TESIS
Diajukan sebagai salah satu syarat untuk memperoleh gelar Master pada Program Studi Magister Sistem Informasi
Oleh : Ginanjar Adi Pratama 5710111069
FAKULTAS PASCA SARJANA
PROGRAM STUDI MAGISTER SISTEM INFORMASI
UNIVERSITAS KOMPUTER INDONESIA
v LEMBAR PERNYATAAN KEASLIAN
ABSTRAK i
ABSTRACT ii
KATA PENGANTAR iii
DAFTAR ISI v
DAFTAR GAMBAR viii
DAFTAR TABEL ix
DAFTAR LAMPIRAN
BAB I PENDAHULUAN
1.1. Latar Belakang Penelitian 1
1.2. Rumusan Masalah 3
1.3. Tujuan Penelitian 3
1.4. Manfaat Penelitian 4
1.5. Pembatasan Masalah dan Asumsi 4
1.6. Sistematika Penulisan 5
BAB II TINJAUAN PUSTAKA
2.1. Risiko 6
2.1.1. Definisi Risiko 6
2.2. Manajemen Risiko 7
2.2.1. Definisi Manajemen Risiko 7
2.3. Teknologi Informasi 9
2.3.1. Definisi Teknologi Informasi 9
2.4.Control Objective for Information and related Technology(COBIT) 10
2.4.1. COBITOverview 10
vi
2.4.2.5.Process Capability Model 21
2.4.2.6. MenghitungProcess Capability Level 24
BAB III OBJEK DAN METODOLOGI PENILITIAN
3.1. Tinjauan Organisasi 25
3.1.1. Overview Politeknik X 25
3.1.2. Visi, Misi dan Sasaran Politeknik X 27
3.1.3. Struktur Organisasi Politeknik X 29
3.1.4. Proses Bisnis Politeknik X 30
3.1.1.1. Aktifitas Utama 30
3.1.1.2. Aktifitas Pendukung 31
3.2. Metode Penelitian 32
3.2.1. Metode Pengumpulan Data 33
3.2.1.1. Data Primer 33
3.2.1.2. Data Sekunder 33
3.2.2. Tahapan Tata Kelola TI terkait Risiko pada POLITEKNIK X dengan
COBIT 5 33
3.2.3. Membuat Rekomendasi 45
BAB IV PEMBAHASAN DAN HASIL PENELITIAN
4.1. Mengidentifikasi KebutuhanStakeholder 46
4.2.Scoring COBIT 5Enterprise Goalsterpilih dalam COBIT 5 50
4.3. MemetakanEnterprise Goals ke IT-related Goals 52
4.4. Identifikasi COBIT 5 proses terpilih 53
4.5. Proses PenilaianCapabilityLevel Proses COBIT 5 54
vii
5.1. Kesimpulan 144
5.2. Saran 145
[1] Hopkin, Paul. (2010). Fundamentals Of Risk Management Understanding,
Evaluating And Implementing Effectiverisk Management.Kogan Page
Limited: London
[2] IT Governance Institute. (2004)Board Briefing on IT Governance2nd
Edition.IT Governance Institute.
[3] IT Governance Institute. (2007). COBIT Student Book. IT Governance
Institute.
[4] IT Governance Institute. (2007).COBIT 4.1. IT Governance Institute.
[5] IT Governance Institute. (2010).COBIT 5.IT Governance Institute.
[6] Maulana, Muhammad Mahreza. Supangkat, Suhono Harso. (2006).
Framework Manajemen Resiko Teknologi Informasi Untuk Perusahaan Di
Negara Berkembang. Prosiding Konferensi Nasional Teknologi Informasi &
Komunikasi untuk Indonesia.
[7] Stoneburner, Gary. Goguen, Alice. Feringa, Alexis. 2002.Risk Management
Guide for Information Technology Systems. National Institute of Standards
and Technology
[8] Vaughan, Emmett J. Vaughan, Therese M. (2007).Fundamentals Of Risk
[10] The Institute of Risk Management. What is risk management.
http://www.theirm.org/aboutheirm/ABwhatisrm.htm. Diakses 29 Januari
2013.
[11] Crockford, Neil (1986). An Introduction to Risk Management (2nd ed.).
Woodhead-Faulkner. 0-85941-332-2.
[12] Alvin. Soekamto, Wongso. Harsono, Rini. 2013. Analisis dan Evaluasi Tata
Kelola IT Pada PT FIF Dengan Standar COBIT 5. Universitas Bina
iii
memberikan kemudahannya kepada Penyusun dalam menyelesaikan tesis ini
dengan baik tanpa kendala yang begitu berarti. Tesis ini menjadi syarat untuk
mendapatkan gelar Master di Magister Sistem Informasi, Fakultas Pasca Sarjana,
Universitas Komputer Indonesia tempat dimana Penyusun menempuh studi.
Tesis yang Penyusun buat ini bukanlah berarti apa-apa tanpa dukungan,
bantuan dan doa dari orang-orang di sekeliling Penyusun. Dalam kesempatan ini
Penyusun ingin mngucapkan terima kasih kepada :
1. Bapak DR. Ir. Edy Soeryanto Soegoto sebagai Rektor Universitas
Komputer Indonesia.
2. Bapak DR. Herman S. Soegoto, MBA sebagai Dekan Fakultas Pasca
Sarjana.
3. Bapak DR. Ir. Yeffri Handoko Putra, M.T sebagai Ketua Program
Studi Magister Sistem Informasi.
4. Ibu DR. Janivita Joto Sudirham, M.Sc sebagai dosen pembimbing 1
yang selalu memberikan masukan dan dorongan sehingga dapat
terselesaikannya tesis ini.
5. Ibu Imelda S.T, M.T sebagai Dosen pembimbing 2 yang juga selalu
memberikan masukannya.
6. Semua pihak yang terlibat ditempat Penyusun melakukan penelitian
iv
9. Kepada seluruh rekan-rekan MSI-2 yang telah menjadi teman-teman
terhebat, partner-partner terbaik dan persaudaraan yang tererat selama
2 tahun ini.
10. Kepada semua pihak yang telah membantu baik secara langsung
ataupun tidak.
Dalam tesis ini Penyusun mengharapkan saran dan kritik untuk kebaikan
dimasa yang akan datang. Akhir kata semoga Allah SWT membalas kebaikan
semua orang yang telah membantu penyusunan tesis ini. Semoga tesis ini dapat
bermanfaat bagi Penyusun maupun bagi pihak-pihak yang berkepentingan.
Bandung, Februari 2014
1
1.1. Latar Belakang Penelitian
Saat ini teknologi informasi (TI) menjadi bagian yang signifikan bagi
organisasi. TI berperan dalam mendukung tujuan bisnis organisasi dengan
menyediakan wadah informasi dan komunikasi yang cepat, mudah, dan akurat,
meningkatkan efektifitas dan efisiensi proses bisnis, mendukung pengambilan
keputusan, serta mendukung inovasi organisasi untuk berkembang. Untuk dapat
menjaga fungsi TI agar mampu memberikan peluang strategis bagi bisnis
organisasi, dibutuhkan sebuah tata kelola TI yang baik. Tata kelola atau
governance berfungsi untuk memastikan bahwa kebutuhan, kondisi, dan pilihan
stakeholder dievaluasi agar sesuai dengan tujuan organisasi, menetapkan prioritas
dalam pengambilan keputusan, dan memonitor kinerja berdasarkan tujuan dan
arahan. Dalam TI organisasi, selalu ditemukan adanya risiko. Risiko ini dapat
menimbulkan kegagalan dari penerapan TI tersebut. Maka dari itu, dalam
penerapannya dibeberapa organisasi telah banyak dilakukan usaha untuk
menghilangkan risiko-risiko yang mungkin timbul. Namun, pada kenyataannya
risiko tidaklah mungkin sepenuhnya dihilangkan. Risiko memang tidak dapat
dihilangkan, akan tetapi dapat dilakukan usaha untuk mengurangi kemungkinan
terjadi risiko tersebut.
Dampak yang dapat ditimbulkan oleh risiko dalam sebuah sistem TI dapat
yang dikeluarkan untuk mengembangkan suatu sistem atau teknologi informasi
tersebut, dukungan pihak manajemen terhadap perencanaan TI, atau dapat juga
berimbas pada waktu penerapan dari sistem atau teknologi informasi yang
direncanakan. Tentu saja masih banyak aspek lain yang dapat terganggu dengan
adanya risiko, oleh karena itu risiko harus dapat diminimalisir.
POLITEKNIK X merupakan institusi perguruan tinggi swasta yang
terkemuka di kota Bandung, dimana TI sebagai pendukung dalam pencapaian visi
POLITEKNIK X. Sebagai pendukung proses bisnis organisasi, TI di
POLITEKNIK X menjadi penting dan menimbulkan risiko karena hampir
diseluruh aktifitas lini operasional pasti memanfaatkan TI, seperti bagian
akademik misalnya yang menjadicore business dari POLITEKNIK X, kemudian
bagian keuangan dan bagian-bagian lain yang menjadi penggerak aktifitas di
POLITEKNIK X, oleh karena itu guna mengoptimalkan TI yang ada maka
diperlukan evaluasi dari kondisi TI saat ini yang terkait risiko di POLITEKNIK
X. Proses evaluasi dapat dilakukan dengan cara mengukur tingkat kondisi saat ini
dari tata kelola yang terkait risiko di POLITEKNIK X, sehingga nantinya dari
hasil pengukuran tersebut didapat rekomendasi-rekomendasi untuk melakukan
perbaikan.
Salah satu kerangka kerja (framework) dalam melakukan evaluasi terkait
risiko TI adalah dengan menggunakan Control Objective for Information and
related Technologyatau yang lebih sering disingkat dengan nama COBIT. COBIT
dirilis dan disusun oleh IT Governance Institute (ITGI) yang merupakan bagian
dalam pengelolaan TI diberbagai bentuk organisasi. COBIT 5 dipilih karena
dalam COBIT versi ini memperbaiki lebih jauh model proses dan memberi
pemisahan yang jelas antara proses dalam lingkup tata kelola dan
proses-proses dalam lingkup manajemen sehingga memberikan kejelasan pada
fungsi-fungsi manajemen dan tata kelola dalam sebuah organisasi.
1.2. Rumusan Masalah
Berdasarkan hal yang dikemukakan pada latar belakang penelitian diatas,
maka akan memunculkan beberapa masalah sekaligus nantinya masalah-masalah
tersebut akan dijawab melalui penelitian ini. Perumusan masalah yang akan
menjadi fokus utama dalam penelitian ini adalah :
1. Bagaimana mengetahui kondisi saat ini dari tata kelola TI di
POLITEKNIK X yang terkait risiko berdasarkan process capability
modelCOBIT 5?
2. Bagaimana menganalisis gap antara kondisi TI saat ini dengan target
capability leveldari POLITEKNIK X?
1.3. Tujuan Penelitian
Tujuan yang ingin dicapai dalam penelitian ini adalah :
1. Mengetahui tingkat capability level saat ini dari tata kelola TI di
POLITEKNIK X yang terkait risiko.
2. Mendapatkan hasil analisis gap antara kondisi TI saat ini dengan target
1.4. Manfaat Penelitian
Secara teoritis, manfaat dari penelitian yang penulis lakukan diharapkan
dapat menjadi referensi bagi peneliti lain dalam kajian yang dikemudian hari
mungkin akan terus dikembangkan. Secara praktis, bagi organisasi diharapkan
dapat memberikan sebuah kontribusi positif baik secara teori maupun
implementasi guna mencapai tujuan POLITEKNIK X. Dalam penelitian ini juga
diharapkan manfaat yang didapat adalah :
1. POLITEKNIK X dapat mengetahui kondisi tata kelola TI yang terkait
risiko mereka saat ini.
2. Menghasilkan kontribusi positif bagi POLITEKNIK X dalam mengelola
TI mereka sehingga dapat mengoptimalkan kinerja organisasi saat ini dan
dimasa yang akan datang.
1.5. Pembatasan Masalah dan Asumsi
Penelitian ini dibatasi pada beberapa poin, hal ini penting guna menghindari
ketidakfokusan dalam membahas inti dari penelitian. Batasan-batasan ini meliputi
:
1. Studi kasus dilakukan di POLITEKNIK X.
2. Framework yang digunakan dalam melakukan audit TI adalah COBIT
versi 5 yang diterbitkan oleh ISACA.
3. Audit yang dilakukan adalah hingga tahap analisisgapantara kondisi TI
1.6. Sistematika Penulisan
Sistematika penulisan penelitian yang penulis susun dilakukan sebagai
berikut :
Bab I Pendahuluan
Bab ini memuat pokok-pokok yang menjadi latar belakan pemilihan
topik penelitian, identifikasi masalah, tujuan penelitian, manfaat
penelitian, pembatasan masalah dan asumsi serta sistematika penulisan
penelitian.
Bab II Tinjauan Pustaka
Bab ini memuat dasar-dasar teori tentang konsep audit TI, tata kelola TI
serta penjelasan umum mengenai COBIT dalam versi 5.
Bab III Objek dan Metode Penelitian
Bab ini mengelaborasi kondisi saat ini yaitu POLITEKNIK X meliputi
visi, misi, tujuan dan strategi bisnis, serta metodologi yang digunakan
dalam melakukan penelitian ini.
Bab IV Pembahasan dan Hasil Penelitian
Pada bab ini dijelaskan mengenai hasil dari penelitian dan pembahasan
yang telah dilakukan.
Bab V Kesimpulan dan Saran
6
2.1. Risiko
2.1.1. Definisi Risiko
Risiko berhubungan dengan ketidakpastian, ini terjadi oleh karena kurang
atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu
yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan.
Menurut Wideman, ketidakpastian yang menimbulkan kemungkinan
menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan
ketidakpastian yang menimbulkan akibat yang merugikan dikenal dengan istilah
risiko (risk). Secara umum risiko dapat diartikan sebagai suatu keadaan yang
dihadapi seseorang atau perusahaan dimana terdapat kemungkinan yang
merugikan.
Vaughan (1997:18) mengemukakan beberapa definisi risiko sebagai
berikut :
1. Risk is the chance of loss (risiko adalah kans kerugian)
Chance of Loss dipergunakan untuk menunjukkan suatu keadaan
dimana terdapat suatu keterbukaan terhadap kerugian atau suatu
kemungkinan kerugian. Sebaliknya jika disesuaikan dengan istilah
yang dipakai dalam statistik, maka chance sering dipergunakan untuk
menunjukkan tingkat probabilitas akan munculnya situasi tertentu.
Istilahpossibilityberarti bahwa probabilitas sesuatu peristiwa berada di
antara nol dan satu. Definisi ini sangat mendekati dengan pengertian
risiko yang dipakai sehari-hari, kurang cocok dipakai dalam analisis
secara kuantitatif.
3. Risk is uncertainty(risiko adalah ketidakpastian)
Risiko selalu berhubungan dengan ketidakpastian.
2.2. Manajemen Risiko
2.2.1. Definisi Manajemen Risiko
Manajemen risiko adalah suatu pendekatan terstruktur atau metodologi
dalam mengelola ketidakpastian yang berkaitan dengan ancaman dan merupakan
suatu rangkaian aktifitas manusia termasuk : penilaian risiko, pengembangan
strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan
pemberdayaan sumberdaya. Strategi yang dapat diambil antara lain adalah
memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek
negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu.
Manajemen risiko tradisional terfokus pada risiko-risiko yang timbul oleh
penyebab fisik atau legal seperti bencana alam atau kebakaran, kematian, serta
tuntutan hukum.
Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi
risiko yang berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada
tingkat yang dapat diterima oleh masyarakat. Hal ini dapat berupa berbagai jenis
politik. Di sisi lain pelaksanaan manajemen risiko melibatkan segala cara yang
tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia, staff,
dan organisasi).
Pengertian manajemen risiko menurut beberapa ahli sebagai berikut :
1. Manajemen risiko sebagai suatu pendekatan yang komprehensif untuk
menangani semua kejadian yang menimbulkan kerugian (Clough and
Sears, 1994).
2. Manajemen risiko juga merupakan suatu aplikasi dari manajemen
umum yang mencoba untuk mengidentifikasi, mengukur, dan
menangani sebab dan akibat dari ketidakpastian pada sebuah
2.3. Teknologi Informasi
2.3.1. Definisi Teknologi Informasi
Teknologi Informasi (TI) adalah istilah umum untuk teknologi apa pun
yang membantu manusia dalam membuat, mengubah, menyimpan,
mengomunikasikan dan atau menyebarkan informasi. TI menyatukan komputasi
dan komunikasi berkecepatan tinggi untuk data, suara, dan video. Contoh dari
Teknologi Informasi bukan hanya berupa komputer pribadi, tetapi juga telepon,
TV, peralatan rumah tangga elektronik, dan piranti genggam modern.
Pengertian teknologi informasi menurut beberapa ahli teknologi informasi
:
1. Teknologi Informasi adalah studi atau peralatan elektronika, terutama
komputer, untuk menyimpan, menganalisa, dan mendistribusikan
informasi apa saja, termasuk kata-kata, bilangan, dan gambar (kamus
Oxford, 1995).
2. Teknologi Informasi adalah seperangkat alat yang membantu anda
bekerja dengan informasi dan melaksanakan tugas-tugas yang
berhubungan dengan pemrosesan informasi(Haag & Keen, 1996).
3. Teknologi Informasi tidak hanya terbatas pada teknologi komputer
(software & hardware) yang digunakan untuk memproses atau
menyimpan informasi, melainkan juga mencakup teknologi komunikasi
4. Teknologi Informasi adalah segala bentuk teknologi yang diterapkan
untuk memproses dan mengirimkan informasi dalam bentuk elektronis
(Lucas, 2000).
5. Teknologi Informasi adalah teknologi yang menggabungkan komputasi
(komputer) dengan jalur komunikasi berkecepatan tinggi yang
membawa data, suara, dan video(William & Sawyer, 2003).
Dalam konteks bisnis, Information Technology Association of America
menjelaskan pengolahan, penyimpanan dan penyebaran vokal, informasi
bergambar, teks dan numerik oleh mikro elektronika berbasis kombinasi
komputasi dan telekomunikasi. Istilah dalam pengertian modern pertama kali
muncul dalam sebuah artikel 1958 yang diterbitkan dalam Harvard Business
Review, di mana penulis Leavitt dan Whisler berkomentar bahwa “Teknologi baru
belum memiliki nama tunggal yang didirikan. Kita akan menyebutnya teknologi
informasi (TI)”. Beberapa bidang modern dan muncul teknologi informasi adalah
generasi berikutnya teknologi web, bioinformatika, cloud computing, sistem
informasi global, skala besar basis pengetahuan dan lain-lain.
2.4. Control Objective for Information and related Technology(COBIT)
2.4.1. COBITOverview
Control Objective for Information and related Technology atau yang lebih
dikenal sebagai COBIT dirilis dan disusun oleh IT Governance Institute (ITGI)
yang merupakan bagian dari ISACA (Information Systems Audit and Control
versi kedua tahun 1998, versi 3.0 di tahun 2000, versi 4.0 pada tahun 2005 dan
COBIT 4.1 dirilis pada tahun 2007 serta versi terakhir yang baru saja dirilis tahun
2011 adalah COBIT versi 5.
2.4.2. COBIT Versi 5
COBIT 5 menggabungkan COBIT 4.1, Val IT 2.0 dan Risiko TI serta
konsep-konsep dari Model Bisnis Informasi untuk kerangka kerja yang rinci bagi
tata kelola dan manajemen yang efektif dari TI yang mengaktifkan bisnis. COBIT
4.1 memastikan bahwa TI bekerja seefektif mungkin untuk memaksimalkan
keuntungan dari investasi teknologi, Val IT membantu perusahaan membuat
keputusan yang lebih baik tentang di mana untuk berinvestasi, memastikan bahwa
investasinya konsisten dengan strategi bisnis. COBIT 4.1 menyediakan satu set
kontrol untuk mengurangi risiko TI dalam proses TI sementara RiskIT
menyediakan kerangka kerja bagi perusahaan untuk mengidentifikasi, mengatur
dan mengelola risiko yang berhubungan dengan TI.
COBIT 5 adalah kerangka end-to-end yang menggabungkan banyak
kerangka kerja serta dirancang untuk memenuhi kebutuhan stakeholder saat ini.
COBIT 5 fokus pada tata kelola dan manajemen informasi perusahaan. COBIT 5
mengadopsi pandangan ISO 38500 mengenai perlunya tata kelola TI dan
manajemen TI dan menggunakan model Evaluate, Direct and Monitor ISO
38500. COBIT 5 mengarahkan TI dan bidang fungsional bisnis di seluruh
perusahaan serta mempertimbangkan kepentingan TI yang berhubungan dari
investasi IT dengan m
n menjaga keseimbangan antara pengoptimala
nfaat.
alam COBIT 5
dibangun di atas 5 prinsip utama untuk
ogi informasi perusahaan. Berikut ini pemapa
BIT 5 :
ar 2.2.Prinsip-Prinsip COBIT 5 (COBIT 5, 2012
1 : Memenuhi KebutuhanStakeholder
haan ada untuk menciptakan nilai bagi pa
, sehingga penciptaan nilai merupakan tujuan ta
haan. Penciptaan nilai berarti menyadari m
optimalkan biaya sumber daya, sementar
optimalkan risiko.
alan tingkat risiko
uk tata kelola dan
aparan mengenai
2012)
para stakeholder
n tata kelola semua
manfaat dengan
Gambar 2
ar 2.3.Objektif Tata Kelola : Penciptaan Nilai (C
2 : MeliputiEnd-to-EndPerusahaan
5 mengintegrasikan tata kelola TI perusaha
perusahaan, karena meliputi organisasi seca
tidak hanya pada fungsi TI). Hal ini juga menc
erhubungan dengan TI sehingga memberika
ntegrasikan kerangka kerja lainnya, standar da
an.
3 : Menerapkan Kerangka Tunggal yang T
akan standar TI terkait dan praktik terbaik ha
tertentu dari kegiatan TI, COBIT sejalan denga
elevan dan kerangka kerja pada tingkat t
buat kerangka kerja menyeluruh untuk ta
men perusahaan TI.
4 : Mengaktifkan Pendekatan Holistik
i (COBIT 5, 2012)
usahaan dalam tata
secara keseluruhan
ncakup semua hal
ikan dasar untuk
dan praktek yang
g Terintegrasi
k hanya mengatasi
dengan standar lain
tinggi sehingga
Tata kelola yang efektif dan manajemen TI perusahaan membutuhkan
pendekatan TI secara menyeluruh, COBIT 5 mengimplementasikan
tata kelola yang komprehensif dan manajemen perusahaan TI melalui
enabler. Enabler adalah hal-hal yang memungkinkan perusahaan
untuk mencapai tujuannya. COBIT 5 mendefinisikan 7 kategori
enabler,yaitu :
1. Prinsip, kebijakan dan kerangka kerja : merupakan alat untuk
menyampaikan tata cara yang diingikan melalui panduan
praktik untuk manajemen sehari-hari.
2. Proses : mendeskripsikan praktik dan aktifitas yang dikelola
untuk mencapai tujuan dan menghasilkan output dalam
mendukung tujuan terkait TI.
3. Struktur organisasi : entitas pengambilan keputusan penting
dalam organisasi.
4. Budaya, etika dan perilaku : hal ini baik bagi individu maupun
organisasi, merupakan salah satu faktor kesuksesan tata kelola
dan manajemen yang seringkali diremehkan.
5. Informasi : informasi menyebar di seluruh organisasi dan
mencakup semua informasi yang dihasilkan dan digunakan
oleh perusahaan. Informasi dibutuhkan agar organisasi tetap
berjalan dan dikelola dengan baik. Pada level operasional,
6. Layanan, infrastruktur dan aplikasi : termasuk infrastruktur,
teknologi dan aplikasi yang memberikan layanan dan proses TI
bagienterprise.
7. Manusia, keterampilan dan kompetensi : berhubungan dengan
manusia dan dibutuhkan untuk kesuksesan segala aktifitas,
serta untuk pengambilan tindakan dan keputusan yang tepat.
5. Prinsip 5 : Memisahkan Tata Kelola dari Manajemen
Kerangka kerja COBIT 5 membuat perbedaan yang jelas antara tata
kelola dan manajemen. Kedua disiplin ini secara fundamental
melayani tujuan yang berbeda, masing-masing meliputi berbagai jenis
kegiatan dan memerlukan struktur organisasi yang berbeda. Tata
kelola memastikan kebutuhan stakeholder, kondisi dan pilihan
dievaluasi untuk menentukan keseimbangan, sepakat pada tujuan
perusahaan yang ingin dicapai, menetapkan arah melalui prioritas dan
pengambilan keputusan, pemantauan kinerja dan kepatuhan terhadap
arah dan tujuan yang disepakati. Sedangkan manajemen disini
merencanakan, membangun, menjalankan dan memantau kegiatan
yang sejalan dengan arah yang ditetapkan oleh tata kelola untuk
2.4.2.2. Domain dan Proses COBIT 5
COBIT 5 memiliki 5 domain yang terbagi kedalam domain tata kelola
dan domain manajemen, setiap domain memiliki proses yang memungkinkan
untuk mencapai tujuannya. Satu domain tertuju pada tata kelola dan empat
domain lainnya mencakup manajemen.
2.4.2.3. Governance of Enterprise IT(GEIT)
Domain tata kelola TI perusahaan berisi lima proses, dimana didalam
setiap proses berisi tentang evaluate, directdan monitoring practice (EDM) yang
telah ditetapkan. Tabel dibawah ini berisi tingkat tinggi proses TI untuk domain
EDM.
Tabel 2.1.Proses TI untuk Domain EDM
EDM01 Memastikan Pengaturan Kerangka Kerja Tata Kelola dan Pemeliharaan
EDM02 Memastikan Penyampaian Manfaat
EDM03 Memastikan Optimasi Risiko
EDM04 Memastikan Optimasi Sumber Daya
2.4.2.4. Management of Enterprise IT
Domain manajemen TI perusahaan sejalan dengan bidang tanggung
jawabnya yaituplan, build, rundanmonitor(PBRM). Berikut ini adalah keempat
domain manajemen :
1. Align, Plan and Organize (APO),13 proses.
2. Build, Acquire and Implement (BAI),10 proses.
3. Deliver, Service and Support (DSS),6 proses.
4. Monitor, Evaluate and Assess (MEA),3 proses.
2.4.2.4.1. Align, Plan and Organize(APO)
Domain Align, Plan and Organize mencakup penggunaan informasi
dan teknologi dan bagaimana cara terbaik penggunaan informasi dan teknologi
dalam sebuah organisasi untuk membantu mencapai tujuan dan sasaran organisasi.
Domain ini juga melihat bentuk organisasi dan infrastruktur TI dalam rangka
untuk mencapai hasil yang optimal dan menghasilkan manfaat paling dari
Tabel 2.2.Proses TI untuk Domain APO
Proses Keterangan
APO01 Mengelola Kerangka Kerja Manajemen TI
APO02 Mengelola Strategi
APO03 Mengelola Enterprise Architecture
APO04 Mengelola Inovasi
APO05 Mengelola Portofolio
APO06 Mengelola Anggaran dan Biaya
APO07 Mengelola Hubungan Manusia
APO08 Mengelola Hubungan
APO09 Mengelola Perjanjian Layanan
APO10 Mengelola Pemasok
APO11 Mengelola Kualitas
APO12 Mengelola Risiko
APO13 Mengelola Keamanan
2.4.2.4.2. Build, Acquire and Implement(BAI)
Domain Build, Acquire and Implementmeliputi identifikasi kebutuhan TI,
penguasaan teknologi, dan pengimplementasiannya dalam proses bisnis
perusahaan saat ini. Tabel berikut berisi daftar tujuan pengendalian tingkat tinggi
Tabel 2.3.Proses TI untuk Domain BAI
Proses Keterangan
BAI01 Mengelola Program dan Proyek
BAI02 Manage Definisi Persyaratan
BAI03 Mengelola Identifikasi Solusi dan Membangun
BAI04 Mengelola Ketersediaan dan Kapasitas
BAI05 Mengelola Pemberdayaan Perubahan Organisasi
BAI06 Mengelola Perubahan
BAI07 Mengelola Penerimaan Perubahan dan Transisi
BAI08 Mengelola Pengetahuan
BAI09 Mengelola Aset
BAI10 Mengelola Konfigurasi
2.4.2.4.3. Deliver, Service and Support(DSS)
Domain Deliver, Service and Support berfokus pada aspek
penyampaian teknologi informasi. Ini mencakup bidang-bidang seperti eksekusi
aplikasi di dalam sistem TI dan hasil-hasilnya, serta proses pendukung yang
memungkinkan pelaksanaan sistem TI yang efektif dan efisien. Tabel berikut
Tabel 2.4.Proses TI untuk Domain DSS
Proses Keterangan
DSS01 Mengelola Operasi
DSS02 Mengelola Layanan Permintaan dan Insiden
DSS03 Mengelola Masalah
DSS04 Mengelola Keberlangsungan
DSS05 Mengelola Layanan Keamanan
DSS06 Mengelola Pengendalian Proses Bisnis
2.4.2.4.4. Monitor, Evaluate and Assess(MEA)
Domain Monitor, Evaluate and Assess berhubungan dengan strategi
perusahaan dalam menilai kebutuhan perusahaan dan menilai apakah sistem TI
saat ini masih memenuhi tujuan yang sudah dirancang dan pengendalian yang
diperlukan untuk memenuhi regulasi persyaratan. Pemantauan juga mencakup
masalah penilaian independen terhadap kemampuan efektivitas sistem TI untuk
memenuhi tujuan bisnis dan proses-proses pengendalian perusahaan oleh auditor
internal dan eksternal. Tabel berikut berisi daftar tujuan pengendalian tingkat
tinggi untuk domain MEA.
Tabel 2.5.Proses TI untuk Domain MEA
Proses Keterangan
MEA02 Monitor, Evaluasi dan Menilai Sistem Pengendalian Internal
MEA03 Mengevaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal
2.4.2.5. Process Capability Model
COBIT 5 meliputiprocess capability model berdasarkan ISO/IEC 15504
yang diakui secara internasional. Model ini akan mencapai tujuan keseluruhan
penilaian proses dan mendukung proses perbaikan, yaitu akan menyediakan
sarana untuk mengukur kinerja dari setiap proses tata kelola (berbasis EDM) atau
manajemen proses (berbasis PBRM), dan akan memungkinkan area perbaikan
dapat teridentifikasi. Skala Peringkat dariprocess capability modelini melibatkan
enam tingkat kemampuan, yaitu :
1. Level 0, Incomplete Process : Proses ini tidak dilaksanakan atau gagal
untuk mencapai tujuan prosesnya. Pada tingkat ini, ada sedikit bukti atau
bahkan tidak ada bukti setiap pencapaian sistematis dari tujuan proses.
2. Level 1, Performed Process (one attribute) : Proses dilaksanakan dan
mencapai tujuan prosesnya.
3. Level 2, Managed process (two attributes) : Proses yang dilakukan
sekarang diimplementasikan, dikelola (direncanakan, dimonitor dan
disesuaikan) dan produk kerja yang tepat ditetapkan, dikendalikan dan
dipelihara.
4. Level 3, Established Process (two attributes) : Proses yang dikelola kini
diterapkan menggunakan proses yang telah ditetapkan yang mampu
5. Level 4, Predictable Process (two attributes) : Proses yang ditetapkan
sekarang beroperasi dalam batas yang telah ditetapkan untuk mencapai
hasil prosesnya.
6. Level 5, Optimizing process (two attributes) : Proses diprediksi untuk
terus ditingkatkan untuk memenuhi tujuan bisnis yang relevan saat ini dan
tujunan bisnis masa datang.
Process capability model menggunakan skala peringkat ISO/IEC 15504
untuk menetapkan peringkat masing-masing tujuan tercapai. Peringkat ini seperti
dijelaskan pada tabel 2.6 dibawah ini :
Tabel 2.6. Persentase Peringkat (COBIT 5, 2012)
Abbreviation Description %Achieved
N Not achieved 0 to 15% achievement
P Partially achieved >15% to 50% achievement
L Largely achieved >50% to 85% achievement
F Fully achieved >85% to 100% achievement
1. Not achieved. Terdapat sedikit bukti atau bahkan tidak ada bukti dari
pencapaian atribut yang ditetapkan pada proses yang dinilai.
2. Partially achieved. Terdapat beberapa bukti dan beberapa pencapaian dari
atribut yang ditetapkan pada proses yang dinilai. Beberapa aspek
3. Largely achieved. Terdapat bukti pendekatan sistematis untuk proses yang
dinilai dan terdapat pencapaian yang signifikan. Beberapa kelemahan
terkait dengan atribut ini mungkin ada dalam proses yang dinilai.
4. Fully achieved. Terdapat bukti dari pendekatan yang lengkap dan
sistematis dari atribut yang ditetapkan dalam proses yang dinilai. Terdapat
bukti dari pendekatan yang lengkap dan sistematis terhadap pencapaian
keseluruhan. Tidak ada kelemahan signifikan yang berhubungan dengan
atribut ini ada dalam proses dinilai.
Dalam melakukan proses penilaian capability level proses COBIT,
masing-masing proses dicek secara bertahap apakah proses tersebut telah
memenuhi persyaratan-persyaratan yang harus dipenuhi pada masing-masing
level, mulai dari level 1 hingga level 5. Selain itu, terdapat ketentuan kategori dari
hasil penilaian ditiap levelnya, yaitu suatu proses cukup meraih kategori Largely
achieved (L) dengan range nilai berkisar 50-85% atauFully achieved (F) dengan
range nilai berkisar 85%-100% untuk dapat dinyatakan bahwa proses tersebut
telah meraih suatu level kapabilitas tersebut, namun proses tersebut harus meraih
kategoriFully achieved(F) untuk dapat melanjutkan penilaian ke level kapabilitas
berikutnya. Template ringkasan pencapaian capability level ditunjukkan pada
Tabel 2.6.Template Ringkasan PencapaianCapabilityLevel
Level 2 Level 3 Level 4 Level 5
PA 1.1
2.4.2.6. MenghitungProcess Capability Level
Untuk menghitung pencapaian danri process capability level, dilakukan dengan cara perhitungan seperti berikut ini :
Capability Level= (0*y0) + (1*y1) + + (5*y 5) z
Keterangan :
25
3.1. Tinjauan Organisasi
3.1.1. OverviewPoliteknik X
Pada mulanya, tanggal 17 Juli 1993 di Bandung para sarjana berinisiatif
untuk membuka lembaga pendidikan dengan nama lembaga pendidikan Progress
dengan ijin Depdikbud No. 1197/KEP/MS/1994. Kemudian melihat
perkembangan yang cukup baik dari banyaknya minat masyarakat untuk
mengikuti kursus singkat (training) maka mulaidipikirkan secara matang dengan
komitmen yang tinggi untuk terus meningkatkan kualitas pendidikan dan peluang
kerja bagi para lulusan, maka sejak tanggal 15 Desember 1997, lembaga
pendidikan Progress secara formal berganti nama menjadi Politeknik X yang
berada dibawah naungan Yayasan Politeknik X sesuai dengan akta notaris Ny.
Martinah Sumarno, SH. No.1 tanggal 17 November 2004.
Banyaknya lulusan yang bekerja dan tenaga dosen yang berkualitas
menjadikan bekal yang sangat berharga dan kemudian menjadi network dalam
setiap konsep pemikiran dan pengembangan pendidikan lebih lanjut. Kemudian
terhitung sejak 5 Januari 2004 telah secara resmi menjadi perguruan tinggi dengan
nama Politeknik X sesuai dengan surat keputusan Mentri Pendidikan Nasional
Republik Indonesia (MENDIKNAS RI) Nomor 04/D/O/2004 tanggal 4 Januari
2004. Dengan demikian tanggal 5 Januari 2004 merupakan tanggal berdirinya
POLITEKNIK X. Pemikiran dan konsep memilih politeknik dibandingkan dengan
sekolah tinggi atau institut dikarenakan melihat sejarah konkrit bahwa selama ini
POLITEKNIK X memiliki bekal dan pengalaman yang cukup matang dalam hal
pendidikan praktis. Pendidikan yang praktis merupakan terobosan yang sangat
baik dalam memenuhi kebutuhan lapangan kerja dimana keterampilan adalah
modal seseorang untuk dapat bekerja.
Di akhir tahun 2007 POLITEKNIK X berusaha untuk terus berkembang,
langkah nyata dari hal tersebut adalah POLITEKNIK X telah terakreditasi oleh
Badan Akreditasi Nasional Perguruan Tinggi (BAN-PT) dengan nila “B” (baik)
dan tahun 2008 telah membuka program Diploma IV (D-IV/S1) dengan jurusan
KAT (KomputerisasiAkuntansi), MIF (Manajemen Informatika), dan IRM
(Informatika Rekam Medis). Pada tahun 2009 bekerja sama dengan Microsoft
yang setiap lulusan diberikan sertifikasi internasional Microsoft yang berlaku di
seluruh dunia, hal ini terbukti bahwa POLITEKNIK X dari tahun ke tahunnya
selalu dapat meningkatkan kualitas pendidikan bagi lulusannya. Dengan dorongan
segenap komponen pakar pendidikan yang tetap menjungjung tinggi komitmen
untuk meningkatkan kualitas pendidikan bagi bangsa dan negara, maka civitas
akademik senantiasa memacu dan mengukir prestasi yang lebih baik bagi
pengembangan SDM yang unggul, terampil, dan mudah bekerja. Secara umum,
program pendidikan yang diselenggarakan di lingkungan POLITEKNIK X adalah
sebagai berikut :
1. Program Pendidikan Diploma III (DIII), meliputi jurusan :
b. Manajemen Informatika (MIF)
c. Rekam Medis dan Informatika Kesehatan (ARM)
d. Teknik Komputer (TIK)
e. Manjamen Pelayanan Rumah Sakit (MPRS)
2. Program Pendidikan Diploma IV (D-IV), meliputi jurusan :
a. Komputerisasi Akuntansi (KAT)
b. Manajemen Informatika (MIF)
c. Informatika Medis (IRM)
3.1.2. Visi, Misi dan Sasaran Politeknik X
Visi, misi, tujuan dan motto POLITEKNIK X seperti dijabarkan pada
penjelasan berikut :
Visi : Menjadi Perguruan Tinggi unggulan yang mampu menjawab
tantangan di era globalisasi dan menghasilkan sumber daya
manusia profesional, beriman dan bertaqwa kepada Tuhan Yang
Maha Esa.
Misi :
1. Menyelenggarakan pendidikan berbasislink and match.
2. Menjalin kemitraan dan kerjasama dengan dunia usaha dan
industri.
3. Menjalankan sistem pendidikan yang berkualitas nasional
Sasaran :
1. Menyelenggarakan pendidikan yang berbasis kompetensi
secara professional dan berkualitas serta sinergi dengan
kebutuhan nyata di lapangan.
2. Menciptakan lulusan yang mampu dan terampil sesuai
dengan bidang ilmu yang dimiliki.
3. Menghasilkan penelitian dan karya ilmiah yang berbobot
dan dapat dipertanggungjawabkan.
4. Meningkatkan profesionalisme kerja yang tangguh dan
3.1.3. Struktur Organ
Struktur organi
berikut :
Gam
Direktur rganisasi Politeknik X
ganisasi POLITEKNIK X seperti diperlihatka
ambar 3.1.Struktur Organisasi Politeknik X Direktur
tkan pada gambar
3.1.4. Proses Bisnis
Sebagai salah sa
utama yang berpe
mencakup pendidikan,
utama ini akan mem
administrasi umum,
pendukung di Politekni
(value chain)dari Mic
G
h satu perguruan tinggi, POLITEKNIK X me
rpedoman pada tri dharma perguruan
kan, penelitian dan pengabdian pada masya
emerlukan dukungan dari aktifitas lainnya se
, sumber daya manusia. Identifikasi aktivi
iteknik X dapat diuraikan dengan mengguna
Michael E. Porter yang tampak seperti gambar di
Gambar 3.2.Value ChainPoliteknik X
as Utama
lah uraian penjelasan beberapa aktivias utam
K X :
aan Mahasiswa Baru
hubungan dengan sistem penerimaan mahasiswa ba
aan sampai dengan registrasi mahasiswa baru.
memiliki aktivitas
n tinggi yang
syarakat, aktifitas
seperti keuangan,
ivitas utama dan
unakan rantai nilai
r di bawah ini :
utama pada proses
baru dari rencana
2. Proses Belajar Mengajar
Aktifitas proses belajar mahasiswa selama masa studi dari proses awal
perkuliahan sampai dengan ujian akhir.
3. Pelepasan Mahasiswa
Aktivitas pelepasan mahasiswa setelah menempuh seluruh mata kuliah,
seminar kerja praktek, dan sidang tugas akhir, di mana mahasiswa
mengikuti wisuda.
3.1.1.2. Aktifitas Pendukung
Berikut adalah uraian penjelasan beberapa aktivias pendukung pada proses
bisnisPoliteknik X :
1. Manajemen Keuangan dan Akuntansi
Aktifitas pengelolaan keuangan organisasi dalam mendukung aktifitas
utama yang berhubungancash in flow,cash out flowdan investasi serta
pendanaan pemeliharaan infrastruktur, sarana dan prasarana organisasi.
2. Bagian Sumber Daya Manusia dan Umum
Aktifitas untuk memberikan dukungan administrasi, layanan bagi
seluruh unit yang ada dan pengelolaan infrastruktur, sarana dan
prasarana serta aset-aset organisasi.
3. Program Studi dan Bagian Akademik
Aktifitas yang bertujuan memberikan layanan akademik dana
3.2. Metode Penelitian
Gambar dibawah ini merepresentasikan alur dari penelitian yang dilakukan :
Gambar 3.3.Diagram Alir Penelitian Audit Tata Kelola TI terkait Risiko dengan COBIT 5
-Menentukan ruang lingkup evaluasi
-Identifikasi kebutuhanStakeholder
-MemetakanEnterprise GoalskeIT Related Goals -MemetakanIT Related GoalskeIT Process -MengukurProcess Capabiity Level
-AnalisisGap
Pengumpulan Data
-Wawancara
-Observasi
-Analisis
Tinjauan Pustaka
-Studi literatur
-Dokumen terkait
Rekomendasi Mulai
3.2.1. Metode Pengumpulan Data
3.2.1.1. Data Primer
1. Wawancara(Interview)
Pengumpulan data yang dilakukan dengan mewawancarai langsung
dengan pihak terkait.
2. Observasi dan Analisis
Pengumpulan data melalui pengamatan dan pencatatan data secara
langsung di lapangan.
3.2.1.2. Data Sekunder
Data sekunder didapat melalui studi literatur dengan mencari buku, jurnal
ilmiah,e-book, sumber internetdan lain sebagainya. Selain itu data sekunder juga
didapatkan dari dokumen terkait di POLITEKNIK X.
3.2.2. Tahapan Tata Kelola TI terkait Risiko di POLITEKNIK X dengan
COBIT 5
COBIT 5 goals cascade adalah mekanisme untuk menerjemahkan
kebutuhan-kebutuhan dalam hal ini stakeholder-stakeholder dalam lingkungan
POLITEKNIK X untuk ditindaklanjuti secara spesifik dan disesuaikan dengan
tujuan POLITEKNIK X, tujuan yang berkaitan dengan TI dan tujuan darienabler.
Terjemahan ini memungkinkan menetapkan tujuan yang spesifik di setiap
tingkatan dan di setiap area organisasi untuk mendukung tujuan-tujuan dan
keselarasan antara kebutuhan organisasi dan solusi dan layanan TI. Gambar
dibawah ini memperlihatkan COBIT 5goals cascadesecara umum.
Gambar 3.4.COBIT 5Goals Cascade(COBIT 5, 2012)
Setiap organisasi beroperasi dalam konteks yang berbeda, konteks ini
ditentukan oleh faktor eksternal (pasar, industri, geopolitik, dan lain sebagainya)
dan faktor internal (budaya, organisasi, risk appetite, dan lain-lain), serta
membutuhkan penyesuaian dalam tata kelola dan sistem manajemen. Kebutuhan
Gambar 3.5.Stakeholder DriversMempengaruhiStakeholder Needs(COBIT 5,
2012)
3.2.2.1. Identifikasi KebutuhanStakeholder
Tujuan tata kelola relevan untuk dipilih berdasarkan tujuan tata kelola
yaitu menyadari manfaat, optimasi risiko dan optimasi sumber daya. Identifikasi
kebutuhan stakeholder akan dilakukan dengan melakukan wawancara dengan
pihak terkait serta menelaah dokumen-dokumen yang ada. Dari ketiga tujuan tata
kelola tersebut, yang akan menjadi fokus dalam penelitian ini adalah pada bagian
risk optimisation.
3.2.2.2. Risk Optimisation
Bagian ini mengatasi risiko bisnis yang terkait dengan penggunaan,
kepemilikan, operasi, keterlibatan, pengaruh dan penerapan TI dalam suatu
perusahaan. Risiko bisnis yang berhubungan dengan TI terdiri dari peristiwa yang
berhubungan dengan TI yang berpotensi dapat mempengaruhi bisnis. Sementara
nilai pengiriman berfokus pada penciptaan nilai, manajemen risiko berfokus pada
pelestarian nilai. Pengelolaan risiko yang berhubungan dengan TI harus
diintegrasikan dalam pendekatan manajemen risiko perusahaan untuk memastikan
fokus pada TI oleh perusahaan dan diukur dengan cara yang transparan
menunjukkan dampak dan kontribusi yang berkaitan dengan TI optimasi risiko
Tabel pemetaan antara stakeholder needs dan enterprise goals dibawah
ini seperti dalam COBIT 5appendix D.
Tabel 3.1.MappingCOBIT 5Enterprise GoalskeGovernance and Management
Tabel 3.2.MappingCOBIT 5Governance and Management Questionske
COBIT 5 mendefinisikan 17 generic goals seperti pada tabel 3.3 yang
mencakup informasi berikut :
1. Dimensibalanced scorecard(BSC).
2. Enterprise Goals.
3. Hubungan dengan tiga tujuan tata kelola – Benefit Realisation, Risk
OptimisationdanResource Optimisation.
Tabel 3.3.Enterprise Goals(‘P’ adalah hubungan Primer, dan ‘S’adalah
3.2.2.3. MemetakanEnterprise GoalskeIT-related Goals
Pencapaian tujuan organisasi memerlukan sejumlah hasil yang berkaitan
dengan TI yang diwakili oleh IT-related goals. Identifikasi ini dapat dilakukan
berdasarkanenterprise goalsyang telah teridentifikasi.
Gambar 3.7.Enterprise Goals Cascade to IT-related Goals(COBIT 5, 2012)
Pemetaan antara Enterprise Goals dengan IT-related Goals seperti pada
Tabel 3.5.COBIT 5 Mendefinisikan 17IT-related GoalsPada Dimensi IT BSC
3.2.2.4. MemetakanIT-related Goals keIT Process
Berdasarkan tujuanIT-related Goalsyang terpilih dengan menggunakan
kriteria primer (P) atau sekunder (S) maka didapat IT process yang relevan pada
COBIT 5. Mencapai tujuan terkait TI membutuhkan keberhasilan penerapan dan
penggunaan sejumlahenabler.
Enabler mencakup proses, struktur organisasi dan informasi, dan untuk
setiapenablerserangkaian tujuan tertentu yang relevan dapat didefinisikan dalam
mendukung tujuan yang berkaitan dengan TI. Tabel 3.7 memperlihatkan
pemetaan dari IT-related Goals ke IT Process sesuai dengan appendix C dalam
Tabel 3.6.Pemetaan dariIT-related GoalskeIT Processsesuai denganappendix
3.2.2.5. MembuatProcess Capability Model
Memetakan posisi TI organisasi dalam hal ini Politeknik X dengan
menggunakanprocess capability model berdasarkan nilai yang didapat dari pihak
yang terkait. Process capability model secara rinci akan dijelaskan pada bab
selanjutnya.
3.2.3. Membuat Rekomendasi
Penelitian ini diakhiri dengan membuat rekomendasi berdasarkan hasil
46
Sesuai dengan metodologi penelitian dan langkah-langkah yang telah
dipaparkan sebelumnya, pada bab ini akan dibahas hasil dari penelitian yang telah
dilakukan.
4.1. Mengidentifikasi KebutuhanStakeholder
Pada tahap ini kebutuhan stakeholder di POLITEKNIK X dipetakan, dasar
dari tahap mengidentifikasi ini adalah dengan melakukan wawancara, menelaah
dokumen terkait dalam hal ini rencana strategis POLITEKNIK X 2011-2016 serta
mempertimbangkan pada best practice yang telah ada. Pada tahap ini kebutuhan
stakeholder yang berhubungan dengan sejumlah tujuan umum organisasi akan
dianalisis menggunakan empat perspektif Balanced Scorecard (BSC). Empat
perspektif tersebut antara lain Financial Perspective, Customer Perspective,
Internal Process Perspective, danLearning and Growth Perspective.
Tabel 4.1.Tujuan strategis POLITEKNIK X
Perspektif Tujuan Strategis
Keuangan
1. Peningkatan pendapatan
2. Pengendalian biaya operasional
3. Menekan biaya pengeluaran
tua, pengguna lulusan)
5. Meningkatkan promosi
Proses Internal
6. Meningkatkan efisiensi operasional
7. Menekan biaya keuangan
8. Meningkatkan kualitas dan kecepatan pelayanan
Pembelajaran dan
Pengembangan
9. Meningkatkan kemampuan dosen dan karyawan
POLITEKNIK X denganEnterprise Goalsyang terdapat dalam COBIT 5. Tabel dibawah ini akan menjelaskan keterhubungan tersebut.
Tabel 4.2.Analisis keterhubungan tujuan strategis danEnterprise Goals
No. Kode Deskripsi Hasil Pemetaan
1 EG2
Portfolio competitive products and
services
Terdapat keterhubungan denga tujuan strategis POLITEKNIK X
karena untuk meningkatkan investasi dapat ditempuh dengan membuat
layanan dan produk yang kompetitif.
2 EG3
Managed business risk (safeguarding
assets)
Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.
3 EG4
Compliance with external laws and
regulation
Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.
4 EG7
Business service continuity and
availability
Ada keterhubungan dengan tujuan strategis POLITEKNIK X , dimana
untuk meningkatkan investasi dan pelayanan terhadap konsumen
5 EG9
Information based strategic decision
making
Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.
6 EG13
Managed business change
programmes
Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.
7 EG15 Compliance with internal policies Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.
8 EG16 Skilled and motivated people
Ada keterhubungan secara langsung dengan tujuan strategis
POLITEKNIK X, dengan meningkatkan kemampuan dan motivasi
dapat menjadi salah satu cara dalam meningkatkan pengembangan
karir dan produktifitas pegawai dan mempertahankan jumlah
Dari hasil analisis keterhubungan yang didapat, maka Enterprise Goals
yang terpilih adalah sebagai berikut :
Tabel 4.3.Enterprise GoalsPOLITEKNIK X
No. Kode Deskripsi
1 EG2
Portofolio of competitive products and
services
2 EG7 Business service continuity and availability
3 EG16 Skilled and motivated people
4.2. Scoring COBIT 5Enterprise Goalsterpilih dalam COBIT 5
Pada tahap ini dilakukan pemberian score terhadap Enterprise Goals
terpilih, sesuai dengan tujuan strategis POLITEKNIK X. Pemberian score ini
dilakukan oleh beberapa auditi seperti pada tabel 4.4 dibawah ini :
Tabel 4.4.Data Auditi
No . Kode Auditi Auditi Jumlah Auditi
1 DIR Direktur 1
2 PD1 Pembantu Direktur 1 Bidang Akademik 1
3 PD2 Pembantu Direktur 2 Bidang Keuangan dan Umum 1
Untuk penilaian tingkat kepentingan setiap Enterprise Goals dan
perspektif tujuan strategis POLITEKNIK X seperti terlihat pada tabel 4.5 dibawah
ini :
Tabel 4.5.Penilaian Tingkat Kepentingan
No. Score Tingkat Kepentingan
1 1-2 Tidak penting
2 3-4 Sedikit penting
3 5-6 Cukup penting
4 7-8 Penting
5 9-10 Sangat penting
Hasil penilaian terhadap Enterprise Goals dapat dilihat pada tabel 4.6
dibawah ini :
Tabel 4.6.HasilScoring Enterprise Goalsterpilih
No.
DIR PD1 PD2 BSI
4.3. MemetakanEnterprise Goals ke IT-related Goals
Pada bagian ini Enterprise Goals yang telah didapat, yakni EG2 dan EG16
akan dipetakan kedalam IT-related Goals. Hasil pemetaan dapat dilihat pada tabel
4.7 berikut ini :
Tabel 4.7.MemetakanEnterprise Goals ke IT–related Goals
No. Kode
MemetakanEnterprise Goals to IT-related Goals
Keterhubungan IT Related Goals
1 EG2 √ 1, 5, 7, 9, 12, 17
2 EG16 √ 16
Dari pemetaan IT-related goals berdasarkan enterprise goals diatas,
maka dapat diidentifikasi IT-rerlated goals terpilih sesuai dengan COBIT 5, hal
tersebut dapat dilihat pada tabel 4.8 di bawah ini :
Tabel 4.8.IT-related GoalsPOLITEKNIK X terpilih
No. Kode IT- Related Goals
1 ITG 1 Alignment of IT and business strategy
2 ITG 5 Realised benefits from IT-enabled investments and availability
3 EG16
Skilled and motivated
people
services portfolio
3 ITG 7
Delivery of IT services in line with business
requirements
4 ITG 9 IT agility
5 ITG 12
Enablement and support of business processes by
integrating applications and technology into business
processes
6 ITG 16 Competent and motivated business and IT personnel
7 ITG 17
Knowledge, expertise and initiatives for business
innovation
4.4. Identifikasi COBIT 5 Proses Terpilih
Berdasarkan IT-related Goals terpilih, langkah selanjutnya adalah
menentukan COBIT 5 proses yang terpilih sesuai denganIT-related Goalsterpilih
menggunakan tabel Mapping COBIT 5 IT-related Goals to Processes yang
terdapat dalamAppendix C COBIT 5. Hasil pemetaan dapat dilihat pada tabel 4.9
berikut ini :
Tabel 4.9.COBIT 5 proses terpilih sesuaiIT-related Goalsterpilih
No. Kode COBIT 5Process
1 ITG 1
EDM01, EDM02, APO01,APO02, APO03,
APO05, APO07, APO08, BAI01, BAI02
BAI01
3 ITG 7
EDM01, EDM02, EDM05, APO02, APO08,
APO09, APO10,APO11, BAI02, BAI03,
BAI04, BAI06, DSS01, DSS02, DSS03,
DSS04, DSS06, MEA01
4 ITG 9
EDM04, APO01, APO03, APO04, APO10,
BAI08
5 ITG 12 APO08, BAI02, BAI07
6 ITG 16 EDM04, APO01,APO07
7 ITG 17
EDM02, APO01, APO02, APO04, APO07,
APO08, BAI05, BAI08
4.5. Proses PenilaianCapabilityLevel Proses COBIT 5
Berdasarkan pemetaan proses COBIT maka terdapat 26 proses COBIT yang
kemudian dipilih kembali menjadi 20 proses dimuat dalam tabel 4.10 dibawah ini
:
Tabel 4.10.COBIT 5 proses terpilih
EDM
EDM01
EDM02
EDM03
EDM04
APO
APO01
APO05
APO06
APO07
APO11
APO12
APO13
BAI
BAI01
BAI02
BAI04
DSS
DSS01
DSS03
DSS04
DSS06
MEA MEA01
Berikut ini adalah penjelasan secara rinci penilaian capability level
masing-masing proses COBIT yang dievaluasi.
4.5.1. Proses EDM01 – Evaluate the Design of the Enterprise Governance of
IT
Proses Evaluate the Design of the Enterprise Governance of IT berfokus
POLITEKNIK X. Ringkasan mengenai hasil pencapaian level beserta rincian
secara spesifik mengenai penilaian proses ini adalah sebagai berikut :
Tabel 4.12.EDM01–Evaluate the Design of the Enterprise Governance of IT
Tujuan
Menyediakan pendekatan yang konsisten terintegrasi dan selaras dengan pendekatan
tata kelola organisasi.
Proses
Level
0
Level 1 Level 2 Level 3 Level 4 Level 5
PA 1.1
Rincian penilaian proses Evaluate the Design of the Enterprise
Governance of ITpada level 1 dijelaskan melalui tabel di bawah ini :
Tabel 4.13.EDM01–Evaluate the Design of the Enterprise Governance of IT
Level 1
EDM01–Evaluate the Design of the Enterprise Governance of IT
governance of IT
EDM01.02 Direct
the governance
system
Enterprise governance communications √
50,00% Reward system approach
EDM01.03
Monitor the
governance system
Feedback on governance effectiveness
and performance
√
100,00%
Average 50,00%
Dalam proses ini risiko yang mungkin timbul adalah penyalahgunaan dari
otoritas dalam mengakses sistem yang ada, karena seperti kita lihat belum adanya
kebijakan formal mengenai siap-siapa saja yang dapat melakukan login sistem.
Selain itu risiko yang mungkin timbul juga ialah POLITEKNIK X akan
kehilangan kesempatan optimalisasi bisnis karena belum adanya decision-making
model.
4.5.1.1. Direct The Governance System
1. Enterprise governance communications
Sudah adanya komunikasi dan pembicaraan oleh direktur mengenai
bagaimana tata kelola dari TI organisasi akan dioptimalkan
4.5.1.2. Monitor The Governance System
1. Feedback on governance effectiveness and performance
Adanyafeedbacktentang efektifitas dari tata kelola dan kinerja TI.
4.5.2. Proses EDM02–Ensure Value Optimisation
Proses ini mengoptimalkan kontribusi nilai bisnis dari proses bisnis,
layanan TI dan aset TI yang dihasilkan dari investasi TI oleh POLITEKNIK X
dengan biaya yang dapat diterima. Ringkasan mengenai hasil pencapaian level
beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai
berikut :
Tabel 4.14.EDM02–Ensure Value Optimisation
Tujuan
Mengoptimalkan kontribusi nilai bisnis dari proses bisnis, layanan TI dan aset TI yang
dihasilkan dari investasi TI dengan biaya yang dapat diterima.
Proses
Level
0
Level 1 Level 2 Level 3 Level 4 Level 5
PA 1.1
Rincian penilaian proses Ensure Value Optimisation pada level 1
Tabel 4.15.EDM02–Ensure Value OptimisationLevel 1
EDM02–Ensure Value Optimisation
Governance
Evaluation of strategic alignment √
100,00% Evaluation of investment and services
portfolios
√
EDM02.02 Direct
value optimisation
Investment types and criteria √
50,00% Requirements for stage-gate reviews
EDM02.03
Monitor value
optimisation
Feedback on portfolio and programme
performance
√
100,00%
Actions to improve value delivery √
Average 83,33%
Risiko yang mungkin timbul dalam proses ini adalah POLITEKNIK X
akan kehilangan pengoptimalan organisasi karena belum melakukanrequirements
for stage-gate review.
4.5.2.1. Evaluate value optimisation
1. Evaluation of strategic alignment
Sudah ada evaluasi mengenai kesesuaian antara rencana strategis
2. Evaluation of investment and services portfolios
Sudah ada evaluasi mengenai investasi dan portofolio.
4.5.2.2. Direct value optimisation
1. Investment types and criteria
Telah dijabarkan dalam dokumen rencana strategis 2011-2016
POLITEKNIK X.
4.5.2.3. Monitor value optimisation
1. Feedback on portfolio and programme performance
Adanya feedback tentang portofolio dari kinerja TI yang telah
diimplementasikan.
2. Actions to improve value delivery
Telah dijabarkan dalam dokumen rencana strategis 2011-2016
POLITEKNIK X.
4.5.3. Proses EDM03–Ensure Risk Optimisation
Proses ini berfokus pada pengelolaan risiko dan toleransi risiko yang
berhubungan dengan nilai TI pada POLITEKNIK X. Ringkasan mengenai hasil
pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini
Tabel 4.16.EDM03–Ensure Risk Optimisation
Tujuan
Memastikan bahwa resiko IT organisasi tidak melebihi kemampuan dan toleransi
organisasi dalam menerima resiko, serta mengidentifikasi dan mengelola dampak dari
resiko TI terhadap nilai-nilai pada organisasi, dan mengurangi terjadinya kegagalan.
Proses
Level
0
Level
1
Level 2 Level 3 Level 4 Level 5
PA 1.1
Rincian penilaian proses Ensure Risk Optimisation pada level 1 dijelaskan
melalui tabel di bawah ini :
Tabel 4.17.EDM03–Ensure Risk OptimisationLevel 1
EDM02–Ensure Risk Optimisation
Governance Approved risk tolerance levels
Evaluation of risk management
activities
EDM03.02 Direct
risk management
Risk management policies
0,00% Key objectives to be monitored for risk
Approved process for measuring risk
management
EDM03.03
Monitor risk
management
Remedial actions to address risk
management deviations 0,00%
Risk management issues for the board
Average 0,00%
Risiko dalam proses EDM03 bahwa POLITEKNIK X akan menjadi sangat
rentan terhadap kemungkinan hal-hal yang akan merugikan, karena risiko yang
timbul tidak dapat diprediksi, diukur dan dikendalikan, dikarenakan tidak adanya
risk appetite guidance.
4.5.4. Proses EDM04–EnsureResource Optimization
Proses ini berfokus pada pengelolaan sumber daya (karyawan, proses,
dan teknologi) dan kemampuan TI di POLITEKNIK X yang memadai sehingga
mampu mendukung tujuan organisasi secara efektif dengan biaya yang optimal.
Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik
Tabel 4.18.EDM04–EnsureResourceOptimisation
Tujuan
Memastikan sumber daya yang dibutuhkan organisasi terpenuhi secara optimal, biaya
IT ditekan secara optimal, dan juga memastikan kemungkinan bertambahnya
keuntungan dan kesediaan untuk perubahan di masa depan.
Proses
Level
0
Level 1 Level 2 Level 3 Level 4 Level 5
PA 1.1
Rincian penilaian proses Ensure Resource Optimisation pada level 1
dijelaskan melalui tabel di bawah ini :
Tabel 4.19.EDM04–Ensure Resource OptimisationLevel 1
EDM04–Ensure Resource Optimisation
Governance
Guiding principles for allocation of
resources and capabilities
√
66,66% Guiding principles for enterprise
architecture
Approved resources plan √
management Assigned responsibilities for resource
management
√
Principles for safeguarding resources √
EDM02.03
Monitor resource
management
Feedback on allocation and
effectiveness of resources and
capabilities 0,00%
Remedial actions to address resource
management deviations
Average 55,55%
Dalam proses ini risiko yang mungkin ada ialah sulitnya untuk memantau
terhadap alokasi serta keefektifannya dari penggunaan sumber daya yang ada,
sehingga sangat berisiko terjadi inefisiensi operasional di POLITEKNIK X.
4.5.4.1. Evaluate Resource Management
1. Guiding principles for allocation of resources and capabilities
Panduan dalam mengalokasi sumber daya dan kemampuan tercantum
dalam beberapa SOP, daftar SOP terdapat dalam Lampiran SOP.
2. Approved resources plan
Untuk memilih sumber daya manusia dilakukan dengan cara
membuka lowongan pekerjaan, dan untuk pengadaansoftwareatau
hardwaredengan cara membeli kevendoratau dengan
4.5.4.2. Direct Resource Management
1. Communication of resourcing strategies
Communication of resourcing strategiesdilakukan dalam bentuk
meetingdenganstakeholderterkait secara berkala.
2. Assigned responsibilities for resource management
Sudah ada penentuan bagian yang bertanggung jawab dalam resource
management, salah satu contoh ialah untuk teknologi diatur oleh
bagian sistem informasi.
3. Principles for safeguarding resources
Sudah terdapat panduan dalam menjaga dan merawat sumber daya.
4.5.5. Proses APO01–Manage the IT Management Framework
Proses ini menyediakan pendekatan pengelolaan yang konsisten untuk
memungkinkan kebutuhan pengelolaan organisasi terpenuhi, termasuk proses
manajemen, struktur organisasi, peran dan tanggung jawab, aktifitas yang bisa
diandalkan dan bisa diulang, dan kemampuan serta kompetensi. Ringkasan
mengenai hasil pencapaian level beserta rincian secara spesifik mengenai
Tabel 4.20.APO01–Manage the IT Management Framework
Tujuan
Menyediakan pendekatan pengelolaan yang konsisten untuk memungkinkan kebutuhan
pengelolaan organisasi terpenuhi, termasuk proses manajemen, struktur organisasi,
peran dan tanggung jawab, aktifitas yang bisa diandalkan dan bisa diulang, dan
kemampuan dan kompetensi.
Proses
Level
0
Level 1 Level 2 Level 3 Level 4 Level 5
PA 1.1
Rincian penilaian proses Manage the IT Management Framework pada
level 1 dijelaskan melalui tabel di bawah ini :
Tabel 4.21.APO01–Manage the IT Management FrameworkLevel 1
APO01–Manage the IT Management Framework
Management
Definition of organizational structure
and functions
66,66% Organizational operational guidelines √
Communication ground rules √
APO01.02
Establish roles and
Definition of IT-related roles and
responsibilities
√
responsibilities Definition of supervisory practices
Communication on IT objectives √
100,00%
APO01.05
Optimize the
placement of the IT
function
Evaluation of options for IT
organization
0,00% Defined operational placement of IT
function
APO01.06 Define
information (data)
and system
ownership
Data classification guidelines √
33,33% Data security and control guidelines
Data integrity procedures
Performance goals and metrics for