PADA UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” J AWA TIMUR
SKRIPSI
Disusun Oleh :
MOHAMMAD ROFIUDDIN NPM : 0835010020
J URUSAN SISTEM INFORMASI FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” J AWA TIMUR
Assalamualaikum Wr. Wb.
Dengan mengucap syukur Alhamdulillah patut penulis panjatkan kepada Tuhan Yang Maha Esa atas segala rahmat dan hidayah-Nya, sehingga Laporan Skripsi yang telah dilaksanakan dapat terselesaikan dengan baik.
Skripsi dilaksanakan untuk mengasah kemampuan dan menerapkan ilmu yang didapatkan dibangku kuliah. Hal ini sangat membantu mahasiswa untuk meningkatkan kemampuan dan pengalaman langsung dalam penerapan suatu ilmu yang didapatkan selama kuliah terhadap suatu organisasi terutama dalam hal ini adalah organisasi bisnis.
Skripsi dilaksanakan selama kurang lebih 5 bulan. Semoga dalam pengalaman Skripsi ini Mahasiswa mendapatkan ilmu yang bermanfaat di dunia maupun di akhirat.
Atas kelancaran Skripsi, penulis berterima kasih atas bimbingan serta bantuan dari berbagai pihak. Sehingga dalam kesempatan ini penulis mengucapkan terima kasih yang sebesar-besarnya semoga Tuhan membalas kebaikkan berlipat ganda kepada :
Timur.
3. Bapak Muhammad Irwan Afandi, ST, M.Sc selaku Sekretaris Program studi Sistem Informasi Universitas Pembangunan Nasional “Veteran” Jawa Timur.
4. Bapak Dr. Ronny S.Kom, M.Kom, M.H selaku Dosen Pembimbing 1 yang senantiasa memberikan yang terbaik.
5. Ibu Eka Dyar Wahyuni S.Kom selaku Dosen Pembimbing 2 yang senantiasa diberi kesabaran dan ketabahan dalam bimbingannya, semoga Alloh memberikan kemudahan dalam segala urusan didunia maupun di akhirat. 6. Bapak Ir. Kemal Wijaya M.TP sebagai kepala Unit Pelaksana Teknis (UPT)
Telematika, dan kepada Pak Farid Wajdi. A.MD sebagai Kasubbag Pengolahan Data. Ibu Nurul Komaiyah, S.Pd, MM sebagai Kasubbag Tata Usaha Unit Pelaksana Teknis (UPT) Telematika yang senantiasa memberikan kontribusi yang cukup baik dalam memberikan informasi yang diperlukan dalam skripsi ini.
7. Seluruh pihak terkait dan berkepentingan yang telah membantu dalam penggalian data untuk proses menyelesaikan skripsi ini.
8. Seluruh dulur-dulur SI08, TOURSI, AL-Maqosi, dan Tim GA (Gerombolan Audit) yang selalu memberikan dukungan, do’a dan sholawat untuk segera menyelesaikan Skripsi ini.
khusus mendapat gelar BA (Bapak’e Arek-arek) yang senantiasa memberikan bimbingan mental jasmani dan rohani.
Semoga Tuhan selalu melimpahkan rahmat dan hidayahNya bagi mereka yang telah memberikan kontribusi yang cukup besar dalam pengerja-an skripsi ini.
Akhir kata penulis mengucapkan terima kasih yang sebesar-besarnya semoga skripsi ini dapat bermanfaat bagi kita semua. Dan mohon maaf yang sebesar-besarnya jika dalam pengerja-annya masih terjadi banyak kesalahan dan kekurangannya. Kritik dan saran, sangat penulis butuhkan untuk dapat meningkatkan kualitas pengerja-an Skripsi ini.
Atas perhatian dan kebijaksanaanya, penulis ucapkan terima kasih. Wassalamualaikum Wr. Wb.
Surabaya, 31 Juli 2012
HALAMAN JUDUL
LEMBAR PENGESAHAN SKRIPSI
LEMBAR PENGESAHAN DAN PERSETUJUAN LEMBAR KETERANGAN REVISI
ABSTRAK... i
KATA PENGANTAR... ii
DAFTAR ISI... v
DAFTAR GAMBAR... xiii
DAFTAR TABEL... xiv
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang... 1
1.2 Rumusan Masalah... 3
1.3 Batasan Masalah... 4
1.4 Tujuan... 5
1.5 Manfaat... 5
1.6 Sistematika Penulisan... 6
BAB II TINJ AUAN PUSTAKA... 8
2.1 Pengertian Audit Sistem Informasi... 8
3) Keefektifitas sistem... 10
4) Efisiensi sistem... 10
2.2 Definisi dan Sejarah Perkembangan COBIT... 10
2.2.1 Struktur Paket COBIT………..…….. 13
1) Executive Overview………. 13
2) Kerangka Kerja (Framework)………….. 14
3) Uraian Proses (Process Description)…... 16
4) Tujuan Pengendalian (Control Pbjectives) 17 5) Panduan Manajemen (Management Guidelines)……… 18
6) Model Kedewasaan (Maturity Level)…... 19
2.2.2 Kerangka Kerja Model COBIT……….. 22
2.2.3 Domain COBIT 4.1……… 24
1) Plan And Organise (PO)………. 24
2) Acquire And Implement (AI)……… 25
a. AI1 Identify Automated Solutions ………..…. 25
b. AI2. Acquire and Maintain Application Software …………. 28
g. AI7. Install and Accredit
Solutions and Changes……….. 32
3) Deliver And Support (DS)……… 32
4) Monitor And Evaluate (ME)………. 33
2.3 Gambaran Umum Mengenai Universitas Pembangunan Nasional ”Veteran” Jawa Timur... 34
1)Visi... 35
2)Misi... 35
3)Tujuan... 35
4)Iklim Pendidikan... 35
5)Struktur Organisasi ... 36
2.3.1 Unit Pelaksana Teknis (UPT) Telematika... 37
1) Tugas Pokok Unit Pelaksana Teknis (UPT) Telematika... 38
2) Fungsi Unit Pelaksana Teknis (UPT) Telematika... 38
3) Struktur Organisasi Unit Pelaksana Teknis (UPT) Telematika dan bidang Tugas……… 39
BAB III METODE PENELITIAN... 42
Pembangunan Nasional “Veteran” Jawa
Timur………... 45
3.2.2 Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional ”Veteran” Jawa Timur... 46
3.3 Audit Objectives... 47
3.4 Preaudit Planning... 48
3.5 Prosedur Audit dan langkah-langkah untuk Mengumpulkan data... 48
3.6 Prosedur komunikasi dengan pihak manajemen... 49
3.7 Evaluasi hasil pengujian... 49
3.8 Audit Report... 49
BAB IV HASIL DAN PEMBAHASAN………..………… 51
4.1 Kondisi Umum Unit Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur……… 52
4.1.1 Mengidentifikasi Solusi Otomatis pada Unit Pelaksana Teknis (UPT) Telematika…... 54
Otomatis ………. 59 4.2.2 RACI Chart Mendapatkan Sumber Daya TI 63 4.3 Proses dan hasil wawancara………... 65 4.4 Control Objectives COBIT 4.1……….. 67
4.4.1 Control Objectives ACQUIRE AND IMPLEMENT AI1 Identify Automated
Solutions ………. 68 1) Detailed Control Objectives AI1.1
Definition and Maintenance of Business Functional and Technical
Requirements……….. 69 2) Detailed Control Objectives AI1.2
Risk Analysis Report………... 69 3) Detailed Control Objectives AI1.3
Feasibility Study and Formulation of Alternative Courses of Action…………. 70 4) Detailed Control Objectives AI1.4
Requirements and Feasibility Decision and Approval………. 71 4.4.2 Control Objectives ACQUIRE AND
Supplier Contract Management……….. 73 3) Detailed Control Objectives AI5.3
Supplier Selection………... 74 4) Detailed Control Objectives AI5.4
IT Resources Acquisition……….... 75 4.5 Maturity Level COBIT 4.1 Pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur………..………. 75
4.5.1 Kertas Kerja Maturity Level AI1
Mengidentifikasi Solusi Otomatis Pada
Unit Pelaksana Teknis (UPT) Telematika…... 77 1) Maturity Level 0 AI1 Identify Automated
Solutions………. 77 2) Maturity Level 1 AI1 Identify Automated
Solutions………. 78 3) Maturity Level 2 AI1 Identify Automated
Solutions………. 80 4) Maturity Level 3 AI1 Identify Automated
Solutions………. 81 5) Maturity Level 4 AI1 Identify Automated
Maturity Level AI1 Identify Automated Solutions………. 87 4.5.2 Kertas Kerja Maturity Level AI5
Memperoleh Sumber Daya TI Pada Unit
Pelaksana Teknis (UPT) Telematika………… 90 1) Maturity Level 0 AI5 Procure IT
Resource………. 90 2) Maturity Level 1 AI5 Procure IT
Resource………. 91 3) Maturity Level 2 AI5 Procure IT
Resource………. 93 4) Maturity Level 3 AI5 Procure IT
Resource………. 95 5) Maturity Level 4 AI5 Procure IT
Resource………. 97 6) Maturity Level 5 AI5 Procure IT
Resource………. 99 7) Proses Penghitungan dan Hasil
Penilaian Maturity Level AI5 Procure IT Resource……… 101 4.6 Goals And Metrics……….……… 103
1) IT Goals And Metrics……… 105
2) Process Goals And Metrics…………... 109
3) Activities Goals And Metrics…………. 113
4.6.2 Goals And Metrics AI5 Pengadaan Sumber Daya TI……….. 116
1) IT Goals And Metrics…………..…….. 116
2) Process Goals And Metrics……... 120
3) Activities Goals And Metrics..………… 123
4.7 Hasil Temuan dan Rekomendasi……..………. 128
4.7.1 Hasil Temuan dan Rekomendasi pada Proses AI1 Mengidentifikasi Solusi Otomatis……... 130
4.7.2 Hasil Temuan dan Rekomendasi pada Proses AI5 Pengadaan Sumber Daya TI……… 133
BAB V PENUTUP………... 134
5.1 Kesimpulan... 134
5.2 Saran... 136
DAFTAR PUSTAKA... 137
Penyusun : Mohammad Rofiuddin
Pembimbing 1 : Dr. Ronny, S.Kom, M.Kom, M.H. Pembimbing 2 : Eka Dyar Wahyuni, S.Kom
Abstrak
Unit Pelaksana Teknis merupakan tiang utama dalam penyedia layanan Teknologi Informasi dan Komunikasi (TIK) pada Universitas Pembangunan Nasional “Veteran” Jawa Timur. Keberhasilan dalam mencapai sasaran atau tujuan utama organisasi bergantung besar terhadap sistem yang berjalan di dalamnya. Untuk menilai sejauh mana sistem yang berjalan dalam suatu organisasi terkait dengan perlindungan aset, pemeliharaan infrastruktur maupun layanan, sampai dengan penyajian informasi yang dibutuhkan untuk mencapai suatu tujuan organisasi.
Audit Sistem Informasi merupakan salah satu kegiatan yang dapat mengukur sebaik apa sistem informasi yang berjalan dalam organisasi tersebut. Pengukuran diambil dari standar COBIT 4.1 yang terdiri dari Maturity Level, Control Objectives dan Goals And Metrics.
Hasil dari Audit Sistem Informasi menunjukkan bahwa tata kelola TI yang ada pada Unit Pelaksana Teknis (UPT) Telematika sudah berjalan cukup baik. Namun ada beberapa kinerja TI yang harus diperbaiki, dikembangkan dan diadakan dalam hal perencanaan strategis, pendokumentasian sampai dengan pemeliharaan dan pengimplementasian. Pada proses AI1 Unit Pelaksana Teknis (UPT) Telematika berada pada level 2.Repeatable dengan kondisi memiliki aktifitas berulang belum terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan. Sedangkan pada proses AI5 berada pada level 3.Defined dengan kondisi memiliki prosedur formal dan tertulis.
PENDAHULUAN
1.1Latar Belakang
Berbagai macam bentuk organisasi bisnis yang bergerak dalam
berbagai bidang, masing-masing mempunyai tujuan untuk melayani
masyarakat akan kebutuhan yang selalu menjadi bahan pokok kehidupan pada
saat ini dan yang akan datang. Mulai dari bentuk jasa, produksi barang,
makanan, obat-obatan bahkan sampai dunia pendidikan merupakan salah satu
bentuk perwujudan organisasi bisnis yang mempunyai Visi dan Misi tertentu
untuk mencapainya. Salah satunya yaitu Universitas Pembangunan Nasional
“Veteran” Jawa Timur.
Untuk memenuhi suatu tuntutan kebutuhan dalam menunjang sistem
belajar mengajar dalam Kampus Universitas Pembangunan Nasional
“Veteran” Jawa Timur, guna meningkatkan kualitas pembelajaran harus
didukung dengan Teknologi Informasi (TI). Dimana Teknologi Informasi ini
sangat berpengaruh besar dalam pelayanan terhadap sistem belajar mengajar.
Salah satunya yaitu Unit Pelaksana Teknis (UPT) Telematika.
Unit Pelaksana Teknis (UPT) Telematika merupakan salah satu unit
pelayanan teknis di tingkat Universitas Pembangunan Nasional “Veteran”
Jawa Timur yang mempunyai fungsi pelayanan dibidang Teknologi Informasi
Technology) kepada seluruh satker, termasuk staf dosen, karyawan,
mahasiswa serta layanan kepada masyarakat umum.
Tugas pokok Unit Pelaksana Teknis (UPT) Telematika adalah
menyediakan sarana dan prasarana pendukung dan menyajikan informasi
berkualitas yang tepat kebutuhan, tepat waktu dan tepat nilai berkaitan dengan
Tridharma Perguruan Tinggi dengan menggunakan perangkat pengolah dan
penyaji informasi.
Fungsi utama Unit Pelaksana Teknis (UPT) Telematika yaitu
menyusun rencana program kegiatan jangka pendek, menengah dan jangka
panjang Unit Pelaksana Teknis (UPT) Telematika sebagai pedoman
pelaksanaan tugas. Mengkoordinasi bawahan dalam melaksanakan tugas agar
terjalin kerjasama yang baik. Mengembangkan perangkat keras dengan cara
mengusulkan penambahan dan pemeliharaan untuk terlaksananya berbagai
kegiatan yang direncanakan. Menyelenggarakan pendidikan dan pelatihan
komputer untuk meningkatkan keterampilan dan kemampuan staf Unit
Pelaksana Teknik (UPT) Telematika dan satuan kerja lainnya. Melaksanakan
urusan pembuatan program atau sistem informasi sesuai kebutuhan unit kerja
lain, menghasilkan jenis-jenis informasi yang dibutuhkan sub satker. Dan
menyusun laporan Unit Pelaksana Teknis (UPT) Telematika sesuai dengan
Ditinjau dari fungsi pelayanannya, Unit Pelaksana Teknis (UPT)
Telematika berpengaruh besar terhadap proses bisnis yang berjalan pada
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Hal ini membuat
Unit Pelaksana Teknis (UPT) Telematika menjadi bagian yang rawan ketika
terjadi kesalahan dalam sistem yang dilaksanakan.
Permasalahan diatas merupakan alasan penulis untuk melakukan Audit
Sistem Informasi pada Unit Pelaksana Teknis (UPT) Telematika Universitas
Pembangunan Nasional “Veteran” Jawa Timur, guna untuk memberikan
penilaian terhadap kinerja Unit Pelaksana Teknis (UPT) Telematika yang
meliputi perangkat lunak dan pengguna sistem atau sumber daya yang
berkaitan. Dan hasil dari audit berupa laporan temuan dan rekomendasi
sebagai acuan kinerja TI yang baik menurut COBIT.
1.2Rumusan Masalah
Berdasarkan Latar belakang diatas, rumusan masalah yaitu :
1. Bagaimana menentukan ruang lingkup Audit Sistem Informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur, dokumen-dokumen yang diperlukan, sistem yang
akan di Audit, melakukan wawancara dan siapa yang akan diwawancara
berdasarkan Sumber Daya Manusia (SDM) yang berhubungan dengan
2. Bagaimana menganalisa Maturity Level, analisis Goals and Metrics,
analisis Control Objectives dan analisis hasil wawancara?
3. Bagaimana membuat evaluasi terhadap penilaian berdasarkan Analisis
Maturity Level, Goals and Metrics, Control Objectives dan menyusun
Laporan hasil dari Audit Sistem Informasi pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa
Timur?
4. Bagaimana membuat laporan rekomendasi berdasarkan analisis dan hasil
temuan?
1.3 Batasan Masalah
Dalam proses Audit Sistem Informasi pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur
memiliki beberapa batasan masalah sebagai berikut :
1) Dalam proses Audit Sistem Informasi ini lebih fokus domain
Acquire and Implement (AI) padaproses :
a. AI1 Identify Automated Solution
(Mengidentifikasi solusi otomatis).
b. AI5 Procure IT Resource (Mendapatkan
2) Ruang lingkup audit Sistem Informasi ini pada Unit Pelaksana
Teknis (UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur.
1.4 Tujuan
1) Melakukan evaluasi terhadap penilaian berdasarkan Analisis
Maturity Level, Goals and Metrics, Control Objectives dan
menyusun Laporan hasil dari Audit Sistem Informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan
Nasional “Veteran” Jawa Timur.
2) Membuat laporan rekomendasi yang didasarkan dari analisis dan
hasil temuan dalam proses pengumpulan data sebagai acuan untuk
tata kelola TI yang baik menurut standar COBIT 4.1
1.5Manfaat
Manfaat yang diperoleh dari tugas akhir ini adalah :
1) Bagi Universitas Pembangunan Nasional “Veteran“ Jawa Timur :
Manfaat dari penelitian ini adalah untuk melakukan
evaluasi dan penilaian terhadap tata kelola layanan Teknologi
Informasi pada Unit Pelaksana Teknis (UPT) Telematika
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Dan
dijadikan acuan dalam pelaksanaan tata kelola Teknologi Informasi
(TI) yang sesuai dengan standar.
2) Bagi Mahasiswa/Mahasiswi Universitas Pembangunan Nasional
“Veteran“ Jawa Timur :
Sebagai referensi dalam melakukan Auditing mulai dari
proses bisnis yang direncanakan sampai dengan implementasi
dalam suatu organisasi.
1.6Sistematika Penulisan Laporan Tugas Akhir
Sistematika penulisan Laporan Tugas Akhir ini yaitu :
BAB I : PENDAHULUAN
Pada bab satu ini membahas mengenai Latar Belakang Masalah,
Rumusan masalah, Batasan Masalah, Tujuan, Manfaat dan Sistematika
Penulisan Tugas Akhir.
BAB II : TINJ AUAN PUSTAKA
Pada bab dua ini membahas secara singkat teori-teori yang
berhubungan dan mendukung dalam pembuatan laporan ini.
BAB III : METODE PENELITIAN
Pada bab tiga ini dijelaskan tentang metode penelitian yang
meliputi Pelaksanaan dan Metodologi tugas akhir.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab empat ini terdapat penjelasan proses audit, hasil dan
BAB V : PENUTUP
Pada bab lima ini terdapat kesimpulan dan saran dari hasil
TINJ AUAN PUSTAKA
2.1 Pengertian Audit Sistem Informasi
Audit Sistem Informasi dilakukan dengan mengumpulkan dan
mengevaluasi bukti-bukti untuk menentukan apakah sistem informasi dan
sumber daya yang terkait memberikan perlindungan secara memadai terhadap
aset-aset, dapat memelihara integritas data dan sistem serta mampu
menyediakan informasi yang dibutuhkan pihak manajemen sesuai dengan
pemenuhannya terhadap tujuan Organisasi.
Menurut pendapat Ron Weber (1999), "EDP auditing is the process of
collecting and evaluate evidence to determine whether a computer system
safeguards assets, maintains data integrity, achieves organizational goals
effectively, and consumes resources effiently". Pengertiannnya secara garis
besar adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk
menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan
menerapkan sistem pengendalian intern yang memadai, semua aktiva
dilindungi dengan baik atau tidak disalahgunakan serta terjamin integritas
data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem
Audit sistem informasi dilakukan untuk dapat menilai :
1) Apakah sistem komputerisasi suatu organisasi atau perusahaan
dapat mendukung pengamanan aset.
2) Apakah sistem komputerisasi dapat mendukung pencapaian
tujuan organisasi atau perusahaan.
3) Apakah sistem komputerisasi tersebut efektif, efisien dan data
integritas terjamin.
2.1.1 Tujuan Audit Sistem Infor masi
Tujuan audit sistem informasi menurut Ron Weber (1999)
dapat disimpulkan secara garis besar terbagi menjadi empat tahap,
yaitu :
1) Meningkatkan keamanan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras
(Hardware), perangkat lunak (Software), sumber daya manusia,
file data harus dijaga oleh suatu sistem pengendalian intern yang
baik supaya tidak terjadi penyalahgunaan aset.
2) Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar
sistem informasi data memiliki atribut-atribut tertentu seperti :
3) Keefektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan
penting dalam proses pengambilan keputusan. suatu sistem
informasi dapat dikatakan efektif apabila sistem tersebut telah
sesuai dengan kebutuhan.
4) Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu
komputer tidak lagi memiliki kapasitas memadai.
2.2Definisi dan Sejar ah Perkembangan COBIT
Control Objectives for Information and related Technology (COBIT)
adalah seperangkat kerangka kerja bagi manajemen Teknologi Informasi (TI)
yang disusun oleh Information System Audit and Control Association
(ISACA), dan IT Governance Institute (ITGI) pada 1996. Selain itu,
disebutkan juga bahwa COBIT memiliki empat versi yaitu :
1) 1996, edisi CoBiT yang pertama diperkenalkan.
2) 1998, edisi kedua menambahkan Management Guidelines.
3) 2000, edisi ketiga dipublikasikan dan tersedia versi online.
4) Desember 2005, edisi keempat dipublikasikan.
COBIT merupakan standar yang dinilai paling lengkap dan
menyeluruh sebagai framework IT audit karena dikembangkan secara
berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di
hampir seluruh negara.
Misi COBIT adalah "Melakukan riset, mengembangkan,
mempublikasikan, serta mempromosikan kerangka tujuan pengendalian tata
kelola Teknologi Informasi yang dapat diterima secara International, bersifat
otoritatif, up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Kerangka COBIT ini akan efektif digunakan untuk menjaga
pengendalian internal dengan dukungan Teknologi Informasi yang tinggi,
seperti perusahaan yang didukung dengan proses otomatisasi atau produknya
berkaitan dengan Teknologi Informasi (TI). COBIT menyediakan suatu cara
yang baik untuk memahami dan mendokumentasikan pengendalian internal
suatu organisasi. Kerangka COBIT ini bukan merupakan pengganti, tetapi
merupakan suatu pendukung pengendalian internal COSO agar lebih mudah
memahami dan mendokumentasikan pengendalian intern, khususnya pada
perusahaan berbasis TI.
Framework COBIT menyediakan pernyataan pengendalian tertinggi
untuk proses TI dengan mengidentifikasi kebutuhan bisnis terhadap
dalam proses, mencantumkan keberadaan pengendalian dan menyebutkan
tujuan pengendalian secara umum (Colbert, 1996).
COBIT (Control Objectives for Information and Related Technology)
merupakan sebuah proses model yang dikembangkan untuk membantu
perusahaan dalam pengelolaan sumber daya Teknologi Informasi (TI). Proses
model ini difokuskan pada pengendalian terhadap masing-masing dari 34
proses TI, meningkatkan tingkat kemapanan proses dalam TI dan memenuhi
ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan para
eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga
dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh
dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadap Corporate Governance dan kebutuhan perusahaan agar mampu
berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi
kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melalui adopsi
COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui
penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya. COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
(ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi
4.1.
Dalam COBIT 4.1 terdapat 34 daftar proses yang terbagi dalam 4
domain yaitu Plan And Organise (PO), Acquire And Implement (AI), Deliver
And Suport (DS), dan Monitor And Evaluate (ME). Proses – proses yang ada
dalam Cobit mencerminkan proses yang mungkin terdapat dalam sebuah
organisasi. Jumlah proses yang terdapat dalam sebuah organisasi bervariasi,
bergantung dari besar kecilnya organisasi itu.
2.2.1 Struktur Paket COBIT
Sebuah paket COBIT yang lengkap terdiri atas :
1) Executive Overview
Sebuah keputusan bisnis didasarkan kepada informasi yang
relevan, tepat waktu, dan tepat. COBIT dirancang untuk digunakan
oleh eksekutif senior dan manajer. Executive Overview terdiri dari
tinjauan yang menyediakan perhatian dan pemahaman atas konsep dan
prinsip kunci dari COBIT. Overview ini juga mencakup sinopsis
mengenai kerangka dasar yang menyediakan pemahaman yang lebih
mendetail atas konsep dan prinsip.
COBIT mendefinisikan 34 proses generik untuk mengelola
Teknologi Informasi. Setiap proses didefinisikan bersama dengan
proses input dan output, proses kegiatan kunci, tujuan proses, ukuran
tata kelola Teknologi Informasi dengan mendefinisikan dan
menyelaraskan tujuan bisnis dengan tujuan dan proses Teknologi
Informasi.
2) Kerangka Kerja (Framework)
Framework menjelaskan bagaimana proses IT akan memberikan
informasi yang dibutuhkan perusahaan dalam mencapai tujuannya.
Dalam COBIT framework ini disampaikan misi COBIT yaitu :
"Melakukan riset, mengembangkan, mempublikasikan, serta
mempromosikan kerangka tujuan pengendalian tata kelola Teknologi
Informasi yang dapat diterima secara International, bersifat otoritatif,
up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Pemberian informasi ini dikendalikan dengan 34 tujuan
pengendalian tingkat tinggi (high-level control), satu untuk
masing-masing proses IT. Lingkup kriteria informasi yang sering menjadi
perhatian COBIT adalah :
a. Effectiveness : Berhubungan dengan informasi yang
relevan dan berhubungan dengan proses bisnis, yang
mana disampaikan secara tepat waktu, benar, konsisten
b. Efficiency : Mengenai ketentuan dari informasi melalui
penggunaan sumber daya yang optimal (yang paling
produktif dan ekonomis).
c. Confidentiality : Menekankan pada perlindungan atas
informasi yang sensitif dari penyingkapan yang tidak
berwenang.
d. Integrity : Berhubungan dengan akurasi dan
kelengkapan informasi, dan juga validitas yang sejalan
dengan nilai dan harapan bisnis.
e. Availability : Terkait dengan informasi yang tersedia
ketika diperlukan oleh proses bisnis saat ini dan dimasa
mendatang. hal ini juga berkaitan dengan perlindungan
atas sumber daya yang penting.
f. Compliance : Berhubungan dengan kepatuhan pada
hukum, peraturan dan perjanjian kontrak yang mana
terkait dengan proses bisnis.
g. Reliability : Berhubungan dengan ketentuan bagi
informasi yang sesuai untuk manajemen dalam
mengelola entitas dan melakukan tanggung jawab tata
kelola.
Framework ini juga mengidentifikasikan kriteria untuk
a. Aplikasi : adalah sistem pengguna otomatis dan
prosedur manual yang memproses informasi.
b. Informasi : adalah data, dalam segala bentuknya,
dimasukkan, dan output-nya yang diproses oleh sistem
informasi dalam bentuk apapun yang digunakan oleh
bisnis.
c. Infrastruktur : adalah teknologi dan fasilitas (Misalnya,
perangkat keras, sistem operasi, sistem manajemen
database, jaringan, multimedia dan lingkungan yang
mendukung rumah dan mereka) yang memungkinkan
pemrosesan aplikasi.
d. Orang-Orang : adalah personil yang dibutuhkan untuk
merencanakan, mengatur, memperoleh, melaksanakan,
memberikan, dukungan, memantau dan mengevaluasi
sistem layanan informasi. mereka mungkin internal,
outsourcing, atau dikontrak seperti yang diperlukan.
3) Uraian Pr oses (Process Description)
Merupakan suatu model proses referensi dan bahasa umum
untuk setiap orang untuk melihat dan mengelola kegiatan
Teknologi Informasi dalam sebuah organisasi. Proses ini
ini disajikan hal mengenai definisi setiap proses, fokus
pelaksanaan proses, target yang hendak dicapai dan alat untuk
pengukuran proses tersebut.
4) Tujuan Pengendalian (Control Objectives)
Tujuan pengendalian COBIT menyediakan pemahaman
yang kritis dalam menentukan kebijakan yang jelas dan praktik
yang baik untuk pengendalian IT. Termasuk didalamnya
pernyataan akan keinginan untuk mencapai 214 tujuan
pengendalian spesifik dan tujuan pengendalian detail dalam 34
proses IT tingkat tinggi (High-Level IT Processes).
Pengendalian didefinisikan sebagai kebijakan, prosedur,
praktek dan struktur organisasi yang dirancang untuk memberikan
keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan
kejadian yang tidak diinginkan akan dicegah atau dideteksi dan
diperbaiki.
Tujuan pengendalian Teknologi Informasi menyediakan
satu set persyaratan tingkat tinggi yang lengkap untuk
dipertimbangkan oleh manajemen untuk pengendalian yang efektif
pada setiap proses Teknologi Informasi, yaitu :
a. Apakah pernyataan tindakan manajerial untuk meningkatkan
b. Terdiri dari kebijakan, prosedur, praktek dan struktur
organisasi.
c. Apakah dirancang untuk memberikan keyakinan yang
memadai bahwa tujuan bisnis akan tercapai dan kejadian yang
tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
5) Panduan Manajemen (Management Guidelines)
Management Guidelines tersusun dari konsep yang sudah
matang, untuk membantu menentukan tingkatan dan level
ekspektasi dari pengendalian dan membandingkannya dengan
industri yang sejenis. Ada beberapa istilah yang digunakan
Management Guidelines untuk menentukan kebijakannya yaitu :
a. Generik Input dan Output (From-Input proses and Output-To
Process)
Pemilik proses harus memahami input apakah yang mereka
butuhkan dari orang lain, dan hal lain apakah yang mereka
butuhkan untuk proses tersebut. COBIT menyediakan contoh "Key
Input and Output" pada setiap proses termasuk persyaratan
eksternal Teknologi Informasi. Ada beberapa output yang
merupakan input untuk semua proses lainnya.
b. RACI charts
mengidentifikasi siapa yang bertanggung jawab (Responsible),
pihak mana yang harus mencatat, menyediakan arah dan otorisasi
suatu kegiatan (Accountable), pihak mana yang bisa diajak
melakukan konsultasi (Consulted) atau siapa yang hanya
diberitahukan saja (Informed).
c. Key Activity Goal (Hal terpenting yang harus dilakukan)
d. Metrics (Pengukuran)
6) Model Kedewasaan (Maturity Model)
Model kedewasaan ini menilai kematangan dan
kemampuan per proses dan membantu untuk mengatasi
kesenjangan. Pemodelan kematangan untuk metode manajeman
dan pengendalian atas proses Teknologi Informasi didasarkan pada
suatu metode evaluasi organisasi, sehingga dapat diurutkan dari
level kematangan tidak ada (0) hingga optimal (5).
Pendekatan berasal dari model kematangan bahwa The
Software Engineering Institute (SEI) yang menentukan untuk
kematangan kemampuan pengembangan perangkat lunak
(Software).
Manfaat pendekatan maturity model ini adalah relatif
mudah digunakan oleh manajemen dalam menempatkan skala dan
menghargai hal yang terlibat ketika peningkatan kinerja
diperlukan. Skala nol (0) mengidentifikasikan kemungkinan tidak
kematangan yang sederhana yang menunjukkan bagaimana suatu
proses itu terjadi dari suatu kapasitas yang non-existence ke
kapasitas yang optimised.
Skala maturity model ini akan membantu para profesional
dalam menjelaskan kepada manajer dimana kelemahan proses
manajemen Teknologi Informasi dan mampu menetapkan target
yang dibutuhkan organisasi. Tingkat kematangan akan dipengaruhi
oleh tujuan bisnis organisasi, lingkungan dan praktek industri.
Secara khusus, tingkat kematangan manajemen akan
ketergantungannya pada Teknologi Informasi, kecanggihan
teknologi, dan yang paling penting, nilai informasi itu sendiri.
Berikut pengukuran tingkat kematangan menurut COBIT 4.1 yang
dibagi menjadi 6 level :
0.Nothing, adalah kondisi dimana perusahaan sama sekali tidak
peduli terhadap pentingnya Teknologi Informasi untuk dikelola
secara baik oleh manajemen.
1.Ad-Hoc, adalah kondisi dimana perusahaan secara reaktif
melakukan penerapan dan implementasi Teknologi Informasi
sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa
2.Repeatable, adalah kondisi dimana perusahaan telah memiliki
pola yang berulang kali dilakukan dalam melakukan manajemen
aktivitas terkait dengan tata kelola Teknologi Informasi, namun
keberadaannya belum terdefinisi secara baik dan formal sehingga
masih terjadi ketidak konsistenan.
3.Defined, adalah kondisi dimana perusahaan telah memiliki
prosedur baku formal dan tertulis yang telah disosialisasikan ke
segenap jajaran manajemen dan karyawan untuk dipatuhi dan
dikerjakan dalam aktivitas sehari-hari.
4.Managed, adalah kondisi dimana perusahaan telah memiliki
sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai
sasaran maupun obyektif kinerja setiap penerapan aplikasi
Teknologi Informasi yang ada.
5.Optimised, adalah kondisi dimana perusahaan dianggap telah
mengimplementasikan tata kelola manajemen Teknologi Informasi
2.2.2 Kerangka Kerja Model COBIT
Kerangka COBIT mengikat kebutuhan bisnis untuk informasi
dan tata kelola untuk tujuan fungsi layanan Teknologi Informasi.
Model proses Teknologi Informasi COBIT memungkinkan kegiatan
dan sumber daya Teknologi Informasi yang mendukung mereka agar
dapat dikelola dan dikendalikan secara tepat berdasarkan tujuan
pengendalian COBIT dan selaras serta diawasi menggunakan tujuan
(Goal) dan pengukuran (Metric) COBIT.
Ringkasnya sumber daya Teknologi Informasi yang dikelola
oleh proses Teknologi Informasi untuk mencapai tujuan yang
merespon Teknologi Informasi dengan kebutuhan bisnis. Inilah prinsip
dasar dari kerangka COBIT (COBIT Framework). Seperti pada kubus
COBIT gambar 2.2.
Untuk tampilan secara lebih detail, keseluruhan kerangka
COBIT dapat ditunjukkan secara grafis dibawah ini, dengan
menampilkan 4 domain COBIT, yang terdiri dari 34 proses generik,
mengelola sumber daya Teknologi Informasi dan menyampaikan
2.2.3 Domain COBIT 4.1
Terdapat empat Domain dalam COBIT 4.1 yaitu :
1) Plan and Organise (PO)
Domain Perencanaan dan Organisasi meliputi penggunaan informasi
dan teknologi dan seberapa bagus digunakan dalam perusahaan untuk
membantu pencapaian tujuan dan sasaran perusahaan. Dalam domain ini
juga menekankan kepada bagaimana bentuk organisasional dan
infrastruktur TI akan digunakan dalam mencapai hasil yang optimal.
Tujuan pengendalian tingkat atas dari proses TI untuk domain
Perencanaan dan Organisasi (PO) :
a. PO1. Define a Strategic IT Plan and Direction (Mendefinisikan
Rencana Strategis TI)
b. PO2. Define the Information Architecture (Mendefinisikan Arsitektur
Informasi)
c. PO3. Determine Technological Direction (Menentukan Petunjuk
Teknologis)
d. PO4. Define the IT Processes, Organization and Relationships
(Mendefinisikan Proses, Organisasi dan Hubungan TI)
e. PO5. Manage the IT Investment (Mengelola Investasi TI)
f. PO6. Communicate Management Aims and Direction
(Mengkomunikasikan Arah dan Tujuan Manajemen)
h. PO8. Manage Quality (Mengelola Kualitas)
i. PO9. Assess and Manage IT Risks (Menilai dan mengelola Resiko TI)
j. PO10. Manage Projects (Mengelola Proyek-Proyek)
2) Acquire and Implement (AI)
Domain ini meliputi proses identifikasi persyaratan TI, cara
memperoleh teknologi, dan mengimplementasikannya kedalam proses
bisnis perusahaan pada saat ini. Domain ini juga menyebutkan mengenai
pengembangan sebuah perencanaan pemeliharaan yang harus diadopsi
oleh perusahaan dengan tujuan untuk memperpanjang siklus sistem TI dan
komponennya. Berikut berisikan tujuan pengendalian tingkat atas dari
proses IT untuk domain Memperoleh dan Implementasi (AI) :
a. AI1. Identify Automated Solutions (Mengidentifikasi Solusi Otomatis).
Mengidentifikasi setiap kebutuhan untuk sistem Informasi
yang kemudian akan diimplementasikan ke dalam aplikasi dan
membuat analisa sebelum merancang aplikasi tersebut mulai dari studi
kelayakan aplikasi, biaya-manfaat, resiko sampai keputusan apakah
sistem yang akan di implementasikan “Membuat” atau “Membeli” dan
memastikan apakah sistem ini sudah sesuai dengan tujuan bisnis yang
dijalankan. Tujuan dari Proses-proses diatas yaitu untuk
meminimalkan biaya untuk memperoleh dan menerapkan solusi dari
AI1.1. Definisi dan pemeliharaan bisnis fungsional serta kebutuhan
teknik.
Mengidentifikasi, memprioritaskan, menentukan dan
menyepakati kebutuhan bisnis fungsional dan teknik meliputi cakupan
penuh dari semua inisiatif yang diperlukan untuk mencapai hasil yang
diharapkan dari program investasi IT-enabled.
Pada proses ini menjelaskan bahwa ketika membangun sebuah
sistem untuk memenuhi kebutuhan bisnis, maka diperlukan
identifikasi kebutuhan, menyepakati kebutuhan bisnis dan teknik dari
berbagai pihak, terutama pada pihak yang berhubungan dengan sistem
yang akan dibangun agar manfaat dapat tercapai seperti yang
diharapkan.
AI1.2. Laporan analisa Resiko.
Mengidentifikasi, mendokumentasikan dan menganalisa resiko
yang terkait dengan kebutuhan bisnis dan desain solusi sebagai bagian
dari proses organisasi untuk pengembangan kebutuhan.
Dalam hal membangun solusi TI COBIT menyatakan bahwa
ketika mengidentifikasi solusi otomatis maka diperlukan juga
dokumentasi. Menganalisa dampak dan kemungkinan yang terjadi
AI1.3. Studi Kelayakan dan Penyusunan Program Alternatif
Mengembangkan studi kelayakan yang mengkaji kemungkinan
menerapkan kebutuhan. Manajemen bisnis, didukung oleh fungsi TI,
harus menilai kelayakan program dan alternatif tindakan dan membuat
rekomendasi kepada sponsor bisnis.
Hal ini merupakan salah satu dari proses mengidentifikasi
solusi otomatis. Dimana studi kelayakan harus dikembangkan dengan
harapan hasil sesuai dengan yang diinginkan. Studi kelayakan
didefinisikan oleh pemilik proses bisnis. Dan satndar teknologi
mengikuti perkembangan pada saat itu. Dan memberikan rekomendasi
kebutuhan apa saja yang akan digunakan untuk menerapkan solusi TI
yang akan diimplementasikan. Mulai dari perangkat keras, perangkat
lunak, jaringan sampai dengan sumber daya manusia yang
mendukung.
AI1.4. Persyaratan dan keputusan kelayakan dan persetujuan.
Verifikasi bahwa proses ini membutuhkan sponsor bisnis untuk
menyetujui dan menandatangani pada kebutuhan bisnis fungsional dan
teknis serta laporan studi kelayakan pada tahap kunci yang telah
ditentukan. Sponsor bisnis harus membuat keputusan akhir terhadap
Pada proses ini menyatakan bahwa setiap hasil dari identifikasi
maupun studi kelayakan kebutuhan yang akan diterjemahkan kedalam
sebuah solusi otomatis, maka diperlukan persetujuan dari pemilik
proses bisnis. Hal ini diperlukan untuk menghindari asumsi studi
kelayakan yang salah. Manajemen bisnis harus memberikan keputusan
akhir untuk menyatakan bahwa studi kelayakan yang dilakukan sudah
sesuai dengan kebutuhan.
b. AI2. Acquire and Maintain Application Software (Memperoleh dan
Memelihara Aplikasi Perangkat Lunak).
Memastikan aplikasi yang dirancang sesuai dengan kebutuhan
bisnis perusahaan. Proses ini meliputi perancangan desain aplikasi
dengan kontrol keamanan dan standar konfigurasi sistem.
c. AI3. Acquire and Maintain Technology Infrastructure (Memperoleh
dan memelihara Infrastruktur Teknologi).
Proses ini meliputi pemeliharaan dan perlindungan
infrastruktur IT yang sesuai dengan strategi dan teknologi yang
diterapkan. Memastikan dukungan terhadap teknologi yang
berkelanjutan untuk sistem aplikasi yang dirancang.
d. A14. Enable Operation and Use (Memungkinkan Operasi dan
Pengetahuan tentang sistem baru yang tersedia. Proses ini
membutuhkan dokumen dan manual book bagi pengguna. Dan
menyediakan pelatihan untuk memastikan penggunaan yang tepat
dalam pengoperasian aplikasi dan infrastruktur.
e. AI5. Procure IT Resource (Mendapatkan Sumber Daya TI)
Sumber Daya IT, termasuk orang-orang, perangkat keras,
perangkat lunak dan jasa perlu diperoleh. Hal ini membutuhkan
definisi dan melaksanakan prosedur pengadaan, pemilihan Vendor,
pengaturan perjanjian kontrak dan akuisisi itu sendiri . Hal ini
dilakukan untuk memastikan bahwa organisasi bisnis memiliki sumber
daya IT yang tepat dan hemat biaya.
AI5.1. Pengawasan Pengadaan
Mengembangkan dan mengikuti serangkaian prosedur dan
standar yang konsisten dengan proses pengadaan secara keseluruhan
organisasi bisnis dan strategi akuisisi untuk memperoleh yang
berkaitan dengan IT infrastruktur, fasilitas, perangkat keras, perangkat
lunak dan layanan yang dibutuhkan oleh bisnis.
Dalam proses ini bahwa pengawasan diperlukan dalam hal
pengadaan barang maupun jasa. Pengawasan ini berupa dokumen
sebagai pedoman untuk melaksanakan kegiatan dan anggaran yang
dibutuhkan dalam proses binis yang dijalankan.
AI5.2. Manajemen Kontrak dengan Pemasok
Membuat prosedur untuk menetapkan, mengubah dan
mengakhiri kontrak untuk semua pemasok. Prosedur harus mencakup,
minimal, legal, keuangan, organisasi, dokumenter, kinerja, keamanan,
kekayaan intelektual, dan tanggung jawab penghentian dan kewajiban
(termasuk klausa hukuman). Semua kontrak dan perubahan kontrak
harus ditinjau oleh para penasehat hukum.
AI5.3. Pemilihan Pemasok
Memilih pemasok menurut sebuah praktek yang adil dan
formal untuk memastikan kesesuaian terbaik yang layak berdasarkan
kebutuhan tertentu. Kebutuhan harus dioptimalkan dengan masukan
dari pemasok yang potensial.
Dalam pemilihan pemasok lebih mengarah pada pengalaman
atau keputusan professional manajemen bisnis sesuai dengan
kondisional lapangan. Hal ini diperlukan untuk memastikan pemasok
kontrak yang disetujui bersama antara pemasok dengan manajemen
bisnis,
AI5.4. Akuisisi Sumber Daya IT
Melindungi dan melaksanakan kepentingan organisasi dalam
semua perjanjian akuisisi kontrak, termasuk hak dan kewajiban semua
pihak dalam kontrak untuk pembelian perangkat lunak, pengembangan
sumber daya, infrastruktur dan jasa.
Pada proses ini merupakan salah satu yang harus dilaksanakan
dalam menjalin hubungan kerjasama dengan pihak ketiga. Dimana
manajemen bisnis harus melindungi dan melaksanakan kepentingan
organisasi terlebih dahulu. Harapannya dalam menjalin kerjasama
tersebut tidak merugikan pihak organisasi dan tentunya dapat menjaga
nama baik organisasi.
f. AI6. Manage Changes (Mengelola Perubahan).
Semua perubahan, termasuk pemeliharaan dan patch darurat,
yang berkaitan dengan infrastruktur dan aplikasi dalam produksi
lingkungan secara resmi dikelola secara terkontrol. Perubahan
termasuk Prosedur, proses, sistem dan parameter layanan akan dicatat,
dinilai dan disahkan sebelum diimplementasikan dan ditinjau lagi
ini menjamin pengurangan resiko yang berdampak negative bagi
kestabilan dan keutuhan lingkungan produksi.
g. AI7. Install and Accredit Solutions and Changes (Instalasi dan
akreditasi solusi dan perubahan).
Sistem baru perlu dibuat operasional setelah pembangunan
selesai. Hal ini memerlukan pengujian yang tepat dalam lingkungan
yang berdedikasi dengan data uji yang relevan, definisi instruksi
peluncuran dan migrasi, perencanaan rilis dan promosi yang
sebenarnya untuk produksi, dan review pasca implementasi.Hal ini
menjamin bahwa sistem operasional sesuai dengan hasil dan harapan
yang telah disepakati.
3) Deliver and Support (DS)
Domain ini berfokus pada aspek penyampaian dari TI. Domain ini
meliputi beberapa area seperti eksekusi aplikasi dalam sistem IT dan
hasilnya, sama seperti proses dukungan yang memungkinkan eksekusi
yang efektif dan efisien dalam sistem TI tersebut. Proses dukungan ini
meliputi isu keamanan dan pelatihan. Berikut merupakan tujuan
pengendalian tingkat atas dari domain penyampaian dan dukungan :
a. DS1. Define and Manage Service Levels (Mendefinisikan dan
Mengelola Level Layanan)
b. DS2. Manage Third-Party Services (Mengelola Layanan Pihak
c. DS3. Manage Performance and Capacity (Mengelola Kinerja dan
Kapasitas)
d. DS4. Ensure Continous Service (Menjamin Layanan
Berkesinambungan)
e. DS5. Enseru Systems Security (Menjamin Keamanan Sistem)
f. DS6. Identify and Allocate Costs (Mengidentifikasi dan
Mengalokasikan Biaya)
g. DS7. Educate and Train Users (Mendidik dan Melatih Pengguna)
h. DS8. Manage Service Desk and Incidents (Mengelola Layanan dan
Insiden)
i. DS9. Manage the Configuration (Mengelola Konfigurasi)
j. DS10. Manage Probelms (Mengelola Masalah)
k. DS11. Manage Data (Mengelola Data)
l. DS12. Manage the Physical Environment (Mengelola Lingkungan
Fisik)
m. DS13. Manage Operations (Mengelola Operasi)
4) Monitor and Evaluate (ME)
Domain Pemantauan dan Evaluasi mengacu kepada strategi
perusahaan dalam menilai kebutuhan perusahaan dan apakah dalam sistem
TI yang sekarang memenuhi tujuan yang dibutuhkan untuk mendesain dan
adanya pengendalian yang dibutuhkan dalam memenuhi peraturan yang
berlaku. Pemantauan juga meliputi isu penilaian yang independen dari
proses pengendalian oleh auditor internal dan external. Berikut
merupakan tujuan pengendalian tingkat atas dari domain ini :
a. ME1. Monitor and Evaluate IT Processes (Mengawasi dan
Mengevaluasi Proses TI)
b. ME2. Monitor and Evaluate Internal Control (Mengawasi dan
Mengevaluasi pengendalian internal)
c. ME3. Ensure Compliance With External Requirements (Menjamin
kepatuhan pada kebutuhan eksternal)
d. ME4. Provide IT Governance (Menyediakan tata kelola TI)
2.3 Gambar an Umum Mengenai Universitas Pembangunan Nasional “Veteran”
J awa Timur
Universitas Pembangunan Nasional “Veteran” Jawa Timur merupakan
salah satu lembaga pendidikan perguruan tinggi di Indonesia yang berdiri
sejak 5 Juli 1959 Selama kurun waktu 53 tahun, UPN “Veteran” Jawa Timur
telah mengalami berbagai perubahan status, kemudian Sejak bulan Desember
2007, dengan disatukannya beberapa yayasan di bawah Departemen
Pertahanan RI, maka pembinaan Universitas Pembangunan Nasional
"Veteran" Jawa Timur beralih di bawah Yayasan Kesejahteraan Pendidikan
1) Visi :
Menjadi Universitas terdepan dalam pengembangan ilmu
pengetahuan dan teknologi serta sumberdaya manusia yang dilandasi
nilai dan semangat kejuangan.
2) Misi :
a. Menghasilkan Sumber Daya Manusia yang memiliki nilai-nilai
moralitas, mentalitas dan intelektualitas serta jasmani yang sehat.
b. Mengembangkan ilmu pengetahuan dan teknologi menuju
"Research University".
c. Mengembangkan sistem pemberdayaan masyarakat.
d. Meningkatkan kerjasama dalam bidang akademik dan non
akademik dengan Perguruan Tinggi lain, pemerintah dan Swasta
3) Tujuan :
Menunjang pembangunan nasional di bidang pendidikan tinggi
dalam rangka terciptanya sumber daya manusia yang cakap,
profesional, beriman dan bertaqwa kepada Tuhan Yang Maha Esa,
memiliki disiplin, tanggungjawab dan pengabdian yang tinggi serta
rasa kepedulian terhadap kesejahteraan masyarakat.
4) Iklim Pendidikan
Berkomitmen menyelenggarakan pendidikan berkualitas,
mengikuti perkembangan IPTEK, serta adaptif terhadap
perkembangan global .
Pengamalan Tridhama Perguruan Tinggi bidang Pendidikan
dan pengajaran, penelitian serta pengabdian pada masyarakat
dilaksanakan secara berimbang sehingga tercipta atmosfir akademik
yang berkualitas. Memacu spririt civitas academika untuk
melaksanakan penelitian dan pengabdian masyarakat utamanya dalam
menghasilkan Teknologi Tepat Guna yang diimplementasikan untuk
peningkatan kesejahteraan masyarakat.
2.3.1 Unit Pelaksana Teknis (UPT) Telematika Univer sitas
Pembangunan Nasional “Veteran” J awa Timur
Dalam mewujudkan Visi Misi dan Tujuan untuk mencapainya,
Universitas Pembangunan Nasional “Veteran” Jawa Timur didukung
oleh Unit Pelaksana Teknis (UPT) Telematika yang merupakan salah
satu unit pelayanan teknis di tingkat Universitas yang mempunyai
fungsi pelayanan di bidang Teknologi Informasi dan Komunikasi
(TIK) atau sering disebut dengan IT (Information Technology) kepada
seluruh satker, termasuk staf dosen, karyawan, mahasiswa serta
layanan kepada masyarakat umum.
Unit Pelaksana Teknis (UPT) Telematika pada awalnya
bernama bernama Unit Pelaksana Teknis (UPT) Puskom yang
dibentuk pada tahun 1984 dalam bentuk pelayanan Laboratorium
Komputasi dan Statistik di lingkungan kantor Dekan Koordinator Jl.
Tambakbayan Tengah 17-19 Surabaya. Pada bulan September tahun
1987 Universitas Pembangunan Nasional “Veteran” Jawa Timur
pindah ke kampus baru di Jl. Raya Rungkut Madya - Gununganyar,
kemudian laboratorium Komputasi dan Statistik dititipkan sementara
kepada Fakultas Pertanian.
Dengan semakin berkembangnya IT dan kompleksitas
statusnya ditingkatkan menjadi Unit Pelaksana Teknis Pusat Komputer
di tingkat Universitas dan bertanggung jawab langsung kepada Rektor;
dan pada tahun 2007 sesuai dengan semakin besarnya beban tugas dan
tanggung jawab diubah menjadi Unit Pelaksana Teknis (UPT)
Telematika.
1) Tugas Pokok Unit Pelaksana Teknis (UPT) Telematika :
Menyediakan sarana dan prasarana pendukung dan menyajikan
informasi berkualitas yang tepat kebutuhan, tepat waktu dan tepat nilai
berkaitan pelaksanaan Tridharma Perguruan Tinggi dengan
menggunakan perangkat pengolah dan penyaji informasi.
2) Fungsi Unit Pelaksana Teknis (UPT) Telematika :
a. Menyusun rencana program kegiatan jangka pendek,
menengah dan panjang Unit Pelaksana Teknis (UPT)
Telematika sebagai pedoman pelaksanaan tugas.
b. Mengkoordinasi bawahan dalam melaksanakan tugas
agar terjalin kerjasama yang baik.
c. Mengembangkan perangkat keras dengan cara
mengusulkan penambahan dan pemeliharaan untuk
terlaksananya berbagai kegiatan yang telah
d. Menyelenggarakan pendidikan dan pelatihan komputer
untuk meningkatkan keterampilan dan kemampuan staf
Unit Pelaksana Teknis (UPT) Telematika dan satuan
kerja lainnya.
e. Melaksanakan urusan pembuatan program / sistem
informasi sesuai kebutuhan unit kerja lain,
menghasilkan jenis-jenis informasi yang dibutuhkan
sub satker.
f. Menyusun laporan Unit Pelaksana Teknis (UPT)
Telematika sesuai dengan hasil yang telah dicapai
sebagai pertanggung jawaban pelaksanaan tugas.
3) Struktur Organisasi Unit Pelaksana Teknis (UPT) Telematika
Bidang tugas ditinjau dari struktur pada gambar 2.5 yaitu :
a. Ka Telematika :
1.Penanggung jawab rencana program kegiatan.
2.Penanggung jawab rencana pengembangan dan kerjasama.
3.Penanggung jawab penggunaan anggaran.
b.Ka Tata Usaha :
1.Pelaksana perencanaan dan penggunaan anggaran.
2.Pelaporan hasil kegiatan dan anggaran.
3.Pelaporan pertanggung jawaban keuangan.
4.Pelaporan implementasi Manual Prosedur pada ISO 9001-2008.
c. Subbag Pengolahan Data :
1.Pelaksana rencana pengolahan data.
2.Perancangan dan pemeliharaan perangkat lunak.
3.Perancangan sistem database.
4.Pelaporan implementasi Manual prosedur pada ISO 9001-2008.
d.Subbag Pemeliharaan Jaringan dan Portal :
1.Pelaksana rencana pengembangan Jaringan (LAN dan WAN).
2.Perancangan dan pemeliharaan jaringan.
3.Perancangan dan pengembangan website.
4.Perancangan dan pengembangan sistem komputer.
5.Pelaporan implementasi sasaran Mutu 3 pada ISO 9001-2008.
e. Subbag Bisnis Aplikasi :
1.Pelaksana program kerjasama Aplikasi Komputer.
2.Pelaksana kerjasama Aplikasi Komputer
4.Pelaksana dan pengembangan Bisnis Aplikasi Komputer.
5.Pelaporan implementasi sasaran Mutu 1 dan 2 pada ISO
METODE PENELITIAN
Metode penelitian merupakan cara berfikir dan berbuat yang
dipersiapkan secara matang dalam rangka untuk mencapai tujuan penelitian,
yaitu : menemukan, mengembangkan atau mengkaji kebenaran suatu
pengetahuan secara ilmiah atau untuk pengujian hipotesis suatu penelitian. Pada
metode penelitian tentang Audit Sistem Informasi ini terbagi menjadi beberapa
langkah yang digunakan dalam penelitian. Diantaranya menentukan subjek
audit, audit objectives, preaudit planning, prosedur audit serta langkah-langakah
yang diperlukan dalam melaksanakan pengumpulan data, prosedur komunikasi
dengan pihak manajemen, evaluasi hasil pengujian sampai dengan audit report.
3.1 Bagan Alur Audit Sistem Infor masi
Bagan alur pada gambar 3.1 menggambarkan proses mulai awal hingga
akhir dalam melaksanakan Audit Sistem Informasi secara teknis pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur. Dimulai dari studi literature sampai dengan temuan dan
Dimulai dengan studi literatur, dari proses tersebut dapat disimpulkan
bahwa domain dan proses yang akan digunakan dalam Audit Sistem Informasi.
Setelah ditentukan objek Audit dan domain serta proses yang akan digunakan
maka dipetakan kedalam diagram RACI menurut masing-masing proses. Dari
diagram tersebut dapat dilihat siapakah yang menjadi R (Responsible) berarti
siapa yang bertanggung jawab. A (Accountable) pihak mana yang harus
mencatat, menyediakan arah dan otorisasi suatu kegiatan. C (Consulted) yaitu
pihak mana yang mampu diajak konsultasi. Dan siapa yang hanya diberitahukan
saja I (Informed) pada proses bisnis yang ditentukan COBIT.
Setelah pemetaan diagram RACI dengan Struktur Organisasi Universitas
Pembangunan Nasional “Veteran” Jawa Timur, maka langkah selanjutnya yaitu :
penilaian Control Objectives, Maturity Level dan Goals And Metrics. Pada
proses ini diperlukan analisis terlebih dahulu, maksud dan tujuan yang akan
dicapai. Karena statement pada Control Objectives, Maturity Level dan Goals
And Metrics merupakan sumber informasi yang akan direlasikan dengan tata
kelola TI yang ada pada Unit Pelaksana Teknis (UPT) Telematika dengan
pengukurannya sendiri-sendiri.
Dari analisis tersebut menghasilkan pertanyaan dan diajukan kepada
siapa, dokumen yang dibutuhkan dan kuisioner. Dari hasil penggalian data
tersebut akan menghasilkan temuan-temuan dari pertanyaan yang diajukan,
Langkah selanjutnya yaitu analisis temuan, bukti dokumen dan hasil
kuisioner untuk dijadikan bahan penilaian pada proses Control Objectives,
Maturity Level, dan Goals And Metrics.
Proses selanjutnya yaitu analisis sebab akibat jika ada beberapa proses
dalam tata kelola TI menurut COBIT belum terpenuhi oleh Organisasi. Hal ini
disupport penuh dari temuan hasil interview, bukti dokumen maupun kuisioner.
Dan hasil dari analisis sebab akibat akan dijadikan temuan dan rekomendasi
yang akan dilaporkan kepada pihak terkait dalam hal ini Unit Pelaksana Teknis
(UPT) Telematika.
3.2Audit Subject
3.2.1 Gambar an Umum Mengenai Universitas Pembangunan Nasional
“Veteran” J awa Timur
Universitas Pembangunan Nasional “Veteran” Jawa Timur
merupakan salah satu lembaga pendidikan perguruan tinggi di
Indonesia yang berdiri sejak 5 Juli 1959 selama kurun waktu 53 tahun,
UPN “Veteran” Jawa Timur telah mengalami berbagai perubahan
status, kemudian Sejak bulan Desember 2007, dengan disatukannya
beberapa yayasan di bawah Departemen Pertahanan RI, maka
pembinaan Universitas Pembangunan Nasional "Veteran" Jawa Timur
beralih di bawah Yayasan Kesejahteraan Pendidikan dan Perumahan
1) Visi :
Menjadi Universitas terdepan dalam pengembangan ilmu
pengetahuan dan teknologi serta sumberdaya manusia yang dilandasi
nilai dan semangat kejuangan.
2) Misi :
a. Menghasilkan Sumber Daya Manusia yang memiliki nilai-nilai
moralitas, mentalitas dan intelektualitas serta jasmani yang sehat.
b. Mengembangkan ilmu pengetahuan dan teknologi menuju
"Research University".
c. Mengembangkan sistem pemberdayaan masyarakat.
d. Meningkatkan kerjasama dalam bidang akademik dan non
akademik dengan Perguruan Tinggi lain, Pemerintah dan Swasta
3) Tujuan :
Menunjang Pembangunan Nasional di bidang pendidikan
tinggi dalam rangka terciptanya sumber daya manusia yang cakap,
profesional, beriman dan bertaqwa kepada Tuhan Yang Maha Esa,
memiliki disiplin, tanggungjawab dan pengabdian yang tinggi serta
rasa kepedulian terhadap kesejahteraan masyarakat.
3.2.2 Unit Pelaksana Teknis (UPT) Telematika Universitas
Pembangunan Nasional “Veteran” J awa Timur
Dalam melakukan audit, tahap pertama yang harus dilakukan
tingkat fungsionalitas yang paling tinggi dalam mendukung proses
bisnis pada Universitas Pembangunan Nasional “Veteran” Jawa
Timur. Pada tahapan ini perlu peninjauan secara langsung ketempat
yang akan diaudit dan mencari data tentang seberapa besar peran yang
dilakukan organisasi tersebut untuk menunjang proses bisnis yang ada
di Universitas Pembangunan Nasional “Veteran” Jawa Timur. Dalam
hal ini telah ditentukan yaitu Unit Pelaksana Teknis (UPT)
Telematika.
Dalam mewujudkan Visi Misi dan Tujuan untuk mencapainya,
Universitas Pembangunan Nasional “Veteran” Jawa Timur didukung
dengan Sumber daya yang bergerak dibagian TI yang dikelola oleh
Unit Pelaksana Teknis (UPT) Telematika sebagai unit pelayanan
teknis di tingkat Universitas yang mempunyai fungsi pelayanan di
bidang Teknologi Informasi dan Komunikasi (TIK).
3.3 Audit Objectives
Unit Pelaksana Teknis (UPT) Telematika merupakan salah unit
pelayanan teknis di tingkat universitas yang mempunyai fungsi sebagai
pelayanan dibidang Teknologi Informasi dan Komunikasi (TIK) yang
berperan penting dalam proses utama dalam kegiatan belajar mengajar di
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Ditinjau dari
berpengaruh besar terhadap kegiatan belajar mengajar. Sehingga Unit
Pelaksana Teknis ini merupakan bagian yang sangat vital jika terjadi
kesalahan dalam lingkup Universitas.
3.4 Preaudit Planning
Dalam mempersiapkan pelaksanaan Audit terdapat beberapa hal yang
perlu dipersiapkan mulai dari mengidentifikasi sumber daya yang diperlukan,
berupa beberapa dokumen pendukung, mengumpulkan data-data,
mengumpulkan bukti, mengevaluasi temuan, membuat laporan akhir dan
membuat rekomendasi.
3.5 Pr osedur Audit dan Langkah-Langkah Untuk Mengumpulkan Data
Data yang berkaitan dengan audit sistem informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur nantinya akan diperoleh melalui wawancara, kuisioner,
dan peninjauan dokumen yang dibutuhkan kepada pihak yang bersangkutan
yaitu Unit Pelaksana Teknis (UPT) Telematika. Dan untuk mendapatkan data
yang berkaitan dengan Sistem Informasi Unit Pelaksana Teknis (UPT)
Telematika akan menggunakan Kertas Kerja dan poin poin yang digunakan
adalah sesuai dengan domain Acquire and Implement yang mengacu pada
Framework COBIT 4.1. pada 2 proses saja, yaitu :
2) AI5. Procure IT Resources (Mendapatkan sumber daya IT).
3.6 Pr osedur Komunikasi Dengan Pihak Manajemen
Salah satu tahap yang menentukan tercapainya proses wawancara
sehingga hasil yang didapatkan akan dapat diolah menjadi tolak ukur nilai
dalam pengauditan, dimana auditor akan berinteraksi langsung dengan pihak
yang terkait dalam pengelolahan Sistem Informasi dalam hal ini yaitu Unit
Pelaksana Teknis (UPT) Telematika.
3.7 Evaluasi Hasil Pengujian
Kertas kerja dan pertanyaan-pertanyaan wawancara yang digunakan
untuk proses pengumpulan data yang ada pada Unit Pelaksana Teknis (UPT)
Telematika ini mengacu pada goals and metrics, dan aktifitas proses
masing-masing control process sesuai dengan COBIT.
3.8 Audit Report
Hasil dari Audit akan di ukur dengan menggunakan maturity model
sebagai pengukur seberapa baik sistem yang sedang berjalan pada Unit
Pelaksana Teknis (UPT) Telematika. Dengan model maturity manajemen
dapat mengukur posisi proses sistem informasi yang sedang berjalan dan
untuk memetakan posisi proses sistem informasi adalah dengan menggunakan
kertas kerja.
Kertas kerja dibuat dengan menggunakan teknik wawancara,
kuisioner, dan peninjauan dokumen yang dibutuhkan. Selanjutnya hasil
pemetaan maturity di-review dengan melakukan wawancara ke pihak terkait
apakah sudah sesuai dengan kondisi di lapangan. Sedangkan tujuan
pengendalian ditetapkan dengan mempertimbangkan Control Objective,
HASIL DAN PEMBAHASAN
Hasil dan pembahasan merupakan proses dalam pencapaian hasil dari
penelitian mulai awal hingga akhir. Pada bab ini dijelaskan bagaimana tahapan audit
sistem informasi pada Unit Pelaksana Teknis (UPT) Telematika Universitas
Pembangunan Nasional “Veteran” Jawa Timur. Mulai dari pemetaan diagram RACI,
interview kepada pihak yang terkait dengan Audit Sistem Informasi, pengukuran
kinerja TI menggunakan maturity level, analisis Control Objectives, dan analisis
Goals and Metrics yang telah disediakan COBIT sebagai acuan. Dan yang terakhir
membuat laporan hasil temuan dan rekomendasi kepada Unit pelaksana Teknis (UPT)
Telematika terkait dengan proses yang digunakan untuk audit.
Dalam menentukan domain COBIT yang digunakan untuk audit pada Unit
Pelaksana Teknis (UPT) Telematika, penulis menentukan secara langsung pada
domain Acquire And Implement (AI), pada proses kinerja TI AI1 mengidentifikasi
solusi otomatis dan AI5 Mendapatkan Sumber Daya TI berdasarkan tinjauan
langsung ke tempat yang akan diaudit. Dalam proses menentukan domain yang
digunakan untuk audit, didapatkan dari hasil analisa wawancara kepada manajemen
proses bisnis dan dengan mempertimbangkan proses TI apa yang memiliki tingkat
resiko lebih tinggi jika terjadi kesalahan dalam proses kinerjanya. Kajian lebih
mendalam tentang menentukan domain yang digunakan tidak dibahas pada penelitian
