Download IT Process Management 2 and more Lecture notes Information Systems in PDF only on Docsity!
Pertemuan 4
Kuliah Online Pertemuan 4
CSE320 Infrastruktur dan Manajemen Layanan TI
Tatakelola TI menggunakan Cobit 5
COBIT ( Control Objectives for Information and related Technology ) adalah suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis. COBIT pertama kali diterbitkan pada tahun 199 6, kemudian edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5. 0 yang dirilis pada tahun
- COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 900 0. Gambar 2.1 Perkembangan Cobit Berdasarkan penjelasan pada jurnal ISACA tahun 2012, Control
Objectives for Information and Related Technology (COBIT 5) secara umum memiliki 5 prinsip dasar seperti pada gambar 2 poin 2. Gambar 2.2 5 prinsip pada COBIT 5 Berikut penjelasan 5 prinsip dasar dari cobit 5: Prinsip 1. Meeting Stakeholder Needs Keberadaan sebuah perusahaan untuk menciptakan nilai kepada stakeholdernya – termasuk stakeholders untuk keamanan informasi – didasarkan pada pemeliharaan keseimbangan antara realisasi keuntungan dan optimalisasi risiko dan penggunaan sumber daya yang ada. Optimalisasi risiko dianggap paling relevan untuk keamanan informasi. Setiap perusahaan memiliki tujuan yang berbeda-beda sehingga perusahaan tersebut harus mampu menyesuaikan atau melakukan customize COBIT 5 ke konteks perusahaan yang dimiliki. Prinsip 2. Covering the Enterprise End-to-End COBIT 5 mengintegrasikan IT enterprise pada organisasi pemerintahan dengan cara:
- Mengakomodasi seluruh fungsi dan proses yang terdapat pada enterprise. COBIT 5 tidak hanya fokus pada ‘fungsi IT’, namun termasuk pada pemeliharaan informasi dan teknologi terkait sebagai aset layaknya aset-aset yang terdapat pada enterprise.
- Mengakomodasi seluruh stakeholders, fungsi dan proses yang relevan dengan keamanan informasi.
Security membawa pengetahuan dari versi ISACA sebelumnya seperti COBIT, BMIS, Risk IT, Val IT dengan panduan dari standar ISO/IEC 27000 yang merupakan standar ISF untuk keamanan informasi dan U.S. National Institute of Standars and Technology (NIST) SP 800 - 53A. Prinsip 4. Enabling a Holistic Approach Pemerintahan dan manajemen perusahaan IT yang efektif dan efisien membutuhkan pendekatan secara holistik atau menyeluruh. COBIT 5 mendefinisikan kumpulan pemicu yang disebut enabler untuk mendukung implementasi pemerintahan yang komprehensif dan manajemen sistem perusahaan IT dan informasi. Enablers adalah faktor individual dan kolektif yang mempengaruhi sesuatu agar dapat berjalan atau bekerja. Kerangka kerja COBIT 5 mendefinisikan 7 kategori enablers yang dapat dilihat pada gambar 2 point 3. Gambar 2 .3 COBIT 5 Enabler 7 enablers yang digunakan pada COBIT 5 meliputi:
- Principles, Policies and Frameworks
- Processes
- Organisational Strucutres
- Culture, Ethics and Behaviour
- Information
- Services, Infrastructure and Applications
- People, Skills and Competencies Prinsip 5. Separating Governance from Management COBIT 5 dengan tegas membedakan pemerintahan dan manajemen. Kedua disiplin ini memiliki tipe aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda dan memiliki tujuan yang berbeda. COBIT 5 melihat perbedaan tersebut berdasarkan sudut pandang pada gambar 2 point 4. Gambar 2.4 Perbedaan sudut pandang Pada praktiknya, terdapat perbedaan roles dari keamanan informasi pemerintahan dan manajemen yang dapat digambarkan pada gambar 2 dimana terdapat proses-proses yang dilakukan pemerintahan dan proses-proses yang dilakukan manajemen. Masing-masing memiliki responsibilities atau tanggung jawab yang berbeda. Model Referensi Proses dalam COBIT 5 COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain proses utama: 1. Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik- praktik dalam setiap proses Evaluate, Direct, dan Monitor (EDM) 2. Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan, Build, Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung ke ujung. Domain ini merupakan evolusi dari domain dan struktur proses dalam COBIT 4. 1 , yaitu:
5 Optimising Process – Proses Optimasi (dua atribut); Proses di atas terus ditingkatkan secara berkelanjutan untuk memenuhi tujuan bisnis saat ini dan masa depan. Gambar 2.6 Model Kematangan Proses dalam COBIT 5 Kelebihan COBIT Kelebihan yang ada pada cobit adalah:
- Efektif dan Efisien
- Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
- Rahasia
- Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
- Integritas
- Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.
- Ketersediaan
- Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
- Kepatuhan nyata
- Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen. 2.1 Penerapan Pada Jurnal Atau Artikel Disini penulis mengambil contoh dari jurnal atau artikel sebagai pedoman yang diambil dari judul “PENERAPAN FRAMEWORK COBIT 5 PADA AUDIT TATA KELOLA TEKNOLOGI INFORMASI DI DINAS KOMUNIKASI DAN INFORMATIKA KABUPATEN OKU”, yang melatar belakangi Permasalahan dari pemakaian teknologi informasi pada Diskominfo Kabupaten OKU saat ini belum dilakukan audit sehingga belum diketahui efisiensi dan tingkat kapabilitas tata kelola teknologi informasi yang sudah ada. Dari permasalahan tersebut maka perlu dilakukan audit dalam pengelolaan teknologi informasi, agar dapat mengetahui sejauh mana penerapan tata kelola Teknologi Informasi dan apakah sistem yang telah dibuat sesuai dengan renstra (Rencana Strategis). Dalam penelitian ini menggunakan model kapabilitas sebagai alat ukur terhadap jawaban responden dari kuesioner yang dibuat berdasarkan framework cobit 5 serta sebagai pemberi definisi dan pemahaman proses tata kelola teknologi informasi yang sedang berjalan. Berdasarkan rekapitulasi jawaban dari para responden, maka didapatkan nilai tingkat kapabilitas saat ini sebesar 3,18 pada rentang 0 - 5. Untuk mendapatkan hasil yang diharapkan, maka dibuatlah beberapa usulan untuk meningkatkan kinerja serta sebagai acuan perbaikan tata kelola teknologi informasi di Diskominfo Kabupaten OKU dimasa yang akan datang. Tujuan dari penelitian ini adalah untuk mengaudit tata kelola teknologi informasi guna mengetahui sejauh mana tingkat kapabilitas tata kelola teknologi informasi pada Dinas Komunikasi dan Informatika Kabupaten OKU. Metode penelitian ini menggunakan tipe penelitian deskriptif kualitatif. Adapun sifat dari penelitian ini adalah deskriptif, metode deskriptif dapat diartikan sebagai prosedur pemecahan masalah yang diselidiki dengan menggambarkan/ melukiskan keadaan subyek/obyek penelitian (seseorang,
HITA (Head IT Administration) Sekretaris Audit Kasi Standarisasi, Monitoring dan Evaluasi Telematika Pada pengukuran variable untuk menentukan tingkat kapabilitas dari setiap nilai proses dilakukan pemetaan kondisi capability model yang ditetapkan framework COBIT 5 kedalam nilai dengan skala 0 sampai 5.
Nilai 0 Incomplete Process
Nilai 1 Performed Process
Nilai 2 Managed Process
Nilai 3 Established Process
Nilai 4 Predictable Process
Nilai 5 Optimising Process Pada tahap pelaksanaan audit menurut Sarno (200 9 :33), tahapan pelaksanaan audit teknologi informasi meliputi:
Analisis Kondisi Eksisting Tahapan analisis kondisi eksisting dalam rencana Audit SI/TI merupakan kegiatan peninjauan kondisi perusahaan saat ini terutama yang berkaitan dengan aktivitas bisnis. Mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh teknologi informasi.
Pelaksanaan Audit SI/TI Mengacu kerangkat kerja COBIT yang akan didahulukan dengan proses penentuan ruang lingkup dan tujuan audit ( scope dan objective ) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya.
Penentuan Rekomendasi
Setelah audit SI/TI dilaksanaka, pengudit bertanggung jawab terhadap pengkomunikasian hasil audit kepada pihak manajemen terkait. Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit yang kemudian akan disusun dalam laporan audit. Perekomundasian tersebut membutuhkan keahlian pengambilan keputusan, kebijakan dan pengetahuan akan proses audit. Laporan akhir dari audit seharusnya mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan pihak menajemen untuk mengambil langkah yang diperlukan. Hasil dari pembahasan penerapan framework cobit 5 pada audit tata kelola teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten OKU pada domain Monitor, Evaluate, and Access (MEA) terhadap keadaan tata kelola teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten OKU. Dengan menggunakan capability model yang tergambarkan ke dalam bentuk angka dan grafik, sehingga hal ini dapat memudahkan dalam menganalisa dan memperkirakan kebutuhan teknologi informasi dimasa yang akan datang. Hasil seluruh atau tingkat model capability skala penelitian penerapan framework cobit 5 pada audit tata kelola teknologi informasi di Dinas Komunikasi dan Informatika Kabupaten OKU yaitu skala 3 ( established process ) dengan nilai 3,18, yang artinya Dinas Komunikasi dan Informatika Kabupaten OKU ini sudah mengimplementasikan tata kelola Teknologi Informasi dengan menggunakan proses pelatihan yang telah ditetapkan dalam renstra, dan sudah mencapai target yang diharapkan. Akan tetapi Dinas Komunikasi dan Informatika ini masih harus tetap menjalankan tata kelola Tekologi Informasi dalam batasan waktu yang telah ditentukan atau waktu yang telah diprediksikan serta harus ditingkatkan secara berkelanjutan untuk memenuhi tujuan saat ini dan masa depan. Penulis juga mengambil jurnal atau artikel tentang “Evaluasi Sistem E- Government Kota Denpasar Menggunakan Framework COBIT 5 pada Domain Monitor, Evaluate, and Assess (MEA)”, yang melatar belakangi teknologi informasi (TI) memiliki peran yang sangat penting di dalam suatu organisasi untuk mendukung fungsi bisnis di dalam organisasi tersebut. Jika pemanfaatannya
Terdapat beberapa metode yang dilakukan oleh penulis diantaranya adalah sebagai berikut: Gambar 2.7 Metode Penelitian Tahap 1 – Perencanaan Penelitian Tahap perencanaan penelitian merupakan tahap awal yang penting untuk dilakukan dalam melakukan evaluasi. Tahap ini harus dilakukan secara matang agar kegiatan evaluasi dapat berjalan dengan terarah dan sistematis. Pada penelitian ini, tahap Perencanaan Penelitian dilakukan untuk memperoleh proses- proses domain MEA COBIT 5 yang terpilih sesuai dengan kebutuhan penelitian dan sebagai ruang lingkup. Tahap ini dilakukan dengan studi pendahuluan yang terdiri dari studi pustaka dan studi kasus. Studi pustaka digunakan untuk dapat memahami teori-teori manajemen dan tata kelola teknologi informasi dan pemahaman tentang framework COBIT 5. Tahap selanjutnya adalah perencanaan penilaian, yang dimana pada tahap ini dilakukan persiapan terhadap proses
pengambilan data-data yang menjadi inputan untuk tahap selanjutnya (tahap pengambilan dan penilaian data). Langkah awal dalam perencanaan penilaian adalah melakukan pemetaan atau mapping sasaran strategis Dinas Kominfo Kota Denpasar terhadap goal objectives COBIT 5 untuk mengetahui kebutuhan yang dibutuhkan oleh sasaran strategis objek. Dari hasil mapping enterprise goals terhadap sasaran strategis tersebut, terpilih beberapa Enterprise Goals yang kemudian di mapping ke IT- related Goals. IT-related Goals yang terpilih pada pemetaan tersebut, digunakan sebagai inputan proses pemetaan selanjutnya, yaitu pemetaan IT- related Process domain MEA. Hasil dari proses-proses domain yang sesuai dan mendukung digunakan sebagai acuan penyusunan pertanyaan-pertanyaan evaluasi yang tertuang dalam form assessment. Daftar pertanyaan form assessment disusun berdasarkan standar base practice dan work product output domain MEA COBIT 5 menurut ISACA 2012 [ 14 ]. Tahap 2 – Penilaian Tahap penilaian dimulai dengan pemetaan atau mapping sasaran strategis yang berkaitan dengan pengembangan E-Government oleh Dinas Kominfo Kota Denpasar terhadap Enterprise Goals pada COBIT 5 yang disusun berdasarkan empat perspektif IT Balanced Scorecard. Tahap 3 – Pengambilan dan Pengolahan Data Setelah diketahui ruang lingkup evaluasi yang didapat dari pemetaan atau mapping IT- related Process domain MEA serta sasaran evaluasi, maka tahap selanjutnya adalah pengambilan dan pengolahan data. Tahap ini dilakukan dengan menyusun form assessment berdasarkan standar Process Assessment Model COBIT 5. Tahap 4 – Pelaporan Penilaian Tahap pelaporan penilaian merupakan tahap penulisan dari temuan- temuan evaluasi. Disini dilakukan penjabaran terhadap temuan- temuan evaluasi, yaitu kondisi manajemen TI saat ini untuk setiap proses domain MEA. Pada tahap ini juga dilakukan analisis gap. Analisis gap adalah analisis yang
