TUGAS 2
Audit Teknologi Sistem
Informasi#
Dosen : Qomariyah
Anggota Kelompok 1:
1. Amalia
Nur Syamsina (10115604)
2. Anella
Prisdayanti D (17115810)
3. Shinta
Larasati (16115551)
Universitas Gunadarma
Sistem Informasi
2018
BAB
I
PENDAHULUAN
1.1
Sejarah
COBIT
Cobit
merupakan sebuah framework yang dikembangkan oleh ISACA ( Information
Systems Audit and Control Association ). Berikut perjalan waktu
perkembangan Cobit :
-
1996 : ISACA (Information
Systems Audit and Control Association ) merilis sebuah rangkaian alat
pengendalian objektif untuk aplikasi bisnis, yaitu COBIT 1.0.
-
1998 : COBIT 2.0 rilis yang
dilengkapi dengan rangkaian alat implementasi dan pengendalian objektif level
tinggi yang detail.
-
2000 : COBIT 3.0 dirilis dengan
menyertakan panduan bagi manajemen.
-
2002 : Sarbanes – Oxley Act
ditetapkan sebagai peraturan atau hukum foderal Amerika yang memberikan dampak
pada meningkatnya penggunaan COBIT di Amerika.
-
2003 : Muncul versi online dari
COBIT.
-
2005 : COBIT 4.0 rilis
-
2012 : COBIT 5.0 rilis,
merupakan integrasi dari COBIT 4.1, Val IT 2.0 dan Risk IT frameworks, dan juga
menghilangkan secara signifikan terkait bisnis model untuk informasi keamanan
dan ITAF. Kemudian pada bulan desember dirilis tambahan ( add – on ) dokumen
terkait informasi keamanan.
-
2013 : Rilis add – on kedua
untuk COBIT 5.0 untuk asuransi.
1.2
Definisi
COBIT
COBIT merupakan kerangka panduan
tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa
digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis
pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk
IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta
menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan
IT.
Cobit berorientasi proses, dimana
secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola
suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit memberikan
panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara
detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di
level top dalam organisasi.
COBIT digunakan secara umum oleh
mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka
yang organisasinya sangat bergantung pada kualitas, kehandalan dan penguasaan
teknologi informasi.
Tujuan dari COBIT yaitu :
-
Menyediakan kebijakan yang jelas dan praktik –
praktik yang baik untuk IT governance dalam organisasi tingkatan dunia.
-
Membantu senior management memahami dan memanage
resiko – resiko terkait dengan TI. Cobit melaksanakannya dengan menyediakan
satu kerangka IT governance dan petunjuk control objective rinci untuk
management, pemilik proses business, users, dan auditors.
1.3
Konsep Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri dari
tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara keseluruhan,
yang pada dasarnya terdiri tiga tingkat usaha tata kelola TI yang menyangkut
manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas ( Activities and
Tasks) merupakan kegiatan yang dilakukan secara terpisah yang diperlukan untuk
mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity and Tasks
dikelompokkan ke dalam proses TI. Proses-proses TI yang memiliki permasalahan
tata kelola TI yang sama akan dikelompokkan ke dalam domain. Maka konsep
kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Information
Criteria , IT Resources , IT Processes , seperti terlihat pada gambar dibawah
ini :
Lingkup kriteria informasi ( Information
Criteria ) yang menjadi perhatian dalam COBIT adalah:
·
Effectiveness
Menitikberatkan pada sejauh mana
efektivitas informasi dikelola dari data-data yang diproses oleh sistem
informasi yang dibangun.
·
Efficiency
Menitikberatkan pada sejauh mana
efisiensi investasi terhadap informasi yang diproses oleh sistem.
·
Confidentiality
Menitikberatkan pada pengelolaan
kerahasiaan informasi secara hierarkis.
·
Integrity
Menitikberatkan pada integritas
data/informasi dalam sistem informasi.
·
Availability
Menitikberatkan pada ketersediaan
data/informasi dalam sistem informasi.
·
Compliance
Menitikberatkan pada kesesuaian
data/informasi dalam sistem informasi.
·
Reliability
Menitikberatkan pada
kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Fokus terhadap pengelolaan sumber
daya teknologi informasi dalam COBIT adalah pada:
·
Applications (Aplikasi)
·
Information (Informasi)
·
Infrastructur (Infrastruktur)
·
People (Manusia/Pengguna)
1.4
Domain COBIT
Kerangka
kerja COBIT terdiri dari pengendalian tingkat tinggi pada sasaran hasil
keseluruhan struktur klasifikasinya. Dasar teori untuk klasifikasi adalah 3
tingkatan usaha pengaturan TI yang menyangkut manajemen sumber daya TI. Mulai
dari dasar adalah aktivitas dan tugas yang diperluaskan untuk mencapai hasil
yang terukur.
Kemudian
proses adalah menggambarkan 1 lapisan atas serangkaian tugas atau aktivitas
yang dihubungkan dengan perubahan (pengendalian). Ditingkatan yang paling
tinggi, proses secara alami dikelompokkan bersama-sama ke dalam domain.
Pengelompokkan
ini sering ditetapkan sebagai tanggung jawab dalam struktur organisasi dan
sejalan dengan siklus manajemen atau siklus hidup yang digunakan pada proses
TI.
Supaya
informasi yang tersedia memenuhi tujuan dari organisasi, sumber daya TI
memerlukan pengaturan untuk proses TI menjadi beberapa group proses.
Masing-masing group proses diberi nama Domain. Setiap domain terdiri dari
beberapa proses. Secara garis besar, COBIT framework terdiri atas 4 domain
utama, yaitu :
a.
Perencanaan dan Organisasi (Plan and
Organise)
Domain ini mencakup strategi dan
taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan
kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk
sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
b.
Pengadaan dan Implementasi (Acquire
and Implement)
Untuk mewujudkan strategi TI, solusi
TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan
dan diintegrasikan dalam proses bisnis.
c.
Pengantaran dan Dukungan (Deliver
and Support)
Domain ini berhubungan dengan
penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security
dan aspek kesinambungan bisnis sampai dengan pengadaan training.
d.
Pengawasan dan Evaluasi (Monitor and
Evaluate)
Semua proses TI perlu dinilai secara
teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan
kontrol.
1.5
Kelebihan dan Kekurangan COBIT
a.
Kelebihan COBIT
- Efektif dan Efisien
Berhubungan dengan informasi yang relevan dan berkenaan
dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar,
konsisten, dan berguna.
- Rahasia
Proteksi terhadap informasi yang sensitif dari akses yang
tidak bertanggung jawab.
- Integritas
Berhubungan dengan ketepatan dan kelengkapan dari sebuah
informasi.
- Ketersediaan
Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh
proses bisnis sekarang dan masa depan.
- Kepatuhan Nyata
Berhubungan dengan penyediaan informasi yang sesuai untuk
manajemen.
b.
Kekurangan COBIT
- COBIT hanya memberikan panduan kendali dan tidak memberikan
panduan implementasi operasional. Dalam
memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi
berbagai framework tata kelola operasional seperti ITIL (The Information
Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan
layanan TI yang terbagi ke dalam proses dan fungsi.
- Kerumitan penerapan.
COBIT hanya berfokus pada kendali dan pengukuran. COBIT
kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas
proses TI pada organisasi daripada ITIL misalnya.
BAB II
TEORI DS (DELIVERY AND SUPPORT)
2.1 Definisi
DS (Delivery and Support)
Domain ini menitikberatkan pada proses pelayanan TI dan
dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan
dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan.
Deliver
and Support (DS) Menerima solusi dan
membuatnya dapat
digunakan bagi pengguna akhir. Domain ini berkaitan
dengan pengiriman/penyampaian
yang aktual dan dukungan layanan yang
dibutuhkan,
yang meliputi pelayanan, pengelolaan keamanan dan
kontinuitas, dukungan layanan bagi pengguna serta
manajemen data dan
fasilitas operasional.
Dimana
domain DS terdiri dari 13 control objectives, meliputi :
1
2
3
4
5
6
7
8
9
10
11
12
13
|
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
|
Menetapkan dan mengatur tingkatan
pelayanan (Define and Manage Service Levels)
Mengelola layanan pihak ke tiga (Manage
Third-Party Services)
Mengelola
kapasitas dan kinerja (Manage Performance and Capacity)
Menjamin
layanan berkelanjutan (Ensure Continuous Service)
Menjamin
keamanan sistem (Ensure Systems Security)
Mengidentifikasikan
dan mengalokasikan biaya (Identify and Allocate Costs)
Mendidik
dan melatih user (Educate and Train Users)
Membantu
dan memberikan masukan kepada pelanggan (Assist and Advise Customers)
Mengelola
konfigurasi (Manage the Configuration)
Mengelola
kegiatan dan permasalahan (Manage Problems and Incidents)
Mengelola
Data (Manage Data)
Mengelola
Fasilitas (Manage Facilities)
Mengelola Operasi (Manage
Operations)
|
2.2 Control Objective yang digunakan pada
Studi Kasus
Sementara
fokus domain DSS pada COBIT 5 yakni pada aspek pengiriman teknologi informasi,
proses, dan dukungan yang memungkinkan untuk pelaksanaan sistem TI yang efektif
dan efisien.
Domain
DSS
terdiri
dari 6 control
objective,
yakni sebagai berikut :
1.
DSS01 – Mengelola Operasi
Mengkoordinasikan dan
melaksanakan kegiatan dan prosedur
operasional yang
dibutuhkan untuk
memberikan layanan IT
kepada internal maupun outsourced, termasuk pelaksanaan eksekusi dari standar operasi prosedur yang telah ditetapkan dan kegiatan pemantauan
yang
diperlukan.
2. DSS02
–
Manage Service
Request
and Incidents
Memberikan respon yang
tepat waktu dan
efektif untuk permintaan
pengguna dan penyelesaian
terhadap semua jenis insiden.
3. DSS03
– Manage Problems
Mengidentifikasi dan
mengklasifikasikan
masalah dan akar penyebab masalah
dan memberikan resolusi yang tepat waktu
untuk mencegah insiden berulang serta memberikan
rekomendasi untuk perbaikan.
4. DSS04
– Manage Continuity
Membangun dan memelihara rencana untuk
memungkinkan bisnis dan TI
dalam menanggapi insiden
dan gangguan dalam rangka melanjutkan pelaksanaan proses
bisnis yang penting dan layanan TI
yang diperlukan
dan menjaga ketersediaan
informasi pada tingkat yang dapat diterima
oleh perusahaan.
5. DSS05
– Manage Security Services
Melindungi informasi perusahaan
untuk
mempertahankan tingkat resiko
keamanan
informasi yang
dapat diterima oleh perusahaan
sesuai dengan kebijakan keamanan.
6. DSS06 –
Manage Business Process Controls
Mendefinisikan dan memelihara proses
bisnis yang tepat kontrol untuk memastikan
bahwa informasi yang
terkait dan diproses oleh
proses bisnis outsourcing memenuhi
semua persyaratan
pengendalian informasi yang relevan.
BAB 3
STUDI KASUS DAN ANALISIS
3.1 Kasus
BPJSTK Mobile adalah suatu bentuk pemanfaatan TI yang berupa
layanan perangkat lunak yang dibuat untuk memberi keefektifan bagi anggota BPJS
Ketenagakerjaan untuk mendapatkan informasi yang berkaitan dengan program
pelayanan yang dapat di akses dimanapun dan kapanpun. Pentingnya layanan BPJSTK
Mobile untuk melakukan kegiatan operasional menjadikannya harus dalam kondisi
yang optimal, sehingga BPJSTK Mobile perlu dievaluasi agar perusahaan dapat
mengukur apakah TI yang diimplementasikan sudah sesuai dengan yang diharapkan.
(BPJS, 2014).
Berdasarkan data keluhan yang didapat dari pihak BPJS
Ketenagakerjaan Cabang Mataram, terdapat
komplain yang di
tujukan kepada perusahaan terkait
dengan fungsi BPJSTK Mobile yang dirasa kurang sesuai
dengan tujuan pembuatannya. Data keluhan dapat dibuktikan dengan melihat banyak
komentar pada google play store serta pengaduan komplain secara langsung oleh
pengguna kepada perusahaan. Pihak BPJS Ketenagakerjaan dinilai masih lamban
dalam merespon keluhan dan permintaan peserta BPJS, hal ini terjadi karena
kurangnya personil TI dalam kantor Cabang, hanya ada satu orang penata Madya
TI. Sedangkan aplikasi BPJSTK Mobile dibuat untuk memudahkan peserta agar dapat
melakukan transaksi secara online, yang diharapkan pelaksanaan transaksi bisa
lebih efektif dan efisien karena peserta tidak harus mendatangkan Kantor BPJS
Ketenagakerjaan
3.2
Hasil
Analisis
Penelitian ini bertujuan untuk menilai sejauh mana tingkat
kemampuan (capability level) teknologi informasi pada penerapan BPJSTK Mobile. Penyelesaian
studi kasus di atas menggunakan COBIT 5 karena merupakan standar yang sesuai untuk
membantu perusahaan dalam mencapai tujuan dan menghasilkan nilai melalui tata
kelola dan manajemen TI yang efektif. COBIT 5 sesuai digunakan untuk
mengevaluasi TI di BPJS Ketenagakerjaan Cabang Mataram karena COBIT 5 membantu
perusahaan untuk menciptakan nilai TI yang optimal dengan menjaga keseimbangan
antara mewujudkan manfaat dan mengoptimalisasi tingkat risiko dan sumber yang
digunakan.
Domain yang digunakan untuk kasus ini adalah domain DSS
karena dianggap sesuai dengan kondisi BPJSTK Mobile saat ini.
Kondisi teknologi informasi di BPJS Ketenagakerjaan yang sedang berlangsung dan
kebutuhan untuk mengirimkan layanan, melayani,
dan mendukung layanan
teknologi informasi, maka domain DSS dianggap sesuai.
Domain lain seperti APO (Align, Plan, and Organize) dirasa
akan sesuai diterapkan pada tata kelola teknologi informasi yang
belum dijalankan atau
akan dijalankan, domain BAI (Build, Acquire, and Implement) dirasa akan
sesuai jika diterapkan pada unit khusus
yang berperan sebagai pembangun (developer) atau
memperbaiki tata kelola teknologi informasi yang sudah ada, domain MEA
(Monitor, Evaluate, and Asses) dirasa akan sesuai diterapkan untuk kondisi yang
telah dibangun dan berlangsung, dan pelaksanaan monitoring dilakukan oleh pihak
internal.
SUMBER :