Audit Sistem Informasi Menggunakan Standar COBIT 4.1 Domain Acquire And Implement Pada Universitas Pembangunan Nasional “Veteran” Jawa Timur.
AUDIT SISTEM INFORMASI MENGGUNAKAN STANDAR COBIT 4.1
DOMAIN ACQUIRE AND IMPLEMENT
PADA UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
SKRIPSI
Disusun Oleh :
MOHAMMAD ROFIUDDIN
NPM : 0835010020
J URUSAN SISTEM INFORMASI
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2012
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
KATA PENGANTAR
Assalamualaikum Wr. Wb.
Dengan mengucap syukur Alhamdulillah patut penulis panjatkan kepada
Tuhan Yang Maha Esa atas segala rahmat dan hidayah-Nya, sehingga Laporan
Skripsi yang telah dilaksanakan dapat terselesaikan dengan baik.
Skripsi dilaksanakan untuk mengasah kemampuan dan menerapkan ilmu
yang didapatkan dibangku kuliah. Hal ini sangat membantu mahasiswa untuk
meningkatkan kemampuan dan pengalaman langsung dalam penerapan suatu ilmu
yang didapatkan selama kuliah terhadap suatu organisasi terutama dalam hal ini
adalah organisasi bisnis.
Skripsi dilaksanakan selama kurang lebih 5 bulan. Semoga dalam
pengalaman Skripsi ini Mahasiswa mendapatkan ilmu yang bermanfaat di dunia
maupun di akhirat.
Atas kelancaran Skripsi, penulis berterima kasih atas bimbingan serta
bantuan dari berbagai pihak. Sehingga dalam kesempatan ini penulis
mengucapkan terima kasih yang sebesar-besarnya semoga Tuhan membalas
kebaikkan berlipat ganda kepada :
1.
Orang tua yang penulis cintai dan sayangi, serta hormati yang senantiasa
memberikan support penuh mulai do’a restu serta dukungan morilnya.
Semoga Tuhan senantiasa memberikan kesehatan kepada keduanya. Dan
semoga diberikan umur Panjang sehat jasmani dan rohani.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ii
2.
Bapak Nur Cahyo Wibowo, S.Kom, M.Kom, selaku Kepala Program studi
Sistem Informasi Universitas Pembangunan Nasional “Veteran” Jawa
Timur.
3.
Bapak Muhammad Irwan Afandi, ST, M.Sc selaku Sekretaris Program studi
Sistem Informasi
Universitas Pembangunan Nasional “Veteran” Jawa
Timur.
4.
Bapak Dr. Ronny S.Kom, M.Kom, M.H selaku Dosen Pembimbing 1 yang
senantiasa memberikan yang terbaik.
5.
Ibu Eka Dyar Wahyuni S.Kom selaku Dosen Pembimbing 2 yang senantiasa
diberi kesabaran dan ketabahan dalam bimbingannya, semoga Alloh
memberikan kemudahan dalam segala urusan didunia maupun di akhirat.
6.
Bapak Ir. Kemal Wijaya M.TP sebagai kepala Unit Pelaksana Teknis (UPT)
Telematika, dan kepada Pak Farid Wajdi. A.MD sebagai Kasubbag
Pengolahan Data. Ibu Nurul Komaiyah, S.Pd, MM sebagai Kasubbag Tata
Usaha Unit Pelaksana Teknis (UPT) Telematika yang senantiasa
memberikan kontribusi yang cukup baik dalam memberikan informasi yang
diperlukan dalam skripsi ini.
7.
Seluruh pihak terkait dan berkepentingan yang telah membantu dalam
penggalian data untuk proses menyelesaikan skripsi ini.
8.
Seluruh dulur-dulur SI08, TOURSI, AL-Maqosi, dan Tim GA (Gerombolan
Audit) yang selalu memberikan dukungan, do’a dan sholawat untuk segera
menyelesaikan Skripsi ini.
9.
Dan tidak lupa kepada Ibu Syurfah Ayu I, S.Kom yang telah menguji dalam
sidang seminar
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
iii
10.
Kepada dosen penguji Lisan bapak Prisa Pandunata, S.Kom, M.Sc
11.
Dan kepada Sang Motivator Bapak Novianto P.R, S.Kom yang secara
khusus mendapat gelar BA (Bapak’e Arek-arek) yang senantiasa
memberikan bimbingan mental jasmani dan rohani.
Semoga Tuhan selalu melimpahkan rahmat dan hidayahNya bagi mereka
yang telah memberikan kontribusi yang cukup besar dalam pengerja-an skripsi
ini.
Akhir kata penulis mengucapkan terima kasih yang sebesar-besarnya
semoga skripsi ini dapat bermanfaat bagi kita semua. Dan mohon maaf yang
sebesar-besarnya jika dalam pengerja-annya masih terjadi banyak kesalahan dan
kekurangannya. Kritik dan saran, sangat penulis butuhkan untuk dapat
meningkatkan kualitas pengerja-an Skripsi ini.
Atas perhatian dan kebijaksanaanya, penulis ucapkan terima kasih.
Wassalamualaikum Wr. Wb.
Surabaya, 31 Juli 2012
Penulis
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
iv
DAFTAR ISI
HALAMAN JUDUL
LEMBAR PENGESAHAN SKRIPSI
LEMBAR PENGESAHAN DAN PERSETUJUAN
LEMBAR KETERANGAN REVISI
ABSTRAK.................................................................................................. i
KATA PENGANTAR................................................................................
ii
DAFTAR ISI...............................................................................................
v
DAFTAR GAMBAR.................................................................................. xiii
DAFTAR TABEL.......................................................................................
BAB I
BAB II
PENDAHULUAN
xiv
.......................................................... 1
1.1
Latar Belakang.......................................................... 1
1.2
Rumusan Masalah..................................................
1.3
Batasan Masalah....................................................... 4
1.4
Tujuan....................................................................... 5
1.5
Manfaat.................................................................... 5
1.6
Sistematika Penulisan............................................... 6
3
TINJ AUAN PUSTAKA.................................................... 8
2.1 Pengertian Audit Sistem Informasi................................ 8
2.1.1 Tujuan Audit Sistem Informasi....................... 9
1) Meningkatkan keamanan aset-aset
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
v
perusahaan............................................... 9
2) Menjaga integritas data........................... 9
3) Keefektifitas sistem................................. 10
4) Efisiensi sistem........................................ 10
2.2 Definisi dan Sejarah Perkembangan COBIT................. 10
2.2.1 Struktur Paket COBIT………………..…….. 13
1) Executive Overview……………………. 13
2) Kerangka Kerja (Framework)………….. 14
3) Uraian Proses (Process Description)…... 16
4) Tujuan Pengendalian (Control Pbjectives) 17
5) Panduan Manajemen
(Management Guidelines)……………… 18
6) Model Kedewasaan (Maturity Level)…... 19
2.2.2 Kerangka Kerja Model COBIT…………….. 22
2.2.3 Domain COBIT 4.1………………………… 24
1) Plan And Organise (PO)………………. 24
2) Acquire And Implement (AI)…………… 25
a. AI1 Identify Automated
Solutions …………………..…. 25
b. AI2. Acquire and Maintain
Application Software …………. 28
c. AI3. Acquire and Maintain
Technology Infrastructure…….. 28
d. A14. Enable Operation and Use 28
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
vi
e. AI5. Procure IT Resource ……. 29
f. AI6. Manage Changes………... 31
g. AI7. Install and Accredit
Solutions and Changes……….. 32
3) Deliver And Support (DS)……………… 32
4) Monitor And Evaluate (ME)……………. 33
2.3 Gambaran Umum Mengenai Universitas Pembangunan
Nasional ”Veteran” Jawa Timur..................................... 34
1) Visi.......................................................... 35
2) Misi.......................................................... 35
3) Tujuan...................................................... 35
4) Iklim Pendidikan..................................... 35
5) Struktur Organisasi ................................. 36
2.3.1 Unit Pelaksana Teknis (UPT) Telematika....... 37
1) Tugas Pokok Unit Pelaksana Teknis
(UPT) Telematika..................................... 38
2) Fungsi Unit Pelaksana Teknis (UPT)
Telematika................................................ 38
3) Struktur Organisasi Unit Pelaksana
Teknis (UPT) Telematika dan bidang
Tugas…………………………………… 39
BAB III
METODE PENELITIAN................................................
42
3.1 Bagan Alur Audit Sistem Informasi…………………. 42
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
vii
3.2 Audit Subject…………………………………………. 45
3.2.1 Gambaran umum mengenai Universitas
Pembangunan Nasional “Veteran” Jawa
Timur……………………………………...... 45
3.2.2 Unit Pelaksana Teknis (UPT) Telematika
Universitas Pembangunan Nasional
”Veteran” Jawa Timur.................................... 46
3.3 Audit Objectives............................................................. 47
3.4 Preaudit Planning.......................................................... 48
3.5 Prosedur Audit dan langkah-langkah untuk
Mengumpulkan data...................................................... 48
3.6 Prosedur komunikasi dengan pihak manajemen............ 49
3.7 Evaluasi hasil pengujian................................................. 49
3.8 Audit Report................................................................... 49
BAB IV
HASIL DAN PEMBAHASAN………………..………… 51
4.1 Kondisi Umum Unit Pelaksana Teknis (UPT)
Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur………………………………… 52
4.1.1 Mengidentifikasi Solusi Otomatis pada
Unit Pelaksana Teknis (UPT) Telematika…... 54
4.1.2 Pengadaan Sumber Daya TI pada Unit
Pelaksana Teknis (UPT) Telematika………... 56
4.2 Pemetaan diagram RACI pada Universitas
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
viii
Pembangunan Nasional “Veteran” Jawa Timur………. 56
4.2.1 RACI Chart Mengidentifikasi Solusi
Otomatis ……………………………………. 59
4.2.2 RACI Chart Mendapatkan Sumber Daya TI
63
4.3 Proses dan hasil wawancara…………………………... 65
4.4 Control Objectives COBIT 4.1……………………….. 67
4.4.1 Control Objectives ACQUIRE AND
IMPLEMENT AI1 Identify Automated
Solutions……………………………………. 68
1) Detailed Control Objectives AI1.1
Definition and Maintenance of
Business Functional and Technical
Requirements………………………….. 69
2) Detailed Control Objectives AI1.2
Risk Analysis Report…………………... 69
3) Detailed Control Objectives AI1.3
Feasibility Study and Formulation of
Alternative Courses of Action…………. 70
4) Detailed Control Objectives AI1.4
Requirements and Feasibility Decision
and Approval…………………………. 71
4.4.2 Control Objectives ACQUIRE AND
IMPLEMENT AI5 Procure IT Resource......... 72
1) Detailed Control Objectives AI5.1
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ix
Procurement Control………………….. 72
2) Detailed Control Objectives AI5.2
Supplier Contract Management……….. 73
3) Detailed Control Objectives AI5.3
Supplier Selection……………………... 74
4) Detailed Control Objectives AI5.4
IT Resources Acquisition…………….... 75
4.5 Maturity Level COBIT 4.1 Pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur……………..…………………. 75
4.5.1 Kertas Kerja Maturity Level AI1
Mengidentifikasi Solusi Otomatis Pada
Unit Pelaksana Teknis (UPT) Telematika…... 77
1) Maturity Level 0 AI1 Identify Automated
Solutions………………………………. 77
2) Maturity Level 1 AI1 Identify Automated
Solutions………………………………. 78
3) Maturity Level 2 AI1 Identify Automated
Solutions………………………………. 80
4) Maturity Level 3 AI1 Identify Automated
Solutions………………………………. 81
5) Maturity Level 4 AI1 Identify Automated
Solutions………………………………. 83
6) Maturity Level 5 AI1 Identify Automated
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
x
Solutions………………………………. 85
7) Proses Penghitungan dan Hasil Penilaian
Maturity Level AI1 Identify Automated
Solutions………………………………. 87
4.5.2 Kertas Kerja Maturity Level AI5
Memperoleh Sumber Daya TI Pada Unit
Pelaksana Teknis (UPT) Telematika………… 90
1) Maturity Level 0 AI5 Procure IT
Resource………………………………. 90
2) Maturity Level 1 AI5 Procure IT
Resource………………………………. 91
3) Maturity Level 2 AI5 Procure IT
Resource………………………………. 93
4) Maturity Level 3 AI5 Procure IT
Resource………………………………. 95
5) Maturity Level 4 AI5 Procure IT
Resource………………………………. 97
6) Maturity Level 5 AI5 Procure IT
Resource………………………………. 99
7) Proses Penghitungan dan Hasil
Penilaian Maturity Level AI5 Procure
IT Resource…………………………… 101
4.6 Goals And Metrics…………………….……………… 103
4.6.1 Goals And Metrics AI1 Mengidentifikasi
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
xi
Solusi Otomatis Pada Unit Pelaksana
Teknis (UPT) Telematika…………………... 105
1) IT Goals And Metrics………………… 105
2) Process Goals And Metrics…………... 109
3) Activities Goals And Metrics…………. 113
4.6.2 Goals And Metrics AI5 Pengadaan Sumber
Daya TI…………………………………….. 116
1) IT Goals And Metrics…………..…….. 116
2) Process Goals And Metrics……............ 120
3) Activities Goals And Metrics..………… 123
4.7 Hasil Temuan dan Rekomendasi……..………………. 128
4.7.1 Hasil Temuan dan Rekomendasi pada Proses
AI1 Mengidentifikasi Solusi Otomatis……... 130
4.7.2 Hasil Temuan dan Rekomendasi pada Proses
AI5 Pengadaan Sumber Daya TI…………… 133
BAB V
PENUTUP………………………………………….........
134
5.1 Kesimpulan.................................................................... 134
5.2 Saran.............................................................................. 136
DAFTAR PUSTAKA...............................................................................
LAMPIRAN
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
xii
137
Judul
: Audit Sistem Informasi Menggunakan Standar COBIT 4.1 Domain
Acquire And Implement Pada Universitas Pembangunan Nasional
“Veteran” Jawa Timur
Penyusun
: Mohammad Rofiuddin
Pembimbing 1 : Dr. Ronny, S.Kom, M.Kom, M.H.
Pembimbing 2 : Eka Dyar Wahyuni, S.Kom
Abstrak
Unit Pelaksana Teknis merupakan tiang utama dalam penyedia layanan
Teknologi Informasi dan Komunikasi (TIK) pada Universitas Pembangunan Nasional
“Veteran” Jawa Timur. Keberhasilan dalam mencapai sasaran atau tujuan utama
organisasi bergantung besar terhadap sistem yang berjalan di dalamnya. Untuk
menilai sejauh mana sistem yang berjalan dalam suatu organisasi terkait dengan
perlindungan aset, pemeliharaan infrastruktur maupun layanan, sampai dengan
penyajian informasi yang dibutuhkan untuk mencapai suatu tujuan organisasi.
Audit Sistem Informasi merupakan salah satu kegiatan yang dapat mengukur
sebaik apa sistem informasi yang berjalan dalam organisasi tersebut. Pengukuran
diambil dari standar COBIT 4.1 yang terdiri dari Maturity Level, Control Objectives
dan Goals And Metrics.
Hasil dari Audit Sistem Informasi menunjukkan bahwa tata kelola TI yang
ada pada Unit Pelaksana Teknis (UPT) Telematika sudah berjalan cukup baik.
Namun ada beberapa kinerja TI yang harus diperbaiki, dikembangkan dan diadakan
dalam hal perencanaan strategis, pendokumentasian sampai dengan pemeliharaan
dan pengimplementasian. Pada proses AI1 Unit Pelaksana Teknis (UPT) Telematika
berada pada level 2.Repeatable dengan kondisi memiliki aktifitas berulang belum
terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan.
Sedangkan pada proses AI5 berada pada level 3.Defined dengan kondisi memiliki
prosedur formal dan tertulis.
Kata kunci : Sistem Informasi, Teknologi Informasi, Audit Sistem Informasi
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
i
BAB I
PENDAHULUAN
1.1 Latar Belakang
Berbagai macam bentuk organisasi bisnis yang bergerak dalam
berbagai bidang, masing-masing mempunyai tujuan untuk melayani
masyarakat akan kebutuhan yang selalu menjadi bahan pokok kehidupan pada
saat ini dan yang akan datang. Mulai dari bentuk jasa, produksi barang,
makanan, obat-obatan bahkan sampai dunia pendidikan merupakan salah satu
bentuk perwujudan organisasi bisnis yang mempunyai Visi dan Misi tertentu
untuk mencapainya. Salah satunya yaitu Universitas Pembangunan Nasional
“Veteran” Jawa Timur.
Untuk memenuhi suatu tuntutan kebutuhan dalam menunjang sistem
belajar mengajar dalam Kampus Universitas Pembangunan Nasional
“Veteran” Jawa Timur, guna meningkatkan kualitas pembelajaran harus
didukung dengan Teknologi Informasi (TI). Dimana Teknologi Informasi ini
sangat berpengaruh besar dalam pelayanan terhadap sistem belajar mengajar.
Salah satunya yaitu Unit Pelaksana Teknis (UPT) Telematika.
Unit Pelaksana Teknis (UPT) Telematika merupakan salah satu unit
pelayanan teknis di tingkat Universitas Pembangunan Nasional “Veteran”
Jawa Timur yang mempunyai fungsi pelayanan dibidang Teknologi Informasi
dan Komunikasi (TIK) atau sering disebut dengan IT (Information
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
1
2
Technology) kepada seluruh satker, termasuk staf dosen, karyawan,
mahasiswa serta layanan kepada masyarakat umum.
Tugas pokok Unit Pelaksana Teknis (UPT) Telematika adalah
menyediakan sarana dan prasarana pendukung dan menyajikan informasi
berkualitas yang tepat kebutuhan, tepat waktu dan tepat nilai berkaitan dengan
Tridharma Perguruan Tinggi dengan menggunakan perangkat pengolah dan
penyaji informasi.
Fungsi utama Unit Pelaksana Teknis (UPT) Telematika yaitu
menyusun rencana program kegiatan jangka pendek, menengah dan jangka
panjang Unit Pelaksana Teknis (UPT) Telematika sebagai pedoman
pelaksanaan tugas. Mengkoordinasi bawahan dalam melaksanakan tugas agar
terjalin kerjasama yang baik. Mengembangkan perangkat keras dengan cara
mengusulkan penambahan dan pemeliharaan untuk terlaksananya berbagai
kegiatan yang direncanakan. Menyelenggarakan pendidikan dan pelatihan
komputer untuk meningkatkan keterampilan dan kemampuan staf Unit
Pelaksana Teknik (UPT) Telematika dan satuan kerja lainnya. Melaksanakan
urusan pembuatan program atau sistem informasi sesuai kebutuhan unit kerja
lain, menghasilkan jenis-jenis informasi yang dibutuhkan sub satker. Dan
menyusun laporan Unit Pelaksana Teknis (UPT) Telematika sesuai dengan
hasil yang telah dicapai sebagai pertanggung jawaban pelaksanaan tugas.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3
Ditinjau dari fungsi pelayanannya, Unit Pelaksana Teknis (UPT)
Telematika berpengaruh besar terhadap proses bisnis yang berjalan pada
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Hal ini membuat
Unit Pelaksana Teknis (UPT) Telematika menjadi bagian yang rawan ketika
terjadi kesalahan dalam sistem yang dilaksanakan.
Permasalahan diatas merupakan alasan penulis untuk melakukan Audit
Sistem Informasi pada Unit Pelaksana Teknis (UPT) Telematika Universitas
Pembangunan Nasional “Veteran” Jawa Timur, guna untuk memberikan
penilaian terhadap kinerja Unit Pelaksana Teknis (UPT) Telematika yang
meliputi perangkat lunak dan pengguna sistem atau sumber daya yang
berkaitan. Dan hasil dari audit berupa laporan temuan dan rekomendasi
sebagai acuan kinerja TI yang baik menurut COBIT.
1.2 Rumusan Masalah
Berdasarkan Latar belakang diatas, rumusan masalah yaitu :
1. Bagaimana menentukan ruang lingkup Audit Sistem Informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur, dokumen-dokumen yang diperlukan, sistem yang
akan di Audit, melakukan wawancara dan siapa yang akan diwawancara
berdasarkan Sumber Daya Manusia (SDM) yang berhubungan dengan
pengelola layanan pada Unit Pelaksana Teknis (UPT) Telematika?
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
4
2. Bagaimana menganalisa Maturity Level, analisis Goals and Metrics,
analisis Control Objectives dan analisis hasil wawancara?
3. Bagaimana membuat evaluasi terhadap penilaian berdasarkan Analisis
Maturity Level, Goals and Metrics, Control Objectives dan menyusun
Laporan hasil dari Audit Sistem Informasi pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa
Timur?
4. Bagaimana membuat laporan rekomendasi berdasarkan analisis dan hasil
temuan?
1.3 Batasan Masalah
Dalam proses Audit Sistem Informasi pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur
memiliki beberapa batasan masalah sebagai berikut :
1) Dalam proses Audit Sistem Informasi ini lebih fokus domain
Acquire and Implement (AI) pada proses :
a. AI1
Identify
Automated
Solution
(Mengidentifikasi solusi otomatis).
b. AI5
Procure
IT
Sumber Daya TI).
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
Resource
(Mendapatkan
5
2) Ruang lingkup audit Sistem Informasi ini
Teknis (UPT)
pada Unit Pelaksana
Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur.
1.4 Tujuan
1) Melakukan evaluasi terhadap penilaian berdasarkan Analisis
Maturity Level, Goals and Metrics, Control Objectives dan
menyusun Laporan hasil dari Audit Sistem Informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan
Nasional “Veteran” Jawa Timur.
2) Membuat laporan rekomendasi yang didasarkan dari analisis dan
hasil temuan dalam proses pengumpulan data sebagai acuan untuk
tata kelola TI yang baik menurut standar COBIT 4.1
1.5 Manfaat
Manfaat yang diperoleh dari tugas akhir ini adalah :
1) Bagi Universitas Pembangunan Nasional “Veteran“ Jawa Timur :
Manfaat dari penelitian ini adalah untuk melakukan
evaluasi dan penilaian terhadap tata kelola layanan Teknologi
Informasi pada Unit Pelaksana Teknis (UPT) Telematika
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Dan
hasil yang diperoleh dari Audit sistem informasi ini dapat
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
6
dijadikan acuan dalam pelaksanaan tata kelola Teknologi Informasi
(TI) yang sesuai dengan standar.
2) Bagi Mahasiswa/Mahasiswi Universitas Pembangunan Nasional
“Veteran“ Jawa Timur :
Sebagai referensi dalam melakukan Auditing mulai dari
proses bisnis yang direncanakan sampai dengan implementasi
dalam suatu organisasi.
1.6 Sistematika Penulisan Laporan Tugas Akhir
Sistematika penulisan Laporan Tugas Akhir ini yaitu :
BAB I : PENDAHULUAN
Pada bab satu ini membahas mengenai Latar Belakang Masalah,
Rumusan masalah, Batasan Masalah, Tujuan, Manfaat dan Sistematika
Penulisan Tugas Akhir.
BAB II : TINJ AUAN PUSTAKA
Pada bab dua ini membahas secara singkat teori-teori yang
berhubungan dan mendukung dalam pembuatan laporan ini.
BAB III : METODE PENELITIAN
Pada bab tiga ini dijelaskan tentang metode penelitian yang
meliputi Pelaksanaan dan Metodologi tugas akhir.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab empat ini terdapat penjelasan proses audit, hasil dan
rekomendasi dari pembahasan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
7
BAB V : PENUTUP
Pada bab lima ini terdapat kesimpulan dan saran dari hasil
pembahasan yang telah dipaparkan pada bab empat.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB II
TINJ AUAN PUSTAKA
2.1 Pengertian Audit Sistem Informasi
Audit Sistem Informasi dilakukan dengan mengumpulkan dan
mengevaluasi bukti-bukti untuk menentukan apakah sistem informasi dan
sumber daya yang terkait memberikan perlindungan secara memadai terhadap
aset-aset, dapat memelihara integritas data dan sistem serta mampu
menyediakan informasi yang dibutuhkan pihak manajemen sesuai dengan
pemenuhannya terhadap tujuan Organisasi.
Menurut pendapat Ron Weber (1999), "EDP auditing is the process of
collecting and evaluate evidence to determine whether a computer system
safeguards assets, maintains data integrity, achieves organizational goals
effectively, and consumes resources effiently". Pengertiannnya secara garis
besar adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk
menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan
menerapkan sistem pengendalian intern yang memadai, semua aktiva
dilindungi dengan baik atau tidak disalahgunakan serta terjamin integritas
data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem
informasi berbasis komputer.
8
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
9
Audit sistem informasi dilakukan untuk dapat menilai :
1) Apakah sistem komputerisasi suatu organisasi atau perusahaan
dapat mendukung pengamanan aset.
2) Apakah sistem komputerisasi dapat mendukung pencapaian
tujuan organisasi atau perusahaan.
3) Apakah sistem komputerisasi tersebut efektif, efisien dan data
integritas terjamin.
2.1.1 Tujuan Audit Sistem Infor masi
Tujuan audit sistem informasi menurut Ron Weber (1999)
dapat disimpulkan secara garis besar terbagi menjadi empat tahap,
yaitu :
1) Meningkatkan keamanan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras
(Hardware), perangkat lunak (Software), sumber daya manusia,
file data harus dijaga oleh suatu sistem pengendalian intern yang
baik supaya tidak terjadi penyalahgunaan aset.
2) Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar
sistem informasi data memiliki atribut-atribut tertentu seperti :
kelengkapan, kebenaran, dan keakuratan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
10
3) Keefektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan
penting dalam proses pengambilan keputusan. suatu sistem
informasi dapat dikatakan efektif apabila sistem tersebut telah
sesuai dengan kebutuhan.
4) Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu
komputer tidak lagi memiliki kapasitas memadai.
2.2 Definisi dan Sejarah Perkembangan COBIT
Control Objectives for Information and related Technology (COBIT)
adalah seperangkat kerangka kerja bagi manajemen Teknologi Informasi (TI)
yang disusun oleh Information System Audit and Control Association
(ISACA), dan IT Governance Institute (ITGI) pada 1996. Selain itu,
disebutkan juga bahwa COBIT memiliki empat versi yaitu :
1) 1996, edisi CoBiT yang pertama diperkenalkan.
2) 1998, edisi kedua menambahkan Management Guidelines.
3) 2000, edisi ketiga dipublikasikan dan tersedia versi online.
4) Desember 2005, edisi keempat dipublikasikan.
5) Mei 2007, Versi 4.1 dipublikasikan tahun 2007.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
11
COBIT merupakan standar yang dinilai paling lengkap dan
menyeluruh sebagai framework IT audit karena dikembangkan secara
berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di
hampir seluruh negara.
Misi
COBIT
adalah
"Melakukan
riset,
mengembangkan,
mempublikasikan, serta mempromosikan kerangka tujuan pengendalian tata
kelola Teknologi Informasi yang dapat diterima secara International, bersifat
otoritatif, up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Kerangka COBIT ini akan efektif digunakan untuk menjaga
pengendalian internal dengan dukungan Teknologi Informasi yang tinggi,
seperti perusahaan yang didukung dengan proses otomatisasi atau produknya
berkaitan dengan Teknologi Informasi (TI). COBIT menyediakan suatu cara
yang baik untuk memahami dan mendokumentasikan pengendalian internal
suatu organisasi. Kerangka COBIT ini bukan merupakan pengganti, tetapi
merupakan suatu pendukung pengendalian internal COSO agar lebih mudah
memahami dan mendokumentasikan pengendalian intern, khususnya pada
perusahaan berbasis TI.
Framework COBIT menyediakan pernyataan pengendalian tertinggi
untuk proses TI dengan mengidentifikasi kebutuhan bisnis terhadap
pernyataan pengendalian, mengidentifikasi sumber daya TI yang digunakan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
12
dalam proses, mencantumkan keberadaan pengendalian dan menyebutkan
tujuan pengendalian secara umum (Colbert, 1996).
COBIT (Control Objectives for Information and Related Technology)
merupakan sebuah proses model yang dikembangkan untuk membantu
perusahaan dalam pengelolaan sumber daya Teknologi Informasi (TI). Proses
model ini difokuskan pada pengendalian terhadap masing-masing dari 34
proses TI, meningkatkan tingkat kemapanan proses dalam TI dan memenuhi
ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan para
eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga
dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh
dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadap Corporate Governance dan kebutuhan perusahaan agar mampu
berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi
kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melalui adopsi
COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui
penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya. COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
merupakan bagian dari Information Systems Audit and Control Association
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
13
(ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi
4.1.
Dalam COBIT 4.1 terdapat 34 daftar proses yang terbagi dalam 4
domain yaitu Plan And Organise (PO), Acquire And Implement (AI), Deliver
And Suport (DS), dan Monitor And Evaluate (ME). Proses – proses yang ada
dalam Cobit mencerminkan proses yang mungkin terdapat dalam sebuah
organisasi. Jumlah proses yang terdapat dalam sebuah organisasi bervariasi,
bergantung dari besar kecilnya organisasi itu.
2.2.1 Struktur Paket COBIT
Sebuah paket COBIT yang lengkap terdiri atas :
1) Executive Overview
Sebuah keputusan bisnis didasarkan kepada informasi yang
relevan, tepat waktu, dan tepat. COBIT dirancang untuk digunakan
oleh eksekutif senior dan manajer. Executive Overview terdiri dari
tinjauan yang menyediakan perhatian dan pemahaman atas konsep dan
prinsip kunci dari COBIT. Overview ini juga mencakup sinopsis
mengenai kerangka dasar yang menyediakan pemahaman yang lebih
mendetail atas konsep dan prinsip.
COBIT mendefinisikan 34 proses generik untuk mengelola
Teknologi Informasi. Setiap proses didefinisikan bersama dengan
proses input dan output, proses kegiatan kunci, tujuan proses, ukuran
kinerja dan model kedewasaan dasar. Kerangka kerja ini mendukung
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
14
tata kelola Teknologi Informasi dengan
mendefinisikan
dan
menyelaraskan tujuan bisnis dengan tujuan dan proses Teknologi
Informasi.
2) Kerangka Kerja (Framework)
Framework menjelaskan bagaimana proses IT akan memberikan
informasi yang dibutuhkan perusahaan dalam mencapai tujuannya.
Dalam COBIT framework ini disampaikan misi COBIT yaitu :
"Melakukan
riset,
mengembangkan,
mempublikasikan,
serta
mempromosikan kerangka tujuan pengendalian tata kelola Teknologi
Informasi yang dapat diterima secara International, bersifat otoritatif,
up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Pemberian
informasi
ini
dikendalikan
dengan
34
tujuan
pengendalian tingkat tinggi (high-level control), satu untuk masingmasing proses IT. Lingkup kriteria informasi yang sering menjadi
perhatian COBIT adalah :
a. Effectiveness : Berhubungan dengan informasi yang
relevan dan berhubungan dengan proses bisnis, yang
mana disampaikan secara tepat waktu, benar, konsisten
dan dapat digunakan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
15
b. Efficiency : Mengenai ketentuan dari informasi melalui
penggunaan sumber daya yang optimal (yang paling
produktif dan ekonomis).
c. Confidentiality : Menekankan pada perlindungan atas
informasi yang sensitif dari penyingkapan yang tidak
berwenang.
d. Integrity
:
Berhubungan
dengan
akurasi
dan
kelengkapan informasi, dan juga validitas yang sejalan
dengan nilai dan harapan bisnis.
e. Availability : Terkait dengan informasi yang tersedia
ketika diperlukan oleh proses bisnis saat ini dan dimasa
mendatang. hal ini juga berkaitan dengan perlindungan
atas sumber daya yang penting.
f. Compliance : Berhubungan dengan kepatuhan pada
hukum, peraturan dan perjanjian kontrak yang mana
terkait dengan proses bisnis.
g. Reliability : Berhubungan dengan ketentuan bagi
informasi yang sesuai untuk manajemen dalam
mengelola entitas dan melakukan tanggung jawab tata
kelola.
Framework ini juga mengidentifikasikan kriteria untuk
sumber daya TI yaitu :
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
16
a. Aplikasi : adalah sistem pengguna otomatis dan
prosedur manual yang memproses informasi.
b. Informasi : adalah data, dalam segala bentuknya,
dimasukkan, dan output-nya yang diproses oleh sistem
informasi dalam bentuk apapun yang digunakan oleh
bisnis.
c. Infrastruktur : adalah teknologi dan fasilitas (Misalnya,
perangkat keras, sistem operasi, sistem manajemen
database, jaringan, multimedia dan lingkungan yang
mendukung rumah dan mereka) yang memungkinkan
pemrosesan aplikasi.
d. Orang-Orang : adalah personil yang dibutuhkan untuk
merencanakan, mengatur, memperoleh, melaksanakan,
memberikan, dukungan, memantau dan mengevaluasi
sistem layanan informasi. mereka mungkin internal,
outsourcing, atau dikontrak seperti yang diperlukan.
3) Uraian Proses (Process Description)
Merupakan suatu model proses referensi dan bahasa umum
untuk setiap orang untuk melihat dan mengelola kegiatan
Teknologi Informasi dalam sebuah organisasi. Proses ini
memetakan wilayah tanggung jawab dalam merencanakan,
membangun, menjalankan dan mengawasi. Dalam uraian proses
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
17
ini disajikan hal mengenai definisi setiap proses, fokus
pelaksanaan proses, target yang hendak dicapai dan alat untuk
pengukuran proses tersebut.
4) Tujuan Pengendalian (Control Objectives)
Tujuan pengendalian COBIT menyediakan pemahaman
yang kritis dalam menentukan kebijakan yang jelas dan praktik
yang
baik untuk pengendalian IT. Termasuk didalamnya
pernyataan
akan
keinginan
untuk
mencapai
214
tujuan
pengendalian spesifik dan tujuan pengendalian detail dalam 34
proses IT tingkat tinggi (High-Level IT Processes).
Pengendalian didefinisikan sebagai kebijakan, prosedur,
praktek dan struktur organisasi yang dirancang untuk memberikan
keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan
kejadian yang tidak diinginkan akan dicegah atau dideteksi dan
diperbaiki.
Tujuan pengendalian Teknologi Informasi menyediakan
satu
set
persyaratan tingkat
tinggi
yang
lengkap
untuk
dipertimbangkan oleh manajemen untuk pengendalian yang efektif
pada setiap proses Teknologi Informasi, yaitu :
a. Apakah pernyataan tindakan manajerial untuk meningkatkan
nilai atau mengurangi resiko.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
18
b. Terdiri dari kebijakan, prosedur, praktek dan struktur
organisasi.
c. Apakah
dirancang
untuk
memberikan
keyakinan
yang
memadai bahwa tujuan bisnis akan tercapai dan kejadian yang
tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
5) Panduan Manajemen (Management Guidelines)
Management Guidelines tersusun dari konsep yang sudah
matang, untuk membantu menentukan tingkatan dan level
ekspektasi dari pengendalian dan membandingkannya dengan
industri yang sejenis. Ada beberapa istilah yang digunakan
Management Guidelines untuk menentukan kebijakannya yaitu :
a. Generik Input dan Output (From-Input proses and Output-To
Process)
Pemilik proses harus memahami input apakah yang mereka
butuhkan dari orang lain, dan hal lain apakah yang mereka
butuhkan untuk proses tersebut. COBIT menyediakan contoh "Key
Input and Output" pada setiap proses termasuk persyaratan
eksternal Teknologi Informasi. Ada beberapa output yang
merupakan input untuk semua proses lainnya.
b. RACI charts
Memahami peran dan tanggung jawab pada masing-masing
proses merupakan kunci tata kelola yang efektif. RACI charts
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
19
mengidentifikasi siapa yang bertanggung jawab (Responsible),
pihak mana yang harus mencatat, menyediakan arah dan otorisasi
suatu kegiatan (Accountable), pihak mana yang bisa diajak
melakukan konsultasi (Consulted) atau siapa yang hanya
diberitahukan saja (Informed).
c. Key Activity Goal (Hal terpenting yang harus dilakukan)
d. Metrics (Pengukuran)
6) Model Kedewasaan (Maturity Model)
Model
kemampuan
kedewasaan
per
proses
ini
dan
menilai
kematangan
membantu
untuk
dan
mengatasi
kesenjangan. Pemodelan kematangan untuk metode manajeman
dan pengendalian atas proses Teknologi Informasi didasarkan pada
suatu metode evaluasi organisasi, sehingga dapat diurutkan dari
level kematangan tidak ada (0) hingga optimal (5).
Pendekatan berasal dari model kematangan bahwa The
Software Engineering Institute (SEI) yang menentukan untuk
kematangan
kemampuan
pengembangan
perangkat
lunak
(Software).
Manfaat pendekatan maturity model ini adalah relatif
mudah digunakan oleh manajemen dalam menempatkan skala dan
menghargai
hal
yang
terlibat
ketika
peningkatan kinerja
diperlukan. Skala nol (0) mengidentifikasikan kemungkinan tidak
ada proses yang terjadi sama sekali. Sakala 0-5 berdasarkan skala
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
20
kematangan yang sederhana yang menunjukkan bagaimana suatu
proses itu terjadi dari suatu kapasitas yang non-existence ke
kapasitas yang optimised.
Skala maturity model ini akan membantu para profesional
dalam menjelaskan kepada manajer dimana kelemahan proses
manajemen Teknologi Informasi dan mampu menetapkan target
yang dibutuhkan organisasi. Tingkat kematangan akan dipengaruhi
oleh tujuan bisnis organisasi, lingkungan dan praktek industri.
Secara
khusus,
ketergantungannya
tingkat
pada
kematangan
Teknologi
manajemen
Informasi,
akan
kecanggihan
teknologi, dan yang paling penting, nilai informasi itu sendiri.
Berikut pengukuran tingkat kematangan menurut COBIT 4.1 yang
dibagi menjadi 6 level :
0.Nothing, adalah kondisi dimana perusahaan sama sekali tidak
peduli terhadap pentingnya Teknologi Informasi untuk dikelola
secara baik oleh manajemen.
1.Ad-Hoc, adalah kondisi dimana perusahaan secara reaktif
melakukan penerapan dan implementasi Teknologi Informasi
sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa
didahului dengan perencanaan sebelumnya.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
21
2.Repeatable, adalah kondisi dimana perusahaan telah memiliki
pola yang berulang kali dilakukan dalam melakukan manajemen
aktivitas terkait dengan tata kelola Teknologi Informasi, namun
keberadaannya belum terdefinisi secara baik dan formal sehingga
masih terjadi ketidak konsistenan.
3.Defined, adalah kondisi dimana perusahaan telah memiliki
prosedur baku formal dan tertulis yang telah disosialisasikan ke
segenap jajaran manajemen dan karyawan untuk dipatuhi dan
dikerjakan dalam aktivitas sehari-hari.
4.Managed, adalah kondisi dimana perusahaan telah memiliki
sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai
sasaran maupun obyektif kinerja setiap penerapan aplikasi
Teknologi Informasi yang ada.
5.Optimised, adalah kondisi dimana perusahaan dianggap telah
mengimplementasikan tata kelola manajemen Teknologi Informasi
yang mengacu pada “best practice”.
Gambar 2.1 Representation of Maturity Model
(Framework COBIT)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
22
2.2.2 Kerangka Kerja Model COBIT
Kerangka COBIT mengikat kebutuhan bisnis untuk informasi
dan tata kelola untuk tujuan fungsi layanan Teknologi Informasi.
Model proses Teknologi Informasi COBIT memungkinkan kegiatan
dan sumber daya Teknologi Informasi yang mendukung mereka agar
dapat dikelola dan dikendalikan secara tepat berdasarkan tujuan
pengendalian COBIT dan selaras serta diawasi menggunakan tujuan
(Goal) dan pengukuran (Metric) COBIT.
Gambar 2.2 The COBIT Cube (Framework COBIT)
Ringkasnya sumber daya Teknologi Informasi yang dikelola
oleh proses Teknologi Informasi untuk mencapai tujuan yang
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
23
merespon Teknologi Informasi dengan kebutuhan bisnis. Inilah prinsip
dasar dari kerangka COBIT (COBIT Framework). Seperti pada kubus
COBIT gambar 2.2.
Untuk tampilan secara lebih detail, keseluruhan kerangka
COBIT dapat ditunjukkan secara grafis dibawah ini, dengan
menampilkan 4 domain COBIT, yang terdiri dari 34 proses generik,
mengelola sumber daya Teknologi Informasi dan menyampaikan
informasi sesuai dengan kebutuhan bisnis dan tata kelolanya.
Gambar 2.3 Kerangka Kerja COBIT (Framework COBIT)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
24
2.2.3 Domain COBIT 4.1
Terdapat empat Domain dalam COBIT 4.1 yaitu :
1) Plan and Organise (PO)
Domain Perencanaan dan Organisasi meliputi penggunaan informasi
dan teknologi dan seberapa bagus digunakan dalam perusahaan untuk
membantu pencapaian tujuan dan sasaran perusahaan. Dalam domain ini
juga
menekankan
kepada
bagaimana
bentuk
organisasional
dan
infrastruktur TI akan digunakan dalam mencapai hasil yang optimal.
Tujuan pengendalian tingkat atas dari proses TI untuk domain
Perencanaan dan Organisasi (PO) :
a. PO1. Define a Strategic IT Plan and Direction (Mendefinisikan
Rencana Strategis TI)
b. PO2. Define the Information Architecture (Mendefinisikan Arsitektur
Informasi)
c. PO3. Determine Technological Direction (Menentukan Petunjuk
Teknologis)
d. PO4. Define the IT Processes, Organization and Relationships
(Mendefinisikan Proses, Organisasi dan Hubungan TI)
e. PO5. Manage the IT Investment (Mengelola Investasi TI)
f. PO6.
Communicate
Management
Aims
and
Direction
(Mengkomunikasikan Arah dan Tujuan Manajemen)
g. PO7. Manage IT Human Resource (Mengelola Sumber Daya Manusia
TI)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
25
h. PO8. Manage Quality (Mengelola Kualitas)
i. PO9. Assess and Manage IT Risks (Menilai dan mengelola Resiko TI)
j. PO10. Manage Projects (Mengelola Proyek-Proyek)
2) Acquire and Implement (AI)
Domain ini meliputi proses identifikasi persyaratan TI, cara
memperoleh teknologi, dan mengimplementasikannya kedalam proses
bisnis perusahaan pada saat ini. Domain ini juga menyebutkan mengenai
pengembangan sebuah perencanaan pemeliharaan yang harus diadopsi
oleh perusahaan dengan tujuan untuk memperpanjang siklus sistem TI dan
komponennya. Berikut berisikan tujuan pengendalian tingkat atas dari
proses IT untuk domain Memperoleh dan Implementasi (AI) :
a. AI1. Identify Automated Solutions (Mengidentifikasi Solusi Otomatis).
Mengidentifikasi setiap kebutuhan untuk sistem Informasi
yang kemudian akan diimplementasikan ke dalam aplikasi dan
membuat analisa sebelum merancang aplikasi tersebut mulai dari studi
kelayakan aplikasi, biaya-manfaat, resiko sampai keputusan apakah
sistem yang akan di implementasikan “Membuat” atau “Membeli” dan
memastikan apakah sistem ini sudah sesuai dengan tujuan bisnis yang
dijalankan.
Tujuan
dari
Proses-proses
diatas
yaitu
untuk
meminimalkan biaya untuk memperoleh dan menerapkan solusi dari
sistem yang dirancang.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
26
AI1.1. Definisi dan pemeliharaan bisnis fungsional serta kebutuhan
teknik.
Mengidentifikasi,
memprioritaskan,
menentukan
dan
menyepakati kebutuhan bisnis fungsional dan teknik meliputi cakupan
penuh dari semua inisiatif yang diperlukan untuk mencapai hasil yang
diharapkan dari program investasi IT-enabled.
Pada proses ini menjelaskan bahwa ketika membangun sebuah
sistem
untuk
memenuhi
kebutuhan
bisnis,
maka
diperlukan
identifikasi kebutuhan, menyepakati kebutuhan bisnis dan teknik dari
berbagai pihak, terutama pada pihak yang berhubungan dengan sistem
yang akan dibangun agar manfaat dapat tercapai seperti yang
diharapkan.
AI1.2. Laporan analisa Resiko.
Mengidentifikasi, mendokumentasikan dan menganalisa resiko
yang terkait dengan kebutuhan bisnis dan desain solusi sebagai bagian
dari proses organisasi untuk pengembangan kebutuhan.
Dalam hal membangun solusi TI COBIT menyatakan bahwa
ketika mengidentifikasi solusi otomatis maka diperlukan juga
dokumentasi. Menganalisa dampak dan kemungkinan yang terjadi
terkait dengan kebutuhan bisnis yang sedang dijalankan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
27
AI1.3. Studi Kelayakan dan Penyusunan Program Alternatif
Mengembangkan studi kelayakan yang mengkaji kemungkinan
menerapkan kebutuhan. Manajemen bisnis, didukung oleh fungsi TI,
harus menilai kelayakan program dan alternatif tindakan dan membuat
rekomendasi kepada sponsor bisnis.
Hal ini merupakan salah satu dari proses mengidentifikasi
solusi otomatis. Dimana studi kelayakan harus dikembangkan dengan
harapan hasil sesuai dengan yang diinginkan. Studi kelayakan
didefinisikan oleh pemilik proses bisnis. Dan satndar teknologi
mengikuti perkembangan pada saat itu. Dan memberikan rekomendasi
kebutuhan apa saja yang akan digunakan untuk menerapkan solusi TI
yang akan diimplementasikan. Mulai dari perangkat keras, perangkat
lunak,
jaringan sampai dengan sumber daya manusia yang
mendukung.
AI1.4. Persyaratan dan keputusan kelayakan dan persetujuan.
Verifikasi bahwa proses ini membutuhkan sponsor bisnis untuk
menyetujui dan menandatangani pada kebutuhan bisnis fungsional dan
teknis serta laporan studi kelayakan pada tahap kunci yang telah
ditentukan. Sponsor bisnis harus membuat keputusan akhir terhadap
pilihan solusi dan pendekatan akuisisi.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
28
Pada proses ini menyatakan bahwa setiap hasil dari identifikasi
maupun studi kelayakan kebutuhan yang akan diterjemahkan kedalam
sebuah solusi otomatis, maka diperlukan persetujuan dari pemilik
proses bisnis. Hal ini diperlukan untuk menghindari asumsi studi
kelayakan yang salah. Manajemen bisnis harus memberikan keputusan
akhir untuk menyatakan bahwa studi kelayakan yang dilakukan sudah
sesuai dengan kebutuhan.
b. AI2. Acquire and Maintain Application Software (Memperoleh dan
Memelihara Aplikasi Perangkat Lunak).
Memastikan aplikasi yang dirancang sesuai dengan kebutuhan
bisnis perusahaan. Proses ini meliputi perancangan desain aplikasi
dengan kontrol keamanan dan standar konfigurasi sistem.
c. AI3. Acquire and Maintain Technology Infrastructure (Memperoleh
dan memelihara Infrastruktur Teknologi).
Proses
ini
meliputi
pemeliharaan
dan
perlindungan
infrastruktur IT yang sesuai dengan strategi dan teknologi yang
diterapkan.
Memastikan
dukungan
terhadap
teknologi
yang
berkelanjutan untuk sistem aplikasi yang dirancang.
d. A14. Enable Operation and Use (Memungkinkan Operasi
DOMAIN ACQUIRE AND IMPLEMENT
PADA UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
SKRIPSI
Disusun Oleh :
MOHAMMAD ROFIUDDIN
NPM : 0835010020
J URUSAN SISTEM INFORMASI
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2012
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
KATA PENGANTAR
Assalamualaikum Wr. Wb.
Dengan mengucap syukur Alhamdulillah patut penulis panjatkan kepada
Tuhan Yang Maha Esa atas segala rahmat dan hidayah-Nya, sehingga Laporan
Skripsi yang telah dilaksanakan dapat terselesaikan dengan baik.
Skripsi dilaksanakan untuk mengasah kemampuan dan menerapkan ilmu
yang didapatkan dibangku kuliah. Hal ini sangat membantu mahasiswa untuk
meningkatkan kemampuan dan pengalaman langsung dalam penerapan suatu ilmu
yang didapatkan selama kuliah terhadap suatu organisasi terutama dalam hal ini
adalah organisasi bisnis.
Skripsi dilaksanakan selama kurang lebih 5 bulan. Semoga dalam
pengalaman Skripsi ini Mahasiswa mendapatkan ilmu yang bermanfaat di dunia
maupun di akhirat.
Atas kelancaran Skripsi, penulis berterima kasih atas bimbingan serta
bantuan dari berbagai pihak. Sehingga dalam kesempatan ini penulis
mengucapkan terima kasih yang sebesar-besarnya semoga Tuhan membalas
kebaikkan berlipat ganda kepada :
1.
Orang tua yang penulis cintai dan sayangi, serta hormati yang senantiasa
memberikan support penuh mulai do’a restu serta dukungan morilnya.
Semoga Tuhan senantiasa memberikan kesehatan kepada keduanya. Dan
semoga diberikan umur Panjang sehat jasmani dan rohani.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ii
2.
Bapak Nur Cahyo Wibowo, S.Kom, M.Kom, selaku Kepala Program studi
Sistem Informasi Universitas Pembangunan Nasional “Veteran” Jawa
Timur.
3.
Bapak Muhammad Irwan Afandi, ST, M.Sc selaku Sekretaris Program studi
Sistem Informasi
Universitas Pembangunan Nasional “Veteran” Jawa
Timur.
4.
Bapak Dr. Ronny S.Kom, M.Kom, M.H selaku Dosen Pembimbing 1 yang
senantiasa memberikan yang terbaik.
5.
Ibu Eka Dyar Wahyuni S.Kom selaku Dosen Pembimbing 2 yang senantiasa
diberi kesabaran dan ketabahan dalam bimbingannya, semoga Alloh
memberikan kemudahan dalam segala urusan didunia maupun di akhirat.
6.
Bapak Ir. Kemal Wijaya M.TP sebagai kepala Unit Pelaksana Teknis (UPT)
Telematika, dan kepada Pak Farid Wajdi. A.MD sebagai Kasubbag
Pengolahan Data. Ibu Nurul Komaiyah, S.Pd, MM sebagai Kasubbag Tata
Usaha Unit Pelaksana Teknis (UPT) Telematika yang senantiasa
memberikan kontribusi yang cukup baik dalam memberikan informasi yang
diperlukan dalam skripsi ini.
7.
Seluruh pihak terkait dan berkepentingan yang telah membantu dalam
penggalian data untuk proses menyelesaikan skripsi ini.
8.
Seluruh dulur-dulur SI08, TOURSI, AL-Maqosi, dan Tim GA (Gerombolan
Audit) yang selalu memberikan dukungan, do’a dan sholawat untuk segera
menyelesaikan Skripsi ini.
9.
Dan tidak lupa kepada Ibu Syurfah Ayu I, S.Kom yang telah menguji dalam
sidang seminar
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
iii
10.
Kepada dosen penguji Lisan bapak Prisa Pandunata, S.Kom, M.Sc
11.
Dan kepada Sang Motivator Bapak Novianto P.R, S.Kom yang secara
khusus mendapat gelar BA (Bapak’e Arek-arek) yang senantiasa
memberikan bimbingan mental jasmani dan rohani.
Semoga Tuhan selalu melimpahkan rahmat dan hidayahNya bagi mereka
yang telah memberikan kontribusi yang cukup besar dalam pengerja-an skripsi
ini.
Akhir kata penulis mengucapkan terima kasih yang sebesar-besarnya
semoga skripsi ini dapat bermanfaat bagi kita semua. Dan mohon maaf yang
sebesar-besarnya jika dalam pengerja-annya masih terjadi banyak kesalahan dan
kekurangannya. Kritik dan saran, sangat penulis butuhkan untuk dapat
meningkatkan kualitas pengerja-an Skripsi ini.
Atas perhatian dan kebijaksanaanya, penulis ucapkan terima kasih.
Wassalamualaikum Wr. Wb.
Surabaya, 31 Juli 2012
Penulis
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
iv
DAFTAR ISI
HALAMAN JUDUL
LEMBAR PENGESAHAN SKRIPSI
LEMBAR PENGESAHAN DAN PERSETUJUAN
LEMBAR KETERANGAN REVISI
ABSTRAK.................................................................................................. i
KATA PENGANTAR................................................................................
ii
DAFTAR ISI...............................................................................................
v
DAFTAR GAMBAR.................................................................................. xiii
DAFTAR TABEL.......................................................................................
BAB I
BAB II
PENDAHULUAN
xiv
.......................................................... 1
1.1
Latar Belakang.......................................................... 1
1.2
Rumusan Masalah..................................................
1.3
Batasan Masalah....................................................... 4
1.4
Tujuan....................................................................... 5
1.5
Manfaat.................................................................... 5
1.6
Sistematika Penulisan............................................... 6
3
TINJ AUAN PUSTAKA.................................................... 8
2.1 Pengertian Audit Sistem Informasi................................ 8
2.1.1 Tujuan Audit Sistem Informasi....................... 9
1) Meningkatkan keamanan aset-aset
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
v
perusahaan............................................... 9
2) Menjaga integritas data........................... 9
3) Keefektifitas sistem................................. 10
4) Efisiensi sistem........................................ 10
2.2 Definisi dan Sejarah Perkembangan COBIT................. 10
2.2.1 Struktur Paket COBIT………………..…….. 13
1) Executive Overview……………………. 13
2) Kerangka Kerja (Framework)………….. 14
3) Uraian Proses (Process Description)…... 16
4) Tujuan Pengendalian (Control Pbjectives) 17
5) Panduan Manajemen
(Management Guidelines)……………… 18
6) Model Kedewasaan (Maturity Level)…... 19
2.2.2 Kerangka Kerja Model COBIT…………….. 22
2.2.3 Domain COBIT 4.1………………………… 24
1) Plan And Organise (PO)………………. 24
2) Acquire And Implement (AI)…………… 25
a. AI1 Identify Automated
Solutions …………………..…. 25
b. AI2. Acquire and Maintain
Application Software …………. 28
c. AI3. Acquire and Maintain
Technology Infrastructure…….. 28
d. A14. Enable Operation and Use 28
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
vi
e. AI5. Procure IT Resource ……. 29
f. AI6. Manage Changes………... 31
g. AI7. Install and Accredit
Solutions and Changes……….. 32
3) Deliver And Support (DS)……………… 32
4) Monitor And Evaluate (ME)……………. 33
2.3 Gambaran Umum Mengenai Universitas Pembangunan
Nasional ”Veteran” Jawa Timur..................................... 34
1) Visi.......................................................... 35
2) Misi.......................................................... 35
3) Tujuan...................................................... 35
4) Iklim Pendidikan..................................... 35
5) Struktur Organisasi ................................. 36
2.3.1 Unit Pelaksana Teknis (UPT) Telematika....... 37
1) Tugas Pokok Unit Pelaksana Teknis
(UPT) Telematika..................................... 38
2) Fungsi Unit Pelaksana Teknis (UPT)
Telematika................................................ 38
3) Struktur Organisasi Unit Pelaksana
Teknis (UPT) Telematika dan bidang
Tugas…………………………………… 39
BAB III
METODE PENELITIAN................................................
42
3.1 Bagan Alur Audit Sistem Informasi…………………. 42
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
vii
3.2 Audit Subject…………………………………………. 45
3.2.1 Gambaran umum mengenai Universitas
Pembangunan Nasional “Veteran” Jawa
Timur……………………………………...... 45
3.2.2 Unit Pelaksana Teknis (UPT) Telematika
Universitas Pembangunan Nasional
”Veteran” Jawa Timur.................................... 46
3.3 Audit Objectives............................................................. 47
3.4 Preaudit Planning.......................................................... 48
3.5 Prosedur Audit dan langkah-langkah untuk
Mengumpulkan data...................................................... 48
3.6 Prosedur komunikasi dengan pihak manajemen............ 49
3.7 Evaluasi hasil pengujian................................................. 49
3.8 Audit Report................................................................... 49
BAB IV
HASIL DAN PEMBAHASAN………………..………… 51
4.1 Kondisi Umum Unit Pelaksana Teknis (UPT)
Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur………………………………… 52
4.1.1 Mengidentifikasi Solusi Otomatis pada
Unit Pelaksana Teknis (UPT) Telematika…... 54
4.1.2 Pengadaan Sumber Daya TI pada Unit
Pelaksana Teknis (UPT) Telematika………... 56
4.2 Pemetaan diagram RACI pada Universitas
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
viii
Pembangunan Nasional “Veteran” Jawa Timur………. 56
4.2.1 RACI Chart Mengidentifikasi Solusi
Otomatis ……………………………………. 59
4.2.2 RACI Chart Mendapatkan Sumber Daya TI
63
4.3 Proses dan hasil wawancara…………………………... 65
4.4 Control Objectives COBIT 4.1……………………….. 67
4.4.1 Control Objectives ACQUIRE AND
IMPLEMENT AI1 Identify Automated
Solutions……………………………………. 68
1) Detailed Control Objectives AI1.1
Definition and Maintenance of
Business Functional and Technical
Requirements………………………….. 69
2) Detailed Control Objectives AI1.2
Risk Analysis Report…………………... 69
3) Detailed Control Objectives AI1.3
Feasibility Study and Formulation of
Alternative Courses of Action…………. 70
4) Detailed Control Objectives AI1.4
Requirements and Feasibility Decision
and Approval…………………………. 71
4.4.2 Control Objectives ACQUIRE AND
IMPLEMENT AI5 Procure IT Resource......... 72
1) Detailed Control Objectives AI5.1
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ix
Procurement Control………………….. 72
2) Detailed Control Objectives AI5.2
Supplier Contract Management……….. 73
3) Detailed Control Objectives AI5.3
Supplier Selection……………………... 74
4) Detailed Control Objectives AI5.4
IT Resources Acquisition…………….... 75
4.5 Maturity Level COBIT 4.1 Pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur……………..…………………. 75
4.5.1 Kertas Kerja Maturity Level AI1
Mengidentifikasi Solusi Otomatis Pada
Unit Pelaksana Teknis (UPT) Telematika…... 77
1) Maturity Level 0 AI1 Identify Automated
Solutions………………………………. 77
2) Maturity Level 1 AI1 Identify Automated
Solutions………………………………. 78
3) Maturity Level 2 AI1 Identify Automated
Solutions………………………………. 80
4) Maturity Level 3 AI1 Identify Automated
Solutions………………………………. 81
5) Maturity Level 4 AI1 Identify Automated
Solutions………………………………. 83
6) Maturity Level 5 AI1 Identify Automated
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
x
Solutions………………………………. 85
7) Proses Penghitungan dan Hasil Penilaian
Maturity Level AI1 Identify Automated
Solutions………………………………. 87
4.5.2 Kertas Kerja Maturity Level AI5
Memperoleh Sumber Daya TI Pada Unit
Pelaksana Teknis (UPT) Telematika………… 90
1) Maturity Level 0 AI5 Procure IT
Resource………………………………. 90
2) Maturity Level 1 AI5 Procure IT
Resource………………………………. 91
3) Maturity Level 2 AI5 Procure IT
Resource………………………………. 93
4) Maturity Level 3 AI5 Procure IT
Resource………………………………. 95
5) Maturity Level 4 AI5 Procure IT
Resource………………………………. 97
6) Maturity Level 5 AI5 Procure IT
Resource………………………………. 99
7) Proses Penghitungan dan Hasil
Penilaian Maturity Level AI5 Procure
IT Resource…………………………… 101
4.6 Goals And Metrics…………………….……………… 103
4.6.1 Goals And Metrics AI1 Mengidentifikasi
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
xi
Solusi Otomatis Pada Unit Pelaksana
Teknis (UPT) Telematika…………………... 105
1) IT Goals And Metrics………………… 105
2) Process Goals And Metrics…………... 109
3) Activities Goals And Metrics…………. 113
4.6.2 Goals And Metrics AI5 Pengadaan Sumber
Daya TI…………………………………….. 116
1) IT Goals And Metrics…………..…….. 116
2) Process Goals And Metrics……............ 120
3) Activities Goals And Metrics..………… 123
4.7 Hasil Temuan dan Rekomendasi……..………………. 128
4.7.1 Hasil Temuan dan Rekomendasi pada Proses
AI1 Mengidentifikasi Solusi Otomatis……... 130
4.7.2 Hasil Temuan dan Rekomendasi pada Proses
AI5 Pengadaan Sumber Daya TI…………… 133
BAB V
PENUTUP………………………………………….........
134
5.1 Kesimpulan.................................................................... 134
5.2 Saran.............................................................................. 136
DAFTAR PUSTAKA...............................................................................
LAMPIRAN
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
xii
137
Judul
: Audit Sistem Informasi Menggunakan Standar COBIT 4.1 Domain
Acquire And Implement Pada Universitas Pembangunan Nasional
“Veteran” Jawa Timur
Penyusun
: Mohammad Rofiuddin
Pembimbing 1 : Dr. Ronny, S.Kom, M.Kom, M.H.
Pembimbing 2 : Eka Dyar Wahyuni, S.Kom
Abstrak
Unit Pelaksana Teknis merupakan tiang utama dalam penyedia layanan
Teknologi Informasi dan Komunikasi (TIK) pada Universitas Pembangunan Nasional
“Veteran” Jawa Timur. Keberhasilan dalam mencapai sasaran atau tujuan utama
organisasi bergantung besar terhadap sistem yang berjalan di dalamnya. Untuk
menilai sejauh mana sistem yang berjalan dalam suatu organisasi terkait dengan
perlindungan aset, pemeliharaan infrastruktur maupun layanan, sampai dengan
penyajian informasi yang dibutuhkan untuk mencapai suatu tujuan organisasi.
Audit Sistem Informasi merupakan salah satu kegiatan yang dapat mengukur
sebaik apa sistem informasi yang berjalan dalam organisasi tersebut. Pengukuran
diambil dari standar COBIT 4.1 yang terdiri dari Maturity Level, Control Objectives
dan Goals And Metrics.
Hasil dari Audit Sistem Informasi menunjukkan bahwa tata kelola TI yang
ada pada Unit Pelaksana Teknis (UPT) Telematika sudah berjalan cukup baik.
Namun ada beberapa kinerja TI yang harus diperbaiki, dikembangkan dan diadakan
dalam hal perencanaan strategis, pendokumentasian sampai dengan pemeliharaan
dan pengimplementasian. Pada proses AI1 Unit Pelaksana Teknis (UPT) Telematika
berada pada level 2.Repeatable dengan kondisi memiliki aktifitas berulang belum
terdefinisi secara baik dan formal sehingga masih terjadi ketidak konsistenan.
Sedangkan pada proses AI5 berada pada level 3.Defined dengan kondisi memiliki
prosedur formal dan tertulis.
Kata kunci : Sistem Informasi, Teknologi Informasi, Audit Sistem Informasi
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
i
BAB I
PENDAHULUAN
1.1 Latar Belakang
Berbagai macam bentuk organisasi bisnis yang bergerak dalam
berbagai bidang, masing-masing mempunyai tujuan untuk melayani
masyarakat akan kebutuhan yang selalu menjadi bahan pokok kehidupan pada
saat ini dan yang akan datang. Mulai dari bentuk jasa, produksi barang,
makanan, obat-obatan bahkan sampai dunia pendidikan merupakan salah satu
bentuk perwujudan organisasi bisnis yang mempunyai Visi dan Misi tertentu
untuk mencapainya. Salah satunya yaitu Universitas Pembangunan Nasional
“Veteran” Jawa Timur.
Untuk memenuhi suatu tuntutan kebutuhan dalam menunjang sistem
belajar mengajar dalam Kampus Universitas Pembangunan Nasional
“Veteran” Jawa Timur, guna meningkatkan kualitas pembelajaran harus
didukung dengan Teknologi Informasi (TI). Dimana Teknologi Informasi ini
sangat berpengaruh besar dalam pelayanan terhadap sistem belajar mengajar.
Salah satunya yaitu Unit Pelaksana Teknis (UPT) Telematika.
Unit Pelaksana Teknis (UPT) Telematika merupakan salah satu unit
pelayanan teknis di tingkat Universitas Pembangunan Nasional “Veteran”
Jawa Timur yang mempunyai fungsi pelayanan dibidang Teknologi Informasi
dan Komunikasi (TIK) atau sering disebut dengan IT (Information
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
1
2
Technology) kepada seluruh satker, termasuk staf dosen, karyawan,
mahasiswa serta layanan kepada masyarakat umum.
Tugas pokok Unit Pelaksana Teknis (UPT) Telematika adalah
menyediakan sarana dan prasarana pendukung dan menyajikan informasi
berkualitas yang tepat kebutuhan, tepat waktu dan tepat nilai berkaitan dengan
Tridharma Perguruan Tinggi dengan menggunakan perangkat pengolah dan
penyaji informasi.
Fungsi utama Unit Pelaksana Teknis (UPT) Telematika yaitu
menyusun rencana program kegiatan jangka pendek, menengah dan jangka
panjang Unit Pelaksana Teknis (UPT) Telematika sebagai pedoman
pelaksanaan tugas. Mengkoordinasi bawahan dalam melaksanakan tugas agar
terjalin kerjasama yang baik. Mengembangkan perangkat keras dengan cara
mengusulkan penambahan dan pemeliharaan untuk terlaksananya berbagai
kegiatan yang direncanakan. Menyelenggarakan pendidikan dan pelatihan
komputer untuk meningkatkan keterampilan dan kemampuan staf Unit
Pelaksana Teknik (UPT) Telematika dan satuan kerja lainnya. Melaksanakan
urusan pembuatan program atau sistem informasi sesuai kebutuhan unit kerja
lain, menghasilkan jenis-jenis informasi yang dibutuhkan sub satker. Dan
menyusun laporan Unit Pelaksana Teknis (UPT) Telematika sesuai dengan
hasil yang telah dicapai sebagai pertanggung jawaban pelaksanaan tugas.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3
Ditinjau dari fungsi pelayanannya, Unit Pelaksana Teknis (UPT)
Telematika berpengaruh besar terhadap proses bisnis yang berjalan pada
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Hal ini membuat
Unit Pelaksana Teknis (UPT) Telematika menjadi bagian yang rawan ketika
terjadi kesalahan dalam sistem yang dilaksanakan.
Permasalahan diatas merupakan alasan penulis untuk melakukan Audit
Sistem Informasi pada Unit Pelaksana Teknis (UPT) Telematika Universitas
Pembangunan Nasional “Veteran” Jawa Timur, guna untuk memberikan
penilaian terhadap kinerja Unit Pelaksana Teknis (UPT) Telematika yang
meliputi perangkat lunak dan pengguna sistem atau sumber daya yang
berkaitan. Dan hasil dari audit berupa laporan temuan dan rekomendasi
sebagai acuan kinerja TI yang baik menurut COBIT.
1.2 Rumusan Masalah
Berdasarkan Latar belakang diatas, rumusan masalah yaitu :
1. Bagaimana menentukan ruang lingkup Audit Sistem Informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur, dokumen-dokumen yang diperlukan, sistem yang
akan di Audit, melakukan wawancara dan siapa yang akan diwawancara
berdasarkan Sumber Daya Manusia (SDM) yang berhubungan dengan
pengelola layanan pada Unit Pelaksana Teknis (UPT) Telematika?
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
4
2. Bagaimana menganalisa Maturity Level, analisis Goals and Metrics,
analisis Control Objectives dan analisis hasil wawancara?
3. Bagaimana membuat evaluasi terhadap penilaian berdasarkan Analisis
Maturity Level, Goals and Metrics, Control Objectives dan menyusun
Laporan hasil dari Audit Sistem Informasi pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa
Timur?
4. Bagaimana membuat laporan rekomendasi berdasarkan analisis dan hasil
temuan?
1.3 Batasan Masalah
Dalam proses Audit Sistem Informasi pada Unit Pelaksana Teknis
(UPT) Telematika Universitas Pembangunan Nasional “Veteran” Jawa Timur
memiliki beberapa batasan masalah sebagai berikut :
1) Dalam proses Audit Sistem Informasi ini lebih fokus domain
Acquire and Implement (AI) pada proses :
a. AI1
Identify
Automated
Solution
(Mengidentifikasi solusi otomatis).
b. AI5
Procure
IT
Sumber Daya TI).
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
Resource
(Mendapatkan
5
2) Ruang lingkup audit Sistem Informasi ini
Teknis (UPT)
pada Unit Pelaksana
Telematika Universitas Pembangunan Nasional
“Veteran” Jawa Timur.
1.4 Tujuan
1) Melakukan evaluasi terhadap penilaian berdasarkan Analisis
Maturity Level, Goals and Metrics, Control Objectives dan
menyusun Laporan hasil dari Audit Sistem Informasi pada Unit
Pelaksana Teknis (UPT) Telematika Universitas Pembangunan
Nasional “Veteran” Jawa Timur.
2) Membuat laporan rekomendasi yang didasarkan dari analisis dan
hasil temuan dalam proses pengumpulan data sebagai acuan untuk
tata kelola TI yang baik menurut standar COBIT 4.1
1.5 Manfaat
Manfaat yang diperoleh dari tugas akhir ini adalah :
1) Bagi Universitas Pembangunan Nasional “Veteran“ Jawa Timur :
Manfaat dari penelitian ini adalah untuk melakukan
evaluasi dan penilaian terhadap tata kelola layanan Teknologi
Informasi pada Unit Pelaksana Teknis (UPT) Telematika
Universitas Pembangunan Nasional “Veteran” Jawa Timur. Dan
hasil yang diperoleh dari Audit sistem informasi ini dapat
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
6
dijadikan acuan dalam pelaksanaan tata kelola Teknologi Informasi
(TI) yang sesuai dengan standar.
2) Bagi Mahasiswa/Mahasiswi Universitas Pembangunan Nasional
“Veteran“ Jawa Timur :
Sebagai referensi dalam melakukan Auditing mulai dari
proses bisnis yang direncanakan sampai dengan implementasi
dalam suatu organisasi.
1.6 Sistematika Penulisan Laporan Tugas Akhir
Sistematika penulisan Laporan Tugas Akhir ini yaitu :
BAB I : PENDAHULUAN
Pada bab satu ini membahas mengenai Latar Belakang Masalah,
Rumusan masalah, Batasan Masalah, Tujuan, Manfaat dan Sistematika
Penulisan Tugas Akhir.
BAB II : TINJ AUAN PUSTAKA
Pada bab dua ini membahas secara singkat teori-teori yang
berhubungan dan mendukung dalam pembuatan laporan ini.
BAB III : METODE PENELITIAN
Pada bab tiga ini dijelaskan tentang metode penelitian yang
meliputi Pelaksanaan dan Metodologi tugas akhir.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab empat ini terdapat penjelasan proses audit, hasil dan
rekomendasi dari pembahasan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
7
BAB V : PENUTUP
Pada bab lima ini terdapat kesimpulan dan saran dari hasil
pembahasan yang telah dipaparkan pada bab empat.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB II
TINJ AUAN PUSTAKA
2.1 Pengertian Audit Sistem Informasi
Audit Sistem Informasi dilakukan dengan mengumpulkan dan
mengevaluasi bukti-bukti untuk menentukan apakah sistem informasi dan
sumber daya yang terkait memberikan perlindungan secara memadai terhadap
aset-aset, dapat memelihara integritas data dan sistem serta mampu
menyediakan informasi yang dibutuhkan pihak manajemen sesuai dengan
pemenuhannya terhadap tujuan Organisasi.
Menurut pendapat Ron Weber (1999), "EDP auditing is the process of
collecting and evaluate evidence to determine whether a computer system
safeguards assets, maintains data integrity, achieves organizational goals
effectively, and consumes resources effiently". Pengertiannnya secara garis
besar adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk
menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan
menerapkan sistem pengendalian intern yang memadai, semua aktiva
dilindungi dengan baik atau tidak disalahgunakan serta terjamin integritas
data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem
informasi berbasis komputer.
8
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
9
Audit sistem informasi dilakukan untuk dapat menilai :
1) Apakah sistem komputerisasi suatu organisasi atau perusahaan
dapat mendukung pengamanan aset.
2) Apakah sistem komputerisasi dapat mendukung pencapaian
tujuan organisasi atau perusahaan.
3) Apakah sistem komputerisasi tersebut efektif, efisien dan data
integritas terjamin.
2.1.1 Tujuan Audit Sistem Infor masi
Tujuan audit sistem informasi menurut Ron Weber (1999)
dapat disimpulkan secara garis besar terbagi menjadi empat tahap,
yaitu :
1) Meningkatkan keamanan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras
(Hardware), perangkat lunak (Software), sumber daya manusia,
file data harus dijaga oleh suatu sistem pengendalian intern yang
baik supaya tidak terjadi penyalahgunaan aset.
2) Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar
sistem informasi data memiliki atribut-atribut tertentu seperti :
kelengkapan, kebenaran, dan keakuratan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
10
3) Keefektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan
penting dalam proses pengambilan keputusan. suatu sistem
informasi dapat dikatakan efektif apabila sistem tersebut telah
sesuai dengan kebutuhan.
4) Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu
komputer tidak lagi memiliki kapasitas memadai.
2.2 Definisi dan Sejarah Perkembangan COBIT
Control Objectives for Information and related Technology (COBIT)
adalah seperangkat kerangka kerja bagi manajemen Teknologi Informasi (TI)
yang disusun oleh Information System Audit and Control Association
(ISACA), dan IT Governance Institute (ITGI) pada 1996. Selain itu,
disebutkan juga bahwa COBIT memiliki empat versi yaitu :
1) 1996, edisi CoBiT yang pertama diperkenalkan.
2) 1998, edisi kedua menambahkan Management Guidelines.
3) 2000, edisi ketiga dipublikasikan dan tersedia versi online.
4) Desember 2005, edisi keempat dipublikasikan.
5) Mei 2007, Versi 4.1 dipublikasikan tahun 2007.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
11
COBIT merupakan standar yang dinilai paling lengkap dan
menyeluruh sebagai framework IT audit karena dikembangkan secara
berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di
hampir seluruh negara.
Misi
COBIT
adalah
"Melakukan
riset,
mengembangkan,
mempublikasikan, serta mempromosikan kerangka tujuan pengendalian tata
kelola Teknologi Informasi yang dapat diterima secara International, bersifat
otoritatif, up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Kerangka COBIT ini akan efektif digunakan untuk menjaga
pengendalian internal dengan dukungan Teknologi Informasi yang tinggi,
seperti perusahaan yang didukung dengan proses otomatisasi atau produknya
berkaitan dengan Teknologi Informasi (TI). COBIT menyediakan suatu cara
yang baik untuk memahami dan mendokumentasikan pengendalian internal
suatu organisasi. Kerangka COBIT ini bukan merupakan pengganti, tetapi
merupakan suatu pendukung pengendalian internal COSO agar lebih mudah
memahami dan mendokumentasikan pengendalian intern, khususnya pada
perusahaan berbasis TI.
Framework COBIT menyediakan pernyataan pengendalian tertinggi
untuk proses TI dengan mengidentifikasi kebutuhan bisnis terhadap
pernyataan pengendalian, mengidentifikasi sumber daya TI yang digunakan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
12
dalam proses, mencantumkan keberadaan pengendalian dan menyebutkan
tujuan pengendalian secara umum (Colbert, 1996).
COBIT (Control Objectives for Information and Related Technology)
merupakan sebuah proses model yang dikembangkan untuk membantu
perusahaan dalam pengelolaan sumber daya Teknologi Informasi (TI). Proses
model ini difokuskan pada pengendalian terhadap masing-masing dari 34
proses TI, meningkatkan tingkat kemapanan proses dalam TI dan memenuhi
ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan para
eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga
dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh
dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadap Corporate Governance dan kebutuhan perusahaan agar mampu
berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi
kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melalui adopsi
COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui
penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya. COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
merupakan bagian dari Information Systems Audit and Control Association
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
13
(ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi
4.1.
Dalam COBIT 4.1 terdapat 34 daftar proses yang terbagi dalam 4
domain yaitu Plan And Organise (PO), Acquire And Implement (AI), Deliver
And Suport (DS), dan Monitor And Evaluate (ME). Proses – proses yang ada
dalam Cobit mencerminkan proses yang mungkin terdapat dalam sebuah
organisasi. Jumlah proses yang terdapat dalam sebuah organisasi bervariasi,
bergantung dari besar kecilnya organisasi itu.
2.2.1 Struktur Paket COBIT
Sebuah paket COBIT yang lengkap terdiri atas :
1) Executive Overview
Sebuah keputusan bisnis didasarkan kepada informasi yang
relevan, tepat waktu, dan tepat. COBIT dirancang untuk digunakan
oleh eksekutif senior dan manajer. Executive Overview terdiri dari
tinjauan yang menyediakan perhatian dan pemahaman atas konsep dan
prinsip kunci dari COBIT. Overview ini juga mencakup sinopsis
mengenai kerangka dasar yang menyediakan pemahaman yang lebih
mendetail atas konsep dan prinsip.
COBIT mendefinisikan 34 proses generik untuk mengelola
Teknologi Informasi. Setiap proses didefinisikan bersama dengan
proses input dan output, proses kegiatan kunci, tujuan proses, ukuran
kinerja dan model kedewasaan dasar. Kerangka kerja ini mendukung
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
14
tata kelola Teknologi Informasi dengan
mendefinisikan
dan
menyelaraskan tujuan bisnis dengan tujuan dan proses Teknologi
Informasi.
2) Kerangka Kerja (Framework)
Framework menjelaskan bagaimana proses IT akan memberikan
informasi yang dibutuhkan perusahaan dalam mencapai tujuannya.
Dalam COBIT framework ini disampaikan misi COBIT yaitu :
"Melakukan
riset,
mengembangkan,
mempublikasikan,
serta
mempromosikan kerangka tujuan pengendalian tata kelola Teknologi
Informasi yang dapat diterima secara International, bersifat otoritatif,
up-to-date, untuk digunakan sehari-hari bagi manajer usaha,
profesional informasi teknologi dan professional assurance."
Pemberian
informasi
ini
dikendalikan
dengan
34
tujuan
pengendalian tingkat tinggi (high-level control), satu untuk masingmasing proses IT. Lingkup kriteria informasi yang sering menjadi
perhatian COBIT adalah :
a. Effectiveness : Berhubungan dengan informasi yang
relevan dan berhubungan dengan proses bisnis, yang
mana disampaikan secara tepat waktu, benar, konsisten
dan dapat digunakan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
15
b. Efficiency : Mengenai ketentuan dari informasi melalui
penggunaan sumber daya yang optimal (yang paling
produktif dan ekonomis).
c. Confidentiality : Menekankan pada perlindungan atas
informasi yang sensitif dari penyingkapan yang tidak
berwenang.
d. Integrity
:
Berhubungan
dengan
akurasi
dan
kelengkapan informasi, dan juga validitas yang sejalan
dengan nilai dan harapan bisnis.
e. Availability : Terkait dengan informasi yang tersedia
ketika diperlukan oleh proses bisnis saat ini dan dimasa
mendatang. hal ini juga berkaitan dengan perlindungan
atas sumber daya yang penting.
f. Compliance : Berhubungan dengan kepatuhan pada
hukum, peraturan dan perjanjian kontrak yang mana
terkait dengan proses bisnis.
g. Reliability : Berhubungan dengan ketentuan bagi
informasi yang sesuai untuk manajemen dalam
mengelola entitas dan melakukan tanggung jawab tata
kelola.
Framework ini juga mengidentifikasikan kriteria untuk
sumber daya TI yaitu :
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
16
a. Aplikasi : adalah sistem pengguna otomatis dan
prosedur manual yang memproses informasi.
b. Informasi : adalah data, dalam segala bentuknya,
dimasukkan, dan output-nya yang diproses oleh sistem
informasi dalam bentuk apapun yang digunakan oleh
bisnis.
c. Infrastruktur : adalah teknologi dan fasilitas (Misalnya,
perangkat keras, sistem operasi, sistem manajemen
database, jaringan, multimedia dan lingkungan yang
mendukung rumah dan mereka) yang memungkinkan
pemrosesan aplikasi.
d. Orang-Orang : adalah personil yang dibutuhkan untuk
merencanakan, mengatur, memperoleh, melaksanakan,
memberikan, dukungan, memantau dan mengevaluasi
sistem layanan informasi. mereka mungkin internal,
outsourcing, atau dikontrak seperti yang diperlukan.
3) Uraian Proses (Process Description)
Merupakan suatu model proses referensi dan bahasa umum
untuk setiap orang untuk melihat dan mengelola kegiatan
Teknologi Informasi dalam sebuah organisasi. Proses ini
memetakan wilayah tanggung jawab dalam merencanakan,
membangun, menjalankan dan mengawasi. Dalam uraian proses
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
17
ini disajikan hal mengenai definisi setiap proses, fokus
pelaksanaan proses, target yang hendak dicapai dan alat untuk
pengukuran proses tersebut.
4) Tujuan Pengendalian (Control Objectives)
Tujuan pengendalian COBIT menyediakan pemahaman
yang kritis dalam menentukan kebijakan yang jelas dan praktik
yang
baik untuk pengendalian IT. Termasuk didalamnya
pernyataan
akan
keinginan
untuk
mencapai
214
tujuan
pengendalian spesifik dan tujuan pengendalian detail dalam 34
proses IT tingkat tinggi (High-Level IT Processes).
Pengendalian didefinisikan sebagai kebijakan, prosedur,
praktek dan struktur organisasi yang dirancang untuk memberikan
keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan
kejadian yang tidak diinginkan akan dicegah atau dideteksi dan
diperbaiki.
Tujuan pengendalian Teknologi Informasi menyediakan
satu
set
persyaratan tingkat
tinggi
yang
lengkap
untuk
dipertimbangkan oleh manajemen untuk pengendalian yang efektif
pada setiap proses Teknologi Informasi, yaitu :
a. Apakah pernyataan tindakan manajerial untuk meningkatkan
nilai atau mengurangi resiko.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
18
b. Terdiri dari kebijakan, prosedur, praktek dan struktur
organisasi.
c. Apakah
dirancang
untuk
memberikan
keyakinan
yang
memadai bahwa tujuan bisnis akan tercapai dan kejadian yang
tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
5) Panduan Manajemen (Management Guidelines)
Management Guidelines tersusun dari konsep yang sudah
matang, untuk membantu menentukan tingkatan dan level
ekspektasi dari pengendalian dan membandingkannya dengan
industri yang sejenis. Ada beberapa istilah yang digunakan
Management Guidelines untuk menentukan kebijakannya yaitu :
a. Generik Input dan Output (From-Input proses and Output-To
Process)
Pemilik proses harus memahami input apakah yang mereka
butuhkan dari orang lain, dan hal lain apakah yang mereka
butuhkan untuk proses tersebut. COBIT menyediakan contoh "Key
Input and Output" pada setiap proses termasuk persyaratan
eksternal Teknologi Informasi. Ada beberapa output yang
merupakan input untuk semua proses lainnya.
b. RACI charts
Memahami peran dan tanggung jawab pada masing-masing
proses merupakan kunci tata kelola yang efektif. RACI charts
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
19
mengidentifikasi siapa yang bertanggung jawab (Responsible),
pihak mana yang harus mencatat, menyediakan arah dan otorisasi
suatu kegiatan (Accountable), pihak mana yang bisa diajak
melakukan konsultasi (Consulted) atau siapa yang hanya
diberitahukan saja (Informed).
c. Key Activity Goal (Hal terpenting yang harus dilakukan)
d. Metrics (Pengukuran)
6) Model Kedewasaan (Maturity Model)
Model
kemampuan
kedewasaan
per
proses
ini
dan
menilai
kematangan
membantu
untuk
dan
mengatasi
kesenjangan. Pemodelan kematangan untuk metode manajeman
dan pengendalian atas proses Teknologi Informasi didasarkan pada
suatu metode evaluasi organisasi, sehingga dapat diurutkan dari
level kematangan tidak ada (0) hingga optimal (5).
Pendekatan berasal dari model kematangan bahwa The
Software Engineering Institute (SEI) yang menentukan untuk
kematangan
kemampuan
pengembangan
perangkat
lunak
(Software).
Manfaat pendekatan maturity model ini adalah relatif
mudah digunakan oleh manajemen dalam menempatkan skala dan
menghargai
hal
yang
terlibat
ketika
peningkatan kinerja
diperlukan. Skala nol (0) mengidentifikasikan kemungkinan tidak
ada proses yang terjadi sama sekali. Sakala 0-5 berdasarkan skala
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
20
kematangan yang sederhana yang menunjukkan bagaimana suatu
proses itu terjadi dari suatu kapasitas yang non-existence ke
kapasitas yang optimised.
Skala maturity model ini akan membantu para profesional
dalam menjelaskan kepada manajer dimana kelemahan proses
manajemen Teknologi Informasi dan mampu menetapkan target
yang dibutuhkan organisasi. Tingkat kematangan akan dipengaruhi
oleh tujuan bisnis organisasi, lingkungan dan praktek industri.
Secara
khusus,
ketergantungannya
tingkat
pada
kematangan
Teknologi
manajemen
Informasi,
akan
kecanggihan
teknologi, dan yang paling penting, nilai informasi itu sendiri.
Berikut pengukuran tingkat kematangan menurut COBIT 4.1 yang
dibagi menjadi 6 level :
0.Nothing, adalah kondisi dimana perusahaan sama sekali tidak
peduli terhadap pentingnya Teknologi Informasi untuk dikelola
secara baik oleh manajemen.
1.Ad-Hoc, adalah kondisi dimana perusahaan secara reaktif
melakukan penerapan dan implementasi Teknologi Informasi
sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa
didahului dengan perencanaan sebelumnya.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
21
2.Repeatable, adalah kondisi dimana perusahaan telah memiliki
pola yang berulang kali dilakukan dalam melakukan manajemen
aktivitas terkait dengan tata kelola Teknologi Informasi, namun
keberadaannya belum terdefinisi secara baik dan formal sehingga
masih terjadi ketidak konsistenan.
3.Defined, adalah kondisi dimana perusahaan telah memiliki
prosedur baku formal dan tertulis yang telah disosialisasikan ke
segenap jajaran manajemen dan karyawan untuk dipatuhi dan
dikerjakan dalam aktivitas sehari-hari.
4.Managed, adalah kondisi dimana perusahaan telah memiliki
sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai
sasaran maupun obyektif kinerja setiap penerapan aplikasi
Teknologi Informasi yang ada.
5.Optimised, adalah kondisi dimana perusahaan dianggap telah
mengimplementasikan tata kelola manajemen Teknologi Informasi
yang mengacu pada “best practice”.
Gambar 2.1 Representation of Maturity Model
(Framework COBIT)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
22
2.2.2 Kerangka Kerja Model COBIT
Kerangka COBIT mengikat kebutuhan bisnis untuk informasi
dan tata kelola untuk tujuan fungsi layanan Teknologi Informasi.
Model proses Teknologi Informasi COBIT memungkinkan kegiatan
dan sumber daya Teknologi Informasi yang mendukung mereka agar
dapat dikelola dan dikendalikan secara tepat berdasarkan tujuan
pengendalian COBIT dan selaras serta diawasi menggunakan tujuan
(Goal) dan pengukuran (Metric) COBIT.
Gambar 2.2 The COBIT Cube (Framework COBIT)
Ringkasnya sumber daya Teknologi Informasi yang dikelola
oleh proses Teknologi Informasi untuk mencapai tujuan yang
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
23
merespon Teknologi Informasi dengan kebutuhan bisnis. Inilah prinsip
dasar dari kerangka COBIT (COBIT Framework). Seperti pada kubus
COBIT gambar 2.2.
Untuk tampilan secara lebih detail, keseluruhan kerangka
COBIT dapat ditunjukkan secara grafis dibawah ini, dengan
menampilkan 4 domain COBIT, yang terdiri dari 34 proses generik,
mengelola sumber daya Teknologi Informasi dan menyampaikan
informasi sesuai dengan kebutuhan bisnis dan tata kelolanya.
Gambar 2.3 Kerangka Kerja COBIT (Framework COBIT)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
24
2.2.3 Domain COBIT 4.1
Terdapat empat Domain dalam COBIT 4.1 yaitu :
1) Plan and Organise (PO)
Domain Perencanaan dan Organisasi meliputi penggunaan informasi
dan teknologi dan seberapa bagus digunakan dalam perusahaan untuk
membantu pencapaian tujuan dan sasaran perusahaan. Dalam domain ini
juga
menekankan
kepada
bagaimana
bentuk
organisasional
dan
infrastruktur TI akan digunakan dalam mencapai hasil yang optimal.
Tujuan pengendalian tingkat atas dari proses TI untuk domain
Perencanaan dan Organisasi (PO) :
a. PO1. Define a Strategic IT Plan and Direction (Mendefinisikan
Rencana Strategis TI)
b. PO2. Define the Information Architecture (Mendefinisikan Arsitektur
Informasi)
c. PO3. Determine Technological Direction (Menentukan Petunjuk
Teknologis)
d. PO4. Define the IT Processes, Organization and Relationships
(Mendefinisikan Proses, Organisasi dan Hubungan TI)
e. PO5. Manage the IT Investment (Mengelola Investasi TI)
f. PO6.
Communicate
Management
Aims
and
Direction
(Mengkomunikasikan Arah dan Tujuan Manajemen)
g. PO7. Manage IT Human Resource (Mengelola Sumber Daya Manusia
TI)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
25
h. PO8. Manage Quality (Mengelola Kualitas)
i. PO9. Assess and Manage IT Risks (Menilai dan mengelola Resiko TI)
j. PO10. Manage Projects (Mengelola Proyek-Proyek)
2) Acquire and Implement (AI)
Domain ini meliputi proses identifikasi persyaratan TI, cara
memperoleh teknologi, dan mengimplementasikannya kedalam proses
bisnis perusahaan pada saat ini. Domain ini juga menyebutkan mengenai
pengembangan sebuah perencanaan pemeliharaan yang harus diadopsi
oleh perusahaan dengan tujuan untuk memperpanjang siklus sistem TI dan
komponennya. Berikut berisikan tujuan pengendalian tingkat atas dari
proses IT untuk domain Memperoleh dan Implementasi (AI) :
a. AI1. Identify Automated Solutions (Mengidentifikasi Solusi Otomatis).
Mengidentifikasi setiap kebutuhan untuk sistem Informasi
yang kemudian akan diimplementasikan ke dalam aplikasi dan
membuat analisa sebelum merancang aplikasi tersebut mulai dari studi
kelayakan aplikasi, biaya-manfaat, resiko sampai keputusan apakah
sistem yang akan di implementasikan “Membuat” atau “Membeli” dan
memastikan apakah sistem ini sudah sesuai dengan tujuan bisnis yang
dijalankan.
Tujuan
dari
Proses-proses
diatas
yaitu
untuk
meminimalkan biaya untuk memperoleh dan menerapkan solusi dari
sistem yang dirancang.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
26
AI1.1. Definisi dan pemeliharaan bisnis fungsional serta kebutuhan
teknik.
Mengidentifikasi,
memprioritaskan,
menentukan
dan
menyepakati kebutuhan bisnis fungsional dan teknik meliputi cakupan
penuh dari semua inisiatif yang diperlukan untuk mencapai hasil yang
diharapkan dari program investasi IT-enabled.
Pada proses ini menjelaskan bahwa ketika membangun sebuah
sistem
untuk
memenuhi
kebutuhan
bisnis,
maka
diperlukan
identifikasi kebutuhan, menyepakati kebutuhan bisnis dan teknik dari
berbagai pihak, terutama pada pihak yang berhubungan dengan sistem
yang akan dibangun agar manfaat dapat tercapai seperti yang
diharapkan.
AI1.2. Laporan analisa Resiko.
Mengidentifikasi, mendokumentasikan dan menganalisa resiko
yang terkait dengan kebutuhan bisnis dan desain solusi sebagai bagian
dari proses organisasi untuk pengembangan kebutuhan.
Dalam hal membangun solusi TI COBIT menyatakan bahwa
ketika mengidentifikasi solusi otomatis maka diperlukan juga
dokumentasi. Menganalisa dampak dan kemungkinan yang terjadi
terkait dengan kebutuhan bisnis yang sedang dijalankan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
27
AI1.3. Studi Kelayakan dan Penyusunan Program Alternatif
Mengembangkan studi kelayakan yang mengkaji kemungkinan
menerapkan kebutuhan. Manajemen bisnis, didukung oleh fungsi TI,
harus menilai kelayakan program dan alternatif tindakan dan membuat
rekomendasi kepada sponsor bisnis.
Hal ini merupakan salah satu dari proses mengidentifikasi
solusi otomatis. Dimana studi kelayakan harus dikembangkan dengan
harapan hasil sesuai dengan yang diinginkan. Studi kelayakan
didefinisikan oleh pemilik proses bisnis. Dan satndar teknologi
mengikuti perkembangan pada saat itu. Dan memberikan rekomendasi
kebutuhan apa saja yang akan digunakan untuk menerapkan solusi TI
yang akan diimplementasikan. Mulai dari perangkat keras, perangkat
lunak,
jaringan sampai dengan sumber daya manusia yang
mendukung.
AI1.4. Persyaratan dan keputusan kelayakan dan persetujuan.
Verifikasi bahwa proses ini membutuhkan sponsor bisnis untuk
menyetujui dan menandatangani pada kebutuhan bisnis fungsional dan
teknis serta laporan studi kelayakan pada tahap kunci yang telah
ditentukan. Sponsor bisnis harus membuat keputusan akhir terhadap
pilihan solusi dan pendekatan akuisisi.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
28
Pada proses ini menyatakan bahwa setiap hasil dari identifikasi
maupun studi kelayakan kebutuhan yang akan diterjemahkan kedalam
sebuah solusi otomatis, maka diperlukan persetujuan dari pemilik
proses bisnis. Hal ini diperlukan untuk menghindari asumsi studi
kelayakan yang salah. Manajemen bisnis harus memberikan keputusan
akhir untuk menyatakan bahwa studi kelayakan yang dilakukan sudah
sesuai dengan kebutuhan.
b. AI2. Acquire and Maintain Application Software (Memperoleh dan
Memelihara Aplikasi Perangkat Lunak).
Memastikan aplikasi yang dirancang sesuai dengan kebutuhan
bisnis perusahaan. Proses ini meliputi perancangan desain aplikasi
dengan kontrol keamanan dan standar konfigurasi sistem.
c. AI3. Acquire and Maintain Technology Infrastructure (Memperoleh
dan memelihara Infrastruktur Teknologi).
Proses
ini
meliputi
pemeliharaan
dan
perlindungan
infrastruktur IT yang sesuai dengan strategi dan teknologi yang
diterapkan.
Memastikan
dukungan
terhadap
teknologi
yang
berkelanjutan untuk sistem aplikasi yang dirancang.
d. A14. Enable Operation and Use (Memungkinkan Operasi