Upload
vuongkhuong
View
221
Download
0
Embed Size (px)
Citation preview
13
BAB II
LANDASAN TEORI
2.1 Sistem Informasi
Sistem Informasi memiliki peranan penting bagi perusahaan. Hampir
di seluruh sektor bisnis sudah menggunakan sistem informasi. Bukan hanya
itu, bahkan saat ini perusahaan sedang terus berusaha berlomba-lomba untuk
mengembangkan sistem informasi yang digunakan untuk menunjang
kebutuhan bisnis perusahaan di tengah persaingan bisnis yang semakin
kompetitif.
2.1.1 Pengertian Sistem Informasi
Menurut pendapat Bourgeois (2014), Sistem Informasi
merupakan komponen yang saling bekerja sama untuk
mengumpulkan, mengolah, menyimpan dan menyebarkan informasi
untuk mendukung pengambilan keputusan, koordinasi, pengendalian,
analisis masalah dan visualisasi dalam sebuah organisasi. Sedangkan
menurut Cornford & Shaikh (2013), menyatakan bahwa pengertian
Sistem Informasi merupakan kombinasi teratur dari orang-orang,
hardware, software, jaringan komunikasi dan sumber daya yang
14
mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah
organisasi. Selain itu, Laudon (2014) mendefinisikan sistem informasi
sebagai seperangkat elemen atau komponen yang saling terkait yang di
kumpulkan (input), manipulasi (process), menyimpan, dan
menyebarkan (output) data dan informasi dan memberikan reaksi
korektif (feedback) untuk memenuhi tujuan. Jadi dapat disimpulkan
bahwa Sistem Informasi adalah kombinasi seperangkat komponen
yang terdiri dari orang, hardware, software, jaringan telekomunikasi
dan data yang saling bekerja sama untuk mengumpulkan, mengolah,
menyimpan, dan menyebarkan informasi untuk mendukung
pengambilan keputusan, pengendalian, analisis masalah dan visualisasi
dalam organisasi.
Menurut pendapat Imache (2012), Sistem informasi adalah
kombinasi dari manusia, fasilitas atau alat teknologi, media, prosedur
dan pengendalian yang bermaksud menata jaringan komunikasi yang
penting, proses atas transaksi - transaksi tertentu dan rutin, membantu
manajemen dan pemakai intern dan ekstern serta menyediakan dasar
pengambilan keputusan yang tepat. Sistem informasi juga merupakan
suatu kegiatan dari prosedur-prosedur yang diorganisasikan, bilamana
dieksekusi akan menyediakan informasi untuk mendukung
pengambilan keputusan dan pengendalian di dalam organisasi.
15
2.1.2 Komponen Sistem Informasi
Menurut pendapat Zefry Darmawan (2013), Sistem informasi
terdiri dari komponen komponen yang disebut blok bangunan
(building block), yang terdiri dari komponen input, komponen model,
komponen output, komponen teknologi, komponen hardware,
komponen software, komponen basis data, dan komponen kontrol.
Semua komponen tersebut saling berinteraksi satu dengan yang lain
membentuk suatu kesatuan untuk mencapai sasaran.
1. Komponen Input
Input mewakili data yang masuk kedalam sistem informasi. Input
disini termasuk metode dan media untuk menangkap data yang
akan dimasukkan, yang dapat berupa dokumen-dokumen dasar.
2. Komponen Model
Komponen ini terdiri dari kombinasi prosedur, logika, dan model
matematik yang akan memanipulasi data input dan data yang
tersimpan di basis data dengan cara yag sudah ditentukan untuk
menghasilkan keluaran yang diinginkan.
3. Komponen Output
Hasil dari sistem informasi adalah keluaran yang merupakan
informasi yang berkualitas dan dokumentasi yang berguna untuk
semua pemakai sistem.
16
4. Komponen Teknologi
Teknologi merupakan “tool box” dalam sistem informasi,
Teknologi digunakan untuk menerima input, menjalankan
model, menyimpan dan mengakses data, menghasilkan dan
mengirimkan keluaran, dan membantu pengendalian dari sistem
secara keseluruhan.
5. Komponen Hardware
Hardware berperan penting sebagai suatu media penyimpanan
vital bagi sistem informasi yang berfungsi sebagai tempat untuk
menampung database atau lebih mudah dikatakan sebagai
sumber data dan informasi untuk memperlancar dan
mempermudah kerja dari sistem informasi.
6. Komponen Software
Software berfungsi sebagai tempat untuk mengolah, menghitung
dan memanipulasi data yang diambil dari hardware untuk
menciptakan suatu informasi.
2.2 Tata Kelola TI (IT Governance)
Tata kelola TI merupakan bagian yang tidak terpisahkan dari Tata
Kelola Perusahaan (Good Corporate Governance). Perlunya Tata Kelola TI
yang baik bagi perusahaan didasari dari peran TI yang dapat member nilai
bagi siapa saja penerima manfaat dari layanannya.
17
2.2.1 Pengertian Tata Kelola dan Manajemen
Menurut pendapat Kuruzovich (2012), tata kelola (governance)
adalah sistem dan proses untuk memastikan akuntabilitas yang tepat
dan keterbukaan dalam menjalankan organisasi bisnis. Tata kelola
memastikan kebutuhan stakeholder, kondisi dan pilihan yang
dievaluasi untuk menentukan keseimbangan dan tujuan organisasi
yang harus dicapai, memberikan arahan dan pengambilan keputusan
prioritas, mengawasi prestasi dan pemenuhan arah dan tujuan yang
telah disepakati. Topik dalam tata kelola perusahaan adalah
menyangkut masalah akuntabilitas dan tanggung jawab mandat,
khususnya implementasi pedoman dan mekanisme untuk memastikan
perilaku yang baik.
Menurut Pendapat Cornford & Shaikh (2007), Manajemen
merupakan perencanaan, organisasi, pengendalian, penyelenggaraan
dan koordinasi kegiatan suatu organisasi agar mencapai tujuan yang
dikehendaki. Laudon (2014) mendefinisikan manajemen sebagai seni
menyelesaikan pekerjaan melalui orang lain. Definisi ini berarti bahwa
seorang manajer bertugas mengatur dan mengarahkan orang lain untuk
mencapai tujuan organisasi. Manajemen informasi (information
management) merupakan pengumpulan dan pengelolaan informasi
dari sumber-sumbernya dan mendistribusikannya ke para pengguna.
(Azis, 2014).
18
2.2.2 Pengertian IT Governance
Menurut IT Governance Institute (TTGI), IT Governance (Tata
kelola TI) merupakan tanggung jawab dewan direksi dan manajemen
tingkat atas. Tata kelola TI merupakan bagian dari pengelolaan
perusahaan dan terdiri dari pimpinan, semua anggota susunan
organisasi dan proses-proses yang mempunyai maksud untuk
memastikan bahwa TI yang ada mendukung dan membantu
pencapaian strategi dan tujuan organisasi.
Menurut Pendapat Bowen et al. (2007), Tata kelola TI juga
dapat diartikan sebagai struktur dari hubungan dan proses yang
mengarahkan dan mengatur organisasi dalam rangka mencapai
tujuannya dengan memberikan nilai tambah dari pemanfaatan TI
sambil menyeimbangkan risiko dibandingkan dengan hasil yang
diberikan oleh TI dan prosesnya.
Tata Kelola TI fokus pada penentuan siapa yang memiliki
wewenang dan bertanggungjawab atas pengambilan keputusan yang
dapat mendorong perilaku yang diinginkan dalam pemanfaatan TI di
perusahaan. (Spremić, 2009)
Menurut pendapat Kuruzovich (2012), Tata Kelola TI
merupakan penentuan dan pelaksanaan atau implementasi dari proses,
struktur, dan mekanisme relasional yang memudahkan pihak bisnis
19
dan TI serta memberikan suatu nilai TI tersendiri dari investasi bisnis
yang dilakukan.
Tata kelola TI dapat juga diartikan sebagai hubungan dan
proses terstruktur untuk mengarahkan dan mengendalikan organisasi
agar mencapai tujuan dengan cara menyeimbangkan risiko, hasil yang
didapatkan dari TI serta prosesnya. Sedangkan dalam AS-8015
(standar tata kelola TI Australia) didefenisikan bahwa Tata Kelola TI
sebagai proses dalam mengarahkan dan mengendalikan TI yang saat
ini terdapat pada organisasi maupun yang masih direncanakan
termasuk mengawasi dan mengarahkan rencana yang ada, serta
mengawasi dan mengevaluasi pelaksanaan, kebijakan dan strategi TI
agar organisasi dapat mewujudkan tujuannya.
Walaupun defenisi yang ada berbeda pada beberapa aspek, namun
semuanya fokus pada isu yang sama yaitu bagaimana TI dapat
memberikan nilai yang menyelaraskan hubungan antara TI dengan
bisnis agar TI dapat mengurangi risiko.
Tata kelola TI adalah sistem dimana TI dalam perusahaan
diarahkan dan dikontrol. Struktur tata kelola TI menentukan
pambagian hak dan tanggung jawab antar pihak yang berbeda, seperti
direktur, manager bisnis dan manager TI, dan mendefenisikan
berbagai aturan dan prosedur untuk keputusan TI.
20
2.2.3 Prinsip IT Governance
Prinsip IT Governance perusahaan berdasarkan ISO-IEC/38500
adalah:
1. Tanggung jawab
Individu dan kelompok dalam organisasi memahami dan menerima
tanggung jawab mereka dalam dua hal, yaitu memasok TI dan
melakukan permintaan TI. Mereka yang bertanggung jawab atas
tindakan-tindakan juga harus yang memiliki kewenangan untuk
melakukan tindakan tersebut.
2. Strategi
Strategi bisnis perusahaan memperhitungkan kemampuan TI saat
ini dan masa depan. Rencana strategis TI memenuhi kebutuhan
saat ini dan yang akan berjalan sesuai dengan strategi dengan
strategi bisnis perusahaan.
3. Akuisisi
Akuisisi TI dibuat untuk alasan yang sah, atas dasar analisis yang
tepat dan berkelanjutan, dengan pembuatan keputusan yang jelas
dan transparan. Terdapat keseimbangan antara manfaat, peluang,
biaya, dan risiko, baik dalam jangka pendek maupun dalam jangka
panjang.
4. Kinerja
TI sesuai dengan tujuannya untuk mendukung perusahaan,
memiliki fungsi menyediakan layanan, level dari layanan, dan
21
kualitas layanan yang diperlukan untuk memenuhi kebutuhan
bisnis saat ini dan masa depan.
5. Kesesuaian
TI mematuhi semua peraturan perundang-undangan dan peraturan
wajib. Kebijakan dan praktik-praktik yang bersifat jelas,
dilaksanakan dan ditegakkan.
6. Perilaku Manusia
Kebijakan, praktik, dan keputusan TI menunjukan rasa hormat
terhadap perilaku manusia, termasuk memenuhi kebutuah semua
orang yang terlibat di dalam proses baik saat ini dan masa depan.
2.2.4 Tujuan IT Governance
Tujuan dari tata kelola TI menurut ITGI (2007) adalah untuk
dapat mewujudkan manfaat TI yang diharapkan, menggunakan dan
memaksimalkan manfaat tersebut, mewujudkan penggunaan sumber
daya TI yang bertanggung jawab, dan dapat mengelola risiko yang
terkait dengan TI yang tepat. Tata kelola TI merupakan
tanggungjawab pihak manajemen didalam suatu organisasi, sehingga
bagaimana TI bisa menjadi lebih efisien dan efektif dalam mendukung
proses bisnis yang dijalankan tersebut. Sehingga tujuan tata kelola TI
adalah mengontrol penggunaannya dalam memastikan bahwa kinerja
TI memenuhi dan sesuai dengan tujuan, sebagai berikut:
22
1) Menyelaraskan teknologi informasi dengan strategi perusahaan
serta realisasi dari keuntungan-keuntungan yang telah
dijanjikan dari penerapan TI.
2) Penggunaan teknologi informasi memungkinkan perusahaan
mengambil peluang-peluang yang ada, serta memaksimalkan
pemanfaatan TI dalam memaksimalkan keuntungan dari
penerapan TI tersebut.
3) Bertanggungjawab terhadap penggunaan sumber daya TI.
4) Manajemen risiko-risiko yang ada terkait teknologi informasi
secara tepat.
2.2.5 Area Fokus IT Governance
Adapun yang menjadi area fokus dalam proses pengelolaan
tata kelola teknologi informasi, dibedakan menjadi lima area utama
(ITGI, 2007):
1) Strategic Alignment, berfokus pada bagaimana mencapai visi
dan misi dari suatu organisasi yang selaras dengan tujuan bisnis
organisasi tersebut.
2) Value Delivery, berfokus pada bagaimana mengoptimalkan
nilai tambah dari teknologi informasi dalam mencapai visi dan
misi suatu organisasi.
23
3) Resources Management, berfokus pada bagaimana sumber
daya dan infrastruktur dapat mencukupi dalam penggunaannya
yang optimal, berkaitan pada investasi yang optimal dari
penggunaan TI yang ada.
4) Risk Management, berfokus pada bagaimana melakukan
identifikasi kemungkinan risiko-risiko yang ada, serta
bagaimana mengatasi dampak dari risiko-risiko tersebut.
5) Performance Measurement, berfokus pada bagaimana
mengukur serta mengawasi kinerja dari teknologi informasi dan
menyesuaikan penggunaan dari TI sesuai dengan kebutuhan
bisnis organisasi.
2.3 COBIT 5
COBIT versi 5 atau dikenal dengan istilah COBIT 5 adalah edisi
terbaru dari Framework COBIT ISACA yang menyediakan penjabaran bisnis
secara end-to-end dari tata kelola teknologi informasi perusahaan untuk
menggambarkan peran utama dari informasi dan teknologi dalam menciptakan
nilai perusahaan.
2.3.1 Pengertian COBIT 5
Menurut ISACA (2012), COBIT (Control Objective for
Information and related Technology) merupakan sekumpulan
dokumentasi dan panduan untuk mengimplementasikan IT
24
Governance, kerangka kerja yang membantu auditor, manajemen, dan
pengguna (user) untuk menjembatani pemisah (gap) antara risiko
bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute (ITGI) yang
merupakan bagian dari Information Systems Audit and Control
Association (ISACA). COBIT sudah mengalami evolusi yang cukup
panjang untuk semakin baik menjadi kerangka kerja yang bisa
digunakan dalam menerapkan Governance of Enterprise IT.
Gambar 2.1 Evolusi COBIT
(Sumber: ISACA, 2012)
COBIT 5 adalah sebuah kerangka kerja untuk tata kelola dan
manajemen teknologi informasi dan semua yang berhubungan, yang
dimulai dari memenuhi kebutuhan stakeholder akan informasi dan
teknologi (ISACA, 2012).
25
2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1
COBIT 5 dengan COBIT 4.1 mempunyai beberapa perbedaan,
terutama dalam pembagian domain dan aktivitas proses kerjanya. Pada
kerangka kerja COBIT 5, terdapat pemisahaan yang tegas antara tata-
kelola dengan manajemen. Tata kelola pada sebagian besar perusahaan
merupakan tanggung jawab dari dewan direksi yang dipimpin oleh
pemilik, sedangkan pengelolaannya merupakan tanggung jawab semua
manajer eksekutif yang dipimpin oleh direktur operasional dalam
menjalankan operasional kerja. Dengan adanya pemisahan ini di
COBIT 5, maka akan memudahkan bagi institusi yang ingin secara
jelas memisahkan antara tata kelola dengan proses operasional rutin.
Gambar 2.2 Area Kunci Tata Kelola dengan Manajemen
(Sumber: Anne Milkovich, Enabling Processes, 2012, P.42)
26
2.3.3 Kerangka Kerja COBIT 5
COBIT 5 merupakan kerangka kerja untuk tata kelola dan
manajemen pengelolaan TI. Kerangka ini juga membantu menciptakan
nilai optimal dari penggunaan TI dengan menyeimbangkan antara
manfaat yang ada dengan optimalisasi risiko dan sumber daya. COBIT
5 memungkinkan TI yang terkait untuk diatur dan dikelola secara
menyeluruh bagi organisasi yang berkaitan dengan proses bisnis end-
to-end secara penuh dan era fungsional tanggung jawab, serta
mempertimbangkan TI sesuai dengan kepentingan stakeholder internal
dan eksternal (COBIT Steering Committee and the ITGI, 2012).
COBIT 5 didasarkan pada 5 prinsip utama untuk tata kelola
dan manajemen organisasi TI seperti pada gambar di bawah ini.
Gambar 2.3 Prinsip-prinsip COBIT 5
(Sumber: ISACA, A Business Framework for the Governance
and Management of Enterprise IT, 2012, P.14)
27
Prinsip 1: Stakeholder Meeting
Kebutuhan dan kegiatan yang ada untuk menciptakan nilai bagi
stakeholder dengan mempertahankan keseimbangan antara realisasi
manfaat dan optimalisasi risiko dalam penggunaan sumber daya.
COBIT 5 menyediakan semua proses yang diperlukan dan enabler lain
untuk mendukung penciptaaan nilai bisnis melalui penggunaan TI. Hal
ini disebabkan setiap organisasi memiliki tujuan yang berbeda,
perusahaan dapat menyesuaikan COBIT 5 sesuai dengan konteksnya
sendiri melalui goal cascade, menerjemahkan tujuan tingkat tinggi
organisasi menjadi dapat dikelola dan spesifik sehingga tujuan yang
terkait TI dan pemetaannya dilaksanakan dalam proses dan praktek
tertentu.
Prinsip 2: Covering the Enterprise End to End
COBIT 5 mengintegrasikan pengelolaan TI ke dalam tata
kelola organisasi, antara lain:
1. Hal ini mencakup semua fungsi dan proses dalam organisasi.
COBIT 5 tidak hanya fokus pada fungsi TI, tetapi penggunaan TI
tersebut sebagai asset yang perlu ditandatangani sama seperti asset
lainnya oleh semua orang dalam organisasi.
2. COBIT 5 menjelaskan bahwa semua tata kelola dan manajemen
TI mampu untuk mengembangkan organisasi dan end-to-end,
yaitu inklusif terhadap segala sesuatu dan semua orang baik
28
internal maupun eksternal. Hal ini relevan dengan tata kelola dan
manajemen TI.
Prinsip 3: Applying a single, Integrated Framework
Ada banyak hal yang berkaitan dengan praktik terbaik yang
berhubungan dengan TI dan memberikan pedoman pada kegiatan TI.
COBIT 5 selaras dengan standard dan kerangka kerja tingkat tinggi
yang relevan dan dapat berfungsi sebagai kerangka kerja untuk tata
kelola dan manajemen organisasi TI.
Prinsip 4: Enabling Holistic Approach
Tata kelola dan manajemen organisasi TI yang efisien dan
efektif membutuhkan pendekatan yang menyeluruh, dengan
mempertimbangkan beberapa komponen yang saling berinteraksi.
COBIT 5 mendefinisikan bagian enabler yang mendukung
pelaksanaan tata kelola yang komprehensif dan sistem manajemen
untuk organisasi TI. Enabler yang didefinisikan secara luas dapat
membantu untuk mencapai tujuan organisasi.
29
Kerangka kerja COBIT 5 mendefinisikan tujuh kategori enabler
adalah sebagai berikut:
1. Prinsip, kebijakan dan kerangka kerja
2. Proses
3. Struktur Organisasi
4. Budaya, etika, dan perilaku
5. Informasi
6. Layanan, infrastruktur, dan aplikasi
7. Orang, keahlian dan kompetensi.
Prinsip 5: Separating Governance from Management
Kerangka kerja COBIT 5 membuat perbedaan yang jelas antara
tata kelola dan manajemen. Kedua disiplin yang mencakup berbagai
jenis kegiatan memerlukan berbagai struktur organisasi dan melayani
tujuan yang berbeda. COBIT 5 menggambarkan kunci perbedaan
antara tata kelola dan manajemen adalah sebagai berikut:
1. Tata kelola (governance) meyakinkan bahwa kebutuhan,
kondisi, dan pilihan stakeholder dievaluasi untuk mencapai
keseimbangan, pencapaian tujuan organisasi, penempatan
arahan melalui prioritasi dan pengambilan keputusan, serta
pengawasan kinerja dan kepatuhan dibandingkan dengan tujuan
dan arahan yang telah disepakati. Dalam sebagian besar
organisasi, tata kelola adalah tanggung jawab dewan direksi di
30
bawah kepemimpinan orang yang memiliki kedudukan.
Tanggung jawab tata kelola secara khusus mungkin
didelegasikan kepada struktur organisasi yang spesifik pada
level yang tepat, khususnya organisasi yang besar dan
kompleks.
2. Manajemen merencanakan, membangun dan menjalankan
kegiatan yang selaras dengan arahan yang dibuat oleh bagian
tata kelola untuk mencapai tujuan organisasi. Pada sebagian
besar organisasi, manajemen adalah pertanggungjawaban
manajemen eksklusif dibawah kepemimpinan CEO.
Dalam COBIT 5 ada 37 proses yang tercakup dalam process
reference model dan terdiri dari governance dan management
process dalam 2 domain utama:
1. Governance (1 domain, 5 process) dengan tiap proses pada
domain evaluate, direct and monitor (EDM) ditentukan.
2. Management (4 domain, 32 process) yang sejalan dengan
tanggung jawab atas area plan, build, run dan monitor
menyediakan end-to-end manajemen TI.
31
2.3.4 Area, Domain, dan Proses COBIT 5
COBIT 5 memiliki 2 area aktivitas utama, 6 domain, 37
process, 210 process practice dan 1112 aktivitas. Dua area aktivitas
utama yakni area Governance dan Management. Area Governance
memiliki 1 domain yakni EDM (Evaluate, Direct, Monitor) dengan 5
proses. Setiap proses memiliki beberapa process practice atau
governance practice. Sedangkan area management terdiri dari 4
domain yakni APO (Align, Plan and Organize), BAI (Build, Acquire
and Implement), DSS (Deliver, Service and Support) dan MEA
(Monitor, Evaluate and Assess) dengan total 32 proses. Setiap proses
memiliki beberapa process practice atau management process. Berikut
proses-proses yang ada pada COBIT 5:
1. Evaluate, Direct and Monitoring Practice (EDM)
Domain tata kelola TI perusahaan berisi lima proses, dimana di
dalam setiap proses berisi tentang evaluate, direct and monitoring
practice (EDM) yang telah ditetapkan. Proses-proses dalam EDM
dapat dilihat pada tabel 2.3 dibawah ini:
32
Tabel 2.1 Proses EDM
Proses EDM Penjelasan
EDM01 Memastikan Pengaturan Kerangka Kerja Tata
Kelola dan Pemeliharaan
EDM02 Memastikan Penyampaian Manfaat
EDM03 Memastikan Optimasi Risiko
EDM04 Memastikan Optimasi Sumber Daya
EDM05 Memastikan Transparansi Stakeholder
(Sumber: ISACA, 2012)
2. Align, Plan and Organize (APO)
Domain Align, Plan and Organize mencakup penggunaan informasi,
teknologi dan bagaimana cara terbaik penggunaan informasi dan
teknologi dalam sebuah organisasi untuk membantu mencapai tujuan
dan sasaran organisasi. Proses-proses dalam APO dapat dilihat pada
tabel 2.2 dibawah ini:
Tabel 2.2 Proses APO
Proses APO Penjelasan
APO01 Mengelola Kerangka Kerja Manajemen TI
APO02 Mengelola Strategi
APO03 Mengelola Enterprise Architecture
APO04 Mengelola Inovasi
APO05 Mengelola Portofolio
APO06 Mengelola Anggaran dan Biaya
APO07 Mengelola Hubungan Manusia
(Sumber: ISACA, 2012)
33
Tabel 2.2 Proses APO (lanjutan)
Proses APO Penjelasan
APO08 Mengelola Hubungan
APO09 Mengelola Perjanjian Layanan
APO10 Mengelola Pemasok
APO11 Mengelola Kualitas
APO12 Mengelola Risiko
APO13 Mengelola Keamanan
(Sumber: ISACA, 2012)
3. Build, Acquire and Implement (BAI)
Domain Build, Acquire and Implement meliputi identifikasi kebutuhan
TI, penguasaan teknologi, dan pengimplementasiannya dalam proses
bisnis perusahaan saat ini. Proses-proses dalam BAI dapat dilihat pada
tabel dibawah ini:
Tabel 2.3 Proses BAI
Proses BAI Penjelasan
BAI01 Mengelola Program dan Proyek
BAI02 Manage Definisi Persyaratan
BAI03 Mengelola Identifikasi Solusi dan Membangun
BAI04 Mengelola Ketersediaan dan Kapasitas
BAI05 Mengelola Pemberdayaan Perubahan Organisasi
BAI06 Mengelola Perubahan
BAI07 Mengelola Penerimaan Perubahan dan Transisi
BAI08 Mengelola Pengetahuan
BAI09 Mengelola Aset
BAI10 Mengelola Konfigurasi
(Sumber: ISACA, 2012)
34
4. Deliver, Service and Support (DSS)
Domain Deliver, Service and Support berfokus pada aspek
penyampaian teknologi informasi. Domain ini mencakup bidang-
bidang seperti eksekusi aplikasi di dalam sistem TI dan hasil-hasilnya,
serta proses pendukung yang memungkinkan pelaksanaan sistem TI
yang efektif dan efisien. Proses-proses dalam DSS dapat dilihat pada
tabel 2.6 dibawah ini:
Tabel 2.4 Proses DSS
Proses DSS Penjelasan
DSS01 Mengelola Operasi
DSS02 Mengelola Layanan Permintaan dan Insiden
DSS03 Mengelola Masalah
DSS04 Mengelola Keberlangsungan
DSS05 Mengelola Layanan Keamanan
DSS06 Mengelola Pengendalian Proses Bisnis
(Sumber: ISACA, 2012)
5. Monitor, Evaluate and Assess (MEA)
Domain Monitor, Evaluate and Assess berhubungan dengan strategi
perusahaan dalam menilai kebutuhan perusahaan dan menilai apakah
sistem TI saat ini masih memenuhi tujuan yang sudah dirancang dan
pengendalian yang diperlukan untuk memenuhi regulasi persyaratan.
Proses-proses dalam MEA dapat dilihat pada dibawah ini:
35
Tabel 2.5 Proses MEA
MEA Proses Keterangan
MEA01 Monitor, Evaluasi dan Menilai Kinerja dan
Kesesuaian
MEA02 Monitor, Evaluasi dan Menilai Sistem Pengendalian
Internal
MEA03 Mengevaluasi dan Menilai Kepatuhan dengan
Persyaratan Eksternal
(Sumber: ISACA, 2012)
2.3.5 Domain COBIT 5
Gambar 2.4 Area Domain dan Proses Pada COBIT 5
(Sumber: ISACA, 2012)
36
Pada gambar 2.4 dapat kita lihat bahwa hirarki COBIT 5
terdapat 2 aktivitas, yaitu Governance dan Management. Pada area
Governance terdiri dari 1 domain, yaitu Evaluate, Direct dan Monitor
(EDM). Total proses terdiri dari 5 bagian. Pada area Management
terdiri dari 4 domain, yaitu APO (Align, Plan, Organization), BAI
(Build, Acquare, Implement), DSS (Deliver, Service, Support) dan
MEA (Monitor, Evaluate, Asses). Jumlah prosesnya ada 32 buah. Jika
diringkas, maka COBIT 5 terdiri dari 2 area aktivitas utama, 6 domain,
37 proses dan 210 praktik proses dan 1.112 aktivitas.
2.3.6 COBIT Process Assesment Model (PAM)
Menurut ISACA (2011:1), pada tahun 2010 ISACA
menemukan bahwa 89% dari sekitar 1.400 responden survei
menyatakan bahwa mereka memiliki kebutuhan akan penilaian
kapabilitas proses IT yang tepat dan dapat diandalkan. Gary Baker,
CA, CGEIT, mengatakan bahwa COBIT PAM yang didasarkan pada
COBIT 4.1 dan ISO/IEC 15504-2:2003 Information Technology-
Process Assessment-Part 2: Performing an assessment memenuhi
kebutuhan tersebut. Baker mengemukakan bahwa, “COBIT PAM
menyediakan dasar bagi penilaian proses IT perusahaan terhadap
COBIT 4.1 dan memungkinkan penilaian kapabilitas proses untuk
mendukung peningkatan. Penilaiannya berdasarkan bukti untuk
37
memastikan bahwa proses penilaian dapat diandalkan, konsisten, dan
dapat dilakukan rutin di area tata kelola dan manajemen IT”.
Menurut ISACA (2011:7), COBIT 4.1 PAM dibuat
berdasarkan COBIT 4.1 dan International Organization for
Standardization (ISO)/International Electrotechnical Commission
(IEC) 15504. Model ini digunakan sebagai dokumen basis referensi
untuk menilai performa kapabalitas IT organisasi.
Gambar 2.5 Indikator Penilaian
(Sumber: ISACA, 2012)
Berdasarkan gambar 2.5 di atas terdapat dua dimensi model,
yaitu dimensi proses dan dimensi kapabilitas. Dimensi proses
didefinisikan dan diklasifikasikan menjadi kategori-kategori proses.
38
Dimensi kedua yaitu dimensi kapabilitas adalah sekumpulan atribut
proses yang dikelompokkan ke dalam level kapabilitas. Atribut proses
digunakan untuk menentukan apakah suatu proses telah mencapai
kapabilitas tertentu.
2.3.6.1 Indikator Penilaian (Assesment Indicators)
Indikator penilaian digunakan untuk menilai apakah
atribut proses telah tercapai. Indikator penilaian tersebut dapat
dilihat pada gambar 2.6 di bawah ini.
Gambar 2.6 Model Kapabilitas Proses COBIT 5
(Sumber: ISACA, 2012)
39
Dari gambar 2.6 di atas, ada dua tipe indikator penilaian, yaitu:
1. Indikator atribut kapabilitas proses (process capability
attribute indicators) yang diterapkan pada semua proses,
tetapi indikator tersebut berbeda untuk setiap kapabilitas.
Tetapi di tingkat 1, hanya ada satu indicator generic
practice untuk kapabilitas yang secara langsung terhubung
dengan pencapaian indikator kinerja khusus.
2. Indikator kinerja proses (process performance indicators),
yang diterapkan khusus untuk tingkat kapabilitas 1.
Indikator kinerja proses yang berupa base practice dan
work product bersifat spesifik untuk setiap proses dan
digunakan untuk menentukan apakah suatu proses sudah
berada ditingkat kapabilitas 1.
2.3.6.2 Skala Penilaian
Setiap atribut dinilai dengan menggunakan standar
penilaian yang ditentukan oleh standar ISO/IEC 15504.
Penilaian tersebut terdiri dari:
1. N (Not achieved)
Hanya ada sedikit bukti atau tidak ada bukti
pencapaian atribut tertentu pada proses yang dinilai
(pencapaian 0 sampai 15 persen).
40
2. P (Partially achieved)
Ada beberapa bukti yang mendekati dan beberapa
pencapaian atribut tertentu pada proses yang dinilai.
Beberapa aspek pencapaian atribut mungkin tidak
bisa diprediksi (pencapaian 15 sampai 50 persen).
3. L (Largely achieved)
Ada bukti yang secara sistematis mendekati dan
pencapaian yang signifikan terhadap atribut tertentu
pada proses yang dinilai. Beberapa kelemahan
terkait atribut tersebut mungkin muncul pada proses
yang dinilai (pencapaian 50 sampai 85 persen).
4. F (Fully achieved)
Ada bukti yang lengkap dan secara sistematis
mendekati serta atribut tertentu pada proses yang
dinilai telah tercapai seluruhnya. Tidak ada
kelemahan yang signifikan berkaitan dengan atribut
pada proses yang dinilai (pencapaian 85 sampai 100
persen).
41
2.3.6.3 Penentuan Tingkat Kapabilitas
Tingkat kapabilitas suatu proses ditentukan berdasarkan
apakah atribut-atribut proses pada level tersebut telah sebagian
besar tercapai atau telah tercapai seluruhnya, serta apakah
atribut-atribut proses di tingkat-tingkat yang sebelumnya telah
tercapai seluruhnya. Berikut ini merupakan tingkatan dan
penilaian yang harus dicapai yang terlihat pada tabel 2.6.
Tabel 2.6 Penilaian Tingkat Kapabilitas Proses
Scale Process Attributes Rating
Level 1 - Process Performance - Largely or Fully
Level 2
- Process Performance
- Performenace Management
- Work Product Management
- Fully
- Largely or Fully
- Largely or Fully
Level 3
- Process Performance
- Performenace Management
- Work Product Management
- Process Definition
- Process Deployment
- Fully
- Fully
- Fully
- Largely or Fully
- Largely or Fully
Level 4
- Process Performance
- Performenace Management
- Work Product Management
- Process Definition
- Process Deployment
- Process Measurement
- Process Control
- Fully
- Fully
- Fully
- Fully
- Fully
- Largely or Fully
- Largely or Fully
Level 5
- Process Performance
- Performenace Management
- Work Product Management
- Process Definition
- Process Deployment
- Process Measurement
- Process Control
- Process Innovation
- Process Optimization
- Fully
- Fully
- Fully
- Fully
- Fully
- Fully
- Fully
- Largely or Fully
- Largely or Fully
(Sumber: Adella, 2013)
42
Dari tabel 2.6 di atas terlihat bahwa untuk mencapai
level yang lebih tinggi, maka atribut-atribut proses yang ada di
level sebelumnya harus tercapai seluruhnya. Jika ada atribut
proses yang belum tercapai, proses tersebut akan berada di
level yang lebih rendah, misalnya level 0 atau 1. Untuk
mencapai tingkat kapablitas 1, maka harus dilakukan penilaian
untuk setiap proses yang dipilih untuk menetukan apakah
proses tersebut benar-benar dilakukan dan outcomes proses
terebut tercapai. Dalam melakukan penilaian untuk tingkat
kapabilitas 1 untuk setiap proses, harus dutentukan pencapaian
outcomes dari proses-proses tersebut dengan menggunakan
skala penilaian seperti yang dijelaskna sebelumnya. Untuk
tingkat kapabilitas 2 sampai 5 kriteria penilaian bersifat
generic, yaitu kriterianya sama untuk semua proses. Penilaian
tingkatan masing-masing atribut proses didasarkan pada berapa
banyak criteria yang dipenuhi, yang selanjutnya dinilai dengan
menggunakan skala penilaian seperti yang dijelaskan
sebelumnya.
43
2.3.7 Tahapan Melakukan Pengukuran
Dalam melakukan pengukuran kapabilitas COBIT 5, ISACA
telah melakukan memiliki langkah-langkah untuk melakukan mapping
sampai dengan melakukan penilaian tingkat kapabilitas tata kelola
teknologi informasi pada suatu organisasi.
1. Membuat Mapping/Pemetaan Antara Visi dan Misi Dengan
Enterprise Goals Pada COBIT 5
Suatu organisasi umumnya telah memiliki visi, misi, strategi, nilai
dan kebijakan. Fakta dalam organisasi tersebut kemudian
dibuatkan list untuk kemudian dipetakan ke Enterprise Goals.
ISACA telah melakukan penelitian terhadap perusahaan
perusahaan untuk mendapatkan tujuan perusahaan dan
mengkategorikan dalam 4 klasifikasi balanced scorecard, yaitu
Keuangan (Finance), Pelanggan (Customer), Internal dan
Pembelajaran dan Pertumbuhan (Learning & Growth). ISACA
dalam COBIT 5 telah memberikan panduan untuk menentukan
Enterprise Goals. COBIT 5 telah menentukan seluruh tujuan
organisasi menjadi 17 buah. Seluruh tujuan perusahaan dapat kita
temukan dalam dokumen visi misi dan strategi perusahaan. Setelah
kita mendapatkan seluruh tujuan tersebut, maka kita petakan
kepada Enterprise Goals seperti pada gambar 2.7 di bawah ini.
44
Gambar 2.7 Pemetaan Visi dan Misi dengan Enterprise Goals
(Sumber: ISACA, 2012)
2. Membuat Mapping/Pemetaan Dari Enterprise Goals Menjadi
IT-Related Goals
Setelah kita mendapatkan enterprise goals, tahapan selanjutnya
adalah mencari IT related goals dengan menggunakan gambar 2.8.
45
aaaaaaaaaaaaaa
Gambar 2.8 Pemetaaan Entreprise Goals ke IT-Related Goals
(Sumber: ISACA, 2012)
46
Dari gambar 2.8 tersebut dapat kita lihat bahwa setelah data
enterprise goals selesai kita tandai di kolom horizontal, maka dapat
kita lanjutkan dengan melihat pada sumbu vertikal, yaitu IT-related
goals.
3. Membuat Mapping/Pemetaan Antara IT-Related Goals dan
Proses Pada COBIT 5
Pada tahapan ini, diperoleh daftar proses yang dinilai. Untuk
mendapatkan daftar proses tersebut, COBIT 5 telah membuat
petunjuk berupa tabel pemetaan antara IT-Related Goals menjadi
COBIT 5 Process. Tahapan sebelumnya sampai tahapan ini
bertujuan untuk penilaian suatu tata kelola yang berkaitan dengan
tata kelola perusahaan beserta strateginya. Adapun tahapan antara
IT-Related Goals menjadi COBIT 5 Process dapat dilihat pada
gambar 2.9 di bawah ini.
47
Gambar 2.9 Pemetaan IT-Related Goals menjadi COBIT 5 Process
(Sumber: ISACA, 2012)
48
Dari tabel 2.8 di atas, dapat kita petakan antara sumbu horizontal
yang berupa IT-Related Goals dan sumbu vertikal yang
merupakan daftar proses pada COBIT 5 yang harus dilakukan
penilaian tingkat kapabilitasnya.
4. Melakukan Penilaian Terhadap Proses-Proses Yang
Ditentukan Pada Tahap Sebelumnya.
Pada tahapan ini dilakukan penilaian pada proses-proses COBIT 5
yang terpilih pada tahapan sebelumnya. Pada tahapan ini,
penilaian setiap proses dilakukan pada suatu tabel yang pada
tulisan ini terdapat pada lampiran 1 sampai dengan lampiran 37.
Adapun penilaiannya dikategorikan sebagai berikut.
Tabel 2.7 Skala Penilaian Proses COBIT 5
N - 0% - 15 % P - 15% - 50% L – 50% - 85% F – 85% - 100%
(Sumber: ISACA, 2012)
Arti dari kode pada tabel 2.7 tersebut adalah:
N = Not Achieved (Tidak Memenuhi)
P = Partially Achieved (Memenuhi Sebagian Kecil)
L = Largely Achieved (Memenuhi Sebagian Besar)
F = Fully Achieved (Memenuhi Keseluruhan)
49
Tingkat kapabilitas suatu proses bisa diperhitungkan apabila berada
pada kategori L (memenuhi sebagian besar) dan F (memenuhi
keseluruhan). Suatu proses bisa dinilai di jenjang selanjutnya
apabila telah memenuhi keseluruhan proses dengan nilai F
(memenuhi keseluruhan).
2.3.8 Proses COBIT 5 Yang Menjadi Titik Evaluasi
Berikut ini merupakan daftar proses COBIT 5 yang dilakukan
pengukuran dan perbaikan beserta penjelasan mengenai masing-
masing prosesnya, yaitu:
1. Proses EDM02 – Ensure Benefits Delivery
Menurut ISACA (2012:38), deskirpsi dari proses EDM02
adalah memastikan keuntungan-keuntungan-keuntungan dari nilai TIK
yang dimiliki perusahaan dapat diterima, dimengerti,
dikomunikasikan, serta dilakukan kegiatan pengidentifikasian. Tujuan
dari proses ini adalah memastikan bahwa penyampaian keuntungan
dari penggunaan penyampaian keuntungan dari penggunaan aspek-
aspek TIK terhadap perusahaan dapat berjalan lancer, serta tetap
mengidentifikasikan dan mengelola segala kemungkinan yang dapat
menyebabkan penyampaian keuntungan tersebut bermasalah.
50
2. Proses APO02 – Manage Strategy
Menurut ISACA (2012:57), deskripsi dari proses APO02
adalah mengklarifikasikan dan menjaga pengelolaan strategi divisi IT,
serta mengimplementasikan dan menjaga mekanisme dan otoritas dari
strategi TIK dengan strategi perusahaan yang telah ditetapkan.
3. Proses APO04 - Manage Innovation
Menurut ISACA (2012:69), deskripsi dari proses APO04
adalah menjaga kesadaran pada tren mengenai IT dan layanan sejenis,
mengidentifikasi kesempatan inovasi, dan merencanakan bagaimana
caranya untuk mendapatkan keuntungan dari inovasi dalam kaitannya
dengan kebutuhan bisnis. Analisis kesempatan yang ada untuk inovasi
bisnis atau perbaikan yang bisa dibuat dengan teknologi baru, layanan
atau inovasi dibidang IT bisnis, analisis pula teknologi yang sudah ada
dan inovasi bisnis dan proses IT yang mempengaruhi perencanaan
strategis dan keputusan arsitektural perusahaan. Tujuan dari proses
tersebut adalah mencapai keunggulan kompetitif, inovasi bisnis, dan
peningkatan efektivitas dan efisiensi operasional dengan
mengeksploitasi perkembangan IT.
51
4. Proses APO07 - Manage Human Resources
Menurut ISACA (2012:83), deskripsi dari proses APO07
adalah menyediakan pendekatan terstruktur untuk memastikan
penataan, penempatan, keputusan dan keterampilan sumber daya
manusia yang optimal. Hal ini termasuk mengkomunikasikan peran
dan tanggung jawab, rencana pembelajaran dan pengembangan dan
ekspektasi kinerja yang didukung oleh staf-staf kompeten dan
termotivasi. Tujuan dari proses tersebut adalah mengoptimalkan
kemampuan sumber daya manusia untuk memenuhi tujuan
perusahaan.
5. Proses BAI04 - Manage Availability and Capacity
Menurut ISACA (2012:141), deskripsi dari proses BAI04
adalah menyeimbangkan kebutuhan saat ini dan masa mendatang baik
dalam segi ketersediaan, kinerja, dan kapasitas dengan penyediaan
layanan dengan biaya efektif, termasuk penilaian kemampuan saat ini,
peramalan kebutuhan masa mendatang berdasarkan kebutuhan bisnis,
analisis dampak bisnis, dan penilaian risiko untuk merencanakan dan
melaksanakan tindakan dalam memenuhi persyaratan yang
teridentifikasi. Tujuan dari proses tersebut adalah menjaga
ketersediaan layanan, manajemen sumber daya yang efisien, dan
mengoptimalkan kinerja sistem melalui prediksi kinerja masa depan
dan kebutuhan kapasitas.
52
6. Proses BAI08 - Manage Knowledge
Menurut ISACA (2012:159), deskripsi dari proses BAI08
adalah mempertahankan ketersediaan dari pengetahuan relevan saat
ini, yang sudah divalidasi dan dapat dipercaya untuk mendukung
seluruh aktivitas proses dan memfasilitasikan pembuatan keputusan.
Proses ini juga bertujuan untuk pengidentifikasian, pengumpulan,
pengorganisasian, pemeliharaan, penggunaan dan penghapusan
pengetahuan yang sudah tidak relevan lagi. Tujuan dari proses tersebut
adalah menyediakan pengetahuan yang dibutuhkan untuk mendukung
seluruh staff dalam aktivitas pekerjaannya dan untuk
menginformasikan pembuatan keputusan dan meningkatkan
produktivitas.
7. Proses BAI09 - Manage Assets
Menurut ISACA (2012:163), deskripsi dari proses BAI09
adalah mengelola aset melalui siklus hidupnya untuk memastikan agar
aset memberikan nilai pada biaya yang optimal, tetap operasional,
dicatat dan secara fisik dilindungi, dan asset yang penting untuk
mendukung kemampuan servis tetap tersedia. Pengelolaan lisensi
software berguna untuk memastikan suatu optimalisasi didapatkan,
dipertahankan dan dikerahkan dalam hubungan antara kebutuhan
bisnis dan software yang diinstal pada perusahaan sesuai dengan
persetujuan lisensi. Tujuan dari proses tersebut adalah pencatatan
53
seluruh aset IT dan pengoptimalisasian nilai yang diberikan oleh aset
tersebut.
8. Proses DSS03 - Manage Problems
Menurut ISACA (2012:181), deskripsi dari proses DSS03
adalah mengidentifikasi dan mengklasifikasi problem dan
penyebabnya dan menyediakan resolusi dengan jangka waktu untuk
mencegah terulangnya insiden dan memberikan rekomendasi untuk
perbaikan. Tujuan dari proses tersebut adalah meningkatkan
ketersediaan, memperbaiki level layanan, mengurangi biaya, dan
meningkatkan kenyaman pelanggan, serta kepuasan dengan
mengurangi jumlah problem operasional.
9. Proses DSS04 - Manage Continuity
Menurut ISACA (2012:185), deskripsi dari proses DSS04
adalah menetapkan dan menjaga rencana untuk memungkinkan bisnis
dan IT merespon insiden dan gangguan dalam upaya melanjutkan
operasi proses bisnis yang penting dan layanan IT yang dibutuhkan
dan menjaga ketersediaan informasi di tingkat yang bisa diterima
perusahaan. Tujuan dari proses tersebut adalah melanjutkan operasi
proses bisnis yang penting dan menjaga ketersediaan informasi di
tingkat yang bisa diterima perusahaan ketika terjadi gangguan yang
signifikan.
54
2.3.9 Perbandingan COBIT 5 dengan Framework Lain
Menurut ISACA 2012, COBIT 5 merupakan gabungan dari
COBIT 4.1, Val IT dan Risk IT dalam 1 kerangka kerja, dan telah
diperbaharui untuk diselaraskan dengan best practice yang terkini,
seperti ITIL V3, TOGAF, ISO/IEC 20000, dll. Berikut merupakan
gambar pemetaaan beberapa framework penilaian standarisasi TIK
terhadap COBIT 5.
Gambar 2.9 Cakupan antara COBIT 5 dan framework lainnya
(Sumber: ISACA, 2012)
Pada gambar 2.9 dapat kita lihat bahwa perbandingan ruang lingkup
COBIT 5 dengan standar ataupun kerangka kerja lainnya.
55
1. ISO 38500
Merupakan standar ISO untuk Tata Telola TI. Standar ini terdiri
dari 6 prinsip, yaitu: Penanggungjawab, Strategy, Akuisisi,
Performansi, Kesesuaian dan Perilaku karyawan.
2. ISO 31000
Merupakan standar internasional pedoman penerapan manajemen
risiko yang diterbitkan oleh International Organization for
Standardization
3. ISO 27000
ISO 27000 adalah standar ISO dalam keamanan informasi.
4. PRINCE/PMBOK
Merupakan standar dalam menjalankan proyek manajemen
5. TOGAF
TOGAF adalah suatu kerangka kerja arsitektur perusahaan yang
memberikan pendekatan komprehensif untuk desain, perencanaan,
implementasi dan tata kelola arsitektur informasi perusahaan.
Arsitektur ini biasanya dimodelkan dengan empat tingkat domain
yaitu bisnis, aplikasi, data dan teknologi.
56
6. CMMI
CMMI merupakan suatu pendekatan perbaikan proses yang
memberikan unsur-unsur penting proses efektif bagi organisasi.
7. ITIL dan ISO 20000
ITIL dan ISO 20000 adalah standar internasional pertama unuk
manajemen dengan layanan teknologi informasi (ITSM, IT Service
Management)
Dari gambar 2.9 tersebut dapat kita simpulkan bahwa
kerangka kerja COBIT 5 merupakan kerangka kerja COBIT 5
merupakan kerangka kerja tata kelola TI yang lengkap dan
komprehensif. Oleh karena itu, penulis memutuskan untuk
menggunakan COBIT dalam penelitian ini.
2.4 RACI Chart
RACI Chart adalah tugas yang disarankan terhadap tingkat tanggung jawab
praktik proses untuk peran dan struktur yang berbeda. Peran suatu perusahaan
mencerminkan peran dari TI. Berbagai keterlibatannya yaitu:
1. Responsibility (R) adalah menjelaskan tentang siapa yang akan
mendapatkan tugas yang harus dilakukan, merujuk pada peran utama atau
57
penanggung jawab pada kegiatan operasional, memenuhi kebutuhan dan
menciptakan hasil yang diinginkan perguruan tinggi.
2. Accountable (A) menjelaskan tentang siapa yang akan bertanggung
jawab atas keberhasilan tugas. Merujuk pada pertanggungjawaban secara
keseluruhan atas tugas yang telah dilakukan.
3. Consulted (C) menjelaskan tentang siapa yang memberikan masukan.
Merujuk pada peran yang bertanggung jawab untuk memperoleh
informasi dari unit lain.
4. Informed (I) menjelaskan tentang siapa yang menerima informasi.
Merujuk pada peran dan tanggung jawab untuk menerima informasi yang
tepat untuk mengawasi setiap tugas yang dilakukan.
RACI Chart dapat digunakan untuk membagun struktur organisasi
yang diperlukan dan tanggung jawab proses atas praktik manajemen yang
relevan dengan menguraikan tanggung jawab, akuntabilitas, konsultasi, dan
informasi dengan jelas.
2.5 Studi Literatur
Pada penelitian ini, penulis melakukan studi literatur terhadap
penelitian-penelitian yang sebelumnya telah dilakukan. Penelitian-penelitian
tersebut yaitu:
58
1. Pengukuran Tingkat Kapabilitas Dan Perbaikan Tata Kelola Teknologi
Informasi Berdasarkan Kerangka Kerja COBIT 5 Dan ITIL V3 2011: Studi
Kasus PT.XYZ (Saputra, 2013)
Penelitian yang dilakukan oleh Saputra (2013), membahas
tentang pengukuran tingkat kapabilitas proses-proses TI di organisasi dan
memberikan rekomendasi aktivitas yang dapat dilakukan untuk perbaikan
proses-proses TI dengan menggunakan kerangka kerja best practice untuk
menyelesaikan masalah yang dihadapi di organisasi. Pendekatan yang
dilakukan beliau dalam penelitian ini adalah menggunakan pendekatan
buttom-up yang dimulai dari mencari permasalahan yang ada di organisasi.
Kemudian dengan menggunakan service lifecycle ITIL V3 2011 yakni
Service Design, Service Transition dan Service Operation, dilakukan
pemetaan proses-proses pada ITIL V3 2011 dengan proses-proses pada
COBIT 5 untuk menemukan permasalahan-permasalahan yang ada dan
menentukan proses-proses COBIT yang relevan dengan permasalah tersebut.
Setelah menemukan proses-proses COBIT 5 yang relevan, maka dilakukan
pengukuran tingkat kapabilitasnya, menentukan target yang dicapai,
menentukan gap analysis, membuatkan prioritas perbaikan, menentukan KPI
(Key Performance Indicator) dan membuatkan rekomendasi aktivitas untuk
setiap process practice untuk mendukung tujuan proses. Adapun hasil
pengukuran tingkat kapabilitas proses dengan menggunakan PAM (Process
Assesment Model), menunjukkan bahwa proses-proses yang diukur tingkat
59
kapabilitasnya masih berada pada level 1 (performed) dan level 2
(managed). Tingkat kapabilitas proses yang diukur masih di bawah rata-rata
(level 3) karena proses-proses yang diukur ini hanyalah proses-proses yang
relevan dengan permasalahan yang dihadapi organisasi.
2. Penyusunan Indikator Kinerja Utama Bidang Teknologi Informasi Dengan
Pendekatan Balance Scorecard Dan COBIT 5: Studi Kasus PT. Mercedes-
Benz Indonesia (Alfi, 2014)
PT.Mercedes-Benz Indonesia sangat bergantung pada sistem
teknologi informasi yang dikelola oleh departemen TI dalam menjalankan
bisnisnya. Departemen TI berfungsi sebagai enabler terhadap strategi bisnis
organisasi dan bertugas untuk melayani kebutuhan bisnis, baik berupa
infrastruktur TI maupun aplikasi yang berjalan di atas infrastruktur tersebut.
Untuk mengetahui apakah pelayanan dari departemen TI sudah sesuai
dengan harapan kebutuhan bisnis maka perlu dilakukan pengukuran kinerja.
Penelitian yang dilakukan oleh Alvi (2014) bertujuan untuk mengidentifikasi
permasalahan departemen TI yang berkaitan dengan pengukuran kinerja dan
menyusun indikator kinerja utama yang digunakan sebagai acuan
pengukuran kinerja TI secara keseluruhan pada PT.Mercedes-Benz
Indonesia. Hasil dari penelitian beliau adalah menghasilkan 20 sasaran
strategis dan 26 indikator kinerja utama yang didapat dari proses cascading
ITM Operating Model terhadap kerangka kerja COBIT 5 dan penggunaan
konsep strategy maps serta balance scorecard.
60
3. Penilaian Tata Kelola IT menggunakan Pendekatan COBIT 5 Pada PT.
Ciomas Adisatwa II (Heyckal, 2013)
Penelitian yang dilakuka oleh Heyckal (2013) bertujuan untuk
mengetahui kondisi penerapan tata kelola TIK yang berjalan di PT Ciomas
Adisatwa II saat ini dan juga mengetahui titik lemah yang membuat investasi
TIK tidak optimal agar dapat diberikan saran dan rekomendasi jika ada
perbaikan yang perlu ditingkatkan. Kemudian melakukan penilaian tata
kelola TIK yang sedang berjalan dan diharapkan dapat mengusulkan
perbaikan kinerja TIK di PT. Ciomas Adisatwa II menggunakan maturity
level dengan COBIT 5 sebagai pedoman. Dari peneltian beliau diperoleh
data bahwa saat ini terdapat 0 proses pada level 0,6 proses pada level 1,8
proses pada level 2,3 proses pada level 3,0 proses pada level 4 dan 1 proses
pada Level 5. Pengelolaan TIK di dalam PT. Ciomas Adisatwa II sudah
dilakukan dengan cukup baik, karena pada level 2 performa proses telah
dikelola yang mencakup perencanaan, monitoring, dan penyesuaian. Work
product-nya dijalankan, dikontrol, dikelola dengan tepat yang mencakup
pengukuran pengelolaan performa proses (performance management). Hasil
penelitian tata kelola TIK dengan menggunakan pendekatan capability level
pada COBIT 5 menunjukkan bahwa departemen IT pada PT. Ciomas
Adisatwa II berada pada level 2 (managed process), dengan nilai sebesar
2,00. Dalam menciptakan tata kelola TIK yang sesuai dengan standar
internasional maka sebaiknya perusahaan merapikan tata kelola TIK secara
61
menyeluruh dan berkelanjutan. Proses ini dapat dimulai dengan fokus pada
pencapaian level 2 secara bertahap hingga mencapai level 5, yaitu dengan
cara melengkapi semua output proses yang teridentifikasi sebagai titik lemah
dari tata kelola TIK perusahaan.
4. Evaluasi Layanan Teknologi Informasi Di Kementerian Komunikasi Dan
Informatika Berdasarkan ITIL V3 2011 dan COBIT 5 (Puti, 2012)
Penelitian yang dilakukan oleh Puti (2012), membahas tentang
evaluasi layanan TI di Kementerian Kominfo, penelitian level capability
proses-proses TI dan Gap Analysis yang mengacu pada framework COBIT
5, menentukan prioritas proses-proses TI di COBIT 5 dalam meningkatkan
layanan TI serta memberikan rekomendasi KPI (Key Performance Indicator)
dalam perbaikan layanan TI. Hasil dari penelitian ini menyebutkan 26 (dua
puluh enam) proses pada kelima Service Lifecycle belum dilakukan oleh
PDSI (Pusat Data dan Sarana Informatika) Kementerian Kominfo dengan
baik. Kemudian semua proses ITIL V3 2011 dipetakan ke dalam framework
COBIT 5, dilakukan pengukuran level capability 18 (delapan belas) proses-
proses TI di COBIT 5 ditemukan level capability-nya pada level 1 dan level
2. Gap Analisis level capability pada proses-proses TI COBIT 5 antara
kondisi “as-is” dan kondisi “to-be” yang berada mayoritas pada level 4 dan
sisanya pada level 5. Prioritas proses-proses TI yang berada pada level 1
diprioritaskan untuk dilakukan peningkatan level capability-nya menjadi
level 2 dan level 2 dapat ditingkatkan menjadi level 3 serta adanya
62
rekomendasi KPI sebagai contoh pengukuran tingkat kepuasan pegawai dan
pengukuran jumlah pegawai yang mengikuti pelatihan sebagai indikator
perbaikan proses layanan TI di Kementerian Kominfo.
5. Pengukuran Kematangan Pelaksanaan Teknologi Informasi menggunakan
COBIT 5 DAN PMBOK (Studi Kasus Pada ATI Business Group) (Satya,
2014)
Kesuksesan proyek dari berbagai organisasi adalah tergantung
dari seberapa efektif pengelolaan dan pengendalian dukungan organisasi
untuk memastikan bahwa hasil yang diharapkan dapat terealisasi. Dari
analisis data dan fakta yang dilakukan Satya (2014), ditemukan bahwa 16 %
penyebab kegagalan proyek diakibatkan oleh kurangnya dukungan
organisasi/strategi (governance). Penelitian yang dilakukan oleh beliau
bermula dari terjadinya kegagalan proyek TI di ATI Business Group.
Berdasarkan fakta yang ditemukan belum adanya penerapan dari IT
Governance menyebabkan risiko terjadinya kegagalan dalam proyek TI
maupun operasional sangat besar. Adapun tujuan dari penelitian ini adalah
membantu perusahaan untuk memiliki standar metode evaluasi yang dapat
mengukur kematangan pelaksanaan proyek TI dengan lebih akurat.
Kemudian penelitian ini juga bertujuan untuk memberikan rekomendasi bagi
perusahaan untuk menetapkan standar IT Governance dalam menjalankan
proyek TI baik proyek eksternal maupun internal. Hasil dari evaluasi dengan
menggunakan pendekatan capability level pada COBIT 5 menunjukkan
63
bahwa kematangan pengelolaan proyek TI pada ATI Business Group berada
pada level 1 (performed process), dengan nilai sebesar 0,22. Saat ini terdapat
8 proses pada level 0, 0 proses pada level 1, 1 proses pada level 2, 0 proses
pada level 3, 0 proses pada level 4, dan 0 proses pada level 5. Berdasarkan
hasil perhitungan, capability level dari pengelolaan proyek TI pada ATI
Business Group saat ini adalah 0,22 sedangkan target capability level yang
dihadapkan oleh perusahaan adalah 3,00, maka terdapat gap sebesar 2,78.
6. Identifikasi Risiko Dan Kontrol Teknologi Informasi Berdasarkan COBIT 5
Dan Sarbanes-Oxley: Studi Kasus PT.XYZ Tbk. (Alida, 2013)
Pada tahun 2012, IT Governance Institute (ITGI) meluncurkan
versi terbaru dari kerangka kerja COBIT, yaitu COBIT 5. Peluncuran
COBIT versi terbaru tersebut mengakibatkan munculnya perbedaan antara
risiko dan kontrol pada COBIT 4.1 dan COBIT 5. Sebelumnya, perusahaan
PT.XYZ Tbk menggunakan COBIT versi 4.1, yang dijembatani dengan
Control Objectives for Sarbanes-Oxley sebagai dasar identifikasi risiko dan
kontrol untuk mencapai tata kelola yang baik. Dengan perbedaan tersebut,
maka PT. XYZ merasa pelu menerapkan COBIT 5 dalam penentuan proses
TI dan identifikasi risiko dan kontrol untuk diterapkan pada perusahaan.
Penelitian yang dilakukan oleh Alida (2013) ini bertujuan untuk mengetahui
proses TI yang dapat diterapkan pada perusahaan berdasarkan COBIT 5,
mengetahui status penerapan proses TI, mengidentifikasi risiko yang terkait
proses TI, mengidentifikasi aktivitas dan pembagian tanggung jawab di
64
perusahaan untuk menanggulangi risiko TI tersebut. Adapun hasil penelitian
yang dilakukan beliau yaitu terdapat 16 proses di COBIT 5 yang relevan
dengan penerapan SOX (Sarbanes-Oxley) serta status penerapannya, antara
lain : APO09 = Sebagian diterapkan, APO10 = Sudah diterapkan, APO13 =
Sudah diterapkan, BAI03 = Sebagian diterapkan, BAI05 = Sudah diterapkan,
BAI06 = Sudah diterapkan, BAI07 = Sudah diterapkan, BAI08 = Sebagian
diterapkan, BAI09 = Belum diterapkan, BAI10 = Belum diterapkan, DSS01
= Sebagian diterapkan, DSS02 = Sudah diterapkan, DSS03 = Sudah
diterapkan, DSS04 = Belum diterapkan, DSS05 = Sudah diterapkan, dan
DSS06 = Sudah diterapkan. Dari proses-proses yang belum seluruhnya di
terapkan teridentifikasi risiko antara lain : Gagalnya TI memenuhi kebutuhan
bisnis, kurangnya keunggulan kompetitif, kegagalan dalam keamanan
sistem, pengelolaan yang tidak sesuai dengan asset perusahaan, produktivitas
bisnis yang rendah, proses bisnis tidak efisien, dan kegagalan untuk
beroperasi sepenuhnya dalam menanggulangi ancaman bencana alam.
Dengan menggunakan framework COBIT 5 maka dihasilkan panduan
rincian aktivitas dan pembagian tanggung jawab dalam penerapan proses-
proses yang belum sepenuhnya di terapkan oleh perusahaan. Penelitian
menitikberatkan pihak yang Responsible sebagai pelaksana utama dari
aktivitas-aktivitas yang teridentifikasi dalam penerapan proses dan juga
pihak yang Accountable karena pengambilan keputusan berada pada pihak
tersebut.
65
7. Pengukuran Tingkat Kapabilitas Tata Kelola Teknologi Informasi
Menggunakan COBIT 5: Studi Kasus PT. Lintasarta (Azis, 2014)
Pada penelitian ini, permasalahan yang ditemukan oleh Azis
(2014) pada PT. Lintasarta yaitu knowledge/pengetahuan layanan TI yang
masih kurang, intensitas turnover karyawan ahli senior yang cukup tinggi,
kemampuan farming/regenerasi yang belum berjalan dengan baik, Engineer
yang minim pengalaman, implementasi tata kelola yang belum jelas, potensi
layanan TI yang belum tergali dengan optimal, dan produk TI yang belum
memiliki standar. Tujuan dari penelitian ini adalah mengukur tingkat
kapabilitas IT Governance dan memberikan rekomendasi atau saran untuk
meningkatkan IT Governance di PT. Lintasarta. Pengukuran tingkat
kapabilitas IT Governance di PT. Lintasarta menggunakan seluruh area
(Evaluate, Direct-Monitor, Align, Plan-Organise, Build, Acquire-Implement,
Deliver, Service-Support, Monitor, Evaluate-Assess) dan seluruh proses pada
COBIT 5. Hasil dari penelitian ini yaitu Pencapaian IT Governance di PT.
Lintasarta rata-rata pada level 2,9 (skala 5). Proses area yang tingkat
kapabilitasnya di atas 3 adalah Deliver, Service-Support-Monitor, dan
Evaluate-Assess. Proses area yang tingkat kapabilitasnya kurang dari 3
adalah Evaluate, Direct-Monitor, Align, Plan-Organise, dan Build-Acquare-
Implement.
66
8. Pengukuran Tingkat Kapabilitas Teknologi Informasi Pada PT. Agranet
Multicitra Siberkom (Analisi Sistem Informasi Menggunakan Kerangka
Kerja COBIT 5) (Lucky, 2014)
Menurut ISACA (2012), tingkat kapabilitas mencerminkan
seberapa baik, efektif dan efisien proses yang dikerjakan oleh suatu
perusahaan dalam mencapai tujuan prosesnya dan sesuai dengan standar
ISO/IEC 15504. PT. AMS selaku perusahaan yang bergerak di media online
menghadapi tantangan bisnis secara terbuka di dunia online karena
persaingan di dunia internet terbuka luas. Dalam menghadapi persaingan
tersebut, PT. AMS harus memperbaiki dan meningkatkan operasional
bisnisnya sehingga memiliki daya saing yang lebih baik. Oleh karena itu,
melalui penelitian ini PT. AMS perlu mengetahui sudah sejauh apa
pelaksanaan teknologi informasi yang ada dan proses apa saja yang masih
lemah dan perlu perbaikan. Tujuan dari penelitian yang dilakukan oleh
Lucky (2014) adalah mendapatkan hasil perhitungan tingkat kematangan
dari sistem informasi yang telah diterapkan oleh PT. AMS melalui
pengukuran menggunakan framework COBIT 5. Kemudian, mengetahui apa
saja yang perlu menjadi perhatian dari perusahaan dalam penerapan kontrol
untuk peningkatan sistem informasi, serta analisis peningkatan sistem
informasi dalam mendukung perencanaan bisnis. Berdasarkan hasil
penelitian yang diperoleh maka ditarik kesimpulan bahwa tingkat kapabilitas
teknologi informasi PT. AMS berada pada tingkat 1 (performed) yang berarti
67
bahwa proses sudah mencapai tujuannya. Namun, terdapat beberapa
aktivitas yang belum dilakukan sehingga secara keseluruhan proses belum
memenuhi kriteria untuk bisa dianggap masuk level 2 (Managed).
Kemudian, proses dokumentasi atas aktivitas dari proses di dalam domain
belum lengkap sehingga beberapa proses hanya bisa masuk ke dalam level 1.
Pengaturan prosedur yang diisyaratkan untuk seluruh proses teknologi juga
belum lengkap. Oleh karena itu, disarankan untuk melakukan inisiasi untuk
melengkapi aktivitas yang diisyaratkan di dalam setiap proses yang ada di
dalam domain EDM, APO, dan BAI yang masi dalam tingkat 0 (Non-
existent). Selain itu, direkomendasikan juga untuk memastikan setiap
aktivitas dan proses didokumentasikan dengan baik serta membuat prosedur
yang sifatnya baku untuk seluruh aktivitas terkait teknologi informasi.
68