Beruflich Dokumente
Kultur Dokumente
SKRIPSI
Oleh :
YUGE AFIRANTO
NPM. 1234010200
JAWA TIMUR
2018
1
LEMBAR PENGESAHAN
SKRIPSI
Mengetahui
Menyetujui
Dekan Koordinator Program Studi
Fakultas Ilmu Komputer Teknik Informatika
2
ANALISA TATA KELOLA TEKNOLOGI INFORMASI
NPM : 1234010200
Abstrak
adalah jaringan yang sering down, pengadaan server untuk back-up data dan
kurangnya sumber daya manusia dibagian staff TI. Oleh karena itu, untuk
membantu SMA ITP Surabaya meningkatkan tata kelola terkait layanan data
3
KATA PENGANTAR
Wa Ta’ala, yang tiada Tuhan selain-Nya, berkat Rahmat, Taufik dan Inayah-
Nyalah, penulis dapat menyelesaikan skripsi ini dengan judul : “Analisa Tata
‘Alaihi Wasallam, yang telah menuntun umatnya dari jalan kegelapan menuju
kepada cahaya.
kekurangan dan masih jauh dari kesempurnaan. Hal ini dikarenakan keterbatasan
mengaharapkan masukan, kritik dan saran yang bersifat membangun kearah yang
lebih baik dalam hal perbaikan dan penyempurnaan skripsi ini. Akhir kata penulis
berharap skripsi ini dapat bermanfaat bagi semua pihak dan semoga amal baik
Penyusun
4
UCAPAN TERIMA KASIH
Selama penyusunan skripsi ini, penulis menyadari skripsi ini tidak akan
berhasil tanpa adanya bantuan, dukungan serta bimbingan dari berbagai pihak.
Oleh karena itu pada kesempatan ini penulis ingin menyampaikan rasa terima
2. Bapak dan Ibu yang telah berjuang mendidik, merawat dan menasehati
saya sejak kecil hingga beranjak dewasa sekarang ini dan senantiasa
3. Ibu Dr. Ir. Ni Ketut Sari, MT. selaku Dekan Fakultas Ilmu Komputer
Surabaya.
5
pengambilan data, proses penilaian dan pencarian bukti, sehingga skripsi
8. Teman – teman, Mas Santo, Mbak Ayatul, Mas Andik, Mas Adis, Mas
10. Teman seperjuangan Mas Denis, Mas Bahrul, Made dan Haris dalam
pengerjaan skripsi.
11. Teman-teman Teknik Informatika angkatan 2012 yang tidak bisa penulis
Penulisan laporan ini masih jauh dari sempurna, maka dengan segala
kerendahan hati dimohon kepada seluruh pihak atas kritik dan saran yang
membangun, agar dalam penulisan berikutnya dapat lebih baik dan bermanfaat
Penyusun
6
DAFTAR ISI
SURABAYA ........................................................................................................... 3
Abstrak................................................................................................................. 3
KATA PENGANTAR............................................................................................. 4
BAB I .................................................................................................................... 15
PENDAHULUAN ................................................................................................. 15
BAB II ................................................................................................................... 20
7
2.2.1 Profil Sekolah SMA IntensifTaruna Pembangunan Surabaya ........ 24
8
2.5.4.2 ITIL (Information Technology Infrastructure Library) ................... 54
BAB IV ................................................................................................................. 86
9
4.1.5 Pemilihan IT Related Process ............................................................... 94
4.2.5.1. Define the business continuity policy, objectives and scope ........... 123
4.2.5.5. Review, maintain and improve the continuity plan ......................... 125
10
4.2.5.7. Manage backup arrangements ........................................................ 126
11
DAFTAR GAMBAR
12
DAFTAR TABEL
Tabel 2.5 Hasil Perbandingan Goal, Metric dan Revised Goal. ........................... 66
Tabel 2.7 Hasil Rangkuman Perbedaan COBIT 4.1 dan COBIT 5 ....................... 72
Tabel 4.8 Hasil Pemetaan IT – Related Goal dengan COBIT5 Process ............... 97
13
Tabel 4.9 Domain pada proses COBIT 5 yang di Assessment .............................. 98
Tabel 4.16 EDM04 – Ensure Resource Managemen Level 2.1 .......................... 112
Tabel 4.17 EDM04 – Ensure Resource Managemen Level 2.2 .......................... 113
14
BAB I
PENDAHULUAN
kepatuhan melalui tata kelola dan pengelolaan TI yang efektif tidak pernah lebih
15
tanda-tanda dari setiap komponen, hubungan satu sama lain dan fungsi masing-
nonformal dan informal yang didirikan oleh negara ataupun swasta yang di
bimbingan yang diberikan oleh tenaga pendidik. Untuk menjadi sebuah sekolah,
ada beberapa sarana dan prasarana yang harus dipenuhi, seperti ruang belajar,
untuk kegiatan belajar mengajar serta menjadi tempat memberi dan menerima
informasi dan teknologi terkait dapat diatur dan dikelola secara menyeluruh oleh
kepentingan stakeholder internal dan eksternal yang terkait dengan IT. Principle
dan enabler pada COBIT 5 bersifat umum dan berguna untuk perusahaan dari
semua ukuran, baik komersial, non-komersil atau sektor publik. (ISACA, 2012)
16
informasi sebagai penunjang dalam hal pelayanan akademiknya, penggunaan
jaringan yang sering down yang menyebabkan tidak tersedia informasi data siswa,
dan guru.
untuk membagi kegiatan masing - masing, saat ini hanya ada staff TU untuk
terjadi seperti data dari e-raport siswa yang pernah hilang dan pihak sekolah agak
sulit mencari back-up data dari dinas pendidikan terkait, karena semua data
hanya mengelola, menyediakan data atau back-up data untuk semua pihak yang
penulis ingin melakukan penelitian dengan judul “Analisa Tata Kelola Teknologi
17
1. Bagaimana mengukur tingkat kematangan untuk mengetahui tingkat
sebagai berikut :
Pembangunan Surabaya.
berkelanjutan)
1.4 Tujuan
Adapun tujuan dari dilakukanya penelitian “Analisa Tata Kelola Teknologi
Informasi Menggunakan COBIT 5 pada Sekolah SMA IntensifTaruna
Pembangunan Surabaya” diantaranya adalah sebagai berikut :
18
1. Mengukur tingkat kematangan pada pengelolaan layanan, sumber daya
Pembangunan.
1.5 Manfaat
1. Bagi Penulis
Dari hasil penelitian, Penulis bisa menerapkan ilmu dibidang analisis sesuai
ilmu yang pernah dipelajari ke dalam suatu bentuk nyata di lapangan, menjadi
Penelitian ini dapat dipakai oleh penulis lain sebagai rujukan berkaitan
Sebagai bahan pembanding untuk sekolah agar bisa dikaji lebih jauh sekaligus
sebagai sumbangan pemikiran bagi perkembangan tata kelola informasi yang ada
di sekolah.
19
BAB II
TINJAUAN PUSTAKA
diantaranya adalah :
Penelitian terdahulu dilakukan oleh Rati Amanda Fajrin pada tahun 2016
yang buruk dan pengadaan server yang tidak mendukung.Domain yang dipakai
EDM04 dan DSS01. Hasil yang diperoleh adalah terdapat 7 resiko dengan
kategori high dan very high yang akan menghasilkan dokumen perancangan untuk
COBIT 5” yang bertempat di PT. Krakatau Steel (Persero) Tbk. Tujuan dari
telah menunjang tercapainya tujuan bisnis perusahaan dalam hal ini mengenai
sumber daya manusia, sumber daya yang ada dan manajemen pengetahuan
20
EDM04, APO07 dan BAI08. Hasil dari penelitian ini terdapat evaluasi capability
level dan gap analisis menunjukkan bahwa, nilai gap 1 untuk domain EDM04, gap
0,7 untuk domain APO07 dan gap 0,3 untuk domain BAI08. (Muhafiizh,
Penelitian oleh Rio Kurnia Candra, Imelda Atastina dan Yanuar Firdaus
COBIT 5Pada Domain DSS (Delivery, Service, and Support) (Studi Kasus :
informasi yang dipakai, fokus penelitian ini pada penilaian pengiriman dan
DSS03, DSS04, DSS05 dan DSS06. Hasil penelitian ini terdapat Level capability
21
Tabel 2.1 Hasil Penelitian Terdahulu
Hasil penelitian
TingkatKapabilitas BAPAPSI
berada pada level 1
Perancangan Tata Untuk dengankatagori Partially Achieved
Rati
Kelola Teknologi memberikan
Amanda EDM01,EDM02 pada EDM04 danDSS01.
Informasi di rekomendasi Sedangkan untuk mencapai target
Badan Fajrin ,EDM03,EDM0
BAPAPSI Pemkab dalam pencapaian
Pemkab Muraharta 4,EDM05,DSS0 level 3akan dilakukan perancangan
1 Bandung 2016 efektivitas pada
Bandung waty dan 1,DSS02,DSS03 tata kelola TI
Menggunakan jaringan,
BAPAPSI Soni Fajar ,DSS04,DSS05, danmerekomendasikan BAPAPSI
framework COBIT 5 penanganan menjadi DISKOMINFO
S. DSS06
Pada Domain EDM insiden dan Pemerintah Kabupaten Bandung
Gumilang
dan DSS pengadaan server
Berdasarkan peraturan-peraturan
terkait danpentingnya TI di
Pemerintah Kabupaten Bandung
22
EDM04
adalah 3, dengan GAP 1.
b. Hasil nilai capability level
APO07
adalah 2.3, dengan GAP 0.7.
c. Hasil nilai capability level
BAI08 adalah
2.7, dengan GAP 0.3.
untuk menilaian
Hasil akhir diperoleh capability
Audit Teknologi tingkat kapabilitas
leveltiap-tiap proses domain DSS
Informasi pengiriman dan
Rio Kurnia COBIT 5, diketahui bahwa rata-
menggunakan layanan teknologi
iGracias Candra, ratacapability level yang diperoleh
Framework COBIT 5 informasi serta DSS01,DSS02,
Telkom Imelda berada padalevel 3 yaitu Establsh
3 Pada Domain DSS 2015 dukungannya DSS03,DSS04,
University Atastina, Process. Artinyaaktivitas-aktivitas
(Delivery, Service, termasukpengelol DSS05,DSS06
danYanuar telah dilakukan, adastandar
and Support) (Studi aan masalah agar
Firdaus penerapan dalam melakukan
Kasus : iGracias keberlanjutan
prosestersebut, terdokumentasi dan
Telkom University) layanan tetap
komunikasiberjalan dengan baik.
terjaga
23
2.2 Landasan Teori
Teori adalah suatu kumpulan konsep, definisi, proposisi, dan variabel yang
berkaitan satu sama lain secara sistematis dan telah digeneralisasi sehingga dapat
C, 2004).
Dari sebuah tulisan ilmiah kerangka teori adalah hal yang sangat penting,
karena dalam kerangka teori tersebut akan dimuat teori-teori yang relevan dalam
digunakan sebagai landasan teori atau dasar pemikiran dalam penelitian yang
dilakukan.
dengan sistem Full Day School.Selain itu juga menerapkan pembelajaran Disiplin
Negeri 15 Surabaya dan sebelah barat dari perkantoran Bank BNI serta Pusat
perbelanjaan City of Tomorrow. Namun secara strategis jauh jalan raya, sehingga
membuat proses belajar mengajar menjadi nyaman karena jauh dari kebisingan
dan segala macam pencemaran lainnya namun tidak berada jauh dari kemajuan
kota.
24
2.2.2 Visi Sekolah SMA IntensifTaruna Pembangunan Surabaya
luhur.
perkembangan jaman.
akademik.
pembelajaran.
25
4. Mengefektifkan pembelajaran intensif untuk mempersiapkan siswa dalam
kerja/program.
2. Susunan Kerja :
B. Bidang kesiswaan
26
2. rata-rata nilai ujian sekolah praktik meningkat antara 7,50s.d 8,00.
tari modern, musik, bola basket dan pencak silat untuk kejuaraan
lembaga kursus
pendidikan/akademik.
pelajaran.
mata pelajaran
27
5. Penyediaan format model penilaian pembelajaran.
6. Penyedian format kisi-kisi, kartu soal, analisis butir soal dan hasil
remidi.
mekanisme kerja.
Kependidikan.
budaya sekolah.
3. Pemasangan website.
28
G. Pengembangan dan Pemenuhan Sarana dan Prasarana lainnya
29
1. Penyampaian informasi Sekolah melalui internet.
Terdapat beberapa proses Tata Kelola dan Manajemen TI pada COBIT 5, yaitu ;
tentang tata kelola dan manajemen IT, COBIT5 merupakan sebuah kerangka yang
perusahaan, meliputi ruang lingkup tujuan perusahaan dan ruang lingkup area
yang eksternal yang terkait dengann TI. COBIT 5 bersifat umum dan berguna
pemerintahan maupun publik. COBIT 5 didasarkan pada lima prinsip untuk tata
30
Gambar 2.1 Lima Prinsip dasar pada COBIT 5
sebuah nilai. Terdapat tiga fokus pada penentuan nilai, yaitu ; Benefits Realisation
Kita bisa mengetahui apa saja yang sebenarnya perusahaan butuhkan untuk
31
Gambar 2.2 Sasaran Tata Kelola Perusahaan
sumber daya).
ini ditentukan oleh faktor eksternal (pasar, industri, geopolitik, dll.) dan faktor
internal (budaya, organisasi, selera resiko, dll.), dan memerlukan sistem tata
perusahaan dan solusi layanan TI. Berikut gambaran alur dari tujuan COBIT 5 :
32
Gambar 2.3 Alur Tujuan COBIT 5
33
IT-Related Goal memiliki 17 poin penting yang tersedia pada kolom IT
BSC.
organisasi dan informasi, dan untuk tiap pemicu, serangkaian tujuan yang
Perusahaan)
secara keseluruhan, tidak hanya tata kelola TI tapi juga tata kelola perusahaan,
34
(EDM) yang terdapat pada kontrol objektif, juga mencakup pihak internal dan
eksternal yang terkait mengenai layanan TI dan proses bisnis internal dan
eksternal.
melingkupi seluruh pihak internal dan eksternal yang terkait dengan perusahaan
termasuk juga aktivitas-aktivitas dan tanggung jawab dari kedua fungsi, yaitu
fungsi TI dan fungsi bisnis selain TI. Pendekatan yang digunakan dalam tata
Sumber dari pemicu tata kelola perusahaan antara lain; kerangka kerja,
Ruang lingkup tata kelola mencakup semua perusahaan, baik itu internal
dengan baik.
35
terlibat, apa yang mereka lakukan dan bagaimana mereka berinteraksi.
standar dan kerangka kerja terbaru yang relevan lainnya dan lengkap dikarenakan
oleh ISACA sebelumnya (COBIT 4.1, Val IT 2.0, Risk IT, BMIS). Dan juga
selaras pada kerangka kerja lainnya seperti ITIL, TOGAF dan ISO. COBIT 5
Menyeluruh)
36
berjalannya sebuah perusahaan agar dapat berjalan sesuai dengan tata kelola dan
Kerangka Kerja)
2. Procesess (Proses)
Semua staf yang terkait dalam sebuh perusahaan, baik itu internal ataupun
yang eksternal.
5. Information (Informasi)
Informasi yang tersedia untuk antar staf perusahaan, atau antar instansi,
efektif.
Aplikasi)
37
Agar Layanan bias berjalan dengan baik, maka infrastruktur TI dan
Kompetensi)
dan Manajemen)
Salah satu hal yang mendasari perbedaan antara COBIT 4 dan COBIT 5
adalah pada kontrol areanya yang didalamnya terdapat beberapa domain atau
Control Objective, pada COBIT 5 terdapat dua area control antara Tata Kelola
struktur dan melayani tujuan yang berbeda pula. (isaca, 2012 : 32)
38
Gambar 2.7 Kontrol Area pada COBIT 5
(Sumber :COBIT® 5: A Business Framework for theGovernance and
2.4 COBIT
(Gondodiyoto,2007).
pada tahun 1998 diterbitkan dengan menambahkan beberapa control, tahun 2000
resmi dirilis pada tahun 2005, COBIT 4.1 pada 2007 dan tahun 2012 COBIT 5
diterbitkan dengan mengintegrasikan kerangka kerja COBIT 4.1, Val IT 2.0 dan
Risk IT, dan mengambil dari framework yang sudah mendapat jaminan dari
ISACA (ITAF) dan mengambil Model Bisnis untuk Keamanan Informasi (BMIS).
39
COBIT 5 juga dikoordinasikan dengan kerangka kerja dan standar seperti ITIL,
pertama kali muncul pada tahun 1996 pada tahap awal berdirinya COBIT dikenal
sebagai framework berbasis audit sesuai dengan namanya, COBIT pertama lebih
berfokus pada audit (Audit), lalu pada tahun 1998 COBIT versi 2 yang
menekankan pada tahap pengendalian (Control), pada tahun 2000 COBIT versi 3
versi 4 yang lebih menitikberatkan pada tata kelola TI dan keselarasan dengan Val
IT 2.0 pada tahun 2008 dan Risk IT pada tahun 2009, COBIT versi 4.0/4.1 yang
terakhir tahun 2012, namun masih dipakai sebagian user, terakhir pada tahun 2012
juga COBIT versi 5 resmi diluncurkan yang lebih menekankan pada tata kelola TI
40
Gambar 2.8 Sejarah Perubahan Ruang Lingkup COBIT
41
2.4.1.1 Evaluate, Direct andMonitor (EDM)
Kelola)
Daya)
TransparasiPemangku Kepentingan)
yang tepat dan infrastruktur teknologi yang tepat guna.Domain ini juga
menyediakan arahan untuk solusi pengiriman (BAI) dan pemberian layanan dan
42
2. APO02 Manage Strategy (Mengelola Strategi)
proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam
Proyek)
43
3. BAI03 Manage Solutions Identification and Build (Mengelola
dan Kapasitas)
menerima solusi dan membuatnya bermanfaat bagi end user.Domain ini berkaitan
dengan pengiriman yang akurat dan layanan yang dibutuhkan, pengelolaan dan
171)
44
3. DSS03 Manage Problems (Mengelola Permasalahan)
Proses Bisnis)
memastikan bahwa arah yang diberikan diikuti. Semua proses TI perlu dilakukan
evaluasi secara berkala sesuai kualitas dan kesepakatan. Domain ini membahas
TI dan proses serta metrik. Memantau proses yang dilakukan terhadap kinerja dan
metrik dan metrik kesesuaian yang disepakati dan berikan laporan yang sistematis
Persyaratan Eksternal)
45
2.4.2 Model Kapabilitas Proses Dalam COBIT 5
Pada COBIT 4 Model kematangan sudah tidak asing lagi dengan Risk IT
dan ValIT, untuk mengukur tingkat kematangan pada proses yang berhubungan
tingkat kesenjangan (GAP) antara nilai kematangan awal dan nilai kematangan
yang akan dituju dan meningkatkan proses untuk mencapai tingkatan kematangan
1. Incomplete Process (0) : Proses tidak lengkap; Proses ini tidak ada
penerapan atau gagal dalam mencapai proses tujuan. Pada level ini tidak
46
2. Performed Process (1) : Proses dijalankan; Proses ini sudah dijalankan,
atribut).
(dua atribut).
tujuan bisnis saat ini dan yang akan dating (dua atribut). (Isaca, 2014)
Terdapat sedikit atau tidak ada bukti pencapaian atribut yang didefinisikan
47
Terdapat beberapa bukti adanya pendekatan dan beberapa pemenuhan
Memeriksa dan menilai strategi saat ini dan masa depan, opsi untuk
48
c. EDM04.03 Monitor Resource Management
e. DSS01.05Manage facilities.
49
Memeriksafasilitas TI untuk perlindungan terhadap layanan data yang
2012 : 187)
50
e. DSS04.05 Conduct continuity plan training
Menyediakan semua pihak internal dan eksternal yang peduli dengan sesi
yang ditetapkan.
5, karena COBIT 5 memiliki cakupan yang luas dalam hal evaluasi, audit maupun
tata kelola dan manajemen TI dibanding model evaluasi yang lain seperti ; ITIL,
ISO 38500, 31000, 27000, PMBOK, TOGAF. COBIT 5 memliki 5 domain yang
belum tentu framework lain memilikinya, meskipun semua domain pada COBIT 5
51
menjaga agar aset informasi tetap aman, membantu organisasi dalam pengelolaan
(iso.org, 2017)
(iso27001security, 2010)
sesuai.
52
ancaman dan masalah keamanan informasi selama pekerjaan dan
selesai
Mencegah akses fisik yang tidak sah, kerusakan dan gangguan pada
manajemen operasi)
53
keasliandan integritas informasi dengan carakriptografi, keamanan
Informasi)
waktu
yaitu suatu badan di bawah pemerintah Inggris, yang bekerja sama dengan The IT
54
Information Technology Infrastructure Library (ITIL) merupakan standar
yang dikeluarkan pemerintah United Kingdom sebagai kerangka kerja yang diacu
oleh best practice proses dan prosedur manajemen operasional. Lebih spesifik,
efisiensi bisnis.
55
2.5.4.3 TOGAF (The Open Group of Architecture Framework)
(konsorsium) lebih dari 400 organisasi, berfokus pada standar TI. TOGAF adalah
ArchiXL, 2013).
sebagai berikut:
Arsitektur.
56
3. Phase C :Information System Architecture. Mengembangkan arsitektur
penggunaan ulang.
mengacu ke suatu good best practices dan standard agar proses-proses yang
yang diakui secara internasional (IEEE, ANSI dan ISO 21500) yang berhubungan
57
2.5.5 Perbandingan antara COBIT 5 dengan ITIL, ISO/IEC,
menerapkan kerangka kerja tunggal yang terintegrasi, pada framework tata kelola
selain COBIT terdapat perbedaan fokus area domain yang berbeda dan
mempunyai langkah – langkah yang berbeda juga, tetapi dari semua framework
domain fokus sudah dirangkum menjadi satu framework yaitu COBIT 5 yang
Pada gambar 2.7 terlihat jelas setiap domain pada COBIT 5 juga ada pada
framework yang lain. Domain COBIT 5 yang meliputi framework lain, yaitu :
58
- Framework ISO/IEC 31000 terdapat sebagian domain EDM dan APO.
- Framework TOGAF hanya terdapat sebagian domain di APO dan BAI dan
tidak sama sekali melakukan proses pada domain EDM, DSS dan MEA.
DOMAIN COBIT 5
ITIL - o o + -
ISO/IEC + o o + +
Prince2/PMBOK - o o - -
TOGAF - o o - -
+ Frequently addressed
o Moderately addressed
59
Area cakupan COBIT 5 lebih luas, dari perbandingan terdapat kesimpulan
COBIT 5.
Tujuan tata kelola TI merupakan proses yang penting, terdiri dari tiga
tahap yang kita sebut sebagai Direct, Change, Operate (mengarahkan, mengubah
harus jelas: tata kelola perusahaan perlu diterapkan, strategi perusahaan perlu
ditetapkan dan manajemen portofolio perlu diatur. (GreefHorst, Msc, & ArchiXL,
2013).
COBIT
TOGAF
PRINCE2
ITIL
60
2.5.6 Perbedaan COBIT 4.0 / 4.1 dengan COBIT 5
Pada gambar 2.2, tujuan Usaha (Enterprise) atau “Stakeholder Needs” pada
COBIT 5 telah ditentukan sejak awal untuk menentukan arah yang spesifik sesuai
Goal dan Enabler Goal. Terdapat tiga fokus yang disediakan pada COBIT 5 di
yang diinginkan pada proses Stakeholder Need, maka selanjutnya tujuan spesifik
Enterprise Goal. Terdapat 4 poin penting pada BSC Dimension, yaitu; Financial
61
Goal Cascade sudah diperkenalkan pada COBIT 4 pada tahun 2005, Peneliti
(DSS) dan memantau (MEA) kegiatan yang selaras dengan arahan yang
3. Area of Change
Sebagaimana juga Val IT, Risk IT dan COBIT 4 jadi satu di COBIT 5,
62
Tabel 2.3 Hasil Perbandingan Prinsip dan Proses
1 Principle - - +
2 Process + + +
+ Frequently addressed
o Moderately addressed
- Not or rarely adressed
yang mempengaruhi sesuatu agar dapat berjalan dan bekerja). Pada COBIT 4.1
5. Culture, Ethnic and Behavior sudah dijelaskan sangat sedikit pada proses
COBIT 4.1
63
Tabel 2.4 Hasil Perbandingan Enabler
2 Processes + o
3 Organisational Structure o +
Pada gambar 2.9 diatas, pada COBIT 5 terdapat Process Reference Model
yang baru yang terkait domain Tata Kelola (governance) dan beberapa proses
baru dan perubahan yang semuanya sudah mencakup kegiatan perusahan secara
satu kerangka kerja, dan telah diperbarui agar sesuai dengan praktik terbaik saat
ini, misalnya, ITIL V3 2011, TOGAF. Process Reference Model pada COBIT 5
64
APO08 Manage relationships
Pada proses baru tersebut terdapat beberapa poin yang menjadi perhatian,
pengendalian proses pada COBIT 4.1 dan Val IT Risk IT, kegiatan COBIT 5
setara dengan praktik pengendalian COBIT 4.1 dan praktik pengelolaan Val IT
COBIT 5 juga menerapkan goal dan metric yang sama pada COBIT 4 dan
Val IT/Risk IT, hanya saja pada COBIT 5 terjadi perubahan nama yakni
Enterprise Goal, IT-Relate Goal dan Process Goal, tetapi pada COBIT 5
65
menyediakan goal revised (revisi tujuan perusahaan) berdasarkan Enterprise Goal
dan IT-Related Goal kemudian dibantu oleh Critical Procesess. Dan juga terdapat
penekanan pada goal dan metric tersebut pada awal bab pada panduan COBIT 5
Input Output berisikan aktifitas apa saja yang akan dilakukan agar
objectives pada COBIT 5 dan juga sebagai acuan untuk mengukur tingkat
kapabilitas suatu control objectives, namun pada COBIT 4 tidak terdapat Input
Output hanya terdapat ganbaran umum saja. Contoh dari Inpout Output :
66
Gambar 2.15 Input Output COBIT 5 PAM
ISACA®)
67
Tabel 2.6 Hasil Perbandingan Goal Cascade
No Goal Cascade COBIT 4.1 COBIT 5
1 Input - +
2 Process + +
3 Output - +
+ Frequently addressed
o Moderately addressed
- Not or rarely adressed
Grafik RACI
tanggung jawab dengan cara yang mirip dengan COBIT 4.1, Val IT dan Risk
IT.COBIT 5 menyediakan rentang pelaku bisnis dan TI yang lebih lengkap, rinci
dan lebih jelas daripada COBIT 4.1 untuk setiap praktik manajemen, yang
memungkinkan definisi yang lebih baik mengenai tanggung jawab pemain peran
ISACA®)
68
Model Proses Capability
COBIT 5 menghentikan penggunaan maturity level pada COBIT 4.1 dan Val
IT/Risk IT, juga didukung oleh pendekatan penilaian kemampuan proses yang
baru berdasarkan ISO / IEC 15504, namun pendekatan penilaian tersebut tidak
sesuai dengan COBIT 4.1, karena metodenya menggunakan atribut dan skala
Program. Jadi model kapabilitas adalah pendekatan penilaian yang lebih lengkap
ISACA®)
Pada gambar diatas dijelaskan bahwa proses maturity level pada COBIT
4.1 hanya memenuhi area Process Reference Model, sedangkan untuk COBIT 5
yang berdasarkan ISO/IEC 15504 mencakup semua bagian dari proses tersebut.
69
Tambahan Penulis
terdapat pada mapping, dan karena COBIT 5 lebih menekankan pada prinsip,
maka pada proses input dan output sudah sangat jelas ada di buku panduan,
terutama saat mapping domain, penekanan pada aspek input ada diawal. Jika pada
COBIT 4.1 mengenai IT Goal tidak ada ukuran (metrics), hanya secara garis besar
saja. Sehingga pada proses mapping untuk mengetahui permasalahan pada sebuah
perusahaan mengharuskan membuat pertanyaan dari satu per satu pada domain.
70
Gambar 2.20 IT-Related Goal dan Metric pada COBIT 5
(Sumber :COBIT® 5: Enabling Procesess, page 17. © 2012 ISACA®)
71
Rangkuman
Penulis merangkum dari hasil perbandingan yang sudah dijelaskan untuk
dan COBIT 5 berupa tabel yang memuat 10 poin untuk daijadikan rujukan.
User COBIT 4.1 sudah pasti Lebih ditonjolkan pada awal bab di
menemukan value, tetapi tidak buku panduan, untuk memberikan
3 Goal Cascade semua stakeholder mengetahuinya. kejelasan fokus value pada tabel
BSC Dimension.
72
- EDM (Governance)
7 Domain PO, BI, DS dan ME - APO, BAI, DSS dan MEA
(Management)
- Penambahan domain PO/APO
Setiap Tujuan TI dapat terdiri dari beberapa proses TI yang terkait, brgitu juga
sebaliknya setiap proses TI dapat digunakan untuk memenuhi beberapa tujuan TI.
S (Secondary) : bila masih ada hubungan yang kuat dengan Primary, namun
73
Evaluate, Direct and Monitot
Process
COBIT 5
EDM05
EDM04
EDM03
EDM02
EDM01
S
S
S
P
P
Alignment of IT and business strategy
01
IT compliance and support business support for compliance with
S
S
S
02
external laws and regulations
S
S
S
P
P
03
IT-related decisions
S
S
P
Managed IT-related business risk
04
Financial
ealised benefits from IT-enabled investments and
S
S
P
05
services portfolio
S
S
P
P
P
Transparency of IT costs, benefits and risk
06
S
S
P
P
P
Delivery of IT services in line with business requirements
07
Adequate use of applications, information and technology
S
S
S
08
Customer
solutions
P
IT agility
09
74
Security of information, processing infrastructure and
P
10
applications
IT-Related Goal
S
S
P
11
Optimisation of IT assets, resources and capabilities
S
S
integrating applications and technology into
12
Tabel 2.8 Proses Domain EDM COBIT 5
business processes
Internal
Delivery of programmes delivering benefits, on time, on
S
S
S
S
S
13
Managementof Enterprise IT, page 52. © 2012 ISACA®)
S
S
S
S
14
making
S
S
P
15
S
S
S
P
16
S
S
S
S
P
Growth
17
Learning
innovation
Align, Plan and Organise
Process
COBIT 5
APO13
APO12
APO11
APO10
APO09
APO08
APO07
APO06
APO05
APO04
APO03
APO02
APO01
S
S
S
S
P
P
P
P
P
P
Alignment of IT and business strategy
01
IT compliance and support business support for compliance with
S
S
S
P
P
P
02
external laws and regulations
S
S
S
S
S
S
S
03
IT-related decisions
S
S
S
S
S
S
S
S
S
S
P
P
P
Managed IT-related business risk
04
Financial
ealised benefits from IT-enabled investments and
S
S
S
S
S
P
P
P
P
05
services portfolio
S
S
S
S
S
P
P
P
Transparency of IT costs, benefits and risk
06
S
S
S
S
S
S
S
P
P
P
P
P
Delivery of IT services in line with business requirements
07
Adequate use of applications, information and technology
S
S
S
S
S
S
S
S
S
S
P
08
Customer
solutions
S
S
S
S
S
S
P
P
P
P
IT agility
09
75
Security of information, processing infrastructure and
S
S
S
S
S
P
P
10
applications
IT-Related Goal
S
S
S
S
S
S
S
P
P
P
P
11
Optimisation of IT assets, resources and capabilities
S
S
S
S
P
integrating applications and technology into
12
Tabel 2.9 Proses Domain APO COBIT 5
business processes
Internal
Delivery of programmes delivering benefits, on time, on
S
S
S
S
S
S
P
P
P
P
13
Managementof Enterprise IT, page 52. © 2012 ISACA®)
S
S
S
S
S
S
S
P
P
(Sumber :COBIT® 5: A Business Framework for theGovernance and
14
making
S
S
S
S
S
S
S
P
15
S
S
S
S
P
P
16
S
S
S
S
S
P
P
P
P
P
Growth
17
Learning
innovation
Build, Acquire and Implement
Process
COBIT 5
BAI10
BAI09
BAI08
BAI07
BAI06
BAI05
BAI04
BAI03
BAI02
BAI01
S
S
S
P
P
Alignment of IT and business strategy
01
IT compliance and support business support for compliance with
P
02
external laws and regulations
S
S
S
S
03
IT-related decisions
S
S
S
S
S
S
P
P
Managed IT-related business risk
04
Financial
ealised benefits from IT-enabled investments and
S
S
S
S
S
S
S
P
05
services portfolio
S
S
S
P
Transparency of IT costs, benefits and risk
06
S
S
S
S
S
P
P
P
Delivery of IT services in line with business requirements
07
Adequate use of applications, information and technology
S
S
S
S
S
S
P
P
P
08
Customer
solutions
76
S
S
S
S
S
S
S
P
IT agility
09
Security of information, processing infrastructure and
S
S
S
S
P
10
applications
IT-Related Goal
S
S
S
S
S
S
P
P
P
11
Optimisation of IT assets, resources and capabilities
S
S
S
S
P
12
Tabel 2.10 Proses Domain BAI01 COBIT 5
business processes
Internal
Delivery of programmes delivering benefits, on time, on
Managementof Enterprise IT, page 53. © 2012 ISACA®)
S
S
S
S
P
P
P
13
S
S
S
S
S
S
P
P
14
making
S
S
S
S
S IT compliance with internal policies
15
S
S
And
S
S
S
S
S
S
P
P
Growth
17
Learning
innovation
Delivery, Service and Support
Process
COBIT 5
DSS06
DSS05
DSS04
DSS03
DSS02
DSS01
S
S
Alignment of IT and business strategy
01
IT compliance and support business support for compliance with
S
S
S
S
P
02
external laws and regulations
03
IT-related decisions
P
P
P
P
P
P
Managed IT-related business risk
04
Financial
ealised benefits from IT-enabled investments and
S
S
S
05
services portfolio
06
P
P
P
P
P
Delivery of IT services in line with business requirements
07
Adequate use of applications, information and technology
S
S
S
S
S
S
08
Customer
solutions
77
S
S
S
IT agility
09
Security of information, processing infrastructure and
S
S
S
S
S
10
applications
IT-Related Goal
S
S
S
P
P
11
Optimisation of IT assets, resources and capabilities
S
S
S
Tabel 2.11 Proses Domain DSS COBIT 5
12
business processes
Internal
Delivery of programmes delivering benefits, on time, on
Managementof Enterprise IT, page 53. © 2012 ISACA®)
13
S
S
S
S
P
P
14
making
S
S
S
S
S
S
S
S
S
And
S
S
S
S
S
Growth
17
Learning
innovation
Monitor, Evaluate and Assess
Process
COBIT 5
MEA03
MEA02
MEA01
S
Alignment of IT and business strategy
01
IT compliance and support business support for compliance with
P
P
02
external laws and regulations
S
03
IT-related decisions
P
P
P
Managed IT-related business risk
04
Financial
ealised benefits from IT-enabled investments and
S
S
05
services portfolio
S
S
Transparency of IT costs, benefits and risk
06
S
S
P
Delivery of IT services in line with business requirements
07
Adequate use of applications, information and technology
S
S
08
Customer
solutions
78
S
IT agility
09
Security of information, processing infrastructure and
S
S
S
10
applications
IT-Related Goal
P
11
Optimisation of IT assets, resources and capabilities
12
Tabel 2.12 Proses Domain MEA COBIT 5
business processes
Internal
Delivery of programmes delivering benefits, on time, on
Managementof Enterprise IT, page 53. © 2012 ISACA®)
S
13
S
S
14
making
S
P
P
IT compliance with internal policies
15
And
S
S
S
Growth
17
Learning
innovation
BAB III
METODOLOGI PENELITIAN
Pada bab ini, penulis membahas tahapan dan metode penelitian yang
yang digunakan pada penelitian ini adalah metodologi kualitatif, yakni prosedur
penelitian yang menghasilkan data deskriptif berupa kata-kata tertulis atau lisan
dari orang-orang dan perilaku yang dapat diamati. Berikut adalah sistematika
79
3.1 Perencanaan Penelitian
atau sumber-sumber yang berhubungan dengan topik yang akan diangkat pada
penelitian. Studi literatur bisa didapatkan melalui berbagai sumber, jurnal, buku,
permasalahan serta sebagai dasar teori dalam melakukan studi dan juga menjadi
dasar untuk melakukan penelitian yang akan dilakukan. Studi Pustaka meliputi :
Tata Kelola TI
Kelola TI, apa saja yang dibutuhkan dan bagaimana memecahkan masalah
COBIT 5
tersebut.
80
3.1.2 Perencanaan Penelitian
Skenario Mapping
Wawancara
Observasi
Tahap ini penulis melakukan peninjauan dari hasil wawancara yang sudah
3.2 Penilaian
Pada tahap ini akandiidentifikasi dan dianalisa data – data yang diambil
3.2.1 Mapping
Tujuan Perusahaan – EG
81
Tahap ini, penulis melalukan wawancara kepada Kepala Sekolah terkait
pertanyaan.
Tujuan IT – ITG
pertanyaan.
EG – ITG
Pada tahap ini, penyelarasan antara tujuan perusahaan dan tujuan TI.
domain yang terkait dan melakukan analisa domain apa saja yang layak
Setelah diketahui ruang lingkup evaluasi yang didapat dari pemetaan atau
mapping IT- related Process domain DSS dan EDM, maka tahapselanjutnya
Model COBIT 5.
82
Proses menghitung tingkat kapabilitas yang berdasarkan form assessment
dalam bentuk tabel berisikan kondisi saat ini dan kondisi yang diinginkan.
sebelumnya, yaitu kondisi manajemen TI saat ini untuk setiap proses domain DSS
dan EDM.
Analisa Gap
Pada Tahap ini menganalisa tingkat kesenjangan (gap) antara data – data
Penyusunan Rekomendasi
Pada tahap ini penulis memberikan suatu usulan saran dan pemecahan
sebelumnya untuk dibuat sebagai bahan evaluasi agar sekolah bisa melakukan
perbaikan kedepannya.
83
3.8 Jadwal Kegiatan
Pada tabel di bawah ini akan dijelaskan tentang jadwal pelaksanaan
penelitian secara rinci serta berisi tahapan kerja dan waktu yang diperlukan untuk
1 Studi Literatur
5 Analisa gap
7 Penyusunan Rekomendasi
8 Pembuatan Laporan
84
Tabel 14.2 Jadwal Kegiatan Lanjutan Pelaksanaan Tugas Akhir
1 Studi Literatur
5 Analisa gap
7 Penyusunan Rekomendasi
8 Pembuatan Laporan
85
BAB IV
memilih domain serta proses penilaian agar kebutuhan penelitian sesuai dengan
permasalahan pada objek penelitian yang tentu nya mengacu pada tujuan – tujuan
strategis di sekolah dalam hal Tata Kelola Teknologi Informasi pada SMA
dari kebutuhan skakeholder melalui objektifitas tata kelola yang ada disekolah dan
86
4.1.2 Penentuan Stakeholder Needs (SN)
Pada awal proses penentuan stakeholder needs (SN) dilakukan wawancara
Enterprise Goal (EG) yang akan menghasilkan apa tujuan perusahaan yang tepat
permasalahan yang ada pada pertanyaan SN01, SN07 dan SN10. Berikut hasil
tabel wawancara :
EG02
EG03
EG04
EG05
EG06
EG07
EG08
EG09
EG10
EG11
EG12
EG13
EG14
EG15
EG16
EG17
SN01
SN02
SN03
SN04
SN05
SN06
SN07
SN08
SN09
SN10
SN11
SN12
SN13
SN14
SN15
87
SN16
SN17
SN18
SN19
SN20
SN21
SN22
hasil wawancara terdapat permasalahan pada SN01, SN07 dan SN10, pada tiap
88
Sesuai panduan pada COBIT 5, terdapat metric (batasan) yang menjadi
acuan untuk pemilihan enterprise goal di atas, agar penentuannya sesuai dengan
permasalahan yang ada di sebuah instansi atau perusahaan, berikut metric untuk
enterprise goal :
89
Business service • Jumlah interupsi layanan pelanggan yang
continuity and menyebabkan insiden signifikan
90
praktik kerja yang efektif
yang berdasarkan hasil pemilihan Enterprise Goal. Proses ini untuk menentukan
apakah tujuan perusahaan yang berkaitan dengan TI sudah berjalan dengan baik
dan selaras dengan tujuan perusahaan. Hasil dari penyelarasan Enterprise Goal
dan IT-Related Goal terdapat 3 poin pada kolom EG06 dengan ITG07, EG07
dengan ITG04 dan EG14 dengan ITG16 termasuk P (Primary) artinya bahwa poin
EG02
EG03
EG04
EG05
EG06
EG07
EG08
EG09
EG10
EG11
EG12
EG13
EG14
EG15
EG16
EG17
ITG01 P P S P S P P S P S P S S
ITG02 S P P
ITG03 P S S S S S P S S
ITG04 P S P S P S S S
ITG05 P P S S S S P S S
91
ITG06 S S P S P P
ITG07 P P S S P S P S P S S S S
ITG08 S S S S S S S P S P S S
ITG09 S P S S P P S S S P
ITG10 P P P P
ITG11 P S S P S P S S S
ITG12 S P S S S S P S S S S
ITG13 P S S S S S P
ITG14 S S S S P P S
ITG15 S S P
ITG16 S S P S S P P S
ITG17 S P S P S S S S P
acuan untuk pemilihan IT Related Goal di atas, agar penentuannya sesuai dengan
permasalahan yang ada di sebuah instansi atau perusahaan, berikut metric untuk
IT Related Goal :
92
Managed IT-related business risk • Persentase proses bisnis yang
(ITG04) penting, layanan TI dan program
bisnis yang mendukung TI yang
dicakup oleh penilaian risiko
• Jumlah insiden terkait IT yang
signifikan yang tidak diidentifikasi
dalam penilaian risiko
• Persentase penilaian risiko
perusahaan termasuk risiko terkait
TI
• Frekuensi pembaruan profil risiko
Customer Delivery of IT services in line with • Jumlah gangguan bisnis karena
business requirements (ITG07) insiden layanan TI
• Persen pemangku kepentingan
bisnis puas bahwa penyediaan
layanan TI memenuhi tingkat
layanan yang disepakati
• Persentase pengguna yang puas
dengan kualitas pengiriman layanan
TI
Adequate use of applications, • Persen pemilik proses bisnis puas
information and technology dengan mendukung produk dan
layanan TI
solutions (ITG08)
• Tingkat pemahaman pengguna bisnis
tentang bagaimana solusi teknologi
mendukung prosesnya
• Tingkat kepuasan pengguna bisnis
dengan pelatihan dan manual pengguna
• Net present value (NPV)
menunjukkan tingkat kepuasan bisnis
dari kualitas dan kegunaan dari solusi
teknologi
93
• Frekuensi penilaian keamanan
terhadap standar dan pedoman terbaru
Control Objectives atau domain apa saja yang tercakup dan telah diselaraskan
dengan IT – Related Goal yang terpilih pada proses sebelumnya, keuntungan dari
pemetaan domain adalah agar tingkat fokus pada penilaian assessment bisa lebih
94
Tabel 4.21 Pemilihan Domain dengan IT – Related Goal
ITG01
ITG02
ITG03
ITG04
ITG05
ITG06
ITG07
ITG08
ITG09
ITG10
ITG11
ITG12
ITG13
ITG14
ITG15
ITG16
ITG17
COBIT5 Learning
Finance Customer Internal And
Process
Growth
EDM01 P P S S S P S S S S S S S S S
EDM02 P S P P P S S S S S S P
EDM03 S S P P S S P S S P S S
EDM04 S S S S S S S P P S P S
EDM05 S P P P S S S S
APO01 P P S S S P S P S S S P P P
APO02 P S S S P S S S S S S S S P
APO03 P S S S S S S P S P S S S
APO4 S S P P P P S S P
APO05 P S S P S S S S S P S
APO06 S S S P P S S S S
APO07 P S S S S S S P P S P P
APO08 P S S S S P S S P S S S P
APO09 S S S S P S S S S S P S
APO10 S P S S P S P S S S S S S
APO11 S S S P P S S S P S S S S
APO12 P P P S S S P P S S S S
APO13 P P P S S P P
BAI01 P S P P S S S S P S S
BAI02 P S S S S P P S S S S P S S S
BAI03 S S S P S S S S S S
BAI04 S S P S S P S P S
BAI05 S S S S P S S S P P
BAI06 S P S P S S P S S S S S S
BAI07 S S S P S P S S S S
BAI08 S S S S P S S S S P
95
BAI09 S S P S S S P S S
BAI10 P S S S S S P P S
DSS01 S P S P S S S P S S S S
DSS02 P P S S S S S
DSS03 S P S P S S P S P S S
DSS04 S S P S P S S S S S P S S S
DSS05 S P P S S S S S S
DSS06 S P P S S S S S S S S
MEA01 S S S P S S P S S S P S S P S S
MEA02 P P S S S S S P S
MEA03 P P S S S S S
proses pada panduan COBIT 5 sehingga dalam proses pemilihan domain masih
strategis pada sekolah SMA Intensif Taruna Pembangunan Surabaya. Berikut hasil
pemetaan proses diatas yang disesuaikan dengan kebutuhan pada objek penelitian.
96
Tabel 4.22 Hasil Pemetaan IT – Related Goal dengan COBIT5 Process
No Masalah IT – Related Goal Control COBIT5
Objectives Process
(Primary)
1 Layanan Penyampaian TI sesuai dengan EDM01, EDM02, DSS01
internet sering kebutuhan bisnis. EDM05, APO02, Manage
down (Delivery of IT services in line APO08, APO09, Operations
with business requirement). APO10, APO11, (Mengelola
BAI02, BAI03, Operasi)
BAI04, BAI06,
DSS01, DSS02,
DSS03, DSS04,
DSS06, MEA01
DSS04.
97
4.2 Proses AssessmentBerdasarkan Pemetaan pada proses COBIT 5
dalam hal ini domain yang akan dipetakan untuk di assessment yaitu : EDM04
(Manage Continuity). Berikut adalah deskripsi high – level proses COBIT 5 yang
akan di assessment.
98
Menetapkan dan memelihara rencana untuk memungkinkan bisnis
dan TI dalam menanggapi insiden dan gangguan agar proses bisnis
Process
yang penting dan layanan TI yang dibutuhkan dapat melanjutkan
Description
operasinya dan menjaga ketersediaan informasi pada tingkat yang
dapat diterima oleh perusahaan.
Melanjutkan operasi bisnis yang penting dan mempertahankan
Process Purpose
ketersediaan informasi pada tingkat yang dapat diterima oleh
Statement
perusahaan jika terjadi gangguan yang signifikan.
Model (PRM) dan prinsip dari Process Assessment Model (PAM) COBIT 5
melalui Self Assessment Guide. Pada indikator kapabilitas level 1 diambil dari
tujuan masing – masing yang mengacu pada PRM, sedangkan pada level 2 sampai
5 mengacu pada PAM yang semua proses memiliki kriteria yang sama.
99
3. EDM04.03 Monitor Resource
Management : Memantau tujuan
utama dan metrik proses
pengelolaan sumber daya Sekolah
serta menemukan penyimpangan
atau masalah, sehingga dapat
dilacak dan dilaporkan untuk
perbaikan.
4. DSS01.01 Perform Operational
Procedure : Memelihara dan
melaksanakan prosedur
operasional dan tugas operasional
dengan andal dan konsisten.
5. DSS01.02 Manage outsourced IT
Service : Mengelola pengoperasian
layanan TI yang dialihdayakan
untuk menjaga perlindungan
informasi perusahaan dan keandala
dalam penyampaian layanan.
6. DSS01.03 Monitor IT
Infrastructure : Memantau
infrastruktur TI dan acara terkait.
Menyimpan aktifitas informasi
yang cukup dalam log operasi
untuk memungkinkan rekonstruksi,
meninjauan dan memeriksa urutan
waktu operasi dan kegiatan lain di
sekitar atau operasi pendukung.
7. DSS01.04 Manage the
environment : Memelihara
langkah-langkah untuk
perlindungan terhadap faktor
lingkungan. Instal peralatan dan
perangkat khusus untuk memantau
dan mengendalikan lingkungan.
8. DSS01.05 Manage facilities :
Memeriksafasilitas TI untuk
perlindungan terhadap layanan
data yang dibutuhkan dan juga
perlindungan data ketika fasilitas
tersebut mati.
9. DSS04.1 Define the business
continuity policy, objectives and
scope : Menentukan
keberlangsungan kebijakan dan
ruang lingkup sekolah yang selaras
100
dengan tujuan sekolah dan
stakeholder.
10. DSS04.02 Maintain a continuity
strategy : Mengevaluasi pilihan
manajemen keberlangsungan
bisnis dan memilih strategi
keberlangsungan efektifitas biaya
dan kelayakan untuk memastikan
pemulihan dan keberlangsungan
sekolah dalam menghadapi
bencana atau insiden atau
gangguan besar lainnya.
11. DSS04.03 Develop and implement
a business continuity response :
Mengembangkan Business
Continuity Plan (BCP)
berdasarkan strategi yang
mendokumentasikan prosedur dan
informasi dalam kesiapan untuk
digunakan dalam insiden yang
memungkinkan sekolah untuk
melanjutkan kegiatan kritisnya.
12. DSS04.04 Exercise,test and review
the BCP : Menguji pengaturan
kontinuitassecara teratur untuk
melaksanakan rencana pemulihan
terhadap hasil yang telah
ditentukan dan untuk
memungkinkan solusi inovatif
untuk dikembangkan dan
membantu untuk memverifikasi
dari waktu ke waktu bahwa
rencana akan bekerja seperti yang
diantisipasi.
13. DSS04.05 Review, maintain and
improve the continuity plan :
Melakukan tinjauan manajemen
atas kemampuan untuk
melanjutkan aktifitas sekolah
secara berkala. Mengelola
perubahan rencana sesuai dengan
proses kontrol perubahan untuk
memastikan bahwa rencana
kesinambungan terus diperbarui
dan secara terus-menerus
mencerminkan persyaratan
101
aktifitas sekolah yang sebenarnya.
14. DSS04.06 Conduct continuity plan
training : Menyediakan semua
pihak internal dan eksternal agar
dilakukan pelatihan reguler
mengenai prosedur dan peran serta
tanggung jawab mereka jika terjadi
gangguan.
15. DSS04.07 Manage backup
arrangements : Melakukan back-
up sistem, aplikasi, data dan
dokumentasi sesuai jadwal yang
ditetapkan.
16. DSS04.08 Conduct postresumption
review : Menilai kecukupan BCP
setelah berhasil berjalan normal
setelah gangguan.
Level 2 PA 2.1 Performance 1. Menindentifikasi kinerja proses.
Managed Management- 2. Kinerja proses direncanakan dan
Suatu ukuran sejauh mana dipantau.
kinerja proses dikelola. 3. Kinerja proses disesuaikan untuk
memenuhi rencana
4. Tanggung jawab dan
wewenanguntuk melakukan proses
didefinisikan, ditugaskan dan
dikomunikasikan.
5. Sumber daya dan informasi yang
diperlukan untuk melakukan proses
diidentifikasi, dibuat tersedia,
dialokasikan dan digunakan
6. Antarmuka antara pihak-pihakyang
terlibat dikelola untuk memastikan
komunikasi yang efektif baik dan
juga kejelasan penugasan tanggung
jawab
PA 2.2Work Product 1. Persyaratan untuk produk kerja dari
Management - proses didefinisikan.
Suatu ukuran sejauh mana 2. Persyaratan untuk dokumentasi dan
kerja produk yang dihasilkan kontrol dari produk kerja
oleh proses dikelola secara didefinisikan
tepat (atau output dari proses) 3. Produk kerja secara
didefinisikan dan tepatdiidentifikasi,
dikendalikan. didokumentasikan, dan
dikendalikan.
4. Produk kerja ditinjau sesuai dengan
pengaturan yang direncanakan dan
102
disesuaikan
Level 3 PA 3.1 Process Definition - 1. Sebuah proses standar, termasuk
Established Suatu ukuran sejauh mana menyediakan pedoman yang tepat,
proses standar dipertahankan didefinisikan yang menggambarkan
untuk mendukung penyebaran unsur-unsur mendasar yang harus
dari proses dimasukkan ke dalam sebuah
didefinisikan proses yang ditetapkan.
2. Urutan dan interaksi dari proses
standar dengan proses lain
ditentukan.
3. Kompetensi yang dibutuhkan dan
peran untuk melakukan proses
diidentifikasi sebagai bagian dari
proses standar.
4. Infrastruktur yang dibutuhkan dan
lingkungan kerja untuk melakukan
proses diidentifikasi sebagai bagian
dari proses standar.
5. Metode yang sesuai
untukmemantau efektivitas
dankesesuaian proses tersebut
telahditetapkan.
PA 3.2 Process Deployment - 1. Sebuah proses yangdidefinisikan
Suatu ukuran sejauh mana dikerahkan berdasarkan proses
proses standar efektif standar tepat dipilih dan/atau
digunakan sebagai proses yang disesuaikan.
ditetapkan untuk mencapai 2. Peran yang diperlukan, tanggung
hasil prosesnya. jawab dan wewenang untuk
melakukan proses didefinisikan
ditugaskan dan dikomunikasikan.
3. Personil melakukan proses
didefinisikan kompeten atas dasar
pendidikan, pelatihan, dan
pengalaman.
4. Sumber daya yang diperlukan dan
informasi yang diperlukan untuk
melakukan proses didefinisikan
yang dibuat tersedia, dialokasikan
dan digunakan.
5. Infrastruktur yang dibutuhkan dan
lingkungan kerja untuk melakukan
proses didefinisikan yang dibuat
tersedia, dikelola dan dipelihara
103
Level 4 PA 4.1 Process Measurement 1. Proses informasi yang
Predictable – dibutuhkandalam mendukung
Suatu ukuran sejauh mana tujuan bisnis yang relevan,
hasil pengukuran yang didefinisikan danditetapkan.
digunakan untuk memastikan 2. Tujuan pengukuran proses
bahwa kinerja proses yangberasal dari kebutuhan
mendukung pencapaian tujuan informasiproses.
kinerja proses yang relevan 3. Tujuan kuantitatif untuk
dalam mendukung tujuan kinerjaproses dalam mendukung
bisnis yang ditetapkan. tujuanbisnis yang
relevanditetapkan.
4. Langkah-langkah dan
frekuensipengukuran diidentifikasi
dan ditetapkan sesuai dengan
tujuanpengukuran proses dan
tujuankuantitatif untuk kinerja
proses.
5. Hasil pengukuran
dikumpulkan,dianalisis dan
dilaporkan untukmemantau sejauh
mana tujuankuantitatif untuk
kinerja proses yangbertemu.
6. Hasil pengukuran digunakan
untukmengkarakterisasi kinerja
proses
PA 4.2 Process Control- 1. Tujuan perbaikan proses untuk
Suatu ukuran sejauh mana proses yang mendukung tujuan
proses secara kuantitatif bisnis yang relevan, didefinisikan.
berhasil menghasilkan sebuah 2. Data yang sesuai dianalisis untuk
proses yang stabil, mampu dan mengidentifikasi penyebab umum
dapat diprediksi dari variasi dalam kinerja proses.
dalam batas yang ditentukan 3. Data yang sesuai dianalisis untuk
mengidentifikasi peluang untuk
praktek terbaik dan inovasi.
4. Peluang perbaikan yang berasal
dari teknologi baru dan konsep
proses diidentifikasi.
5. Strategi implementasi didirikan
untuk mencapai tujuan perbaikan
proses.
Level 5 PA 5.1 Process Innovation - 1. Tujuan perbaikan proses untuk
Optimizing Suatu ukuran sejauh mana proses yang mendukung tujuan
perubahan bisnis yang relevan, idefinisikan
untuk proses diidentifikasi dari 2. Data yang sesuai dianalisis untuk
analisis penyebab umum dari mengidentifikasi penyebab umum
dari variasi dalam kinerja proses.
104
variasi dalam kinerja, dan dari 3. Data yang sesuai dianalisis untuk
penyelidikan pendekatan mengidentifikasi peluang untuk
inovatif untuk definisi dan praktek terbaik dan inovasi.
penyebaran proses. 4. Peluang perbaikan yang berasal
dari teknologi baru dan konsep
proses diidentifikasi.
5. Strategi mplementasi didirikan
untuk mencapai tujuan perbaikan
PA 5.2 Process Optimization - 1. Dampak dari semua perubahan
Suatu ukuran sejauh mana yang diusulkan dinilai terhadap
perubahan definisi, manajemen tujuan dari proses dan standar
dan kinerja hasil proses proses, didefinisikan.
dampak yang efektif yang 2. Implementasi dari semua
mencapai tujuan perbaikan perubahan yang telah disepakati
proses yang relevan. dikelola untuk memastikan
bahwasetiap gangguan terhadap
kinerja proses dipahami dan
ditindaklanjuti.
3. Berdasarkan
kinerjaaktual,efektivitas
prosesperubahan dievaluasi
terhadap persyaratanproduk
ditetapkan dan tujuan proses untuk
menentukan apakahhasilnya karena
penyebab umum atau khusus.
ketentuan pada kategori bahwa proses tersebut bisa mendapatkan suatu level
kapabilitas jika mendapatkan nilai Largely Achieved (L) dengan range nilai
berkisar 50-85% atau Fully Achieved (F) dengan range nilai berkisar 85-100%,
namun proses tersebut bisa dilanjutkan pada level selanjutnya jika mendapatkan
nilai Fully Achieved (F). Berikut tabel level dan rating kapabilitas :
105
Tabel 4.25 Level dan Rating Kapabilitias
Level dan Rating Kapabilitas
Level Process Attributes Rating
Level 1 Process Performance Largery or Fully
Level 2 Process Performance Fully
Performance Management (2.1) Largery or Fully
Work Product Management (2.2) Largery or Fully
Level 3 Process Performance Fully
Performance Management (2.1) Fully
Work Product Management (2.2) Fully
Process Definition (3.1) Largery or Fully
Process Employment (3.2) Largery or Fully
Level 4 Process Performance Fully
Performance Management (2.1) Fully
Work Product Management (2.2) Fully
Process Definition (3.1) Fully
Process Employment (3.2) Fully
Process Measurement (4.1) Largery or Fully
Process Control (4.2) Largery or Fully
Level 5 Process Performance Fully
Performance Management (2.1) Fully
Work Product Management (2.2) Fully
Process Definition (3.1) Fully
Process Employment (3.2) Fully
Process Measurement (4.1) Fully
Process Control (4.2) Fully
Process Innovation (5.1) Largery or Fully
Process Optimisation (5.2) Largery or Fully
106
Template hasil pencapaian kualitas pada proses capability level sebagai
acuan agar memudahkan untuk membuat penilaian pada tiap prosesnya, template
Tujuan
PA PA PA PA PA PA PA PA PA
Rating by
Criteria
N : Not Achieved
P : Partially Achieve
L : Largerly Achieved
F : Fully Achieved
terkait dengan IT (staff, proses dan teknologi) yang memadai tersedia untuk
mendukung tujuan perusahaan secara efektif dengan biaya optimal. Pada proses
EDM04 terdapat 3 detail process yang akan dinilai yaitu : EDM04.01 (Evaluate
107
EDM04.03 (Monitor resource management), untuk melanjutkan ke level 3, maka
tabel dibawah ini harus terpenuhi semua, berikut rincian aktifitas dari detail
process yang terkait dengan Base Practive dan Output di COBIT 5 PAM pada
domain EDM04 :
108
Tabel 4.28 Pencapaian Capability Level Proses EDM04
EDM04
Management
Outputs Exist Score Level
Practice
109
resource management
karena :
yayasan.
Untuk pemilihan sumber daya manusia sudah ada keterangan dan akan
110
4.2.3.2 Direct Resource Management
Diadakannya rapat atau workshop tentang kinerja staff dan guru secara
berkala.
Untuk tugas dan penanggung jawab sudah ditetapkan dalam rapat yang
pada juknis sekolah, dilakukan oleh sesuai bidang nya masing - masing.
secara verbal dan scoring oleh Kepala Sekolah ataupun waka kurikulum.
111
Dari hasil penilaian capability level, proses EDM04 dinilai lulus dari level
1, karena mencapai status fully achieved dengan perolehan score 88,88% sehingga
proses ini bisa melanjutkan ke proses selanjutnya yaitu pada level 2. Pada level 2
terdapat dua proses, yaitu 2.1 Performance Management dan 2.2 Work Product
Management, berikut ini adalah tabel penilai proses EDM04 pada level 2 :
1. Semua anggota sekolah, semua guru dan staff TI mengerti tujuan dari
112
4. Tanggung jawab dan wewenang untuk melakukan setiap proses sudah ada
di pihak sekolah dan dari Dinas Pendidikan juga sudah memberi acuan dan
rambu – rambu.
6. Komunikasi mengenai tata cara pelaksanaan antar staff dan guru pada
penilaian pada proses 2.2 Work Product Management. Berikut rincian penilaian :
113
2. Setiap dokumen dikoordinir oleh kepala staff TU sebagai pengatur
nama pihak yang menyetujui, setiap dokumentasi hasil kerja berupa print
Proses pada EDM04 pada level 2 sudah mempunyai nilai kapabilitas dan
score 100% pada proses 2.1 Performance Management dengan kriteria Largery
Achieved (L) dan proses 2.2 Work Product Management memperoleh score 75%
facilities), berikut rincian aktifitas pada detail process yang terkait dengan Base
114
Tabel 4.32Aktifitas DSS01 Berdasarkan COBIT 5 PAM
Aktifitas Deskripsi Output
DSS01.01 Memelihara dan melaksanakan 1. Jadwal Operasi
Pelaksanaan prosedur operasional dan tugas 2. Mencatat Backup data
Prosedur operasional dengan andal dan
Operasional konsisten.
115
Tabel 4.33 Pencapaian Capability Level Proses DSS01
PA PA PA PA PA PA PA PA PA
DSS01
(Manage Operation)
Management
Outputs Exist Score Level
Practice
DSS01.02Manage
outsourced IT Independent assurance plans 100% F
Services
Incident Tickets -
116
the environment Insurance policy reports
1. Operational Schedule
2. Backup log
karena :
117
Sudah terdapat pengaturan / panduan dalam memantau aset dan kondisi
2. Event logs
3. Incident Tickets
1. Environmental policies
sudah ada, sebagian yang mengelola sekolah dan sebagian lagi yang
mengelola yayasan.
118
Pedoman mengenai kesehatan dan keselamatan dari pihak sekolah atau
level 1 dengan status Largery achieved sebesar 66,67% . Namun tidak dapat
melakukan penilaian pada level selanjutnya, karena proses harus mencapai status
Proses ini berfokus pada usaha menetapkan dan memelihara rencana yang
rangka melanjutkan operasi proses bisnis yang penting dan layanan TI yang
diterima oleh perusahaan. Pada proses DSS04 terdapat 8 detail process, yaitu :
process yang terkait dengan Base Practive dan Output di COBIT 5 PAM pada
domain DSS04 :
119
Tabel 4.35Aktifitas DSS04 Berdasarkan COBIT 5 PAM
Aktifitas Deskripsi Output
Menentukan keberlangsungan 1. Kebijakan dan tujuan
DSS04.01
kebijakan dan ruang lingkup untuk keberlangsungan
Menentukan sekolah yang selaras dengan aktifitas sekolah
kebijakan, tujuan, tujuan sekolah dan stakeholder. 2. Skenario insiden
dan cakupan ancaman
keberlangsungan 3. Penliaian kemampuan
bisnis dan kesenjangan
kontinuitas saat ini
Mengevaluasipilihan manajemen 1. Analisis dampak bisnis
keberlangsungan bisnis dan 2. Persyaratan kontinuitas
DSS04.02 memilih strategi keberlangsungan 3. Menyetujui opsi strategis
Mempertahankan efektifitas biaya dan kelayakan
keberlangsungan untuk memastikan pemulihan dan
bisnis keberlangsungan sekolah dalam
menghadapi bencana atau insiden
atau gangguan besar lainnya.
Mengembangkan Business 1. Respon tindakan dan
DSS04.03
Continuity Plan (BCP) komunikasi saat insiden
Mengembangkan berdasarkan strategi yang terjadi
dan menerapkan mendokumentasikan prosedur dan 2. Rencana kelanjutan bisnis
respon informasi dalam kesiapan untuk (BCP)
keberlangsungan digunakan dalam insiden yang
bisnis memungkinkan sekolah untuk
melanjutkan kegiatan kritisnya.
Menguji pengaturan 1. Menguji tujuan Sekolah
kontinuitassecara teratur untuk 2. Menguji pelaksanaan
melaksanakan rencana pemulihan 3. Hasil pengujian dan
terhadap hasil yang telah rekomendasi
DSS04.04
ditentukan dan untuk
Latihan, tes dan memungkinkan solusi inovatif
mengulas BCP untuk dikembangkan dan
membantu untuk memverifikasi
dari waktu ke waktu bahwa
rencana akan bekerja seperti yang
diantisipasi.
Melakukan tinjauan manajemen 1. Hasil tinjauan rencana
atas kemampuan untuk yang telah dibuat
melanjutkan aktifitas sekolah 2. Perubahan yang
DSS04.05 Meninjau, secara berkala. Mengelola disarankan untuk
mempertahankan perubahan rencana sesuai dengan direncanakan
dan meningkatkan proses kontrol perubahan untuk
rencana yang memastikan bahwa rencana
kesinambungan terus diperbarui
berkesinambungan
dan secara terus-menerus
mencerminkan persyaratan
aktifitas sekolah yang sebenarnya.
120
Menyediakan semua pihak internal 1. Persyaratan pelatihan
DSS04.06 dan eksternal agar dilakukan 2. Memantau hasil
Melaksanakan pelatihan reguler mengenai ketrampilan dan
keberlangsungan prosedur dan peran serta tanggung kompetensi
rencana pelatihan jawab mereka jika terjadi
gangguan.
DSS04.07 Menyediakan ketersediaan 1. Hasil uji backup data
Mengelola informasi penting sekolah
pengaturan
cadangan
PA PA PA PA PA PA PA PA PA
121
Tabel 4.37 DSS04 – Manage Continuity Level 1
DSS04
(Manage Continuity)
Management
Outputs Exist Score Level
Practice
122
DSS04.07
Manage backup Test result of backup data 100% F
arrangements
Belum ada panduan atau skenario yang disiapkan apabila ada ancaman yang
sering terjadi (missal : jaringan mati), untuk masalah yang lain belum ada
panduan skenarionya.
Sudah ada analisa pencapaian kinerja menurut sasaran strategis SMA Intensi
123
kelangsungan bisnis organiasi untuk mencapai tujuan startegis
karena:
2. Continuity requirements
124
SMA Intensif Taruna melakukan penanganan secara spontan berdasarkan
Proses "Exercise test and review the BCP" di SMA Intensif Taruna
1. Test objectives
2. Test exercises
dihasilkan.
score 0% karena :
125
Karena SMA Intensif Taruna Pembangunan Surabaya belum memiliki atau
1. Training requirements
dan pelatihan bagi staff dan guru secara berkala dan pelaksanaanya
Kinerja pegawai dinilai dengan oleh Kepala Sekolah dan Waka Kurikulum
berkala.
126
4.2.5.8. Conduct post-resumption review
terhadap BCP.
sebesar 35,42% . Namun tidak dapat melakukan penilaian pada level selanjutnya,
karena proses harus mencapai status fully achieved pada level 1 sebagai syarat
penulis merangkum semua hasil yang dicapai pada sekolah SMA Intensif Taruna
127
Tabel 4.38 Hasil Perhitungan Capability Level
Perolehan berdasarkan prosentase
Dari hasil tabel capability level, ketiga proses yang telah dilakukan
penilaian (EDM04) berada pada level 2 dengan status largery achieved (L) dengan
rata –rata perolehan score PA 2.1 sebesar 100% (F) dan PA2.2 sebesar 75% (L),
lalu pada proses penilaian (DSS01) berada pada level 1 dengan nilai 66,67% status
(Largery achieved) dan (DSS04) hanya berada pada level 0 dengan perolehan
mengenai Review and adjust work products belum adanya pembuatan dokumen
mengenai perubahan hasil kerja, sehingga proses EDM04 ini belum memiliki
128
belum memiliki rencana untuk keberlangsungan aktifitas di sekolah atau biasa
diharapkan (Established Process). Untuk itu akan dilakukan analisa gap antara
target capability level saat ini dengan kondisi yang diharapkan yaitu Established
saat ini dengan tata kelola EDM04, DSS01 dan DSS04 yang diharapkan dapat
129
3.5
2.5
0.5
0
EDM04 (Ensure DSS01 (Manage DSS04 (Manage
Resource Operation) Continuity)
Optimisation)
130
Berdasarkan pada perhitungan diatas, maka hasil tingkat kapabilitas berada
pada level 1 dan memiliki kesenjangan sebesar 2 untuk mencapai level yang
diinginkan. Artinya bahwa proses tata kelola TI (IT Governance) di sekolah SMA
melengkapi output yang belum tercapai, selanjutnya sekolah SMA Intensif Taruna
Pembangunan bisa berfokus pada proses – proses selanjutnya yang berada pada
level 2 saat ini dan pada target yang diinginkan pada level 3. Berikut rincian
output untuk melengkapi proses pada level 1 yang belum lengkap yaitu sebagai
berikut :
a. Operational Schedule
131
Membuat jadwal operasional schedule mengenai sumber daya,
b. Backup Log
c. Event Log
Pelaksanaan Event Log melihat aktifitas apa saja yang sedang terjadi
d. Incident Ticket
down, data yang sangat penting masih bisa diberikan kepada guru
terjadi.
132
Pembuatan dokumen BCP, dokumen rencana untuk keberlangsungan
aktifitas di sekolah.
dokumen BCP.
Pada level 2 tiap proses memiliki output yang sama namun mengacu pada
control objectives pada level 1, proses ini terbagi menjadi dua bagian yaitu
133
SMA Intensif Taruna Pembangunan memiliki target yang ingin
dicapai.
c. Define responsibilities
dicapai.
c. Define responsibilities
134
SMA Intensif Taruna Pembangunan penentuan tanggung jawab dan
135
d. Review and adjust work products
Pembangunan untuk membuat daftrar output proses yang belum dilakukan karena
belum lolos pada level 2. Pada level 3 terdapat dua bagian proses yaitu :
136
4.4.3.1 Established Process
1. Define Standard
membuat SOP mandiri untuk setiap proses yang belum lengkap atau
belum dibuat.
SOP
137
Memiliki kegiatan menentukan otoritas dan peran dalam melakukan
peluang paling besar untuk dilaksanakan dalam waktu dekat. Berikut rekomendasi
138
4.4.1 Rekomendasi Lanjutan EDM04
guru dan staff TI. Topik pelatihan mencakup tema soft skills dan
139
Review and adjust work products
telah dibuat mengenai kinerja staff dan guru, mencakup nama guru
b. Define Standard
sumber daya.
140
BAB V
berdasarkan penelitian yang sudah dilakukan sebelumnya pada bab 4 pada sekolah
5.1 Kesimpulan
2. Hasil dari mapping pada permasalahan yang terjadi pada SMA Intensif
(Manage) dengan nilai PA 2.1 sebesar 100% dan PA 2.2 sebesar 75%.
141
5.2 Saran
5 PAM memuat pedoman yang diperlukan oleh organisasi dalam hal tata
142
DAFTAR PUSTAKA
Meadows: ISACA.
ISACA.
Candra, R. K., Atastina, I., & Firdaus, Y. (2015). Audit Teknologi Informasi
Engineering , 2, 1129.
Cooper, D. R., & C, W. E. (2004). Metode Penelitian Bisnis. (Vol. 5). Jakarta.
Greefhorst, D., MSc, & ArchiXL, D. o. (2013). TOGAF & Major IT Frameworks,
143
Haag, S, & P., K. (1996). Information Technology, Tomorrow's Advantage Today.
Mc-Graw-Hill.
ISACA. (2016). Cobit 20th Anniversary. Retrieved 2018, from Isaca Company:
www.isaca.org
www.cobitonline.isaca.org
www.iso27001security.com
Keraf, G. (1984). Diksi dan Gaya Bahasa (Vol. 1). Jakarta: PT Gramedia Pustaka
Utama.
Muria, L. (2018, Februari 16). Definisi dan Fungsi Sekolah. Retrieved 2018, from
Lyceum: www.lyceum.id
144
Pratama, G. A. (2014). MANAJEMEN RISIKO TEKNOLOGI INFORMASI PADA
Sarno, R. (2009). Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.
www.corphr.com
TheOpenGroup.
145