TESIS

Diajukan sebagai salah satu syarat untuk memperoleh gelar Master pada Program Studi Magister Sistem Informasi

Oleh : Ginanjar Adi Pratama 5710111069

FAKULTAS PASCA SARJANA

PROGRAM STUDI MAGISTER SISTEM INFORMASI

UNIVERSITAS KOMPUTER INDONESIA

BANDUNG

2014

v LEMBAR PERNYATAAN KEASLIAN

ABSTRAK i

ABSTRACT ii

KATA PENGANTAR iii

DAFTAR ISI v

DAFTAR GAMBAR viii

DAFTAR TABEL ix

DAFTAR LAMPIRAN

BAB I PENDAHULUAN

1.1. Latar Belakang Penelitian 1

1.2. Rumusan Masalah 3

1.3. Tujuan Penelitian 3

1.4. Manfaat Penelitian 4

1.5. Pembatasan Masalah dan Asumsi 4

1.6. Sistematika Penulisan 5

BAB II TINJAUAN PUSTAKA

2.1. Risiko 6

2.1.1. Definisi Risiko 6

2.2. Manajemen Risiko 7

2.2.1. Definisi Manajemen Risiko 7

2.3. Teknologi Informasi 9

2.3.1. Definisi Teknologi Informasi 9

2.4.Control Objective for Information and related Technology(COBIT) 10

2.4.1. COBITOverview 10

vi

2.4.2.5.Process Capability Model 21

2.4.2.6. MenghitungProcess Capability Level 24

BAB III OBJEK DAN METODOLOGI PENILITIAN

3.1. Tinjauan Organisasi 25

3.1.1. Overview Politeknik X 25

3.1.2. Visi, Misi dan Sasaran Politeknik X 27

3.1.3. Struktur Organisasi Politeknik X 29

3.1.4. Proses Bisnis Politeknik X 30

3.1.1.1. Aktifitas Utama 30

3.1.1.2. Aktifitas Pendukung 31

3.2. Metode Penelitian 32

3.2.1. Metode Pengumpulan Data 33

3.2.1.1. Data Primer 33

3.2.1.2. Data Sekunder 33

3.2.2. Tahapan Tata Kelola TI terkait Risiko pada POLITEKNIK X dengan

COBIT 5 33

3.2.3. Membuat Rekomendasi 45

BAB IV PEMBAHASAN DAN HASIL PENELITIAN

4.1. Mengidentifikasi KebutuhanStakeholder 46

4.2.Scoring COBIT 5Enterprise Goalsterpilih dalam COBIT 5 50

4.3. MemetakanEnterprise Goals ke IT-related Goals 52

4.4. Identifikasi COBIT 5 proses terpilih 53

4.5. Proses PenilaianCapabilityLevel Proses COBIT 5 54

vii

5.1. Kesimpulan 144

5.2. Saran 145

DAFTAR PUSTAKA LAMPIRAN

[1] Hopkin, Paul. (2010). Fundamentals Of Risk Management Understanding, Evaluating And Implementing Effectiverisk Management.Kogan Page Limited: London

[2] IT Governance Institute. (2004)Board Briefing on IT Governance2nd Edition.IT Governance Institute.

[3] IT Governance Institute. (2007). COBIT Student Book. IT Governance Institute.

[4] IT Governance Institute. (2007).COBIT 4.1. IT Governance Institute. [5] IT Governance Institute. (2010).COBIT 5.IT Governance Institute.

[6] Maulana, Muhammad Mahreza. Supangkat, Suhono Harso. (2006).

Framework Manajemen Resiko Teknologi Informasi Untuk Perusahaan Di Negara Berkembang. Prosiding Konferensi Nasional Teknologi Informasi & Komunikasi untuk Indonesia.

[7] Stoneburner, Gary. Goguen, Alice. Feringa, Alexis. 2002.Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology

[8] Vaughan, Emmett J. Vaughan, Therese M. (2007).Fundamentals Of Risk And Insurance Tenth Edition. John Wiley & Sons: United States.

[10] The Institute of Risk Management. What is risk management. http://www.theirm.org/aboutheirm/ABwhatisrm.htm. Diakses 29 Januari 2013.

[11] Crockford, Neil (1986). An Introduction to Risk Management (2nd ed.). Woodhead-Faulkner. 0-85941-332-2.

[12] Alvin. Soekamto, Wongso. Harsono, Rini. 2013. Analisis dan Evaluasi Tata Kelola IT Pada PT FIF Dengan Standar COBIT 5. Universitas Bina Nusantara.

iii

memberikan kemudahannya kepada Penyusun dalam menyelesaikan tesis ini dengan baik tanpa kendala yang begitu berarti. Tesis ini menjadi syarat untuk mendapatkan gelar Master di Magister Sistem Informasi, Fakultas Pasca Sarjana, Universitas Komputer Indonesia tempat dimana Penyusun menempuh studi.

Tesis yang Penyusun buat ini bukanlah berarti apa-apa tanpa dukungan, bantuan dan doa dari orang-orang di sekeliling Penyusun. Dalam kesempatan ini Penyusun ingin mngucapkan terima kasih kepada :

1. Bapak DR. Ir. Edy Soeryanto Soegoto sebagai Rektor Universitas Komputer Indonesia.

2. Bapak DR. Herman S. Soegoto, MBA sebagai Dekan Fakultas Pasca Sarjana.

3. Bapak DR. Ir. Yeffri Handoko Putra, M.T sebagai Ketua Program Studi Magister Sistem Informasi.

4. Ibu DR. Janivita Joto Sudirham, M.Sc sebagai dosen pembimbing 1 yang selalu memberikan masukan dan dorongan sehingga dapat terselesaikannya tesis ini.

5. Ibu Imelda S.T, M.T sebagai Dosen pembimbing 2 yang juga selalu memberikan masukannya.

6. Semua pihak yang terlibat ditempat Penyusun melakukan penelitian ini.

iv

9. Kepada seluruh rekan-rekan MSI-2 yang telah menjadi teman-teman terhebat, partner-partner terbaik dan persaudaraan yang tererat selama 2 tahun ini.

10. Kepada semua pihak yang telah membantu baik secara langsung ataupun tidak.

Dalam tesis ini Penyusun mengharapkan saran dan kritik untuk kebaikan dimasa yang akan datang. Akhir kata semoga Allah SWT membalas kebaikan semua orang yang telah membantu penyusunan tesis ini. Semoga tesis ini dapat bermanfaat bagi Penyusun maupun bagi pihak-pihak yang berkepentingan.

Bandung, Februari 2014

1

1.1. Latar Belakang Penelitian

Saat ini teknologi informasi (TI) menjadi bagian yang signifikan bagi organisasi. TI berperan dalam mendukung tujuan bisnis organisasi dengan menyediakan wadah informasi dan komunikasi yang cepat, mudah, dan akurat, meningkatkan efektifitas dan efisiensi proses bisnis, mendukung pengambilan keputusan, serta mendukung inovasi organisasi untuk berkembang. Untuk dapat menjaga fungsi TI agar mampu memberikan peluang strategis bagi bisnis organisasi, dibutuhkan sebuah tata kelola TI yang baik. Tata kelola atau

governance berfungsi untuk memastikan bahwa kebutuhan, kondisi, dan pilihan stakeholder dievaluasi agar sesuai dengan tujuan organisasi, menetapkan prioritas dalam pengambilan keputusan, dan memonitor kinerja berdasarkan tujuan dan arahan. Dalam TI organisasi, selalu ditemukan adanya risiko. Risiko ini dapat menimbulkan kegagalan dari penerapan TI tersebut. Maka dari itu, dalam penerapannya dibeberapa organisasi telah banyak dilakukan usaha untuk menghilangkan risiko-risiko yang mungkin timbul. Namun, pada kenyataannya risiko tidaklah mungkin sepenuhnya dihilangkan. Risiko memang tidak dapat dihilangkan, akan tetapi dapat dilakukan usaha untuk mengurangi kemungkinan terjadi risiko tersebut.

Dampak yang dapat ditimbulkan oleh risiko dalam sebuah sistem TI dapat berimbas kepada nilai kerja dari sistem yang diterapkan dan dikembangkan, biaya

yang dikeluarkan untuk mengembangkan suatu sistem atau teknologi informasi tersebut, dukungan pihak manajemen terhadap perencanaan TI, atau dapat juga berimbas pada waktu penerapan dari sistem atau teknologi informasi yang direncanakan. Tentu saja masih banyak aspek lain yang dapat terganggu dengan adanya risiko, oleh karena itu risiko harus dapat diminimalisir.

POLITEKNIK X merupakan institusi perguruan tinggi swasta yang terkemuka di kota Bandung, dimana TI sebagai pendukung dalam pencapaian visi POLITEKNIK X. Sebagai pendukung proses bisnis organisasi, TI di POLITEKNIK X menjadi penting dan menimbulkan risiko karena hampir diseluruh aktifitas lini operasional pasti memanfaatkan TI, seperti bagian akademik misalnya yang menjadicore business dari POLITEKNIK X, kemudian bagian keuangan dan bagian-bagian lain yang menjadi penggerak aktifitas di POLITEKNIK X, oleh karena itu guna mengoptimalkan TI yang ada maka diperlukan evaluasi dari kondisi TI saat ini yang terkait risiko di POLITEKNIK X. Proses evaluasi dapat dilakukan dengan cara mengukur tingkat kondisi saat ini dari tata kelola yang terkait risiko di POLITEKNIK X, sehingga nantinya dari hasil pengukuran tersebut didapat rekomendasi-rekomendasi untuk melakukan perbaikan.

Salah satu kerangka kerja (framework) dalam melakukan evaluasi terkait risiko TI adalah dengan menggunakan Control Objective for Information and related Technologyatau yang lebih sering disingkat dengan nama COBIT. COBIT dirilis dan disusun oleh IT Governance Institute (ITGI) yang merupakan bagian dari ISACA(Information Systems Audit and Control Association), sebagai standar

dalam pengelolaan TI diberbagai bentuk organisasi. COBIT 5 dipilih karena dalam COBIT versi ini memperbaiki lebih jauh model proses dan memberi pemisahan yang jelas antara proses dalam lingkup tata kelola dan proses-proses dalam lingkup manajemen sehingga memberikan kejelasan pada fungsi-fungsi manajemen dan tata kelola dalam sebuah organisasi.

1.2. Rumusan Masalah

Berdasarkan hal yang dikemukakan pada latar belakang penelitian diatas, maka akan memunculkan beberapa masalah sekaligus nantinya masalah-masalah tersebut akan dijawab melalui penelitian ini. Perumusan masalah yang akan menjadi fokus utama dalam penelitian ini adalah :

1. Bagaimana mengetahui kondisi saat ini dari tata kelola TI di POLITEKNIK X yang terkait risiko berdasarkan process capability modelCOBIT 5?

2. Bagaimana menganalisis gap antara kondisi TI saat ini dengan target

capability leveldari POLITEKNIK X?

1.3. Tujuan Penelitian

Tujuan yang ingin dicapai dalam penelitian ini adalah :

1. Mengetahui tingkat capability level saat ini dari tata kelola TI di POLITEKNIK X yang terkait risiko.

2. Mendapatkan hasil analisis gap antara kondisi TI saat ini dengan target

1.4. Manfaat Penelitian

Secara teoritis, manfaat dari penelitian yang penulis lakukan diharapkan dapat menjadi referensi bagi peneliti lain dalam kajian yang dikemudian hari mungkin akan terus dikembangkan. Secara praktis, bagi organisasi diharapkan dapat memberikan sebuah kontribusi positif baik secara teori maupun implementasi guna mencapai tujuan POLITEKNIK X. Dalam penelitian ini juga diharapkan manfaat yang didapat adalah :

1. POLITEKNIK X dapat mengetahui kondisi tata kelola TI yang terkait risiko mereka saat ini.

2. Menghasilkan kontribusi positif bagi POLITEKNIK X dalam mengelola TI mereka sehingga dapat mengoptimalkan kinerja organisasi saat ini dan dimasa yang akan datang.

1.5. Pembatasan Masalah dan Asumsi

Penelitian ini dibatasi pada beberapa poin, hal ini penting guna menghindari ketidakfokusan dalam membahas inti dari penelitian. Batasan-batasan ini meliputi :

1. Studi kasus dilakukan di POLITEKNIK X.

2. Framework yang digunakan dalam melakukan audit TI adalah COBIT versi 5 yang diterbitkan oleh ISACA.

3. Audit yang dilakukan adalah hingga tahap analisisgapantara kondisi TI saat ini dengan targetcapability levelyang ingin dicapai.

1.6. Sistematika Penulisan

Sistematika penulisan penelitian yang penulis susun dilakukan sebagai berikut :

Bab I Pendahuluan

Bab ini memuat pokok-pokok yang menjadi latar belakan pemilihan topik penelitian, identifikasi masalah, tujuan penelitian, manfaat penelitian, pembatasan masalah dan asumsi serta sistematika penulisan penelitian.

Bab II Tinjauan Pustaka

Bab ini memuat dasar-dasar teori tentang konsep audit TI, tata kelola TI serta penjelasan umum mengenai COBIT dalam versi 5.

Bab III Objek dan Metode Penelitian

Bab ini mengelaborasi kondisi saat ini yaitu POLITEKNIK X meliputi visi, misi, tujuan dan strategi bisnis, serta metodologi yang digunakan dalam melakukan penelitian ini.

Bab IV Pembahasan dan Hasil Penelitian

Pada bab ini dijelaskan mengenai hasil dari penelitian dan pembahasan yang telah dilakukan.

Bab V Kesimpulan dan Saran

6

2.1. Risiko

2.1.1. Definisi Risiko

Risiko berhubungan dengan ketidakpastian, ini terjadi oleh karena kurang atau tidak tersedianya cukup informasi tentang apa yang akan terjadi. Sesuatu yang tidak pasti (uncertain) dapat berakibat menguntungkan atau merugikan. Menurut Wideman, ketidakpastian yang menimbulkan kemungkinan menguntungkan dikenal dengan istilah peluang (opportunity), sedangkan ketidakpastian yang menimbulkan akibat yang merugikan dikenal dengan istilah risiko (risk). Secara umum risiko dapat diartikan sebagai suatu keadaan yang dihadapi seseorang atau perusahaan dimana terdapat kemungkinan yang merugikan.

Vaughan (1997:18) mengemukakan beberapa definisi risiko sebagai berikut :

1. Risk is the chance of loss (risiko adalah kans kerugian)

Chance of Loss dipergunakan untuk menunjukkan suatu keadaan dimana terdapat suatu keterbukaan terhadap kerugian atau suatu kemungkinan kerugian. Sebaliknya jika disesuaikan dengan istilah yang dipakai dalam statistik, maka chance sering dipergunakan untuk menunjukkan tingkat probabilitas akan munculnya situasi tertentu. 2. Risk is the possibility of loss(risiko adalah kemungkinan kerugian)

Istilahpossibilityberarti bahwa probabilitas sesuatu peristiwa berada di antara nol dan satu. Definisi ini sangat mendekati dengan pengertian risiko yang dipakai sehari-hari, kurang cocok dipakai dalam analisis secara kuantitatif.

3. Risk is uncertainty(risiko adalah ketidakpastian) Risiko selalu berhubungan dengan ketidakpastian.

2.2. Manajemen Risiko

2.2.1. Definisi Manajemen Risiko

Manajemen risiko adalah suatu pendekatan terstruktur atau metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman dan merupakan suatu rangkaian aktifitas manusia termasuk : penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan sumberdaya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal seperti bencana alam atau kebakaran, kematian, serta tuntutan hukum.

Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkungan, teknologi, manusia, organisasi dan

politik. Di sisi lain pelaksanaan manajemen risiko melibatkan segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia, staff, dan organisasi).

Pengertian manajemen risiko menurut beberapa ahli sebagai berikut : 1. Manajemen risiko sebagai suatu pendekatan yang komprehensif untuk

menangani semua kejadian yang menimbulkan kerugian (Clough and Sears, 1994).

2. Manajemen risiko juga merupakan suatu aplikasi dari manajemen umum yang mencoba untuk mengidentifikasi, mengukur, dan menangani sebab dan akibat dari ketidakpastian pada sebuah organisasi(William, et.al., 1995, p.27).

2.3. Teknologi Informasi

2.3.1. Definisi Teknologi Informasi

Teknologi Informasi (TI) adalah istilah umum untuk teknologi apa pun yang membantu manusia dalam membuat, mengubah, menyimpan, mengomunikasikan dan atau menyebarkan informasi. TI menyatukan komputasi dan komunikasi berkecepatan tinggi untuk data, suara, dan video. Contoh dari Teknologi Informasi bukan hanya berupa komputer pribadi, tetapi juga telepon, TV, peralatan rumah tangga elektronik, dan piranti genggam modern.

Pengertian teknologi informasi menurut beberapa ahli teknologi informasi :

1. Teknologi Informasi adalah studi atau peralatan elektronika, terutama komputer, untuk menyimpan, menganalisa, dan mendistribusikan informasi apa saja, termasuk kata-kata, bilangan, dan gambar (kamus Oxford, 1995).

2. Teknologi Informasi adalah seperangkat alat yang membantu anda bekerja dengan informasi dan melaksanakan tugas-tugas yang berhubungan dengan pemrosesan informasi(Haag & Keen, 1996).

3. Teknologi Informasi tidak hanya terbatas pada teknologi komputer (software & hardware) yang digunakan untuk memproses atau menyimpan informasi, melainkan juga mencakup teknologi komunikasi untuk mengirimkan informasi(Martin, 1999).

4. Teknologi Informasi adalah segala bentuk teknologi yang diterapkan untuk memproses dan mengirimkan informasi dalam bentuk elektronis

(Lucas, 2000).

5. Teknologi Informasi adalah teknologi yang menggabungkan komputasi (komputer) dengan jalur komunikasi berkecepatan tinggi yang membawa data, suara, dan video(William & Sawyer, 2003).

Dalam konteks bisnis, Information Technology Association of America

menjelaskan pengolahan, penyimpanan dan penyebaran vokal, informasi bergambar, teks dan numerik oleh mikro elektronika berbasis kombinasi komputasi dan telekomunikasi. Istilah dalam pengertian modern pertama kali muncul dalam sebuah artikel 1958 yang diterbitkan dalam Harvard Business Review, di mana penulis Leavitt dan Whisler berkomentar bahwa “Teknologi baru belum memiliki nama tunggal yang didirikan. Kita akan menyebutnya teknologi informasi (TI)”. Beberapa bidang modern dan muncul teknologi informasi adalah generasi berikutnya teknologi web, bioinformatika, cloud computing, sistem informasi global, skala besar basis pengetahuan dan lain-lain.

2.4. Control Objective for Information and related Technology(COBIT) 2.4.1. COBITOverview

Control Objective for Information and related Technology atau yang lebih dikenal sebagai COBIT dirilis dan disusun oleh IT Governance Institute (ITGI) yang merupakan bagian dari ISACA (Information Systems Audit and Control Association)pada tahun 1996. COBIT versi pertama diterbitkan pada tahun 1996,

versi kedua tahun 1998, versi 3.0 di tahun 2000, versi 4.0 pada tahun 2005 dan COBIT 4.1 dirilis pada tahun 2007 serta versi terakhir yang baru saja dirilis tahun 2011 adalah COBIT versi 5.

2.4.2. COBIT Versi 5

COBIT 5 menggabungkan COBIT 4.1, Val IT 2.0 dan Risiko TI serta konsep-konsep dari Model Bisnis Informasi untuk kerangka kerja yang rinci bagi tata kelola dan manajemen yang efektif dari TI yang mengaktifkan bisnis. COBIT 4.1 memastikan bahwa TI bekerja seefektif mungkin untuk memaksimalkan keuntungan dari investasi teknologi, Val IT membantu perusahaan membuat keputusan yang lebih baik tentang di mana untuk berinvestasi, memastikan bahwa investasinya konsisten dengan strategi bisnis. COBIT 4.1 menyediakan satu set kontrol untuk mengurangi risiko TI dalam proses TI sementara RiskIT menyediakan kerangka kerja bagi perusahaan untuk mengidentifikasi, mengatur dan mengelola risiko yang berhubungan dengan TI.

COBIT 5 adalah kerangka end-to-end yang menggabungkan banyak kerangka kerja serta dirancang untuk memenuhi kebutuhan stakeholder saat ini. COBIT 5 fokus pada tata kelola dan manajemen informasi perusahaan. COBIT 5 mengadopsi pandangan ISO 38500 mengenai perlunya tata kelola TI dan manajemen TI dan menggunakan model Evaluate, Direct and Monitor ISO 38500. COBIT 5 mengarahkan TI dan bidang fungsional bisnis di seluruh perusahaan serta mempertimbangkan kepentingan TI yang berhubungan dari semua stakeholder. Ini membantu organisasi untuk menciptakan nilai bagi

investasi IT dengan m dan menyadari manfa

2.4.2.1. Prinsip dalam

COBIT 5 di manajemen teknolog prinsip-prinsip COBIT

Gambar 1. Prinsip 1

Perusahaa mereka, se perusahaa mengoptim mengoptim

n menjaga keseimbangan antara pengoptimala nfaat.

alam COBIT 5

dibangun di atas 5 prinsip utama untuk ogi informasi perusahaan. Berikut ini pemapa BIT 5 :

ar 2.2.Prinsip-Prinsip COBIT 5 (COBIT 5, 2012

1 : Memenuhi KebutuhanStakeholder

haan ada untuk menciptakan nilai bagi pa , sehingga penciptaan nilai merupakan tujuan ta haan. Penciptaan nilai berarti menyadari m optimalkan biaya sumber daya, sementar optimalkan risiko.

alan tingkat risiko

uk tata kelola dan aparan mengenai

2012)

para stakeholder

n tata kelola semua manfaat dengan ntara disisi lain

Gambar 2

2. Prinsip 2

COBIT 5 kelola pe (fokus tida yang berhubun menginteg digunakan.

3. Prinsip 3

Kebanyak bagian ter yang rele membuat manajeme

4. Prinsip 4

ar 2.3.Objektif Tata Kelola : Penciptaan Nilai (C

2 : MeliputiEnd-to-EndPerusahaan

5 mengintegrasikan tata kelola TI perusaha perusahaan, karena meliputi organisasi seca tidak hanya pada fungsi TI). Hal ini juga menc erhubungan dengan TI sehingga memberika ntegrasikan kerangka kerja lainnya, standar da

an.

3 : Menerapkan Kerangka Tunggal yang T

akan standar TI terkait dan praktik terbaik ha tertentu dari kegiatan TI, COBIT sejalan denga elevan dan kerangka kerja pada tingkat t buat kerangka kerja menyeluruh untuk ta

men perusahaan TI.

4 : Mengaktifkan Pendekatan Holistik

i (COBIT 5, 2012)

usahaan dalam tata secara keseluruhan ncakup semua hal ikan dasar untuk dan praktek yang

g Terintegrasi

k hanya mengatasi dengan standar lain tinggi sehingga tata kelola dan

Tata kelola yang efektif dan manajemen TI perusahaan membutuhkan pendekatan TI secara menyeluruh, COBIT 5 mengimplementasikan tata kelola yang komprehensif dan manajemen perusahaan TI melalui

enabler. Enabler adalah hal-hal yang memungkinkan perusahaan untuk mencapai tujuannya. COBIT 5 mendefinisikan 7 kategori

enabler,yaitu :

1. Prinsip, kebijakan dan kerangka kerja : merupakan alat untuk menyampaikan tata cara yang diingikan melalui panduan praktik untuk manajemen sehari-hari.

2. Proses : mendeskripsikan praktik dan aktifitas yang dikelola untuk mencapai tujuan dan menghasilkan output dalam mendukung tujuan terkait TI.

3. Struktur organisasi : entitas pengambilan keputusan penting dalam organisasi.

4. Budaya, etika dan perilaku : hal ini baik bagi individu maupun organisasi, merupakan salah satu faktor kesuksesan tata kelola dan manajemen yang seringkali diremehkan.

5. Informasi : informasi menyebar di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan agar organisasi tetap berjalan dan dikelola dengan baik. Pada level operasional, informasi merupakan produk kunci darienterpriseitu sendiri.

6. Layanan, infrastruktur dan aplikasi : termasuk infrastruktur, teknologi dan aplikasi yang memberikan layanan dan proses TI bagienterprise.

7. Manusia, keterampilan dan kompetensi : berhubungan dengan manusia dan dibutuhkan untuk kesuksesan segala aktifitas, serta untuk pengambilan tindakan dan keputusan yang tepat.

5. Prinsip 5 : Memisahkan Tata Kelola dari Manajemen

Kerangka kerja COBIT 5 membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ini secara fundamental melayani tujuan yang berbeda, masing-masing meliputi berbagai jenis kegiatan dan memerlukan struktur organisasi yang berbeda. Tata kelola memastikan kebutuhan stakeholder, kondisi dan pilihan dievaluasi untuk menentukan keseimbangan, sepakat pada tujuan perusahaan yang ingin dicapai, menetapkan arah melalui prioritas dan pengambilan keputusan, pemantauan kinerja dan kepatuhan terhadap arah dan tujuan yang disepakati. Sedangkan manajemen disini merencanakan, membangun, menjalankan dan memantau kegiatan yang sejalan dengan arah yang ditetapkan oleh tata kelola untuk mencapai tujuan perusahaan.

2.4.2.2. Domain dan Proses COBIT 5

COBIT 5 memiliki 5 domain yang terbagi kedalam domain tata kelola dan domain manajemen, setiap domain memiliki proses yang memungkinkan untuk mencapai tujuannya. Satu domain tertuju pada tata kelola dan empat domain lainnya mencakup manajemen.

2.4.2.3. Governance of Enterprise IT(GEIT)

Domain tata kelola TI perusahaan berisi lima proses, dimana didalam setiap proses berisi tentang evaluate, directdan monitoring practice (EDM) yang telah ditetapkan. Tabel dibawah ini berisi tingkat tinggi proses TI untuk domain EDM.

Tabel 2.1.Proses TI untuk Domain EDM

EDM01 Memastikan Pengaturan Kerangka Kerja Tata Kelola dan Pemeliharaan

EDM02 Memastikan Penyampaian Manfaat

EDM03 Memastikan Optimasi Risiko

EDM04 Memastikan Optimasi Sumber Daya

2.4.2.4. Management of Enterprise IT

Domain manajemen TI perusahaan sejalan dengan bidang tanggung jawabnya yaituplan, build, rundanmonitor(PBRM). Berikut ini adalah keempat domain manajemen :

1. Align, Plan and Organize (APO),13 proses. 2. Build, Acquire and Implement (BAI),10 proses. 3. Deliver, Service and Support (DSS),6 proses. 4. Monitor, Evaluate and Assess (MEA),3 proses.

2.4.2.4.1. Align, Plan and Organize(APO)

Domain Align, Plan and Organize mencakup penggunaan informasi dan teknologi dan bagaimana cara terbaik penggunaan informasi dan teknologi dalam sebuah organisasi untuk membantu mencapai tujuan dan sasaran organisasi. Domain ini juga melihat bentuk organisasi dan infrastruktur TI dalam rangka untuk mencapai hasil yang optimal dan menghasilkan manfaat paling dari penggunaan TI. Tabel berikut berisi proses TI tingkat tinggi untuk domain APO.

Tabel 2.2.Proses TI untuk Domain APO

Proses Keterangan

APO01 Mengelola Kerangka Kerja Manajemen TI

APO02 Mengelola Strategi

APO03 Mengelola Enterprise Architecture

APO04 Mengelola Inovasi

APO05 Mengelola Portofolio

APO06 Mengelola Anggaran dan Biaya

APO07 Mengelola Hubungan Manusia

APO08 Mengelola Hubungan

APO09 Mengelola Perjanjian Layanan

APO10 Mengelola Pemasok

APO11 Mengelola Kualitas

APO12 Mengelola Risiko

APO13 Mengelola Keamanan

2.4.2.4.2. Build, Acquire and Implement(BAI)

Domain Build, Acquire and Implementmeliputi identifikasi kebutuhan TI, penguasaan teknologi, dan pengimplementasiannya dalam proses bisnis perusahaan saat ini. Tabel berikut berisi daftar tujuan pengendalian tingkat tinggi untuk domain BAI.

Tabel 2.3.Proses TI untuk Domain BAI

Proses Keterangan BAI01 Mengelola Program dan Proyek

BAI02 Manage Definisi Persyaratan

BAI03 Mengelola Identifikasi Solusi dan Membangun

BAI04 Mengelola Ketersediaan dan Kapasitas

BAI05 Mengelola Pemberdayaan Perubahan Organisasi

BAI06 Mengelola Perubahan

BAI07 Mengelola Penerimaan Perubahan dan Transisi

BAI08 Mengelola Pengetahuan

BAI09 Mengelola Aset

BAI10 Mengelola Konfigurasi

2.4.2.4.3. Deliver, Service and Support(DSS)

Domain Deliver, Service and Support berfokus pada aspek penyampaian teknologi informasi. Ini mencakup bidang-bidang seperti eksekusi aplikasi di dalam sistem TI dan hasil-hasilnya, serta proses pendukung yang memungkinkan pelaksanaan sistem TI yang efektif dan efisien. Tabel berikut berisi daftar tujuan pengendalian tingkat tinggi untuk domain DSS.

Tabel 2.4.Proses TI untuk Domain DSS

Proses Keterangan DSS01 Mengelola Operasi

DSS02 Mengelola Layanan Permintaan dan Insiden

DSS03 Mengelola Masalah

DSS04 Mengelola Keberlangsungan

DSS05 Mengelola Layanan Keamanan

DSS06 Mengelola Pengendalian Proses Bisnis

2.4.2.4.4. Monitor, Evaluate and Assess(MEA)

Domain Monitor, Evaluate and Assess berhubungan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan menilai apakah sistem TI saat ini masih memenuhi tujuan yang sudah dirancang dan pengendalian yang diperlukan untuk memenuhi regulasi persyaratan. Pemantauan juga mencakup masalah penilaian independen terhadap kemampuan efektivitas sistem TI untuk memenuhi tujuan bisnis dan proses-proses pengendalian perusahaan oleh auditor internal dan eksternal. Tabel berikut berisi daftar tujuan pengendalian tingkat tinggi untuk domain MEA.

Tabel 2.5.Proses TI untuk Domain MEA

Proses Keterangan

MEA02 Monitor, Evaluasi dan Menilai Sistem Pengendalian Internal

MEA03 Mengevaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal

2.4.2.5. Process Capability Model

COBIT 5 meliputiprocess capability model berdasarkan ISO/IEC 15504 yang diakui secara internasional. Model ini akan mencapai tujuan keseluruhan penilaian proses dan mendukung proses perbaikan, yaitu akan menyediakan sarana untuk mengukur kinerja dari setiap proses tata kelola (berbasis EDM) atau manajemen proses (berbasis PBRM), dan akan memungkinkan area perbaikan dapat teridentifikasi. Skala Peringkat dariprocess capability modelini melibatkan enam tingkat kemampuan, yaitu :

1. Level 0, Incomplete Process : Proses ini tidak dilaksanakan atau gagal untuk mencapai tujuan prosesnya. Pada tingkat ini, ada sedikit bukti atau bahkan tidak ada bukti setiap pencapaian sistematis dari tujuan proses. 2. Level 1, Performed Process (one attribute) : Proses dilaksanakan dan

mencapai tujuan prosesnya.

3. Level 2, Managed process (two attributes) : Proses yang dilakukan sekarang diimplementasikan, dikelola (direncanakan, dimonitor dan disesuaikan) dan produk kerja yang tepat ditetapkan, dikendalikan dan dipelihara.

4. Level 3, Established Process (two attributes) : Proses yang dikelola kini diterapkan menggunakan proses yang telah ditetapkan yang mampu mencapai hasil prosesnya.

5. Level 4, Predictable Process (two attributes) : Proses yang ditetapkan sekarang beroperasi dalam batas yang telah ditetapkan untuk mencapai hasil prosesnya.

6. Level 5, Optimizing process (two attributes) : Proses diprediksi untuk terus ditingkatkan untuk memenuhi tujuan bisnis yang relevan saat ini dan tujunan bisnis masa datang.

Process capability model menggunakan skala peringkat ISO/IEC 15504 untuk menetapkan peringkat masing-masing tujuan tercapai. Peringkat ini seperti dijelaskan pada tabel 2.6 dibawah ini :

Tabel 2.6. Persentase Peringkat (COBIT 5, 2012)

Abbreviation Description %Achieved

N Not achieved 0 to 15% achievement

P Partially achieved >15% to 50% achievement L Largely achieved >50% to 85% achievement F Fully achieved >85% to 100% achievement

1. Not achieved. Terdapat sedikit bukti atau bahkan tidak ada bukti dari pencapaian atribut yang ditetapkan pada proses yang dinilai.

2. Partially achieved. Terdapat beberapa bukti dan beberapa pencapaian dari atribut yang ditetapkan pada proses yang dinilai. Beberapa aspek pencapaian atribut mungkin tidak dapat diprediksi.

3. Largely achieved. Terdapat bukti pendekatan sistematis untuk proses yang dinilai dan terdapat pencapaian yang signifikan. Beberapa kelemahan terkait dengan atribut ini mungkin ada dalam proses yang dinilai.

4. Fully achieved. Terdapat bukti dari pendekatan yang lengkap dan sistematis dari atribut yang ditetapkan dalam proses yang dinilai. Terdapat bukti dari pendekatan yang lengkap dan sistematis terhadap pencapaian keseluruhan. Tidak ada kelemahan signifikan yang berhubungan dengan atribut ini ada dalam proses dinilai.

Dalam melakukan proses penilaian capability level proses COBIT, masing-masing proses dicek secara bertahap apakah proses tersebut telah memenuhi persyaratan-persyaratan yang harus dipenuhi pada masing-masing level, mulai dari level 1 hingga level 5. Selain itu, terdapat ketentuan kategori dari hasil penilaian ditiap levelnya, yaitu suatu proses cukup meraih kategori Largely achieved (L) dengan range nilai berkisar 50-85% atauFully achieved (F) dengan range nilai berkisar 85%-100% untuk dapat dinyatakan bahwa proses tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut harus meraih kategoriFully achieved(F) untuk dapat melanjutkan penilaian ke level kapabilitas berikutnya. Template ringkasan pencapaian capability level ditunjukkan pada tabel di bawah ini :

Tabel 2.6.Template Ringkasan PencapaianCapabilityLevel

Tujuan

Proses

Level 0

Level 1

Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1

PA 2.2

PA 3.1

PA 3.2

PA 4.1

PA 4.2

PA 5.1

PA 5.2

Rating

2.4.2.6. MenghitungProcess Capability Level

Untuk menghitung pencapaian danri process capability level, dilakukan dengan cara perhitungan seperti berikut ini :

Capability Level= (0*y0) + (1*y1) + + (5*y 5)

z Keterangan :

yn(y0...y5) = jumlah proses yang berada dilevel n z = jumlah proses yang dievaluasi

25

3.1. Tinjauan Organisasi 3.1.1. OverviewPoliteknik X

Pada mulanya, tanggal 17 Juli 1993 di Bandung para sarjana berinisiatif untuk membuka lembaga pendidikan dengan nama lembaga pendidikan Progress dengan ijin Depdikbud No. 1197/KEP/MS/1994. Kemudian melihat perkembangan yang cukup baik dari banyaknya minat masyarakat untuk mengikuti kursus singkat (training) maka mulaidipikirkan secara matang dengan komitmen yang tinggi untuk terus meningkatkan kualitas pendidikan dan peluang kerja bagi para lulusan, maka sejak tanggal 15 Desember 1997, lembaga pendidikan Progress secara formal berganti nama menjadi Politeknik X yang berada dibawah naungan Yayasan Politeknik X sesuai dengan akta notaris Ny. Martinah Sumarno, SH. No.1 tanggal 17 November 2004.

Banyaknya lulusan yang bekerja dan tenaga dosen yang berkualitas menjadikan bekal yang sangat berharga dan kemudian menjadi network dalam setiap konsep pemikiran dan pengembangan pendidikan lebih lanjut. Kemudian terhitung sejak 5 Januari 2004 telah secara resmi menjadi perguruan tinggi dengan nama Politeknik X sesuai dengan surat keputusan Mentri Pendidikan Nasional Republik Indonesia (MENDIKNAS RI) Nomor 04/D/O/2004 tanggal 4 Januari 2004. Dengan demikian tanggal 5 Januari 2004 merupakan tanggal berdirinya POLITEKNIK X sekaligus merupakan hari jadi bagi civitas akademika

POLITEKNIK X. Pemikiran dan konsep memilih politeknik dibandingkan dengan sekolah tinggi atau institut dikarenakan melihat sejarah konkrit bahwa selama ini POLITEKNIK X memiliki bekal dan pengalaman yang cukup matang dalam hal pendidikan praktis. Pendidikan yang praktis merupakan terobosan yang sangat baik dalam memenuhi kebutuhan lapangan kerja dimana keterampilan adalah modal seseorang untuk dapat bekerja.

Di akhir tahun 2007 POLITEKNIK X berusaha untuk terus berkembang, langkah nyata dari hal tersebut adalah POLITEKNIK X telah terakreditasi oleh Badan Akreditasi Nasional Perguruan Tinggi (BAN-PT) dengan nila “B” (baik)

dan tahun 2008 telah membuka program Diploma IV (D-IV/S1) dengan jurusan KAT (KomputerisasiAkuntansi), MIF (Manajemen Informatika), dan IRM (Informatika Rekam Medis). Pada tahun 2009 bekerja sama dengan Microsoft yang setiap lulusan diberikan sertifikasi internasional Microsoft yang berlaku di seluruh dunia, hal ini terbukti bahwa POLITEKNIK X dari tahun ke tahunnya selalu dapat meningkatkan kualitas pendidikan bagi lulusannya. Dengan dorongan segenap komponen pakar pendidikan yang tetap menjungjung tinggi komitmen untuk meningkatkan kualitas pendidikan bagi bangsa dan negara, maka civitas akademik senantiasa memacu dan mengukir prestasi yang lebih baik bagi pengembangan SDM yang unggul, terampil, dan mudah bekerja. Secara umum, program pendidikan yang diselenggarakan di lingkungan POLITEKNIK X adalah sebagai berikut :

1. Program Pendidikan Diploma III (DIII), meliputi jurusan : a. Administrasi dan Keuangan (AKE)

b. Manajemen Informatika (MIF)

c. Rekam Medis dan Informatika Kesehatan (ARM) d. Teknik Komputer (TIK)

e. Manjamen Pelayanan Rumah Sakit (MPRS)

2. Program Pendidikan Diploma IV (D-IV), meliputi jurusan : a. Komputerisasi Akuntansi (KAT)

b. Manajemen Informatika (MIF) c. Informatika Medis (IRM)

3.1.2. Visi, Misi dan Sasaran Politeknik X

Visi, misi, tujuan dan motto POLITEKNIK X seperti dijabarkan pada penjelasan berikut :

Visi : Menjadi Perguruan Tinggi unggulan yang mampu menjawab tantangan di era globalisasi dan menghasilkan sumber daya manusia profesional, beriman dan bertaqwa kepada Tuhan Yang Maha Esa.

Misi :

1. Menyelenggarakan pendidikan berbasislink and match. 2. Menjalin kemitraan dan kerjasama dengan dunia usaha dan

industri.

3. Menjalankan sistem pendidikan yang berkualitas nasional dan internasional

Sasaran :

1. Menyelenggarakan pendidikan yang berbasis kompetensi secara professional dan berkualitas serta sinergi dengan kebutuhan nyata di lapangan.

2. Menciptakan lulusan yang mampu dan terampil sesuai dengan bidang ilmu yang dimiliki.

3. Menghasilkan penelitian dan karya ilmiah yang berbobot dan dapat dipertanggungjawabkan.

4. Meningkatkan profesionalisme kerja yang tangguh dan diakui oleh masyarakat luas.

3.1.3. Struktur Organ

Struktur organi berikut :

Gam

Direktur

rganisasi Politeknik X

ganisasi POLITEKNIK X seperti diperlihatka

ambar 3.1.Struktur Organisasi Politeknik X Direktur

tkan pada gambar

3.1.4. Proses Bisnis

Sebagai salah sa utama yang berpe mencakup pendidikan, utama ini akan mem administrasi umum, pendukung di Politekni

(value chain)dari Mic

G

3.1.1.1. Aktifitas Ut

Berikut adalah bisnis POLITEKNIK X

1. Penerimaa Berhubunga penerimaa

is Politeknik X

h satu perguruan tinggi, POLITEKNIK X me rpedoman pada tri dharma perguruan kan, penelitian dan pengabdian pada masya

emerlukan dukungan dari aktifitas lainnya se , sumber daya manusia. Identifikasi aktivi iteknik X dapat diuraikan dengan mengguna Michael E. Porter yang tampak seperti gambar di

Gambar 3.2.Value ChainPoliteknik X

as Utama

lah uraian penjelasan beberapa aktivias utam K X :

aan Mahasiswa Baru

hubungan dengan sistem penerimaan mahasiswa ba aan sampai dengan registrasi mahasiswa baru.

memiliki aktivitas n tinggi yang syarakat, aktifitas seperti keuangan, ivitas utama dan unakan rantai nilai

r di bawah ini :

utama pada proses

baru dari rencana u.

2. Proses Belajar Mengajar

Aktifitas proses belajar mahasiswa selama masa studi dari proses awal perkuliahan sampai dengan ujian akhir.

3. Pelepasan Mahasiswa

Aktivitas pelepasan mahasiswa setelah menempuh seluruh mata kuliah, seminar kerja praktek, dan sidang tugas akhir, di mana mahasiswa mengikuti wisuda.

3.1.1.2. Aktifitas Pendukung

Berikut adalah uraian penjelasan beberapa aktivias pendukung pada proses bisnisPoliteknik X :

1. Manajemen Keuangan dan Akuntansi

Aktifitas pengelolaan keuangan organisasi dalam mendukung aktifitas utama yang berhubungancash in flow,cash out flowdan investasi serta pendanaan pemeliharaan infrastruktur, sarana dan prasarana organisasi. 2. Bagian Sumber Daya Manusia dan Umum

Aktifitas untuk memberikan dukungan administrasi, layanan bagi seluruh unit yang ada dan pengelolaan infrastruktur, sarana dan prasarana serta aset-aset organisasi.

3. Program Studi dan Bagian Akademik

Aktifitas yang bertujuan memberikan layanan akademik dana administrasi akademik khususnya bagi mahasiswa.

3.2. Metode Penelitian

Gambar dibawah ini merepresentasikan alur dari penelitian yang dilakukan :

Gambar 3.3.Diagram Alir Penelitian Audit Tata Kelola TI terkait Risiko dengan COBIT 5

-Menentukan ruang lingkup evaluasi

-Identifikasi kebutuhanStakeholder

-MemetakanEnterprise GoalskeIT Related Goals -MemetakanIT Related GoalskeIT Process -MengukurProcess Capabiity Level

-AnalisisGap

Pengumpulan Data

-Wawancara

-Observasi

-Analisis

Tinjauan Pustaka

-Studi literatur

-Dokumen terkait

Rekomendasi Mulai

3.2.1. Metode Pengumpulan Data 3.2.1.1. Data Primer

1. Wawancara(Interview)

Pengumpulan data yang dilakukan dengan mewawancarai langsung dengan pihak terkait.

2. Observasi dan Analisis

Pengumpulan data melalui pengamatan dan pencatatan data secara langsung di lapangan.

3.2.1.2. Data Sekunder

Data sekunder didapat melalui studi literatur dengan mencari buku, jurnal ilmiah,e-book, sumber internetdan lain sebagainya. Selain itu data sekunder juga didapatkan dari dokumen terkait di POLITEKNIK X.

3.2.2. Tahapan Tata Kelola TI terkait Risiko di POLITEKNIK X dengan COBIT 5

COBIT 5 goals cascade adalah mekanisme untuk menerjemahkan kebutuhan-kebutuhan dalam hal ini stakeholder-stakeholder dalam lingkungan POLITEKNIK X untuk ditindaklanjuti secara spesifik dan disesuaikan dengan tujuan POLITEKNIK X, tujuan yang berkaitan dengan TI dan tujuan darienabler. Terjemahan ini memungkinkan menetapkan tujuan yang spesifik di setiap tingkatan dan di setiap area organisasi untuk mendukung tujuan-tujuan dan persyaratan stakeholder, dan dengan demikian secara efektif mendukung

keselarasan antara kebutuhan organisasi dan solusi dan layanan TI. Gambar dibawah ini memperlihatkan COBIT 5goals cascadesecara umum.

Gambar 3.4.COBIT 5Goals Cascade(COBIT 5, 2012)

Setiap organisasi beroperasi dalam konteks yang berbeda, konteks ini ditentukan oleh faktor eksternal (pasar, industri, geopolitik, dan lain sebagainya) dan faktor internal (budaya, organisasi, risk appetite, dan lain-lain), serta membutuhkan penyesuaian dalam tata kelola dan sistem manajemen. Kebutuhan

Gambar 3.5.Stakeholder DriversMempengaruhiStakeholder Needs(COBIT 5, 2012)

3.2.2.1. Identifikasi KebutuhanStakeholder

Tujuan tata kelola relevan untuk dipilih berdasarkan tujuan tata kelola yaitu menyadari manfaat, optimasi risiko dan optimasi sumber daya. Identifikasi kebutuhan stakeholder akan dilakukan dengan melakukan wawancara dengan pihak terkait serta menelaah dokumen-dokumen yang ada. Dari ketiga tujuan tata kelola tersebut, yang akan menjadi fokus dalam penelitian ini adalah pada bagian

risk optimisation.

3.2.2.2. Risk Optimisation

Bagian ini mengatasi risiko bisnis yang terkait dengan penggunaan, kepemilikan, operasi, keterlibatan, pengaruh dan penerapan TI dalam suatu perusahaan. Risiko bisnis yang berhubungan dengan TI terdiri dari peristiwa yang berhubungan dengan TI yang berpotensi dapat mempengaruhi bisnis. Sementara nilai pengiriman berfokus pada penciptaan nilai, manajemen risiko berfokus pada pelestarian nilai. Pengelolaan risiko yang berhubungan dengan TI harus diintegrasikan dalam pendekatan manajemen risiko perusahaan untuk memastikan fokus pada TI oleh perusahaan dan diukur dengan cara yang transparan menunjukkan dampak dan kontribusi yang berkaitan dengan TI optimasi risiko bisnis dalam melestarikan nilai.

Tabel pemetaan antara stakeholder needs dan enterprise goals dibawah ini seperti dalam COBIT 5appendix D.

Tabel 3.1.MappingCOBIT 5Enterprise GoalskeGovernance and Management Questions

Tabel 3.2.MappingCOBIT 5Governance and Management Questionske

COBIT 5 mendefinisikan 17 generic goals seperti pada tabel 3.3 yang mencakup informasi berikut :

1. Dimensibalanced scorecard(BSC). 2. Enterprise Goals.

3. Hubungan dengan tiga tujuan tata kelola – Benefit Realisation, Risk OptimisationdanResource Optimisation.

Tabel 3.3.Enterprise Goals(‘P’ adalah hubungan Primer, dan ‘S’adalah Sekunder)

3.2.2.3. MemetakanEnterprise GoalskeIT-related Goals

Pencapaian tujuan organisasi memerlukan sejumlah hasil yang berkaitan dengan TI yang diwakili oleh IT-related goals. Identifikasi ini dapat dilakukan berdasarkanenterprise goalsyang telah teridentifikasi.

Gambar 3.7.Enterprise Goals Cascade to IT-related Goals(COBIT 5, 2012)

Pemetaan antara Enterprise Goals dengan IT-related Goals seperti pada tabel 3.4 sesuai denganappendix Bdalam COBIT 5.

Tabel 3.5.COBIT 5 Mendefinisikan 17IT-related GoalsPada Dimensi IT BSC

3.2.2.4. MemetakanIT-related Goals keIT Process

Berdasarkan tujuanIT-related Goalsyang terpilih dengan menggunakan kriteria primer (P) atau sekunder (S) maka didapat IT process yang relevan pada COBIT 5. Mencapai tujuan terkait TI membutuhkan keberhasilan penerapan dan penggunaan sejumlahenabler.

Enabler mencakup proses, struktur organisasi dan informasi, dan untuk setiapenablerserangkaian tujuan tertentu yang relevan dapat didefinisikan dalam mendukung tujuan yang berkaitan dengan TI. Tabel 3.7 memperlihatkan pemetaan dari IT-related Goals ke IT Process sesuai dengan appendix C dalam COBIT 5.

Tabel 3.6.Pemetaan dariIT-related GoalskeIT Processsesuai denganappendix Cdalam COBIT 5

3.2.2.5. MembuatProcess Capability Model

Memetakan posisi TI organisasi dalam hal ini Politeknik X dengan menggunakanprocess capability model berdasarkan nilai yang didapat dari pihak yang terkait. Process capability model secara rinci akan dijelaskan pada bab selanjutnya.

3.2.3. Membuat Rekomendasi

Penelitian ini diakhiri dengan membuat rekomendasi berdasarkan hasil audit tata kelola TI terkait risiko yang telah dilakukan di Politeknik X.

46

Sesuai dengan metodologi penelitian dan langkah-langkah yang telah dipaparkan sebelumnya, pada bab ini akan dibahas hasil dari penelitian yang telah dilakukan.

4.1. Mengidentifikasi KebutuhanStakeholder

Pada tahap ini kebutuhan stakeholder di POLITEKNIK X dipetakan, dasar dari tahap mengidentifikasi ini adalah dengan melakukan wawancara, menelaah dokumen terkait dalam hal ini rencana strategis POLITEKNIK X 2011-2016 serta mempertimbangkan pada best practice yang telah ada. Pada tahap ini kebutuhan

stakeholder yang berhubungan dengan sejumlah tujuan umum organisasi akan dianalisis menggunakan empat perspektif Balanced Scorecard (BSC). Empat perspektif tersebut antara lain Financial Perspective, Customer Perspective,

Internal Process Perspective, danLearning and Growth Perspective.

Tabel 4.1.Tujuan strategis POLITEKNIK X

Perspektif Tujuan Strategis

Keuangan

1. Peningkatan pendapatan

2. Pengendalian biaya operasional 3. Menekan biaya pengeluaran

tua, pengguna lulusan) 5. Meningkatkan promosi

Proses Internal

6. Meningkatkan efisiensi operasional 7. Menekan biaya keuangan

8. Meningkatkan kualitas dan kecepatan pelayanan Pembelajaran dan

Pengembangan

9. Meningkatkan kemampuan dosen dan karyawan 10. Memperbaiki etos kerja dan komitmen

POLITEKNIK X denganEnterprise Goalsyang terdapat dalam COBIT 5. Tabel dibawah ini akan menjelaskan keterhubungan tersebut.

Tabel 4.2.Analisis keterhubungan tujuan strategis danEnterprise Goals

No. Kode Deskripsi Hasil Pemetaan

1 EG2

Portfolio competitive products and services

Terdapat keterhubungan denga tujuan strategis POLITEKNIK X karena untuk meningkatkan investasi dapat ditempuh dengan membuat layanan dan produk yang kompetitif.

2 EG3

Managed business risk (safeguarding assets)

Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.

3 EG4

Compliance with external laws and regulation

Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.

4 EG7

Business service continuity and availability

Ada keterhubungan dengan tujuan strategis POLITEKNIK X , dimana untuk meningkatkan investasi dan pelayanan terhadap konsumen dapat ditempuh melalui ketersediaan pelayanan yang berkelanjutan dan

5 EG9

Information based strategic decision making

Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.

6 EG13

Managed business change programmes

Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.

7 EG15 Compliance with internal policies Tidak ada keterhubungan dengan rencana strategis POLITEKNIK X.

8 EG16 Skilled and motivated people

Ada keterhubungan secara langsung dengan tujuan strategis POLITEKNIK X, dengan meningkatkan kemampuan dan motivasi dapat menjadi salah satu cara dalam meningkatkan pengembangan karir dan produktifitas pegawai dan mempertahankan jumlah pelanggan.

Dari hasil analisis keterhubungan yang didapat, maka Enterprise Goals

yang terpilih adalah sebagai berikut :

Tabel 4.3.Enterprise GoalsPOLITEKNIK X

No. Kode Deskripsi

1 EG2

Portofolio of competitive products and services

2 EG7 Business service continuity and availability

3 EG16 Skilled and motivated people

4.2. Scoring COBIT 5Enterprise Goalsterpilih dalam COBIT 5

Pada tahap ini dilakukan pemberian score terhadap Enterprise Goals

terpilih, sesuai dengan tujuan strategis POLITEKNIK X. Pemberian score ini dilakukan oleh beberapa auditi seperti pada tabel 4.4 dibawah ini :

Tabel 4.4.Data Auditi

No . Kode Auditi Auditi Jumlah Auditi

1 DIR Direktur 1

2 PD1 Pembantu Direktur 1 Bidang Akademik 1

3 PD2 Pembantu Direktur 2 Bidang Keuangan dan Umum 1

Untuk penilaian tingkat kepentingan setiap Enterprise Goals dan perspektif tujuan strategis POLITEKNIK X seperti terlihat pada tabel 4.5 dibawah ini :

Tabel 4.5.Penilaian Tingkat Kepentingan

No. Score Tingkat Kepentingan

1 1-2 Tidak penting

2 3-4 Sedikit penting

3 5-6 Cukup penting

4 7-8 Penting

5 9-10 Sangat penting

Hasil penilaian terhadap Enterprise Goals dapat dilihat pada tabel 4.6 dibawah ini :

Tabel 4.6.HasilScoring Enterprise Goalsterpilih

No.

Kode Enterprise

Goals

Deskripsi

Auditi

Rata-rata

Score DIR PD1 PD2 BSI

1 EG2

Portfolio competitive products and services

10 9 9 8 9 9

2 EG7

Business service continuity and

4.3. MemetakanEnterprise Goals ke IT-related Goals

Pada bagian ini Enterprise Goals yang telah didapat, yakni EG2 dan EG16 akan dipetakan kedalam IT-related Goals. Hasil pemetaan dapat dilihat pada tabel 4.7 berikut ini :

Tabel 4.7.MemetakanEnterprise Goals ke IT_–related Goals

No. Kode

MemetakanEnterprise Goals to IT-related Goals Keterhubungan IT Related Goals

1 EG2 √ 1, 5, 7, 9, 12, 17

2 EG16 √ 16

Dari pemetaan IT-related goals berdasarkan enterprise goals diatas, maka dapat diidentifikasi IT-rerlated goals terpilih sesuai dengan COBIT 5, hal tersebut dapat dilihat pada tabel 4.8 di bawah ini :

Tabel 4.8.IT-related GoalsPOLITEKNIK X terpilih

No. Kode IT- Related Goals

1 ITG 1 Alignment of IT and business strategy

2 ITG 5 Realised benefits from IT-enabled investments and

availability

3 EG16

Skilled and motivated people

services portfolio

3 ITG 7

Delivery of IT services in line with business requirements

4 ITG 9 IT agility

5 ITG 12

Enablement and support of business processes by integrating applications and technology into business processes

6 ITG 16 Competent and motivated business and IT personnel

7 ITG 17

Knowledge, expertise and initiatives for business innovation

4.4. Identifikasi COBIT 5 Proses Terpilih

Berdasarkan IT-related Goals terpilih, langkah selanjutnya adalah menentukan COBIT 5 proses yang terpilih sesuai denganIT-related Goalsterpilih menggunakan tabel Mapping COBIT 5 IT-related Goals to Processes yang terdapat dalamAppendix C COBIT 5. Hasil pemetaan dapat dilihat pada tabel 4.9 berikut ini :

Tabel 4.9.COBIT 5 proses terpilih sesuaiIT-related Goalsterpilih

No. Kode COBIT 5Process

1 ITG 1

EDM01, EDM02, APO01,APO02, APO03, APO05, APO07, APO08, BAI01, BAI02

BAI01

3 ITG 7

EDM01, EDM02, EDM05, APO02, APO08, APO09, APO10,APO11, BAI02, BAI03, BAI04, BAI06, DSS01, DSS02, DSS03, DSS04, DSS06, MEA01

4 ITG 9

EDM04, APO01, APO03, APO04, APO10, BAI08

5 ITG 12 APO08, BAI02, BAI07

6 ITG 16 EDM04, APO01,APO07

7 ITG 17

EDM02, APO01, APO02, APO04, APO07, APO08, BAI05, BAI08

4.5. Proses PenilaianCapabilityLevel Proses COBIT 5

Berdasarkan pemetaan proses COBIT maka terdapat 26 proses COBIT yang kemudian dipilih kembali menjadi 20 proses dimuat dalam tabel 4.10 dibawah ini :

Tabel 4.10.COBIT 5 proses terpilih

EDM

EDM01 EDM02 EDM03 EDM04

APO

APO01 APO03

APO05 APO06 APO07 APO11 APO12 APO13

BAI

BAI01 BAI02 BAI04

DSS

DSS01 DSS03 DSS04 DSS06

MEA MEA01

Berikut ini adalah penjelasan secara rinci penilaian capability level masing-masing proses COBIT yang dievaluasi.

4.5.1. Proses EDM01 – Evaluate the Design of the Enterprise Governance of IT

Proses Evaluate the Design of the Enterprise Governance of IT berfokus pada bagaimana menganalisis dari kebutuhan untuk tata kelola TI di

POLITEKNIK X. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.12.EDM01_–Evaluate the Design of the Enterprise Governance of IT

Tujuan

Menyediakan pendekatan yang konsisten terintegrasi dan selaras dengan pendekatan tata kelola organisasi.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 50,00%

Rincian penilaian proses Evaluate the Design of the Enterprise Governance of ITpada level 1 dijelaskan melalui tabel di bawah ini :

Tabel 4.13.EDM01_–Evaluate the Design of the Enterprise Governance of IT

Level 1

EDM01–Evaluate the Design of the Enterprise Governance of IT Governance

Practice

Outputs Exist Score

EDM01.01 Evaluate the design of the enterprise

Enterprise governance guiding principles

0,00% Decision-making model

governance of IT EDM01.02 Direct the governance system

Enterprise governance communications √

50,00% Reward system approach

EDM01.03 Monitor the

governance system

Feedback on governance effectiveness and performance

√

100,00%

Average 50,00%

Dalam proses ini risiko yang mungkin timbul adalah penyalahgunaan dari otoritas dalam mengakses sistem yang ada, karena seperti kita lihat belum adanya kebijakan formal mengenai siap-siapa saja yang dapat melakukan login sistem. Selain itu risiko yang mungkin timbul juga ialah POLITEKNIK X akan kehilangan kesempatan optimalisasi bisnis karena belum adanya decision-making model.

4.5.1.1. Direct The Governance System

1. Enterprise governance communications

Sudah adanya komunikasi dan pembicaraan oleh direktur mengenai bagaimana tata kelola dari TI organisasi akan dioptimalkan meskipun belum terlalu intensif.

4.5.1.2. Monitor The Governance System

1. Feedback on governance effectiveness and performance

Adanyafeedbacktentang efektifitas dari tata kelola dan kinerja TI.

4.5.2. Proses EDM02–Ensure Value Optimisation

Proses ini mengoptimalkan kontribusi nilai bisnis dari proses bisnis, layanan TI dan aset TI yang dihasilkan dari investasi TI oleh POLITEKNIK X dengan biaya yang dapat diterima. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.14.EDM02_–Ensure Value Optimisation

Tujuan

Mengoptimalkan kontribusi nilai bisnis dari proses bisnis, layanan TI dan aset TI yang dihasilkan dari investasi TI dengan biaya yang dapat diterima.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 83,33%

Rincian penilaian proses Ensure Value Optimisation pada level 1 dijelaskan melalui tabel di bawah ini :

Tabel 4.15.EDM02_–Ensure Value OptimisationLevel 1

EDM02_–Ensure Value Optimisation

Governance Practice

Outputs Exist Score

EDM02.01 Evaluate value optimisation

Evaluation of strategic alignment √

100,00% Evaluation of investment and services

portfolios

√

EDM02.02 Direct value optimisation

Investment types and criteria √

50,00% Requirements for stage-gate reviews

EDM02.03 Monitor value optimisation

Feedback on portfolio and programme performance

√

100,00% Actions to improve value delivery √

Average 83,33%

Risiko yang mungkin timbul dalam proses ini adalah POLITEKNIK X akan kehilangan pengoptimalan organisasi karena belum melakukanrequirements for stage-gate review.

4.5.2.1. Evaluate value optimisation

1. Evaluation of strategic alignment

Sudah ada evaluasi mengenai kesesuaian antara rencana strategis melalui rapat-rapat berkala.

2. Evaluation of investment and services portfolios

Sudah ada evaluasi mengenai investasi dan portofolio.

4.5.2.2. Direct value optimisation

1. Investment types and criteria

Telah dijabarkan dalam dokumen rencana strategis 2011-2016 POLITEKNIK X.

4.5.2.3. Monitor value optimisation

1. Feedback on portfolio and programme performance

Adanya feedback tentang portofolio dari kinerja TI yang telah diimplementasikan.

2. Actions to improve value delivery

Telah dijabarkan dalam dokumen rencana strategis 2011-2016 POLITEKNIK X.

4.5.3. Proses EDM03–Ensure Risk Optimisation

Proses ini berfokus pada pengelolaan risiko dan toleransi risiko yang berhubungan dengan nilai TI pada POLITEKNIK X. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.16.EDM03_–Ensure Risk Optimisation

Tujuan

Memastikan bahwa resiko IT organisasi tidak melebihi kemampuan dan toleransi organisasi dalam menerima resiko, serta mengidentifikasi dan mengelola dampak dari resiko TI terhadap nilai-nilai pada organisasi, dan mengurangi terjadinya kegagalan.

Proses

Level 0

Level 1

Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 0,00%

Rincian penilaian proses Ensure Risk Optimisation pada level 1 dijelaskan melalui tabel di bawah ini :

Tabel 4.17.EDM03_–Ensure Risk OptimisationLevel 1

EDM02_–Ensure Risk Optimisation

Governance Practice

Outputs Exist Score

EDM03.01 Evaluate risk management

Risk appetite guidance

0,00% Approved risk tolerance levels

Evaluation of risk management activities

EDM03.02 Direct risk management

Risk management policies

0,00% Key objectives to be monitored for risk

Approved process for measuring risk management

EDM03.03 Monitor risk management

Remedial actions to address risk

management deviations 0,00%

Risk management issues for the board

Average 0,00%

Risiko dalam proses EDM03 bahwa POLITEKNIK X akan menjadi sangat rentan terhadap kemungkinan hal-hal yang akan merugikan, karena risiko yang timbul tidak dapat diprediksi, diukur dan dikendalikan, dikarenakan tidak adanya

risk appetite guidance.

4.5.4. Proses EDM04–EnsureResource Optimization

Proses ini berfokus pada pengelolaan sumber daya (karyawan, proses, dan teknologi) dan kemampuan TI di POLITEKNIK X yang memadai sehingga mampu mendukung tujuan organisasi secara efektif dengan biaya yang optimal. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.18.EDM04_–EnsureResource_Optimisation

Tujuan

Memastikan sumber daya yang dibutuhkan organisasi terpenuhi secara optimal, biaya IT ditekan secara optimal, dan juga memastikan kemungkinan bertambahnya keuntungan dan kesediaan untuk perubahan di masa depan.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 55,55%

Rincian penilaian proses Ensure Resource _{Optimisation pada level 1} dijelaskan melalui tabel di bawah ini :

Tabel 4.19.EDM04_–Ensure Resource OptimisationLevel 1

EDM04_–Ensure Resource Optimisation

Governance Practice

Outputs Exist Score

EDM04.01 Evaluate resource management

Guiding principles for allocation of resources and capabilities

√

66,66% Guiding principles for enterprise

architecture

Approved resources plan √

EDM04.02 Direct resource

Communication of resourcing strategies

√

management Assigned responsibilities for resource management

√

Principles for safeguarding resources √

EDM02.03 Monitor resource management

Feedback on allocation and effectiveness of resources and

capabilities 0,00%

Remedial actions to address resource management deviations

Average 55,55%

Dalam proses ini risiko yang mungkin ada ialah sulitnya untuk memantau terhadap alokasi serta keefektifannya dari penggunaan sumber daya yang ada, sehingga sangat berisiko terjadi inefisiensi operasional di POLITEKNIK X.

4.5.4.1. Evaluate Resource Management

1. Guiding principles for allocation of resources and capabilities

Panduan dalam mengalokasi sumber daya dan kemampuan tercantum dalam beberapa SOP, daftar SOP terdapat dalam Lampiran SOP. 2. Approved resources plan

Untuk memilih sumber daya manusia dilakukan dengan cara membuka lowongan pekerjaan, dan untuk pengadaansoftwareatau

hardwaredengan cara membeli kevendoratau dengan mengembangkan secara mandiri.

4.5.4.2. Direct Resource Management

1. Communication of resourcing strategies

Communication of resourcing strategiesdilakukan dalam bentuk

meetingdenganstakeholderterkait secara berkala. 2. Assigned responsibilities for resource management

Sudah ada penentuan bagian yang bertanggung jawab dalam resource management, salah satu contoh ialah untuk teknologi diatur oleh bagian sistem informasi.

3. Principles for safeguarding resources

Sudah terdapat panduan dalam menjaga dan merawat sumber daya.

4.5.5. Proses APO01–Manage the IT Management Framework

Proses ini menyediakan pendekatan pengelolaan yang konsisten untuk memungkinkan kebutuhan pengelolaan organisasi terpenuhi, termasuk proses manajemen, struktur organisasi, peran dan tanggung jawab, aktifitas yang bisa diandalkan dan bisa diulang, dan kemampuan serta kompetensi. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.20.APO01_–Manage the IT Management Framework

Tujuan

Menyediakan pendekatan pengelolaan yang konsisten untuk memungkinkan kebutuhan pengelolaan organisasi terpenuhi, termasuk proses manajemen, struktur organisasi, peran dan tanggung jawab, aktifitas yang bisa diandalkan dan bisa diulang, dan kemampuan dan kompetensi.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 31,25%

Rincian penilaian proses Manage the IT Management Framework pada level 1 dijelaskan melalui tabel di bawah ini :

Tabel 4.21.APO01_–Manage the IT Management FrameworkLevel 1

APO01–Manage the IT Management Framework

Management Practice

Outputs Exist Score

APO01.01 Define the

Organizational structure

Definition of organizational structure and functions

66,66% Organizational operational guidelines √

Communication ground rules √

APO01.02

Establish roles and

Definition of IT-related roles and responsibilities

√

responsibilities Definition of supervisory practices APO01.03

Maintain the enablers of the management system IT-related policies 0,00% APO01.04 Communicate management objectives and direction

Communication on IT objectives √

100,00%

APO01.05 Optimize the placement of the IT function

Evaluation of options for IT organization

0,00% Defined operational placement of IT

function APO01.06 Define

information (data) and system

ownership

Data classification guidelines √

33,33% Data security and control guidelines

Data integrity procedures

APO01.07 Manage continual

improvement of processes

Process capability assessments

0,00% Process improvement opportunities

Performance goals and metrics for process improvement tracking

APO01.08 Maintain

compliance with policies and procedures

Non-compliance remedial actions

0,00%

Average 31,25%

Dalam proses ini risiko yang mungkin ada adalah mengenai keamanan data dan informasi, karena belum adanya kebijakan mengenai otorisasi password

dan model otorisasi lainnya. Selain itu risiko yang mungkin timbul ialah mengenai lokasi server, karena belum adanya evaluasi mengenai ini apakah sudah sesuai standar ataukah belum.

4.5.5.1. Define the Organizational Structure

1. Organizational operational guidelines

Adanya peraturan operasional bagi semua karyawan, seperti jam masuk kerja, jam istirahat siang, jam pulang kerja, jam lembur, dan pemakaian seragam.

2. Communication ground rules

4.5.5.2. Establish roles and responsibilities

1. Definition of IT-related roles and responsibilities

Terdapat tanggung jawab ditiap bagian sesuai denganjob description

yang ada.

4.5.5.3. Communicate management objectives and direction

1. Communication on IT objectives

Semua kebijakan yang dibuat akan dikomunikasikan pada semua karyawan dan dosen POLITEKNIK X baik melalui email, maupun presentasi dan penjelasan.

4.5.5.4. Define Information (Data) and System Ownership

1. Data classification guidelines

Adanya kebijakan yang mengatur tentang dokumen-dokumen, pengumpulan dan penyimpanannya, hardcopy maupun softcopy. Kebijakan tersebut mengatur mengenai klasifikasi dokumen, apakah termasuk rahasia, internal, atau terbuka bagi umumtergantung pada isi datanya.

4.5.6. Proses APO03–Manage Enterprise Architecture

Proses ini berfokus pada pembangunan arsitektur proses bisnis, informasi, data, aplikasi, dan layer arsitektur teknologi dengan tujuan mewujudkan strategi organisasi dan strategi TI secara efektif dan efisien

dengan cara menciptakan model kunci dan praktek-praktek yang mendeskripsikan arsitektur saat ini dan target arsitektur. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.24.APO03_–Manage Enterprise Architecture

Tujuan

Merepresentasikan building block yang berbeda yang membentuk organisasi dan antar-hubungannya serta prinsip-prinsip dalam memandu design dan evolusi mereka dari waktu ke waktu, memungkinkan perwujudan tujuan operasional dan strategis yang terstandarisasi, responsif, dan efisien.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 26,66%

Rincian penilaian proses Manage Enterprise Architecture pada level 1 dijelaskan melalui tabel di bawah ini :

Tabel 4.25.APO03_–Manage Enterprise ArchitectureLevel 1

APO03–Manage Enterprise Architecture

Management Practice

Outputs Exist Score

the enterprise architecture vision

Architecture principles √

Architecture concept business case and value proposition

APO03.02 Define reference

architecture

Baseline domain descriptions and architecture definition

0,00% Process architecture model

Information architecture model APO03.03 Select

opportunities and solutions

High-level implementation and

migration strategy 0,00%

Transition architectures APO03.04 Define

architecture implementation

Resource requirements √

66,66% Implementation phase descriptions √

Architecture governance requirements APO03.05 Provide

enterprise architecture services

Solution development Guidance

0,00%

Average 26,66%

Risiko dalam proses APO03 adalah tidak adanya konsep dari ruang lingkup EA yang menjadikan pengembangan dari infrastruktur TI dilakukan secara sporadis, sehingga berpotensi menimbulkan tata kelola TI yang tidak ideal.

4.5.6.1. Develop the Enterprise Architecture Vision

Proses ini dinyatakan tidak lulus dengan pencapaian 66,66% dengan alasan :

a. Belum adanya adanya Architecture concept business case and value proposition.

4.5.6.2. Define Reference Architecture

Proses ini dinyatakan tidak lulus dengan pencapaian 0,00% dengan alasan :

a. Belum adanya adanya dokumentasi secara detil dalam mendefinisikan arsitektur, mencakup di dalamnya process architecture modeldaninformation architecture model.

4.5.6.3. Select Opportunities and Solutions

Proses ini dinyatakan tidak lulus dengan pencapaian 0,00% dengan alasan :

a. Belum adanya dokumentasi secara detil.

4.5.6.4. Define Architecture Implementation

Proses ini dinyatakan tidak lulus dengan pencapaian 66,66% dengan alasan :

a. Belum adanya architecture governance requirements secara mendetail.

4.5.6.5. Provide Enterprise Architecture Services

Proses ini dinyatakan tidak lulus dengan pencapaian 0,00% dengan alasan :

a. Belum adanyaprovide enterprise architecture services.

4.5.7. Proses APO05– Manage Portfolio

Proses ini berfokus dalam mengeksekusi arahan strategis untuk investasi sejalan dengan visi arsitektur organisasi dan karakteristik yang diinginkan atas investasi tersebut dan portofolio layanan terkait, dan mempertimbangkan kategori-kategori investasi berbeda dan sumber daya dan tantangan-tantangan pendanaan, berdasarkan kesesuaiannya dengan tujuan strategis, dan risiko bagi organisasi. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.26.APO05_–Manage Portfolio

Tujuan

Mengoptimalkan performa dari portofolio program-program dalam respon terhadap performa program dan layanan, dan perubahan dalam proritas dan permintaan organisasi.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 38,89%

Rincian penilaian proses Manage Portofolio pada level 1 dijelaskan melalui tabel di bawah ini :

Tabel 4.27.APO05_–Manage PortofolioLevel 1

APO05–Manage Portofolio

Management Practice

Outputs Exist Score

APO05.01

Establish the target investment mix

Defined investment mix √

100,00% Identified resources and capabilities

required to support strategy

√

Feedback on strategy and goals √

APO05.02 Determine the availability and sources of funds

Funding options √

100,00%

Investment return expectations √

APO05.03

Evaluate and select programmes to fund

Programme business case

33,33%

Business case assessments √

Selected programmes with ROI milestones

APO05.04

Monitor, optimize and report on

Investment portfolio performance reports

investment portfolio performance APO05.05

Maintain portfolios

Updated portfolios of programmes, services and assets

0,00%

APO05.06 Manage benefits

achievement

Benefit results and related Communications

0,00% Corrective actions to improve benefit

realization

Average 38,89%

Risiko pada proses ini adalah proyek-proyek pengembangan TI dilakukan tanpa perencanaan dan pelaporan yang baik, sehingga sulit dilakukan penilaian apakah proyek yang dikerjakan sudah sesuai dalam segi perencanaan, kebutuhan dan biaya.

4.5.7.1. Evaluate and select programmes to fund

Proses ini dinyatakan tidak lulus dengan pencapaian 33,33% dengan alasan :

a. Belum adanya review terhadap business case tiap proyek atau program yang kemudian akan diberikan penyesuaian program sesuai dengan perkembangan bisnis saat ini dan regulasi hukum yang ada.

b. Belum adanya perencanaanmilestonesdalam rencana setiap proyek.

4.5.7.2. Monitor, optimize and report on investment portfolio performance

Proses ini dinyatakan tidak lulus dengan pencapaian 0,00% dengan alasan :

a. Belum adanya laporan kemajuan pengerjaan semua proyek yang dilakukan secara berkala.

4.5.7.3. Maintain portfolios

Proses ini dinyatakan tidak lulus dengan pencapaian 0,00% dengan alasan :

a. Belum adanya daftar proyek yang secara berkala diperbaharui dan disesuaikan dengan keadaan di lapangan.

4.5.7.4. Manage benefits achievement

Proses ini dinyatakan tidak lulus dengan pencapaian 0,00% dengan alasan :

a. Belum adanya pelacakan dan pelaporan benefit dari tiap proyek yang dilakukan.

b. Belum adanya tindakan koreksi apabila ada penyimpangan dari hasil yang diharapkan.

4.5.8. Proses APO06– Manage Budget and Costs

Proses ini berfokus dalam pengelolaan kegiatan TI yang berhubungan dengan keuangan baik dalam fungsi bisnis dan fungsi TI yang meliputi anggaran, manajemen biaya dan manfaat, dan prioritas dalam penggunaan praktek anggaran formal dan sistem pengalokasikan biaya organisasi secara adil dan merata. Ringkasan mengenai hasil pencapaian level beserta rincian secara spesifik mengenai penilaian proses ini adalah sebagai berikut :

Tabel 4.28.APO06_–Manage Budget and Costs

Tujuan

Mengembangkan kemitraan antara stakeholder organisasi dan stakeholder TI untuk memungkinkan penggunaan sumber daya TI yang efektif dan efisien dan menyediakan transparansi dan akuntabilitas nilai biaya dan nilai bisnis untuk solusi dan layanan. Memungkinkan organisasi untuk membuat keputusan mengenai solusi dan layanan penggunaan TI.

Proses

Level 0

Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Rating 78,33%

Rincian penilaian prosesManage Budget and Costspada level 1 dijelaskan melalui tabel di bawah ini :

144

BAB V

KESIMPULAN DAN SARAN

5.1. Kesimpulan

Kesimpulan yang didapat dari penelitian yang telah dilakukan adalah sebagai berikut :

1. Hasil dari capability level pada COBIT 5 yang terkait risiko

memperlihatkan bahwa POLITEKNIK X berada pada level 0

(incomplete process), dengan nilai sebesar 0,60. Dari hasil penilaian, untuk level 0 terdapat 8 proses, untuk level 1 terdapat 12 proses dan masing-masing 0 proses untuk proses 2, 3, 4 dan 5. Pengelolaan TI belum dilakukan dengan baik, secara umum pengelolaan TI di POLITEKNIK X masih dilakukan secara sporadis, artinya hanya akan diperhatikan dan dilakukan jika hanya dirasa harus dilakukan, tanpa adanya standar tertentu. Untuk work products-nya tidak dijalankan termasuk pengelolaan performa proses (performance management) dan pengukuran hasil dari proses yang dilaksanakan (work product management)tidak dilaksanakan dengan baik.

2. Berdasarkan hasil perhitungan,capability levelPOLITEKNIK X saat ini adalah 0,60 sedangkan untuk target capability level adalah 3,00, maka terdapat gap sebesar 2,40. Untuk mencapai target capability level yang

145

tersebut dengan membuat guidelines berupa SOP dengan konten yang sesuai dengan panduan dari COBIT 5 untuk seluruh proses yang belum memiliki SOP dan meningkatkan proses yang saat ini berada di level 0 untuk naik ke level 1.

3. Setiap proses yang tidak terpenuhi akan mengandung risiko yang tidak termonitor dan harus dimanage dengan cara melengkapi setiap subproses yang ada.

5.2. Saran

Saran yang dapat diberikan terhadap POLITEKNIK X berdasarkan hasil penelitian ini adalah sebagai berikut :

1. POLITEKNIK X harus memberikan perhatian secara khusus dalam hal pengelolaan TI dan risiko, agar segala hal yang dapat memicu terjadinya masalah dikemudian hari dapat dihindari.

2. POLITEKNIK X disarankan untuk membuat SOP untuk seluruh proses

yang dimiliki sesuai dengan ketentuan yang ada pada COBIT 5.

3. Jika POLITEKNIK X hanya ingin mencapai target level 3,00 maka disarankan untuk menerapkan quick win seperti dalam standar COBIT atau perbaikan secara menyeluruh jika ingin memperbaiki keseluruhan tata kelola dari TI.

MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA POLITEKNIK X BANDUNG MENGGUNAKAN

COBIT VERSI 5

Copyright @ 2014 JobStreet.com

Ginanjar Adi Pratama

(+62) 85720031815 | emailanjar@gmail.com | Bekasi, Jawa Barat

Education Indonesia Computer University Master's, Computer Science/ IT (2014)

Indonesia Computer University

Bachelor's, Computer Science/ IT (2011)

Nationality Indonesia

Experience

Jul 2012 - 2014 (1 year 11 months )

Lecturer Staff

Politeknik Piksi Ganesha | Jawa Barat, Indonesia

Oct 2011 - 2014 (2 years 8 months )

Lecturer Staff

Universitas Komputer Indonesia | Jawa Barat, Indonesia

Jun 2010 - Jul 2010 (1 month )

Computer System Application

Indonesia Aerospace (IAe) | Jawa Barat, Indonesia

Education

2014 Indonesia Computer University

Master's Degree/Post Graduate Degree in Computer Science/Information Technology | Indonesia

2011 Indonesia Computer University

Bachelor's Degree in Computer Science/Information Technology | Indonesia

Major Information System

CGPA 3.62/4

Skills

Intermediate PHP Programming, MySQL Database, Microsoft Visual Basic, Microsoft Visio, Microsoft Office, IT Hardware And Software

Basic Microsoft Visual Studio, Microsoft Project, Object Oriented Programming, Linux

Copyright @ 2014 JobStreet.com

Languages

Proficiency level: 0 - Poor, 10 - Excellent

Language Spoken Written Relevant Certificates

Bahasa Indonesia (Primary) 10 10

-English 7 7

-French 3 3

Additional Info

Other Information

Programming : PHP, Apache, MySQL, Javascript, CSS, HTML, JQuery, Oracle

Operating System : Windows, Linux (Ubuntu)

Software : Microsoft Office, Visio, Project, Adobe Dreamweaver, Adobe Photoshop

Other : IT Audit, Risk Management, Basic Networking, Computer Instalation, System Analyst.

Awards : Rector of Indonesia Computer University, The Best Graduate With Cumlaude Predicate

Certificate :

1. IT Governance and Framework, PSTK3IT, 2013

2. Enterprise Architecture Dalam Dunia Pendidikan, Unikom, 2013 3. IT Service Management Pada Perhotelan, PSTK3IT, 2013

4. Pemanfaatan Lean Six Sigma Pada Proyek Teknologi Informasi, PSTK3IT 2013 5. Pendidikan Anti Korupsi, Politeknik Piksi Ganesha, 2013

6. Wimax, High Speed Wireless Internet Access, Unikom, 2010 7. Linux, Virtualization, VoIP, Cloud Computing, Unikom, 2010 8. Hacking, Black or White, Unpad, 2009

9. Hardware Laboratory, Unikom, 2011

About Me

Gender Male

Address Jl. Borobudur Raya C5/13, Kel. Aren Jaya Permai, Kec. Bekasi Timur, 17111, Bekasi, Jawa Barat, Indonesia