bab ii landasan teori 2 - widyatama
TRANSCRIPT
II-1
BAB II
LANDASAN TEORI
2.1 Definisi Sistem
Sistem menurut Azhar Susanto adalah kumpulan atau group dari sub
sistem, bagian dan komponen apapun baik phisik ataupun non phisik yang saling
berhubungan satu sama lain dan bekerja sama secara harmonis untuk mencapai
satu tujuan tertentu [2].
Sistem menurut Jaluanto Sunu Punjul Tyoso suatu kumpulan dari
komponen-komponen yang membentuk satu kesatuan. Sebuah organisasi dan
sistem informasi adalah sistem fisik dan sosial yang ditata sedemikian rupa untuk
tujuan tertentu [3].
Sehingga berdasarkan definisi diatas sistem dapat disumpulkan sebagai
sebuah kumpulan komponen baik phisik atau non phisik yang berhubungan satu
sama lain dan membentuk satu kesatuan yang ditata sedemikian rupa untuk
mencapai tujuan tertentu
2.2 Definisi Informasi
Informasi menurut Jeperson Hutahaean adalah data yang diolah menjadi
bentuk yang lebih berguna dan lebih berarti bagi penerimanya. Sumber informasi
adalah data. Dimana pengertian data pada umumnya adalah kenyataan yang
menggambarkan suatu kejadian-kejadian dan kesatuan nyata.[4].
2.3 Definisi Sistem Informasi
Sistem informasi menurut Vladimir Zwass adalah kumpulan komponen
terintegrasi untuk mengumpulkan, menyimpan serta memproses data dan
bertujuan untuk menyediakan informasi, pengetahuan dan produk digital [5].
Sistem informasi melibatkan berbagai teknologi informasi seperti komputer,
perangkat lunak, database, sistem komunikasi, internet, mobile device
II-2
dan lain-lain untuk melakukan tugas tertentu, berinteraksi dan memberikan
informasi ke beragam orang dalam organisasi yang berbeda [6].
2.4 Definisi Teknologi Informasi
Teknologi informasi menurut Tata Sutabri adalah teknologi informasi
adalah suatu teknologi yang digunakan untuk mengolah data, termasuk
memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam
berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi
yang relevan, akurat dan tepat waktu, yang digunakan keperluan pribadi, bisnis,
dan pemerintahan dan merupakan informasi yang strategis untuk pengambilan
keputusan [7].
2.5 Pengertian Audit
Audit adalah suatu proses yang sistematis untuk memperoleh dan menilai
bukti-bukti secara objektif, yang berkaitan dengan tindakan-tindakan dan
kejadian-kejadian ekonomi untuk menentukan tingkat kesesuaian dengan kriteria
yang telah diterapkan dan mengkomunikasikan hasilnya kepada pihak-pihak yang
berkepentingan [8]. Dan berdasarkan Undang-Undang nomor 15 tahun 2004 audit
dibagi menjadi 3 jenis yaitu [9] :
1. Audit keuangan
Menentukan apakah informasi keuangan telah akurat dan dapat diandalkan
(sesuai Standar Akuntansi Pemerintahan atau SAP), serta untuk
memberikan opini kewajaran atas penyajian laporan keuangan.
2. Audit kinerja
Pemeriksaan atas pengelolaan keuangan negara yang terdiri atas
pemeriksaan aspek ekonomi dan efisiensi serta pemeriksaan aspek
efektivitas. Dalam melakukan audit kinerja, auditor juga menguji
kepatuhan terhadap ketentuan perundang-undangan serta pengendalian
intern. Audit kinerja menghasilkan temuan, simpulan, dan rekomendasi.
Menentukan: keandalan informasi kinerja, tingkat ketaatan, pemenuhan
standar mutu operasi, efisiensi, ekonomis, dan efektivitas.
II-3
3. Audit dengan tujuan tertentu
Pemeriksaan yang tidak termasuk dalam pemeriksaan keuangan dan
pemeriksaan kinerja/audit operasional. Sesuai dengan definisinya, jenis
audit ini dapat berupa semua jenis audit, selain audit keuangan dan audit
operasional. Jenis audit ini termasuk di antaranya audit ketaatan dan audit
investigatif. Audit ketaatan bertujuan untuk menentukan apakah peraturan
ekstern serta kebijakan dan prosedur intern telah dipenuhi. Audit
investigatif bertujuan untuk menentukan apakah kecurangan atau
penyimpangan benar terjadi
2.6 Audit Sistem Informasi
Audit sistem informasi adalah sebuah proses yang sistematis dalam
mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah
sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat
mencapai tujuannya [10]. Tujuannya sendiri terbagi menjadi 4 antara lain [11]:
1. Meningkatkan keamanan aset-aset perusahaan
Aset informasi suatu perusahaan seperti perangkat keras, perangkat lunak,
sumber daya manusia, file data harus dijaga oleh suatu sistem
pengendalian intern yang baik agar tidak terjadi penyalahgunaan asset.
2. Meningkatkan integritas data
Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atribut-atribut tertentu seperti:kelengkapan, kebenaran dan
keakuratan.
3. Meningkatkan efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam
proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan
efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
4. Meningkatkan efisiensi sistem
Efisiensi menjadi hal yang sangat penting ketika suatu computer tidak lagi
memiliki kapasitas yang memadai.
Audit sistem informasi mempunyai beberapa aktivitas dalam pelaksanaan
yaitu [12]:
II-4
1. Perencanaan
Tahap perencanaan dilakukan dengan cara menentukan ruang lingkup,
objek yang di audit, standar evaluasi dari hasil audit dan komunikasi
dengan pihak yang bersangkutan dengan menganalisa visi, misi, sasaran
dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang
terkait dengan pengolahan investigasi.
2. Pemeriksaan lapangan
Tahap pemeriksaan lapangan adalah tahap dalam mengumpulkan
informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-
pihak yang terkait. Hal ini dapat dilakukan dengan menerapkan berbagai
metode pengumpulan data seperti wawancara, kuisioner ataupun
melakukan survey ke lokasi penelitian.
3. Pelaporan
Tahap pelaporan adalah tahap dimana data yang akan diproses untuk
dihitung berdasarkan perhitungan maturity level. Perhitungan maturity
level yang dilakukan mengacu pada hasil wawancara, kuisioner, survey
dan rekapilutasi hasil penyebaran kuesioner. Berdasarkan hasil maturity
level yang mencemirkan kinerja saat ini dan kinerja ideal yang diharapkan
akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan. Hal
tersebut dimaksudkan untuk mengetahui kesenjangan serta mengetahui apa
yang menyebabkan adanya kesenjangan tersebut.
4. Tindak lanjut
Tahap ini dilakukan dengan cara memberikan laporan hasil audit yang
berupa rekomendasi tindakan perbaikan kepada pihak manajemen objek
yang diteliti untuk selanjutnya wewenang perbaikan menjadi tanggung
jawab pihak manajemen organisasi yang diteliti apakah rekomendasi
tersebut akan diterapkan atau hanya menjadi acuan untuk perbaikan di
masa yang akan datang.
2.7 Model Audit Tata Kelola Sistem Informasi
Tata kelola sistem informasi dapat didefinisikan sebagai seperangkat
aturan yang memungkinkan stakeholder untuk menentukan dan memutuskan
manajemen sistem informasi dan mengendalikan risiko dimana keputusan yang
II-5
dibuat berhubungan dengan sistem informasi yang akan dikelola [13]. Dengan
fokus mencakup lima domain utama. Tata kelola teknologi informasi yang terdiri
dari fungsi manajemennya digambarkan dan dijabarkan sebagai berikut [9]:
Gambar 2.1 Fokus Area Tata Kelola Teknologi Informasi [14]
1. IT Strategic Alignment
Domain tata kelola teknologi informasi ini merupakan titik awal dalam
merancang strategi teknologi informasi sesuai dengan strategi organisasi
secara menyeluruh. Dengan demikian, dimulai dengan rencana strategis
organisasi,komite strategi teknologi informasi harus sejalan dengan tujuan
bisnis organisasi.
2. IT Value Deliver
Tata kelola teknologi informasi menargetkan kualitas layanan teknologi
informasi yang tepat dengan menggabungkan sumber daya anggaran dan
faktor waktu.
3. Risk Management
Risiko pada tingkat organisasi tidak dapat dihilangkan melainkan akan
tetap ada sepanjang waktu, manajemen organisasi bertanggung jawab
meminimalkan risiko ke tingkat yang wajar.
4. IT Resource Management
Manajemen sumber daya berkaitan dengan manajemen sumber daya dan
organisasi infrastruktur teknolgi informasi dalam sebuah organisasi. Aspek
penting dari domain ini adalah masalah manajemen proyek. Manajemen
proyek teknologi informasi harus benar-benar diatur sebagai proyek-
proyek yang memiliki dampak besar terhadap posisi keuangan dan arah
strategis organisasi.
II-6
5. Performance Measurement
Pengukuran kinerja berkaitan dengan penentuan apakah sistem teknologi
informasi mencapai tujuan yang ditetapkan oleh dewan dan manajemen
senior. Aktivitas audit internal dapat memberikan nilai tambah bagi
organisasi dan pemangku kepentingannya apabila mempertimbangkan
strategi, tujuan dan risiko-risiko; berupaya keras pada penyediaan cara
untuk mengembangkan proses tata kelola, pengelolaan risiko dan
pengendalian; dan secara objektif memberikan jaminan yang relevan yang
bertujuan untuk [15]:
1. Membuat keputusan strategis dan operasional
2. Mengawasi pengelolaan risiko dan pengendalian
3. Pengembangan etika dan nilai-nilai yang sesuai dalam organisasi
4. Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi
telah efektif
5. Mengkomunikasikan informasi risiko dan pengendalian pada area yang
sesuai dalam organisasi.
6. Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara
efektif di antara dewan, auditor eksternal dan internal, para penyedia
jasa asuransi lainnya serta manajemen.
Dengan beberapa model framework yang banyak digunakan dari model
framework yang banyak digunakan di dunia yaitu ITIL (The IT Infrastructure
Library), ISO/IEC 17799 (The International Organization for
Standardization/The International Electrotechnical Commission), COSO
(Committee of Sponsoring Organization of the Treadway Commision) dan
COBIT (Control Objectives for Information and realted Technology) [16].
2.7.1 ITIL
ITIL (The IT Infrastructure Library) dikembangkan oleh The Office of
Government Commerce (OGC) suatu badan dibawah pemerintah Inggris,
dengan bekerja sama dengan The IT Service Management Forum (ITSMF)
suatu organisasi independen mengenai manajemen pelayanan teknologi
informasi dan British Standard Institute (BSI) – suatu badan penetapan
standar pemerintah Inggris.
II-7
ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan
framework best practice bagi IT service management. Untuk menciptakan
layanan teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan
buku berseri yang disusun dan diterbitkan oleh Central Computer and
Telecommunications Agency (CCTA) yang sekarang dikenal sebagai The
British Office of Government Commerce (OGC). Delapan serial buku ITIL
tersebut terdiri atas [16]:
a) Software Asset Management
b) Service Support
c) Service Deliver
d) Planning to Implement Service Management
e) ICT Infrastructure Management
f) Application Management
g) Security Management
2.7.2 ISO/IEC 17799
ISO/IEC (The International Organization for Standardization/The
International Electrotechnical Commission) 17799 Code of Practice for
Information Security Management adalah standar internasional yang dirilis
pertama kali pada Desember 2000. Tujuan utama dari penyusunan standar
ini adalah penerapan keamanan informasi dalam organisasi. Framework
ini diarahkan untuk mengembangkan dan memelihara standar keamanan
dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan
(reliability) bagi keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini didefinisikan 11 bagian besar yang terbagi
dalam 132 strategi kontrol keamanan. Standar ini lebih menekankan pada
pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap
komponen tapi dapat memilih pada bagian-bagian yang terkait saja.
Sejak edisi keduanya terbit pada 2005, ISO/IEC 17799 Code of
Practice for Information Security Management menjadi standar resmi ISO
yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga
hingga lima tahun sekali. Pada April 2007, ISO memasukkan framework
ini ke dalam ISO 2700x series, Information Security Management System
II-8
sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best
practice termutakhir dalam lingkup sistem manajemen keamanan
informasi [16].
2.7.3 COSO
COSO (Committee of Sponsoring Organization of the Treadway
Commision) adalah organisasi swasta yang menyusun Internal Control
Integrated Framework bagi peningkatan kualitas penyampaian laporan
keuangan dan pengawasal internal untuknya yang lebih efektif. Tujuan
dari penyusunan framework ini adalah peningkatan sistem pengawasan
terpadu untuk pengendalian perusahaan atau organisasi dalam beberapa
langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di
organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas
kepada para eksekutif, mencapai laba yang menguntungkan serta
mengelola resiko-resiko yang timbul. Internal Control Integrated
Framework yang disusun oleh COSO diterbitkan pertama kali pada 1992
dan masih diperbaharui hingga saat ini. Hingga saat ini COSO maupun
organisasi lainnya tidak melakukan / menerbitkan sertifikasi keahlian /
professional bagi framework ini [16].
2.7.4 COBIT
Pada 1998 ITGI (IT Governance Institute) didirikan dengan tujuan
untuk memajukan pemikiran dan standar internasional dalam memimpin
dan mengendalikan teknologi informasi di sebuah perusahaan.TI yang
efektif dapat membantu memastikan bahwa TI mendukung tujuan bisnis,
mengoptimalkan bisnis melalui investasi di TI, dan mengelola resiko dan
peluang yang berkaitan dengan TI. ITGI menawarkan penelitian, sumber
daya elektronik dan studi kasus untuk membantu para pemimpin
perusahaan dan dewan direksi di dalam tata kelola TI mereka. ITGI telah
merancang dan menciptakan sebuah publikasi berjudul COBIT (Control
Objectives for Information and related Technology) sebagai sarana dan
sumber daya edukasi untuk Chief Information Officer (CIO), manajemen
senior, manajemen TI dan para professional yang bertugas melakukan
kendali. COBIT dikembangkan oleh IT Governance Institute, yang
II-9
merupakan bagian dari Information Systems Audit and Control Association
(ISACA).
Tema utama dari COBIT adalah orientasi bisnis. COBIT dirancang
untuk digunakan tidak hanya oleh pengguna dan auditor, tetapi juga, dan
yang lebih penting sebagai pedoman yang komprehensif bagi manajemen
dan pemilik business process. Semakin praktik bisnis melibatkan
pemberdayaan yang penuh dari pemilik business process, maka mereka
memiliki tanggung jawab penuh untuk semua aspek dari business process,
khususnya termasuk melakukan pengawasan yang memadai. Framework
ini dimulai dari premis sederhana dan pragmatis untuk memberikan
informasi yang diperlukan organisasi untuk mencapai tujuannya, sumber
daya TI harus dikelola oleh serangkaian proses alami yang telah
dikelompokkan.
Pedoman tata kelola TI juga disediakan di dalam framework COBIT.
Tata kelola TI menyediakan struktur yang menghubungkan proses TI,
sumber daya TI dan informasi untuk strategi dan tujuan perusahaan. Tata
kelola TI mengintegrasikan cara yang optimal dari Planning and
Organizing, Acquiring and Implementing, Deliver and Support, serta
Monitoring and Evaluating dari kinerja TI. Tata kelola TI memungkinkan
perusahaan untuk mengambil keuntungan penuh dari informasi yang
dimilikinya, sehingga memaksimalkan keuntungan, memanfaatkan
peluang dan mendapatkan keuntungan kompetitif [16].
2.8 Framework COBIT 4.1
COBIT Framework dikembangkan oleh IT Governance Institute, sebuah
organisasi yang melakukan studi tentang model pengelolaan teknologi informasi
yang berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan di-design
dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga sebuah panduan
kemprehensif bagi pihak manajemen maupun pemilik bisnis proses tersebut.
COBIT memberikan sebuah maturity process untuk mengendalikan proses
teknologi informasi sehingga pihak manajemen dapat memetakan di mana posisi
perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class industry
ataupun terhadap standar internasional, faktor kritikal sukses organisasi yang
II-10
mendefinisikan prioritas manajemen teknologi informasi yang harus didahulukan
dan diimplementasikan atau dikendalikan, dan menetapkan key goal indicator dan
key performance indicator untuk menjadi landasan tolak ukur bagi mengukur
keberhasilan teknologi informasi dalam mencapai tujuan dan kesesuaianya dengan
kebijakan organisasi [17].
COBIT menyediakan langkah-langkah praktis terbaik yang dapat
diambil dan lebih difokuskan pada pengendalian (control) yang selanjutnya
dijelaskan dalam tahap dan framework proses. Manfaat dari langkah langkah
praktis terbaik yang dapat diambil tersebut antara lain [18]:
1. Membantu mengoptimalkan investasi teknologi informasi yang mungkin dapat
dilakukan.
2. Menjamin pengiriman service.
3. Framework COBIT menggambarkan antara business dan aplikasi.
Selain itu kerangka kerja COBIT 4.1 terdiri dari beberapa arahan yaitu
sebagai berikut [19]:
1. Control Objectives
Terdiri dari 4 tujuan pengendalian tingkat tinggi (high level control
objectives) dalam 4 domain yaitu: Planning and Organization, Acquisition
and Implementation, Deliver and Support dan Monitoring and Evaluation.
2. Audit Guidelines
Terdiri dari 318 tujuan-tujuan pengendalian secara rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan saran untuk
perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik mengenai apa yang
harus dilakukan, seperti: apa indikator suatu kinerja yang bagus, apa risiko
yang ditimbulkan dan lain sebagainya.
4. Maturity Models
Merupakan pemetaan status maturity proses-proses teknologi informasi.
2.8.1 Proses dalam framework COBIT 4.1
Pada COBIT 4.1 terdapat pengelompokan aktivitas teknologi
informasi ke dalam 4 domain yaitu Plan and Organize (PO), Acquire and
II-11
Implement (AI), Deliver and support (DS) serta Monitor and Evaluate
(ME) yang mencakup 34 high level control objective. Dan keempat
domain COBIT 4.1 tersebut mempunyai keterkaitan sama lain dan dapat
digambarkan sebagai berikut [20]:
Gambar 2. 2 Keterkaitan domain dalam COBIT 4.1[21]
Keempat domain dalam proses COBIT 4.1 tersebut mempunyai
pengertian sebagai berikut [21]:
1. Plan and organize (PO)
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi
bagaimana TI secara maksimal dapat berkontribusi dalam pencapaian
tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan,
dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda.
Terakhir, sebuah pengorganisasian yang baik serta infrastruktur
teknologi harus di tempatkan di tempat yang semestinya
2. Acquisition and Implementation (AI)
Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi,
dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi
ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem
yang ada harus di cakup dalam domain ini untuk memastikan bahwa
siklus hidup akan terus berlangsung untuk sistem ini.
3. Deliver and support (DS)
Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari TI. Domain ini mencakup area-area
seperti pengoperasian aplikasi-aplikasi dalam sistem TI dan hasilnya,
dan juga, proses dukungan yang memungkinkan pengoperasian sistem
II-12
TI tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/masalah keamanan dan juga pelatihan
4. Monitor and evaluate (ME)
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk
menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini
menunjuk pada perlunya pengawasan manajemen atas proses
pengendalian dalam organisasi serta penilaian independen yang
dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber alternatif lainnya.
Dan proses-proses yang ada dalam kerangka COBIT 4.1 dapat
digambarkan sebagai berikut:
Gambar 2.3 Struktur COBIT [22]
II-13
2.8.2 Domain Deliver and support (DS)
Deliver and support adalah salah satu domain pada framework COBIT
4.1 yang mempunyai fokus aspek pengiriman teknologi informasi yang
mencakup proses pemenuhan layanan, pelatihan dan pendidikan untuk
pengguna dan pemenuhan proses data yang sedang berjalan. Dan
mempunyai 13 proses dimana proses-proses tersebut mempunyai
keterangan sebagai berikut [23]:
1. DS1 Define and Manage Service
Proses ini mendefinisikan bahwa untuk mengetahui sudahkah ada
komunikasi efektif antara manajemen TI dan user mengenai layanan
yang dibutuhkan memerlukan dokumentasi yang telah didefinisikan dan
kesepakatan pada pelayanan TI dan tingkat pelayanan. Proses ini juga
mencakup pemantauan dan pelaporan pencapaian tingkat layanan
secara tepat waktu ke stakeholders serta terkait akan service level
aggrement yaitu perjanjian antara pihak organisasi penyedia layanan
dengan pengguna layanan.
2. DS2 Manage Third-party Services
Proses ini mendefinisikan bahwa kebutuhan untuk memastikan bahwa
layanan yang diberikan oleh pihak ketiga (pemasok, vendor dan mitra)
memenuhi persyaratan bisnis memerlukan proses manajemen pihak
ketiga yang efektif. Proses ini dilakukan dengan mendefinisikan secara
jelas peran, tanggung jawab, dan harapan dalam perjanjian pihak ketiga
serta mengkaji dan memantau kesepakatan efektif dan kepatuhan
tersebut. Manajemen layanan pihak ketiga yang efektif meminimalkan
risiko bisnis yang terkait dengan pemasok non-performing.
3. DS3 Manage Performance and Capacity
Proses ini mendefinisikan bahwa kebutuhan pengelolaan kinerja dan
kapasitas sumber daya TI. Dimana dalam mengelola kinerja dan sumber
daya TI memerlukan proses peninjauan secara periodik pada kinerja
dan sumber daya TI yang ada saat ini. Proses ini mencakup peramalan
kebutuhan masa depan berdasarkan persyaratan beban kerja,
penyimpanan dan kontijensi. Proses ini memberikan kepastian bahwa
sumber informasi yang mendukung kebutuhan bisnis terus tersedia.
II-14
4. DS4 Ensure Continuous Service
Proses ini mendefinisikan bahwa kebutuhan untuk menyediakan
layanan TI berkelanjutan memerlukan pengembangan, pemeliharaan
dan pengujian rencana kesinambungan TI, memanfaatkan penyimpanan
cadangan di luar kantor dan menyediakan pelatihan rencana kontinuitas
secara berkala. Proses pelayanan berkelanjutan yang efektif dapat
meminimalkan kemungkinan dan dampak dari gangguan layanan TI
utama terhadap fungsi dan proses bisnis utama.
5. DS5 Ensure Systems Security
Proses ini mendefinisikan bahwa kebutuhan untuk menjaga integritas
informasi dan melindungi aset TI memerlukan proses manajemen
keamanan. Proses ini mencakup pembentukan dan pemeliharaan peran
keamanan TI dan tanggung jawab, kebijakan, standar, dan prosedur.
Manajemen keamanan juga mencakup melakukan pemantauan
keamanan dan pengujian berkala dan menerapkan tindakan perbaikan
untuk mengidentifikasi kelemahan atau insiden keamanan. Manajemen
keamanan yang efektif melindungi semua asset TI untuk meminimalkan
dampak bisnis dari kerentanan dan insiden keamanan.
6. DS6 Identify and Allocate Costs
Proses ini mendefinisikan bahwa kebutuhan akan sistem pengalokasian
biaya TI untuk bisnis memerlukan pengukuran akurat dari biaya TI dan
kesepakatan dengan pengguna bisnis pada alokasi yang baik. Proses ini
mencakup pembangunan dan pengoperasian sistem untuk menangkap,
mengalokasi, dan melaporkan biaya TI kepada pengguna layanan.
Sistem alokasi yang baik memungkinkan perusahaan membuat
keputusan yang tepat terkait penggunaan layanan TI.
7. DS7 Educate and Train Users
Proses ini mendefinisikan bahwa edukasi yang efektif untuk semua
pengguna sistem TI, termasuk yang ada di dalam TI memerlukan
identifikasi kebutuhan pelatihan setiap kelompok pengguna. Selain
mengidentifikasi kebutuhan, proses ini mencakup penentuan dan
pelaksanaan strategi untuk pelatihan yang efektif dan mengukur
II-15
hasilnya. Program pelatihan yang efektif meningkatkan penggunaan
teknologi secara efektif dengan mengurangi kesalahan pengguna,
meningkatkan produktivitas dan meningkatkan kepatuhan terhadap
kontrol kunci, seperti tindakan pengamanan pengguna.
8. DS8 Manage Service Desk and Incidents
Proses ini mendefinisikan bahwa ketepatan waktu dan keefektifan
tanggapan terhadap pertanyaan dan masalah pengguna TI memerlukan
meja layanan dan proses manajemen kejadian yang dirancang dengan
baik. Proses ini mencakup pengaturan fungsi meja layanan dengan
registrasi, peningkatan kejadian, analisis trend dan akar penyebab, dan
resolusi. Manfaat bisnis mencakup peningkatan produktivitas melalui
penyelesaian cepat permintaan pengguna. Selain itu, bisnis dapat
mengatasi akar penyebab (seperti pelatihan pengguna yang buruk)
melalui pelaporan yang efektif.
9. DS9 Manage the Configuration
Proses ini mendefinisikan bahwa penetapan integritas konfigurasi
perangkat keras dan perangkat lunak memerlukan penetapan dan
pemeliharaan repositori konfigurasi yang akurat dan lengkap. Proses ini
mencakup mengumpulkan informasi konfigurasi awal, membuat
baseline, memverifikasi dan mengaudit informasi konfigurasi, dan
memperbaharui konfigurasi repositori sesuai kebutuhan. Manajemen
konfigurasi yang efektif memfasilitasi ketersediaan sistem yang lebih
besar, meminimalkan masalah produksi dan menyelesaikan masalah
dengan lebih cepat.
10. DS10 Manage Problem
Proses ini mendefinisikan bahwa manajemen masalah yang efektif
memerlukan identifikasi dan klasifikasi masalah, analisis akar penyebab
dan penyelesaian masalah. Proses manajemen masalah juga mencakup
rumusan rekomendasi untuk perbaikan, pemeliharaan catatan masalah
dan penelaahan status tindakan korektif.
II-16
11. DS11 Manage Data
Proses ini mendefinisikan bahwa pengelolaan data yang efektif
memerlukan identifikasi kebutuhan data. Proses pengelolaan data juga
mencakup penetapan prosedur yang efektif untuk mengelola media
library, backup dan pemulihan data, dan pembuangan media yang tepat.
Pengelolaan data yang efektif membantu memastikan kualitas,
ketepatan waktu dan ketersediaan data bisnis.
12. DS12 Manage the Physical Environtment
Proses ini mendefinisikan bahwa perlindungan untuk peralatan
komputer dan personil memerlukan fasilitas fisik yang dirancang
dengan baik dan dikelola dengan baik. Proses pengelolaan lingkungan
fisik meliputi penentuan persyaratan lokasi fisik, pemilihan fasilitas
yang tepat, dan perancangan proses yang efektif untuk memantau faktor
lingkungan dan mengelola akses fisik. Pengelolaan lingkungan fisik
yang efektif mengurangi gangguan bisnis dari kerusakan peralatan
komputer dan personil.
13. DS13 Manage Operation
Proses ini mendefinisikan bahwa pengolahan data yang lengkap dan
akurat memerlukan pengelolaan prosedur pengolahan data yang efektif
dan perawatan perangkat keras yang rajin. Proses ini mencakup
penentuan kebijakan dan prosedur operasi untuk pengelolaan yang
efektif untuk pemrosesan terjadwal, melindungi keluaran sensitif,
memantau kinerja infrastruktur dan memastikan pemeliharaan
perangkat keras yang preventif. Manajemen operasi yang efektif
membantu menjaga integritas data dan mengurangi penundaan bisnis
dan biaya operasional TI.
2.8.3 Maturity Model
Maturity model adalah mekanisme assesment tata kelola IT yang
digunakan untuk mengevaluasi maturity level dari penerapan tata kelola IT
dalam suatu perusahaan. Metode ini dapat digunakan untuk
membandingkan current maturity level (CML) dengan expected maturity
level (EML) atau dengan standar maturity level pada industry sejenis.
II-17
Tujuan pengukuran maturity level adalah untuk menumbuhkan awareness
terhadap tata kelola IT, mengidentifikasi weakness dari penerapan tata
kelola IT, dan melakukan improvement terhadap tata kelola IT [24]. Dan
dapat digambarkan sebagai berikut:
Gambar 2.4 Skala Maturity Model [25]
Pengukuran efektifitas penerapan dapat diketahui melalui hasil
pengidentifikasian yang telah ditentukan oleh ISACA dengan kriteria-
kriteria umm tiap maturity model dapat dilihat pada tabel 2.4.
Tabel 2.1 Penilaian Skala Maturity Model [22][11][26]
0-Non-existent
Status:
Tidak ada pengakuan dari kebutuhan untuk pengendalian internal.Kontrol bukan bagian dari
budaya organisasi atau suatu misi. Terdapat risiko tinggi kekurangan kontrol dan insden
Pembentukan: Tidak ada maksud untuk menilai kebutuhan untuk kontrol internal.Insiden ditangani pada saat
mereka muncul.
Maturity Index:
0-0,50
1-Initial/ad-hoc
Status:
Ada beberapa pengakuan dari kebutuhan untuk pengendalian internal. Pendekatan dengan
persyaratan risiko dan kontrol ad hoc tidak terogarnisir, tanpa adanya komunikasi atau
pemantauan.Kekurangan tidak teridentifikasi. Karyawan tidak menyadari tanggung jawab
mereka
Pembentukan:
Tidak ada kesadaran akan perlunya penilaian apa yang dibutuhkan dalam IT kontrol.
Dilakukan hanya atas dasar ad hoc dan sebagai reaksi terhadap insiden yang disignafkan
Maturity Index:
0,51-1,50
2-Repeatable but intuitive
Status:
Sudah terdapat kontrol namun tidak didokumentasikan. Operasi mereka tergantung pada
pengetahuan dan motivasi individu. Efektivitas tidak cukup dievaluasi. Terdapat banyak
kelemahan control dan tidak ditangani, yang nantinya akan berdampak parah. Tindakan
manajemen untuk menyelesaikan masalah kontrol tidak diprioritaskan. Karyawan mungkin
tidak menyadari tanggung jawab mereka
Pembentukan:
Penilaian kebutuhan kontrol terjadi hanya bila diperlukan untuk menentukan tingkat
kematangan pada saat pengontrolan. Sebuah pendekatan lokakarya informal, yang melibatkan
II-18
manajer TI dan tim yang terlibat dalam proses, digunakan untuk menentukan pendekatan yang
memadai untuk pengontrolan, pemerosesan dan untuk memotivasi rencana aksi yang telah di
sepakati
Maturity Index:
1,51-2,50
3-Definied
Status:
Sudah terdapat control dan sudahdidokomentasikan. Efektivitas operasi dievaluasi secara
berkala dan terdapat rata-rata jumlah masalah. Sementara itu manajemen sudah menduga
masalah yang dapat timbul. Beberapa kelemahan kontrol masih ada dan dampak masih bisa
parah. Karyawan menyadari tanggung jawab mereka untuk kontrol
Pembentukan:
Proses TI yang penting di identifikasi berdasarkan perubahan nilai dan risiko. Perincian analisis
dilakukan untuk mengidentifikasi persyaratan kontrol dan akar penyebab kesenjangan yang
mengembangkan peluang perbaikan. Selain lokakarya di fasilitasi, alat-alat yang digunakan dan
wawancara dilakukan untuk mendukung analisis dan memastikan bahwa pemilik proses TI
memiliki dan mendorong proses penilaian dan perbaikan.
Maturity Index:
2,51-3,50
4-Managed And measurable
Status:
Sudah terdapat control internal yang efektif dan mengukur risiko manajemen. Evaluasi, secara
formal di dokumentasikan dan kontrol sering dilakukan. Banyak kontrol otomatis yang sudah
teratur dijalankan. Manajemen dapat mendeteksi masalah yang dapat terjadi tetapi tidak semua
masalah secara rutin di identifikasi. Ada konsisten tindak lanjut untuk mengatasi kelemahan
kontrol
Pembentukan:
Proses TI yang utama secara teratur di definisikan dengan dukungan penuh dan kesepakatan
dari pemilik proses bisnis yang relevan. Penilaian persyaratan kontrol di dasarkan. Pada
kebijakan dan kematangan yang sebenarnya dari proses ini dan juga analisis menyeluruh dan
terukur yang melibatkan stakeholder kunci. Akuntabilitas penilaian tersebut jelas dan ditegakan.
Strategi perbaikan di dukung oleh kasus bisnis. Kinerja dalam mencapai hasil yang di inginkan
secara konsisten di pantau. Ulasan kantrol eksternal diatur sesekali.
Maturity Index:
3,51-4,50
5-Optimized
Status:
Sebuah risiko perusahaan dan program kontrol memberikan kontrol terus menerus yang efektif
dan manajemen risiko yang terintegrasi dengan praktek perusahaan, didukung dengan otomatis
real-time monitoring dengan tanggung jawab penuh untuk pemantauan. Pengendalian,
manajemen risiko dan kepatuhan penegakan. Evaluasi kontrol berkelanjutan berdasarkan self-
assesment dan kesenjangan serta analisis akar penyebab. Karyawan secara proaktif terlibat
dalam perbaikan kontrol.
Pembentukan:
Perubahan bsinis menjadi pertimbangan utama proses teknologi informasi dan mencakup setiap
kebutuhan untuk menilai kembali kemampuan proses kontrol. Teknologi informasi memproses
secara teratur penilaian untuk memenuhi kebutuhan bisnis dan mereka menganggap atribut
kematangan untuk menemukan cara untuk membuat kontrol yang lebih efisien dan efektif
Maturity Index:
4,51-5,00
Secara spesifik hal-hal yang menetukan maturity akan berbeda-beda
pada tiap proses teknologi informasi. Maturity pada tiap-tiap proses
teknologi informasi akan menentukan tingkat kedewasaan
II-19
perusahaan/organisasi yang biasanya di persentasikan dalam bentuk grafik
laba-laba sebagai berikut:
Gambar 2.5 Contoh Grafik laba-laba maturity level
Selain tingkat tersebut tingkat kedewasaan atau kematangan disusun
oleh atribut-atribut sebagai berikut [12]:
1. Awareness and Communication.
2. Policies, Standards and Procedures.
3. Tools and Automation (TA).
4. Skills and Expertise.
5. Responsibility and Accountability.
6. Goal Setting and Measurement.
Model pengukuran maturity dibuat berdasarkan COBIT terdiri dari
Critical Success Factors (CSF), Key Goal Indicators (KGI) dan Key
Performance Indicators (KPI) dengan penjelasan sebagai berikut:
1. Critical Success Factors (CSF)
Faktor Sukses Kritis (CSF) akan memberikan pedoman kepada
manajemen dalam upaya menerapkan pengendalian TI dan prosesnya.
Faktor Kritis Sukses dianggap sebagai aspek penting yang perlu
dilakukan terhadap proses yang memberikan kontribusi untuk proses IT
dalam mencapai tujuannya. Hal ini biasanya berhubungan dengan
II-20
kemampuan dan keterampilan, fokus dan berorientasi pada tindakan,
serta eksplorasi sumber [27]
2. Key Goal Indicators (KGI)
KGI adalah ukuran yang digunakan untuk menunjukkan pencapaian
tujuan dari kendali yang diterapkan pada setiap proses TI. Menentukan
ukuran yang mengarahkan manajemen setelah fakta apakah proses TI
telah mencapai kebutuhan bisnisnya, biasanya digambarkan atas kriteria
informasi [12]:
1. Ketersediaan informasi diperlukan untuk mendukung kebutuhan
bisnis.
2. Ketiadaan atau kekurangan integritas dan resiko kerahasiaan.
3. Efisiensi biaya dan operasi.
4. Konfirmasi reliabilitas.
5. Efektivitas dan pemenuhan.
3. Key Performance Indicator (KPI)
KPI merupakan ukuran yang digunakan untuk menunjukkan kinerja
setiap proses TI. Menetapkan ukuran untuk menentukan bagaimana
proses TI dilaksanakan dengan baik yang memungkinkan tujuan
tersebut tercapai [12].
2.1 Perbandingan Model Audit
Dan berikut ini adalah perbandingan antara framework COBIT 4.1 dengan
model framework lainnya dimana proses perbandingan dijabarkan menggunakan
tanda (+) apabila framework tersebut mempunyai proses pengelolaan terkait
domain yang ada. Dan apabila framework tersebut tidak memiliki proses
pengelolaan pada domain maka akan diberi tanda (-) :
a. Matrik Proses COBIT vs Standar ITIL
Berikut ini adalah perbandingan antara COBIT dengan Standar ITIL:
Tabel 2.2 Matriks Proses COBIT vs Standar ITIL [16][28]
Proses dan Domain COBIT
1 2 3 4 5 6 7 8 9 10 11 12 13
PO - - + + + - - - - +
AI + + + + + + +
II-21
DS + + + + + + + + + + + + +
ME - - - -
+ Adressed
- Not or rarely adressed
Pada tabel 2.1 dapat dilihat bahwa sebagian proses PO tidak dilakukan
pada framework ITIL sehingga bisa dikatakan bahwa ITIL tidak terlalu
fokus pada proses penyelerasan strategy perusahaan dan pengelolaan IT.
Kemudian pada proses ME sama sekali tidak terdapat proses pada ITIL,
hal ini menunjukan bahwa ITIL tidak melakukan pengawasan yang akan
memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di
masa yang akan dating [28][16].
b. Matrik Proses COBIT vs Standar ISO
Berikut ini adalah perbandingan antara COBIT dengan ISO:
Tabel 2.3 Matrik Proses COBIT vs ISO 17799 [16][28]
Poses dan Domain COBIT
1 2 3 4 5 6 7 8 9 10 11 12 13
PO - + + + - + + + + -
AI - + + + + + +
DS - + + + + - + + + + + + +
ME + + - -
+ Addressed
- Not or rarely addressed
Pada tabel 2.2 menunjukan bahwa ISO/IEC 17799 melakukan sebagian
proses pada domain COBIT, Sehingga menunjukan bahwa framework ini
mempunyai spektrum yang luas dalam hal pengelolaan TI akan tetapi
masih belum sedalam COBIT dalam hal detail proses yang dilakukan
dimana ISO/IEC terdiri dari 10 domain yaitu:
1. Security Policy yang bertujuan untuk memberikan panduan dan
masukan pengelolaan dalam meningkatkan keamanan informasi.
2. Organizational security yang betujuan untuk memfasilitasi pengelolaan
keamanan informasi dalam organisasi.
II-22
3. Asset classification and control yang betujuan untuk melakukan
inventarisasi aset dan melindungi aset tersebut dengan efektif.
4. Personnel security yang betujuan untuk meminimalisasi resiko human
error, pencurian, pemalsuan atau penggunaan peralatan yang tidak
selayaknya.
5. Physical and environmental security yang betujuan untuk
menghindarkan violation, deterioration atau disruption dari data yang
dimiliki.
6. Communications and operations management yang bertujuan untuk
memastikan penggunaan yang baik dan selayaknya dari alat-alat proses
informasi.
7. Access control yang bertujuan untuk mengontrol akses informasi.
8. Systems development and maintenance yang bertujuan untuk
memastikan bahwa keamanan telah terintegrasi dalam sistem informasi
yang ada.
9. Business continuity management yang bertujuan untuk meminimalkan
dampak dari terhentinya proses bisnis dan melindungi proses-proses
perusahaan yang mendasar dari kegagalan dan kerusakan yang besar.
10. Compliance yang bertujuan untuk menghindarkan terjadinya tindakan
pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan
keamanan.
Dimana berdasarkan domain ISO/IEC 17799 diatas dapat disimpulkan
bahwa ISO/IEC 17799 lebih berfokus kepada kerahasiaan, integritas dan
ketersediaan asset informasi tetapi tidak sedalam COBIT dengan contoh
pada tabel 2.2 untuk perbandingan domain DS dengan COBIT bahwa
ISO/IEC 17799 tidak menyertakan panduan pengelolaan alokasi biaya
untuk sumber daya TI seperti pada COBIT pada DS6 [28][16].
II-23
c. Matrik Proses COBIT vs Standar COSO
Berikut ini adalah perbandingan antara COBIT dengan COSO:
Tabel 2.4 Matrik Proses COBIT vs COSO [16][28]
Poses dan Domain COBIT
1 2 3 4 5 6 7 8 9 10 11 12 13
PO + + + + - + + + + -
AI + + + + + + +
DS + - + + + - + - + - + + -
ME - - - -
+ Addressed
- Not or rarely addressed
Pada tabel 2.3 menunjukan bahwa COSO melakukan sebagian dari
proses pada domain PO, AI, DS namun tidak ada satupun proses
pengerjaan yang terdapat pada domain ME dilakukan. Dan pada tabel
2.3 ini menunjukan bahwa COSO lebih banyak berfokus pada AI yaitu
desain dan implementasi teknologi informasi. Sedangkan untuk proses
DS, COSO lebih banyak berfokus pada pengendalian internal atas
lingkungan, manajemen resiko, pengawasan serta pengendalian atas
aktivitas informasi dan komunikasi akan tetapi salah satu
kekurangannya tidak terdapat pembahasan untuk pengelolaan pihak
external seperti yang terdapat pada COBIT domain DS2 [28][16].
2.2 Penelitian Terdahulu
Untuk dapat melakukan penelitian ini penulis mempelajari beberapa
penelitian yang dilakukan oleh peneliti sebelumnya sebagai bahan study literatur.
Dan berikut ini beberapa penelitian yang telah dilakukan sebelumnya
menggunakan framework COBIT 4.1:
1. Penelitian I
Judul: Audit Tata Kelola Teknologi Informasi pada Dinas Komunikasi
dan Informatika (DISKOMINFO) Kota Probolinggo
Menggunakan Kerangka Kerja COBIT 4.1 domain Plan and
Organise dan Acquire and Implement
Nama: Liliandara Wahyu Imami, Suprapto dan Yusi Tyroni Mursityo
II-24
Tahun: 2018
Penelitian ini bertujuan untuk mengetahui kemungkinan terjadinya
penyimpangan terhadap tata kelola TI yang sudah direncanakan. Dimana
peneliti menggunakan framework COBIT 4.1 dengan memilih 2 domain
yaitu PO (Plan and Organise) dan AI (Acquire and Implement) untuk
mengetahui tingkat kematangan tata kelola teknologi informasi pada
Diskominfo kota Probolinggo dimana hasil pengukuran tingkat
kematangan pada 2 domain tersebut masih belum mencapai hasil yang
memuaskan yaitu berada di kisaran 1,00 sampai dengan 2,00 sehingga dari
analisis tersebut dapat disimpulkan bahwa segala kegiatan, mulai dari
pengadaan, pemeliharan, sampai dengan pengawasan, baik
terhadap infrastruktur maupun sistem, dilakukan sesuai dengan
kebutuhan tanpa dilakukan perencanaan.
2. Penelitian II
Judul: Audit Sistem informasi akademik menggunakan framework
COBIT 4.1 (Studi Kasus IBI DARMAJAYA)
Nama: Neni Purwati
Tahun: 2014
Penelitian ini bertujuan untuk mengukur tingkat kematangan tata kelola
sistem informasi akademik di Institut Informatika dan Bisnis Darmajaya
(IBI Darmajaya) yang bertujuan untuk menigkatkan kepercayan
stakeholder terhadap institusi khususnya pada kualitas layanan dan tingkat
kepuasan pelanggan atau mahasiswa. Dimana pada proses pelaksanaannya
penulis menggunakan framework COBIT 4.1 dengan memilih 2 domain
yaitu PO (Plan and Organise) dan DS (Deliver and Support) pada proses
PO2, PO7, PO8, DS10 dan DS11 dimana hasil tingkat kematangan yang
didapat dari hasil analisis kedua domain tersebut berada di level 3 (defined
process). Adapun saran yang diberikan oleh peneliti adalah diharapkan
dapat selalu dilakukan audit untuk penelitian berikutnya agar level
maturity setiap proses dapat diketahui hasilnya, sehingga selalu dapat
dilakukan perbaikan berkelanjutan untuk mencapai tujuan bisnis institusi.
II-25
3. Penelitian III
Judul: Audit sistem informasi menggunakan framework COBIT 4.1 pada
E-learning UNISNU JEPARA”
Nama: Noor Azizah
Tahun: 2017
Penelitian ini bertujuan mengetahui sejauh mana kinerja sistem informasi
pembelajaran yaitu e-learning sebagai layanan publik yang telah
diterapkan pada Universitas Islam Nahdatul Ulama (UNISNU) Jepara dan
memberikan rekomendasi tata kelola perbaikan setelah mengetahui
kesenjangan antara tatakelola saat ini dengan tatakelola yang diharapkan.
Untuk mengetahui tingkat kematangan peneliti menggunakn framework
COBIT 4.1 dengan memilih domain DS (Deliver and Support) pada proses
DS3, DS5, DS7, DS9, DS10, DS11, DS13 dengan rata-rata hasil dari
pengukuran tingkat kematangan berada pada level 3 (defined process).
Dan untuk rekomendasi peneliti menyarankan agar pengelolaan IT
dilakukan lebih intensif terhadap penggunaan e-learning. Selain itu, perlu
diadakan sosialisasi maupun pelatihan terhadap penggunaan E-learning
agar penggunaannya bisa lebih maksimal. Pihak management UPT Pusat
Data dan IT juga harus berkomitmen terhadap tingkat keamanan dan
pengelolaan proses-proses yang sudah cukup baik ini agar terus
ditingkatkan.
4. Penelitian IV
Judul: Audit tata kelola sistem teknologi informasi dan komunikasi
perguruan tinggi (Studi Kasus: STMIK PALANGKARAYA)
Nama: Arliyana
Tahun: 2015
Penelitian bertujuan untuk mengukur tata kelola sistem teknologi
informasi dan komunikasi yang dapat menjadi penambah nilai bagi
perguruan tinggi dengan harapan dapat menjadi saran bagi pihak
perguruan tinggi dalam meningkatkan peranan teknologi informasi
khususnya pada akses informasi agar dapat dilakukan secara cepat, tepat
dan akurat. Penelitian ini dilaksanakan menggunakan framework COBIT
II-26
4.1 dan di lakukan pada 3 domain yaitu PO (Plan and Organise), AI
(Acquire and Implement), DS (Deliver and Support) pada proses PO2,
PO4, PO7, A13, PO6, DS6 dengan rata-rata tingkat hasil kematangan yang
didapatkan dari hasil adalah 2,78 dengan nilai. Domain terbawah yaitu
PO4 dan PO6 .Salah satu rekomendasi yang diberikan peneliti untuk
meningkatkan kinerja sistem teknologi informasi adalah pimpinan
perguruan tinggi memberikan tugas dan tanggung jawab pelaksanaan
untuk mengidentifikasi dan melakukan evaluasi sistem teknologi informasi
dan komunikasi secara berkala terhadap staf dan pengelola sistem
teknologi informasi dan komunikasi institusi perguruan tinggi.
5. Penelitian V
Judul: Audit sistem informasi menggunakan framework COBIT 4.1 pada
PT.Aneka Solusi Teknologi
Nama: Fenny dan Johanes Fernandes
Tahun: 2017
Penelitian ini bertujuan untuk anlisis dan mengetahui keamanan dan
integritas data dari sistrem informasi yang digunakan pada PT. Aneka
solusi teknologi yaitu sebuah perusahaan yang bergerak di bidang
penyedia jasa perbaikan kualitas serta penyelesaian masalah yang terjadi
pada elektronik, komputer dan mobile phone. Objek yang dijadikan bahan
penelitian meliputi bagian penjualan, pembelian dan gudang dengan
pelaksanaan audit menggunakan framework COBIT 4.1 dengan
menggunakan 1 domain yaitu (Delivery and Support) dimana berdasarkan
hasil analisis tingkat kematangan maturity level yang didapatkan adalah
3,7. Dan peneiti memberikan beberpa rekomendasi untuk peningkatan
kinerja yang salah satunya adalah agar perusahaan memberikan pelatihan
secara khusus kepada bgian manejerial TI untuk dapat mengelola, merawat
serta memelihara keberlangsungan layanan sistem yang ada. Termasuk
diantaranya pelatihan untuk audit sistem agar bisa mengevaluasi apa saja
kekurangan yang terdapat pada sistem yang berjalan di perusahaan serta
penanganannya.
II-27
Tabel 2.5 Persamaan dan Perbedaan Penelitian Terdahulu
Nama Peneliti Judul Penelitian Persamaan
Penelitian
Perbedaan
Penelitian
Liliandara
Wahyu Imami,
Suprapto dan
Yusi Tyroni
Mursityo
Audit tata kelola
teknologi informasi
pada Dinas
komunikasi dan
informatika
(DISKOMINFO)
Kota Probolinggo
menggunakan
kerangka Kerja
COBIT 4.1 domain
Plan and Organise
dan Acquire and
Implement
- Menggunakan
COBIT 4.1
-Menggunakan
Maturity level
dalam proses
pengukuran tata
kelola
-
-Peneliti menggunakan
diagram Responsibility
assignment matrix
(RACI) untuk
menentukan sampel
-Peneliti tidak
menggunakan grafik
jaring laba-laba untuk
menggambarkan
maturity level
-Tidak melakukan
Identifikasi KGI, CSF,
KPI
-Proses audit Meliputi
semua proses pada
domain PO dan AI
Neni Purwati Audit sistem
informasi akademik
menggunakan
Framework COBIT
4.1 (STUDI KASUS
IBI DARMAJAYA)
-Menggunakan
COBIT 4.1
-Menggunakan
domain DS
proses DS10
dan DS11
--Menggunakan
Maturity level
dalam proses
pengukuran tata
kelola
- Menggunakan
grafik jaring
laba-laba untuk
menggambarkan
maturity level
-Melakukan
Identifikasi KGI,
-Menggunakan domain
PO proses PO2, PO7
dan PO8
II-28
CSF, KPI
Noor Azizah Audit sistem
informasi
menggunakan
framework COBIT
4.1 pada E-learning
UNISNU JEPARA
-Menggunakan
COBIT 4.1
- Menggunakan
domain DS
proses DS3,
DS5, DS7, DS9,
DS10, DS11 dan
DS13
--Menggunakan
Maturity level
dalam proses
pengukuran tata
kelola
-Peneliti tidak
menggunakan grafik
jaring laba-laba untuk
menggambarkan
maturity level
-Tidak melakukan
Identifikasi KGI, CSF,
KPI
Arliyana Audit tata kelola
sistem teknologi
informasi dan
komunikasi
perguruan tinggi
(Studi Kasus:
STMIK
PALANGKARAYA)
-Menggunakan
COBIT 4.1
- Menggunakan
grafik jaring
laba-laba untuk
menggambarkan
maturity level
- Menggunakan
domain DS
proses DS6
- Identifikasi KGI,
CSF, KPI
-Menggunakan domain
PO proses PO2, PO4
,PO6, PO7 dan AI
proses A13
Fenny dan
Johanes
Fernandes
Audit sistem
informasi
menggunakan
framework COBIT
4.1 pada PT.Aneka
Solusi Teknologi
-Menggunakan
COBIT 4.1
-Menggunakan
grafik jaring
laba-laba untuk
menggambarkan
maturity level
-Menggunakan
domain DS
proses DS1-
DS13
-Tidak adanya
penentuan KGI, CSF
,KPI