, dan manajemen TI

untuk menentukan prioritas dari IT-

enabled investment programmessejalan dengan strategi bisnis dan

prioritas prusahaan, melacak status

proyek dan menyelesaikan konflik

sumber daya, dan memantau tingkatlayanan dan layanan perbaikan

4. Menetapkan, menyetujui dan

mengkomunikasikan IT-related rolesand resposibilities untuk semua

personil dalam perusahaan, sejalan

dengan kebutuhan bisnis dan tujuan.

Dengan jelas menggambarkantanggung jawab dan akuntabilitas,

terutama untuk pengambilan

keputusan dan persetujuan5. Mendapatkan pemahaman tentang

visi, arahan, dan strategy perusahaan

Berdasarkan penilaian yang telah dilakukan, maka ditemukan 3 dokumen dan 5 base

practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability

level sebagai berikut.

7/27/2019 BUTA 3.docx


39

Gambar IV-I-3 Tingkat Capability Level pada Proses APO01

Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan

berdasarkan hasil penilaian yang dilakukan, proses APO01 berada pada level 1.

b. Proses APO05 – Mengelola Portofolio




Tabel IV-7 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO05


1.

Pengembalian harapan investasi2. Penilaian business case

3. Aksi Koreksi untuk meningkatkanrealisasi manfaat

1.

Penentuan implikasi dari sumber pendanaan pada pengembalian

harapan investasi2. Penentuan kandidat program yang

harus dipindahkan ke investasi

portofolio yang aktif3. Penentuan pencapaian yang

dibutuhkan untuk siklus hidup

ekonomi setiap program yang dipilih

4. Memberikan laporan manajemenuntuk manajemen senior dari

kemajuan perusahaan kea rah tujuanyang diidentifikasi

5. Mengahapus program dari investasi portofolio ketika manfaat yang

diinginkan telah tercapai

6. Pertimbangan mendapatkan bimbingandari ahli eksternal, benchmarking

0

1

2

3

APO01 - Mengelola IT Management

Framework

7/27/2019 BUTA 3.docx


40

untuk menguji dan meningkatkan

metrik dan target







b. Proses APO11 - Mengelola Kualitas






1. Peran, tanggung jawab dan decision

rights QMS

2. Komunikasi dalam perbaikan berkelanjutan dan best practices

1. Memastikan bahwa framework kontrol

TI, bisnis dan proses TI termasuk

standar, formal dan pendekatan berkelanjutan untuk manajemen mutu

yang sesuai dengan persyaratan

perusahaan2. Mendefinisikan peran, tugas, hak dan

tanggung jawab untuk keputusan

0

1

2

3

Tar et Ca abilit Level

APO05 - Mengelola Portofolio

7/27/2019 BUTA 3.docx


41

manajemen mutu dalam struktur

organisasi.

3. Menyelaraskan manajemen mutu TIdengan sistem mutu perusahaan untuk

mendorong standarisasi dan pendekatan terhadap kualitas.4. Secara efektif mengkomunikasikan

pendekatan (misalnya, melalui

program reguler, kualitas pelatihan

formal).5. Pertimbangkan manfaat dan biaya

sertifikasi mutu.

6. Memberikan karyawan pelatihan

dalam metode dan sarana perbaikan berkelanjutan.







0

1

2

3


APO11 - Mengelola Kualitas

7/27/2019 BUTA 3.docx


42

c. Proses APO12 - Mengelola Resiko






1. Data di lingkungan kerja yang

berhubungan dengan resiko

2. data pada saat terjadi resiko dan

factor penyebabnya3. Ruang lingkup dari usaha analisis

resiko

4.

Skenario resiko TI5. Hasil analisis resiko

6. Skenario resiko yang

terdokumentasi sesuai bisnis danfungsi

7. Keseluruhan profil resiko

8. Laporan analisis resiko dan profil

resiko untuk para stakeholder 9. Hasil tinjauan penilaian resiko third-

party

10. Kesempatan untuk penerimaan

resiko yang lebih besar11. Proposal proyek untuk menurunkan

resiko

12. Mengkomunikasikan dampakterjadinya resiko

13. Akar penyebab resiko terkait

1. Memantapkan dan mempertahankan

metode pengumpulan data, klasifikasi

dan analisis resiko terkait

2. Merekam data yang relevan padalingkungan operasi internal dan

eksternal perusahaan

3.

Menganalisis data historis resiko TIdan pengalaman kerugian dari data

yang tersedia

4. Mengatur data yang dikumpulkan danmenyoroti akar penyebabnya

5. Menentukan kondisi khusus yang ada

atau tidak ketika resiko terjadi

6. Pelaksanaan event periodik dananalisis faktor resiko untuk

mengidentifikasi apakah resiko

tersebut baru atau muncul kembali

7.

Menentukan analisis resiko yangtepat, mempertimbangkan semua

factor resiko dan kritikalitas asset

bisnis8. Membuat dan secara teratur

mengupdate skenario resiko TI

9. Memperkirakan frekuensi dan besarnya kerugian atau keuntungan

yang terkait dengan resiko resiko TI.

10. Membandingkan residual risk untuk

toleransi resiko yang dapat diterima

11.

Tentukan high-level requirementuntuk proyek atau program yang akan

menerapkan tanggapan resiko tertentu12. Validasi hasil analisis resiko sebelum

menggunakannya dalam pengambilan

keputusan

13. Mengumpulkan scenario resiko saai

7/27/2019 BUTA 3.docx


43

ini berdasarkan kategori bisnis dan

area fungsional

14. Mengambil semua informasi profilresiko dan mengkonsolidasikan

menjadi sebuah profil resiko15. Menentukan seperangkat indikatorresiko yang memungkinkan

identifikasi cepat serta pemantauan

resiko saat ini

16. Menangkap informasi atas peristiwaresiko TI yang telah terwujud, untuk

dimasukkan ke dalam profil resiko TI

17. Melaporkan hasil analisis resiko

kepada semua stakeholder terkaituntuk mendukung keputusan

perusahaan18.

Menyediakan pengambil keputusandengan pemahaman tentang skenario

terburuk dan paling mungkin terjadi

19. Laporan profil resiko saat ini untuksemua stakeholder , termasuk

efektivitas proses manajemen resiko

dan efektifitas control

20. Meninjau hasil penilaian tujuan pihakketiga, audit internal dan ulasan

jaminan tinjauan, lalu memetakannya

ke dalam profil resiko21.

Mengidentifikasi peluang yang

berkaitan dengan TI yang

memungkinkan penerimaan resiko

yang lebih besar dan meningkatkan growth dan return

22. Menjaga investasi kegiatan control

untuk mengelola resiko dan yangmemungkinkan resiko untuk diambil

23. Menentukan apakah setiap entitas

organisasi memonitor risiko dan

menerima tanggung jawab atasoperasi dalam diri individu dan

tingkat portofolio toleransi

24. Menentukan proposal proyek yangseimbang dirancang untuk

mengurangi risiko dan/atau proyekyang memungkinkan peluang

7/27/2019 BUTA 3.docx


44

strategis perusahaan,

mempertimbangkan biaya/manfaat,

efek pada profil risiko dan peraturanyang berlaku

25.

Menyiapkan, memelihara danmenguji rencana yangmendokumentasi langkah-langkah

spesifik untuk mengetahui kapan

peristiwa risiko dapat menyebabkan

insiden operasional atau perkembangan yang menyebabkan

dengan serius pada bisnis

26. Mengelompokkan insiden, dan

membandingkan eksposur aktualterhadap ambang batas toleransi

risiko. Mengkomunikasikan dampak bisnis pada para pengambil keputusansebagai bagian dari pelaporan, dan

memperbarui profil risiko

27. Menerapkan rencana respon yangtepat untuk meminimalkan dampak

risiko ketika insiden terjadi

28. Memeriksa peluang efek

samping/kerugian dan kehilanganyang pernah terjadi dan menentukan

akar penyebabnya.

Mengkomunikasikan akar penyebab,kebutuhan tambahan repon risiko dan

perbaikan proses untuk pengambil

keputusan yang tepat dan memastikan

bahwa penyebab, persyaratan respon,dan perbaikan proses termasuk dalam

proses tata kelola risiko

Berdasarkan penilaian yang telah dilakukan, maka ditemukan 13 dokumen dan 28

base practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat

capability level sebagai berikut.

7/27/2019 BUTA 3.docx


45




d. Proses DSS02 - Mengelola Permintaan Layanan dan Insiden

Berdasarkan penilaian yang telah dilakukan pada proses DSS02, seluruh dokumen

dan base practice telah didokumentasikan dan dilakukan oleh Politeknik Telkom.

Sehingga diperoleh tingkat capability level sebagai berikut.

Gambar IV-I-7 Tingkat Capability Level pada Proses DSS02


berdasarkan hasil penilaian yang dilakukan, proses DSS02 juga berada pada level 3,

0

1

2

3


APO12 - Mengelola Resiko

0

1

2

3


DSS02 - Mengelola Permintaan

Layanan dan Insiden

7/27/2019 BUTA 3.docx


46

sehingga pada proses ini Politeknik Telkom sudah mencapai target yang telah

ditetapkan.

e. Proses DSS05 - Mengelola Layanan Keamanan

Pada proses DSS05 ada beberapa aktivitas yang tidak didokumentasikan serta


yang belum ada di Politeknik Telkom

Tabel IV-10 Daftar Dokumen dan Base Practice yang Belum dilakukan pada DSS05


1. Perangkat lunak berbahaya yang

melawan kebijakan

2.

Inventarisasi dokumen dan perangkat sensitif

1. Menginstall dan mengaktifkan

perangkat proteksi terhadap software

yang berbahaya pada seluruhfasilitas pengolahan, dengan data

software berbahaya yang diperbarui

sesuai kebutuhan (otomatis atausemi-otomatis).

2. Mendistribusikan semua proteksi

terhadap software berbahaya secara

terpusat (version dan patch-level)menggunakan konfigurasi yang

terpusat dan manajemen perubahan

3. Mengadakan pelatihan berkalamengenai malware pada email dan

saat penggunaan internet. User

dilatih untuk tidak menginstal

software yang dibagikan atau tidakdisetujui

4. Menetapkan prosedur untuk

mengatur penerimaan, penggunaan, penghapusan dan pembuangan

perangkat dengan bentuk khusus dan

output ke dalam maupun keluar

perusahaan




7/27/2019 BUTA 3.docx


47



berdasarkan hasil penilaian yang dilakukan, proses DSS05 berada pada level 1.

f. Proses DSS06 - Mengelola Kontrol Proses Bisnis

Pada proses DSS06 ada beberapa aktivitas yang tidak didokumentasikan serta



Tabel IV-11 Daftar Dokumen dan Base Practice yang Belum dilakukan pada DSS06


1. Bukti koreksi kesalahan danremidiasi

1. Prioritas aktivitas kontrol berdasarkan risiko inheren pada

bisnis dan indetifikasi kontrol kunci

2. Memastikan kepemilikan kunciaktivitas control

3. Menangani output yang diotorisasi,

menyampaikan ke penerima yangtepat dan melindungi informasi

selama transmisi. Memverifikasi

akurasi dan kelengkapan output4. Alokasi peran untuk aktivitassensitif sehingga terhadap

perbedaan jelas segregation duty 5. Menyediakan awareness dan

pelatihan mengenai peran dantanggung jawab pada basis reguler

0

1

2

3


DSS05 - Mengelola Layanan

Keamanan

7/27/2019 BUTA 3.docx


48

sehingga semua orang memahami

tanggung jawab; kepentingan

kontrol; integritas tanggung jawabmereka, kerahasiaan dan privasi

informasi perusahaan disemua form6. Secara periode mereview defenisikontrol akses, log, dan laporan

eksepsi untuk memastikan semua

privileges akses valid dan selaras

dengan staf yang ada dan alokasi peran mereka

7. Melakukan follow up, koreksi,

persetujuan, dan resubmit sumber

dokumen dan transaksi8. Memelihara bukti aksi remedial

9.

Menyediakan penggunaan trainingdan kesadaran yang dapat diterima





Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan berdasarkan hasil penilaian yang dilakukan, proses DSS06 berada pada level 1.

IV.2.5 Rekapitulasi Hasil Penilaian Capabil ity Level

Persentase capability level dari hasil penilaian secara keseluruhan adalah sebagai

berikut.

0

1

2

3

DSS06 - Mengelola Kontrol

Proses Bisnis

7/27/2019 BUTA 3.docx


49

Tabel IV-12 Rekapitulasi Capability Level

Proses TIProcess

Attr ibute (PA)Capabil ity Level

Capability

yang dicapai

APO01

PA 1.1 86%1

PA 2.1 80.56%

PA 2.2 Tidak Dinilai



APO05

PA 1.1 72%

1





APO11

PA 1.1 87%

1PA 2.1 50%PA 2.2 Tidak Dinilai



APO12

PA 1.1 8%

0





DSS02

PA 1.1 100%

3

PA 2.1 100%

PA 2.2 100%PA 3.1 100%

PA 3.2 100%

DSS05

PA 1.1 88.89%

1

PA 2.1 88%

PA 2.2 21%



DSS06

PA 1.1 76%

1


PA 2.2 Tidak DinilaiPA 3.1 Tidak Dinilai


7/27/2019 BUTA 3.docx


50

Pencapaian capability level untuk masing-masing proses TI adalah sebagai berikut.

Gambar IV-I-10 Rekapitulasi Capability Level

Berdasarkan penilaian yang dilakukan, terdapat 1 proses yang telah mencapai pada

level yang ditargetkan yaitu capability level 3 atau established pada proses DSS05,

namun ada pula 1 proses yang berada pada capability level 0 atau incomplete process

yaitu proses APO12. Sedangkan sisanya yaitu proses APO01, APO05, APO11, DSS05

dan DSS06 berada pada capability level 1 atau performed process.

0 1 2 3

DSS06

DSS05

DSS02

APO12

APO11

APO05

APO01

Capability Level

Target Optimal

7/27/2019 BUTA 3.docx


51

BAB V

ANALISIS DAN REKOMENDASI

V.1 Analisis Gap antara Hasil Penilaian dengan Target Optimal

V.1.1 Analisis Gap Proses APO01 – Mengelola I T Management F ramework

Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses

APO01 tiap levelnya. Berikut merupakan tabel Gap dari proses APO01

Tabel V-1 Gap pada proses APO01

ProsesTI

Process

Attribute(PA)

Hasil

Penilaian(%)

Target

Optimal(%)

Gap (%)

APO01

PA 1.1 86%

100%

14%

PA 2.1 80.56% 19.44%

PA 2.2 0% 100%

PA 3.1 0% 100%

PA 3.2 0% 100%

Proses APO01 memiliki gap sebesar 14% pada PA 1.1, gap sebesar 19.44% pada

PA2.1, dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut

menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan IT Management Framework di Politeknik Telkom dinilai masih rendah karena hanya

mencapai skala 1 ( performed process) dari capability level.

Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang

ada pada proses APO01.

7/27/2019 BUTA 3.docx


52

Gambar V-1 Sebab Akibat Gap pada proses APO01

Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses

APO01 menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola IT

Management Framework dikarenakan faktor Sistem dan Manajemen. Faktor Sistem

diakibatkan Komunikasi tujuan dan arahan manajemen, dimana informasi yang

disampaikan terkadang kurang terperinci seseuai dengan tingkat penerimanya. Selain

itu Informasi data dan Sistem Kepemilikan, dimana belum ada pendefinisian prosedur

data integritas. Dari faktor Manajemen ada unsur peran dan tanggung jawab, dimana

belum ada pendefinisian IT-related roles and responsibilities.

V.1.2 Analisis Gap Proses APO05 – Mengelola Portofolio


APO05 tiap levelnya.Berikut ini merupakan tabel gap pada proses APO05.

Tabel V-2 Gap pada Proses APO05

Proses

TI

Process Attribute

(PA)

HasilPenilaian

(%)

TargetOptimal

(%)

Gap

(%)

APO05

PA 1.1 72%

100%

28%

PA 2.1 0% 100%

PA 2.2 0% 100%

PA 3.1 0% 100%

PA 3.2 0% 100%

7/27/2019 BUTA 3.docx


53

Proses APO05 memiliki gap sebesar 28% pada PA 1.1 dan gap sebesar 100% pada

PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan dokumen dan base

practice yang belum terpenuhi. Untuk pengelolaan Portofolio di Politeknik Telkom

dinilai masih rendah karena hanya mencapai skala 1 ( performed process) dari

capability level.



Gambar V-2 Sebab Akibat Gap pada Proses APO05

Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO05

menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola portofolio

dikarenakan faktor Manajemen dan Sistem. Dari faktor Manajemen ada unsur

pencapaian manfaat, dimana belum ada aksi koreksi untuk meningkatkan realisasi

manfaat. Ada pula unsur Sumber Pendanaan, dimana belum ada pendefinisian

pengembalian harapan investasi. Dari faktor Sistem ada unsur pendanaan, dimana

belum ada penilaian untuk business case.

7/27/2019 BUTA 3.docx


54

V.1.3 Analisis Gap Proses APO11 – Mengelola Kualitas


APO11 tiap levelnya.Berikut ini merupakan tabel gap pada proses APO11.


Proses

TI

Process Attribute

(PA)

HasilPenilaian

(%)

TargetOptimal

(%)

Gap

(%)

APO11

PA 1.1 87%

100%

13%

PA 2.1 50% 50%

PA 2.2 0% 100%

PA 3.1 0% 100%

PA 3.2 0% 100%

Proses APO11 memiliki gap sebesar 13% pada PA 1.1, gap sebesar 50% pada PA 2.1

dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut

menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan

kualitas di Politeknik Telkom dinilai masih rendah karena hanya mencapai skala 1

( performed process) dari capability level.

Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yangada pada proses APO11.

7/27/2019 BUTA 3.docx


55



menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola kualitas

dikarenakan faktor sistem, manajemen dan keterampilan. Faktor sistem ada unsur

perbaikan berkelanjutan, dimana Politeknik Telkom belum melakukan benchmarking

hasil tinjauan kualitas data historis internal. Faktor manajemen ada unsur Quality

Management Service (QMS) dimana belum ada pendefinisian peran, tanggung jawab

dan pengambilan keputusan untuk QMS. Selain itu ada unsur standar manajemen

kualitas dimana belum ada pertimbangan manfaat dan sertifikasi mutu. Terakhir ada

faktor keterampilan terdapat unsur sarana perbaikan berkelanjutan, dimana belum

dilaksanakan pelatihan dalam metode dan sarana perbaikan berkelanjutan.

V.1.4 Analisis Gap Proses APO12 – Mengelola Resiko


APO01 tiap levelnya. Berikut ini merupakan tabel gap pada proses APO12.


Proses

TI

Process

Attribute(PA)

Hasil

Penilaian(%)

Target

Optimal(%)

Gap

(%)

APO12

PA 1.1 8%

100%

92%

PA 2.1 0% 100%

PA 2.2 0% 100%

PA 3.1 0% 100%

PA 3.2 0% 100%

Proses APO12 memiliki gap sebesar 92% pada PA 1.1, dan gap sebesar 100% pada

PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan banyak sekali dokumen

dan base practice yang belum terpenuhi. Untuk pengelolaan resiko di Politeknik

Telkom berdasarkan hasil assesstment sangat rendah karena berada pada level

terendah yaitu 0 (incomplete process) pada capability level.

7/27/2019 BUTA 3.docx


56





menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola Resiko

dikarenakan faktor sistem, resiko dan manajemen. Faktor sistem terdapat unsur

pengumpulan data, diamana belum ada pengumpulan data di lingkungan kerja yang

berhubungan dengan resiko. Dari faktor manajemen ada unsur portofolio tindakan

manajemen, dimana belum ada proposal proyek untuk menurunkan resiko. Terakhir

faktor resiko terdapat unsur analisis resiko, dimana belum ada pendefinisian scenario

resiko TI dan hasil analisis resiko. Unsur selanjutnya ada profil resiko, dimana belum

ada pendokumentasian scenario resiko sesuai dengan fungsi dan area bisnis. Unsur

terakhir ada respon terhadap resiko, dimana belum ada penentuan akar penyebab

resiko.

7/27/2019 BUTA 3.docx


57

V.1.5 Analisis Gap Proses DSS02 – Mengelola Permintaan Layanan dan Insiden


DSS02 tiap levelnya.Berikut merupakan tabel gap pada proses DSS02.

Tabel V-5 Gap pada Proses DSS02

ProsesTI

Process Attribute

(PA)

Hasil

Penilaian(%)

Target

Optimal(%)

Gap (%)

DSS02

PA 1.1 100%

100%

0%

PA 2.1 100% 0%

PA 2.2 100% 0%

PA 3.1 100% 0%

PA 3.2 100% 0%

Dari hasil assessment didapat gap PA 1.1 hingga PA 3.2 dari proses DSS02 adalah

sebesar 0%, yang artinya seluruh dokumen dan base practice pengelolaan permintaan

layanan dan inseiden yang terdapat pada framework COBIT 5 sudah lengkap dan

dijalankan. Hasil ini menunjukkan bahwa proses DSS02 berada pada level 3

(established process) pada capability level, dimana sudah sesuai dengan target yang

ditetapkan oleh Politeknik Telkom.

V.1.6 Analisis Gap Proses DSS05 – Mengelola Layanan Keamanan


DSS05 tiap levelnya. Berikut merupakan tabel gap pada proses DSS05.


ProsesTI

Process

Attribute(PA)

Hasil

Penilaian(%)

Target

Optimal(%)

Gap (%)

DSS05

PA 1.1 88%

100%

12.%

PA 2.1 88.89% 11.11%

PA 2.2 0% 100%

PA 3.1 0% 100%

7/27/2019 BUTA 3.docx


58

PA 3.2 0% 100%

Proses DSS05 memiliki gap sebesar 12% pada PA 1.1, gap sebesar 11.11% pada PA

2.1 dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut

menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan

layanan keamanan di Politeknik Telkom dinilai masih rendah karena hanya mencapai

skala 1 ( performed process) dari capability level.


ada pada proses DSS05.

Gambar V-5 Sebab Akibat Gap pada Proses DSS05

Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses DSS05

menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola layanan

keamanan dikarenakan faktor manajemen dan keamanan. Faktor manajemen terdapat

unsur dokumen sensitif, dimana belum ada inventarisasi dokumen sensitif. Dan dari

faktor keamanan ada unsur Malware, dimana Politeknik Telkom belum memasang

perangkat proteksi terhadap malware.

7/27/2019 BUTA 3.docx


59

V.1.7 Analisis Gap Proses DSS06 – Mengelola Kontrol Proses Bisnis


DSS06 tiap levelnya. Berikut merupakan tabel gap pada proses DSS06.


ProsesTI

Process

Attribute(PA)

Hasil

Penilaian(%)

Target

Optimal(%)

Gap (%)

DSS06

PA 1.1 76%

100%

24.00%

PA 2.1 0% 100%

PA 2.2 0% 100%PA 3.1 0% 100%

PA 3.2 0% 100%

Proses DSS06 memiliki gap sebesar 24% pada PA 1.1, dan gap sebesar 100% pada

PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan dokumen dan base

practice yang belum terpenuhi. Untuk pengelolaan kontrol proses bisnis di

Politeknik Telkom dinilai masih rendah karena hanya mencapai skala 1 ( performed

process) dari capability level.


ada pada proses DSS06

Gambar V-6. Sebab Akibat Gap pada Proses DSS06

7/27/2019 BUTA 3.docx


60

Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses DSS06

menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola control

proses bisnis dikarenakan faktor sistem, manajemen dan keamanan. Faktor sistem

tedapat unsur aktivitas control, dimana Politeknik Telko belum memastikan

kepemilikan kunci aktivitas kontrol. Dari faktor manajemen terdapat unsur kesalahan

dan eksepsi, dimana belum ada dokumentasi bukti hasil koreksi kesalahan dan

koreksi. Dan dari faktor keamanan ada unsur alokasi hak akses, dimana belum ada

alokasi peran untuk aktivitas sensitif.

V.2 Analisis Prioritas

V.2.1 Kriteria Prioritas

Berikut ini merupakan kriteria prioritas yang dibagi berdasarkan manfaat, cost, dan

tingkat kemudahan implementasi.

a. Kriteria berdasarkan manfaat

Berikut ini merupakan tabel kriteria prioritas berdasarkan manfaat

Tabel V-8 Kriteria Prioritas Berdasarkan Manfaat

High Medium Low

Dampak positif dariimplementasi rekomendasi berpengaruh lebih dari

70% dari stakeholder

organisasi

Dampak positif dariimplementasi rekomendasi berpengaruh pada 50% -


organisasi

Dampak positif dariimplementasi rekomendasi berpengaruh kurang dari


organisasi

Adapun penilaian manfaat dihitung dengan menggunakan kriteria intangible. Manfaat

dikatakan high apabila dampak positif dari implementasi rekomendasi berpengaruh

ke seluruh stakeholder organisasi. Sedangkan manfaat dikatakan medium jika dampak

positif dari implementasi rekomendasi berpengaruh ke sebagian stakeholder. Dan

kriteria low jika manfaat dari implementasi rekomendasi berpengaruh ke sebagian

kecil dari stakeholder.

7/27/2019 BUTA 3.docx


61

b. Kriteria berdasarkan cost

Berikut ini merupakan tabel kriteria prioritas berdasarkan cost.

Tabel V-9 Kriteria Prioritas Berdasarkan Cost

High Medium Low

Lebih dari Rp. 20.000.000 Antara Rp.10.000.000

sampai Rp.20.000.000

Kurang dari Rp.10.000.000

Cost ditentukan berdasarkan rata-rata gaji per bulan SDM TI di Politeknik Telkom.

Cost dikatakan high apabila cost yang dibutuhkan lebih dari Rp. 20.000.000 per

bulan, sedangkan cost dikatakan medium jika cost yang dibutuhkan antara Rp.

10.000.000 sampai Rp. 20.000.000. Dan kriteria low apabila cost yang dibutuhkankurang dari Rp. 10.000.000 per bulan.

c. Kriteria berdasarkan tingkat kemudahan implementasi

Berikut ini merupakan tabel kriteria prioritas berdasarkan kemudahan implementasi

Tabel V-10 Kriteria Prioritas Berdasarkan Kemudahan Implementasi

High Medium Low

5 orang atau lebih Antara 3 sampai 4 orang Antara 1 sampai 2 orang

Tingkat kemudahan implementasi ditentukan berdasarkan banyaknya orang yang

melakukan rekomendasi terkait. Implementasi dikatakan high apabila implementasi

dilakukan oleh 5 orang atau lebih . Sedangkan implementasi dikatakan medium jika

implementasi dilakukan oleh 3 – 4 orang. Untuk kriteria low jika implementasi

dilakukan oleh 1 – 2 orang.

V.2.2 Penentuan Skala Prioritas

Adapun cara dalam menentukan skala prioritas untuk rekomendasi perbaikan adalah

dengan cara memberikan bobot untuk masing-masing rekomendasi. Bobot diberikan

dengan mempertimbangkan tiga aspek, yaitu manfaat dari implementasi, cost yang

dibutuhkan untuk mengimplementasikan rekomendasi, dan tingkat kemudahan untuk

7/27/2019 BUTA 3.docx


62

melakukan implementasi rekomendasi. Berdasarkan hasil analisis prioritas terhadap

168 rekomendasi, didapatkan skala prioritas 1 hingga 5 dari rekomendasi perbaikan

yang diberikan. Berikut merupakan grafik yang menunjukkan distribusi skala

prioritas rekomendasi.

Gambar V-7 Distribusi Prioritas

Detail selengkapnya pembobotan pada analisis prioritas terdapat di lampiran I.

V.3 Rekomendasi

V.3.1 Rekomendasi Perbaikan Proses APO01 – Mengelola I T Management

Framework

Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk

perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang

belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga

nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target

optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala

prioritas rekomendasi pada proses APO01.

57

2

42

13

55

0

10

20

30

40

50

60

1 2 3 4 5

Jumlah Rekomendasi

Jumlah Rekomendasi

7/27/2019 BUTA 3.docx


63

Tabel V-11 Distribusi Prioritas Rekomendasi APO01.

Prioritas Jumlah Rekomendasi

1 4

2 13 4

4 0

5 11

Rekomendasi untuk APO01 diantaranya menciptakan stretegi TI komite di dewan

direksi, menetapkan peran dan tanggung jawab yang berhubungan dengan TI pada

semua personil di perusahaan, dan membuat analisis keputusan yang diperlukan

untuk menciptakan outcome dan strategi TI. Untuk rekomendasi selengkapnya

terlampir pada Lampiran .

V.3.2 Rekomendasi Perbaikan Proses APO05 – Mengelola Portofolio







Tabel V-12 Distribusi Prioritas Rekomendasi APO05


1 5

2 1

3 10

4 6

5 5

Rekomendasi untuk APO05 diantaranya melakukan monitor sumber pendanaan,

menentukan kandidat program yang akan dimasukkan ke dalam portofolio aktif,

mendokumentasikan laporan manajemen untuk manajemen senior, dan

7/27/2019 BUTA 3.docx


64

mempertimbangkan bimbingan dari pihak luar atau benchmarking untuk menguji

matriks dan meningkatkan target. Untuk rekomendasi selengkapnya terlampir pada

Lampiran .

V.3.3 Rekomendasi Perbaikan Proses APO11 – Mengelola Kualitas







Tabel V-13Distribusi Prioritas Rekomendasi APO11


1 9

2 0

3 7

4 4

5 7

Rekomenasi untuk APO11 diantaranya membuat pertimbangan manfaat dan

sertifikasi mutu, memberikan pelatihan kepada karyawan dalam metode dan sarana

perbaikan, dan melakukan penyelarasan manajemen mutu TI dengan sistem mutu

perusahaan. Untuk rekomendasi selengkapnya terlampir pada Lampiran.

V.3.4 Rekomendasi Perbaikan Proses APO12 – Mengelola Resiko







7/27/2019 BUTA 3.docx


65

Tabel V-14 Distribusi Prioritas Rekomendasi APO12


1 26

2 03 10

4 1

5 11

Rekomendasi untuk proses APO12 adalah diantaranya mendokumentasikan kinerja

proses dan melakukan base practice mengenai aktivitas yang terkait dengan proses

mengelola resiko, selain itu juga melakukan monitoring kinerja dan output proses

dan mampu mendefinisikan dan mengimplementasikan proses pengelolaan resikosesuai dengan prosedur. Untuk rekomendasi selengkapnya tercantum di lampiran .

V.3.5 Rekomendasi Perbaikan Proses DSS02 – Mengelola Permintaan Layanan

dan Insiden

Pada proses ini semua dokumen telah didokumentasikan dan telah dilaksanakan oleh

Politeknik Telkom, sehingga telah mencapai target dari capability level yang telah

ditetapkan yaitu pada skala 3.

V.3.6 Rekomendasi Perbaikan Proses DSS05 – Mengelola Layanan Keamanan






prioritas rekomendasi pada proses DSS05.

7/27/2019 BUTA 3.docx


66

Tabel V-15 Distribusi Prioritas Rekomendasi DSS05


1 5

2 03 2

4 1

5 10

Rekomendasi untuk DSS05 diantaranya memasang proteksi terhadap software

berbahaya, mendokumentasikan proses pengelolaan layanan keamanan, dan

mendefinisikan requirement untuk output hasil dari pengelolaan layanan keamanan.

Untuk rekomendasi selengkapnya terlampir pada Lampiran.

V.3.7 Rekomendasi Perbaikan Proses DSS06 – Mengelola Kontrol Proses Bisnis






prioritas rekomendasi pada proses DSS06.

Tabel V-16 Distribusi Proses Perbaikan DSS06


1 8

2 0

3 9

4 1

5 11

Rekomendasi untuk DSS06 diantaranya membentuk sebuah prioritas aktivitas kontrol

berdasarkan resiko pada bisnis yang mungkin dihadapi, membuat penanganan output

yang diotorisasi, dan melakukan komunikasi efektif dan mendefinisikan tanggung

7/27/2019 BUTA 3.docx


67

jawab antar pihak yang terlibat dalam proses pengelolaan kontrol proses bisnis.

Untuk rekomendasi selengkapnya terlampir pada Lampiran.

7/27/2019 BUTA 3.docx


68

BAB VI

KESIMPULAN DAN SARAN

VI.1 Kesimpulan

VI.1.1 Hasil Penilaian

Berdasarkan hasil penilaian layanan akademik di Politeknik Telkom pada domain

APO dan DSS dengan menggunakan framework COBIT 5 diperoleh hasil capability

level sebagai berikut:

Gambar VI-1Capability Level Domain APO dan DSS

Dari hasil penilaian diperoleh bahwa ada 1 proses yang berada pada level 0 atau

incomplete Process yaitu APO12, 5 proses yang berada pada level 1 atau performed

process yaitu APO01, APO05, APO11, DSS05 dan DSS06. Dan 1 proses yang berada

pada level 3 atau established process yaitu DSS02.

VI.1.2 Rekomendasi

Berikut ini merupakan rekomendasi yang disusun untuk membantu Politeknik

Telkom dalam mencapai target optimalnya di skala 3 capability level.

0

1

2

3

4

Capability 0 Capability 1 Capability 3

Domain APO

DomainDSS

7/27/2019 BUTA 3.docx


69

1. Merencanakan dan menetukan prosedur untuk setiap proses sehingga setiap

proses tersebut mampu mencapai hasil yang optimal. Dari hasil penilaian

didapat hasil bahwa Politeknik Telkom masih belum optimal dalam

pengelolaan prosedur untuk membantu mencapai hasil optimal.

2. Melakukan dan mengimplementasikan analisis pengelolaan resiko untuk

mengantisipasi kemungkinan resiko yang terjadi. Dari hasil penilaian didapat

hasil bahwa Politeknik Telkom masih belum optimal dalam pengelolaan

resiko

3. Melakukan dan mengkomunikasikan perencanan strategi dengan matang,

sehingga semua pihak dapat memahami arahan dan tujuan perencanaan tersebut

dengan tepat.

VI.1.3 Saran

Berikut ini merupakan saran yang diberikan untuk Politeknik Telkom dan penelitian

selanjutnya.

a. Bagi Politeknik Telkom

1. Mengimplementasikan rekomendasi yang telah diberikan sesuai dengan

prioritasnya

2.

Melakukan audit TI untuk mengetahui tingkat keamanan dan jaringan pada

Politeknik Telkom

b. Bagi penelitian selanjutnya

Melakukan penelitian tentang audit TI untuk mengetahui tingkat keamanan dan

jaringan di Politeknik Telkom

7/27/2019 BUTA 3.docx


DAFTAR PUSTAKA

1. Wardana, Wawan. (2002). Perkembangan Teknologi Informasi di Indonesia.

2. IT Governance. http://www.itgovernance.co.uk (accessed Januari 17, 2013).

3. Politeknik Telkom. 2012. http://www.politekniktelkom.ac.id/ (accessed

Desember 23, 2012).

4. Webber, Ron. (2000). Information System Controls and Audit.

5. ISACA. www.isaca.org (accessed Desember 24, 2012).

6.

The UK Chapter of the itSM. (2007). An Introductory Overview of ITIL V3..

7. Martin E, Wainright., Brown V. Carol., DeHayes W. Daniel., Hoffer A.

Jeffrey.,Perkins C. William. (2005). Managing Information Technology.

8. William dan Sawyer. (2007). Using Information Technology.

9. Tarigan, Joshua. (2006 ). Merancang It Governance Dengan Cobit & Arbanes-

Oxley Dalam Konteks Budaya Indonesia.

10. Hannover Research. (2008). Governance of Information Technology in

Higher Education.

11.

Mutyarini, Kuswardani, Sembiring, Jaka. (2006). Arsitektur Sistem

Informasi untuk Institusi Perguruan Tinggi.

12. Suharto, Ignatius. (2004). Perekayasaan Metodologi Penelitian.

BUTA 3.docx

Documents

Transcript of BUTA 3.docx