Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)

Menggunakan COBIT 5 Domain Deliver, Service and Support

(Studi Kasus : Badan keuangan Daerah Kota Salatiga)

Artikel Ilmiah

  

Diajukan Kepada

Fakultas Teknologi Informasi Untuk Memperoleh Gelar Sarjana Sistem Informasi

  

Peneliti:

Daniel Baltasar Thenu (682013059) Yani Rahardja, S.E., M.M Program Studi Sistem Informasi Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

  

Salatiga

Desember 2017

1. Pendahuluan

  Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Program aplikasi ini digunakan untuk pengelolaan keuangan daerah secara terintegrasi, meliputi penganggaran, penatausahaan, akuntansi dan pelaporannya terkhususnya pada BKD kota Salatiga. SIPKD digunakan oleh Organisasi Perangkat Daerah (OPD) pada bidang anggaran, belanja dan pada bidang akuntansi, operator dari SIPKD yaitu adalah bendahara OPD pada BKD. SIPKD mulai digunakan pada tahun 2008, jadi sebelum tahun 2008 masih menggunakan proses manual untuk perencanaan, penganggaran, hingga penatausahaan. Kemudian pada tahun 2008 memutuskan untuk menggunakan aplikasi SIPKD sebagai tools untuk memperlancar pengelolaan keuangan daerah dimulai dari penganggaran, penatausahaan dan pelaporannya. sebelum penganggaran sebenarnya ada perencanaan oleh BAPPEDA yang sekarang mengganti nama menjadi BAPELITBANG.

  SIPKD merupakan inovativ sendiri dari Badan Keuangan Daerah (BKD) kota Salatiga bekerja sama dengan pihak ketiga berdasarkan standar yang mengacu pada Peraturan Pemerintah Nomor 58 Tahun 2005 tentang Pengelolaan Keuangan Daerah dan Peraturan Menteri Dalam Negeri nomor 13 Tahun 2006 tentang Pedoman Pengelolaan Keuangan Daerah. Hasil inovativ sendiri dengan pihak ketiga membuat aplikasi SIPKD lebih fleksibel, lebih terbuka bisa dimodif sesuai kebutuhan dan apabila terjadi perubahan pada BPKB maka mudah untuk melakukan perubahan. SIPKD menggunakan metode pencatatan akuntasi cash

  

basis sampai pada tahun 2014, Setelah tahun 2014 ada transisi antara cash basis menjadi

accrual basis untuk metode pencatatan akuntansinya. Pada tahun 2014 SIPKD Beralih

  menjadi tampilan web yang semulanya pada tahun 2008 adalah tampilan desktop. Beralih pada tampilan web dikarenakan menggunakan versi desktop pada masing

• –masing stand plikasi terjadi masalah proses eksport dan import sehingga didapatkan data yang

  alone a

  masuk tidak konsisten. Konsep dari stand alone yaitu program dapat melakukan proses import maupun ekspor data secara online. Permasalahan yang terjadi ketika di kantor lain sudah melakukan perubahan data pada BKD sendiri belum terjadi perubahan data. Adapun kendala maupun masalah yang membuat implementasi aplikasi SIPKD kurang begitu optimal, yaitu user yang kurang memahami dalam pengoperasian komputer sehingga menghambat pengoperasian aplikasi SIPKD. Mengatasi masalah tersebut dengan berjalannya waktu terjadi regenerasi sehingga user yang menggunakan aplikasi SIPKD telah mampu mengoperasikannya dengan saat baik. Pada saat SIPKD digunakan oleh begitu banyak user membuat Terjadinya overload pada server sehingga mengalami kendala mapun memakan waktu pada saat mencetak laporan dan juga terjadi time out pada web browser. Melihat permasalahan ini penelitian ini akan membahas tentang audit SIPKD (Sistem Informasi Pengelolaan keuangan Daerah) menggunakan COBIT 5 domain Deliver, Service and Support (DSS) yang berkaitan dengan aspek kinerja pengiriman layanan aplikasi teknologi informasi,

  

sehingga diharapkan dapat mendorong dan mengoptimalkan pelaksanaan yang efektif dan

efisien dari kinerja aplikasi dalam pemanfaatan sumber teknologi informasi pada BKD kota

Salatiga.

2. Tinjauan Pustaka

2.1 Penelitian Terdahulu

  Penelitian sebelumnya yang berjudul “Penerapan COBIT 5 Domain DSS (Deliver, Service, Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand Indonesia”. Dalam penelitian ini telah dilakukan audit Audit FMS PT Grand Indonesia menggunakan COBIT 5 domain DSS dengan memetakan enterprise goals, IT-related goals, dan proses domain DSS. Setelah dilakukan pemetaan diagram RACI dilakukan pengisian kuesioner dengan tujuan menilai kesesuaian aktivitas pada DSS dengan aktivitas corrective and

  

preventive maintenance FMS. Berdasarkan hasil audit, diperoleh capability level berdasarkan

  kuisioner dan wawancara pada proses DSS01, DSS02, DSS03, DSS04, DSS05 dan DSS06 yaitu pada level 3 Established Process[3].

  Adapun penelitian yang berjudul Penerapan Framework Cobit 5 Pada Audit Tata

  “

  Kelola Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU”. Tujuan dari penelitian ini adalah untuk mengaudit tata kelola teknologi informasi guna mengetahui sejauh mana tingkat kapabilitas tata kelola teknologi informasi pada Dinas Komunikasi dan Informatika Kabupaten OKU. Hasil dari pengukuran tingkat model capability skala penelitian penerapan framework cobit 5 pada audit tata kelola teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten OKU yaitu memperoleh skala 3 (established process) dengan nilai 3.18, yang artinya Dinas Komunikasi dan Informatika Kabupaten OKU ini sudah mengimplementasikan tata kelola Teknologi Informasi dengan menggunakan proses pelatihan yang telah ditetapkan dalam renstra, dan sudah mencapai target yang diharapkan[4].

  Penelitian sebelumnya yang berjudul “Audit Teknologi Informasi Menggunakan Framework COBIT 5 pada Domain (Delivery, Service, and Support) (Studi Kasus : iGracias Telkom University)

  ”. Metode yang digunakan dalam penelitian ini terdiri dari perencanaan, pengumpulan data analisis data. Kesimpulan dari proses audit yang dilakukan pada penelitian ini pada tahap Pra audit telah diperoleh 6 proses domain DSS COBIT 5 yang dimana merupakan keseluruhan proses dari domain DSS yang sesuai dengan kondisi tata kelola direktorat SISFO Telkom university dan digunakan sebagai ruang lingkup standar Audit, Yaitu DSS01, DSS02, DSS03, DSS04 DSS05, dan DSS06. Dari hasil audit, diketahui ada 1 proses yang mempunyai level kapabilitas 4 DSS02, ada 5 proses yang mempunyai level kapabilitas 3 yaitu DSS01, DSS03, DSS04, DSS05 dan DSS06. Menurut level kapabilitas masing-masing proses ditentukan level masing-masing proses yaitu berupa 1 level di atas level kapabilitas, yang ditentukan berdasar analisis dan juga persetujuan dengan stakeholder, sehingga didapat level target untuk DSS01, DSS03, DSS04, DSS05 dan DSS06 adalah level 4, untuk DSS02 adalah level 5. Level capability keseluruhan yang diperoleh berdasarkan keseluruhan rata

• –rata adalah 3, yang berarti sebagian besar aktifitas pada domain DSS untuk Direktorat SI SFO Telkom University telah dilakukan, ada standar penerapan dalam melakukan proses tersebut, terdokumentasi dan komunikasi berjalan dengan baik[6].

2.2 Dasar Teori COBIT 5

  

Gambar 1. Model Referensi Proses pada COBIT 5 (COBIT 5, 2013)

Control Objective for Information & Related Technology (COBIT) merupakan

  Kumpulan dokumentasi kerangka bisnis untuk IT Governance dan management of enterprise yang dapat membantu auditor, pengguna (user), dan manajemen untuk menjembatani

  IT antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT atau kinerja IT.

  COBIT berisi tujuan pengendalian, petunjuk audit, kinerja, hasil metrik, faktor kesuksesan dan maturity model. COBIT dikeluarkan oleh IT Governance Institute (ITGI) COBIT dikembangkan secara berkala oleh Information Systems Audit and Control Association (ISACA)[1].

  Cobit 5 merupakan versi terbaru dari arahan ISACA mengenai tata kelola dan manajemen proses perusahaan IT, membagi menjadi dua domain utama yaitu[1] :

  1. Tata kelola (Govermance) bertanggung jawab untuk memantau secara langsung evaluate

  direct and monitor (EDM) domain Proses ini ditetapkan tanggung jawab untuk mengevaluasi, mengarahkan dan memantau penggunaan TI.

   Evaluate, Direct and Monitor (EDM) EDM domain ini menetapkan kerangka kerja tata kelola, tanggung jawab membangun dalam hal nilai (misalnya, kriteria investasi), faktor resiko dan sumber daya (misalnya, optimalisasi sumber daya), dan menjaga transparansi IT kepada stakeholder.

  2. Manajemen (Management) berisi empat domain yang sesuai dengan tanggung jawab

  Berhubungan dengan strategi IT dan taktik atau strategi, arsitektur enterprise, inovasi dan manajemen portofolio. proses penting lainnya mengatasi pengelolaan anggaran dan biaya, sumber daya manusia, hubungan, perjanjian layanan, pemasok, kualitas, risiko, dan keamanan.

   Build, Acquire and Implement (BAI) Menyediakan solusi mewujudkan strategi TI yang dikembangkan atau diimplmentasikan ke dalam proses bisnis, mengelola dan mengontrol perubahan terkait proses bisnis serta melakukan aktifitas barupa tracking, pelaporan dan dokumentasi untuk memastikan nilai dan kualitas deliverable perusahaan.

   Deliver, Service and Support (DSS) Domain ini mencakup pengiriman aktual dari layanan TI yang dibutuhkan untuk memenuhi strategis dan rencana taktis. Domain DSS termasuk proses untuk mengelola operasi, permintaan layanan dan insiden, serta pengelolaan masalah, kontinuitas, keamanan dan kontrol proses bisnis.

   Monitor, Evaluate and Assess (MEA) MEA, termasuk proses yang bertanggung jawab untuk penilaian kinerja proses dan kesesuaian, evaluasi internal kontrol kecukupan, dan pemantauan kepatuhan terhadap peraturan.

  Deliver, Service and Support (DSS) Berkaitan dengan aspek kinerja teknologi informasi mencakup pengiriman aktual dari

  layanan TI . Domain DSS pada COBIT 5 menjangkau bidang-bidang seperti kinerja aplikasi

  

dalam pengiriman layanan sistem TI dan hasil-hasilnya serta proses yang memungkinkan

pelaksanaan yang efektif dan efisien dari sistem TI. Sub domainnya terdiri dari [2] :

   DSS01 (Manage Operations). Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang dibutuhkan untuk memberikan internal dan

  outsourcing layanan TI, termasuk pelaksanaan prosedur operasi standar yang telah ditetapkan dan kegiatan monitoring yang diperlukan.

   DSS02 (Manage Service Requests and Incidents) Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi dari semua jenis insiden. Memulihkan layanan TI agar kembali normal, mencatat dan memenuhi permintaan pengguna, dan menyelesaikan insiden yang terjadi.

   DSS03 (Manage Problems) Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebab dan memberikan resolusi tepat waktu untuk mencegah insiden berulang, Menyediakan rekomendasi untuk perbaikan.  DSS04 (Manage Continuity) Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI untuk menanggapi insiden maupun gangguan untuk melanjutkan operasi proses bisnis dan menjaga ketersediaan informasi yang dapat diterima untuk organisasi atau perusahaan.

   DSS05 (Manage Security Services) Melindungi informasi perusahaan untuk mempertahankan tingkat risiko keamanan informasi diterima perusahaan sesuai dengan kebijakan keamanan. Membangun dan mempertahankan peran keamanan informasi dalam hak akses dan melakukan pemantauan keamanan.

   DSS06 ( Manage Business Process Controls) Mendefinisikan dan memelihara

  Capability Maturity Model

  CMM (Capability Maturity Model). Model tingkat kematangan, membantu mendefenisikan kematangan kemampuan proses

• –proses suatu organisasi serta mengarahkan organisasi untuk dapat mencapai goal. CMM memiliki tingkatan pengelompokan kapabilitas pengelolaan proses teknologi informasi dari tingkat 0 (non existent) hingga tingkat 5 (optimised) dalam bentuk gambar[1].

  

Gambar 2. CMM (Capability Maturity Model) COBIT 5 (COBIT 5, 2013)

  Berikut penjelasan level dari Process Capability [5] : a.

  Level 0 Incomplete Process - Proses yang belum atau gagal dilakukan.

  b.

  Level 1 Performed Process - Proses yang menentukan tercapainya tujuan.

  c.

  Level 2 Managed Process - Proses yang mencakup perencanaan, monitor, dan penyesuaian.

  d.

  Level 3 Established Process - Proses yang sudah dibangun kemudian, diimplementasikan untuk mencapai hasil dari proses.

  e.

  Level 4 Predictable Process - Proses yang sudah dibangun kemudian dioperasikan. dengan batasan-batasan yang mampi merauh harapan dari proses.

  f.

  Level 5 Optimizing Process - Proses yang diprediksi secara terus menerus ditingkatkan untuk memenuhi tujuan bisnis dan tujuan perusahaan.

3. Metode Penelitian

  Penelitian ini menggunakan pendekatan deskriptif kuantitaif. Metode deskriptif dapat diartikan sebagai suatu bentuk penelitian berdasarkan data yang dikumpulkan selama penelitian secara sistimatis mengenai fakta

• –fakta dan sifat–sifat dari objek yang diteliti sebagaimana adanya. Data tersebut diperoleh dari wawancara, observasi hingga kusioner. Penelitian ini dilaksanakan dalam beberapa tahapan seperti pada Gambar 3 dibawah ini.

  

Studi literatur

(COBIT, CMM)

Pemilihan Domain COBIT

  

Deivery, service and Support

Pengumpulan Data

(Wawancara, Kuisioner,

  

Pengamatan)

Pengolahan Data

(analisis tingkat kematangan),

(Penyusunan Rekomendasi)

  

Kesimpulan

Gambar 3. Tahapan Penelitian

  Kegiatan yang dilakukan pada tahap pertama meliputi mempelajari teori tentang

  Capability Maturity Model

  COBIT 5 dan (CMM) yang membantu penulis dalam penyelesaian tugas akhir ini, Tahap kedua dalam penelitian ini yaitu menentukan domain yang digunakan untuk analisis tingkat kematangan dan rekomendasi, domain yang digunakan adalah domain

  

Delivery service and Support memfokuskan pada kinerja dan pemenuhan layanan TI, Tahap

  ketiga melakukan pengumpulan data berdasarkan obeservasi, wawancara hingga kuisioner yang dijawab oleh pegawai atau staff IT pada BKD kota Salatiga. Wawancara dan pengamatan sebagai dukungan atas temuan-temuan hasil dari kuisioner. Kuisoner berisi tentang domain dari COBIT Delivery, Service and Support. Tahap selanjutnya setelah pengumpulan data yaitu, pengolahan data yang bersifat kuantitatif diperoleh melalui

  

assessment tool template COBIT 5 dari ISACA. Dari hasil pengumpulan data kemudian

  diolah dengan menghitung tingkat kematangan (Capability Level), hasil analisa data akan dijadikan rekomendasi sebagai tolak ukur untuk hasil yang lebih baik lagi dan pada tahap

4. Hasil dan Pembahasan

4.1 Hasil PenilaianTingkat Kematangan Tiap Domain Proses (Capability Level)

  Proses ini diperloleh dengan pengumpulan informasi dari kuisioner evaluasi tingkat kematangan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) menggunakan parameter COBIT 5 Domain Delivery, Service and Support (DSS) dengan responden 11 orang dari staff IT pada Badan Keuangan Daerah (BKD) kota Salatiga. Dari hasil penilaian tingkat kematangan tiap domain diperoleh hasil rata

• – rata tingkat kematangan (Capability

  Level ) sebagai berikut :

  1) Domain Proses DSS01 (Mengelola Operasi)

  Tingkat

Aktifitas Proses Deskripsi Aktifitas Kematangan

DSS01.01 Melakukan prosedur operasional

  3.60 DSS01.02 Mengelola layanan TI outsourcing

  3.50 DSS01.03 Memonitor infrastruktur TI

  3.60 DSS01.04 Mengelola lingkungan

  3.40 DSS01.05 Mengelola fasilitas

  3.20 Rata

  3.46

• – Rata Tingkat Kematangan

  

Tabel 1. Perhitungan Tingkat Kematangan Domain Proses DSS01

  Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS01 didapatkan rata

• –rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan mencakup pengelolaan operasional. Pada domain proses DSS01.01 diperoleh rata
• –rata tingkat kematangan yaitu 3.60 memastikan kegiatan operasional telah dilakukan sesuai dengan kebutuhan dan konsisten terhadap jadwal, domain proses DSS01.02 diperoleh rata- rata tingkat kematangan yaitu 3.50 memastikan pengolahan data menyangkut SIPKD ditangani dan dikelola sesuai dengan kebijakan keamanan informasi, domain proses DSS01.03 diperoleh >–rata tingkat kematangan yaitu 3.60 memastikan Pengoperasian SIPKD tercatat sebagai log peristiwa untuk memantau aktifitas yang dilakukan, domain proses DSS01.04 diperoleh rata
• –rata tingkat kematangan yaitu 3.40 memastikan Pengelolaan lingkungan TI, termasuk pusat data dan tempat penyimpanan data ditentukan sesuai dengan kebijakan organisasi. Domain proses DSS01.05 diperoleh >–rata tingkat kematangan yaitu 3.20 memastikan Pengelolaan fasilitas penunjang SIPKD telah aman terhadap resiko
• – resiko yang bisa ditimbulkan pada lingkungan TI (kerusakan, bencana alam, dll).

  2) Domain Proses DSS02 (Mengelola Permintaan Layanan dan Mengelola Insiden)

  Tingkat

Aktifitas Proses Deskripsi Aktifitas Kematangan

DSS02.01 Menentukan insiden dan permintaan layanan

  3.60 Mencatat, mengkasifikasikan dan memprioritas permintaan DSS02.02 terhadap insiden

  3.50 DSS02.03 Memverifikasi, menyetujui dan memenuhi permintaan layanan

  3.60 DSS02.04 Menyelidiki, mendiagnosa dan mengalokasikan insiden

  3.20 DSS02.05 Menyelesaikan dan memulihkan insiden

  3.30 DSS02.06 Menutup permintaan layanan insiden

  3.40 DSS02.07 Melacak status dan menghasilkan laporan

  3.40 Rata

  3.43

• – Rata Tingkat Kematangan

  

Tabel 2. Perhitungan Tingkat Kematangan Domain Proses DSS02

  Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS02 didapatkan rata

• –rata tingkat kematangan (Capability Level) yaitu 3.43 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan mencakup pengelolaan permintaan layanan dan pengelolaan insiden. Pada domain proses DSS02.01 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan insiden yang terjadi pada SIPKD telah teridentifikasi serta memprioritaskan permintaan layanan (komplain) dari insiden yang terjadi. Domain proses DSS02.02 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan permintaan layanan (komplain) telah teridentifikasi, dicatat serta ditetapkan prioritas untuk penanganan insiden sesuai dengan kebutuhan organisasi. Pada domain DSS02.03 diperoleh tingkat kematangan yaitu 3.60 memastikan pemenuhan permintaan layanan (komplain) sesuai dengan prosedur yang ada pada organisasi. Domain proses DSS02.04 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pencatatan terhadap penyebab insiden yang mungkin terjadi pada SIPKD serta solusi penyelesainnya. Domain DSS02.05 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan adanya

  pencatatan dan pelaporan terhadap tindakan pemulihan layanan SIPKD. Domain proses DSS02.06 diperoleh tingkat kematangan yaitu 3.40 memastikan permintaan layanan (komplain) telah ditangani serta dan adanya pengecekan terhadap insiden yang telah ditangani berhasil memenuhi permintaan layanan (komplain). Domain proses DSS02.07 diperoleh tingkat kematangan yaitu 3.40 memastikan laporan permintaan layanan (komplain) dimonitor untuk perbaikan kedepannya.

  3) Domain Proses DSSO3 (Mengelola Masalah)

  Tingkat

Aktifitas Proses Deskripsi Aktifitas Kematangan

DSS03.01 Mengidentifikasi dan klasifikasi masalah.

  3.20 DSS03.02 Menyelidiki dan mendiagnosa masalah.

  3.40 DSS03.03 Menemukan masalah yang ada

  3.40 DSS03.04 Menyelesaikan dan memecahkan masalah

  3.50 DSS03.05 Melakukan manajemen masalah secara proaktif

  3.60 pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan mencakup pengelolaan terhadap masalah yang terjadi. Pada domain DSS03.01 diperoleh rata- rata tingkat kematangan yaitu 3.20 memastikan identifikasi masalah pada masalah yang terjadi serta pelaporannya. Domain proses DSS03.02 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan masalah yang terjadi telah dicatat (log kejadian). Domain proses DSS03.03 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan masalah yang terjadi pada SIPKD diselidiki dan mendiagnosa akar penyebab masalah yang sering terjadi. Domain proses DSS03.04 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya laporan mengenai kesalahan

• – kesalahan pada pelaksanaan SIPKD yang telah teridentifikasi serta usulan solusi penyelesainnya. Domain proses DSS03.05 diperoleh rata- rata tingkat kematangan yaitu 3.60 memastikan adanya manajemen terhadap masalah terutama laporan kejadian yang terjadi maupun identifikasi adanya muncul perubahan masalah. 4)

  Domain Proses DSS04 (Mengelola Keberlanjutan)

  Tingkat

Aktifitas Proses Deskripsi Aktifitas Kematangan

  Menentukan kebijakan kelangsungan bisnis, tujuan, ruang DSS04.01 lingkup

  3.40 DSS04.02 Mempertahankan strategi kesinambungan

  3.60 DSS04.03 Mengembangkan dan menerapkan respon kelangsungan bisnis

  3.60 DSS04.04 pelatihan, menguji, dan meninjau BCP

  3.40 DSS04.05 Ulasan, memelihara, meningkatkan rencana kesinambungan

  3.50 DSS04.06 Melakukan pelatihan rencana kesinambungan

  3.10 DSS04.07 Mengelola pengaturan cadangan

  3.80 DSS04.08 Melakukan kajian post-resumption

  3.50 Rata

  3.49

• – Rata Tingkat Kematangan

  

Tabel 4. Perhitungan Tingkat Kematangan Domain Proses DSS04

  Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS04 didapatkan rata

• –rata tingkat kematangan (Capability Level) yaitu 3.49 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan maupun pemeliharaan secara berkelanjutan. Pada domain DSS04.01 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan informasi dari SIPKD sesuai dengan pemenuhan tujuan organisasi. Domain proses DSS04.02 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan adanya evaluasi pada permasalahan penggunaan SIPKD untuk strategi dalam menghadapi kemungkinan terjadi gangguan atau masalah lainnya. Domain proses DSS04.03 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan adanya penilaian kemampuan layanan SIPKD pada kondisi saat ini dalam pemenuhan kebutuhan organisasi berkelanjutan. Domain proses DSS04.04 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan penanganan gangguan maupun kendala pada SIPKD ditangani sesuai dengan perencanaan yang telah ditentukan oleh organisasi. Domain proses DSS04.05 diperoleh rata- rata tingkat kematangan yaitu 3.50 memastikan adanya pengujian kemampuan/kinerja SIPKD secara berkala untuk memastikan Kesesuaian, kecukupan dan efektivitas sesuai dengan

diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya peninjauan dimulainya kembali kinerja layanan SIPKD setelah sebelumnya mengalami gangguan 5)

  Domain Proses DSS05 (Mengelola Layanan Keamanan)

  Tingkat

Aktifitas Proses Deskripsi Aktifitas Kematangan

DSS05.01 Melindungi terhadap malware

  3.70 DSS05.02 Mengelola jaringan dan keamanan konektivitas

  3.50 DSS05.03 Mengelola keamanan endpoint

  3.30 DSS05.04 Mengelola identitas pengguna dan akses logis

  3.40 DSS05.05 Mengelola akses fisik ke aset TI

  3.10 DSS05.06 Mengelola dokumen sensitif dan perangkat output

  3.0 DSS05.07 Memonitor infrastruktur untuk event security-related

  4.20 Rata

  3.46

• – Rata Tingkat Kematangan

  

Tabel 5. Perhitungan Tingkat Kematangan Domain Proses DSS05

  Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS05 didapatkan rata

• –rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan pada layanan keamanan. Pada domain DSS05.01 diperoleh rata-rata tingkat kematangan yaitu 3.70 memastikan Telah dilakukan perlindungan terhadap kemungkinan software dapat terserang virus (malware). Domain proses DSS05.02 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan Keamanan dan konektivitas jaringan pada BKD mendukung kinerja SIPKD. Domain proses DSS05.03 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan Adanya informasi ketika ada perangkat yang ingin terhubung dengan jaringan SIPKD. Domain prsoses DSS05.04 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan semua pengguna SIPKD dikenali secara unik dan memiliki hak akses sesuai dengan peran bisnis masing
• – masing. Domain prsoses DSS05.05 diperoleh rata-rata tingkat kematangan yaitu 3.10 memastikan Ruangan staff IT yang menangani SIPKD diawasi, dipantau membatasi semua orang yang masuk pada ruangan tersebut. Domain prsoses DSS05.06 diperoleh rata-rata tingkat kematangan yaitu 3.0 memastikan Output dokumen SIPKD yang terhubung dengan aset TI (printer) diawasi dan diamankan dalam penggunaannya. Domain proses DSS05.07 diperoleh rata-rata tingkat kematangan yaitu 4.20 memastikan adanya pengawasan akses yang tidak sah (staff non IT), memastikan setiap kegiatan yang dilakukan terekam sebagai log peristiwa. 6)

  Domain Proses DSS06 (Mengelola Kontrol – Kontrol Proses Bisnis)

  Tingkat

Aktifitas Proses Deskripsi Aktifitas Kematangan

  Menyelaraskan kegiatan pengendalian tertanam dalam proses DSS06.01 bisnis dengan tujuan organisasi

  3.20 DSS06.02 Mengontrol pengolahan informasi

  3.50 DSS06.03 Mengelola peran, tanggung jawab, hak akses dan tingkat otoritas.

  3.20 DSS06.04 Mengelola kesalahan dan pengecualian

  3.20 Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS06 didapatkan rata

• –rata tingkat kematangan (Capability Level) yaitu 3.33 menunjukan berada pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan kontrol terhadap proses bisnis. Pada domain proses DSS06.01 diperoleh rata-rata tingkat kematangan 3.20 memastikan adanya monitoring pelaksanaan kegiatan proses bisnis terkait dengan SIPKD, untuk memastikan proses yang dilakukan selaras dan sesuai dengan kebutuhan organisasi. Domain proses DSS06.02 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya pengendalian Informasi yang diproses pada SIPKD memastikan bahwa pemrosesan informasi valid, lengkap, akurat, tepat waktu, dan aman. Domain proses DSS06.03 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan Tugas, Peran dan tanggung jawab staff IT SIPKD diawasi oleh organisasi. Domain proses DSS06.04 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pengecualian proses bisnis dengan menyertakan alasan kesalahan dan pelaksanaan tindakan perbaikan akibat kesalahan input pada SIPKD. Domain proses DSS06.05 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan Ketersediaan data, informasi yang diolah pada SIPKD dapat ditelusuri

  sesuai dengan proses bisnis dan bertanggung jawab memberikan kepastian bahwa informasi yang diterima telah diolah serta dapat mendorong proses bisnis. Domain proses bisnis DSS06.06 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan adanya persetujuan dan pengamanan penggunaan aset TI di BKD untuk mengakses SIPKD, termasuk perangkat penyimpanan apapun.

4.2 Hasil AnalisisTingkat Kematangan (Capability Level)

  Berdasarkan perolehan tingkat kematangan (Capability Level) tiap-tiap domain proses DSS didapatkan hasil analisis rata-rata capability level yaitu 3.43 menunjukan berada pada level 3 Established Process. Artinya aktifitas-aktifitas pada SIPKD sudah dilaksanakan, aktifitas disesuaikan menurut standar (SOP/kebijakan/aturan), serta memiliki alokasi tanggung jawab dan sumber daya yang tepat.

  Pembulatan Capability Rata-rata Capability Level Level Aktifitas Level Level Level Level Proses Deskripsi Aktifitas Existing Target Existing Target DSS01 Mengelola Operasi

  3.46

  4.46

  3

  4 Mengelola permintaan layanan DSS02 dan mengelola insiden

  3.43

  4.43

  3

  4 DSS03 Mengelola masalah

  3.42

  4.42

  3

  4 DSS04 Mengelola keberlanjutan

  3.49

  4.49

  3

  4 DSS05 Mengelola Layanan Keamanan

  3.46

  4.46

  3

  4 Mengelola kontrol - kontrol DSS06 proses bisnis

  3.33

  4.33

  3

  4 Rata - Rata tingkat kematangan

  3.43

  4.43

  3

  4 Tabel 7. Tingkat Kematangan (Capability Level) Berikut merupakan tingkat kematangan (Capability Level) yang diperoleh berdasarkan proses audit yang telah dilakukan,

  

Gambar 4. Level Existing dan Level Target

  Pada gambar 4 dapat diketahui bahwa level existing pada Badan Keuangan Daerah (BKD) kota Salatiga berada pada level 3 Establish Process.

4.3 Penyusunan Rekomendasi

  Berdasarkan analisis hasil tingkat kematangan (capabilty level) diperoleh kondisi existing dan dibuatkan rekomendasi setiap proses domain DSS untuk mencapai level 4.

  

Tabel 8. Rekomendasi DSS01 Mengelola Operasi

DSS01 Mengelola Operasi DSS01.01 Mengelola layanan TI outsourcing Kondisi Existing Rekomendasi

  Adanya Pengelolaan fasilitas penunjang Dilakukan monitoring dari waktu ke waktu

• – SIPKD (fasilitas TI) terhadap resiko dan analisis terhadap pemeliharaan fasilitas resiko yang bisa ditimbulkan pada TI yang telah dilakukan untuk menghasilkan lingkungan TI (kerusakan, bencana alam, layanan TI (SIPKD) yang optimal dll).

  kedepannya.

  DSS01.04 Mengelola Lingkungan Kondisi Existing Rekomendasi

  Pengelolaan lingkungan TI, termasuk pusat Mempertahankan kepatuhan terhadap data dan tempat penyimpanan data telah kebijakan dan prosedur yang telah ditentukan sesuai dengan kebijakan ditetapkan dalam pengendalian lingkungan organisasi. TI serta melakukan pengukuran pengaruh kebijakan organisasi terhadap kinerja yang dihasilkan.

  Dilakukan monitoring, kualifikasi dan pelatihan berkelanjutan dalam mempertahankan kompetensi, keterampilan untuk memenuhi tujuan organisasi kedepannya.

  

DSS03.02 Menyelidiki dan mendiagnosa masalah.

Kondisi Existing Rekomendasi

  Staff IT yang terlibat pada SIPKD mendapat pelatihan mengenai prosedur, peran dan tanggung jawab masing

  Kondisi Existing Rekomendasi

  Membuat dokumentasi dan melakukan monitoring serta analisis terhadap hal-hal yang harus dikerjakan

DSS04.06 Melakukan Pelatihan Rencana kesinambungan.

  Staff IT dalam menangani gangguan maupun kendala pada SIPKD ditangani sesuai tugas yang ditentukan oleh organisasi.

  Tabel 11. Rekomendasi DSS04 Mengelola Keberlanjutan

DSS04 Mengelola keberlanjutan

DSS04.04 Pelatihan, Menguji, dan Meninjau BCP.

Kondisi Existing Rekomendasi

  Dilakukan dokumentasi pencatatan segera setelah terjadinya masalah pada SIPKD dan identifikasi akar penyebab masalah untuk solusi kedepannya.

  Terdapat analisis terhadap penyebab masalah yang sering terjadi pada SIPKD.

  Dilakukan penentuan kriteria masalah, level prioritas masalah beserta pelaporannya untuk menentukan penindakan selanjutnya.

  

Tabel 9. Rekomendasi DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden

DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden

DSS02.04 Menyelidiki, Mendiagnosa dan Mengalokasikan Insiden

Kondisi Existing Rekomendasi

  Adanya indentifikasi masalah pada SIPKD dan prosedur pelaporannya.

  Tabel 10. Rekomendasi DSS03 Mengelola Masalah

DSS03 Mengelola Masalah

DSS03.01 Identifikasi dan klasifikasi masalah.

Kondisi Existing Rekomendasi

  Dilakukan dokumentasi pencatatan pengujian solusi yang teridentifikasi untuk tindakan pemulihan layanan TI.

  Terdapat pencatatan, pelaporan terhadap tindakan pemulihan layanan SIPKD.

  

DSS02.05 Menyelesaikan dan Memulihkan Insiden

Kondisi Existing Rekomendasi

  Dilakukan dokumentasi pencatatan kemungkinan gejala insiden dan solusi penanganan kedepannya.

  Terdapat gejala penyebab insiden yang mungkin terjadi pada SIPKD serta upaya penyelesaiannya.

• – masing jika terjadi gangguan atau masalah.

  Tabel 12. Rekomendasi DSS05 Mengelola Layanan Keamanan

DSS05 Mengelola Layanan Keamanan

DSS05.05 Mengelola akses fisik ke aset TI

Kondisi Existing Rekomendasi

  Ruangan staff IT yang menangani SIPKD diawasi, dipantau membatasi semua orang yang masuk pada ruangan tersebut.

  Membuat dokumentasi penilaian resiko kemungkinan masalah keamanan termasuk akses masuk dalam keadaan darurat, setiap akses masuk dimonitor, dan dicatat berlaku untuk semua orang termasuk staff, klien, pihak ketiga maupun pengunjung.

  

DSS05.06 Mengelola Dokumen Sensitif dan Perangkat Output

Kondisi Existing Rekomendasi

  Kurangnya pengawasan terhadap Output dokumen SIPKD yang terhubung dengan perangkat TI (printer) maupun perangkat sensitif lainnya.

  Dibuatkan kebijakan terhadap device yang boleh mengakses pada perangkat TI.

  Tabel 13. Rekomendasi DSS06 Mengelola Kontrol - Kontrol Proses Bisnis

DSS06 Mengelola kontrol - kontrol Proses Bisnis

DSS06.01 Menyelaraskan Aktifitas-aktifitas yang Ada Dengan Tujuan Organisasi

Kondisi Existing Rekomendasi

  Sudah dilakukan penilaian pelaksanaan kegiatan proses bisnis terkait dengan SIPKD, untuk memastikan proses yang dilakukan selaras dan sesuai dengan kebutuhan organisasi.

  Dibuatkan dokumentasi terhadap kontrol aktifitas terkait dengan SIPKD kemudian dinilai dan dimonitoring.

  

DSS06.03 Mengelola Peran, Tanggung Jawab, Hak Akses dan Tingkat Otoritas

Kondisi Existing Rekomendasi

  Tugas, Peran dan tanggung jawab staff IT pada SIPKD belum diawasi secara optimal oleh organisasi.

  Tugas, tanggung jawab, kewenangan dikelola, didokumentasi dan diawasi akses terhadap aset informasi terkait informasi perusahaan/organisasi termasuk staff IT maupun pihak ketiga.

  5. Simpulan

  Telah dilakukan audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) menggunakan COBIT 5 domain DSS dengan melakukan obsevarsi, wawancara serta dilakukan pengisian kuisioner dengan tujuan menilai tingkat kematangan (Capability Level ), serta menilai kesesuian domain DSS pada aktifitas yang dilakukan terkait dengan SIPKD. Berdasarkan perolehan rata-rata tingkat kematangan (capability level) pada proses DSS01, DSS02, DSS03, DSS04, DSS05 dan DSS06 yaitu berada pada level 3 Established Process. Dari hasil pengukuran tingkat kematangan (capability Level), diperoleh kondisi existing dan penyusunan rekomendasi untuk aktifitas dengan skala terendah agar dapat mencapai level 4 sebagai perbaikan untuk kedepannya.

  6. Saran

  Berikut merupakan saran yang dapat disampaikan dalam penelitian ini yaitu : 1)

  Penelitian ini dapat dilakukan dengan domain-domain yang lain pada COBIT 5 yaitu EDM, APO, BAI dan MEA. 2)

  Dapat dilakukan audit layanan sistem informasi yang lain pada Badan Keuangan Daerah (BKD) kota Salatiga yaitu SIMBADA.

  7. Daftar Pustaka [1] COBIT 5 2013. Copyright ISACA.

  Process Assessment Model (PAM).

  [2]

  ISACA Journal Volume 5, 2013. Understanding the Core Concepts in COBIT 5. [3] Adi Nuratmojo dkk, Penerapan COBIT 5 Domain DSS (Deliver, Service,

  Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand Indonesia, Program Studi S1 Teknik Informatika School of Computing, Telkom University, Bandung.

  [4] Sepita Sari dkk, 2014, Penerapan Framework Cobit 5 Pada Audit Tata Kelola Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU, Universitas Bina Darma, Palembang.

  [5]

  Titus Kristanto dkk, 2016, Analisis Tingkat Kematangan E-Goverment Menggunakan Framework COBIT 5 (Studi Kasus : Dinas Perdagangan dan Perindustrian Kota Surabaya), Program Studi Teknik Informatika Institut Teknologi Adhi Tama, Surabaya.

  [6] Rio Kurnia dkk, 2014, Audit Teknologi Informasi Menggunakan Framework COBIT 5 pada Domain (Delivery, Service, and Support) (Studi Kasus : iGracias Telkom University), Program Studi Teknik Informatika Telkom University, Bandung.