ABSTRACT
Data is one of the most important element in a company, as time goes by, more and more data will need to be processed and managed by the company so that company activities can go smoothly.That is why companies also need to know to what extent they can manage existing data, dan to know it, Santo Yusup Hospital needs to have an audit using COBIT Framework 4.1, especially on data and monitoring, especially on processes (PO2) Define the Information Architecture, (DS5) Ensure System Security, (DS9) Manage the Configuration, (DS11) Manage Data, (DS13) Manage Operation, (ME1) Monitor and Evaluate IT Performance, (ME2) Monitor and Evaluate Internal Control.
ii
Universitas Kristen Maranatha
DAFTAR ISI
PRAKATA ... i
PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii
PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iv
ABSTRACT ... v
I.2. Perumusan Masalah ... 2
I.3 Tujuan ... 2
I.4 Pembatasan Masalah ... 3
I.5 Sistematika Penulisan ... 3
BAB II KAJIAN TEORI ... 5
II.1 Audit Sistem Informasi ... 5
II.1.1 Sistem ... 5
II.1.2. Information Quality ... 6
II.1.3. Proses Audit ... 7
II.1. 4. Tujuan Audit ... 9
II.2. COBIT 4.1 ... 10
II.3 Maturity Model ... 15
BAB III ANALISIS ... 17
III.1. Pemilihan Proses dalam COBIT 4.1 Framework ... 17
III.2. Penjelasan Proses dalam COBIT 4.1 Framework ... 19
III.2.1 PO2 Define The Information Architecture ... 19
III.2.2. DS5 Ensure Sistem Security ... 21
III.2.3. DS9 Manage the Configuration ... 25
III.2.4. DS11 Manage Data ... 27
III.2.5. DS13. Manage Operation ... 30
III.2.7. ME2 Monitor and Evaluate Internal Control ... 34
BAB IV HASIL TERCAPAI ... 37
IV.1. Hasil dari Proses Pengauditan ... 37
IV.1.1. PO2 Define The Information Architecture ... 37
IV.1.2 DS5 Ensure System Security ... 38
IV.1.3 DS9 Manage the Configuration ... 40
IV.1.4 DS11 Manage Data ... 41
IV.1.5 DS13 Manage Operation ... 44
IV.1.6. ME1 Monitor and Evaluate IT Performance ... 46
IV.1.7 ME2 Monitor and Evaluate Internal Control... 48
BAB V EVALUASI ... 49
V.1 Tingkat Kesesuaian Teknologi Informasi di Rumah Sakit Santo Yusup . 49 V.1.1 PO2 Define The Information Architecture ... 49
V.1.2 DS5. Ensure Sistem Security ... 52
V.1.3 DS9 Manage The Configuration ... 55
V.1.4 DS11 Manage Data ... 57
V.1.5 DS13 Manage Operation ... 59
V.1.6 ME1 Monitor and Evaluate IT Performance ... 62
V.1.7 ME2 Monitor and Evaluate Internal Control ... 66
BAB VI PENUTUP ... 69
VI.1 KESIMPULAN ... 69
VI.2 SARAN ... 72
iv
Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 1. CobitBusiness Control Objectives - IT Governance ... 11
DAFTAR TABEL
vi
Universitas Kristen Maranatha
DAFTAR LAMPIRAN
Lampiran A Struktur Organisasi ... A.1
BAB I PENDAHULUAN
I.1. Latar Belakang Masalah
Rumah Sakit Santo Yusup telah didirikan sejak tahun 1973 dibawah
Yayasan Salib Suci, pengelolaannya diserahkan pada direksi RS Santo
Borromeus pada tahun 1976. Tertanggal 1 Maret 1987 Rumah Sakit Santo
Yusup dikelola secara mandiri, namun tetap bergabung di lingkungan
perkumpulan perhimpunan Santo Borromeus, dengan tata kerja dan
mekanisme kerja yang disusun sendiri sesuai dengan susunan organisasi
yang di sesuaikan dengan susunan organisasi yang telah disahkan. Sejak
saat itu Rumah Sakit Santo Boromeus berusaha terus memacu diri mengikuti
perkembangan teknologi dan manajememen klinik, begitu pula dengan
fasilitas-fasilitas pendukung yang sedikit demi sedikit mulai dilengkapi untuk
memenuhi kebutuhan masyarakat dalam bidang kesehatan yang semakin
meningkat.
Dengan usia Rumah Sakit yang telah cukup lama didirikan, maka tak
heran data yang tersimpan sangat banyak. Sistem infromasi yang digunakan
haruslah memenuhi standar kualitas untuk mengolah data yang sangat
banyak dan telah disimpan sejak lama dan berkembang tiap tahunnya.
Keakuratan dan integritras data merupakan salah satu bagian terpenting
dalam organisasi terutama mengenai data kesehatan masyarakat. Rumah
Sakit Santo Yusup juga telah lama tidak melakukan audit sistem sehingga
saat ini pihak Rumah Sakit tidak mengetahui sistem informasi yang telah
Rumah Sakit gunakan telah masuk dalam standar atau belum.
Maka penulis akan melakukan analisa terhadap sistem informasi yang
terdapat pada Rumah Sakit Santo Yusup untuk mengetahui tingkat
2
Universitas Kristen Maranatha Akhir di Rumah Sakit Santo Yusup ini akan difokuskan pada audit sistem
yang terdapat pada Rumah Sakit. Dalam pengauditan di Rumah Sakit Santo
Yusup ini akan digunakan 7 proses dengan menggunakan COBIT 4.1
Framework, yang terdapat dalam Plan and Organise (PO), dalam Monitor
and Evaluate (ME) Delivery and Support (DS) yang berkaitan dengan data
Rumah Sakit beserta monitoring data dan sistem:
I.2. Perumusan Masalah
Rumah Sakit yang sudah lama didirikan tentunya memiliki banyak
sekali informasi yang dikumpulkan berupa data-data, entah itu data medis
masyarakat yang pernah menggunakan layanan pengobatan di Santo Yusup
ataupun data operasional Rumah Sakit itu sendiri dimana data merupakan
bagian yang sangat penting dalam suatu organisasi.
Masalah yang menjadi pembahasan dalam tugas akhir ini adalah
sebagai berikut:
1. Bagaimana alur sistem informasi yang digunakan oleh Rumah Sakit Santo
Yusup saat ini?
2. Bagaimana proses manajemen data / informasi (integrasi, akurasi,
backup, keamanan, dan pengolahan ) yang berada di Rumah Sakit Santo
Yusup ?
3. Bagaimana Rumah Sakit Santo Yusup monitoring data dan sistem yang
ada dalam Rumah Sakit?
I.3 Tujuan
Tujuan tugas akhir ini adalah :
1. Mengetahui alur informasi dan pengolahan data (data center),
pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan
3
2. Mengetahui proses manajemen data/informasi termasuk pengujian atas
kelengkapan dan akurasi data yang dimasukkan dan dihasilkan oleh
sistem informasi.
3. Mengetahui monitoring data dan sistem yang ada dalam Rumah Sakit
Santo Yusup.
I.4 Pembatasan Masalah
Pada laporan ini hanya akan membahas mengenai audit sistem
informasi Rumah Sakit Santo Yusup menggunakan Cobit 4.1 Framework
yang berfokus pada seluruh proses yang berhubungan dengan manage data
yang diolah dari pihak Rumah Sakit dan dibatasi hanya tujuh proses, yaitu :
1. PO2 Define the Information Architecture
2. DS5 Ensure System Security
3. DS9 Manage the Configuration
4. DS11 Manage Data.
5. DS13 Manage Operation.
6. ME1 Monitor and Evaluate IT Performance.
7. ME2 Monitor and Evaluate Internal Control.
Data-data yang tidak tercantum dan terlampirkan di dalam Tugas Akhir
ini merupakan data RAHASIA yang tidak dapat dipublikasikan, keterangan
terdapat di halaman B.4 pada lampiran.
I.5 Sistematika Penulisan
Laporan ini terdiri dari lima bab yang di dalamnya mencakup hal-hal
4
Universitas Kristen Maranatha Bab I : Pendahuluan
Pada bab ini berisi uraian garis besar Tugas Akhir yang memuat latar
belakang, perumusan masalah, tujuan, batasan masalah, dan sistematika
penulisan.
Bab II : Kajian Teori
Pada bab ini berisi tentang landasan teori yang digunakan dalam
pengerjaan Tugas Akhir meliputi, Audit Sistem Informasi, COBIT 4.1
BAB III : Analisis
Pada bab ini berisi analisis sistem yang telah ada dan melakukan audit
terhadap sistem Rumah Sakit Santo Yusup.
BAB IV : Hasil Yang di capai
Pada bab ini berisi perancangan dari Hasil analisis apabila
pengembangan perlu dilakukan.
BAB V: Perbandingan
Pada bab ini akan di bahas mengenai perbandingan antara analisis
dengan hasil yang tercapai Rumah Sakit Santo Yusup.
BAB VI :Kesimpulan dan Saran
Pada bab ini berisi kesimpulan dan saran dari penulisan yang berasal dari
BAB VI PENUTUP
VI.1 KESIMPULAN
Dari hasil pengauditan yang berfokus pada Manage Data yang
dilakukan penulis di Rumah Sakit Santo Yusup, dan berdasarkan hasil
temuan dan analisa data yang didapat maka dapat disimpulkan bahwa:
1. Sistem Rumah Sakit terpusat pada bagian SISFO. Seluruh inputan data
yang masuk akan di-backup oleh SISFO dua kali setiap harinya, data
tersebut akan dikumpulkan dan di-backup lagi dalam kurun waktu satu
bulan sekali dan disimpan ke dalam brankas oleh SISFO untuk
mengantisipasi adanya hilangnya data yang disebabkan oleh incident
yang tidak direncanakan. Seluruh peng-update-an data yang salah akan
diperbaiki oleh SISFO apabila terjadi kesalahan input atau penyimpanan
data melalui prosedur tertentu walaupun prosedur tersebut tidak
tersedia secara tertulis. Setiap bulannya SISFO membuat laporan
evaluasi dan analisa laporan seksi SISFO mengenai perubahan data,
laporan perbaikan atau pergantian hardware, dan perbaikan software.
2. Berdasarkan hasil penelitian, ada beberapa proses yang dianalisa perlu
diadakan perbaikan oleh pihak Rumah Sakit Santo Yusup, khususnya
bagian SISFO. Berikut penjelasan setiap prosesnya:
a. Pada proses di PO2 Enterprise Architecture Model, Rumah Sakit
Santo Yusup tidak memiliki pendokumentasian Enterprise
Architecture Model tersebut secara jelas dan lengkap, Walaupun
pendokumentasian sistem sudah ada seperti ER, DFD, Topologi
70
Universitas Kristen Maranatha b. pendokumentasian tersebut namun tidak dapat menggambarkan
bagaimana sistem dalam Rumah Sakit Santo Yusup secara jelas.
c. Pada Proses DS5 Ensure systems securityssss, mengenai
keamanan sistem dapat dikatakan sudah cukup baik walaupun
Bagian SISFO Rumah Sakit Santo Yusup hanya melakukan testing
pada saat sistem itu dibuat dan apabila terjadi pengembangan dan
perubahan pada sistem saja, begitu pula untuk monitoring
keamanan, dilakukan hanya sesekali apabila terjadi perubahan dan
keluhan dari user bagian lain. Namun untuk mengimbangi ketidak
rutinan monitoring keamanan Bagian SISFO telah
mendokumentasikan incident yeng mungkin dapat terjadi dan yang
pernah terjadi beserta cara penggulangannya, dan memberikan
pencegahan seperti memberikan anti virus yang selalu up to date,
penyetingan virtual IP, penyetingan level raid, melakukan update
pada operating sistem apabila PC mulai mengalami masalah.
Sedangkan untuk keamanan data sensitive, dalam sistem Rumah
Sakit sudah cukup aman dikarenakan sistem telah terintegrasi
dengan baik sehingga jarang terjadi kerusakan data.
d. Proses DS9 Manage Configuration Sudah cukup baik, dibuktikan
dengan SQL Windows Server 2003 dapat menampung data-data
yang terus bertambah setiap harinya, dilakukan update software,
Walaupun prosedur pembukuan dari perubahan, penyimpanan data,
pengintegrasian, perubahan management, incident management,
tidak disusun dengan terperinci namun, pada saat akan dilakukan
perubahan konfigurasi, sistem dapat dikembangkan dengan baik
tanpa adanya kesulitan pada saat kofigurasi itu dilakukan.
e. Proses DS11 Manage Data, dapat dikatakan sudah baik, dibuktikan
71
kali dalam sehari, adanya prosedur yang dibuat untuk pengolahan
dan backup data, pemberian antivirus dan cryptographic untuk
keamanan, dan selama sistem dibuat belum ada masalah yang
berarti mengenai data.
f. Proses DS13 Manage Operation Berfokus pada cara kerja service
levels. Dapat dikatakan belum baik karena bagian SISFO prosedur
hanya terdapat prosedur perawatan hardware Rumah Sakit. Dan
tidak menyediakan prosedur khusus dalam monitoring infrasturktur
IT Rumah Sakit, sehingga monitoring hanya dilakukan apabila
dirasa memang diperlukan.
g. Proses ME1 Monitor and Evaluate IT Performance yang dilakukan
Rumah Sakit Santo Yusup dirasa masih kurang, dikarenakan tidak
memiliki framework ataupun pendekatan monitoring untuk
mendefinisikan ruang lingkup Rumah Sakit, pencapaian target pun
tidak menggunakan metode khusus, hanya diukur melalui
banyaknya kesalahan olah data oleh user Rumah Sakit (tidak ada
ukuran target pencapaian yang jelas), walaupun pendokumentasian
evaluasi yang dilakukan tiap bulan telah di buat dengan baik, namun
masih dirasa masih belum mencukupi untuk monitoring dan
mengevaluasi IT Performance yang ada.
h. Proses ME2 Monitor and Evaluate Internal Control pada Rumah
Sakit Santo Yusup tidak terdapat prosedur monitoring internal
control secara jelas, pengukuran terhadap self asessment tidak
dapat diukur. Sehingga untuk mengetahui sasaran yang hendak
72
Universitas Kristen Maranatha Dilihat dari penjelasan setiap proses diatas dapat dikatakan
kualitas data atau informasi yanhg mencakup integrasi, akurasi,
backup, kemanan dan pengolahan sudah cukup baik. Hanya saja
dirasa kurangnya prosedur-prosedur tertulis untuk pengolahan data
tersebut.
3. Tidak tersedianya prosedur monitoring mengakibatkan Rumah Sakit
Santo yusup tidak melakukan monitoring secara rutin terhadap sistem.
Monitoring yang dilakukan hanya dilakukan apabila dirasa memang
memerlukan monitoring saja, biasanya dilakukan setelah adanya
perubahan pada sistem dan mulai timbulnya
permasalahan-permasalahan yang terjadi dalam sistem.
VI.2 SARAN
Berikut ini saran yang dapat penulis berikan dalam pengerjaan proses
Audit sistem:
1. Sebaiknya Audit ini dilanjutkan oleh pihak Rumah Sakit, sehingga
dapat diketahui bagian-bagian yang harus di perbaiki atau
dikembangkan.
2. Sebaiknya pencarian bukti-bukti saat berjalannya proses Audit,
harus dapat didokumentasikan seluruhnya apabila memang ada,
sehingga tidak menimbulkan kebingungan bagi Auditor.
3. Sebaiknya Audit dilakukan menggunakan seluruh proses yang
terdapat dalam Cobit, sehingga benar-benar jelas bagaimana
keadaan sistem yang digunakan.
4. Sebaiknya Auditor mendapat gambaran dan pemahaman
mengenai teori Audit beserta Framework yang digunakan dan juga
seluruh sumberdaya teknologi informasi dan telekomunikasi yang
DAFTAR PUSTAKA
1. COBIT4.1-executive_summary-membership.
2. Gondodiyoto,Sanyoto(2007).Audit Sistem Informasi + Pendekatan COBIT
(Edisi Revisi).jakarta:Mitra Wacana Media.
3. The IT Governance Institute (2007), COBIT 4.1 :Framework, Control
Objectives, Management Guidelines, Maturity Models, IT Governance
Institute.
4. Information Systems Audit and Control Association(ISACA).Retrieved
September,6,2008,from http://www.isaca.org
5. ”___”.(2008).Information technology audit. Retrieved
