KASUS 1
PTS XYZ memiliki visi untuk menjadi perguruan berkelas
internasional yang unggul di bidang infokom. Dalam organisasinya PTS XYZ
terbagi menjadi 4 Departemen dan 5 Direktorat dengan tugas dan fungsi yang
berbeda-beda.Perbedaan fungsi dan tugas dari setiap bagian ini berpengaruh pada
perbedaan kebutuhan teknologi informasi yangdigunakan sehari-hari. Pada PTS
XYZ, terdapat sebuah bagian yang bertanggungjawab dan berfungsi mengelola
kegiatan administrasi dan layanan informasi serta pengembangan sistem, yaitu bagian
Bagian Pusat Pengolahan Data yang berada di bawah Direktorat Dukungan
Manajemen. Bagian Pusat Pengolahan Data ini dipimpin oleh seorang Kepala Bagian
yang dalam melaksanakan tugas bertanggung jawab kepada Direktur Dukungan
Manajemen, dengan unsur pelaksana terdiri dari:
a. Kepala Bagian Pusat Pengolahan Data;
b. Kepala Urusan Administrasi dan Layanan Informasi;
c. Kepala Urusan Pengembangan Sistem;
d. Staf Pelaksana.
Integritas dan validitas data sangat diperlukan untuk melaksanakan
layanan yang ditugaskan kepada Bagian Pusat Pengolahan Data, yaitu mencakup
data logistik, keuangan, sumber daya manusia, registrasi, kegiatan belajar
mengajar,alumni PTS XYZ, dan masih banyak lagi. Berdasarkan pada banyak dan
pentingnya data-data tersebut, maka adanya suatu sistem informasi dalam
kegiatan yang dilakukan oleh Bagian Pusat Pengolahan Data menjadi suatu hal
yang sangat penting. Akan tetapi, hal ini tidak menutup kemungkinan bagi Bagian
Pusat Pengolahan Data untuk bekerja dengan baik dengan menggunakan sistem informasi
yang ada pada saat ini. Oleh karena itu, penelitian ini akan membahas dan
melaporkan mengenai hasil audit yang telah kami lakukan sebelumnya. Adapun
tujuan dari penelitian ini adalah untuk melakukan audit terhadap Bagian Pusat
Pengolahan Data PTS XYZ dengan tahapan menentukan management
awareness, kemudian plotting terhadap COBIT 4.1 dan perhitungan maturity
level yang ada serta memberikan masukan berdasarkan hasil audit yang telah
dilakukan dengan cara analisis sistem informasi secara langsung pada Bagian
Pusat Pengolahan Data PTS XYZ berdasarkan COBIT 4.1.
1. Landasan Teori
COBIT 4.1 (Control Objectives for Information and related
Technology) merupakan suatu standar untuk mengontrol teknologi informasi,
dikembangkan dan dipromosikan oleh IT Governance Institute. COBIT
4.1 dirancang sebagai tool IT governance yang membantu dalam
memahami dan mengatur resiko dan keuntungan yang berhubungan dengan informasi
dan IT.
IT Governance Institute telah mengembangkan framework ini
dengan riset mendalam, bekerja sama dengan ahli industri, analis, dan akademisi
di seluruh dunia. Hasilnya adalah Management Guidelines for
COBIT 4.1 ini,yang terdiri dari Maturity Models, Critical Success
Factors (CSFs), Key Goal Indicators (KGIs) dan Key
Performance Indicators (KPIs).
Konferensi Nasional Sistem dan Informatika 2010; Bali, November
13, 2010 KNS&I10-049
298 Maturity Model untuk mengontrol proses IT
terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi
dapat menilai dirinya sendiri dari keadaaan non-existent sampai
keadaaan optimized (0 - 5). Untuk setiap proses IT, terdapat suatu skala ukuran
bertahap, berdasarkan rating “0” sampai “5”. Skala ini berhubungan dengan
deskripsi qualitative maturity model yang berkisar dari “Non
Existent” sampai “Optimized” seperti terlihat dalam Gambar 1
2. Metodologi Penelitian
Dalam pelaksanaannya, proses audit ini dibagi menjadi 5 tahapan,
yaitu:
2.1 Perencanaan Audit
Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu
dilakukan agar auditor mengenal benar objek yang akan diperiksa. Disamping itu,
auditor dapat memastikan bahwa qualified resources sudah
dimiliki, yang dalam hal ini mencakup aspek SDM yang berpengalaman dan juga
referensi praktik-praktik terbaik (best practices).
Tahapan perencanaan ini akan menghasilkan suatu program audit yang
didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan
efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan
dalam waktu yang sesuai dengan yang disepakati.
2.2 Penilaian Management Awareness & Penilaian Resiko
Penilaian terhadap management awareness perlu dilakukan dengan
menggunakan tools yang ada dan juga penilaian resiko perlu dilakukan untuk
mengidentifikasi dan mengevaluasi resiko serta dampak yang terjadi jika resiko
tersebut muncul.
2.3 Analisa Data
Analisa data ini meliputi tahapan-tahapan:
• Pemetaan hasil risk assessment ke dalam Cobit
• Pemetaan hasil penentuan management awareness
• Menentukan proses Cobit domain yang akan diaudit
• Penentuan CSF, KGI, dan KPI
• Indikator pengukuran kinerja
• Penentuan maturity model
3. Penilaian Management Awareness Dan Resiko
Berdasarkan hasil diskusi dan pengisian kuesioner maka didapatkan
hasil kesimpulan bahwa pihak manajemen Bagian Pusat Pengolahan Data
menitikberatkan pada bagaimana seharusnya Bagian Pusat Pengolahan Data dapat
memberikan layanan IT kepada civitas akademika PTS XYZ secara kontinu dan
reliable dengan memperhatikan aspek-aspek keamanan dan juga bagaimana
pemeliharaan terhadap data yang ada. Hal ini disebabkan karena proses
tersebutlah yang paling penting dukungannya untuk keberlangsungan dukungan IT
di lingkungan PTS XYZ.
Melalui wawancara dan observasi, bisa diketahui kondisi perusahaan
saat ini dan mengetahui sejauh mana pelaksanaan kontrol diefektifkan,Penilaian
resiko ini perlu dilakukan untuk mengidentifikasi dan mengevaluasi resiko serta
dampak yang terjadi jika resiko tersebut muncul.
Dalam penilaian resiko ini yang digunakan adalah Metode Scoring IS
Risk Assessment. Beberapa kategori penilaian resiko yang diambil didasarkan
pada resiko umum yang sering dijumpai dalam pelaksanaan kontrol perusahaan.
Kategori yang dipilih meliputi Operasi Data Centre, Sistem Aplikasi (Produksi),
Sistem Aplikasi (Pengembangan),Procurement Sistem Informasi (Material dan
Tenaga Kerja), Akuisisi Paket Software, dan Fungsi Sistem Informasi lainnya.
4. Analisa Data
4.1. Pemetaan Hasil Risk Assessment Ke Dalam Cobit
Dari hasil risk assessmets di atas nilai threshold ditentukan
sebesar 0,75 maka rating factor yang akan diambil hanya yang
lebih atau sama dengan 0,75 yang mengindikasikan kendali dengan resiko tinggi.
Selanjutnya beberapa rating factor yang diambil,
dimapping ke proses COBIT 4.1 domain. Beberapa rating
factor yang diambil antara lain:
a. Operasi Data Centre
• Efek terhadap bisnis perusahaan
• Jumlah pengguna
• Pengelolaan pemrosesan
b. Sistem Aplikasi (Produksi)
• Efek kegagalan sistem
• Lingkup sistem
c. Sistem aplikasi (Pengembangan)
• Platform pengembangan
d. Procurement Sistem Informasi (material dan
tenaga kerja)
• Dampak
e. Akuisisi Paket Software
• Lingkup sistem
• Efek bisnis
f. Fungsi Sistem Informasi lainnya
• Efek kegagalan fungsi
• Lingkup fungsi
Dari beberapa kendali dengan resiko tinggi yang telah didapat,
selanjutnya akan disesuaikan dengan tujuan kendali yang terdapat pada domain
COBIT 4.1. Table hasil pemetaan risk assessment ke dalam
proses COBIT 4.1 domain yang disesuaikan dengan domain Delivery &
Support dalam Tabel 2.
4.2 Menentukan Proses Cobit Domain Yang Akan
Diaudit
Tidak semua control objective dari COBIT 4.1
domain harus diaudit. Proses audit hanya dilakukan pada tujuan control yang
dirasa perlu, di antaranya pada tujuan kontrol yang memenuhi kriteria-kriteria
antara lain:
- Proses yang memiliki ketersediaan rating factor tertinggi
- Proses dengan biaya pengerjaan tertinggi
- Proses dengan kondisi yang paling kritis
- Disesuaikan dengan sarana pendukung
Berdasarkan beberapa kriteria tersebut, high level control
objectives yang diambil untuk diaudit ialah:
- Ensure Continous Service (DS 4)
- Ensure Systems Security (DS 5)
- Manage Operations (DS 11)
4.3 Penentuan CSF, KGI, dan KPI
Langkah ini diperlukan untuk menentukan arahan yang akan diberikan
kepada pihak manajemen, baik secara umum maupun spesifik, mengenai apa saja
yang harus dilakukan, terutama mengenai:
Sejauh mana TI harus bergerak, dan apakah biaya TI
yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Indikator untuk suatu kinerja yang bagus
Faktor atau kondisi yang harus diciptakan agar
dapat mencapai sukses
Risiko-risiko yang timbul, apabila kita tidak
mencapai sasaran yang ditentukan
Untuk mendapatkan hal-hal di atas framework COBIT 4.1 perlu
terlebih dahulu didefinisikan termasuk:
- Critical Success Factors (CSF)
Konferensi Nasional Sistem dan Informatika 2010; Bali, November
13, 2010 KNS&I10-049
300
- Key Goal Indicators (KGI)
- Key Performance Indicators (KPI)
Tabel 2. Pemetaan Hasil Pada Domain Cobit4.1
|
||||||||||||
NO
|
High Level Control Objectives Delivery &
Support
|
1
|
2
|
3
|
4
|
5
|
6
|
|||||
1.2
|
1.4
|
1.6
|
2.1
|
2.3
|
3.4
|
4.1
|
5.1
|
5.8
|
6.1
|
6.3
|
||
1
|
Define and Manage Service Levels
|
X
|
X
|
X
|
X
|
X
|
||||||
2
|
Manage Third Party Services
|
X
|
||||||||||
3
|
Manage Performance and Capacity
|
X
|
X
|
X
|
X
|
X
|
X
|
|||||
4
|
Ensure Continuous Service
|
X
|
X
|
X
|
X
|
X
|
X
|
|||||
5
|
Ensure Systems Security
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
|||
6
|
Identify and Allocate Costs
|
X
|
X
|
|||||||||
7
|
Educate and Train Users
|
X
|
X
|
X
|
||||||||
8
|
Manage Service Desk and Incident
|
X
|
X
|
|||||||||
9
|
Manage the Configuration
|
X
|
X
|
X
|
X
|
X
|
||||||
10
|
Manage Problems
|
X
|
X
|
X
|
X
|
X
|
||||||
11
|
Manage Data
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
||||
12
|
Manage the Physical Environment
|
X
|
X
|
X
|
X
|
|||||||
13
|
Manage Operations
|
X
|
X
|
X
|
X
|
X
|
Pengukuran Maturity
Pengukuran maturity level dilakukan dengan
menggunakan Maturity Measurement toolkit. Dengan hasil sebagai
berikut:
Tabel 3. DS4
Level
|
Compliance
|
Contribution
|
Value
|
1
|
0,943333333
|
1,00
|
0,943333333
|
2
|
0,83
|
1,00
|
0,83
|
3
|
0,83125
|
1,00
|
0,83125
|
4
|
0,698888889
|
1,00
|
0,698888889
|
5
|
0,729
|
1,00
|
0,739
|
Maturity level =
|
4,032472222
|
Maturity Level untuk DS5 = 4,03 ≈ 4
Tabel 4. DS5
Level
|
Compliance
|
Contribution
|
Value
|
1
|
1
|
1,00
|
1
|
2
|
0,66375
|
1,00
|
0,66375
|
3
|
0,807142857
|
1,00
|
0,807142857
|
4
|
0,275
|
1,00
|
0,275
|
5
|
0,275
|
1,00
|
0,275
|
Maturity level =
|
3,020892857
|
Maturity Level untuk DS5 = 3,02 ≈ 3
Tabel 5. DS11
Level
|
Compiance
|
Contribution
|
Value
|
1
|
0,864
|
1,00
|
0,864
|
2
|
0,932
|
1,00
|
0,932
|
3
|
0,758571429
|
1,00
|
0,758571429
|
4
|
0,773333333
|
1,00
|
0,773333333
|
5
|
0,71
|
1,00
|
0,71
|
Maturity level =
|
4,037904762
|
Maturity Level DS11 = 4,04 ≈ 4
Jika digambarkan hasil dari maturity model proses
yang ada dengan menggunakan Caviar Chart adalah sebagai
berikut:
Gambar 2. Maturity Model
Kesimpulan
Setelah diketahui bahwa Bagian Pusat Pengolahan Data berada pada
level 4 (managed), selanjutnya bisa diajukan beberapa rekomendasi
berdasarkan tiap proses COBIT 4.1 domain untuk membawa
perusahaan menuju level yang lebih tinggi.
A. Rekomendasi
untuk DS 4
Dari hasil
pengukuran maturity, pada dasarnya sudah baik hanya perlu peningkatansebagai
berikut:
1.
Perbaikan ketersediaan layanan yang proaktif
2. Pengawasan ketersediaan
secara otomatis terhadap sejumlah komponen infrastruktur kritis
B. Rekomendasi
untuk DS 5
1.
Melakukan perbaikan terhadap pelaporan yang berkaitan dengan masalah keamanan system
2.
Pengadaan training berkaitan dengan keamanan sistem bagi pengelola
3.
Melakukan perencanaan mengenai keamanan sistem dan solusi berdasarkan suatu proses
analisa resiko
C. Rekomendasi
untuk DS 11
1. Pembentukan backup data
melalui mekanisme redudansi dan duplikasi.
2.
Memastikan adanya prosedur pengelolaan data dengan berdasarkan standar tertentu
3.
Memastikan kesesuaian mekanisme penjagaan integritas data yang diterapkan
4.
Pengawasan integritas secara otomatis terhadap sejumlah komponen infrastruktur kritis