Post on 13-Apr-2018
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 1/81
PENILAIAN TERHADAP IMPLEMENTASI I T GOVERNANCE
PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM
DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5
PADA DOMAIN DEL IVER, SERVICE AND SUPPORT DAN
ALI GN, PLAN AND ORGANIZE
TUGAS AKHIR
Oleh :
IDA BAGUS GEDE WISNU WIBAWA
116091002
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS REKAYASA INDUSTRI
INSTITUT TEKNOLOGI TELKOM
BANDUNG
2013
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 2/81
iii
PENILAIAN TERHADAP IMPLEMENTASI I T GOVERNANCE
PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM
DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5
PADA DOMAIN DEL IVER, SERVICE AND SUPPORT DAN
ALI GN, PLAN AND ORGANIZE
TUGAS AKHIR
Diajukan untuk Memenuhi Salah Satu Syarat Menyelesaikan
Program Studi Strata-1 Sistem Informasi Fakultas Rekayasa Industri
Institut Teknologi Telkom
Oleh :
IDA BAGUS GEDE WISNU WIBAWA
116091002
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS REKAYASA INDUSTRI
INSTITUT TEKNOLOGI TELKOM
BANDUNG
2013
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 3/81
iv
LEMBAR PENGESAHAN
Tugas Akhir dengan Judul :
PENILAIAN TERHADAP IMPLEMENTASI I T GOVERNANCE
PADA LAYANAN AKADEMIK DI POLITEKNIK TELKOM
DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 5
PADA DOMAIN DEL IVER, SERVICE AND SUPPORT DAN
ALI GN, PLAN AND ORGANIZE
Telah Disetujui dan Disahkan Untuk Mengikuti Sidang Tugas Akhir
Program Studi Strata-1 Sistem Informasi Fakultas Rekayasa Industri
Institut Teknologi Telkom
Oleh :
Ida Bagus Gede Wisnu Wibawa
116091002
Bandung, 24 Juli 2013
Menyetujui,
Pembimbing I Pembimbing II
M. Teguh Kurniawan, ST.,MT Dedy Rahman Wijaya, ST.,MT
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 4/81
v
ABSTRAK
Politeknik Telkom merupakan salah satu institusi yang berada dibawah
naungan Yayasan Pendidikan Telkom (YPT) yang berdiri pada tahun 2007.Politeknik Telkom mempunyai visi yaitu menjadi Politeknik unggulan di bidang
Manajemen dan Teknologi Informasi & Komunikasi di Asia Tenggara, serta
memiliki strategi untuk menuju Good University Governance. Untuk itudiperlukan kontribusi yang besar dari bagian Sistem Informasi (SISFO) untuk
mewujudkannya.
Untuk mengetahui tingkat implementasi dan rekomendasi untuk
meningkatkan kinerja TI maka dilakukan penilaian audit sistem informasi. Penilaian
dilakukan dengan menggunakan framework COBIT versi 5 karena penilaianyang dilakukan akan lebih fokus pada kontrol untuk setiap prosesnya. Untuk
mencapai keselarasan dari base practices terhadap kebutuhan bisnis, maka
digunakanlah COBIT karena menyediakan kontrol framework berdasarkan
model proses teknologi informasi yang seharusnya cocok untuk Perguruan Tinggisecara umum.
Pada penelitian ini akan menilai 2 domain pada COBIT 5, yakni APO
dan DSS . Berdasarkan mapping Rencana Strategis terhadap Enterprise Goal
yang ada di COBIT 5 didapatkan proses-proses TI yang akan dinilai, antaralain APO01, APO05, APO11, APO12 DSS02, DSS05, dan DSS06 . Terdapat 5
tahapan dalam proses penilaian, yakni tahap inisiasi dan persiapan , tahap kajian
objek, tahap validasi data, tahap analisis dan pelaporan, dan tahap kesimpulan dan
saran. Dari hasil penilaian terdapat 1 proses yang berada pada level terendah yaitu0 pada proses APO12. Sedangkan 5 proses yang berada pada level 1 yakni
proses APO01, APO05, APO11, DSS05, dan DSS06 . Dan 1 proses yang berada padalevel 3 yang sesuai dengan target dari Politeknik Telkom yaitu DSS02.
Kata kunci: Penilaian Teknologi Informasi, COBIT, APO, DSS
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 5/81
vi
ABSTRACT
Polytechnic Telkom is one institution under the auspices of Telkom
Education Foundation (YPT). Polytechnic Telkom has a vision to become an
excellent Polytechnic in Management and Information Technology & Communicationin South West Asia, also it has a strategy to get the Good University Governance.
Therefore, they need big contributions from Information System unit (SISFO) to mak
it happen.
To find out the implementation level of Information Technology in PolytechnicTelkom and recommendation to increase it, then the assessment of information system
audit was held. Assessment using the framework COBIT 5 version because the
assessment will focus on controls for each process. To achieve alignment of best
practices to the needs of the business, it is used COBIT at the top level(highest level) because it provides a control framework based on process
model of information technology that should be suitable for the university in
general.
This research will assess two domains of COBIT 5, the APO and DSS. Based
on the mapping of the Enterprise Strategic Plan Goal 5 which was obtained COBIT IT processes to be assessed, among other APO01, APO05, APO11, APO12, DSS02,
DSS05 and DSS06. There are 5 stages in the assessment process, they are initiation
and preparing stage, study of objective stage, validation data stage, analyze andreporting stage, and conclution and recommendation stage. From the assessment
result, there is 1 process in the lowest level, which is 0, in APO12. There are 5
processes in level 1 that is APO01, APO05, APO11, DSS05 and DSS06. And last that
is 1 process in level 3 which is suitable with the target from Polytechnic Telkom, that
is DSS02.
Keywords: Assessment of Information Technology, COBIT, APO, DSS
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 6/81
vii
DAFTAR ISI
DAFTAR ISI ................................................................................................................. v
DAFTAR GAMBAR .................................................................................................... x
DAFTAR TABEL ........................................................................................................ xi
BAB I PENDAHULUAN ............................................................................................. 1
I.1. Latar Belakang ............................................................................................... 1
I.2. Rumusan Masalah .......................................................................................... 5
I.3. Tujuan ............................................................................................................. 5
I.4. Manfaat ........................................................................................................... 5
I.5. Batasan Masalah ............................................................................................. 6
BAB II TINJAUAN PUSTAKA ................................................................................... 7
II.1 Penelitian Terkait ........................................................................................... 7
II.2 Teknologi Informasi ....................................................................................... 8
II.2.1 Definisi Teknologi Informasi .................................................................. 8
II.2.2 Peran Teknologi Informasi bagi Organisasi ............................................ 8
II.3 IT Governance ................................................................................................ 8
II.3.1 Definisi IT Governance ........................................................................... 8
II.3.2 Pentingnya IT Governance bagi Perguruan Tinggi ................................. 9
II.4 Audit Teknologi Informasi ............................................................................. 9
II.4.1 Definisi Audit Teknologi Informasi ........................................................ 9
II.4.2 Pentingnya Audit Teknologi Informasi ................................................. 10
II.4.3 Metodologi Audit Teknologi Informasi ................................................ 11
II.5 ITIL ............................................................... Error! Bookmark not defined.
II.6 COBIT .......................................................................................................... 12
II.6.1 Sejarah COBIT ........................................................................................... 12
II.7 Capability Model .......................................................................................... 19
II.8 IT Balance Scorecard ................................................................................... 20
II.9 Analisis SWOT ............................................. Error! Bookmark not defined.
BAB III METODOLOGI PENELITIAN.................................................................... 25
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 7/81
viii
III.1 Model Konseptual ........................................................................................ 25
III.2 Sistematika Penelitian .................................................................................. 26
Tahap Inisiasi dan Persiapan................................................................................ 28
Tahap Analisis dan Pelaporan.............................................................................. 28
Tahap Kesimpulan dan Saran .............................................................................. 29
BAB IV PELAKSANAAN PENELITIAN ................................................................. 30
IV.1 Perencanaan Penilaian ..................................................................................... 30
IV.1.1 Estimasi Waktu Proses Penilaian .......................................................... 30
IV.1.1 Perancangan Program Penilaian ............ Error! Bookmark not defined.
IV.1.3 Mapping Renstra terhadap COBIT 5 ........................................................ 31
IV.1.4 Identifikasi Proses yang akan dinilai ........................................................ 34
IV.1.5 Perancangan Form Assessment ............................................................... 35
IV.2 Pelaksanaan Penelitian .................................................................................... 35
IV.2.1 Deskripsi Objek Penelitian ....................................................................... 35
IV.2.2 Struktur Organisasi ................................................................................... 36
IV.2.3 Pemilihan Objek Penilaian ....................................................................... 37
IV.2.4 Penilaian Capability Level ........................................................................ 37
IV.2.5 Rekapitulasi Hasil Penilaian Capability Level ......................................... 48
ANALISIS DAN REKOMENDASI .............................................................. 51 BAB V
V.1 Analisis Gap antara Hasil Penilaian dengan Target Optimal ........................... 51
V.1.1 Analisis Gap Proses APO01 – Mengelola IT Management Framework ... 51
V.1.2 Analisis Gap Proses APO05 – Mengelola Portofolio ................................ 52
V.1.3 Analisis Gap Proses APO11 – Mengelola Kualitas ................................... 54
V.1.4 Analisis Gap Proses APO12 – Mengelola Resiko ..................................... 55
V.1.5 Analisis Gap Proses DSS02 – Mengelola Permintaan Layanan dan Insiden
............................................................................................................................. 57
V.1.6 Analisis Gap Proses DSS05 – Mengelola Layanan Keamanan ................. 57
V.1.7 Analisis Gap Proses DSS06 – Mengelola Kontrol Proses Bisnis .............. 59
V.2 Analisis Prioritas .............................................................................................. 60
V.2.1 Kriteria Prioritas......................................................................................... 60
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 8/81
ix
V.2.2 Penentuan Skala Prioritas .......................................................................... 61
V.3 Rekomendasi .................................................................................................... 62
V.3.1 Rekomendasi Perbaikan Proses APO01 – Mengelola IT Management
Framework ........................................................................................................... 62
V.3.2 Rekomendasi Perbaikan Proses APO05 – Mengelola Portofolio .............. 63
V.3.3 Rekomendasi Perbaikan Proses APO11 – Mengelola Kualitas ................. 64
V.3.4 Rekomendasi Perbaikan Proses APO12 – Mengelola Resiko .................. 64
V.3.5 Rekomendasi Perbaikan Proses DSS02 – Mengelola Permintaan Layanan
dan Insiden ........................................................................................................... 65
V.3.6 Rekomendasi Perbaikan Proses DSS05 – Mengelola Layanan Keamanan 65
V.3.7 Rekomendasi Perbaikan Proses DSS06 – Mengelola Kontrol Proses Bisnis
............................................................................................................................. 66
KESIMPULAN DAN SARAN .................................................................... 68 BAB VI
VI.1 Kesimpulan ..................................................................................................... 68
VI.1.1 Hasil Penilaian .......................................................................................... 68
VI.1.2 Rekomendasi ................................................................................................ 68
VI.1.3 Saran ......................................................................................................... 69
DAFTAR PUSTAKA ................................................................................................. 70
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 9/81
x
DAFTAR GAMBAR
Gambar I-1 Tingkat Kepuasan Terhadap Sistem Informasi Layanan Akademik di
Politeknik Telkom ......................................................................................................... 3
Gambar II-1 Gambaran Umum dari COBIT 5 ............................................................ 15
Gambar III-1 Model Konseptual ................................................................................. 25
Gambar III-2 Sistematika Penelitian ........................................................................... 27
Gambar I-1 Langkah-langkah penilaian...................................................................... 31
Gambar I-2 Struktur Organisasi Politeknik Telkom (Politeknik Telkom, 2013)........ 36
Gambar I-3 Tingkat Capability Level pada Proses APO01 ........................................ 39
Gambar I-4 Tingkat Capability Level pada Proses APO05 ........................................ 40
Gambar I-5 Tingkat Capability Level pada Proses APO11 ........................................ 41
Gambar I-6 Tingkat Capability Level pada Proses APO12 ........................................ 45
Gambar I-7 Tingkat Capability Level pada Proses DSS02 ......................................... 45
Gambar I-8 Tingkat Capability Level pada Proses DSS05 ......................................... 47
Gambar I-9 Tingkat Capability Level pada Proses DSS06 ......................................... 48
Gambar I-10 Rekapitulasi Capability Level ................................................................ 50
Gambar V-1 Sebab Akibat Gap pada proses APO01 .................................................. 52
Gambar V-2 Sebab Akibat Gap pada Proses APO05.................................................. 53
Gambar V-3 Sebab Akibat Gap pada Proses APO11.................................................. 55
Gambar V-4 Sebab Akibat Gap pada Proses APO12.................................................. 56
Gambar V-5 Sebab Akibat Gap pada Proses DSS05 .................................................. 58
Gambar V-6. Sebab Akibat Gap pada Proses DSS06 ................................................. 59
Gambar V-7 Distribusi Prioritas ................................................................................. 62
Gambar VI-1Capability Level Domain APO dan DSS ............................................... 68
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 10/81
xi
DAFTAR TABEL
Tabel I-1 Perbandingan Framework COBIT dan ITIL ................................................. 4
Tabel II-1 Perbandingan COBIT 4.1 dengan COBIT 5 .............................................. 14
Tabel IV-1 Estimasi Waktu Proses Penilaian ............................................................. 30
Tabel IV-2 Hasil Mapping Renstra terhadap Enterprise Goal .................................... 33
Tabel IV-3 Hasil Mapping APO ................................................................................. 34
Tabel IV-4 Hasil Mapping DSS .................................................................................. 35
Tabel IV-5 Objek Penilaian ........................................................................................ 37
Tabel IV-6 Daftar Dokumen & Base Practice yang belum dilakukan pada APO01 .. 38
Tabel IV-7 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO05. 39
Tabel IV-8 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO11. 40
Tabel IV-9 Daftar Dokumen & Base Practice yang Belum dilakukan pada APO12.. 42
Tabel IV-10 Daftar Dokumen & Base Practice yang Belum dilakukan pada DSS05 46
Tabel IV-11 Daftar Dokumen & Base Practice yang Belum dilakukan pada DSS06 47
Tabel IV-12 Rekapitulasi Capability Level ................................................................ 49
Tabel V-1 Gap pada proses APO01 ............................................................................ 51
Tabel V-2 Gap pada Proses APO05 ............................................................................ 52
Tabel V-3 Gap pada Proses APO11 ............................................................................ 54
Tabel V-4 Gap pada Proses APO12 ............................................................................ 55
Tabel V-5 Gap pada Proses DSS02 ............................................................................ 57
Tabel V-6 Gap pada Proses DSS05 ............................................................................ 57
Tabel V-7 Gap pada Proses DSS06 ............................................................................ 59
Tabel V-8 Kriteria Prioritas Berdasarkan Manfaat ..................................................... 60
Tabel V-9 Kriteria Prioritas Berdasarkan Cost ........................................................... 61
Tabel V-10 Kriteria Prioritas Berdasarkan Kemudahan Implementasi ...................... 61
Tabel V-11 Distribusi Prioritas Rekomendasi APO01. .............................................. 63
Tabel V-12 Distribusi Prioritas Rekomendasi APO05 ............................................... 63
Tabel V-13Distribusi Prioritas Rekomendasi APO11 ................................................ 64
Tabel V-14 Distribusi Prioritas Rekomendasi APO12 ............................................... 65
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 11/81
xii
Tabel V-15 Distribusi Prioritas Rekomendasi DSS05 ................................................ 66
Tabel V-16 Distribusi Proses Perbaikan DSS06 ......................................................... 66
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 12/81
1
BAB I
PENDAHULUAN
I.1. Latar Belakang
Pesatnya perkembangan Teknologi Informasi (TI) pada saat ini telah menjadikan TI
sebagai salah satu strategi organisasi dalam mencapai tujuannya. TI adalah suatu
teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan,
menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan
informasi yang relevan, akurat dan tepat waktu yang digunakan untuk keperluan
pribadi, bisnis, dan pemerintahan dan merupakan informasi yang strategis untuk
pengambilan keputusan1. TI dapat dikatakan menjadi kunci dalam memenangkan
persaingan yang semakin lama akan semakin meningkat. Dengan penerapan TI yang
efektif dan efisien, maka dapat mempermudah dan mempercepat pelaksanaan proses
bisnis sebuah organisasi. Dengan pelaksanaan proses bisnis yang baik dan cepat
maka akan memberikan berbagai keuntungan bagi organisasi tersebut, misalnya
meningkatkan efektivitas dan efisiensi dari laporan keuangan, penghematan waktu,
tenaga dan biaya usaha dengan tingkat pelayanan yang membaik, dan dapat
melindungi asset perusahaan. Hal ini membuktikan bahwa penerapan TI pada suatuorganisasi dapat menentukan tingkat kesuksesan organisasi tersebut kedepannya.
Dengan berbagai keuntungan yang ditawarkan TI seperti contoh diatas, hampir semua
organisasi mengimplementasikan TI ke dalam proses operasionalnya, termasuk
organisasi yang bergerak di dunia pendidikan seperti Perguruan Tinggi (PT). PT
dapat memanfaatkan TI dalam tiga tingkatan, yaitu memberikan dukungan untuk
pelayanan administrasi, sebagai alat bantu pengajaran, dan sarana komunikasi serta
pemanfaatan TI untuk membantu pengambilan keputusan. Dengan
diimplementasikannya TI yang efektif dan efisien pada PT maka akan meningkatkan
kualitas layanan kepada seluruh elemen PT, baik Mahasiswa, Staf Pengajar, bagian
Administrasi, Dewan Direksi, hingga orangtua Mahasiswa.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 13/81
2
Peranan TI yang vital ini tentunya bisa menimbulkan kerugian apabila tidak ada
aturan maupun tata kelola yang mengontrol pelaksanaan implementasi TI. Adapun
contoh kerugian yang bisa terjadi misalnya informasi yang salah diakibatkan oleh
pemrosesan data yang salah, yang dapat berdampak pada pengambilan keputusan
yang tidak tepat. Kerugian lain misalnya bocornya data-data penting organisasi yang
tentunya bisa berdampak buruk apabila data tersebut disalahgunakan. Untuk
mencegah hal tersebut dan mengoptimalkan kinerja TI, maka diperlukanlah tata
kelola TI yang baik. Tata Kelola TI (IT Governance) menurut IT Governance
Institute (2001) adalah pertanggungjawaban dewan direksi dan manajemen eksekutif,
yang merupakan bagian yang terintegrasi dengan tata kelola perusahaan, berisi
kepemimpinan dan struktur organisasi serta proses - proses yang menjamin bahwa TI
organisasi mengandung dan mendukung strategi dan tujuan bisnis2.
Politeknik Telkom merupakan salah satu PT swasta di Indonesia yang berdiri pada
tahun 2007, yang bernaung dibawah Yayasan Pendidikan Telkom (YPT). Motto dari
Politeknik Telkom adalah “Giving and Caring The World”3. Visi Politeknik Telkom
adalah “Menjadi Politeknik unggulan di bidang Manajemen dan Teknologi Informasi
& Komunikasi di Asia Tenggara”3. Dan salah satu misi Politeknik Telkom adalah
“Terus melakukan transisi untuk tumbuh secara mandiri, berkelanjutan, danmempunyai tata kelola yang baik (Good Polytechnic Governance)”
3. Untuk
menunjang ketiga hal tersebut maka diperlukan dukungan TI yang baik oleh bagian
SISFO Politeknik Telkom yang mampu mengefektifkan dan mengefisiensikan setiap
proses aktivitas.dari Politeknik Telkom.
Sistem Informasi Akademik merupakan suatu kebutuhan yang mutlak bagi pelayanan
pendidikan terutama pada PT, sehingga dapat memberikan kemudahan dalam
administrasi bagi PT yang menerapkannya. Manfaat dari Sistem Informasi Akademik
yang dibangun oleh SISFO Politeknik Telkom adalah meningkatnya kualitas
pelayanan terhadap mahasiswa dan pelayanan untuk seluruh pihak yang terkait
dengan proses akademik yang ada. Peranan Sistem Informasi yang signifikan inilah
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 14/81
3
yang harus diimbangi dengan pengaturan dan pengelolaan yang tepat sehingga
kerugian-kerugian yang mungkin terjadi dapat dihindari.
Berdasarkan survei yang telah dilakukan terhadap tingkat kepuasan user di Politeknik
Telkom terhadap Sistem Informasi Layanan Akademik, didapatkan hasil sebagai
berikut.
Gambar I-1 Tingkat Kepuasan Terhadap Sistem Informasi Layanan Akademik di
Politeknik Telkom
Sample diambil dari mahasiswa Politeknik Telkom. Berdasarkan hasil diatas,
mahasiswa mengaku cukup puas, tidak terlalu buruk tetapi belum baik, dengan
Sistem Informasi layanan akademik di Politeknik Telkom. Evaluasi yang dilakukan
yakni penilaian terhadap TI sehingga diharapkan upaya tersebut dapat meningkatkan
kinerja sistem layanan akademik.
TI yang sudah diimplementasikan pada Politeknik Telkom tentu perlu untuk diukur
dan dievaluasi untuk mengetahui apakah TI yang diimplementasikan sudah sesuai
dengan yang diharapkan dan mampu memudahkan proses bisnis dari Politeknik
Telkom. Untuk itu diperlukan Audit penerapan TI. Dengan audit sistem informasi
maka pengamanan aset, pemeliharaan integritas data, dapat mendorong pencapaian
tujuan organisasi secara efektif dan menggunakan sumber daya secara efisien4.
Dengan melakukan audit, selain mengetahui hasil kinerja implementasi TI, juga dapat
3.48
1.0
2.0
3.0
4.0
5.0
Tingkat Kepuasan Terhadap Sistem Informasi
Layanan Akademik di Politeknik Telkom
Keterangan
1 Sangat tidak puas
2 Tidak puas
3 Cukup (tidak buruk, tetapi belum baik)
4 Puas5 Sangat puas
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 15/81
4
diketahui tingkat kematangan TI di Politeknik Telkom dan menghasilkan
rekomendasi untuk mencapai tingkat kematangan yang optimal sehingga dapat
membantu merealisasikan visi dan misi Politeknik Telkom.
Audit penerapan TI dapat dilakukan dengan menggunakan berbagai framework .
Adapun dua framework yang biasanya digunakan adalah Conrol Objective for
Information and Related Technology (COBIT) dari ISACA dan Information
Technology Infrastructure Library (ITIL). Berikut perbandingannya5.
Tabel I-1 Perbandingan Framework COBIT dan ITIL
Area COBIT Versi 5 ITIL
Fokus IT Governance Menyelaraskan layanan TIdengan kebutuhan bisnis
Tujuan Mengatur dan mengelola TI
secara holistic sehingga
menciptakan nilai yang
optimal dari penggunaan TI
Meningkatkan efisiensi
operasional TI dan kualitas
layanan pelanggan
Area 5 domain dan 37 proses 9 proses
COBIT dapat membantu auditor, user dan manajemen untuk menjembati gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. ITIL merupakan
kumpulan base practice untuk proses manajemen implementasi TI. ITIL menjelaskan
proses-proses yang perlu diterapkan untuk menjalankan dan mendukung layanan TI
yang berfokus pada bisnis6. Oleh karena itu framework yang cocok digunakan dalam
penelitian ini adalah COBIT versi 5.
Penilaian dengan menggunakan framework COBIT versi 5 dirasa cukup tepat untuk
melakukan evaluasi terhadap sistem yang dibangun oleh SISFO Politeknik Telkom
karena audit yang dilakukan akan lebih fokus pada kontrol untuk setiap prosesnya.
Adapun aspek yang perlu diperhatikan adalah proses pengiriman teknologi informasi
dan dukungan yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan
efisien, seperti proses pengaturan permintaan layanan dan insiden, layanan keamanan,
dan control proses bisnis. Aspek lain yang perlu diperhatikan adalah bentuk
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 16/81
5
organisasi dan infrastruktur TI, seperti proses mengatur framework IT Management,
Enterprise Architechture, dan Human Relations. Untuk penilaian masing-masing
aspek tersebut, dapat digunakan domain yang terdapat di COBIT 5 yaitu domain
Delivery, Service, and Support (DSS) serta domain Align, Plan, and Organize (APO).
I.2. Rumusan Masalah
Rumusan masalah dalam penelitian ini adalah sebagai berikut.
1. Bagaimana melakukan penilaian terhadap aktivitas layanan akademik di
Politeknik Telkom berdasarkan untuk domain DSS dan APO di framework
COBIT versi 5?
2.
Apa rekomendasi untuk aktivitas layanan akademik di Politeknik Telkom berdasarkan standar yang ada di domain DSS dan APO di framework COBIT
versi 5?
I.3. Tujuan
Tujuan dari penelitian ini adalah sebagai berikut.
1. Melakukan penilaian terhadap aktivitas layanan akademik di Politeknik Telkom
berdasarkan pada domain DSS dan APO di framework COBIT versi 5
2.
Memberikan rekomendasi agar aktivitas layanan akademik di Politeknik Telkom
berdasarkan standar yang ada di domain DSS dan APO di framework COBIT
versi 5
I.4. Manfaat
Manfaat yang dapat diperoleh dari penelitian ini adalah sebagai berikut.
1. Menyelaraskan tujuan TI dengan tujuan bisnis Politeknik Telkom khususnya
pada bidang akademik.
2. Meningkatkan kinerja operasional aktivitas layanan akademik Politeknik
Telkom.
3. Adanya rekomendasi perbaikan dimasa yang akan datang.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 17/81
6
4. Mengetahui gap antara kondisi layanan TI pada bidang akademik saat ini dengan
kondisi yang diharapkan.
5. Mengetahui capability level terhadap implementasi IT Governance
I.5. Batasan Masalah
Batasan masalah pada penelitian ini adalah sebagai berikut.
1. Data yang digunakan pada penelitian ini adalah data pada tahun 2011-2012
melalui bagian SISFO Politeknik Telkom
2. Pada penelitian ini tidak dilakukan penilaian pada sisi financial.
3. Kegiatan penilaian ini hanya sampai pada tahap pemberian dokumen
rekomendasi. Untuk audit yang sesungguhnya dilakukan oleh pihak auditor
resmi.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 18/81
7
BAB II
TINJAUAN PUSTAKA
II.1 Penelitian Terkait
Berikut beberapa penelitian yang terkait dengan penelitian saat ini.
1. Audit Teknologi Informasi di STT Telkom dengan Menggunakan Tool
COBIT
(Tugas Akhir : Saraswati Ritonga / 112030061)
Audit teknologi Informasi pada STT Telkom dengan menggunakan Tool
COBIT . Proses – proses yang diaudit ditentukan berdasarkan presfektif yangada di Balance Scorecard (BSC), dari hasil audit akan dipetakan ke dalam
Maturity Model . Domain yang digunakan dalam proses audit adalah (1)
Domain PO: PO1, PO7, PO8, PO9, (2) Domain AI: AI4, (3) Domain DS:
DS4, DS10, (4) Domain ME: ME1, ME3. Dari hasil audit yang dilakukan
dilakukan analisis dan rekomendasi pada setiap proses TI.
2. Audit Penerapan Teknologi Informasi Berbasis Risiko dengan
Framework COBIT versi 4.1 di Institut Teknologi Telkom
(Tugas Akhir: Candra Widya Iswara / 116080037)
Masalah mendasar terkait IT Governance di IT Telkom saat ini adalah belum
adanya pemahaman yang jelas terkait manajemen risiko TI dan pengukuran
terhadap kinerja proses TI belum dilakukan. Berdasarkan kondisi tersebut
perlu dilakukannya audit penerapan TI untuk mengevaluasi kontrol-kontrol TI
serta mengetahui maturity level TI. Audit didukung dengan Control Objective
for Information and Related Technology (COBIT) versi 4.1 dan Risk
ITFramework . Proses-proses TI yang akan diaudit yakni PO2, PO3, PO7,
PO8, PO9, AI1, AI, AI4, AI6, AI7, DS1, DS3, DS4, DS5, DS8, DS11, DS12,
ME2. Audit ini terdiri dari 3 proses yakni pre audit , fieldwork , dan reporting .
Hasil audit menunjukkan bahwa maturity level penerapan TI di IT Telkom
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 19/81
8
adalah 11% level Non Existent , 17% level Initial / Ad hoc, 33% level
Repeatable but Intuitive, 39% level Defined , 0% level Managed and
Measurable dan )% level Optimized .
II.2 Teknologi Informasi
II.2.1 Definisi Teknologi Informasi
TI merupakan kombinasi teknologi komputer yang terdiri dari perangkat keras dan
lunak untuk mengolah dan menyimpan informasi dengan teknologi komunikasi untuk
melakukan penyaluran informasi. Sehingga dapat disimpulkan bahwa TI merupakan
suatu alat bantu yang berupa hardware dan softwar e yang dapat memproses data
menjadi informasi sehingga lebih bermanfaat dan dapat digunakan untuk
mempermudah serta mempercepat aktivitas manusia7. Sementara, Williams dan
Sawyer (2007), mengungkapkan bahwa teknologi informasi adalah teknologi yang
menggabungkan komputasi (computer ) dengan jalur komunikasi kecepatan tinggi
yang membawa data, suara, dan video8.
II.2.2 Peran Teknologi Informasi bagi Organisasi
TI sangat berperan dalam menunjang seluruh kegiatan yang ada di organisasi.
Dengan menggunakan TI, informasi yang dihasilkan lebih cepat dan tepat sehingga
dapat meningkatkan performansi suatu organisasi serta daya saing organisasi. Dengan
diterapkannya TI, dapat mempermudah sharing data antar unit yang ada pada suatu
organisasi serta bermanfaat untuk manajemen level atas untuk membuat keputusan.
II.3 I T Governance
II.3.1 Definisi I T Governance
Menurut Tarigan (2006) IT Governance diartikan sebagai struktur dari hubungan dan
proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya
dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil
menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi
informasi dan prosesnya9.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 20/81
9
II.3.2 Pentingnya IT Governancebagi Perguruan Tinggi
IT Governance sangat penting untuk sebuah Perguruan Tinggi. Penerapan IT
Governance pada Perguruan Tinggi akan membantu untuk 10
:
1. Menetapkan secara jelas strategi TI dan menyelaraskannya dengan strategi
universitas secara global
2. Menentukan siapa yang bertanggungjawab untuk perencanaan strategis TI,
pengambilan keputusan, dan mengeksploitasi TI
3. Membuat penghematan biaya dalam investasi TI
4. Mengurangi risiko yang terkait dengan TI
5.
Selalu melakukan evaluasi dan monitoring proses dan jasa berbasis TI denganmenggunakan indikator yang tepat
6. Mencapai tingkat kepatuhan yang tinggi terhadap peraturan, menerapkan
standar internasional, dan memperoleh sertifikasi mutu yang berkaitan dengan
IT Governance dengan mudah.
Dengan penerapan IT Governance, Perguruan Tinggi akan memperoleh beberapa
manfaat, seperti meningkatnya kepuasan user , meningkatkan citra Perguruan Tinggi,
dan memiliki daya saing.
II.4 Audit Teknologi Informasi
II.4.1 Definisi Audit Teknologi Informasi
Audit TI atau audit Sistem Informasi adalah bentuk pemeriksaan dan pengendalian
dari infrastruktur TI secara menyeluruh. Audit TI dapat berjalan bersama- sama
dengan audit finansial dan audit internal atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan
data elektronik, dan sekarang audit TI secara umum merupakan proses pengumpulan
dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain
adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 21/81
10
informasi perusahaan itu telah bekerja secara efektif dan integratif dalam mencapai
target organisasinya.
II.4.2 Pentingnya Audit Teknologi Informasi
Ron Weber, menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan,
antara lain4:
1. Kerugian akibat kehilangan data.
Akibat terjadinya gangguan virus atau terjadi kebakaran pada ruangan
komputer yang dimiliki akan mengakibatkan seluruh data hilang. Kehilangan
data akan mengakibatkan perusahaan tidak dapat melakukan pengecekan
data. Bahkan waktu yang dibutuhkan menjadi sangat lama karena harus
melakukan verifikasi manual atas dokumen yang dimiliki.
2. Kesalahan dalam pengambilan keputusan.
Banyak kalangan usaha yang saat ini telah menggunakan bantuan Decision
Support Sistem (DSS) untuk mengambil keputusan-keputusan penting. Risiko
yang muncul apabila terjadi kesalahan memasukkan data ke sistem TI yang
digunakan.
3. Risiko kebocoran data.
Data bagi sebagian besar sektor usaha merupakan sumber daya yang tidak
ternilai harganya. Kebocoran data ini akan berdampak terhadap kehilangan
sejumlah sejumlah data dan dapat mengganggu kelangsungan hidup
perusahaan.
4. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Investasi yang dikeluarkan untuk suatu proyek TI seringkali sangat besar.
Bahkan, dari penelitian yang pernah dilakukan (Willcocks, 1991), tercatat
bahwa 20% pengeluaran TI terbuang secara percuma, 30-40% proyek TI
tidak mendatangkan keuntungan. Selain itu, sulit mengukur manfaat yang
dapat diberikan TI.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 22/81
11
II.4.3 Metodologi Audit Teknologi Informasi
Tahapan dalam melakukan proses audit adalah sebagai berikut.
a.
Mengimplementasikan sebuah strategi audit serta control practice yang dapatdisepakati semua pihak.
b. Menetapkan langkah-langkah audit yang rinci.
c. Mempergunakan fakta atau bahan bukti yang cukup, handal, relevan, serta
bermanfaat.
d. Membuat laporan beserta kesimpulannya berdasarkan fakta yang diperoleh
dilapangan.
e. Mengidentikasi apakah tujuan audit tercapai.
f. Menyampaikan laporan kepada pihak auditee.
g. Memastikan bahwa organisasi mengimplementasian control practice.
Sedangkan metodologi audit TI antara lain adalah sebagai berikut.
1. Tahap Inisiasi
Dalam penentuan rencana audit, terdapat langkah-langkah yang dilakukan,
yaitu:
a.
Memahami visi dan misi dari objek audit, sasaran, tujuan, dan
prosesnya.
b. Mengidentifikasi kebijakan, standar, pedoman, serta prosedur dari
objek yang akan diaudit.
c. Melakukan analisis risiko
2. Tahap Preparation
Pada tahap persiapan dilakukan penentuan ruang lingkup audit dan tujuan
audit, maka dilakukan hal berikut.
a. Menentukan tujuan audit.
b. Melakukan pemilihan control objective yang akan digunakan untuk
menguji keefektifan dari proses TI yang ada.
c. Mendokumentasikan arsitektur yang ada di objek audit.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 23/81
12
d. Mendefinisikan proses-proses TI yang akan dikaji.
e. Mendefinisikan komponen TI yang ada di objek yang akan diaudit.
3. Tahap Kajian Objek dan Analisis
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam
melakukan sebuah kajian TI. Kajian ini meliputi detailed control objective
yang disesuaikan dengan keadaan dari objek yang akan diaudit (berdasarkan
pada high level control objective). Kajian akan dilakukan dengan pendekatan
audit yang sudah dibuat. Setelah proses pengkajian selesai tahap berikutnya
adalah mendokumentasian temuan-temuan hasil audit.
4. Tahap Pelaporan
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang
didapat. Diharapkan hasil dari tahap ini mendapatkan suatu kesimpulan
alasan terjadinya permasalahan serta solusi terhadap permasalahan tersebut.
II.5 COBIT
II.5.1 Sejarah COBIT
COBIT merupakan kerangka kerja yang dikembangkan oleh IT Governance Institute
(ITGI) pada tahun 1996 dengan ISACA – Information Sistems Audit and Control
Association. COBIT Framework dibentuk agar dapat berjalan berdampingan dengan
standar dan base practices yang lainnya (Setiawan, 2008). COBIT adalah kerangka IT
Governance yang ditujukan kepada manajemen, staf pelayanan TI, control
department , fungsi audit, dan bagi pemilik proses bisnis (business process owner’s),
untuk memastikan confidentiality, integrity dan availability data serta informasi
sensitif dan kritikal. Kerangka kerja COBIT mencakup keseluruhan proses bisnis perusahaan seperti rencana strategis untuk TI, delivery dan support , monitor , serta
kontrol TI dan memaparkannya kedalam struktur aktifitas logis yang dapat dikelola,
dikendalikan secara efektif.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 24/81
13
Tujuan dari COBIT adalah menyediakan model dasar yang memungkinkan
pengembangan prosedur yang jelas dalam mengontrol informasi dalam suatu
perusahaan untuk mencapai tujuan bisnisnya11
. Tujuan utama COBIT adalah
memberikan kebijaksanaan yang jelas dan latihan yang bagus mengenai IT
Governance bagi organisasi diseluruh dunia untuk membantu manajemen senior
untuk memahami dan mengatur risiko-risiko yang berhubungan dengan TI.
II.6.1 COBIT 5
COBIT 5 adalah edisi terbaru dari Framework COBIT ISACA yang menyediakan
penjabaran bisnis secara end-to-end dari tatakelola teknologi informasi perusahaan
untuk menggambarkan peran utama dari informasi dan teknologi dalam menciptakan
nilai perusahaan. COBIT 5 adalah sebuah versi pembaharuan yang menyatukan cara
berpikir yang mutakhir di dalam teknik-teknik dan tata kelola TI perusahaan.
Menyediakan prinsip-prinsip, praktek-praktek, alat-alat analisa yang telah diterima
secara umum untuk meningkatkan kepercayaan dan nilai sistem-sistem informasi.
COBIT 5 akan mendasarkan sekaligus memperluas COBIT 4.1 dengan
menghubungkannya dengan kerangka standar dan sumber daya utama lainnya, seperti
ITIL, ISO, ISF , OECD, AICPA, dan NIST . COBIT 5 juga akan mengintegrasikan pedoman dari ISACA lainnya, seperti Val IT , IT Risk , the IT Assurance Framework
and the Business Model for Information Security (BMIS), menjadi satu peta yang
kohesif dan komprehensif.
Beberapa perbedaan antara COBIT 4.1 dan COBIT 5 adalah sebagai berikut5.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 25/81
14
Tabel II-1 Perbandingan COBIT 4.1 dengan COBIT 5
No Parameter COBIT 4.1 COBIT 5
1 Driver Base Practice Stakeholder Expectation
2 Area domain 4 area domain
5 area domain dengannama yang berbeda dan
selaras dengan domain
yang ada pada COBIT4.1
3 Jumlah proses 34 proses 37 proses
4 FrameworkHanya framework
COBIT 4.1
Framework yangterintegrasi dengan Val
IT, Risk IT, ITAF, BMIS
etc. with COBIT 4.1
5Capability /
Maturity Model Maturity Models
Process Capability
Model
6 Goals Cascade
Tujuan IT berasal daritujuan pemeliharaan
reputasi perusahaan
dan kepemimpinan
Tujuan IT berasal dari
stakeholder expectation
7 Enablers Tidak memilikienabler
Memiliki 7 enabler
8ControlObjectives
Terdapat 210 controlobjectives
Tidak ada pemisahan
control objectives karena
sudah termasuk bagian
dari Management andGovernance practice
Berikut adalah gambaran umum dari COBIT 5
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 26/81
15
Gambar II-1 Gambaran Umum dari COBIT 5
Dari gambar diatas dapat dilihat COBIT 5 memiliki cakupan 5 principles, 7 enablers,
dan 5 domain dengan 37 proses5.
Berikut 5 principles dari framework COBIT 55
.
1. Meeting Stakeholder Needs
Organisasi berusaha untuk menciptakan suatu nilai pada stakeholder dengan
menjaga keseimbangan antara mencapai keuntungan, optimisasi resiko, dan
penggunaan resource. Prinsip ini menterjemahkan enterprise goal menjadi
spesifik, yakni IT-related Goals untuk kemudian diterjemahkan lagi menjadi
tujuan yang lebih spesifik
2.
Covering the End-to-end
Prinsip ini meliputi seluruh fungsi dan proses yang ada pada suatu organisasi,
tidak hanya fokus pada fungsi TI tetapi juga memperhatikan aset-aset yang
dimiliki oleh suatu organisasi. Semua hal yang berhubungan dengan IT
Governance, manajemen, dan end-to-end juga dipertimbangkan.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 27/81
16
3. Applying a Single Integrated Framework
Framework COBIT 5 dapat diselaraskan dengan standar atau base practice
lainnya yang berhubungan dengan proses TI yang berfungsi untuk
melakukan penilaian terhadap implementasi TI.
4. Enabling a Holistic Approach
Untuk mewujudkan IT Governance dan manajemen yang baik sesuai dengan
standar yang ada, maka COBIT 5 mendefinisikan 7 enabler untuk mencapai
tingkat kematangan dari implementasi TI disuatu organisasi.
Tujuh enabler tersebut adalah sebagai berikut.
a. Processes – menjelaskan kumpulan praktik dan aktivitas yang
terorganisir untuk mencapai tujuan yang telah ditentukan dan
menghasilkan sekumpulan output dalam dukungan pencapaian seluruh
sasaran TI.
b. Organisational structure – merupakan entitas pembuatan keputusan
kunci didalam organisasi.
c. Culture, ethnic, and behavior – merupakan kebiasaan dari individu
dan organisasi yang sering dianggap sebagai faktor penghambat
kesuksesan didalam aktivitas tata kelola dan manajemen.
d.
Principles, policies, and framework – merupakan sarana untuk
menterjemahkan tingkah laku yang diinginkan ke dalam petunjuk
praktik untuk pelaksanaan manajemen harian.
e. Information – diperlukan penyebaran seluruh informasi yang
dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan
untuk menjaga agar perusahaan dapat berjalan dan dikelola dengan
baik.
f.
Service, infrastructure, and applications – menyediakan layanan dan
proses teknologi informasi bagi organisasi.
g. People, skills, and competencies – dibutuhkan untuk menyelesaikan
semua aktivitas dan membuat keputusan yang tepat serta mengambil
aksi-aksi perbaikan.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 28/81
17
5. Separating Governance From Management
Framework COBIT 5 memisahkan area antara Governance dan Manajemen.
a. Governance
Governance bertanggung jawab untuk memberikan pengarahan ke pada
stakeholder , kemudian me-monitor aktivitas yang dilakukan oleh
stakeholder , kemudian melakukan evaluasi terhadap seluruh aktivitas
yang telah dilakukan.
b. Manajemen
Manajemen bertanggung jawab dalam pelaksanaan arahan yang telah
diberikan, melakukan perencanaan, membangun, menjalankan serta me-
monitor aktivitas yang dilakukan.
Sedangkan domain yang ada pada framework COBIT 5 adalah sebagai berikut5.
1. Evaluate, Direct, and Monitor.
Mengevaluasi kebutuhan stakeholder, mengatur arahan melalui pembuatan
keputusan dan skala prioritas, kepatuhan, dan kemajuan terhadap arah dan
tujuan.
Domain ini memiliki 5 proses, yakni:
a.
EDM01 – EnsureGovernance Framework Setting and Maintenance
b. EDM02 – Ensure Benefits Delivery
c. EDM03 – Ensure Risk Optimization
d. EDM04 – Ensure Resource Optimization
e. EDM05 – Ensure Stakeholder Transparency
2. Align, Plan, and Organise.
Membahas mengenai bentuk organisasi dan infrastruktur IT dengan tujuan
untuk mencapai hasil yang optimal dan menghasilkan banyak manfaat
dengan penggunaan TI.
Domain ini memiliki 13 proses, yakni:
a. APO01 – Manage the IT Management Framework
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 29/81
18
b. APO02 – Manage Strategy
c. APO03 – Manage Enterprise Architecture
d. APO04 – Manage Innovation
e.
APO05 – Manage Portofolio
f. APO06 – Manage Budget and Costs
g. APO07 – Manage Human Relations
h. APO08 – Manage Relationships
i. APO09 – Manage Service Agreements
j. APO10 – Manage Suppliers
k. APO11 – Manage Quality
l. APO12 – Manage Risk
m. APO13 – Manage Security
3. Build, Acquire, and Implement .
Meliputi identifikasi IT requirement, penguasaan teknologi, dan
implementasinya dalam proses bisnis perusahaan.
Domain ini memiliki 10 proses, yakni:
a. BAI01 – Manage Programs and Projects
b.
BAI02 – Manage Requirements Definition
c. BAI03 – Manage Solutions Identification and Build
d. BAI04 – Manage Availability and Capacity
e. BAI05 – Manage Organisational Change Enablement
f. BAI06 – Manage Changes
g. BAI07 – Manage Changes Acceptance and Transitioning
h. BAI08 – Manage Knowledge
i.
BAI09 – Manage Assets
j. BAI10 – Manage Configuration
4. Deliver, Service, and Support.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 30/81
19
Fokus pada aspek pengiriman teknologi informasi, proses, dan dukungan
yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan efisien.
Domain ini memiliki 6 proses, yakni:
a.
DSS01 – Manage Operations
b. DSS02 – Manage Service Requests and Incidents
c. DSS03 – Manage Problems
d. DSS04 – Manage Continuity
e. DSS05 – Manage Security Service
f. DSS06 – Manage Business Process Controls
5. Monitor, Evaluate, and Assess
Menawarkan strategi perusahaan dalam menilai kebutuhan perusahaan,
mencakup penilaian independen terhadap efektivitas sistem TI.
Domain ini memiliki 3 proses, yakni:
a. MEA01 - Monitor, Evaluate, and Assess Performance and
Conformance
b. MEA02 - Monitor, Evaluate, and Assessthe Sistem of Internal
Control
c.
MEA03 - Monitor, Evaluate, and Assess Compliance with External
Requirements
II.6 Capabil ity Model
ISO 15504 mendefinisikan pengukuran untuk penilaian kemampuan proses ( process
capability) dari framework COBIT . Process capability didefinisikan pada 6 skala
poin dari 0 hingga 5. Skala ini merepresentasikan peningkatan capability dari proses
yang diimplementasikan, bukan dari pencapaian tujuan proses untuk memenuhi
tujuan bisnis saat ini dengan tujuan bisnis yang akan datang.
Berikut penjelasan skala dari process capability.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 31/81
20
a. Skala 0 (incomplete process)
Proses tidak dilaksanakan atau gagal untuk mencapai tujuan prosesnya. Pada
tingkat ini, ada sedikit atau tidak sama sekali bukti (evidence) dari setiap
pencapaian tujuan proses.
b. Skala 1 ( performed process)
Proses diimplementasikan untuk mencapai tujuan bisnisnya.
c. Skala 2 (managed process)
Proses yang diimplementasikan dikelola ( plan, monitor, and adjusted ) dan
hasilnya ditetapkan dan dikontrol.
d. Skala 3 (established process)
Proses didokumentasikan dan dikomunikasikan (untuk efisiensi organisasi).
e. Skala 4 ( predictable process)
Proses dimonitor, diukur, dan diprediksi untuk mencapai hasil.
f. Skala 5 (optimizing process)
Sebelumnya proses telah diprediksikan kemudian ditingkatkan untuk
memenuhi tujuan bisnis yang relevan dan tujuan yang akan datang.
II.7 I T Balance Scorecard
Penggunaan IT BSC merupakan salah satu cara paling efektif untuk membantu
penyelarasan TI dan bisnis. Tujuannya adalah membuat sebuah fasilitas bagi
pelaporan manajemen, menumbuhkan konsensus diantara stakeholder kunci
mengenai tujuan strategis TI, menunjukkan efektivitas dan nilai tambah dari TI dan
mengkomunikasikan kinerja risiko serta kemampuan TI.
Berikut perspektif dalam mengevaluasi kinerja TI antara lain sebagai berikut.
1.
Perspektif Kontribusi Organisasi (Corporate Contribution)
Perspektif kontribusi organisasi (corporate contribution) adalah perspektif
yang mengevaluasi kinerja TI berdasarkan pandangan dari manajemen
eksekutif, para direktur, dan shareholder . Evaluasi TI dapat dipisahkan
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 32/81
21
menjadi 2 macam, yakni jangka pendek yang berupa evaluasi secara financial
dan jangka panjang yang berorientasi pada proyek dan fungsi TI itu sendiri.
2. Perspektif Orientasi Pengguna (User Orientation)
Perspektif orientasi pengguna (user orientation) adalah perspektif yang
mengevaluasi kinerja TI berdasarkan cara pandang pengguna bisnis yang ada.
Dalam perspektif ini, organisasi melakukan identifikasi pelanggan dan
segmen pasar yang akan dimasuki. Dengan perspektif orientasi pengguna ini,
maka organisasi dapat menyelaraskan berbagai ukuran pelanggan, yaitu
kepuasan, loyalitas, retensi, akuisisi, dan profitabilitas, dengan pelanggan
sendiri, dan segmen pasar sasaran.
3. Perspektif Keunggulan Operasional (Operational Excellence)
Perspektif ini adalah perspektif yang menilai kinerja TI berdasarkan cara
pandang manajemen dengan audit dan pihak yang menetapkan aturan-aturan
yang digunakan.
4.
Perspektif Orientasi Dimasa Depan ( Future Orientation)
Perspektif ini adalah perspektif yang menilai kinerja TI berdasarkan cara
pandang dari departemen itu sendiri, yaitu pelaksanaan, para praktisi dan
professional yang ada. Pada perspektif terakhir ini akan menyiapkan
infrastruktur organisasi yang memungkinkan tujuan-tujuan dalam tiga
perspektif lainnya dapat dicapai. Kemampuan organisasi untuk dapat
menghasilkan produk atau jasa di masa mendatang dengan kemampuan
layanan yang memuaskan harus dipersiapkan mulai dari saat ini. Pihak
manajemen harus dapat memperkirakan tren dimasa datang dan membuat
langkah-langkah persiapan untuk mengantisipasinya.
II.8 Assessment Process Teknologi Informasi
II.8.1 Definisi Assessment Process TI
Menurut ISO/IEC 15504-4, assessment proses adalah aktifitas yang dilakukan
sebagai bagian dari inisiatif perbaikan proses ataupun bagian dari pendekatan
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 33/81
22
determinasi kapabilitas proses. Tujuan perbaikan proses adalah secara kontinyu
meningkatkan efektifitas dan efisiensi perusahaan. Tujuan determinasi
kapabilitas proses adalah untuk mengidentifikasi kekuatan, kelemahan dan risiko
dari proses tertentu dengan mengambil referensi kepada requirement proses
tersebut dan penyelarasannya terhadap kebutuhan bisnis.
II.8.2 Tahapan Assessment
Berikut ini merupakan tahapan assessment menurut ISO/IEC 15504-4
berdasarkan Process Assessment Model (PAM) dengan menggunakan Process
Reference Model (PRM) COBIT 5.
Gambar II-2 Tahapan Assessment (Sumber: ISACA)
Adapun cara untuk melakukan Assessment adalah:
a. Planning
Assessment plan mendeskripsikan seluruh aktivitas yang akan dilakukan
dalam pelaksanaan assessment, yang termasuk di dalamnya antara lain
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 34/81
23
identifikasi ruang lingkup proyek, mengalokasikan sumber daya untuk
melaksanakan assessment, menentukan metode untuk menyusun, mereview,
melakukan validasi dan mendokumentasikan informasi yang dibutuhkan
untuk melakukan assessment serta mengordinasikan aktifitas assessment
dengan organisasi atau grup yang akan di-assess.
b. Data Collection
Assessor mendapatkan dan mendokumentasikan pemahaman mengenai
proses-proses TI saat ini termasuk tujuan, input, output serta work product
yang memadai untuk mendukung kepentingan assessment. Data yang
dikumpulkan untuk mengevaluasi proses TI harus dikumpulkan secara
sistematis sesuai ruang lingkup. Setiap evidence harus didokumentasikan ke
dalam assessment record.
c. Data Validation
Terkait akurasi dan kecukupan data assessment sesuai ruang lingkup, hal
yang perlu diperhatikan antara lain adalah informasi yang didapatkan dari
pihak pertama, sebisa mungkin sumber yang independen dan melaksanakan
sesi feedback untuk melakukan validasi terhadap data yang sudah dikumpulkan
d. Process Atribute Rating
Untuk setiap proses yang dinilai, diberikan rating untuk setiap atribut
proses sesuai dengan aturan yang ada pada COBIT 5. Traceability harus
dilakukan antara evidence objek yang telah dikumpulkan sebelumnya dengan
rating proses yang diberikan. Untuk setiap rating, keterhubungan antara
indikator dan evidence objek harus direkam ke dalam working paper.
e. Reporting
Hasil assessment dianalisis dan disampaikan ke dalam bentuk laporan.
Laporan harus mengandung isu-isu kunci yang dihasilkan dari proses
assessment yakni area kekuatan dan kelemahan dari proses yang di-assess dan
temuan risiko tinggi, diketahuinya kesenjangan antara kapabilitas yang ada
dengan yang diharapkan ke depan (target).
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 35/81
24
II.9 RACI Chart
Diagram RACI yang merupakan bagian dari Rensponsibility Assignment Matrix
(RAM). RAM adalah suatu bentuk pemetaan antara sumber daya dengan aktivitas
dalam setiap prosedur. RACI merupakan singkatan dari Responsibility (R),
Accountable (A), Consult (C), dan Inform (I). Berikut merupakan definisi dari
diagram RACI.
a. Responsibility ( R) menunjukkan bahwa bagian tersebut merupakan pihak
pelaksana yang harus bertanggungjawab melaksanakan dan menyelesaikan
aktivitas yang menjadi tanggung jawabnya.
b. Accountable (A) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana
yang harus mengarahkan jalannya pelaksanaan aktivitas.
c. Consult (C) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana
yang akan menjadi tempat konsultasi selama pelaksanaan aktivitas.
d. Inform (I) menunjukkan bahwa bagian tersebut merupakan pihak pelaksana
yang akan menjadi pihak yang diberikan informasi mengenai pelaksanaan
aktivitas.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 36/81
25
BAB III
METODOLOGI PENELITIAN
III.1 Model Konseptual
Model konseptual merupakan suatu kerangka konseptual yang menerangkan
mengenai serangkaian ide global tentang keterlibatan variabel-variabel yang
berkaitan terhadap suatu ilmu dan pengembangannya. Model konseptual dari
penelitian ini adalah sebagai berikut.
Gambar III-1 Model Konseptual
Dokumen yang digunakan sebagai input dalam penelitian ini adalah rencana strategis
(renstra). Renstra memberikan informasi berupa tujuan bisnis dari Politeknik Telkom.
Renstran tersebut dipetakan (mapping ) kedalam IT BSC untuk mengetahui hubungan
antara tujuan TI Politeknik Telkom, tujuan bisnis Politeknik Telkom, dan proses TI
yang ada dalam framework COBIT 5. Setelah dilakukan mapping , diperoleh domain
apa saja yang harus diukur ( IT Process), dalam penelitian ini domain yang akan
diukur adalah domain DSS dan APO . Dari penilaian domain, dihasilkan suatu nilai
yang disebut capability level dan opportunity of improvement (OFI ).
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 37/81
26
III.2 Sistematika Penelitian
Sistematika penelitian merupakan tahapan yang harus dilakukan dalam suatu
penelitian untuk mencapai hasil yang diinginkan. Sistematika penelitian dalam
penelitian ini adalah sebagai berikut.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 38/81
27
Gambar III-2 Sistematika Penelitian
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 39/81
28
Tahap Inisiasi dan Persiapan
Pada tahap ini dilakukan perumusan masalah sehingga bisa diketahui tujuan dalam
penelitian ini. Setelah dibuat tujuan penelitian, maka bisa ditentukan batasan
penelitian agar dapat fokus pada tujuan. Studi literatur dan studi objek kajian
dilakukan pada tahap ini, yakni mempelajari teori-teori yang relevan seperti IT
Governance, framework COBIT 5 dan IT BSC , diperkuat dengan dokumen yang
diperoleh dari Politeknik Telkom seperti, dokumen renstra, struktur organisasi, dan
proses bisnis.
Tahap Kajian Objek
Inputan pada tahap ini berupa dokumen renstra. Setelah melakukan tahap inisiasi,
dibuat timeline penilaian agar proses penilaian dapat selesai tepat waktu. Kemudian
dilakukan mapping antara business goal yang ada pada renstra kedalam perspektif IT
BSC pada framework COBIT 5. Mapping tersebut bertujuan menghubungkan antara
tujuan TI, tujuan bisnis dengan proses TI. Sehingga didapatkan domain yang harus
diukur, yakni domain DSS dan APO . Pada tahap ini juga dilakukan perancangan
prosedur penilaian yang akan digunakan, meliputi pembuatan kuesioner dan
pembuatan form assessment , yang nantinya akan diverifikasi untuk menuju ke tahap berikutnya.
Tahap Validasi Data
Tahap data validation merupakan tahap proses inti dari penelitian ini. Ditahap ini
dilakukan proses penilaian pada domain DSS dan APO dengan cara wawancara
dengan narasumber atau observasi secara langsung di Politeknik Telkom. Hasil dari
tahap ini kemudian diproses pada tahap process attribute rating untuk
menghasilkan suatu skala.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 40/81
29
Tahap Analisis dan Pelaporan
Tahap analisis dan rekomendasi merupakan tahap proses inti dari penelitian ini.
Ditahap ini dilakukan proses penilaian pada domain yang didapat dari proses
mapping, wawancara dengan narasumber, dan observasi di Politeknik Telkom.
Kemudian hasilnya berupa suatu besaran nilai yang kemudian dilakukan penilaian
terhadap capability process untuk menghasilkan capability level . Disini juga
dilakukan verifikasi terhadap temuan yang ada. Kemudian dilakukan penyususnan
proses perbaikan untuk tiap proses. Setelah itu dilakukan penyusunan Laporan Hasil
Penilaian (LHP) yang akan diserahkan ke SISFO Politeknik Telkom sebagai pihak
auditee.
Tahap Kesimpulan dan Saran
Pada tahap terakhir diaakan exit meeting antara auditor dengan auditee. Tujuannya
adalah untuk memberikan kesimpulan dari penelitian ini dan saran untuk penelitian
selanjutnya serta penyerahan dan penandatanganan dokumen LHP. Dengan
penandatanganan ini, maka berakhirlah proses penilaian terhadap implementasi IT
Governance di Politeknik Telkom.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 41/81
30
BAB IV
PELAKSANAAN PENELITIAN
IV.1 Perencanaan Penilaian
Perencanaan merupakan salah satu faktor kunci dalam keberhasilan sebuah kegiatan.
Begitu pula dengan penelitian ini. Agar kegiatan penilaian ini berjalan sistematis,
diperlukan perencanaan yang disusun harus jelas dan detail. Perencanaan pada
kegiatan penilaian ini meliputi pengumpulan data dan dokumen, mapping terhadap
renstra Politeknik Telkom dengan Framework COBIT versi 5, identifikasi domain
yang dinilai, perancangan prosedur penilaian, serta analisis dan rekomendasi
IV.1.1 Estimasi Waktu Proses Penilaian
Perencanaan penilaian diawali dengan membuat estimasi waktu dari proses penilaian
yang telah disusun. Berikut merupakan estimasi waktu proses penilaian yang telah
disusun.
Tabel IV-1 Estimasi Waktu Proses Penilaian
No Nama Pekerjaan Hari
1 Pengumpulan data dan dokumen 20
2 Mapping renstra ke framework COBIT 5 7
3 Identifikasi domain yang dinilai 2
4 Perancangan prosedur penilaian 25 Proses penilaian 20
6 Observasi 7
7 Identifikasi temuan 4
8 Pembuatan rekomendasi 5
9 Pembuatan laporan 4
10 Exit meeting 1
IV.1.2 Perancangan Program Penilaian
Adapun langkah-langkah untuk melakukan penilaian dimulai dari mapping antararenstra Politeknik Telkom dengan enterprise goal yang ada di COBIT 5. Hasil dari
mapping tersebut nantinya harus divalidasi oleh bagian SISFO sebagai pihak TI dan
bagian Satuan Penjaminan Mutu (SPM) sebagai pihak bisnis. Langkah selanjutnya
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 42/81
31
adalah penilaian untuk menilai skala posisi TI pada Politeknik Telkom. Berikut
merupakan langkah-langkah penilaian yang telah dilakukan di Politeknik Telkom.
Gambar IV-I-1 Langkah-langkah penilaian
IV.1.3 Mapping Renstra terhadap COBIT 5
Adapun langkah untuk melakukan mapping ini adalah dengan mencari kesesuaian
antara enterprise goal yang terdapat di COBIT 5 dengan strategi bisnis dari Politeknik
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 43/81
32
Telkom yang tercantum pada renstra tahun 2010-2013. Mapping ini berfungsi untuk
mengetahui proses apa saja yang akan dinilai dengan melakukan pembobotan
terhadap hasil mapping. Berikut hasil mapping yang telah dilakukan.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 44/81
33
Tabel IV-2 Hasil Mapping Renstra terhadap Enterprise Goal
No Enterprise Goals COBIT 5
Renstra Politeknik Telkom
Memanfaatk
an
keterlibatan
mahasiswa
dalam
membangun
institusi
dalam artian
seluas-
luasnya
Inovasi
Internal
dalam
rangka
penguata
n struktur,
proses,
sistem,
dan tata
kelola
Optimalis
asi
dukungan
IT guna
mengingk
atkan
efektivitas
dan
efisiensi
organisasi
Implementa
si
Penjaminan
Mutu
Pembangunan
core
competencies
Politeknik
Telkom dan
program studi
yang ada
1 Nilai bagi stakeholder terhadap investasi
bisnis
2 Portofolio produk dan layanan yang
kompetitif
3 Risiko bisnis dikelola pengamanan asset
4 Kepatuhan terhadap hukum dan peraturan
eksternal
5 Transparansi keuangan
6 Budaya pelayanan berorientasi pelanggan
7 Layanan bisnis kontinuitas dan ketersediaan
8 Tanggapan yang cepat terhadap perubahan
lingkungan bisnis
9 Tanggapan yang cepat terhadap perubahan
lingkungan
10 Optimalisasi biaya pelayanan
11 Optimalisasi fungsi proses bisnis
12 Optimalisasi biaya proses bisnis
13 Program perubahan bisnis dikelola
14 Operasional dan produktivitas staf
15 Kepatuhan terhadap kebijakan internal
16 Orang-orang terampil dan termotivasi
17 Budaya inovasi produk dan bisnis
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 45/81
34
IV.1.4 Identifikasi Proses yang akan dinilai
Berdasarkan hasil mapping renstra terhadap enterprise goal kemudian dilakukan
pembobotan (hasil lengkapnya terdapat di lampiran ) maka didapat proses yang akan
dilakukan penilaian. Penilain akan dilakukan pada proses-proses yang termasuk
domain APO dan DSS. APO merupakan domain yang membahas mengenai bentuk
organisasi dan infrastruktur IT dengan tujuan untuk mencapai hasil yang optimal dan
menghasilkan banyak manfaat dengan penggunaan TI, sedangkan DSS merupakan
domain yang fokus pada aspek pengiriman teknologi informasi, proses, dan dukungan
yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan efisien.
Berikut merupakan proses-proses yang akan dilakukan penilaian.
Tabel IV-3 Hasil Mapping APO
No Proses Nama Proses Disarankan
1 APO01 Mengelola IT Management Framework Ya
2 APO02 Mengelola Strategi Tidak
3 APO03 Mengelola Enterprise Architecture Tidak
4 APO04 Mengelola Inovasi Tidak
5 APO05 Mengelola Portofolio Ya6 APO06 Mengelola Anggaran dan Biaya Tidak
7 APO07 Mengelola Sumber Daya Manusia Tidak
8 APO08 Mengelola Hubungan Tidak
9 APO09 Mengelola Persetujuan Layanan Tidak
10 APO10 Mengelola Supplier Tidak
11 APO11 Mengelola Kualitas Ya
12 APO12 Mengelola Resiko Ya
13 APO13 Mengelola Keamanan Tidak
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 46/81
35
Tabel IV-4 Hasil Mapping DSS
No Proses Nama Proses Disarankan
1 DSS 01 Mengelola Operasi Tidak
2 DSS 02 Mengelola Permintaan Layanan dan Insiden Ya
3 DSS 03 Mengelola Masalah Tidak
4 DSS 04 Mengelola Keberlanjuta Tidak
5 DSS 05 Mengelola Layanan Keamanan Ya
6 DSS 06 Mengelola Kontrol Proses Bisnis Ya
Adapun proses yang dinilai meliputi APO01, APO05 , APO11, APO12, DSS 02,
DSS 05, dan DSS 06.
IV.1.5 Perancangan Form Assessment
Perancangan program penilaian meliputi form assessment yang berupa pertanyaan
yang disusun berdasarkan kriteria-kriteria yang ada pada COBIT 5. Form assessment
yang digunakan berisi mengenai kinerja proses TI, pengelolaan kinerja TI,
pengelolaan produk TI, definisi proses TI, dan implementasi proses TI. Untuk
penjelasan lebih lengkap mengenai form assessment terdapat pada Lampiran .
IV.2 Pelaksanaan Penelitian
IV.2.1 Deskripsi Objek Penelitian
Objek penilaian pada penelitian ini adalah Politeknik Telkom. Politeknik Telkom
merupakan salah satu PT swasta di Indonesia yang berdiri pada tahun 2007, yang
bernaung dibawah Yayasan Pendidikan Telkom (YPT). Motto dari Politeknik Telkom
adalah “Giving and Caring The World. Visi Politeknik Telkom adalah “Menjadi
Politeknik unggulan di bidang Manajemen dan Teknologi Informasi & Komunikasi di
Asia Tenggara”. Dan salah satu misi Politeknik Telkom adalah “Terus melakukan
transisi untuk tumbuh secara mandiri, berkelanjutan, dan mempunyai tata kelola yang
baik (Good Polytechnic Governance)”. Untuk menunjang ketiga hal tersebut maka
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 47/81
36
diperlukan dukungan TI yang baik yang mampu mengefektifkan dan
mengefisiensikan setiap proses aktivitas.dari Politeknik Telkom. Pada Politeknik
Telkom bagian SISFO dan Layanan Akademik bertugas untuk menyediakan layanan
dan dukungan TI untuk menunjang proses bisnis Politeknik Telkom tersebut, seperti
menyediakan infrastruktur jaringan dan aplikasi student portal yaitu SIPOLITEL.
IV.2.2 Struktur Organisasi
Berikut ini merupakan struktur Organisasi dari Politeknik Telkom.
Gambar IV-I-2 Struktur Organisasi Politeknik Telkom (Politeknik Telkom, 2013)
Bagian SISFO dan Layanan Akademik yang kepalai oleh seorang Manager setingkat
kepala bagian bertanggung jawab langsung kepada Wakil Direktur II, yang juga
membawahi bagian Dukungan Manajemen. Bagian SISFO dan Layanan Akademik
masing-masing memiliki seorang asisten manager dan memliliki beberapa staf untuk
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 48/81
37
menangani aplikasi dan infrastruktur TI, yaitu programmer, system analist, network
engineer, hardware engineer dan network engineer.
IV.2.3 Pemilihan Objek Penilaian
Pemilihan objek yang dinilai dilakukan berdasarkan diagram RACI dari COBIT 5
yang telah dipetakan sesuai dengan kondisi di Politeknik Telkom. Hal ini bertujuan
agar penilaian tepat dilakukan terhadap pihak yang memiliki tanggungjawab terhadap
proses terkait.
Tabel IV-5 Objek Penilaian
No Proses Nama Proses Objek Penilaian
1 APO01 Mengelola IT Management Framework Manager SISFO
2 APO05 Mengelola Portofolio Manager SISFO
3 APO11 Mengelola Kualitas Manager SPM
4 APO12 Mengelola Resiko Manager SPM
5 DSS02 Mengelola Permintaan Layanan dan Insiden Manager SISFO
6 DSS05 Mengelola Layanan Keamanan Manager SISFO
7 DSS06 Mengelola Kontrol Proses Bisnis Manager SISFO
IV.2.4 Penilaian Capabil ity Level
Target pencapaian capability level untuk Politeknik Telkom ada pada skala 3.
Berikut merupakan tingkat capability level dari hasil penilaian yang dibandingkan
dengan target yang diinginkan oleh Politeknik Telkom.
e. Proses APO01 - Mengelola I T M anagement F ramework
Pada proses APO01 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 49/81
38
Tabel IV-6 Daftar Dokumen dan Base Practice yang belum dilakukan pada APO01
Dokumen Base Practice
1. Definisi IT-related
2.
Komunikasi pada tujuan TI3. Data integrity procedures
1. Mengidentifikasi keputusan yang
diperlukan untuk pencapaianoutcome perusahaan dan strategi TI,
dan untuk pengelolaan dan
pelaksanaan layanan TI.2. Membentuk IT strategy committee
(atau setara) di tingkat direksi3. Membentuk IT strategy committee
(atau setara) yang terdiri dari
eksekutif, bisnis, dan manajemen TI
untuk menentukan prioritas dari IT-
enabled investment programmessejalan dengan strategi bisnis dan
prioritas prusahaan, melacak status
proyek dan menyelesaikan konflik
sumber daya, dan memantau tingkatlayanan dan layanan perbaikan
4. Menetapkan, menyetujui dan
mengkomunikasikan IT-related rolesand resposibilities untuk semua
personil dalam perusahaan, sejalan
dengan kebutuhan bisnis dan tujuan.
Dengan jelas menggambarkantanggung jawab dan akuntabilitas,
terutama untuk pengambilan
keputusan dan persetujuan5. Mendapatkan pemahaman tentang
visi, arahan, dan strategy perusahaan
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 3 dokumen dan 5 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 50/81
39
Gambar IV-I-3 Tingkat Capability Level pada Proses APO01
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO01 berada pada level 1.
b. Proses APO05 – Mengelola Portofolio
Pada proses APO05 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-7 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO05
Dokumen Base Practice
1.
Pengembalian harapan investasi2. Penilaian business case
3. Aksi Koreksi untuk meningkatkanrealisasi manfaat
1.
Penentuan implikasi dari sumber pendanaan pada pengembalian
harapan investasi2. Penentuan kandidat program yang
harus dipindahkan ke investasi
portofolio yang aktif3. Penentuan pencapaian yang
dibutuhkan untuk siklus hidup
ekonomi setiap program yang dipilih
4. Memberikan laporan manajemenuntuk manajemen senior dari
kemajuan perusahaan kea rah tujuanyang diidentifikasi
5. Mengahapus program dari investasi portofolio ketika manfaat yang
diinginkan telah tercapai
6. Pertimbangan mendapatkan bimbingandari ahli eksternal, benchmarking
0
1
2
3
APO01 - Mengelola IT Management
Framework
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 51/81
40
untuk menguji dan meningkatkan
metrik dan target
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 3 dokumen dan 6 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.
Gambar IV-I-4 Tingkat Capability Level pada Proses APO05
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO05 berada pada level 1.
b. Proses APO11 - Mengelola Kualitas
Pada proses APO11 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-8 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO11
Dokumen Base Practice
1. Peran, tanggung jawab dan decision
rights QMS
2. Komunikasi dalam perbaikan berkelanjutan dan best practices
1. Memastikan bahwa framework kontrol
TI, bisnis dan proses TI termasuk
standar, formal dan pendekatan berkelanjutan untuk manajemen mutu
yang sesuai dengan persyaratan
perusahaan2. Mendefinisikan peran, tugas, hak dan
tanggung jawab untuk keputusan
0
1
2
3
Tar et Ca abilit Level
APO05 - Mengelola Portofolio
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 52/81
41
manajemen mutu dalam struktur
organisasi.
3. Menyelaraskan manajemen mutu TIdengan sistem mutu perusahaan untuk
mendorong standarisasi dan pendekatan terhadap kualitas.4. Secara efektif mengkomunikasikan
pendekatan (misalnya, melalui
program reguler, kualitas pelatihan
formal).5. Pertimbangkan manfaat dan biaya
sertifikasi mutu.
6. Memberikan karyawan pelatihan
dalam metode dan sarana perbaikan berkelanjutan.
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 2 dokumen dan 6 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.
Gambar IV-I-5 Tingkat Capability Level pada Proses APO11
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO11 berada pada level 1.
0
1
2
3
Tar et Ca abilit Level
APO11 - Mengelola Kualitas
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 53/81
42
c. Proses APO12 - Mengelola Resiko
Pada proses APO12 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-9 Daftar Dokumen dan Base Practice yang Belum dilakukan pada APO12
Dokumen Base Practice
1. Data di lingkungan kerja yang
berhubungan dengan resiko
2. data pada saat terjadi resiko dan
factor penyebabnya3. Ruang lingkup dari usaha analisis
resiko
4.
Skenario resiko TI5. Hasil analisis resiko
6. Skenario resiko yang
terdokumentasi sesuai bisnis danfungsi
7. Keseluruhan profil resiko
8. Laporan analisis resiko dan profil
resiko untuk para stakeholder 9. Hasil tinjauan penilaian resiko third-
party
10. Kesempatan untuk penerimaan
resiko yang lebih besar11. Proposal proyek untuk menurunkan
resiko
12. Mengkomunikasikan dampakterjadinya resiko
13. Akar penyebab resiko terkait
1. Memantapkan dan mempertahankan
metode pengumpulan data, klasifikasi
dan analisis resiko terkait
2. Merekam data yang relevan padalingkungan operasi internal dan
eksternal perusahaan
3.
Menganalisis data historis resiko TIdan pengalaman kerugian dari data
yang tersedia
4. Mengatur data yang dikumpulkan danmenyoroti akar penyebabnya
5. Menentukan kondisi khusus yang ada
atau tidak ketika resiko terjadi
6. Pelaksanaan event periodik dananalisis faktor resiko untuk
mengidentifikasi apakah resiko
tersebut baru atau muncul kembali
7.
Menentukan analisis resiko yangtepat, mempertimbangkan semua
factor resiko dan kritikalitas asset
bisnis8. Membuat dan secara teratur
mengupdate skenario resiko TI
9. Memperkirakan frekuensi dan besarnya kerugian atau keuntungan
yang terkait dengan resiko resiko TI.
10. Membandingkan residual risk untuk
toleransi resiko yang dapat diterima
11.
Tentukan high-level requirementuntuk proyek atau program yang akan
menerapkan tanggapan resiko tertentu12. Validasi hasil analisis resiko sebelum
menggunakannya dalam pengambilan
keputusan
13. Mengumpulkan scenario resiko saai
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 54/81
43
ini berdasarkan kategori bisnis dan
area fungsional
14. Mengambil semua informasi profilresiko dan mengkonsolidasikan
menjadi sebuah profil resiko15. Menentukan seperangkat indikatorresiko yang memungkinkan
identifikasi cepat serta pemantauan
resiko saat ini
16. Menangkap informasi atas peristiwaresiko TI yang telah terwujud, untuk
dimasukkan ke dalam profil resiko TI
17. Melaporkan hasil analisis resiko
kepada semua stakeholder terkaituntuk mendukung keputusan
perusahaan18.
Menyediakan pengambil keputusandengan pemahaman tentang skenario
terburuk dan paling mungkin terjadi
19. Laporan profil resiko saat ini untuksemua stakeholder , termasuk
efektivitas proses manajemen resiko
dan efektifitas control
20. Meninjau hasil penilaian tujuan pihakketiga, audit internal dan ulasan
jaminan tinjauan, lalu memetakannya
ke dalam profil resiko21.
Mengidentifikasi peluang yang
berkaitan dengan TI yang
memungkinkan penerimaan resiko
yang lebih besar dan meningkatkan growth dan return
22. Menjaga investasi kegiatan control
untuk mengelola resiko dan yangmemungkinkan resiko untuk diambil
23. Menentukan apakah setiap entitas
organisasi memonitor risiko dan
menerima tanggung jawab atasoperasi dalam diri individu dan
tingkat portofolio toleransi
24. Menentukan proposal proyek yangseimbang dirancang untuk
mengurangi risiko dan/atau proyekyang memungkinkan peluang
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 55/81
44
strategis perusahaan,
mempertimbangkan biaya/manfaat,
efek pada profil risiko dan peraturanyang berlaku
25.
Menyiapkan, memelihara danmenguji rencana yangmendokumentasi langkah-langkah
spesifik untuk mengetahui kapan
peristiwa risiko dapat menyebabkan
insiden operasional atau perkembangan yang menyebabkan
dengan serius pada bisnis
26. Mengelompokkan insiden, dan
membandingkan eksposur aktualterhadap ambang batas toleransi
risiko. Mengkomunikasikan dampak bisnis pada para pengambil keputusansebagai bagian dari pelaporan, dan
memperbarui profil risiko
27. Menerapkan rencana respon yangtepat untuk meminimalkan dampak
risiko ketika insiden terjadi
28. Memeriksa peluang efek
samping/kerugian dan kehilanganyang pernah terjadi dan menentukan
akar penyebabnya.
Mengkomunikasikan akar penyebab,kebutuhan tambahan repon risiko dan
perbaikan proses untuk pengambil
keputusan yang tepat dan memastikan
bahwa penyebab, persyaratan respon,dan perbaikan proses termasuk dalam
proses tata kelola risiko
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 13 dokumen dan 28
base practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat
capability level sebagai berikut.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 56/81
45
Gambar IV-I-6 Tingkat Capability Level pada Proses APO12
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses APO12 berada pada level 0.
d. Proses DSS02 - Mengelola Permintaan Layanan dan Insiden
Berdasarkan penilaian yang telah dilakukan pada proses DSS02, seluruh dokumen
dan base practice telah didokumentasikan dan dilakukan oleh Politeknik Telkom.
Sehingga diperoleh tingkat capability level sebagai berikut.
Gambar IV-I-7 Tingkat Capability Level pada Proses DSS02
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses DSS02 juga berada pada level 3,
0
1
2
3
Tar et Ca abilit Level
APO12 - Mengelola Resiko
0
1
2
3
Tar et Ca abilit Level
DSS02 - Mengelola Permintaan
Layanan dan Insiden
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 57/81
46
sehingga pada proses ini Politeknik Telkom sudah mencapai target yang telah
ditetapkan.
e. Proses DSS05 - Mengelola Layanan Keamanan
Pada proses DSS05 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom
Tabel IV-10 Daftar Dokumen dan Base Practice yang Belum dilakukan pada DSS05
Dokumen Base Practice
1. Perangkat lunak berbahaya yang
melawan kebijakan
2.
Inventarisasi dokumen dan perangkat sensitif
1. Menginstall dan mengaktifkan
perangkat proteksi terhadap software
yang berbahaya pada seluruhfasilitas pengolahan, dengan data
software berbahaya yang diperbarui
sesuai kebutuhan (otomatis atausemi-otomatis).
2. Mendistribusikan semua proteksi
terhadap software berbahaya secara
terpusat (version dan patch-level)menggunakan konfigurasi yang
terpusat dan manajemen perubahan
3. Mengadakan pelatihan berkalamengenai malware pada email dan
saat penggunaan internet. User
dilatih untuk tidak menginstal
software yang dibagikan atau tidakdisetujui
4. Menetapkan prosedur untuk
mengatur penerimaan, penggunaan, penghapusan dan pembuangan
perangkat dengan bentuk khusus dan
output ke dalam maupun keluar
perusahaan
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 2 dokumen dan 4 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 58/81
47
Gambar IV-I-8 Tingkat Capability Level pada Proses DSS05
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan
berdasarkan hasil penilaian yang dilakukan, proses DSS05 berada pada level 1.
f. Proses DSS06 - Mengelola Kontrol Proses Bisnis
Pada proses DSS06 ada beberapa aktivitas yang tidak didokumentasikan serta
beberapa base practice yang tidak dilakukan. Berikut dokumen dan base practice
yang belum ada di Politeknik Telkom.
Tabel IV-11 Daftar Dokumen dan Base Practice yang Belum dilakukan pada DSS06
Dokumen Base Practice
1. Bukti koreksi kesalahan danremidiasi
1. Prioritas aktivitas kontrol berdasarkan risiko inheren pada
bisnis dan indetifikasi kontrol kunci
2. Memastikan kepemilikan kunciaktivitas control
3. Menangani output yang diotorisasi,
menyampaikan ke penerima yangtepat dan melindungi informasi
selama transmisi. Memverifikasi
akurasi dan kelengkapan output4. Alokasi peran untuk aktivitassensitif sehingga terhadap
perbedaan jelas segregation duty 5. Menyediakan awareness dan
pelatihan mengenai peran dantanggung jawab pada basis reguler
0
1
2
3
Tar et Ca abilit Level
DSS05 - Mengelola Layanan
Keamanan
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 59/81
48
sehingga semua orang memahami
tanggung jawab; kepentingan
kontrol; integritas tanggung jawabmereka, kerahasiaan dan privasi
informasi perusahaan disemua form6. Secara periode mereview defenisikontrol akses, log, dan laporan
eksepsi untuk memastikan semua
privileges akses valid dan selaras
dengan staf yang ada dan alokasi peran mereka
7. Melakukan follow up, koreksi,
persetujuan, dan resubmit sumber
dokumen dan transaksi8. Memelihara bukti aksi remedial
9.
Menyediakan penggunaan trainingdan kesadaran yang dapat diterima
Berdasarkan penilaian yang telah dilakukan, maka ditemukan 1 dokumen dan 9 base
practice yang belum ada di Politeknik Telkom, sehingga diperoleh tingkat capability
level sebagai berikut.
Gambar IV-I-9 Tingkat Capability Level pada Proses DSS06
Target yang ingin dicapai oleh Politeknik Telkom berada pada level 3, sedangkan berdasarkan hasil penilaian yang dilakukan, proses DSS06 berada pada level 1.
IV.2.5 Rekapitulasi Hasil Penilaian Capabil ity Level
Persentase capability level dari hasil penilaian secara keseluruhan adalah sebagai
berikut.
0
1
2
3
DSS06 - Mengelola Kontrol
Proses Bisnis
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 60/81
49
Tabel IV-12 Rekapitulasi Capability Level
Proses TIProcess
Attr ibute (PA)Capabil ity Level
Capability
yang dicapai
APO01
PA 1.1 86%1
PA 2.1 80.56%
PA 2.2 Tidak Dinilai
PA 3.1 Tidak Dinilai
PA 3.2 Tidak Dinilai
APO05
PA 1.1 72%
1
PA 2.1 Tidak Dinilai
PA 2.2 Tidak Dinilai
PA 3.1 Tidak Dinilai
PA 3.2 Tidak Dinilai
APO11
PA 1.1 87%
1PA 2.1 50%PA 2.2 Tidak Dinilai
PA 3.1 Tidak Dinilai
PA 3.2 Tidak Dinilai
APO12
PA 1.1 8%
0
PA 2.1 Tidak Dinilai
PA 2.2 Tidak Dinilai
PA 3.1 Tidak Dinilai
PA 3.2 Tidak Dinilai
DSS02
PA 1.1 100%
3
PA 2.1 100%
PA 2.2 100%PA 3.1 100%
PA 3.2 100%
DSS05
PA 1.1 88.89%
1
PA 2.1 88%
PA 2.2 21%
PA 3.1 Tidak Dinilai
PA 3.2 Tidak Dinilai
DSS06
PA 1.1 76%
1
PA 2.1 Tidak Dinilai
PA 2.2 Tidak DinilaiPA 3.1 Tidak Dinilai
PA 3.2 Tidak Dinilai
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 61/81
50
Pencapaian capability level untuk masing-masing proses TI adalah sebagai berikut.
Gambar IV-I-10 Rekapitulasi Capability Level
Berdasarkan penilaian yang dilakukan, terdapat 1 proses yang telah mencapai pada
level yang ditargetkan yaitu capability level 3 atau established pada proses DSS05,
namun ada pula 1 proses yang berada pada capability level 0 atau incomplete process
yaitu proses APO12. Sedangkan sisanya yaitu proses APO01, APO05, APO11, DSS05
dan DSS06 berada pada capability level 1 atau performed process.
0 1 2 3
DSS06
DSS05
DSS02
APO12
APO11
APO05
APO01
Capability Level
Target Optimal
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 62/81
51
BAB V
ANALISIS DAN REKOMENDASI
V.1 Analisis Gap antara Hasil Penilaian dengan Target Optimal
V.1.1 Analisis Gap Proses APO01 – Mengelola I T Management F ramework
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO01 tiap levelnya. Berikut merupakan tabel Gap dari proses APO01
Tabel V-1 Gap pada proses APO01
ProsesTI
Process
Attribute(PA)
Hasil
Penilaian(%)
Target
Optimal(%)
Gap (%)
APO01
PA 1.1 86%
100%
14%
PA 2.1 80.56% 19.44%
PA 2.2 0% 100%
PA 3.1 0% 100%
PA 3.2 0% 100%
Proses APO01 memiliki gap sebesar 14% pada PA 1.1, gap sebesar 19.44% pada
PA2.1, dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut
menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan IT Management Framework di Politeknik Telkom dinilai masih rendah karena hanya
mencapai skala 1 ( performed process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO01.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 63/81
52
Gambar V-1 Sebab Akibat Gap pada proses APO01
Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses
APO01 menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola IT
Management Framework dikarenakan faktor Sistem dan Manajemen. Faktor Sistem
diakibatkan Komunikasi tujuan dan arahan manajemen, dimana informasi yang
disampaikan terkadang kurang terperinci seseuai dengan tingkat penerimanya. Selain
itu Informasi data dan Sistem Kepemilikan, dimana belum ada pendefinisian prosedur
data integritas. Dari faktor Manajemen ada unsur peran dan tanggung jawab, dimana
belum ada pendefinisian IT-related roles and responsibilities.
V.1.2 Analisis Gap Proses APO05 – Mengelola Portofolio
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO05 tiap levelnya.Berikut ini merupakan tabel gap pada proses APO05.
Tabel V-2 Gap pada Proses APO05
Proses
TI
Process Attribute
(PA)
HasilPenilaian
(%)
TargetOptimal
(%)
Gap
(%)
APO05
PA 1.1 72%
100%
28%
PA 2.1 0% 100%
PA 2.2 0% 100%
PA 3.1 0% 100%
PA 3.2 0% 100%
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 64/81
53
Proses APO05 memiliki gap sebesar 28% pada PA 1.1 dan gap sebesar 100% pada
PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan dokumen dan base
practice yang belum terpenuhi. Untuk pengelolaan Portofolio di Politeknik Telkom
dinilai masih rendah karena hanya mencapai skala 1 ( performed process) dari
capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO05.
Gambar V-2 Sebab Akibat Gap pada Proses APO05
Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO05
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola portofolio
dikarenakan faktor Manajemen dan Sistem. Dari faktor Manajemen ada unsur
pencapaian manfaat, dimana belum ada aksi koreksi untuk meningkatkan realisasi
manfaat. Ada pula unsur Sumber Pendanaan, dimana belum ada pendefinisian
pengembalian harapan investasi. Dari faktor Sistem ada unsur pendanaan, dimana
belum ada penilaian untuk business case.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 65/81
54
V.1.3 Analisis Gap Proses APO11 – Mengelola Kualitas
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO11 tiap levelnya.Berikut ini merupakan tabel gap pada proses APO11.
Tabel V-3 Gap pada Proses APO11
Proses
TI
Process Attribute
(PA)
HasilPenilaian
(%)
TargetOptimal
(%)
Gap
(%)
APO11
PA 1.1 87%
100%
13%
PA 2.1 50% 50%
PA 2.2 0% 100%
PA 3.1 0% 100%
PA 3.2 0% 100%
Proses APO11 memiliki gap sebesar 13% pada PA 1.1, gap sebesar 50% pada PA 2.1
dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut
menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan
kualitas di Politeknik Telkom dinilai masih rendah karena hanya mencapai skala 1
( performed process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yangada pada proses APO11.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 66/81
55
Gambar V-3 Sebab Akibat Gap pada Proses APO11
Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO11
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola kualitas
dikarenakan faktor sistem, manajemen dan keterampilan. Faktor sistem ada unsur
perbaikan berkelanjutan, dimana Politeknik Telkom belum melakukan benchmarking
hasil tinjauan kualitas data historis internal. Faktor manajemen ada unsur Quality
Management Service (QMS) dimana belum ada pendefinisian peran, tanggung jawab
dan pengambilan keputusan untuk QMS. Selain itu ada unsur standar manajemen
kualitas dimana belum ada pertimbangan manfaat dan sertifikasi mutu. Terakhir ada
faktor keterampilan terdapat unsur sarana perbaikan berkelanjutan, dimana belum
dilaksanakan pelatihan dalam metode dan sarana perbaikan berkelanjutan.
V.1.4 Analisis Gap Proses APO12 – Mengelola Resiko
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
APO01 tiap levelnya. Berikut ini merupakan tabel gap pada proses APO12.
Tabel V-4 Gap pada Proses APO12
Proses
TI
Process
Attribute(PA)
Hasil
Penilaian(%)
Target
Optimal(%)
Gap
(%)
APO12
PA 1.1 8%
100%
92%
PA 2.1 0% 100%
PA 2.2 0% 100%
PA 3.1 0% 100%
PA 3.2 0% 100%
Proses APO12 memiliki gap sebesar 92% pada PA 1.1, dan gap sebesar 100% pada
PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan banyak sekali dokumen
dan base practice yang belum terpenuhi. Untuk pengelolaan resiko di Politeknik
Telkom berdasarkan hasil assesstment sangat rendah karena berada pada level
terendah yaitu 0 (incomplete process) pada capability level.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 67/81
56
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses APO12.
Gambar V-4 Sebab Akibat Gap pada Proses APO12
Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses APO12
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola Resiko
dikarenakan faktor sistem, resiko dan manajemen. Faktor sistem terdapat unsur
pengumpulan data, diamana belum ada pengumpulan data di lingkungan kerja yang
berhubungan dengan resiko. Dari faktor manajemen ada unsur portofolio tindakan
manajemen, dimana belum ada proposal proyek untuk menurunkan resiko. Terakhir
faktor resiko terdapat unsur analisis resiko, dimana belum ada pendefinisian scenario
resiko TI dan hasil analisis resiko. Unsur selanjutnya ada profil resiko, dimana belum
ada pendokumentasian scenario resiko sesuai dengan fungsi dan area bisnis. Unsur
terakhir ada respon terhadap resiko, dimana belum ada penentuan akar penyebab
resiko.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 68/81
57
V.1.5 Analisis Gap Proses DSS02 – Mengelola Permintaan Layanan dan Insiden
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
DSS02 tiap levelnya.Berikut merupakan tabel gap pada proses DSS02.
Tabel V-5 Gap pada Proses DSS02
ProsesTI
Process Attribute
(PA)
Hasil
Penilaian(%)
Target
Optimal(%)
Gap (%)
DSS02
PA 1.1 100%
100%
0%
PA 2.1 100% 0%
PA 2.2 100% 0%
PA 3.1 100% 0%
PA 3.2 100% 0%
Dari hasil assessment didapat gap PA 1.1 hingga PA 3.2 dari proses DSS02 adalah
sebesar 0%, yang artinya seluruh dokumen dan base practice pengelolaan permintaan
layanan dan inseiden yang terdapat pada framework COBIT 5 sudah lengkap dan
dijalankan. Hasil ini menunjukkan bahwa proses DSS02 berada pada level 3
(established process) pada capability level, dimana sudah sesuai dengan target yang
ditetapkan oleh Politeknik Telkom.
V.1.6 Analisis Gap Proses DSS05 – Mengelola Layanan Keamanan
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
DSS05 tiap levelnya. Berikut merupakan tabel gap pada proses DSS05.
Tabel V-6 Gap pada Proses DSS05
ProsesTI
Process
Attribute(PA)
Hasil
Penilaian(%)
Target
Optimal(%)
Gap (%)
DSS05
PA 1.1 88%
100%
12.%
PA 2.1 88.89% 11.11%
PA 2.2 0% 100%
PA 3.1 0% 100%
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 69/81
58
PA 3.2 0% 100%
Proses DSS05 memiliki gap sebesar 12% pada PA 1.1, gap sebesar 11.11% pada PA
2.1 dan gap sebesar 100% pada PA 2.2 hingga PA 3.2. Persentase gap tersebut
menunjukkan dokumen dan base practice yang belum terpenuhi. Untuk pengelolaan
layanan keamanan di Politeknik Telkom dinilai masih rendah karena hanya mencapai
skala 1 ( performed process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses DSS05.
Gambar V-5 Sebab Akibat Gap pada Proses DSS05
Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses DSS05
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola layanan
keamanan dikarenakan faktor manajemen dan keamanan. Faktor manajemen terdapat
unsur dokumen sensitif, dimana belum ada inventarisasi dokumen sensitif. Dan dari
faktor keamanan ada unsur Malware, dimana Politeknik Telkom belum memasang
perangkat proteksi terhadap malware.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 70/81
59
V.1.7 Analisis Gap Proses DSS06 – Mengelola Kontrol Proses Bisnis
Dari proses penilaian yang telah dilakukan maka diperoleh gap yang ada pada proses
DSS06 tiap levelnya. Berikut merupakan tabel gap pada proses DSS06.
Tabel V-7 Gap pada Proses DSS06
ProsesTI
Process
Attribute(PA)
Hasil
Penilaian(%)
Target
Optimal(%)
Gap (%)
DSS06
PA 1.1 76%
100%
24.00%
PA 2.1 0% 100%
PA 2.2 0% 100%PA 3.1 0% 100%
PA 3.2 0% 100%
Proses DSS06 memiliki gap sebesar 24% pada PA 1.1, dan gap sebesar 100% pada
PA 2.1 hingga PA 3.2. Persentase gap tersebut menunjukkan dokumen dan base
practice yang belum terpenuhi. Untuk pengelolaan kontrol proses bisnis di
Politeknik Telkom dinilai masih rendah karena hanya mencapai skala 1 ( performed
process) dari capability level.
Berikut merupakan diagram fishbone yang menunjukkan sebab akibat dari gap yang
ada pada proses DSS06
Gambar V-6. Sebab Akibat Gap pada Proses DSS06
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 71/81
60
Berdasarkan analisis akar permasalahan dengan diagram fishbone pada proses DSS06
menunjukkan bahwa Politeknik Telkom belum optimal dalam mengelola control
proses bisnis dikarenakan faktor sistem, manajemen dan keamanan. Faktor sistem
tedapat unsur aktivitas control, dimana Politeknik Telko belum memastikan
kepemilikan kunci aktivitas kontrol. Dari faktor manajemen terdapat unsur kesalahan
dan eksepsi, dimana belum ada dokumentasi bukti hasil koreksi kesalahan dan
koreksi. Dan dari faktor keamanan ada unsur alokasi hak akses, dimana belum ada
alokasi peran untuk aktivitas sensitif.
V.2 Analisis Prioritas
V.2.1 Kriteria Prioritas
Berikut ini merupakan kriteria prioritas yang dibagi berdasarkan manfaat, cost, dan
tingkat kemudahan implementasi.
a. Kriteria berdasarkan manfaat
Berikut ini merupakan tabel kriteria prioritas berdasarkan manfaat
Tabel V-8 Kriteria Prioritas Berdasarkan Manfaat
High Medium Low
Dampak positif dariimplementasi rekomendasi berpengaruh lebih dari
70% dari stakeholder
organisasi
Dampak positif dariimplementasi rekomendasi berpengaruh pada 50% -
70% dari stakeholder
organisasi
Dampak positif dariimplementasi rekomendasi berpengaruh kurang dari
50% dari stakeholder
organisasi
Adapun penilaian manfaat dihitung dengan menggunakan kriteria intangible. Manfaat
dikatakan high apabila dampak positif dari implementasi rekomendasi berpengaruh
ke seluruh stakeholder organisasi. Sedangkan manfaat dikatakan medium jika dampak
positif dari implementasi rekomendasi berpengaruh ke sebagian stakeholder. Dan
kriteria low jika manfaat dari implementasi rekomendasi berpengaruh ke sebagian
kecil dari stakeholder.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 72/81
61
b. Kriteria berdasarkan cost
Berikut ini merupakan tabel kriteria prioritas berdasarkan cost.
Tabel V-9 Kriteria Prioritas Berdasarkan Cost
High Medium Low
Lebih dari Rp. 20.000.000 Antara Rp.10.000.000
sampai Rp.20.000.000
Kurang dari Rp.10.000.000
Cost ditentukan berdasarkan rata-rata gaji per bulan SDM TI di Politeknik Telkom.
Cost dikatakan high apabila cost yang dibutuhkan lebih dari Rp. 20.000.000 per
bulan, sedangkan cost dikatakan medium jika cost yang dibutuhkan antara Rp.
10.000.000 sampai Rp. 20.000.000. Dan kriteria low apabila cost yang dibutuhkankurang dari Rp. 10.000.000 per bulan.
c. Kriteria berdasarkan tingkat kemudahan implementasi
Berikut ini merupakan tabel kriteria prioritas berdasarkan kemudahan implementasi
Tabel V-10 Kriteria Prioritas Berdasarkan Kemudahan Implementasi
High Medium Low
5 orang atau lebih Antara 3 sampai 4 orang Antara 1 sampai 2 orang
Tingkat kemudahan implementasi ditentukan berdasarkan banyaknya orang yang
melakukan rekomendasi terkait. Implementasi dikatakan high apabila implementasi
dilakukan oleh 5 orang atau lebih . Sedangkan implementasi dikatakan medium jika
implementasi dilakukan oleh 3 – 4 orang. Untuk kriteria low jika implementasi
dilakukan oleh 1 – 2 orang.
V.2.2 Penentuan Skala Prioritas
Adapun cara dalam menentukan skala prioritas untuk rekomendasi perbaikan adalah
dengan cara memberikan bobot untuk masing-masing rekomendasi. Bobot diberikan
dengan mempertimbangkan tiga aspek, yaitu manfaat dari implementasi, cost yang
dibutuhkan untuk mengimplementasikan rekomendasi, dan tingkat kemudahan untuk
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 73/81
62
melakukan implementasi rekomendasi. Berdasarkan hasil analisis prioritas terhadap
168 rekomendasi, didapatkan skala prioritas 1 hingga 5 dari rekomendasi perbaikan
yang diberikan. Berikut merupakan grafik yang menunjukkan distribusi skala
prioritas rekomendasi.
Gambar V-7 Distribusi Prioritas
Detail selengkapnya pembobotan pada analisis prioritas terdapat di lampiran I.
V.3 Rekomendasi
V.3.1 Rekomendasi Perbaikan Proses APO01 – Mengelola I T Management
Framework
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO01.
57
2
42
13
55
0
10
20
30
40
50
60
1 2 3 4 5
Jumlah Rekomendasi
Jumlah Rekomendasi
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 74/81
63
Tabel V-11 Distribusi Prioritas Rekomendasi APO01.
Prioritas Jumlah Rekomendasi
1 4
2 13 4
4 0
5 11
Rekomendasi untuk APO01 diantaranya menciptakan stretegi TI komite di dewan
direksi, menetapkan peran dan tanggung jawab yang berhubungan dengan TI pada
semua personil di perusahaan, dan membuat analisis keputusan yang diperlukan
untuk menciptakan outcome dan strategi TI. Untuk rekomendasi selengkapnya
terlampir pada Lampiran .
V.3.2 Rekomendasi Perbaikan Proses APO05 – Mengelola Portofolio
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO05.
Tabel V-12 Distribusi Prioritas Rekomendasi APO05
Prioritas Jumlah Rekomendasi
1 5
2 1
3 10
4 6
5 5
Rekomendasi untuk APO05 diantaranya melakukan monitor sumber pendanaan,
menentukan kandidat program yang akan dimasukkan ke dalam portofolio aktif,
mendokumentasikan laporan manajemen untuk manajemen senior, dan
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 75/81
64
mempertimbangkan bimbingan dari pihak luar atau benchmarking untuk menguji
matriks dan meningkatkan target. Untuk rekomendasi selengkapnya terlampir pada
Lampiran .
V.3.3 Rekomendasi Perbaikan Proses APO11 – Mengelola Kualitas
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO11.
Tabel V-13Distribusi Prioritas Rekomendasi APO11
Prioritas Jumlah Rekomendasi
1 9
2 0
3 7
4 4
5 7
Rekomenasi untuk APO11 diantaranya membuat pertimbangan manfaat dan
sertifikasi mutu, memberikan pelatihan kepada karyawan dalam metode dan sarana
perbaikan, dan melakukan penyelarasan manajemen mutu TI dengan sistem mutu
perusahaan. Untuk rekomendasi selengkapnya terlampir pada Lampiran.
V.3.4 Rekomendasi Perbaikan Proses APO12 – Mengelola Resiko
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses APO12.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 76/81
65
Tabel V-14 Distribusi Prioritas Rekomendasi APO12
Prioritas Jumlah Rekomendasi
1 26
2 03 10
4 1
5 11
Rekomendasi untuk proses APO12 adalah diantaranya mendokumentasikan kinerja
proses dan melakukan base practice mengenai aktivitas yang terkait dengan proses
mengelola resiko, selain itu juga melakukan monitoring kinerja dan output proses
dan mampu mendefinisikan dan mengimplementasikan proses pengelolaan resikosesuai dengan prosedur. Untuk rekomendasi selengkapnya tercantum di lampiran .
V.3.5 Rekomendasi Perbaikan Proses DSS02 – Mengelola Permintaan Layanan
dan Insiden
Pada proses ini semua dokumen telah didokumentasikan dan telah dilaksanakan oleh
Politeknik Telkom, sehingga telah mencapai target dari capability level yang telah
ditetapkan yaitu pada skala 3.
V.3.6 Rekomendasi Perbaikan Proses DSS05 – Mengelola Layanan Keamanan
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses DSS05.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 77/81
66
Tabel V-15 Distribusi Prioritas Rekomendasi DSS05
Prioritas Jumlah Rekomendasi
1 5
2 03 2
4 1
5 10
Rekomendasi untuk DSS05 diantaranya memasang proteksi terhadap software
berbahaya, mendokumentasikan proses pengelolaan layanan keamanan, dan
mendefinisikan requirement untuk output hasil dari pengelolaan layanan keamanan.
Untuk rekomendasi selengkapnya terlampir pada Lampiran.
V.3.7 Rekomendasi Perbaikan Proses DSS06 – Mengelola Kontrol Proses Bisnis
Dari hasil analisis gap yang telah dilakukan dapat disusun rekomendasi untuk
perbaikan tiap proses yang dinilai. Rekomendasi disusun berdasarkan aktivitas yang
belum terdokumentasi dan belum dilakukan oleh Politeknik Telkom sehingga
nantinya rekomendasi ini dapat membantu Politeknik Telkom dalam mencapai target
optimalnya yaitu skala 3 pada capability level. Berikut merupakan distribusi skala
prioritas rekomendasi pada proses DSS06.
Tabel V-16 Distribusi Proses Perbaikan DSS06
Prioritas Jumlah Rekomendasi
1 8
2 0
3 9
4 1
5 11
Rekomendasi untuk DSS06 diantaranya membentuk sebuah prioritas aktivitas kontrol
berdasarkan resiko pada bisnis yang mungkin dihadapi, membuat penanganan output
yang diotorisasi, dan melakukan komunikasi efektif dan mendefinisikan tanggung
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 78/81
67
jawab antar pihak yang terlibat dalam proses pengelolaan kontrol proses bisnis.
Untuk rekomendasi selengkapnya terlampir pada Lampiran.
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 79/81
68
BAB VI
KESIMPULAN DAN SARAN
VI.1 Kesimpulan
VI.1.1 Hasil Penilaian
Berdasarkan hasil penilaian layanan akademik di Politeknik Telkom pada domain
APO dan DSS dengan menggunakan framework COBIT 5 diperoleh hasil capability
level sebagai berikut:
Gambar VI-1Capability Level Domain APO dan DSS
Dari hasil penilaian diperoleh bahwa ada 1 proses yang berada pada level 0 atau
incomplete Process yaitu APO12, 5 proses yang berada pada level 1 atau performed
process yaitu APO01, APO05, APO11, DSS05 dan DSS06. Dan 1 proses yang berada
pada level 3 atau established process yaitu DSS02.
VI.1.2 Rekomendasi
Berikut ini merupakan rekomendasi yang disusun untuk membantu Politeknik
Telkom dalam mencapai target optimalnya di skala 3 capability level.
0
1
2
3
4
Capability 0 Capability 1 Capability 3
Domain APO
DomainDSS
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 80/81
69
1. Merencanakan dan menetukan prosedur untuk setiap proses sehingga setiap
proses tersebut mampu mencapai hasil yang optimal. Dari hasil penilaian
didapat hasil bahwa Politeknik Telkom masih belum optimal dalam
pengelolaan prosedur untuk membantu mencapai hasil optimal.
2. Melakukan dan mengimplementasikan analisis pengelolaan resiko untuk
mengantisipasi kemungkinan resiko yang terjadi. Dari hasil penilaian didapat
hasil bahwa Politeknik Telkom masih belum optimal dalam pengelolaan
resiko
3. Melakukan dan mengkomunikasikan perencanan strategi dengan matang,
sehingga semua pihak dapat memahami arahan dan tujuan perencanaan tersebut
dengan tepat.
VI.1.3 Saran
Berikut ini merupakan saran yang diberikan untuk Politeknik Telkom dan penelitian
selanjutnya.
a. Bagi Politeknik Telkom
1. Mengimplementasikan rekomendasi yang telah diberikan sesuai dengan
prioritasnya
2.
Melakukan audit TI untuk mengetahui tingkat keamanan dan jaringan pada
Politeknik Telkom
b. Bagi penelitian selanjutnya
Melakukan penelitian tentang audit TI untuk mengetahui tingkat keamanan dan
jaringan di Politeknik Telkom
7/27/2019 BUTA 3.docx
http://slidepdf.com/reader/full/buta-3docx 81/81
DAFTAR PUSTAKA
1. Wardana, Wawan. (2002). Perkembangan Teknologi Informasi di Indonesia.
2. IT Governance. http://www.itgovernance.co.uk (accessed Januari 17, 2013).
3. Politeknik Telkom. 2012. http://www.politekniktelkom.ac.id/ (accessed
Desember 23, 2012).
4. Webber, Ron. (2000). Information System Controls and Audit.
5. ISACA. www.isaca.org (accessed Desember 24, 2012).
6.
The UK Chapter of the itSM. (2007). An Introductory Overview of ITIL V3..
7. Martin E, Wainright., Brown V. Carol., DeHayes W. Daniel., Hoffer A.
Jeffrey.,Perkins C. William. (2005). Managing Information Technology.
8. William dan Sawyer. (2007). Using Information Technology.
9. Tarigan, Joshua. (2006 ). Merancang It Governance Dengan Cobit & Arbanes-
Oxley Dalam Konteks Budaya Indonesia.
10. Hannover Research. (2008). Governance of Information Technology in
Higher Education.
11.
Mutyarini, Kuswardani, Sembiring, Jaka. (2006). Arsitektur Sistem
Informasi untuk Institusi Perguruan Tinggi.
12. Suharto, Ignatius. (2004). Perekayasaan Metodologi Penelitian.