audit sistem informasi pengelolaan keuangan daerah (sipkd...
TRANSCRIPT
Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)
Menggunakan COBIT 5 Domain Deliver, Service and Support
(Studi Kasus : Badan keuangan Daerah Kota Salatiga)
Artikel Ilmiah
Diajukan Kepada
Fakultas Teknologi Informasi
Untuk Memperoleh Gelar Sarjana Sistem Informasi
Peneliti:
Daniel Baltasar Thenu (682013059)
Yani Rahardja, S.E., M.M
Program Studi Sistem Informasi
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Desember 2017
1. Pendahuluan
Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Program aplikasi ini digunakan
untuk pengelolaan keuangan daerah secara terintegrasi, meliputi penganggaran,
penatausahaan, akuntansi dan pelaporannya terkhususnya pada BKD kota Salatiga. SIPKD
digunakan oleh Organisasi Perangkat Daerah (OPD) pada bidang anggaran, belanja dan pada
bidang akuntansi, operator dari SIPKD yaitu adalah bendahara OPD pada BKD. SIPKD
mulai digunakan pada tahun 2008, jadi sebelum tahun 2008 masih menggunakan proses
manual untuk perencanaan, penganggaran, hingga penatausahaan. Kemudian pada tahun
2008 memutuskan untuk menggunakan aplikasi SIPKD sebagai tools untuk memperlancar
pengelolaan keuangan daerah dimulai dari penganggaran, penatausahaan dan pelaporannya.
sebelum penganggaran sebenarnya ada perencanaan oleh BAPPEDA yang sekarang
mengganti nama menjadi BAPELITBANG.
SIPKD merupakan inovativ sendiri dari Badan Keuangan Daerah (BKD) kota Salatiga
bekerja sama dengan pihak ketiga berdasarkan standar yang mengacu pada Peraturan
Pemerintah Nomor 58 Tahun 2005 tentang Pengelolaan Keuangan Daerah dan Peraturan
Menteri Dalam Negeri nomor 13 Tahun 2006 tentang Pedoman Pengelolaan Keuangan
Daerah. Hasil inovativ sendiri dengan pihak ketiga membuat aplikasi SIPKD lebih fleksibel,
lebih terbuka bisa dimodif sesuai kebutuhan dan apabila terjadi perubahan pada BPKB maka
mudah untuk melakukan perubahan. SIPKD menggunakan metode pencatatan akuntasi cash
basis sampai pada tahun 2014, Setelah tahun 2014 ada transisi antara cash basis menjadi
accrual basis untuk metode pencatatan akuntansinya. Pada tahun 2014 SIPKD Beralih
menjadi tampilan web yang semulanya pada tahun 2008 adalah tampilan desktop. Beralih
pada tampilan web dikarenakan menggunakan versi desktop pada masing–masing stand
alone aplikasi terjadi masalah proses eksport dan import sehingga didapatkan data yang
masuk tidak konsisten. Konsep dari stand alone yaitu program dapat melakukan proses
import maupun ekspor data secara online. Permasalahan yang terjadi ketika di kantor lain
sudah melakukan perubahan data pada BKD sendiri belum terjadi perubahan data.
Adapun kendala maupun masalah yang membuat implementasi aplikasi SIPKD kurang begitu
optimal, yaitu user yang kurang memahami dalam pengoperasian komputer sehingga
menghambat pengoperasian aplikasi SIPKD. Mengatasi masalah tersebut dengan berjalannya
waktu terjadi regenerasi sehingga user yang menggunakan aplikasi SIPKD telah mampu
mengoperasikannya dengan saat baik. Pada saat SIPKD digunakan oleh begitu banyak user
membuat Terjadinya overload pada server sehingga mengalami kendala mapun memakan
waktu pada saat mencetak laporan dan juga terjadi time out pada web browser. Melihat
permasalahan ini penelitian ini akan membahas tentang audit SIPKD (Sistem Informasi
Pengelolaan keuangan Daerah) menggunakan COBIT 5 domain Deliver, Service and Support
(DSS) yang berkaitan dengan aspek kinerja pengiriman layanan aplikasi teknologi informasi,
sehingga diharapkan dapat mendorong dan mengoptimalkan pelaksanaan yang efektif dan
efisien dari kinerja aplikasi dalam pemanfaatan sumber teknologi informasi pada BKD kota
Salatiga.
2. Tinjauan Pustaka
2.1 Penelitian Terdahulu
Penelitian sebelumnya yang berjudul “Penerapan COBIT 5 Domain DSS (Deliver,
Service, Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand Indonesia”.
Dalam penelitian ini telah dilakukan audit Audit FMS PT Grand Indonesia menggunakan
COBIT 5 domain DSS dengan memetakan enterprise goals, IT-related goals, dan proses
domain DSS. Setelah dilakukan pemetaan diagram RACI dilakukan pengisian kuesioner
dengan tujuan menilai kesesuaian aktivitas pada DSS dengan aktivitas corrective and
preventive maintenance FMS. Berdasarkan hasil audit, diperoleh capability level berdasarkan
kuisioner dan wawancara pada proses DSS01, DSS02, DSS03, DSS04, DSS05 dan DSS06
yaitu pada level 3 Established Process[3].
Adapun penelitian yang berjudul “Penerapan Framework Cobit 5 Pada Audit Tata
Kelola Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU”. Tujuan
dari penelitian ini adalah untuk mengaudit tata kelola teknologi informasi guna mengetahui
sejauh mana tingkat kapabilitas tata kelola teknologi informasi pada Dinas Komunikasi dan
Informatika Kabupaten OKU. Hasil dari pengukuran tingkat model capability skala penelitian
penerapan framework cobit 5 pada audit tata kelola teknologi informasi di Dinas Komunikasi
dan Informatika Kabupaten OKU yaitu memperoleh skala 3 (established process) dengan
nilai 3.18, yang artinya Dinas Komunikasi dan Informatika Kabupaten OKU ini sudah
mengimplementasikan tata kelola Teknologi Informasi dengan menggunakan proses
pelatihan yang telah ditetapkan dalam renstra, dan sudah mencapai target yang diharapkan[4].
Penelitian sebelumnya yang berjudul “Audit Teknologi Informasi Menggunakan
Framework COBIT 5 pada Domain (Delivery, Service, and Support) (Studi Kasus : iGracias
Telkom University)”. Metode yang digunakan dalam penelitian ini terdiri dari perencanaan,
pengumpulan data analisis data. Kesimpulan dari proses audit yang dilakukan pada penelitian
ini pada tahap Pra audit telah diperoleh 6 proses domain DSS COBIT 5 yang dimana
merupakan keseluruhan proses dari domain DSS yang sesuai dengan kondisi tata kelola
direktorat SISFO Telkom university dan digunakan sebagai ruang lingkup standar Audit,
Yaitu DSS01, DSS02, DSS03, DSS04 DSS05, dan DSS06. Dari hasil audit, diketahui ada 1
proses yang mempunyai level kapabilitas 4 DSS02, ada 5 proses yang mempunyai level
kapabilitas 3 yaitu DSS01, DSS03, DSS04, DSS05 dan DSS06. Menurut level kapabilitas
masing-masing proses ditentukan level masing-masing proses yaitu berupa 1 level di atas
level kapabilitas, yang ditentukan berdasar analisis dan juga persetujuan dengan
stakeholder, sehingga didapat level target untuk DSS01, DSS03, DSS04, DSS05 dan
DSS06 adalah level 4, untuk DSS02 adalah level 5. Level capability keseluruhan yang
diperoleh berdasarkan keseluruhan rata –rata adalah 3, yang berarti sebagian besar aktifitas
pada domain DSS untuk Direktorat SI SFO Telkom University telah dilakukan, ada standar
penerapan dalam melakukan proses tersebut, terdokumentasi dan komunikasi berjalan
dengan baik[6].
2.2 Dasar Teori
COBIT 5
Gambar 1. Model Referensi Proses pada COBIT 5 (COBIT 5, 2013)
Control Objective for Information & Related Technology (COBIT) merupakan
Kumpulan dokumentasi kerangka bisnis untuk IT Governance dan management of enterprise
IT yang dapat membantu auditor, pengguna (user), dan manajemen untuk menjembatani
antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT atau kinerja IT.
COBIT berisi tujuan pengendalian, petunjuk audit, kinerja, hasil metrik, faktor kesuksesan
dan maturity model. COBIT dikeluarkan oleh IT Governance Institute (ITGI) COBIT
dikembangkan secara berkala oleh Information Systems Audit and Control Association
(ISACA)[1].
Cobit 5 merupakan versi terbaru dari arahan ISACA mengenai tata kelola dan manajemen
proses perusahaan IT, membagi menjadi dua domain utama yaitu[1] :
1. Tata kelola (Govermance) bertanggung jawab untuk memantau secara langsung evaluate
direct and monitor (EDM) domain Proses ini ditetapkan tanggung jawab untuk
mengevaluasi, mengarahkan dan memantau penggunaan TI.
Evaluate, Direct and Monitor (EDM) EDM domain ini menetapkan kerangka kerja tata kelola, tanggung jawab membangun dalam
hal nilai (misalnya, kriteria investasi), faktor resiko dan sumber daya (misalnya, optimalisasi
sumber daya), dan menjaga transparansi IT kepada stakeholder.
2. Manajemen (Management) berisi empat domain yang sesuai dengan tanggung jawab
seperti proses (PBRM), perencanaan (planning), proses pembangunan (building), proses
yang sedang berjalan (running), dan proses memonitor( monitoring). Ada empat domain
pada proses Management.
Align, Plan and Organise (APO)
Berhubungan dengan strategi IT dan taktik atau strategi, arsitektur enterprise, inovasi dan
manajemen portofolio. proses penting lainnya mengatasi pengelolaan anggaran dan biaya,
sumber daya manusia, hubungan, perjanjian layanan, pemasok, kualitas, risiko, dan
keamanan.
Build, Acquire and Implement (BAI) Menyediakan solusi mewujudkan strategi TI yang dikembangkan atau diimplmentasikan ke
dalam proses bisnis, mengelola dan mengontrol perubahan terkait proses bisnis serta
melakukan aktifitas barupa tracking, pelaporan dan dokumentasi untuk memastikan nilai dan
kualitas deliverable perusahaan.
Deliver, Service and Support (DSS)
Domain ini mencakup pengiriman aktual dari layanan TI yang dibutuhkan untuk memenuhi
strategis dan rencana taktis. Domain DSS termasuk proses untuk mengelola operasi,
permintaan layanan dan insiden, serta pengelolaan masalah, kontinuitas, keamanan dan
kontrol proses bisnis.
Monitor, Evaluate and Assess (MEA) MEA, termasuk proses yang bertanggung jawab untuk penilaian kinerja proses dan
kesesuaian, evaluasi internal kontrol kecukupan, dan pemantauan kepatuhan terhadap
peraturan.
Deliver, Service and Support (DSS)
Berkaitan dengan aspek kinerja teknologi informasi mencakup pengiriman aktual dari
layanan TI. Domain DSS pada COBIT 5 menjangkau bidang-bidang seperti kinerja aplikasi
dalam pengiriman layanan sistem TI dan hasil-hasilnya serta proses yang memungkinkan
pelaksanaan yang efektif dan efisien dari sistem TI. Sub domainnya terdiri dari[2] :
DSS01 (Manage Operations). Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang dibutuhkan untuk memberikan internal dan
outsourcing layanan TI, termasuk pelaksanaan prosedur operasi standar yang telah
ditetapkan dan kegiatan monitoring yang diperlukan.
DSS02 (Manage Service Requests and Incidents) Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi dari semua jenis
insiden. Memulihkan layanan TI agar kembali normal, mencatat dan memenuhi
permintaan pengguna, dan menyelesaikan insiden yang terjadi.
DSS03 (Manage Problems) Mengidentifikasi dan mengklasifikasikan masalah
dan akar penyebab dan memberikan resolusi tepat waktu untuk mencegah insiden
berulang, Menyediakan rekomendasi untuk perbaikan.
DSS04 (Manage Continuity) Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI untuk menanggapi insiden maupun gangguan untuk
melanjutkan operasi proses bisnis dan menjaga ketersediaan informasi yang dapat
diterima untuk organisasi atau perusahaan.
DSS05 (Manage Security Services) Melindungi informasi perusahaan untuk mempertahankan tingkat risiko keamanan informasi diterima perusahaan sesuai
dengan kebijakan keamanan. Membangun dan mempertahankan peran keamanan
informasi dalam hak akses dan melakukan pemantauan keamanan.
DSS06 ( Manage Business Process Controls) Mendefinisikan dan memelihara
kontrol proses bisnis yang tepat untuk memastikan informasi yang terkait dengan proses bisnis outsourcing proses memenuhi semua persyaratan kontrol informasi
yang relevan.
Capability Maturity Model
CMM (Capability Maturity Model). Model tingkat kematangan, membantu
mendefenisikan kematangan kemampuan proses–proses suatu organisasi serta mengarahkan
organisasi untuk dapat mencapai goal. CMM memiliki tingkatan pengelompokan kapabilitas
pengelolaan proses teknologi informasi dari tingkat 0 (non existent) hingga tingkat 5
(optimised) dalam bentuk gambar[1].
Gambar 2. CMM (Capability Maturity Model) COBIT 5 (COBIT 5, 2013)
Berikut penjelasan level dari Process Capability [5] :
a. Level 0 Incomplete Process - Proses yang belum atau gagal dilakukan.
b. Level 1 Performed Process - Proses yang menentukan tercapainya tujuan.
c. Level 2 Managed Process - Proses yang mencakup perencanaan, monitor, dan
penyesuaian.
d. Level 3 Established Process - Proses yang sudah dibangun kemudian,
diimplementasikan untuk mencapai hasil dari proses.
e. Level 4 Predictable Process - Proses yang sudah dibangun kemudian dioperasikan.
dengan batasan-batasan yang mampi merauh harapan dari proses.
f. Level 5 Optimizing Process - Proses yang diprediksi secara terus menerus
ditingkatkan untuk memenuhi tujuan bisnis dan tujuan perusahaan.
3. Metode Penelitian
Penelitian ini menggunakan pendekatan deskriptif kuantitaif. Metode deskriptif dapat
diartikan sebagai suatu bentuk penelitian berdasarkan data yang dikumpulkan selama
penelitian secara sistimatis mengenai fakta–fakta dan sifat–sifat dari objek yang diteliti
sebagaimana adanya. Data tersebut diperoleh dari wawancara, observasi hingga kusioner.
Penelitian ini dilaksanakan dalam beberapa tahapan seperti pada Gambar 3 dibawah ini.
Gambar 3. Tahapan Penelitian
Kegiatan yang dilakukan pada tahap pertama meliputi mempelajari teori tentang
COBIT 5 dan Capability Maturity Model (CMM) yang membantu penulis dalam penyelesaian
tugas akhir ini, Tahap kedua dalam penelitian ini yaitu menentukan domain yang digunakan
untuk analisis tingkat kematangan dan rekomendasi, domain yang digunakan adalah domain
Delivery service and Support memfokuskan pada kinerja dan pemenuhan layanan TI, Tahap
ketiga melakukan pengumpulan data berdasarkan obeservasi, wawancara hingga kuisioner
yang dijawab oleh pegawai atau staff IT pada BKD kota Salatiga. Wawancara dan
pengamatan sebagai dukungan atas temuan-temuan hasil dari kuisioner. Kuisoner berisi
tentang domain dari COBIT Delivery, Service and Support. Tahap selanjutnya setelah
pengumpulan data yaitu, pengolahan data yang bersifat kuantitatif diperoleh melalui
assessment tool template COBIT 5 dari ISACA. Dari hasil pengumpulan data kemudian
diolah dengan menghitung tingkat kematangan (Capability Level), hasil analisa data akan
dijadikan rekomendasi sebagai tolak ukur untuk hasil yang lebih baik lagi dan pada tahap
akhir dibuatkan simpulan dan saran dari hasil yang telah diteliti.
Kesimpulan
Studi literatur
(COBIT, CMM)
Pemilihan Domain COBIT
Deivery, service and Support
Pengumpulan Data
(Wawancara, Kuisioner,
Pengamatan)
Pengolahan Data
(analisis tingkat kematangan),
(Penyusunan Rekomendasi)
4. Hasil dan Pembahasan
4.1 Hasil PenilaianTingkat Kematangan Tiap Domain Proses (Capability Level)
Proses ini diperloleh dengan pengumpulan informasi dari kuisioner evaluasi tingkat
kematangan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) menggunakan
parameter COBIT 5 Domain Delivery, Service and Support (DSS) dengan responden 11
orang dari staff IT pada Badan Keuangan Daerah (BKD) kota Salatiga. Dari hasil penilaian
tingkat kematangan tiap domain diperoleh hasil rata – rata tingkat kematangan (Capability
Level) sebagai berikut :
1) Domain Proses DSS01 (Mengelola Operasi)
Aktifitas Proses Deskripsi Aktifitas Tingkat
Kematangan
DSS01.01 Melakukan prosedur operasional 3.60
DSS01.02 Mengelola layanan TI outsourcing 3.50
DSS01.03 Memonitor infrastruktur TI 3.60
DSS01.04 Mengelola lingkungan 3.40
DSS01.05 Mengelola fasilitas 3.20
Rata – Rata Tingkat Kematangan 3.46
Tabel 1. Perhitungan Tingkat Kematangan Domain Proses DSS01
Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS01
didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada
pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan
mencakup pengelolaan operasional. Pada domain proses DSS01.01 diperoleh rata–rata
tingkat kematangan yaitu 3.60 memastikan kegiatan operasional telah dilakukan sesuai
dengan kebutuhan dan konsisten terhadap jadwal, domain proses DSS01.02 diperoleh rata-
rata tingkat kematangan yaitu 3.50 memastikan pengolahan data menyangkut SIPKD
ditangani dan dikelola sesuai dengan kebijakan keamanan informasi, domain proses
DSS01.03 diperoleh rata –rata tingkat kematangan yaitu 3.60 memastikan Pengoperasian
SIPKD tercatat sebagai log peristiwa untuk memantau aktifitas yang dilakukan, domain
proses DSS01.04 diperoleh rata –rata tingkat kematangan yaitu 3.40 memastikan Pengelolaan
lingkungan TI, termasuk pusat data dan tempat penyimpanan data ditentukan sesuai dengan
kebijakan organisasi. Domain proses DSS01.05 diperoleh rata –rata tingkat kematangan yaitu
3.20 memastikan Pengelolaan fasilitas penunjang SIPKD telah aman terhadap resiko – resiko
yang bisa ditimbulkan pada lingkungan TI (kerusakan, bencana alam, dll).
2) Domain Proses DSS02 (Mengelola Permintaan Layanan dan Mengelola Insiden)
Aktifitas Proses Deskripsi Aktifitas Tingkat
Kematangan
DSS02.01 Menentukan insiden dan permintaan layanan 3.60
DSS02.02 Mencatat, mengkasifikasikan dan memprioritas permintaan terhadap insiden 3.50
DSS02.03 Memverifikasi, menyetujui dan memenuhi permintaan layanan 3.60
DSS02.04 Menyelidiki, mendiagnosa dan mengalokasikan insiden 3.20
DSS02.05 Menyelesaikan dan memulihkan insiden 3.30
DSS02.06 Menutup permintaan layanan insiden 3.40
DSS02.07 Melacak status dan menghasilkan laporan 3.40
Rata – Rata Tingkat Kematangan 3.43
Tabel 2. Perhitungan Tingkat Kematangan Domain Proses DSS02
Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS02
didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.43 menunjukan berada
pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan
mencakup pengelolaan permintaan layanan dan pengelolaan insiden. Pada domain proses
DSS02.01 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan insiden yang terjadi
pada SIPKD telah teridentifikasi serta memprioritaskan permintaan layanan (komplain) dari
insiden yang terjadi. Domain proses DSS02.02 diperoleh rata-rata tingkat kematangan yaitu
3.50 memastikan permintaan layanan (komplain) telah teridentifikasi, dicatat serta ditetapkan
prioritas untuk penanganan insiden sesuai dengan kebutuhan organisasi. Pada domain
DSS02.03 diperoleh tingkat kematangan yaitu 3.60 memastikan pemenuhan permintaan
layanan (komplain) sesuai dengan prosedur yang ada pada organisasi. Domain proses
DSS02.04 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pencatatan
terhadap penyebab insiden yang mungkin terjadi pada SIPKD serta solusi penyelesainnya.
Domain DSS02.05 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan adanya
pencatatan dan pelaporan terhadap tindakan pemulihan layanan SIPKD. Domain proses
DSS02.06 diperoleh tingkat kematangan yaitu 3.40 memastikan permintaan layanan
(komplain) telah ditangani serta dan adanya pengecekan terhadap insiden yang telah
ditangani berhasil memenuhi permintaan layanan (komplain). Domain proses DSS02.07
diperoleh tingkat kematangan yaitu 3.40 memastikan laporan permintaan layanan (komplain)
dimonitor untuk perbaikan kedepannya.
3) Domain Proses DSSO3 (Mengelola Masalah)
Aktifitas Proses Deskripsi Aktifitas Tingkat
Kematangan
DSS03.01 Mengidentifikasi dan klasifikasi masalah. 3.20
DSS03.02 Menyelidiki dan mendiagnosa masalah. 3.40
DSS03.03 Menemukan masalah yang ada 3.40
DSS03.04 Menyelesaikan dan memecahkan masalah 3.50
DSS03.05 Melakukan manajemen masalah secara proaktif 3.60
Rata – Rata Tingkat Kematangan 3.42
Tabel 3. Perhitungan Tingkat Kematangan Domain Proses DSS03
Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS03
didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.42 menunjukan berada
pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan
mencakup pengelolaan terhadap masalah yang terjadi. Pada domain DSS03.01 diperoleh rata-
rata tingkat kematangan yaitu 3.20 memastikan identifikasi masalah pada masalah yang
terjadi serta pelaporannya. Domain proses DSS03.02 diperoleh rata-rata tingkat kematangan
yaitu 3.40 memastikan masalah yang terjadi telah dicatat (log kejadian). Domain proses
DSS03.03 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan masalah yang
terjadi pada SIPKD diselidiki dan mendiagnosa akar penyebab masalah yang sering terjadi.
Domain proses DSS03.04 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan
adanya laporan mengenai kesalahan – kesalahan pada pelaksanaan SIPKD yang telah
teridentifikasi serta usulan solusi penyelesainnya. Domain proses DSS03.05 diperoleh rata-
rata tingkat kematangan yaitu 3.60 memastikan adanya manajemen terhadap masalah
terutama laporan kejadian yang terjadi maupun identifikasi adanya muncul perubahan
masalah.
4) Domain Proses DSS04 (Mengelola Keberlanjutan)
Aktifitas Proses Deskripsi Aktifitas Tingkat
Kematangan
DSS04.01 Menentukan kebijakan kelangsungan bisnis, tujuan, ruang lingkup 3.40
DSS04.02 Mempertahankan strategi kesinambungan 3.60
DSS04.03 Mengembangkan dan menerapkan respon kelangsungan bisnis 3.60
DSS04.04 pelatihan, menguji, dan meninjau BCP 3.40
DSS04.05 Ulasan, memelihara, meningkatkan rencana kesinambungan 3.50
DSS04.06 Melakukan pelatihan rencana kesinambungan 3.10
DSS04.07 Mengelola pengaturan cadangan 3.80
DSS04.08 Melakukan kajian post-resumption 3.50
Rata – Rata Tingkat Kematangan 3.49
Tabel 4. Perhitungan Tingkat Kematangan Domain Proses DSS04
Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS04
didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.49 menunjukan berada
pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan
maupun pemeliharaan secara berkelanjutan. Pada domain DSS04.01 diperoleh rata-rata
tingkat kematangan yaitu 3.40 memastikan informasi dari SIPKD sesuai dengan pemenuhan
tujuan organisasi. Domain proses DSS04.02 diperoleh rata-rata tingkat kematangan yaitu
3.60 memastikan adanya evaluasi pada permasalahan penggunaan SIPKD untuk strategi
dalam menghadapi kemungkinan terjadi gangguan atau masalah lainnya. Domain proses
DSS04.03 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan adanya penilaian
kemampuan layanan SIPKD pada kondisi saat ini dalam pemenuhan kebutuhan organisasi
berkelanjutan. Domain proses DSS04.04 diperoleh rata-rata tingkat kematangan yaitu 3.40
memastikan penanganan gangguan maupun kendala pada SIPKD ditangani sesuai dengan
perencanaan yang telah ditentukan oleh organisasi. Domain proses DSS04.05 diperoleh rata-
rata tingkat kematangan yaitu 3.50 memastikan adanya pengujian kemampuan/kinerja SIPKD
secara berkala untuk memastikan Kesesuaian, kecukupan dan efektivitas sesuai dengan
kebutuhan organisasi. Domain proses DSS04.06 diperoleh rata-rata tingkat kematangan yaitu
3.10 memastikan staff IT pada SIPKD telah mendapat pelatihan mengenai prosedur, peran
dan tanggung jawab masing – masing jika terjadi gangguan atau masalah. Domain proses
DSS04.07 diperoleh rata-rata tingkat kematangan yaitu 3.80 memastikan adanya backup yang
dilakukan oleh staff IT untuk informasi penting pada SIPKD. Domain proses DSS04.08
diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya peninjauan dimulainya
kembali kinerja layanan SIPKD setelah sebelumnya mengalami gangguan
5) Domain Proses DSS05 (Mengelola Layanan Keamanan)
Aktifitas Proses Deskripsi Aktifitas Tingkat
Kematangan
DSS05.01 Melindungi terhadap malware 3.70
DSS05.02 Mengelola jaringan dan keamanan konektivitas 3.50
DSS05.03 Mengelola keamanan endpoint 3.30
DSS05.04 Mengelola identitas pengguna dan akses logis 3.40
DSS05.05 Mengelola akses fisik ke aset TI 3.10
DSS05.06 Mengelola dokumen sensitif dan perangkat output 3.0
DSS05.07 Memonitor infrastruktur untuk event security-related 4.20
Rata – Rata Tingkat Kematangan 3.46
Tabel 5. Perhitungan Tingkat Kematangan Domain Proses DSS05
Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS05 didapatkan
rata–rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada pada level 3
(Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan pada layanan
keamanan. Pada domain DSS05.01 diperoleh rata-rata tingkat kematangan yaitu 3.70
memastikan Telah dilakukan perlindungan terhadap kemungkinan software dapat terserang
virus (malware). Domain proses DSS05.02 diperoleh rata-rata tingkat kematangan yaitu 3.50
memastikan Keamanan dan konektivitas jaringan pada BKD mendukung kinerja SIPKD.
Domain proses DSS05.03 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan
Adanya informasi ketika ada perangkat yang ingin terhubung dengan jaringan SIPKD.
Domain prsoses DSS05.04 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan
semua pengguna SIPKD dikenali secara unik dan memiliki hak akses sesuai dengan peran
bisnis masing – masing. Domain prsoses DSS05.05 diperoleh rata-rata tingkat kematangan
yaitu 3.10 memastikan Ruangan staff IT yang menangani SIPKD diawasi, dipantau
membatasi semua orang yang masuk pada ruangan tersebut. Domain prsoses DSS05.06
diperoleh rata-rata tingkat kematangan yaitu 3.0 memastikan Output dokumen SIPKD yang
terhubung dengan aset TI (printer) diawasi dan diamankan dalam penggunaannya. Domain
proses DSS05.07 diperoleh rata-rata tingkat kematangan yaitu 4.20 memastikan adanya
pengawasan akses yang tidak sah (staff non IT), memastikan setiap kegiatan yang dilakukan
terekam sebagai log peristiwa.
6) Domain Proses DSS06 (Mengelola Kontrol – Kontrol Proses Bisnis)
Aktifitas Proses Deskripsi Aktifitas Tingkat
Kematangan
DSS06.01 Menyelaraskan kegiatan pengendalian tertanam dalam proses bisnis dengan tujuan organisasi 3.20
DSS06.02 Mengontrol pengolahan informasi 3.50
DSS06.03 Mengelola peran, tanggung jawab, hak akses dan tingkat otoritas. 3.20
DSS06.04 Mengelola kesalahan dan pengecualian 3.20
DSS06.05 Memastikan ketertelusuran informasi acara dan akuntabilitas 3.50
DSS06.06 Mengamankan aset informasi 3.40
Rata – Rata Tingkat Kematangan 3.33
Tabel 6. Perhitungan Tingkat Kematangan Domain Proses DSS06
Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS06 didapatkan
rata–rata tingkat kematangan (Capability Level) yaitu 3.33 menunjukan berada pada level 3
(Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan kontrol
terhadap proses bisnis. Pada domain proses DSS06.01 diperoleh rata-rata tingkat kematangan
3.20 memastikan adanya monitoring pelaksanaan kegiatan proses bisnis terkait dengan
SIPKD, untuk memastikan proses yang dilakukan selaras dan sesuai dengan kebutuhan
organisasi. Domain proses DSS06.02 diperoleh rata-rata tingkat kematangan yaitu 3.50
memastikan adanya pengendalian Informasi yang diproses pada SIPKD memastikan bahwa
pemrosesan informasi valid, lengkap, akurat, tepat waktu, dan aman. Domain proses
DSS06.03 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan Tugas, Peran dan
tanggung jawab staff IT SIPKD diawasi oleh organisasi. Domain proses DSS06.04 diperoleh
rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pengecualian proses bisnis
dengan menyertakan alasan kesalahan dan pelaksanaan tindakan perbaikan akibat kesalahan
input pada SIPKD. Domain proses DSS06.05 diperoleh rata-rata tingkat kematangan yaitu
3.50 memastikan Ketersediaan data, informasi yang diolah pada SIPKD dapat ditelusuri
sesuai dengan proses bisnis dan bertanggung jawab memberikan kepastian bahwa informasi
yang diterima telah diolah serta dapat mendorong proses bisnis. Domain proses bisnis
DSS06.06 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan adanya persetujuan
dan pengamanan penggunaan aset TI di BKD untuk mengakses SIPKD, termasuk perangkat
penyimpanan apapun.
4.2 Hasil AnalisisTingkat Kematangan (Capability Level)
Berdasarkan perolehan tingkat kematangan (Capability Level) tiap-tiap domain proses
DSS didapatkan hasil analisis rata-rata capability level yaitu 3.43 menunjukan berada pada
level 3 Established Process. Artinya aktifitas-aktifitas pada SIPKD sudah dilaksanakan,
aktifitas disesuaikan menurut standar (SOP/kebijakan/aturan), serta memiliki alokasi
tanggung jawab dan sumber daya yang tepat.
Rata-rata Capability Level Pembulatan Capability
Level
Aktifitas Proses Deskripsi Aktifitas
Level Existing
Level Target
Level Existing
Level Target
DSS01 Mengelola Operasi 3.46 4.46 3 4
DSS02 Mengelola permintaan layanan dan mengelola insiden 3.43 4.43 3 4
DSS03 Mengelola masalah 3.42 4.42 3 4
DSS04 Mengelola keberlanjutan 3.49 4.49 3 4
DSS05 Mengelola Layanan Keamanan 3.46 4.46 3 4
DSS06 Mengelola kontrol - kontrol proses bisnis 3.33 4.33 3 4
Rata - Rata tingkat kematangan 3.43 4.43 3 4
Tabel 7. Tingkat Kematangan (Capability Level)
Berikut merupakan tingkat kematangan (Capability Level) yang diperoleh berdasarkan proses
audit yang telah dilakukan,
Gambar 4. Level Existing dan Level Target
Pada gambar 4 dapat diketahui bahwa level existing pada Badan Keuangan Daerah (BKD)
kota Salatiga berada pada level 3 Establish Process.
4.3 Penyusunan Rekomendasi
Berdasarkan analisis hasil tingkat kematangan (capabilty level) diperoleh kondisi
existing dan dibuatkan rekomendasi setiap proses domain DSS untuk mencapai level 4.
Tabel 8. Rekomendasi DSS01 Mengelola Operasi
DSS01 Mengelola Operasi
DSS01.01 Mengelola layanan TI outsourcing
Kondisi Existing Rekomendasi
Adanya Pengelolaan fasilitas penunjang
SIPKD (fasilitas TI) terhadap resiko –
resiko yang bisa ditimbulkan pada
lingkungan TI (kerusakan, bencana alam,
dll).
Dilakukan monitoring dari waktu ke waktu
dan analisis terhadap pemeliharaan fasilitas
TI yang telah dilakukan untuk menghasilkan
layanan TI (SIPKD) yang optimal
kedepannya.
DSS01.04 Mengelola Lingkungan
Kondisi Existing Rekomendasi
Pengelolaan lingkungan TI, termasuk pusat
data dan tempat penyimpanan data telah
ditentukan sesuai dengan kebijakan
organisasi.
Mempertahankan kepatuhan terhadap
kebijakan dan prosedur yang telah
ditetapkan dalam pengendalian lingkungan
TI serta melakukan pengukuran pengaruh
kebijakan organisasi terhadap kinerja yang
dihasilkan.
Tabel 9. Rekomendasi DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden
DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden
DSS02.04 Menyelidiki, Mendiagnosa dan Mengalokasikan Insiden
Kondisi Existing Rekomendasi
Terdapat gejala penyebab insiden yang
mungkin terjadi pada SIPKD serta upaya
penyelesaiannya.
Dilakukan dokumentasi pencatatan
kemungkinan gejala insiden dan solusi
penanganan kedepannya.
DSS02.05 Menyelesaikan dan Memulihkan Insiden
Kondisi Existing Rekomendasi
Terdapat pencatatan, pelaporan terhadap
tindakan pemulihan layanan SIPKD.
Dilakukan dokumentasi pencatatan
pengujian solusi yang teridentifikasi untuk
tindakan pemulihan layanan TI.
Tabel 10. Rekomendasi DSS03 Mengelola Masalah
DSS03 Mengelola Masalah
DSS03.01 Identifikasi dan klasifikasi masalah.
Kondisi Existing Rekomendasi
Adanya indentifikasi masalah pada SIPKD
dan prosedur pelaporannya.
Dilakukan penentuan kriteria masalah, level
prioritas masalah beserta pelaporannya
untuk menentukan penindakan selanjutnya.
DSS03.02 Menyelidiki dan mendiagnosa masalah.
Kondisi Existing Rekomendasi
Terdapat analisis terhadap penyebab
masalah yang sering terjadi pada SIPKD.
Dilakukan dokumentasi pencatatan segera
setelah terjadinya masalah pada SIPKD dan
identifikasi akar penyebab masalah untuk
solusi kedepannya.
Tabel 11. Rekomendasi DSS04 Mengelola Keberlanjutan
DSS04 Mengelola keberlanjutan
DSS04.04 Pelatihan, Menguji, dan Meninjau BCP.
Kondisi Existing Rekomendasi
Staff IT dalam menangani gangguan
maupun kendala pada SIPKD ditangani
sesuai tugas yang ditentukan oleh
organisasi.
Membuat dokumentasi dan melakukan
monitoring serta analisis terhadap hal-hal
yang harus dikerjakan
DSS04.06 Melakukan Pelatihan Rencana kesinambungan.
Kondisi Existing Rekomendasi
Staff IT yang terlibat pada SIPKD mendapat
pelatihan mengenai prosedur, peran dan
tanggung jawab masing – masing jika
terjadi gangguan atau masalah.
Dilakukan monitoring, kualifikasi dan
pelatihan berkelanjutan dalam
mempertahankan kompetensi, keterampilan
untuk memenuhi tujuan organisasi
kedepannya.
Tabel 12. Rekomendasi DSS05 Mengelola Layanan Keamanan
DSS05 Mengelola Layanan Keamanan
DSS05.05 Mengelola akses fisik ke aset TI
Kondisi Existing Rekomendasi
Ruangan staff IT yang menangani SIPKD
diawasi, dipantau membatasi semua orang
yang masuk pada ruangan tersebut.
Membuat dokumentasi penilaian resiko
kemungkinan masalah keamanan termasuk
akses masuk dalam keadaan darurat, setiap
akses masuk dimonitor, dan dicatat berlaku
untuk semua orang termasuk staff, klien,
pihak ketiga maupun pengunjung.
DSS05.06 Mengelola Dokumen Sensitif dan Perangkat Output
Kondisi Existing Rekomendasi
Kurangnya pengawasan terhadap Output
dokumen SIPKD yang terhubung dengan
perangkat TI (printer) maupun perangkat
sensitif lainnya.
Dibuatkan kebijakan terhadap device yang
boleh mengakses pada perangkat TI.
Tabel 13. Rekomendasi DSS06 Mengelola Kontrol - Kontrol Proses Bisnis
DSS06 Mengelola kontrol - kontrol Proses Bisnis
DSS06.01 Menyelaraskan Aktifitas-aktifitas yang Ada Dengan Tujuan Organisasi
Kondisi Existing Rekomendasi
Sudah dilakukan penilaian pelaksanaan
kegiatan proses bisnis terkait dengan
SIPKD, untuk memastikan proses yang
dilakukan selaras dan sesuai dengan
kebutuhan organisasi.
Dibuatkan dokumentasi terhadap kontrol
aktifitas terkait dengan SIPKD kemudian
dinilai dan dimonitoring.
DSS06.03 Mengelola Peran, Tanggung Jawab, Hak Akses dan Tingkat Otoritas
Kondisi Existing Rekomendasi
Tugas, Peran dan tanggung jawab staff IT
pada SIPKD belum diawasi secara optimal
oleh organisasi.
Tugas, tanggung jawab, kewenangan
dikelola, didokumentasi dan diawasi akses
terhadap aset informasi terkait informasi
perusahaan/organisasi termasuk staff IT
maupun pihak ketiga.
5. Simpulan
Telah dilakukan audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)
menggunakan COBIT 5 domain DSS dengan melakukan obsevarsi, wawancara serta
dilakukan pengisian kuisioner dengan tujuan menilai tingkat kematangan (Capability Level ),
serta menilai kesesuian domain DSS pada aktifitas yang dilakukan terkait dengan SIPKD.
Berdasarkan perolehan rata-rata tingkat kematangan (capability level) pada proses DSS01,
DSS02, DSS03, DSS04, DSS05 dan DSS06 yaitu berada pada level 3 Established Process.
Dari hasil pengukuran tingkat kematangan (capability Level), diperoleh kondisi existing dan
penyusunan rekomendasi untuk aktifitas dengan skala terendah agar dapat mencapai level 4
sebagai perbaikan untuk kedepannya.
6. Saran
Berikut merupakan saran yang dapat disampaikan dalam penelitian ini yaitu :
1) Penelitian ini dapat dilakukan dengan domain-domain yang lain pada COBIT 5 yaitu
EDM, APO, BAI dan MEA.
2) Dapat dilakukan audit layanan sistem informasi yang lain pada Badan Keuangan
Daerah (BKD) kota Salatiga yaitu SIMBADA.
7. Daftar Pustaka
[1] COBIT 5 Process Assessment Model (PAM). 2013. Copyright ISACA.
[2]
ISACA Journal Volume 5, 2013. Understanding the Core Concepts in COBIT
5.
[3] Adi Nuratmojo dkk, Penerapan COBIT 5 Domain DSS (Deliver, Service,
Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand
Indonesia, Program Studi S1 Teknik Informatika School of Computing,
Telkom University, Bandung.
[4] [5]
Sepita Sari dkk, 2014, Penerapan Framework Cobit 5 Pada Audit Tata Kelola
Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU,
Universitas Bina Darma, Palembang.
Titus Kristanto dkk, 2016, Analisis Tingkat Kematangan E-Goverment
Menggunakan Framework COBIT 5 (Studi Kasus : Dinas Perdagangan dan
Perindustrian Kota Surabaya), Program Studi Teknik Informatika Institut
Teknologi Adhi Tama, Surabaya.
[6] Rio Kurnia dkk, 2014, Audit Teknologi Informasi Menggunakan Framework
COBIT 5 pada Domain (Delivery, Service, and Support) (Studi Kasus :
iGracias Telkom University), Program Studi Teknik Informatika Telkom
University, Bandung.