Audit Teknologi Sistem Informasi # (Tugas 2-COBIT)
TUGAS 2
Audit Teknologi Sistem
Informasi#
Dosen : Qomariyah
Anggota Kelompok 1:
1.
Amalia Nur Syamsina (10115604)
2.
Anella Prisdayanti D (17115810)
3.
Shinta Larasati (16115551)
Universitas Gunadarma
Sistem Informasi
2018
BAB I
PENDAHULUAN
1.1
Sejarah COBIT
Cobit merupakan sebuah framework yang
dikembangkan oleh ISACA ( Information Systems Audit and Control Association ).
Berikut perjalan waktu perkembangan Cobit :
- 1996
: ISACA (Information Systems Audit and Control Association ) merilis sebuah
rangkaian alat pengendalian objektif untuk aplikasi bisnis, yaitu COBIT 1.0.
- 1998
: COBIT 2.0 rilis yang dilengkapi dengan rangkaian alat implementasi dan
pengendalian objektif level tinggi yang detail.
- 2000
: COBIT 3.0 dirilis dengan menyertakan panduan bagi manajemen.
- 2002
: Sarbanes – Oxley Act ditetapkan sebagai peraturan atau hukum foderal Amerika
yang memberikan dampak pada meningkatnya penggunaan COBIT di Amerika.
-
2003
: Muncul versi online dari COBIT.
-
2005
: COBIT 4.0 rilis
-
2007
: COBIT 4.1 rilis
- 2012
: COBIT 5.0 rilis, merupakan integrasi dari COBIT 4.1, Val IT 2.0 dan Risk IT
frameworks, dan juga menghilangkan secara signifikan terkait bisnis model untuk
informasi keamanan dan ITAF. Kemudian pada bulan desember dirilis tambahan (
add – on ) dokumen terkait informasi keamanan.
- 2013
: Rilis add – on kedua untuk COBIT 5.0 untuk asuransi.
1.2
Definisi COBIT
COBIT
merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai
toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan
dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu
organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat
baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan
kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
Cobit
berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar
panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa
mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat
membantu memudahkan pengambilan keputusan di level top dalam organisasi.
COBIT
digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur
proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas,
kehandalan dan penguasaan teknologi informasi.
Tujuan
dari COBIT yaitu :
- Menyediakan kebijakan yang
jelas dan praktik – praktik yang baik untuk IT governance dalam organisasi
tingkatan dunia.
- Membantu senior management
memahami dan memanage resiko – resiko terkait dengan TI. Cobit melaksanakannya
dengan menyediakan satu kerangka IT governance dan petunjuk control objective
rinci untuk management, pemilik proses business, users,
dan auditors.
1.3
Konsep
Kerangka Kerja COBIT
Kerangka kerja COBIT
terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara
keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha tata kelola TI yang
menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas ( Activities
and Tasks) merupakan kegiatan yang dilakukan secara terpisah yang diperlukan
untuk mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity and
Tasks dikelompokkan ke dalam proses TI. Proses-proses TI yang memiliki
permasalahan tata kelola TI yang sama akan dikelompokkan ke dalam domain.
Maka konsep kerangka
kerja dapat dilihat dari tiga sudut pandang, meliputi : Information Criteria , IT
Resources , IT Processes , seperti terlihat pada gambar dibawah ini :
Lingkup kriteria
informasi ( Information Criteria ) yang menjadi perhatian dalam COBIT adalah:
· Effectiveness
Menitikberatkan pada sejauh mana efektivitas
informasi dikelola dari data-data yang diproses oleh sistem informasi yang
dibangun.
· Efficiency
Menitikberatkan pada sejauh mana
efisiensi investasi terhadap informasi yang diproses oleh sistem.
· Confidentiality
Menitikberatkan pada pengelolaan
kerahasiaan informasi secara hierarkis.
· Integrity
Menitikberatkan pada integritas
data/informasi dalam sistem informasi.
· Availability
Menitikberatkan pada ketersediaan
data/informasi dalam sistem informasi.
·
Compliance
Menitikberatkan pada kesesuaian data/informasi
dalam sistem informasi.
·
Reliability
Menitikberatkan pada kemampuan/ketangguhan
sistem informasi dalam pengelolaan data/informasi.
Fokus terhadap
pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
·
Applications (Aplikasi)
·
Information (Informasi)
·
Infrastructur (Infrastruktur)
·
People (Manusia/Pengguna)
1.4
Domain
COBIT
Kerangka kerja COBIT
terdiri dari pengendalian tingkat tinggi pada sasaran hasil keseluruhan
struktur klasifikasinya. Dasar teori untuk klasifikasi adalah 3 tingkatan usaha
pengaturan TI yang menyangkut manajemen sumber daya TI. Mulai dari dasar adalah
aktivitas dan tugas yang diperluaskan untuk mencapai hasil yang terukur.
Kemudian proses
adalah menggambarkan 1 lapisan atas serangkaian tugas atau aktivitas yang
dihubungkan dengan perubahan (pengendalian). Ditingkatan yang paling tinggi,
proses secara alami dikelompokkan bersama-sama ke dalam domain.
Pengelompokkan ini
sering ditetapkan sebagai tanggung jawab dalam struktur organisasi dan sejalan
dengan siklus manajemen atau siklus hidup yang digunakan pada proses TI.
Supaya informasi yang
tersedia memenuhi tujuan dari organisasi, sumber daya TI memerlukan pengaturan
untuk proses TI menjadi beberapa group proses. Masing-masing group proses
diberi nama Domain. Setiap domain terdiri dari beberapa proses. Secara garis
besar, COBIT framework terdiri atas 4 domain utama, yaitu :
a.
Perencanaan
dan Organisasi (Plan and Organise)
Domain ini mencakup
strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat
memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik
pula.
b.
Pengadaan
dan Implementasi (Acquire and Implement)
Untuk mewujudkan
strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan
kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
c.
Pengantaran
dan Dukungan (Deliver and Support)
Domain ini
berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
d.
Pengawasan
dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu
dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan
kebutuhan kontrol.
1.5
Kelebihan
dan Kekurangan COBIT
a.
Kelebihan
COBIT
-
Efektif dan Efisien
Berhubungan dengan informasi yang
relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi
dikirim tepat waktu, benar, konsisten, dan berguna.
-
Rahasia
Proteksi terhadap informasi yang
sensitif dari akses yang tidak bertanggung jawab.
-
Integritas
Berhubungan dengan ketepatan dan
kelengkapan dari sebuah informasi.
-
Ketersediaan
Berhubungan dengan tersedianya
informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
-
Kepatuhan Nyata
Berhubungan dengan penyediaan informasi
yang sesuai untuk manajemen.
b.
Kekurangan
COBIT
-
COBIT hanya memberikan panduan kendali
dan tidak memberikan panduan implementasi operasional. Dalam memenuhi kebutuhan COBIT dalam
lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola
operasional seperti ITIL (The Information Technology Infrastructure Library)
yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam
proses dan fungsi.
-
Kerumitan penerapan.
COBIT hanya berfokus pada kendali dan
pengukuran. COBIT kurang dalam memberikan panduan keamanan namun memberikan
wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.
BAB II
TEORI DS (DELIVERY AND SUPPORT)
2.1
Definisi
DS (Delivery and Support)
Domain ini
menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi
hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk
pengguna, dan pengelolaan data yang sedang berjalan.
Deliver and Support (DS) Menerima solusi dan membuatnya dapat digunakan bagi pengguna akhir. Domain
ini
berkaitan dengan pengiriman/penyampaian
yang aktual dan dukungan layanan yang
dibutuhkan,
yang meliputi pelayanan, pengelolaan keamanan dan
kontinuitas, dukungan layanan bagi pengguna serta
manajemen data dan
fasilitas operasional. Dimana domain DS terdiri
dari 13 control objectives, meliputi :
1
2
3
4
5
6
7
8
9
10
11
12
13
|
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
|
Menetapkan dan mengatur
tingkatan pelayanan (Define and Manage Service Levels)
Mengelola layanan pihak
ke tiga (Manage Third-Party Services)
Mengelola kapasitas dan kinerja (Manage
Performance and Capacity)
Menjamin layanan berkelanjutan (Ensure
Continuous Service)
Menjamin keamanan sistem (Ensure
Systems Security)
Mengidentifikasikan dan
mengalokasikan biaya (Identify and Allocate Costs)
Mendidik dan melatih user (Educate
and Train Users)
Membantu dan memberikan masukan
kepada pelanggan (Assist and Advise Customers)
Mengelola konfigurasi (Manage the
Configuration)
Mengelola kegiatan dan permasalahan (Manage
Problems and Incidents)
Mengelola Data (Manage Data)
Mengelola Fasilitas (Manage
Facilities)
Mengelola Operasi (Manage
Operations)
|
2.2 Control
Objective yang digunakan pada Studi Kasus
Sementara
fokus domain DSS pada COBIT 5 yakni pada aspek pengiriman teknologi informasi, proses,
dan dukungan yang memungkinkan untuk pelaksanaan sistem TI yang efektif dan
efisien.
Domain DSS terdiri
dari 6 control
objective,
yakni sebagai berikut :
1.
DSS01 – Mengelola Operasi
Mengkoordinasikan dan melaksanakan
kegiatan
dan
prosedur operasional
yang dibutuhkan untuk memberikan layanan IT kepada
internal maupun outsourced, termasuk pelaksanaan eksekusi dari standar operasi prosedur yang telah ditetapkan dan kegiatan pemantauan
yang
diperlukan.
2.
DSS02 – Manage
Service Request and Incidents
Memberikan respon yang tepat waktu dan
efektif untuk permintaan
pengguna dan penyelesaian
terhadap semua jenis insiden.
3.
DSS03 – Manage
Problems
Mengidentifikasi
dan mengklasifikasikan masalah dan akar penyebab masalah dan memberikan resolusi yang tepat waktu
untuk mencegah insiden berulang serta memberikan
rekomendasi untuk perbaikan.
4.
DSS04 – Manage
Continuity
Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI dalam
menanggapi insiden dan gangguan dalam rangka melanjutkan pelaksanaan proses
bisnis yang penting dan layanan TI
yang diperlukan
dan menjaga ketersediaan
informasi pada tingkat yang dapat diterima
oleh perusahaan.
5.
DSS05 – Manage
Security Services
Melindungi informasi perusahaan untuk mempertahankan
tingkat resiko keamanan informasi yang dapat
diterima oleh
perusahaan sesuai
dengan
kebijakan
keamanan.
6.
DSS06
–
Manage Business Process Controls
Mendefinisikan dan memelihara
proses bisnis yang tepat kontrol untuk memastikan
bahwa informasi yang
terkait dan diproses oleh
proses bisnis outsourcing memenuhi
semua persyaratan
pengendalian informasi yang relevan.
BAB 3
STUDI KASUS DAN ANALISIS
3.1 Kasus
BPJSTK Mobile adalah suatu bentuk
pemanfaatan TI yang berupa layanan perangkat lunak yang dibuat untuk memberi keefektifan
bagi anggota BPJS Ketenagakerjaan untuk mendapatkan informasi yang berkaitan
dengan program pelayanan yang dapat di akses dimanapun dan kapanpun. Pentingnya
layanan BPJSTK Mobile untuk melakukan kegiatan operasional menjadikannya harus
dalam kondisi yang optimal, sehingga BPJSTK Mobile perlu dievaluasi agar
perusahaan dapat mengukur apakah TI yang diimplementasikan sudah sesuai dengan
yang diharapkan. (BPJS, 2014).
Berdasarkan data keluhan yang didapat dari
pihak BPJS Ketenagakerjaan Cabang Mataram, terdapat komplain
yang di tujukan
kepada perusahaan terkait dengan
fungsi BPJSTK Mobile yang dirasa
kurang sesuai dengan tujuan pembuatannya. Data keluhan dapat dibuktikan dengan
melihat banyak komentar pada google play store serta pengaduan komplain secara
langsung oleh pengguna kepada perusahaan. Pihak BPJS Ketenagakerjaan dinilai
masih lamban dalam merespon keluhan dan permintaan peserta BPJS, hal ini
terjadi karena kurangnya personil TI dalam kantor Cabang, hanya ada satu orang
penata Madya TI. Sedangkan aplikasi BPJSTK Mobile dibuat untuk memudahkan
peserta agar dapat melakukan transaksi secara online, yang diharapkan
pelaksanaan transaksi bisa lebih efektif dan efisien karena peserta tidak harus
mendatangkan Kantor BPJS Ketenagakerjaan
3.2
Hasil Analisis
Penelitian ini bertujuan untuk menilai
sejauh mana tingkat kemampuan (capability level) teknologi informasi pada
penerapan BPJSTK Mobile. Penyelesaian studi kasus di atas menggunakan COBIT 5
karena merupakan standar yang sesuai untuk membantu perusahaan dalam mencapai
tujuan dan menghasilkan nilai melalui tata kelola dan manajemen TI yang
efektif. COBIT 5 sesuai digunakan untuk mengevaluasi TI di BPJS Ketenagakerjaan
Cabang Mataram karena COBIT 5 membantu perusahaan untuk menciptakan nilai TI
yang optimal dengan menjaga keseimbangan antara mewujudkan manfaat dan
mengoptimalisasi tingkat risiko dan sumber yang digunakan.
Domain yang digunakan untuk kasus ini
adalah domain DSS karena dianggap sesuai dengan kondisi BPJSTK Mobile saat ini.
Kondisi teknologi informasi di BPJS Ketenagakerjaan yang sedang berlangsung dan
kebutuhan untuk mengirimkan layanan, melayani,
dan mendukung layanan
teknologi informasi, maka domain DSS dianggap sesuai.
Domain lain seperti APO (Align, Plan, and Organize) dirasa
akan sesuai diterapkan pada tata kelola teknologi informasi yang
belum dijalankan atau
akan dijalankan, domain BAI (Build, Acquire, and Implement) dirasa akan
sesuai jika diterapkan pada unit khusus
yang berperan
sebagai pembangun (developer) atau memperbaiki tata kelola teknologi
informasi yang sudah ada, domain MEA (Monitor, Evaluate, and Asses) dirasa akan
sesuai diterapkan untuk kondisi yang telah dibangun dan berlangsung, dan
pelaksanaan monitoring dilakukan oleh pihak internal.
SUMBER
:
Komentar
Posting Komentar