Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Menggunakan COBIT 5 Domain Deliver, Service and Support (Studi Kasus : Badan keuangan Daerah Kota Salatiga) Artikel Ilmiah

(1)

Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)

Menggunakan COBIT 5 Domain

Deliver, Service and Support

(Studi Kasus : Badan keuangan Daerah Kota Salatiga)

Artikel Ilmiah

Diajukan Kepada

Fakultas Teknologi Informasi

Untuk Memperoleh Gelar Sarjana Sistem Informasi

Peneliti:

Daniel Baltasar Thenu (682013059)

Yani Rahardja, S.E., M.M

Program Studi Sistem Informasi

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

(2)

(3)

(4)

(5)

(6)

1. Pendahuluan

Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Program aplikasi ini digunakan untuk pengelolaan keuangan daerah secara terintegrasi, meliputi penganggaran, penatausahaan, akuntansi dan pelaporannya terkhususnya pada BKD kota Salatiga. SIPKD digunakan oleh Organisasi Perangkat Daerah (OPD) pada bidang anggaran, belanja dan pada bidang akuntansi, operator dari SIPKD yaitu adalah bendahara OPD pada BKD. SIPKD mulai digunakan pada tahun 2008, jadi sebelum tahun 2008 masih menggunakan proses manual untuk perencanaan, penganggaran, hingga penatausahaan. Kemudian pada tahun 2008 memutuskan untuk menggunakan aplikasi SIPKD sebagai tools untuk memperlancar pengelolaan keuangan daerah dimulai dari penganggaran, penatausahaan dan pelaporannya. sebelum penganggaran sebenarnya ada perencanaan oleh BAPPEDA yang sekarang mengganti nama menjadi BAPELITBANG.

SIPKD merupakan inovativ sendiri dari Badan Keuangan Daerah (BKD) kota Salatiga bekerja sama dengan pihak ketiga berdasarkan standar yang mengacu pada Peraturan Pemerintah Nomor 58 Tahun 2005 tentang Pengelolaan Keuangan Daerah dan Peraturan Menteri Dalam Negeri nomor 13 Tahun 2006 tentang Pedoman Pengelolaan Keuangan Daerah. Hasil inovativ sendiri dengan pihak ketiga membuat aplikasi SIPKD lebih fleksibel, lebih terbuka bisa dimodif sesuai kebutuhan dan apabila terjadi perubahan pada BPKB maka mudah untuk melakukan perubahan. SIPKD menggunakan metode pencatatan akuntasi cash basis sampai pada tahun 2014, Setelah tahun 2014 ada transisi antara cash basis menjadi accrual basis untuk metode pencatatan akuntansinya. Pada tahun 2014 SIPKD Beralih menjadi tampilan web yang semulanya pada tahun 2008 adalah tampilan desktop. Beralih pada tampilan web dikarenakan menggunakan versi desktop pada masing–masing stand alone aplikasi terjadi masalah proses eksport dan import sehingga didapatkan data yang masuk tidak konsisten. Konsep dari stand alone yaitu program dapat melakukan proses import maupun ekspor data secara online. Permasalahan yang terjadi ketika di kantor lain sudah melakukan perubahan data pada BKD sendiri belum terjadi perubahan data.

(7)

2. Tinjauan Pustaka

2.1 Penelitian Terdahulu

Penelitian sebelumnya yang berjudul “Penerapan COBIT 5 Domain DSS (Deliver, Service, Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand Indonesia”.

Dalam penelitian ini telah dilakukan audit Audit FMS PT Grand Indonesia menggunakan COBIT 5 domain DSS dengan memetakan enterprise goals, IT-related goals, dan proses domain DSS. Setelah dilakukan pemetaan diagram RACI dilakukan pengisian kuesioner dengan tujuan menilai kesesuaian aktivitas pada DSS dengan aktivitas corrective and preventive maintenance FMS. Berdasarkan hasil audit, diperoleh capability level berdasarkan kuisioner dan wawancara pada proses DSS01, DSS02, DSS03, DSS04, DSS05 dan DSS06 yaitu pada level 3 Established Process[3].

Adapun penelitian yang berjudul “Penerapan Framework Cobit 5 Pada Audit Tata

Kelola Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU”. Tujuan

dari penelitian ini adalah untuk mengaudit tata kelola teknologi informasi guna mengetahui sejauh mana tingkat kapabilitas tata kelola teknologi informasi pada Dinas Komunikasi dan Informatika Kabupaten OKU. Hasil dari pengukuran tingkat model capability skala penelitian penerapan framework cobit 5 pada audit tata kelola teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten OKU yaitu memperoleh skala 3 (established process) dengan nilai 3.18, yang artinya Dinas Komunikasi dan Informatika Kabupaten OKU ini sudah mengimplementasikan tata kelola Teknologi Informasi dengan menggunakan proses pelatihan yang telah ditetapkan dalam renstra, dan sudah mencapai target yang diharapkan[4].

(8)

2.2 Dasar Teori

COBIT 5

Gambar 1. Model Referensi Proses pada COBIT 5 (COBIT 5, 2013)

Control Objective for Information & Related Technology (COBIT) merupakan Kumpulan dokumentasi kerangka bisnis untuk IT Governance dan management of enterprise IT yang dapat membantu auditor, pengguna (user), dan manajemen untuk menjembatani antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT atau kinerja IT. COBIT berisi tujuan pengendalian, petunjuk audit, kinerja, hasil metrik, faktor kesuksesan dan maturity model. COBIT dikeluarkan oleh IT Governance Institute (ITGI) COBIT dikembangkan secara berkala oleh Information Systems Audit and Control Association (ISACA)[1].

Cobit 5 merupakan versi terbaru dari arahan ISACA mengenai tata kelola dan manajemen proses perusahaan IT, membagi menjadi dua domain utama yaitu[1] :

1. Tata kelola (Govermance) bertanggung jawab untuk memantau secara langsung evaluate direct and monitor (EDM) domain Proses ini ditetapkan tanggung jawab untuk mengevaluasi, mengarahkan dan memantau penggunaan TI.

 Evaluate, Direct and Monitor (EDM)

EDM domain ini menetapkan kerangka kerja tata kelola, tanggung jawab membangun dalam hal nilai (misalnya, kriteria investasi), faktor resiko dan sumber daya (misalnya, optimalisasi sumber daya), dan menjaga transparansi IT kepada stakeholder.

2. Manajemen (Management) berisi empat domain yang sesuai dengan tanggung jawab seperti proses (PBRM), perencanaan (planning), proses pembangunan (building), proses yang sedang berjalan (running), dan proses memonitor( monitoring). Ada empat domain pada proses Management.

(9)

Berhubungan dengan strategi IT dan taktik atau strategi, arsitektur enterprise, inovasi dan manajemen portofolio. proses penting lainnya mengatasi pengelolaan anggaran dan biaya, sumber daya manusia, hubungan, perjanjian layanan, pemasok, kualitas, risiko, dan keamanan.

 Build, Acquire and Implement (BAI)

Menyediakan solusi mewujudkan strategi TI yang dikembangkan atau diimplmentasikan ke dalam proses bisnis, mengelola dan mengontrol perubahan terkait proses bisnis serta melakukan aktifitas barupa tracking, pelaporan dan dokumentasi untuk memastikan nilai dan kualitas deliverable perusahaan.

 Deliver, Service and Support (DSS)

Domain ini mencakup pengiriman aktual dari layanan TI yang dibutuhkan untuk memenuhi strategis dan rencana taktis. Domain DSS termasuk proses untuk mengelola operasi, permintaan layanan dan insiden, serta pengelolaan masalah, kontinuitas, keamanan dan kontrol proses bisnis.

 Monitor, Evaluate and Assess (MEA)

MEA, termasuk proses yang bertanggung jawab untuk penilaian kinerja proses dan kesesuaian, evaluasi internal kontrol kecukupan, dan pemantauan kepatuhan terhadap peraturan.

Deliver, Service and Support (DSS)

Berkaitan dengan aspek kinerja teknologi informasi mencakup pengiriman aktual dari layanan TI. Domain DSS pada COBIT 5 menjangkau bidang-bidang seperti kinerja aplikasi dalam pengiriman layanan sistem TI dan hasil-hasilnya serta proses yang memungkinkan pelaksanaan yang efektif dan efisien dari sistem TI. Sub domainnya terdiri dari[2] :

 DSS01 (Manage Operations). Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang dibutuhkan untuk memberikan internal dan outsourcing layanan TI, termasuk pelaksanaan prosedur operasi standar yang telah ditetapkan dan kegiatan monitoring yang diperlukan.

 DSS02 (Manage Service Requests and Incidents) Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi dari semua jenis insiden. Memulihkan layanan TI agar kembali normal, mencatat dan memenuhi permintaan pengguna, dan menyelesaikan insiden yang terjadi.

 DSS03 (Manage Problems) Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebab dan memberikan resolusi tepat waktu untuk mencegah insiden berulang, Menyediakan rekomendasi untuk perbaikan.

 DSS04 (Manage Continuity) Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI untuk menanggapi insiden maupun gangguan untuk melanjutkan operasi proses bisnis dan menjaga ketersediaan informasi yang dapat diterima untuk organisasi atau perusahaan.

 DSS05 (Manage Security Services) Melindungi informasi perusahaan untuk mempertahankan tingkat risiko keamanan informasi diterima perusahaan sesuai dengan kebijakan keamanan. Membangun dan mempertahankan peran keamanan informasi dalam hak akses dan melakukan pemantauan keamanan.

(10)

Capability Maturity Model

CMM (Capability Maturity Model). Model tingkat kematangan, membantu mendefenisikan kematangan kemampuan proses–proses suatu organisasi serta mengarahkan organisasi untuk dapat mencapai goal. CMM memiliki tingkatan pengelompokan kapabilitas pengelolaan proses teknologi informasi dari tingkat 0 (non existent) hingga tingkat 5 (optimised) dalam bentuk gambar[1].

Gambar 2. CMM (Capability Maturity Model) COBIT 5 (COBIT 5, 2013)

Berikut penjelasan level dari Process Capability [5] :

a. Level 0 Incomplete Process - Proses yang belum atau gagal dilakukan. b. Level 1 Performed Process - Proses yang menentukan tercapainya tujuan. c. Level 2 Managed Process - Proses yang mencakup perencanaan, monitor, dan

penyesuaian.

d. Level 3 Established Process - Proses yang sudah dibangun kemudian, diimplementasikan untuk mencapai hasil dari proses.

e. Level 4 Predictable Process - Proses yang sudah dibangun kemudian dioperasikan. dengan batasan-batasan yang mampi merauh harapan dari proses.

(11)

3. Metode Penelitian

Penelitian ini menggunakan pendekatan deskriptif kuantitaif. Metode deskriptif dapat diartikan sebagai suatu bentuk penelitian berdasarkan data yang dikumpulkan selama penelitian secara sistimatis mengenai fakta–fakta dan sifat–sifat dari objek yang diteliti sebagaimana adanya. Data tersebut diperoleh dari wawancara, observasi hingga kusioner. Penelitian ini dilaksanakan dalam beberapa tahapan seperti pada Gambar 3 dibawah ini.

Gambar 3. Tahapan Penelitian

Kegiatan yang dilakukan pada tahap pertama meliputi mempelajari teori tentang COBIT 5 dan Capability Maturity Model (CMM) yang membantu penulis dalam penyelesaian tugas akhir ini, Tahap kedua dalam penelitian ini yaitu menentukan domain yang digunakan untuk analisis tingkat kematangan dan rekomendasi, domain yang digunakan adalah domain Delivery service and Support memfokuskan pada kinerja dan pemenuhan layanan TI, Tahap ketiga melakukan pengumpulan data berdasarkan obeservasi, wawancara hingga kuisioner yang dijawab oleh pegawai atau staff IT pada BKD kota Salatiga. Wawancara dan pengamatan sebagai dukungan atas temuan-temuan hasil dari kuisioner. Kuisoner berisi tentang domain dari COBIT Delivery, Service and Support. Tahap selanjutnya setelah pengumpulan data yaitu, pengolahan data yang bersifat kuantitatif diperoleh melalui assessment tool template COBIT 5 dari ISACA. Dari hasil pengumpulan data kemudian diolah dengan menghitung tingkat kematangan (Capability Level), hasil analisa data akan dijadikan rekomendasi sebagai tolak ukur untuk hasil yang lebih baik lagi dan pada tahap akhir dibuatkan simpulan dan saran dari hasil yang telah diteliti.

Kesimpulan Studi literatur (COBIT, CMM)

Pemilihan Domain COBIT Deivery, service and Support

Pengumpulan Data (Wawancara, Kuisioner,

Pengamatan)

Pengolahan Data (analisis tingkat kematangan),

(12)

4. Hasil dan Pembahasan

4.1 Hasil PenilaianTingkat Kematangan Tiap Domain Proses (Capability Level)

Proses ini diperloleh dengan pengumpulan informasi dari kuisioner evaluasi tingkat kematangan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) menggunakan parameter COBIT 5 Domain Delivery, Service and Support (DSS) dengan responden 11 orang dari staff IT pada Badan Keuangan Daerah (BKD) kota Salatiga. Dari hasil penilaian tingkat kematangan tiap domain diperoleh hasil rata – rata tingkat kematangan (Capability Level) sebagai berikut :

1) Domain Proses DSS01 (Mengelola Operasi)

Aktifitas Proses Deskripsi Aktifitas

Tingkat Kematangan

DSS01.01 Melakukan prosedur operasional 3.60

DSS01.02 Mengelola layanan TI outsourcing 3.50

DSS01.03 Memonitor infrastruktur TI 3.60

DSS01.04 Mengelola lingkungan 3.40

DSS01.05 Mengelola fasilitas 3.20

Rata – Rata Tingkat Kematangan 3.46

Tabel 1. Perhitungan Tingkat Kematangan Domain Proses DSS01

(13)

2) Domain Proses DSS02 (Mengelola Permintaan Layanan dan Mengelola Insiden)

Aktifitas Proses Deskripsi Aktifitas

DSS02.01 Menentukan insiden dan permintaan layanan 3.60

DSS02.02

Mencatat, mengkasifikasikan dan memprioritas permintaan

terhadap insiden 3.50

DSS02.03 Memverifikasi, menyetujui dan memenuhi permintaan layanan 3.60

DSS02.04 Menyelidiki, mendiagnosa dan mengalokasikan insiden 3.20

DSS02.05 Menyelesaikan dan memulihkan insiden 3.30

DSS02.06 Menutup permintaan layanan insiden 3.40

DSS02.07 Melacak status dan menghasilkan laporan 3.40

Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS02 didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.43 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan mencakup pengelolaan permintaan layanan dan pengelolaan insiden. Pada domain proses DSS02.01 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan insiden yang terjadi pada SIPKD telah teridentifikasi serta memprioritaskan permintaan layanan (komplain) dari insiden yang terjadi. Domain proses DSS02.02 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan permintaan layanan (komplain) telah teridentifikasi, dicatat serta ditetapkan prioritas untuk penanganan insiden sesuai dengan kebutuhan organisasi. Pada domain DSS02.03 diperoleh tingkat kematangan yaitu 3.60 memastikan pemenuhan permintaan layanan (komplain) sesuai dengan prosedur yang ada pada organisasi. Domain proses DSS02.04 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pencatatan terhadap penyebab insiden yang mungkin terjadi pada SIPKD serta solusi penyelesainnya. Domain DSS02.05 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan adanya pencatatan dan pelaporan terhadap tindakan pemulihan layanan SIPKD. Domain proses DSS02.06 diperoleh tingkat kematangan yaitu 3.40 memastikan permintaan layanan (komplain) telah ditangani serta dan adanya pengecekan terhadap insiden yang telah ditangani berhasil memenuhi permintaan layanan (komplain). Domain proses DSS02.07 diperoleh tingkat kematangan yaitu 3.40 memastikan laporan permintaan layanan (komplain) dimonitor untuk perbaikan kedepannya.

3) Domain Proses DSSO3 (Mengelola Masalah)

DSS03.01 Mengidentifikasi dan klasifikasi masalah. 3.20

DSS03.02 Menyelidiki dan mendiagnosa masalah. 3.40

DSS03.03 Menemukan masalah yang ada 3.40

DSS03.04 Menyelesaikan dan memecahkan masalah 3.50

DSS03.05 Melakukan manajemen masalah secara proaktif 3.60

(14)

pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan mencakup pengelolaan terhadap masalah yang terjadi. Pada domain DSS03.01 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan identifikasi masalah pada masalah yang terjadi serta pelaporannya. Domain proses DSS03.02 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan masalah yang terjadi telah dicatat (log kejadian). Domain proses DSS03.03 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan masalah yang terjadi pada SIPKD diselidiki dan mendiagnosa akar penyebab masalah yang sering terjadi. Domain proses DSS03.04 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya laporan mengenai kesalahan – kesalahan pada pelaksanaan SIPKD yang telah teridentifikasi serta usulan solusi penyelesainnya. Domain proses DSS03.05 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan adanya manajemen terhadap masalah terutama laporan kejadian yang terjadi maupun identifikasi adanya muncul perubahan masalah.

4) Domain Proses DSS04 (Mengelola Keberlanjutan)

DSS04.01

Menentukan kebijakan kelangsungan bisnis, tujuan, ruang

lingkup 3.40

DSS04.02 Mempertahankan strategi kesinambungan 3.60

DSS04.03 Mengembangkan dan menerapkan respon kelangsungan bisnis 3.60

DSS04.04 pelatihan, menguji, dan meninjau BCP 3.40

DSS04.05 Ulasan, memelihara, meningkatkan rencana kesinambungan 3.50

DSS04.06 Melakukan pelatihan rencana kesinambungan 3.10

DSS04.07 Mengelola pengaturan cadangan 3.80

DSS04.08 Melakukan kajian post-resumption 3.50

(15)

diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya peninjauan dimulainya kembali kinerja layanan SIPKD setelah sebelumnya mengalami gangguan

5) Domain Proses DSS05 (Mengelola Layanan Keamanan)

DSS05.01 Melindungi terhadap malware 3.70

DSS05.02 Mengelola jaringan dan keamanan konektivitas 3.50

DSS05.03 Mengelola keamanan endpoint 3.30

DSS05.04 Mengelola identitas pengguna dan akses logis 3.40

DSS05.05 Mengelola akses fisik ke aset TI 3.10

DSS05.06 Mengelola dokumen sensitif dan perangkat output 3.0

DSS05.07 Memonitor infrastruktur untuk event security-related 4.20

Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS05 didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan pada layanan keamanan. Pada domain DSS05.01 diperoleh rata-rata tingkat kematangan yaitu 3.70 memastikan Telah dilakukan perlindungan terhadap kemungkinan software dapat terserang virus (malware). Domain proses DSS05.02 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan Keamanan dan konektivitas jaringan pada BKD mendukung kinerja SIPKD. Domain proses DSS05.03 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan Adanya informasi ketika ada perangkat yang ingin terhubung dengan jaringan SIPKD. Domain prsoses DSS05.04 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan semua pengguna SIPKD dikenali secara unik dan memiliki hak akses sesuai dengan peran bisnis masing – masing. Domain prsoses DSS05.05 diperoleh rata-rata tingkat kematangan yaitu 3.10 memastikan Ruangan staff IT yang menangani SIPKD diawasi, dipantau membatasi semua orang yang masuk pada ruangan tersebut. Domain prsoses DSS05.06 diperoleh rata-rata tingkat kematangan yaitu 3.0 memastikan Output dokumen SIPKD yang terhubung dengan aset TI (printer) diawasi dan diamankan dalam penggunaannya. Domain proses DSS05.07 diperoleh rata-rata tingkat kematangan yaitu 4.20 memastikan adanya pengawasan akses yang tidak sah (staff non IT), memastikan setiap kegiatan yang dilakukan terekam sebagai log peristiwa.

6) Domain Proses DSS06 (Mengelola Kontrol – Kontrol Proses Bisnis)

DSS06.01

Menyelaraskan kegiatan pengendalian tertanam dalam proses

bisnis dengan tujuan organisasi 3.20

DSS06.02 Mengontrol pengolahan informasi 3.50

DSS06.03 Mengelola peran, tanggung jawab, hak akses dan tingkat otoritas. 3.20

DSS06.04 Mengelola kesalahan dan pengecualian 3.20

DSS06.05 Memastikan ketertelusuran informasi acara dan akuntabilitas 3.50

DSS06.06 Mengamankan aset informasi 3.40

(16)

Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS06 didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.33 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan kontrol terhadap proses bisnis. Pada domain proses DSS06.01 diperoleh rata-rata tingkat kematangan 3.20 memastikan adanya monitoring pelaksanaan kegiatan proses bisnis terkait dengan SIPKD, untuk memastikan proses yang dilakukan selaras dan sesuai dengan kebutuhan organisasi. Domain proses DSS06.02 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya pengendalian Informasi yang diproses pada SIPKD memastikan bahwa pemrosesan informasi valid, lengkap, akurat, tepat waktu, dan aman. Domain proses DSS06.03 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan Tugas, Peran dan tanggung jawab staff IT SIPKD diawasi oleh organisasi. Domain proses DSS06.04 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pengecualian proses bisnis dengan menyertakan alasan kesalahan dan pelaksanaan tindakan perbaikan akibat kesalahan input pada SIPKD. Domain proses DSS06.05 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan Ketersediaan data, informasi yang diolah pada SIPKD dapat ditelusuri sesuai dengan proses bisnis dan bertanggung jawab memberikan kepastian bahwa informasi yang diterima telah diolah serta dapat mendorong proses bisnis. Domain proses bisnis DSS06.06 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan adanya persetujuan dan pengamanan penggunaan aset TI di BKD untuk mengakses SIPKD, termasuk perangkat penyimpanan apapun.

4.2 Hasil AnalisisTingkat Kematangan (Capability Level)

Berdasarkan perolehan tingkat kematangan (Capability Level) tiap-tiap domain proses DSS didapatkan hasil analisis rata-rata capability level yaitu 3.43 menunjukan berada pada level 3 Established Process. Artinya aktifitas-aktifitas pada SIPKD sudah dilaksanakan, aktifitas disesuaikan menurut standar (SOP/kebijakan/aturan), serta memiliki alokasi tanggung jawab dan sumber daya yang tepat.

Rata-rata Capability Level

(17)

Berikut merupakan tingkat kematangan (Capability Level) yang diperoleh berdasarkan proses audit yang telah dilakukan,

Gambar 4. Level Existing dan Level Target

Pada gambar 4 dapat diketahui bahwa level existing pada Badan Keuangan Daerah (BKD) kota Salatiga berada pada level 3 Establish Process.

4.3 Penyusunan Rekomendasi

Berdasarkan analisis hasil tingkat kematangan (capabilty level) diperoleh kondisi existing dan dibuatkan rekomendasi setiap proses domain DSS untuk mencapai level 4.

Tabel 8. Rekomendasi DSS01 Mengelola Operasi DSS01 Mengelola Operasi

DSS01.01 Mengelola layanan TI outsourcing

Kondisi Existing Rekomendasi

Adanya Pengelolaan fasilitas penunjang SIPKD (fasilitas TI) terhadap resiko – resiko yang bisa ditimbulkan pada lingkungan TI (kerusakan, bencana alam, dll).

Dilakukan monitoring dari waktu ke waktu dan analisis terhadap pemeliharaan fasilitas TI yang telah dilakukan untuk menghasilkan layanan TI (SIPKD) yang optimal kedepannya.

DSS01.04 Mengelola Lingkungan

Pengelolaan lingkungan TI, termasuk pusat data dan tempat penyimpanan data telah ditentukan sesuai dengan kebijakan organisasi.

(18)

Tabel 9. Rekomendasi DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden

DSS02.04 Menyelidiki, Mendiagnosa dan Mengalokasikan Insiden

Terdapat gejala penyebab insiden yang mungkin terjadi pada SIPKD serta upaya penyelesaiannya.

Dilakukan dokumentasi pencatatan kemungkinan gejala insiden dan solusi penanganan kedepannya.

DSS02.05 Menyelesaikan dan Memulihkan Insiden

Terdapat pencatatan, pelaporan terhadap tindakan pemulihan layanan SIPKD.

Dilakukan dokumentasi pencatatan pengujian solusi yang teridentifikasi untuk tindakan pemulihan layanan TI.

Tabel 10. Rekomendasi DSS03 Mengelola Masalah DSS03 Mengelola Masalah

DSS03.01 Identifikasi dan klasifikasi masalah.

Adanya indentifikasi masalah pada SIPKD dan prosedur pelaporannya.

Dilakukan penentuan kriteria masalah, level prioritas masalah beserta pelaporannya untuk menentukan penindakan selanjutnya. DSS03.02 Menyelidiki dan mendiagnosa masalah.

Terdapat analisis terhadap penyebab masalah yang sering terjadi pada SIPKD.

Dilakukan dokumentasi pencatatan segera setelah terjadinya masalah pada SIPKD dan identifikasi akar penyebab masalah untuk solusi kedepannya.

Tabel 11. Rekomendasi DSS04 Mengelola Keberlanjutan DSS04 Mengelola keberlanjutan

DSS04.04 Pelatihan, Menguji, dan Meninjau BCP.

Staff IT dalam menangani gangguan maupun kendala pada SIPKD ditangani sesuai tugas yang ditentukan oleh organisasi.

Membuat dokumentasi dan melakukan monitoring serta analisis terhadap hal-hal yang harus dikerjakan

DSS04.06 Melakukan Pelatihan Rencana kesinambungan.

Staff IT yang terlibat pada SIPKD mendapat pelatihan mengenai prosedur, peran dan tanggung jawab masing – masing jika terjadi gangguan atau masalah.

(19)

Tabel 12. Rekomendasi DSS05 Mengelola Layanan Keamanan DSS05 Mengelola Layanan Keamanan

DSS05.05 Mengelola akses fisik ke aset TI

Ruangan staff IT yang menangani SIPKD diawasi, dipantau membatasi semua orang yang masuk pada ruangan tersebut.

Membuat dokumentasi penilaian resiko kemungkinan masalah keamanan termasuk akses masuk dalam keadaan darurat, setiap akses masuk dimonitor, dan dicatat berlaku untuk semua orang termasuk staff, klien, pihak ketiga maupun pengunjung.

DSS05.06 Mengelola Dokumen Sensitif dan Perangkat Output

Kurangnya pengawasan terhadap Output dokumen SIPKD yang terhubung dengan perangkat TI (printer) maupun perangkat sensitif lainnya.

Dibuatkan kebijakan terhadap device yang boleh mengakses pada perangkat TI.

Tabel 13. Rekomendasi DSS06 Mengelola Kontrol - Kontrol Proses Bisnis DSS06 Mengelola kontrol - kontrol Proses Bisnis

DSS06.01 Menyelaraskan Aktifitas-aktifitas yang Ada Dengan Tujuan Organisasi

Sudah dilakukan penilaian pelaksanaan kegiatan proses bisnis terkait dengan SIPKD, untuk memastikan proses yang dilakukan selaras dan sesuai dengan kebutuhan organisasi.

Dibuatkan dokumentasi terhadap kontrol aktifitas terkait dengan SIPKD kemudian dinilai dan dimonitoring.

DSS06.03 Mengelola Peran, Tanggung Jawab, Hak Akses dan Tingkat Otoritas

Tugas, Peran dan tanggung jawab staff IT pada SIPKD belum diawasi secara optimal oleh organisasi.

(20)

5. Simpulan

Telah dilakukan audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) menggunakan COBIT 5 domain DSS dengan melakukan obsevarsi, wawancara serta dilakukan pengisian kuisioner dengan tujuan menilai tingkat kematangan (Capability Level ), serta menilai kesesuian domain DSS pada aktifitas yang dilakukan terkait dengan SIPKD. Berdasarkan perolehan rata-rata tingkat kematangan (capability level) pada proses DSS01, DSS02, DSS03, DSS04, DSS05 dan DSS06 yaitu berada pada level 3 Established Process. Dari hasil pengukuran tingkat kematangan (capability Level), diperoleh kondisi existing dan penyusunan rekomendasi untuk aktifitas dengan skala terendah agar dapat mencapai level 4 sebagai perbaikan untuk kedepannya.

6. Saran

Berikut merupakan saran yang dapat disampaikan dalam penelitian ini yaitu :

1) Penelitian ini dapat dilakukan dengan domain-domain yang lain pada COBIT 5 yaitu EDM, APO, BAI dan MEA.

2) Dapat dilakukan audit layanan sistem informasi yang lain pada Badan Keuangan Daerah (BKD) kota Salatiga yaitu SIMBADA.

7. Daftar Pustaka

[2] ISACA Journal Volume 5, 2013. Understanding the Core Concepts in COBIT 5.

[3] Adi Nuratmojo dkk, Penerapan COBIT 5 Domain DSS (Deliver, Service, Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand Indonesia, Program Studi S1 Teknik Informatika School of Computing, Telkom University, Bandung.

[4]

[5]

Sepita Sari dkk, 2014, Penerapan Framework Cobit 5 Pada Audit Tata Kelola Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU, Universitas Bina Darma, Palembang.

Titus Kristanto dkk, 2016, Analisis Tingkat Kematangan E-Goverment Menggunakan Framework COBIT 5 (Studi Kasus : Dinas Perdagangan dan Perindustrian Kota Surabaya), Program Studi Teknik Informatika Institut Teknologi Adhi Tama, Surabaya.