Professional Documents
Culture Documents
591 1276 1 PB PDF
591 1276 1 PB PDF
591 1276 1 PB PDF
Abstract - This audit of information technology governance aimed at mapping the level of Information
Technology maturity process implemented in Information System Study Program in the School of
Information Management and Computer (STMIK) Lombok in order to measure the position process. This
audit used Cobit Framework to formulate relevant IT Governance recommendations for the study program
in order to attain the expected Maturity Level based on the formulated IT Governance recommendations
for the System Information Study Program.
Based on the Maturity Level, the result showed that the score reached the average score 2, which
is Repeatable, meaning that the Information Technology Study Program has pattern in governing the
process based on repeated experience which had been conducted previously. Information System Study
Program has applied procedures that were followed by the staffs, but there were no trainings and formal
communications according to the standard procedures for the staffs therefore full responsibility and trust
were given to each of the individuals which may have led to misconduct. Meanwhile, the result of Maturity
Level identification shows that 16 domains were on Repeatable Level, 2 domains were on Initial/Ad Hoc
level, and 2 domains were on Defined Level. Based on the mapping utilising Business Golas of the School
of Information Management and Computer (STMIK) Lombok and COBIT 4.1, it was shown that there were
9 Business Goals, 8 Information Technology (IT) Goals, 31 Information Technology (IT) Process of each
Business Goals, and 125 Control Objectives which were needed to be considered.
Key Word: cobit 4.1, Maturity level, Business goals, IT Goals, IT Process, Control Objectives
Abstrak – Audit tata kelola teknologi informasi ini bertujuan untuk memetakan tingkat maturity proses TI
pada Program Studi Sistem Informasi Sekolah Tinggi Manajemen Informatika dan Komputer (STMIK)
Lombok sehingga dapat diukur posisi proses. Audit ini menggunakan Framework Cobit untuk
merumuskan rekomendasi IT Governance apa saja yang bisa diberikan kepada Program Studi, sehingga
dapat tercapai Maturity Level yang diharapkan berdasarkan rumusan rekomendasi IT Governance pada
Program Studi Sistem Informasi.
Berdasarkan Level Kematangan (Maturity Level) didapatkan level yang dicapai rata-rata memiliki
nilai 2 yaitu Repeatable yang artinya adalah Prodi SI memiliki pola untuk mengelola proses berdasarkan
pengalaman yang berulang-ulang yang pernah dilakukan sebelumnya. Prodi SI telah menerapkan
prosedur untuk dipatuhi oleh karyawan, namun belum ada pelatihan dan komunikasi formal dari prosedur
standar kepada setiap karyawan sehingga tanggung jawab dan kepercayaan penuh diberikan kepada
individu yang memungkinkan terjadinya penyimpangan. Sedangkan Hasil identifikasi Maturity Level
penulis mendapatkan 16 domain berada pada Level Repeatable, 2 domain pada level Initial/Ad Hoc, dan
2 domain pada level Defined. Berdasarkan hasil mapping penulis antara business goals Sekolah Tinggi
Manajemen Informatika dan Komputer (STMIK) Lombok dan COBIT 4.1, terdapat 9 Business Goals, 8
Information Technology (IT) Goals, 31 Information Technology (IT) Process dari masing-masing Business
Goals, dan 125 Control Objectives yang harus diperhatikan.
Kata Kunci: cobit 4.1, Maturity level, Business goals, IT Goals, IT Process, Control Objectives
1.1. Pendahuluan membantu pengambilan keputusan. (Safrianti,
Pada era informasi sekarang ini pemanfaatan Ery, and Irsan Taufik Ali. "Evaluasi Penerapan
teknologi informasi merupakan strategi yang Teknologi Informasi Menggunakan COBIT
sangat jitu untuk keunggulan bersaing. Framework" Jurnal Compile 3.1 (2010)).
Perguruan Tinggi dapat memanfaatkan teknologi Teknologi informasi (TI) saat ini
informasi dalam tiga tingkatan yaitu memberikan sudah menjadi kebutuhan yang sangat penting
dukungan untuk pelayanan administrasi, sebagai bagi hampir semua organisasi perusahaan
alat bantu pengajaran dan sarana komunikasi karena dipercaya dapat membantu
serta pemanfaatan teknologi informasi untuk meningkatkan efektifitas dan efisiensi proses
ISSN : 2461‐0690 17
Volume 1 No 1 – 2015
Lppm3.bsi.ac.id/jurnal IJSE – Indonesian Journal on Software Engineering
bisnis perusahaan, tak terkecuali perguruan Lombok. Metode penelitian yang digunakan
tinggi khususnya Program Studi Sistem adalah dengan menggunakan Studi Pustaka
Informasi STMIK Lombok. Untuk mencapai hal dengan mengumpulkan beberapa teori, metode,
efektifitas dan efisiensi proses diperlukan ataupun model pada bidang manajemen sistem
suatu pengelolaan TI yang baik dan benar agar informasi atau teknologi informasi pada
keberadaan TI mampu untuk umumnya dan juga Information Technology (IT)
menunjang kesuksesan organisasi dalam Governance. Selanjutnya metode pengumpulan
pencapaian tujuannya. Kesuksesan tata kelola data yang digunakan adalah data hasil
perusahaan (enterprise governance) saat ini wawancara dengan responden.
mempunyai ketergantungan terhadap sejauh
mana tata kelola TI (IT Governance) dilakukan. 2.1. Tinjauan Pustaka
(Utomo Agus Prasetyo dan Novita Mariana, Penelitian tentang perencanaan tata kelola
2011). COBIT yaitu Control Objectives for sistem informasi pernah dilakukan oleh
Information and Related Technology yang Alexander Setiawan 2008, dengan judul
merupakan audit sistem informasi dan dasar Evaluasi Penerapan Teknologi Informasi di
pengendalian yang dibuat oleh Information Perguruan Tinggi Swasta Yogyakarta Dengan
Systems Audit and Control Association (ISACA), Menggunakan Model Cobit Framework
dan IT Governance Institute (ITGI) pada tahun menghasilkan Hasil pemetaan maturity proses
1992, meliputi (Johnson dkk, 2007 dalam teknologi informasi Perguruan Tinggi Swasta di
Alexander Setiawan, 2008) : Yogyakarta menunjukkan berada diatas skala 3
1. Business information requirements, terdiri (defined), sehingga dapat melakukan
dari : Information : effectiveness (efektif), pengendalian secara intern dan terstruktur,
efficiency (efisien), (keyakinan), integrity Penerapan tekonologi informasi dengan
(integritas), availability (tersedia), menggunakan COBIT Framework dapat
(pemenuhan), reliability (dipercaya). memberikan manfaat dalam arsitektur bisnis,
2. Confidentiality compliance arsitektur informasi, arsitektur teknologi dan
3. Information Technology Resource, terdiri dari arsitektur solusi sebagai pedoman untuk
: People, applications, technology, facilities, pengembangan sistem teknologi informasi di
data. Perguruan Tinggi Swasta di Yogyakarta.
4. High - Level IT Processes. Menurut Utomo Agus Prasetyo dan Novita
STMIK LOMBOK merupakan sebuah Mariana, 2011, Dari hasil penelitian didapatkan
perguruan tinggi swasta yang berada di bahwa Lembaga UNISBANK memiliki
tengah kota tepatnya di Kabupaten Lombok pengelolaan TI dalam mendukung
Tengah Provinsi Nusa Tenggara Barat. layanan akademik dan dirasakan perlu
STMIK Lombok memiliki 2 Program Studi dilakukan perbaikan terhadap beberapa control
(Prodi) Prodi Sistem Informasi dan Prodi process yang dirasakan sangat penting
Teknik Informatika. STMIK Lombok saat ini menurut Lembaga yang terkait saat ini.
terus meningkatkan pelayanan kepada Penentuan control process melatih
mahasiswa, untuk mendukung pelayanan dan mendidik users, mengelola data dari
penulis mengevaluasi sampai sejauh mana domain delivery and support, memonitor
pelayanan yang sudah diberikan kepada dan evaluasi kinerja TI dari domain monitor
mahasiswa dan dosen dengan and evaluate merupakan control process yang
menggunakan framework cobit. penting untuk diperbaiki. Dalam pembuatan
rekomendasi IT Governance dilakukan
Masalah yang didapat pada penelitian adalah berdasarkan posisi maturity masingmasing
bagaimana memetakan tingkat maturity proses control process tersebut. Untuk menentukan
TI Prodi saat ini sehingga dapat diukur posisi maturity tersebut menggunakan model maturity
proses saat ini, apakah rekomendasi IT yang merupakan pemetaan yang
Governance yang bisa diberikan kepada Prodi. menggambarkan kondisi control process
Tujuan dari penelitian ini dapat memetakan tersebut pada saat ini dan dilakukan
Maturity Level pada Program Studi Sistem perbandingan antara keadaan saat ini dan
Informasi, dan membuat sebuah rekomendasi IT hasil pemetaan. Dari model maturity
Governance Program Studi Sistem Informasi. tersebut didapatkan bahwa control process
Penelitian ini akan mendeskripsikan bagaimana melatih dan mendidik users berada pada posisi
penerapan teknologi informasi pada STMIK dapat diulang, mengelola data berada pada
ISSN : 2461‐0690 18
Volume 1 No 1 – 2015
Lppm3.bsi.ac.id/jurnal IJSE – Indonesian Journal on Software Engineering
posisi dapat diulang, memonitor dan evaluasi teknologi informasi, meningkatkan tingkatan
kinerja TI berada pada posisi inisialisasi. kemapanan proses dalam teknologi informasi
Rekomendasi pengelolaan TI yang dibuat dan memenuhi ekspektasi bisnis dari teknologi
selaras dengan visi, misi dan tujuan Lembaga informasi (Sutabri. 2012).
untuk masing-masing control process, maka Framework COBIT 4.1 didefinisikan
pelatihan yang diberikan bagi karyawan baik dalam 4 domain, yaitu:
yang non IT maupun karyawan IT dapat a) Plan and Organise (PO) atau
dilakukan sesuai dengan kebutuhan di unit Perencanaan dan Pengorganisasian
kerjanya dan pengaturan kembali manajemen b) Acquire and Implement (AI) atau
data yang berhubungan dengan proses layanan Pengadaan dan Implementasi
akademik dimana antara BAAK dan layanan c) Delivery and Support (DS) atau
akademik di Program Studi yang ada di Penyampaian Layanan dan
UNISBANK maupun unit kerja lain terintegrasi Dukungan
dalam satu jaringan, dimana pengawasan data d) Monitor and Evaluate (ME) / Monitor
terpusat di data center yaitu server di P2ICT. dan Evaluasi.
Menurut Budi Widjajanto, 2012, Tingkat
kematangan (maturity level) proses TI Domain Untuk dapat memahami COBIT Framework,
DS pada Universitas XYZ berada pada level 1 perlu diketahui bahwa COBIT mempunyai
(awal atau adhoc). Untuk dapat mencapai karakteristik utama yaitu fokus pada bisnis,
tingkat kematangan yang diinginkan (expected orientasi pada proses, berbasis kontrol dan
maturity level) di level 3 (defined process) maka dikendalika oleh pengukuran. Kerangka kerja
semua prosedur yang disyaratkan di tiap proses COBIT dapat dilihat pada gambar 1 (Siraji. 2011)
harus dipenuhi. Untuk mencapai level 3 (defined
process), mengacu pada standarisasi COBIT
maka setiap unit atau bagian harus memiliki
mekanisme dan prosedur yang jelas mengenai
tata cara dan manajemen proses investasi
teknologi informasi, dan mengkomunikasikan
serta mensosialisasikan dengan baik di seluruh
jajaran manajemen organisasi.
ISSN : 2461‐0690 20
Volume 1 No 1 – 2015
Lppm3.bsi.ac.id/jurnal IJSE – Indonesian Journal on Software Engineering
3.5 Membangun sebuah papan arsitektur TI kontrak.
Plan and Organise (PO4) 4.15 Membangun dan memelihara koordinasi,
4.1 Mendefinisikan kerangka proses TI untuk komunikasi dan penghubung struktur
melaksanakan rencana strategis TI. yang optimal antara fungsi TI dan
4.2 Membentuk komite strategi IT di tingkat berbagai kepentingan lainnya dalam dan
dewan di luar fungsi IT,
4.3 Membentuk komite pengarah TI yang Plan and Organise (PO5)
terdiri dari eksekutif, bisnis dan 5.1 Membangun dan mempertahankan
manajemen TI kerangka kerja keuangan untuk
4.4 Menempatkan fungsi TI dalam struktur mengelola investasi dan biaya aset TI
organisasi secara keseluruhan dan jasa
4.5 Membentuk struktur organisasi TI internal 5.2 Melaksanakan proses pengambilan
dan eksternal keputusan untuk memprioritaskan alokasi
4.6 Membangun dan Mengkomunikasikan sumber daya TI untuk operasi, dan
peran dan tanggung jawab untuk personil pemeliharaan proyek-proyek untuk
IT dan End User memaksimalkan TI kontribusi untuk
4.7 Menetapkan tanggung jawab untuk mengoptimalkan return portofolio
kinerja Quality Assurance (QA) fungsi dan perusahaan
memberikan kelompok QA dengan sistem 5.3 Teknologi informasi penganggaran
QA sesuai 5.4 Melaksanakan proses manajemen biaya
4.8 Menanamkan kepemilikan dan tanggung membandingkan biaya aktual dengan
jawab untuk risiko dalam bisnis yang anggaran.
berkaitan dengan IT pada tingkat senior 5.5 Manajemen manfaat
yang sesuai. Mendefinisikan dan Plan and Organise (PO6)
menetapkan peran penting untuk 6.1 Menentukan unsur-unsur lingkungan
mengelola risiko TI, termasuk tanggung pengendalian untuk IT, selaras dengan
jawab khusus untuk keamanan informasi, filosofi manajemen perusahaan dan gaya
keamanan fisik dan kepatuhan operasi.
4.9 Menyediakan bisnis dengan prosedur dan 6.2 Risiko teknologi informasi perusahaan
alat-alat, memungkinkan untuk mengatasi dan kerangka control
tanggung jawabnya untuk kepemilikan 6.3 Mengembangkan dan mempertahankan
data dan sistem informasi. serangkaian kebijakan untuk mendukung
4.10 Menerapkan praktek pengawasan yang strategi TI.
memadai dalam fungsi TI untuk 6.4 Kebijakan, standar dan prosedur
memastikan bahwa peran dan tanggung peluncuran
jawab itu dilakukan dengan benar, untuk 6.5 Komunikasi tujuan dan arah teknologi
menilai apakah semua personil memiliki informasi
kewenangan yang cukup dan sumber Plan and Organise (PO7)
daya untuk melaksanakan peran dan 7.1 Perekrutan dan retensi personil
tanggung jawab mereka, dan untuk 7.2 Kompetensi personil
umum meninjau KPI. 7.3 Peran staf
4.11 Menerapkan pembagian peran dan 7.4 Pelatihan pribadi
tanggung jawab yang mengurangi 7.5 Ketergantungan pada individu
kemungkinan untuk satu individu untuk 7.6 Izin prosedur personil
kompromi proses kritis.
7.7 Evaluasi kinerja kerja karyawan
4.12 Mengevaluasi kebutuhan kepegawaian 7.8 Perubahan pekerjaan dan pemutusan
secara teratur atau pada perubahan
Plan and Organise (PO8)
besar untuk bisnis, operasional atau
8.1 Sistem manajemen mutu
lingkungan TI untuk memastikan bahwa
fungsi IT memiliki sumber daya yang 8.2 Standar teknologi informasi dan praktek
cukup untuk secara memadai dan tepat kualitas
mendukung tujuan bisnis dan tujuan. 8.3 Pengembangan dan akuisisi standar
4.13 Mendefinisikan dan mengidentifikasi 8.4 Fokus pelanggan
personil IT kunci 8.5 Perbaikan terus-menerus
4.14 Pastikan bahwa konsultan dan tenaga 8.6 Pengukuran kualitas, pemantauan dan
kontrak yang mendukung fungsi TI ulasan
mengetahui dan mematuhi kebijakan Acquire and Implement (AI2)
organisasi untuk perlindungan aset 2.1 Desain tingkat tinggi
informasi organisasi sehingga mereka 2.2 Desain rinci
memenuhi disepakati persyaratan 2.3 Kontrol aplikasi dan auditability
2.4 Keamanan aplikasi dan ketersediaan
ISSN : 2461‐0690 21
Volume 1 No 1 – 2015
Lppm3.bsi.ac.id/jurnal IJSE – Indonesian Journal on Software Engineering
2.5 Konfigurasi dan implementasi aplikasi informasi
perangkat lunak yang diperoleh 4.2 Rencana kesinambungan teknologi
2.6 Upgrade besar dari sistem yang ada informasi
2.7 Pengembangan perangkat lunak aplikasi 4.3 Pentingnya sumber daya teknologi
2.8 Jaminan kualitas perangkat lunak informasi
2.9 Aplikasi manajemen persyaratan 4.4 Pemeliharaan rencana kesinambungan
2.10 Pemeliharaan perangkat lunak aplikasi teknologi informasi
Acquire and Implement (AI3) 4.5 Pengujian rencana kesinambungan
3.1 Rencana akuisisi infrastruktur teknologi teknologi informasi
3.2 Perlindungan sumber daya infrastruktur 4.6 Rencana kesinambungan pelatihan
dan ketersediaan teknologi informasi
3.3 Pemeliharaan infrastruktur 4.7 Distribusi rencana kesinambungan
3.4 Lingkungan pengujian kelayakan teknologi informasi
Acquire and Implement (AI4) 4.8 Pemulihan layanan teknologi informasi
4.1 Perencanaan untuk solusi operasional dan kembalinya
4.2 Transfer pengetahuan untuk manajemen 4.9 Penyimpanan cadangan offsite
bisnis 4.10 Pasca kembalinya ulasan
4.3 Transfer pengetahuan kepada pengguna Delivery and Support (DS6)
akhir 6.1 Definisi layanan
4.4 Transfer pengetahuan pada operasi dan 6.2 Akuntansi teknologi informasi
staf pendukung 6.3 Biaya pemodelan dan pengisian
Acquire and Implement (AI5) 6.4 Pemeliharaan model biaya
5.1 Kontrol pengadaan Delivery and Support (DS7)
5.2 Kontrak manajemen pemasok 7.1 Identifikasi kebutuhan pendidikan dan
5.3 Pemilihan supplier pelatihan
5.4 Akuisisi sumber daya 7.2 Penyampaian pelatihan dan pendidikan
Acquire and Implement (AI7) 7.3 Evaluasi pelatihan yang diterima
7.1 Pelatihan Delivery and Support (DS8)
7.2 Rencana uji 8.1 Meja layanan
7.3 Rencana pelaksanaan 8.2 Pendaftaran permintaan pelanggan
7.4 Lingkungan pengujian 8.3 Insiden eskalasi
7.5 Sistem dan data konversi 8.4 Penutupan insiden
7.6 Pengujian perubahan 8.5 Pelaporan dan analisis trend
7.7 Tes penerimaan akhir Delivery and Support (DS10)
7.8 Promosi produksi 10.1 Identifikasi dan klasifikasi masalah
7.9 Pasca pelaksanaan ulasan 10.2 Pelacakan masalah dan resolusi
Delivery and Support (DS1) 10.3 Penutupan Program
1.1 Kerangka kerja manajemen tingkat 10.4 Integrasi konfigurasi, insiden dan
layanan manajemen masalah
1.2 Definisi layanan Delivery and Support (DS13)
1.3 Perjanjian tingkat layanan 13.1 Pendekatan monitoring
1.4 Perjanjian tingkat operasi 13.2 Definisi dan pengumpulan data
1.5 Pemantauan dan pelaporan pencapaian monitoring
tingkat pelayanan 13.3 Metode pemantauan
1.6 Ulasan perjanjian dan kontrak service 13.4 Penilaian kinerja
level 13.5 Papan dan pelaporan eksekutif
Delivery and Support (DS2) 13.6 Tindakan perbaikan
2.1 Identifikasi semua hubungan pemasok
2.2 Manajemen hubungan pemasok Penentuan tingkat kematangan (Maturity Level)
2.3 Manajemen risiko pemasok pada Program Studi Sistem Informasi STMIK
2.4 Pemantauan kinerja pemasok Lombok didapatkan dari hasil wawancara
Delivery and Support (DS3) langsung kepada Ketua Program Studi Sistem
3.1 Kinerja dan kapasitas perencanaan Informasi STMIK Lombok maka ukuran tingkat
3.2 Kinerja saat ini dan kapasitas kematangan dari penerapan Information
3.3 Kinerja masa depan dan kapasitas Technology (IT) Goverrnance berdasarkan
3.4 Ketersediaan sumber daya
framework COBIT 4.1 adalah sebagai berikut :
3.5 Pemantauan dan pelaporan
Delivery and Support (DS4)
4.1 Kerangka kelangsungan teknologi Table 4 Identifikasi Maturity Level
ISSN : 2461‐0690 22
Volume 1 No 1 – 2015
Lppm3.bsi.ac.id/jurnal IJSE – Indonesian Journal on Software Engineering
PROCESS FINAL SCORE kesadaran, kegiatan pendidikan dan pelatihan.
Melakukan evaluasi pelatihan. Mengidentifikasi
PO2 2.9 dan mengevaluasi metode prenyampaian
PO3 2.8 pelatihan dan peralatan terbaik.
PO4 2.8 Rekomendasi II, adapun Input dan output yang
PO5 2.7 harus dihasilkan pada proses ini yaitu:
PO6 2.4 Input
PO7 2.6 a. Keterampilan dan kompetensi pengguna,
PO8 2.7 termasuk pelatihan individu; kebutuhan
AI2 2.9 pelatihan khusus
AI3 2.8 b. Materi pelatihan, persyaratan transfer
AI4 3.4 pengetahuan untuk implementasi solusi
AI5 3.0 c. OLA
AI7 1.9 d. Kebutuhan pelatihan khusus tentang
DS1 3.3 kesadaran keamanan
DS2 3.0 e. Laporan kepuasan pengguna
DS3 2.8
DS4 2.6 Output :
DS6 3.1 a. Laporan kinerja proses.
DS7 1.3 b. Update dokumentasi yang diperlukan.
DS8 2.2 Rekomendasi III, entitas pengendali yang harus
DS10 2.5 dipahami dan dimiliki oleh organisasi adalah :
DS13 2.4 c. Identifikasi Kebutuhan Pendidikan dan
Pelatihan
Dari hasil identifikasi Maturity Level dapat di d. Pengiriman Pelatihan dan Pendidikan
gambarkan jaring laba-laba pada gambar 1. Berdasarkan kebutuhan pendidikan dan
pelatihan yang teridentifikasi,
mengidentifikasi group sasaran dan
anggotanya, mekanisme pengiriman yang
efisien, guru, pelatih, dan mentor
e. Evaluasi Pelatihan yang Diterima
ISSN : 2461‐0690 25