IMPLEMENTASI TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN

FRAMEWORK COBIT 5 PADA DIREKTORAT JENDERAL BEA DAN CUKAI

Farida Indah Riantini 1), Dadang Iskandar Mulyana 2)
1
Program Studi Sistem Informasi, Sekolah Tinggi Ilmu Komputer Cipta Karya Informatika

Email : farida.indah@customs.go.id
2
Program Studi Teknik Informatika, Sekolah Tinggi Ilmu Komputer Cipta Karya Informatika

Email : dadang@stikomcki.ac.id

Abstract

Directorate General of Customs and Excise needs a breakthrough by using audit to manage
information technology around it. Managing information technology are urgently needed for
Directorate General of Customs and Excise in order to correct the past mistake, improve, and evaluate
itself. The method that we were used to measure capability level in this study are COBIT 5 framework
which develope by ISACA. This COBIT 5 focused on Deliver, Service, and Support (DSS) which cover
Services, Security Management, Continuity, Services Support for Stakeholders, Data Management, and
Operational Facility. This study are based on qualitative research and data sample. Data sample
gained by doing survey on selective respondents whis is first hand user who involve at managing
information technology process. The research indicate that the level of capability DJBC at domains
DSS is 2.09, which means still at the level 2 (managed process), it means that the process has been
implemented regularly, there is planning and monitored. So, it needed recommendation the target
level to be achieved level 3 with by improving the documentation of the processes manage information
technology and compile requirements, classification, and prioritization in service delivery and incident
handling

Keyword : Information Technology Governance, COBIT 5, Capability Level

1. PENDAHULUAN informasi yang lebih efektif dan efisien serta

Direktorat Jenderal Bea dan Cukai
(DJBC) merupakan institusi pemerintah di
bawah naungan Kementerian Keuangan yang
bergerak pada bidang pengawasan dan
pelayanan masyarakat khususnya pada bidang
pelayanan fiskal atas impor untuk penerimaan
negara. Selain perkembangan teknologi,
perkembangan perdagangan internasional,
baik yang menyangkut kegiatan bidang impor
maupun ekspor akhir-akhir ini mengalami
kemajuan yang pesat. Pesatnya kemajuan di
bidang tersebut menuntut diadakannya suatu
sistem dan prosedur tata kelola teknologi
mampu meningkatkan kelancaran arus barang
dan dokumen terutama dalam hal pengawasan
dan pelayanan.
Saat ini, DJBC telah menerapkan tata
kelola teknologi informasi sebagai salah satu
cara yang mendukung pencapaian tujuannya.
Namun, perlu dilakukan penilaian atas
penerapan tata kelola teknologi informasi
apakah telah diterapkan dengan baik dan
sesuai dengan investasi yang dikeluarkan
untuk teknologi informasi. Maka dari itu,
dibutuhkan suatu tata kelola yang tepat dalam
memaksimalkan pemanfaatannya. Peran tata

1
kelola teknologi informasi untuk memastikan
penerapan TI benar-benar mendukung tujuan
penyelenggaraan pemerintahan dengan
memperhatikan efisiensi penggunaan sumber
daya dan pengelolaan resiko terkait dengannya
di pandang sebagai solusi bagi permasalahan
tersebut dan saat ini telah menjadi prioritas
manajemen di banyak organisasi sebagai unsur
penentu keberhasilan TI di dalam organisasi.
Evaluasi kinerja teknologi informasi secara
umum dapat dilakukan dengan menggunakan
framework COBIT (Control Objective
forInformation and related Technology).
merupakan standar yang diakui dan diterima
secara internasional, direkomendasikan untuk
penerapan tata kelola TI yang baik serta
merupakan edisi terbaru dari framework
COBIT ISACA (Information System Audit and
Control Association) yang menyediakan
penjabaran tata kelola TI untuk
menggambarkan peran utama dari informasi
dan teknologi dalam menciptakan nilai
perusahaan. COBIT 5 merupakan sebuah
standar tata kelola TI (IT Governance) yang
bersifat generik sehingga pengembangannya
dapat berbeda-beda untuk setiap organisasi.
Kerangka kerja COBIT (Control
Objectives For Information And Related
Technology), dimana model perancangan
COBIT lebih bersifat praktis, lebih kuat dalam
checklist audit dan cocok untuk monitoring
proses TI untuk membantu tercapainya
pelaksanaan tata kelola TI yang baik. COBIT
memiliki strukur yang lebih baik dalam hal
mengalamatkan masalah-masalah yang
berkaitan dengan IT Auditing, dalam hal IT
Auditing pada COBIT mencakup area yang
lebih luas dan lebih cocok digunakan untuk
menilai dan mengevaluasi sebuah IT
Governance. Fitur-fitur yang dimiliki COBIT
dalam penanganan terhadap masalah yang
berkaitan dengan manajemen yaitu COBIT
mampu mereferensikan Critical Success
Factor yang dibarengi dengan indikator
kinerja dan model kapabilitas sebuah IT
Governance.
2
COBIT merupakan suatu kerangka kerja
manajemen Teknologi Informasi yang
diciptakan Information System Audit and
Control Association (ISACA) dan IT
Governance Institute (ITGI) yang mencakup
tujuan pengendalian yang tediri dari 5 domain,
yaitu : Align, Plan and Organise (APO),
Build, Acquire and implement (BAI), Deliver,
Service and Support (DSS) serta Monitoring,
Evaluate and Assess (MEA), Evaluate, Direct
and Monitor (EDM). COBIT 5 memiliki
model kapabilitas (Capability) yang bertujuan
untuk mencapai tujuan secara keseluruhan dari
proses penilaian dan proses dukungan
perbaikan, yaitu untuk menyediakan sarana
untuk mengukur kinerja dari setiap sisi tata
kelola TI yang kemudian diterapkan pada
suatu penilaian kapabilitas proses.
Maka dari itu perlunya audit pada
pengelolaan teknologi informasi yang sedang
berjalan menggunakan kerangka COBIT 5
dapat memberikan evaluasi terhadap keadaan
tata kelola Teknologi Informasi pada proses
monitoring operasional TI di Direktorat
Jenderal Bea Dan Cukai saat ini, dan juga
dapat memberikan strategi yang berguna untuk
perbaikan pengelolaannya di masa yang akan
datang. Berdasarkan latar belakang di atas
maka penulis ingin menilai penerapan tata
kelola teknologi informasi yang telah berjalan
pada Direktorat Jenderal Bea dan Cukai
(DJBC) dengan menggunakan kerangka
COBIT 5 dengan fokus domain Deliver,
Service, and Support (DSS) .
2. METODE PENELITIAN
Metode yang digunakan dalam melakukan
penelitian ini adalah metode penelitian
kualitatif yaitu dengan melakukan
pengamatan/observasi, pengukuran, dan
pengumpulan data melalui penyebaran
kuisioner. Penelitian kualitatif bertujuan untuk
memperoleh informasi mengenai keadaan saat
ini dan melihat kaitan antara variable variable
yang ada.
 Desain penelitian yang dilakukan dengan
menggunakan kerangka kerja yang terdapat
dalam COBIT 5 adalah sebagai berikut:
Gambar 1. Desain Penelitian
a. Tahapan I : Identifikasi Stakeholder
d. Tahapan IV: Identifikasi IT- Process
Drivers
Pada tahap pertama, diperlukan adanya
identifikasi pengendali yang mempengaruhi
pemangku kepentingan dalam mengambil
keputusan bisnis, seperti perubahan
strategi, perubahan dalam usaha bisnis dan
peraturan daerah, dan perkembangan
teknologi baru. Karena kebutuhan
pemangku kepentingan harus berkaitan
dengan tujuan entitas.
e. Tahapan V: Mengukur Tingkat Kapabililtas
b. Tahapan II : Identifikasi COBIT Enterprise
Goals
Pada tahap kedua, kebutuhan pemangku
kepentingan berhubungan dengan tujuan
umum organisasi. Peneliti mengidentifikasi
tujuan bisnis DJBC, kemudian dilakukan
mapping sesuai dengan tujuan bisnis
menurut COBIT 5.
c. Tahapan III : Identifikasi COBIT IT-
Related Goals
Pada tahap ketiga, akan dilakukan analisa
antara COBIT enterprise goals dengan
3
COBIT IT- Related Goals. COBIT
Enterprise Goals yang digunakan ialah dari
hasil pemetaan tujuan bisnis DJBC dengan
tujuan bisnis menurut COBIT 5 yang
dilakukan pada tahapan sebelumnya.
Mapping enterprise goal dengan IT-related
goal bertujuan untuk memaparkan tujuan
bisnis secara umum dengan beberapa
tujuan TI yang mendukung tujuan bisnis
organisasi. Mapping dilakukan kedalam
perspektif IT Balance Scorecard (IT BSC).
Apabila hubungan keterkaitan antara tujuan
bisnis dan tujuan TI sangat kuat, maka
diberi tanda “P” yang berarti primary
(strong relationship). Jika terdapat 16
hubungan antara tujuan bisnis dengan
tujuan TI tetapi hubungan tersebut tidak
dominan, maka diberi tanda “S” yang
berarti secondary (medium relationship).
Jika tidak ada hubungan sama sekali, maka
dikosongkan.
Pada tahap keempat, berdasarkan setiap
mapping IT- Related Goals akan
menghasilkan IT- Process berdasarkan
COBIT 5. Dari masing-masing IT- Process
berfungsi sebagai proses dalam pengukuran
tingkat kapabilitas pada penilaian tata
kelola teknologi informasi pada DJBC.
Pada IT- Process ini difokuskan hanya pada
domain DSS COBIT 5 saja.
Terdapat enam tingkatan (level 0-5) dalam
penilaian di masing-masing tingkatan
diklasifikasikan ke dalam 4 kategori (not
achieved, partially achieved, largely
achieved, fully achieved) sebagai bentuk
dari pencapaian suatu tingkat kapabilitas.
Pemenuhan dalam suatu capability level
agar bias melanjutkan ke level berikutnya
harus mencapai kategori largely achieved
(L) atau fully achieved (F). Dalam
melakukan penilaian capability mature
 model terbagi manjadi enam tingkatan yang
dijelaskan sebagai berikut:
a. Level 0 – Incomplete Process
b. Level 1 – Performed Process
c. Level 2 – Managed Process
d. Level 3 – Established Process
e. Level 4 – Predictable Process
f. Level 5 – Optimising Process
Setelah mengetahui level capability
entitas, maka perlu dilakukan analisis
rekomendasi untuk perbaikan organisasi di
masa datang. Yang pertama adalah
menganalisa gap antara level existing yang
telah diperoleh dari hasil pengukuran dengan
target level kapabilitas organisasi. Pada tahap
analisis gap dilakukan untuk mendefinisikan
kesenjangan antara tingkat kematangan aktual
dengan tingkat kematangan yang diinginkan
(ekspektasi) dan menerjemahkan gap tersebut
menjadi peluang perbaikan. Berdasarkan hasil
dari analisa gap tersebut, maka disusunlah
rekomendasi untuk masing-masing IT Process
Domain DSS COBIT 5 untuk perbaikan
organisasi di masa datang.
3. HASIL DAN PEMBAHASAN
Pada tahap pertama, yaitu mengidentifikasi
tujuan strategis dari Direktorat Jenderal Bea
dan Cukai. Berikut merupakan tujuan strategis
DJBC yang juga merupakan fungsi utama dari
DJBC:
1. Meningkatkan pertumbuhan industri dalam
negeri melalui pemberian fasilitas di bidang
kepabeanan dan cukai yang tepat sasaran;
2. Mewujudkan iklim usaha dan investasi
yang kondusif dengan memperlancar
logistik impor dan ekspor melalui
penyederhanaan prosedur kepabeanan dan
cukai serta penerapan sistem manajemen
risiko yang handal;
3. Melindungi masyarakat, industri dalam
negeri, dan kepentingan nasional melalui
pengawasan dan/atau pencegahan
masuknya barang impor dan keluarnya
barang ekspor yang berdampak negatif dan
4
berbahaya yang dilarang dan/atau dibatasi
oleh regulasi;
4. Melakukan pengawasan kegiatan impor,
ekspor dan kegiatan di bidang kepabeanan
dan cukai lainnya secara efektif dan efisien
melalui penerapan sistem manajemen risiko
yang handal, intelijen, dan penyidikan yang
kuat, serta penindakan yang tegas dan audit
kepabeanan dan cukai yang tepat;
5. Membatasi, mengawasi, dan/atau
mengendalikan produksi, peredaran dan
konsumsi barang tertentu yang mempunyai
sifat dan karakteristik dapat membahayakan
kesehatan, lingkungan, ketertiban, dan
keamanan masyarakat melalui instrumen
cukai yang memperhatikan aspek keadilan
dan keseimbangan;
6. Mengoptimalkan penerimaan negara dalam
bentuk bea masuk, bea keluar, dan cukai
guna menunjang pembangunan nasional.
Pada tahap kedua yaitu melakukan
mapping tujuan strategis DJBC dengan
COBIT 5 Enterprise Goals. Hasil dari
pemetaan Enterprise berdasarkan tujuan
strategis DJBC adalah
1. EG1 : Stakeholder value of business
investment,
2. EG2 : Portofolio of competitive products
and services
3. EG3 : Managed business risk
(safeguarding of assets)
4. EG4 : Compliance with external laws and
regulations
5. EG5 : Financial transparency
6. EG6 : Customer-oriented service culture
7. EG7 : Business services continuity and
availability
8. EG8 : Agile responses to a changing
business environment
9. EG9 : Information-based strategic
decision making
10. EG10 : Optimitation of services delivery
costs
11. EG11 : Optimitation of business process
functionality
12. EG12 : Optimitation of business process Tabel 1. Pemetaan IT- Related Goals terhadap
costs IT- Process
13. EG17 : Product and business innovation
culture

Pada tahap ketiga, setelah diketahui tujuan

organisasi menurut COBIT 5 yang sesuai
dengan sasaran strategis DJBC, kemudian
tujuan tersebut dilakukan pemetaan terhadap
IT- Related Goals menurut COBIT 5. Dari
hasil pemetaan tersebut dapat diketahui tujuan
TI apa saja yang dapat mendukung tujuan dan
sasaran bisnis organisasi. Untuk memperoleh
tujuan terkait TI (IT- Related Goals) maka
dilakukan pemetaan Enterprise Goals yang
sesuai dengan 17 (tujuh belas) IT-Related
Goals COBIT 5. Pemetaan IT Related Goals
dengan cara memilih proses yang berkategori
primer dan sekunder. ('P' adalah singkatan dari
hubungan primer dan 'S' untuk hubungan
sekunder, yaitu hubungan kurang kuat.). Hasil
dari pemetaan IT- Related Goals adalah IT-R1
– IT-R14, kemudian IT-R16 – IT-R17. IT Hasil dari pemetaan IT- Process pada
Related Goals yang tereliminasi dalam hal ini Tabel 1. adalah DSS01 – DSS06, yang berarti
adalah IT-R15 yaitu IT compliance with semua domain DSS dijadikan sebagai cakupan
internal policies, yang artinya DJBC dapat proses audit.
memberi perhatian lebih memperbanyak
Tabel 2. Hasil Pemetaan IT- Related Goals
standar operational prosedur untuk ke depan.
terhadap IT- Process
Pada tahap keempat, berdasarkan setiap
mapping IT- Related Goals akan
menghasilkan IT- Process berdasarkan COBIT
5. Dari masing-masing IT- Process berfungsi
sebagai proses dalam pengukuran tingkat
kapabilitas pada penilaian tata kelola teknologi
informasi pada DJBC. Pada penelitian ini yang
akan diteliti adalah fokus pada domain
Deliver, Service and Support (DSS) sebagai
berikut.

5
 Untuk mengukur tingkat kapabilitas adalah
melakukan proses penyebaran kuesioner untuk
mencari tanggapan dari para responden
mengenai kondisi terkini yang ada pada
Direktorat Informasi Kepabeanan dan Cukai
DJBC terkait dengan proses dalam domain
DSS (Deliver, Service and Support) COBIT 5.
Kuesioner ini berisikan pertanyaan –
pertanyaan yang sesuai dengan proses – proses
yang ada pada Domain DSS (Deliver, Service
and Support) COBIT 5. Untuk menentukan
kondisi entitas pada level mana, maka
dilakukan analisis berdasarkan hasil dari
kuisioner. Penentuan level tersebut dilakukan
dengan memilih nilai modus atau nilai yang
paling banyak muncul pada tiap aktifitasnya
Dalam mencari rata – rata nilai pada tiap
proses untuk mengetahui bagaimana kondisi
tiap proses yang ada yaitu dengan cara
menjumlahkan seluruh level yang dipilih
kemudian dibagi dengan jumlah aktifitas.
Rumus:
Level rata-rata =
Setelah melakukan analisa pada hasil
kuisioner, maka diperoleh nilai pada setiap
aktifitas yang terdapat pada domain DSS
( Deliver, Service, and Support), maka dibuat
rata-rata nilai yang terdapat pada tiap proses
dengan cara menjumlahkan seluruh level yang
dipilih lalu dibagi dengan jumlah item
pertanyaan di tiap domain.
Berikut merupakan hasil rekapitulasi nilai
proses pada domain DSS (Deliver, Service,
and Support):
6
Tabel 3. Rekapitulasi Nilai Proses
Capability level yang telah didapat
dilakukan pembulatan untuk memudahkan
mencari kondisi terkini berdasarkan kriteria
capability level yang telah ditetapkan. Dalam
melakukan pembulatan tersebut menggunakan
konsep penentuan capability process tertentu,
yaitu suatu proses akan mencapai level k jika
semua atribut sebelum level k terpenuhi secara
fully achieved dan semua atribut di level k
telah terpenuhi secara largely (>50% hingga
85%) atau fully achieved (>85%). Disini
penulis menggunakan pilihan yang terpenuhi
secara fully achieved atau level terpenuhi
dengan nilai >85%, yang di rasa akan lebih
akurat dalam menilai atau menggambarkan
kondisi yang existing yang ada. Pada kategori
ini, terdapat bukti yang lengkap dan
pendekatan yang sistematis, serta pencapaian
yang menyeluruh yang mendifinisikan atribut
yang ada pada proses penilaian. Pencapaian
yang diraih berkisar 85-100%.
Berikut hasil audit pada domain DSS
dengan kondisi existing sebagai berikut:
a. Kondisi Existing DSS01 - Manage
Operations (Mengelola Operasi)
- Kegiatan back up log perangkat
dilakukan oleh vendor yang mencatat log
aktivitas perangkat yang dibuat setiap
bulan dan dilaporkan kepada PPHP
(Pejabat Penerima Hasil Pekerjaan) yaitu
Pihak dalam Pengadaan Barang/Jasa.
- Ada bukti pengecekan yang berupa
dokumen laporan hasil pekerjaan yang
telah dilakukan sebagai laporan terhadap
atasan.
- Pelaksanaan training bagi pegawai untuk
meningkatkan SDM pegawai guna
menunjang pekerjaan yang dibuktikan
dengan ST Training yaitu pelatihan di
bidang IT.
- DJBC mempunyai Business Impact
Analysis (BIA) yaitu proses menentukan
dan mendokumentasikan dampak bisnis
dari gangguan terhadap kegiatan yang
mengdukung produk dan layanan utama.
- Di IKC terdapat denah kabel yaitu untuk
mengetahui posisi dimana kabel-kabel
yang terhubung dalam perangkat IT dapat
terpantau dengan baik.
- Terdapat laporan event log server,
database, aplikasi yang dilaporkan oleh
pelaksana kepada Kasubdit.
- Untuk melaksanakan fungsinya, dalam
suatu pengelolaan IT diperlukan izin dari
pihak-pihak terkait yang berhubungan
dengan pengelolaan IT.
- Terdapat jadwal operasional IT yaitu
shifting IT Operation yang dalam hal ini
terdapat jadwal jaga 24 jam setiap hari
untuk mengantisipasi adanya gangguan
operational IT. Selain itu juga terdapat
jadwal untuk mengelola database seperti
kegiatan backup, restore yang dilakukan
secara berkala untuk menjaga database
tetap aman.
- IKC juga mempunyai kebijakan terhadap
kegiatan pengelolaan IT seperti kegaiatn
backup database dan yang terkait dengan
keamanan lingkungan (SMKI).
- Semua kegiatan yang berkaitan dengan
IT DJBC telah diatur dalam KMK Nomor
512/KMK.01/2009 mengenai Kebijakan
dan Standar Penggunaan Akun dan Kata
Sandi, Surat Elektronik dan Internet di
Lingkungan Kementerian Keuangan.
- Untuk mendukung pekerjaan, DJBC juga
mempunyai kontrak atas sumber-sumber
7
pendukung (listrik, telekomunikasi, air,
dll) demi terlangsungnya kegiatan di
bidang IT yang dituangkan di dalam
dokumen kontrak.
- Apabila terjadi insiden atas fasilitas IT
misalnya terkait
jaringan,bandwith,perangkat, maka akan
dilaporkan ke Direktur yang kemudian
diteruskan kepada Pusintek (Pusat Sistem
Informasi dan Teknologi Keuangan).
- Vendor yang membantu dalam
pengelolaan IT DJBC wajib membuat
laporan secara berkala untuk penilaian
performance perangkat yang dimiliki
DJBC.
- Setiap insiden terkait operasional IT
dilaporkan setiap tahun sebagai evaluasi
tahunan kepada Direktur.
- Direktorat Informasi Kepabeanan dan
Cukai DJBC mempunyai Operational
Level Agreement (OLA) IT yang
digunakan sebagai pedoman memberikan
layanan.
- Direktorat Informasi Kepabeanan dan
Cukai DJBC mempunyai beberapa SOP
(Standart Operational Procedure) terkait
IT yaitu SOP pencatatan event dan
insiden yang isinya merupakan peraturan
atas pencatatan eventdan insiden, SOP
monitoring server yang isinya tentang
prosedur monitoring log atas event, serta
SOP gangguan tentang prosedur
penanganan insiden.
- Rencana audit IT dituangkan dalam
Kepatuhan SOP dan ST Review Tata
Kelola TI DJBC.
- Rencana audit/pemantauan keamanan
yaitu dengan melakukan VA
(Vulnerability Assesment) untuk
mendeteksi, mengidentifikasi dan
mempelajari kelemahan yang dimiliki
dari sistem atau infrastruktur IT DJBC.
- DJBC mempunyai Service Level
Agreement atau SLA di bidang IT yang
berfungsi sebagai pedoman untuk
pelayanan di bidang IT.
 - Direktorat Jenderal Bea dan Cukai
mempunyai SOP Layanan TIK yang
terkait operasional TI.
- Tools pemantauan asset untuk melakukan
pendataan aset yg dimiliki Direktorat
Informasi Kepabeanan dan Cukai DJBC
yang berupa Screen shoot tools (cacti,
OEM, Manage Engine, tools monitoring
storage), CMDB.
b. Kondisi Existing DSS02 - Manage Service
Request and Incidents (Mengelola
Permintaan Layanan dan Insiden)
- Direktorat Informasi Kepabeanan dan
Cukai DJBC mempunyai dokumen
laporan evaluasi bulanan/tahunan
mengenai analisis atas insiden/masalah
yang bertujuan untuk mengidentifikasi
penyebabnya dengan mengidentifikasi
gejala yang timbul.
- Dokumentasi asistensi tim ahli dalam
menangani insiden / masalah misalnya
terdapat masalah terkait IT harus
dilaporkan dan membuat laporan PM /
CM oleh vendor yang menangani.
- Dokumentasi pelaporan masalah
(problem) TI yang mencakup di
dalamnya tahapan verifikasi, persetujuan,
penanganan, dan penutupan tiket (ITSM)
diimplementasikan melalui pengaduan
masalah terkait IT yang dilaporkan
melalui Aplikasi Service Desk dengan
sistem nomor tiket yang kemudian
ditindak lanjuti dan diselesaikan oleh tim
IT DJBC.
- Dokumentasi penerapan knowledge
management dalam incident management
diterapkan melalui aplikasi service desk.
- Apabila terjadi insiden atau gangguan IT,
maka dilakukan dokumentasi penerapan
recovery sesuai SOP laporan gangguan.
- Dokumentasi persetujuan pengguna /
pelapor atas penanganan / penyelesaian
petugas terhadap permintaan / pelaporan
layanan / insiden dibuktikan dengan
dengan UAT (User Acceptance Test).
8
- Mengidentifikasi kebutuhan stakeholders
atas data/informasi terkait insiden dengan
menambahkan fitur guna mendapatkan
respon pada portal pengguna jasa.
- DJBC mempunyai KMK yang terkait
dengan ITSM dan turunannya.
- Pengelompokan kriteria masalah
(problem) TI dengan mengklasifikasikan
insiden pada aplikasi service desk.
- Direktorat Informasi Kepabeanan dan
Cukai DJBC mempunyai dokumen SOP
terkait kriteria masalah TI (problem) /
eskalasi problem.
- DJBC menganalisis tren permintaan
layanan dan pelaporan insiden dengan
membuat laporan evaluasi tahunan tiket
service desk.
- DJBC memiliki prosedur dan kriteria
layanan/insiden yang dieskalasi
berdasarkan SOP Pencatatan Insiden.
- DJBC memiliki media untuk memantau
perkembangan penanganan
layanan/insiden yang diminta/dilaporkan,
baik dari sisi pengguna maupun atasan
petugas dan pimpinan melalui aplikasi
service desk.
- Terdapat SK/ND penunjukan tim
ahli/spesialis untukmenangani
insiden/masalah IT apabila sewaktu-
waktu terjadi insiden/masalah IT.
c. Kondisi Existing DSS03 - Manage
Problems (Mengelola Masalah)
- Menganalisis atas biaya yang dikeluarkan
untuk menangani/menyelesaikan masalah
dituangan dalam dokumen kontrak
sebagai bentuk laporan pertanggung
jawaban.
- Menganalisis tren masalah dengan
menganalisa laporan permasalahan dari
landesk.
- Menganalisis dampak berkelanjutan yang
ditimbulkan oleh masalah yang
dituangkan dalam Service Improvement
Plan.
- Dokumentasi asistensi tim ahli dalam
menangani insiden/masalah diperlukan
sebagai laporan untuk melaporkan setiap
masalah yang ada.
- Dokumentasi change management terkait
penanganan masalah dituangkan dalam
Form Change Request Aplikasi, dan
selanjutnya diadakan rapat evaluasi
gangguan serta rapat penanganan
gangguan.
- Membuat dokumentasi pelaporan
masalah (problem) TI yang mencakup di
dalamnya tahapan verifikasi, persetujuan,
penanganan, dan penutupan tiket
(ITSM).
- Membuat notula rapat dengan pemilik
bisnis/pengguna layanan sebagai bentuk
dokumentasi pembahasan/sosialisasi
knowledge learned atas terjadinya
masalah (misal: MoM).
- Membuat laporan evaluasi bulanan yang
meliputi dokumentasi known-error atas
masalah (problem) yang mencakup
penyebab dan solusi atas masalah yang
pernah terjadi, dokumentasi pemantauan
penanganan/penyelesaian masalah
terhadap persyaratan proses bisnis dan
SLA, dan dokumentasi pembahasan
tindak lanjut atas laporan perkembangan
penanganan masalah dan root cause
analysis yang menghasilkan solusi
strategis untuk mencegah berulangnya
masalah, serta perbaikan yang
berkelanjutan.
- Membuat notula rapat evaluasi bulanan
sebagai bentuk dokumentasi pertemuan
berkala antara manajemen insiden,
manajemen masalah, manajemen
perubahan, dan manajemen konfigurasi
untuk membahas known-error problem
dan tindak lanjutnya.
- Mengevaluasi keberhasilan
penanganan/penyelesaian masalah major
dengan membuat laporan evaluasi
bulanan dan tahunan.
9
- Mengklasifikasikan masalah untuk
kebutuhan pendaftaran, pelaporan, dan
audit trail yang tercakup di dalamnya
yaitu status perkembangan penanganan
masalah (misal: open, reopen, in
progress, closed, dsb) beserta informasi
dampak atas masalah yang belum
terselesaikanyang dituangkan dalam
laporan evaluasi aplikasi service desk.
- Mempunyai SOP gangguan yang berisi
tentang prosedur penanganan masalah,
khususnya terkait pemanfaatan data dari
berbagai sumber (contoh: manajemen
perubahan, manajemen konfigurasi,
manajemen insiden).
- Membuat laporan evaluasi tiket Service
Desk secara berkala untuk
mengidentifikasi penyebab utama
terjadinya masalah (Root cause analysis).
- Memantau perkembangan penanganan
masalah, layanan/insiden yang
diminta/dilaporkan baik dari sisi
pengguna maupun atasan petugas dan
pimpinan melalui aplikasi servicedesk.
- Membuat SK/penunjukan tim
ahli/spesialis untuk penanganan
insiden/masalah yang terjadi.
d. Kondisi Existing DSS04 - Manage
Continuity (Mengelola Keberlanjutan)
- DJBC mempunyai Business Continuity
Plan (BCP), Business Impact Analysis
(BIA), dan Disaster Recovery Plan (DRP)
untuk mencegah gangguan terhadap
aktivitas bisnis normal dan
mengidentifikasi gangguan (interruption)
atau ancaman (threat) pada layanan agar
segera mengatasinya secepat mungkin.
- Mengevaluasi kompetensi manajemen
kelangsungan layanan berdasarkan DRP
Drill.
- Membuat laporan backup database secara
terjadwal. Selain itu juga membuat
laporan backup sistem DC DRC yang
dikelola pihak ketiga.
 - Membuat laporan DRP Drill dan laporan - Melaporkan daftar perangkat yang
evaluasi BCP/DRP sebagai evaluasi terinstal antivirus ke PUSINTEK (Pusat
DRP. Sistem Informasi dan Teknologi
- Melaporkan tiket aplikasi service desk Keuangan).
atas laporan insiden yang terjadi. - Untuk keamanan Data Center dan
- DJBC mengacu pada PMK mencegah hal-hal yang dapat menggangu
97/PMK.01/2017 tentang Tata Kelola keamanan system, maka dibuat daftar
Teknologi Informasi Dan Komunikasi di permintaan kunjungan apabila ada
Lingkungan Kementerian Keuangan pegawai yang akan mengakses DC, daftar
sebagai dasar pengelolaan IT. protokol/port yang diaktifkan dalam
- IKC mempunyai dokumentasi jaringan, dan daftar rekam akses ke Data
Manajemen Resiko untuk Center.
menemukan/mengidentifikasi seluruh - Mendokumentasikan penetration test
risiko yang dihadapi oleh IKC dalam yaitu evaluasi terhadap keamanan dari
mengelola IT DJBC. sebuah sistem dan jaringan computer
- Proses change management terhadap dengan melaporkan hasil VA
perubahan BCM/BCP/DRP melalui surat (Vulnerability Assesment) untuk
dari Kepala Pusintek ke Direktur IKC. mendeteksi, mengidentifikasi dan
- Membuat dokumen usulan inhouse mempelajari kelemahan yang dimiliki
training sebagai rencana training dari sistem atau infrastruktur IT DJBC.
manajemen untuk kelangsungan layanan. - Mendokumentasikan permintaan hak
- Merevisi DRP sesuai hasil DRP Drill akses dengan menerbitkan surat
sebagai bentuk evaluasi DRP. permintaan akses.
- Membuat ST Inhouse Training untuk - Vendor melaporkan hasil pekerjaannya
manajemen kelangsungan layanan. yang berupa dokumentasi update security
- Melakukan pemutakhiran BIA dan DRP patches perangkat.
yang dibuktikan dengan undangan. - Untuk mengkonfigurasi settingan router
diperlukan hak akses khusus perangkat,
e. Kondisi Existing DSS05 -Manage Security yaitu hanya orang-orang tertentu saja
Services (Mengelola Layanan Keamanan) yang mempunyai previllege untuk
- Pusintek membuat daftar black list akses mengakses perangkat.
internet yang tidak boleh diakses pegawai - Untuk mengetahui potensi serangan
di kantor untuk mengefektifkan jam kerja terhadap keamanan jaringan dan
pegawai. mengkonfigurasi perangkat jaringan,
- IKC mempunyai daftar dokumen rahasia maka dibuat review berupa rekapan akhir
dan perangkat TI yang hanya boleh tahun jaringan oleh vendor.
diketahui oleh pejabat atau pegawai yang - IKC memberlakukan kebijakan
berwenang yang dituangkan dalam keamanan endpoint devices yaitu SMKI
dokumen kontrak. (Kebijakan terkait keamanan lingkungan)
- Untuk menjaga keamanan sistem, dan kebijakan terkait keamanan
Pusintek menerapkan daftar hadir petugas konektivitas antar perangkat TI.
keamanan yang menjaga server, daftar - Kebijakan terkait malicious software
hak akses khusus, daftar hak akses diatur dalam SE Menkeu, SE Direktorat
pegawai ke Data Center, daftar hak akses IKC.
pengguna melalui APPS Manager, daftar - Direktorat IKC mempunyai klasifikasi
kunjungan ke Data Center (server). insiden keamanan.

10
 - Adanya dokumentasi PNR GOV dan
PDE internet tentang konfigurasi
perangkat jaringan terkait enkripsi.
- Membuat laporan pemantauan perangkat
Data Center dan laporan capaian SLA
nya.
- Adanya log akses, log aktivitas keamanan
dari perangkat TI, dan log hak akses
admin vendor.
- IKC mempunyai dokumen kontrak yang
berisi profil akses aset TI.
- Terdapat SOP manajemen konfigurasi
yang berisi tentang prosedur keamanan
endpoint device.
- Pusintek mempunyai SOP kunjungan
Data Center untuk menjaga keamanan
Data Center.
f. Kondisi Existing DSS06 -Manage Business
Process Controls (Mengelola Kontrol
Proses Bisnis)
- Di Direktorat IKC terdapat data transaksi
dan kebijakan retensi data.
- Direktorat IKC berwenang melakukan
perubahan data dengan syarat harus ada
surat permohonan perubahan data dan
disetujui oleh Direktur IKC.
- Terdapat identifikasi pengendalian (tabel
pengendalian utama) untuk proses bisnis
TIK.
- Kebijakan pengamanan data/informasi
dalam bentuk fisik ada dalam SMKI.
- Apabila terdapat laporan kesalahan data
dalam aplikasi dilakukan proses
cleansing data untuk mengetahui data
yang valid.
- Direktorat IKC mempunyai TOR
Perubahan Aplikasi yang berisi
pemantauan pengendalian untuk proses
bisnis TIK.
- IKC juga mempunyai Petunjuk Teknis
Aplikasi tentang manual aplikasi
pengendalian akses, pengendalian input,
pengendalian output, pengendalian
proses, perbaikan input, dan user/role
matrix.
11
- Terdapat prosedur penambahan user yang
ada pada SOP akun email dan akun
CEISA.
- Terdapat prosedur review dan
penghapusan user yang ada pada SOP
manajemen akun.
- Untuk mereview integritas data dilakukan
proses cleansing data.
- Membuat laporan evaluasi tiket service
desk tentang root cause analysis masalah
kesalahan data dalam aplikasi.
- Membentuk tim dan mengadakan
sosialisasi keamanan data pada Kantor
Pengawasan dan Pelayanan Bea dan
Cukai.
- Mengadakan training penggunaan
aplikasi dan kebutuhan keamanan pada
Kantor Pengawasan dan Pelayanan Bea
dan Cukai.
Langkah selanjutnya adalah menganalisis
gap untuk mencari selisih dari level capability
yang didapat dengan level target yang ingin
dicapai. Dalam menentukan level target,
ditentukan dengan level yang sedang dituju
dari level rata – rata yang didapat. Contoh
untuk DSS02 di peroleh level rata-rata 2,04
maka DSS02 sedang dalam tahap menuju level
capability 3 dan masih mencapai 0,04 atau 4
% di atas level 2 atau kurang dari 0,96 atau
96% menuju level capabilty 3. Sehingga
ditetapkan level targetnya adalah level 3.
Tabel 4. Analisis Gap
 Berdasarkan hasil analisis gap dan - Menetapkan klasifikasi insiden dan
ditetapkannya level capability pada seluruh IT prioritas penanganannya sebagai acuan
Process DSS, telah diperoleh bahwa nilai level untuk menerapkan standar penanganan
capability pada seluruh IT Process rata-rata dan trend analysis yaitu dengan membuat
berada pada level 2 yaitu dalam Managed kebijakan di BCare dengan klasifikasi
Process yang berarti aktifitas yang dilakukan insiden dan problem.
telah diimplementasikan secara teratur, - Membuat dokumentasi log atas
terdapat perencanaan dan dimonitor dengan permintaan layanan dan penyelesaiannya
baik, hasil kerja dikelola dengan baik dengan yaitu dengan menambahan klasifikasi
menentukan requirement-nya & layanan pada Aplikasi BCare.
mendokumentasikannya. Untuk menuju ke - Membuat dokumentasi status
level 3 Established Process yaitu dengan penyelesaian insiden/masalah
melakukan semua aktifitas dilakukan berdasarkan solusi yang diterapkan,
berdasarkan SOP atau kebijakan/aturan dan yakni solusi sementara atau solusi
dibuat standar penerapan / pengoperasiannya. permanen dengan menambahkan kategori
Kemudian ada alokasi tanggung jawab dan di BCare permanen/sementara.
sumber daya yang tepat untuk mencapai - Menetapkan kriteria masalah (kapan
aktifitas tersebut agar mencapai outcome yang insiden dieskalasi menjadi masalah) dan
diharapkan. dokumentasi insiden yang dieskalasi
Melihat analisis gap yang di dapat dengan menjadi masalah.
level target yang ingin dicapai pada tiap proses - Membuat dokumentasi evaluasi untuk
domain, maka berikut adalah beberapa mengetahui efektivitas laporan
rekomendasi yang dapat penulis berikan untuk penanganan layanan/insiden dalam
meningkatkan kapabilitas level pada domain memenuhi ekspektasi stakeholder
DSS COBIT 5 di Direktorat Jenderal Bea dan (misalnya distribusi, frekuensi, media,
Cukai, khususnya Direktorat Informasi dll).
Kepabeanan dan Cukai sebagai unit pengelola
IT DJBC: 3. DSS03 - Manage Problems (Mengelola
1. DSS01 - Manage Operations (Mengelola Masalah)
Operasi) - Membuat dokumentasi penentuan /
- Menyusun laporan hasil backup terhadap pembahasan prioritas penanganan
aplikasi versi terakhir yang ada di DRC masalah bersama dengan pihak proses
atau laporan hasil versioning bisnis yang dituangkan dalam SLA
(perbandingan kesamaan versi antara Service Catalog Direktorat Informasi
aplikasi di DRC dan DC). Kepabeanan dan Cukai.
- Membuat kebijakan atas Event Log - Menyusun / menetapkan klasifikasi
dengan menerbitkan Nota Dinas dari masalah (problem) beserta penentuan
Direktur IKC ( prosedur kerja prioritas penanganannya sebagai acuan
management Log). untuk menerapkan standar penanganan
- Asset monitoring rules and event dan trend analysis yang dituangkan pada
condition. service katalog Direktorat Informasi
Kepabeanan dan Cukai.
2. DSS02 - Manage Service Request and - Membuat dokumentasi known error yang
Incidents (Mengelola Permintaan Layanan mencakup informasi Configuration Items
dan Insiden) (CI) yang dapat dimasukkan dalam
aplikasi BCare.

12

4. DSS04 - Manage Continuity (Mengelola
Keberlanjutan)
- Melakukan uji fungsionalitas DC DRC.
- Membuat laporan hasil evaluasi
kelangsungan layanan setelah bencana/uji
fungsionalitas DC DRC yang antara lain
memuat: evaluasi DRP, evaluasi terhadap
kesesuaian pelaksanaan prosedur ketika
terjadi bencana dengan DRP, evaluasi
kecukupan keahlian/kompetensi setelah
dilakukannya uji fungsionalitas DC DRC,
serta DRP yang diperbaharui berdasarkan
hasil evaluasi.
- Mengadakan pelatihan kelangsungan
layanan yaitu pelatihan pegawai
Direktorat IKC (Training Inhouse)
tentang DRP.
- Membuat laporan hasil backup terhadap
aplikasi versi terakhir yang ada di DRC
atau laporan hasil versioning
(perbandingan kesamaan versi antara
aplikasi di DRC dan DC).
5. DSS05 - Manage Security Services
(Mengelola Layanan Keamanan)
- Menyusun user access matriks & laporan
reviu hak akses.
- Membuat kebijakan/standar keamanan
end point device & akses perangkat.
- Menyusun laporan analisis insiden terkait
keamanan.
- Membuat klasifikasi informasi dan
pengamanan informasi yang sensitif.
- Membuat mekanisme/prosedur
pemusnahan/disposal informasi sensitif.
6. DSS06 - Manage Business Process
Controls (Mengelola Kontrol Proses
Bisnis)
- Menyusun laporan hasil reviu hak akses.
- Membuat hasil evaluasi keamanan data.
4. KESIMPULAN
Berdasarkan audit tata kelola IT yang
dilakukan pada Direktorat Jenderal Bea dan
13
Cukai menggunakan COBIT 5 Domain DSS
(Deliver, Service and Support), maka
kesimpulannya adalah:
1. Level capability keseluruhan yang
diperoleh berdasarkan keseluruhan rata-rata
adalah 2, yang berarti sebagian besar
aktifitas pada domain DSS untuk Direktorat
Jenderal Bea dan Cukai telah
diimplementasikan secara teratur, terdapat
perencanaan dan dimonitor dengan baik.
Hasil kerja dikelola dengan baik dengan
menentukan requirement-nya &
mendokumentasikannya.
2. Level target yang ingin dicapai adalah level
3 Established Process, sehingga
rekomendasi yang disusun adalah sebagai
berikut:
a. Perlu keterlibatan pemilik proses bisnis
dalam memberikan otorisasi di dalam
menyepakati ruang lingkup proyek,
penyusunan requirement, penerimaan
hasil pengembangan dan pengaturan
kewenangan hak akses (user access
matrix).
b. Membuat klasifikasi dan prioritisasi
dalam pemberian layanan, penanganan
insiden/problem dan membuat
penetapan target layanan.
c. Terdapat kelemahan pada dokumentasi
atas proses-proses yang dijalankan
dalam pengelolaan TIK sehingga perlu
dilakukan perbaikan.
5. REFERENSI
Ajismanto, F. (2017). Analisis Domain Proses
COBIT Framework 5 Pada Sistem
Informasi Worksheet (Studi Kasus
Perguruan Tinggi STMIK, Politeknik
Palcomtech), 207-221
Al-Rasyid, A. (2015). Analisis Audit Sistem
Informasi Berbasis COBIT 5 Pada
Domain Deliver, Service, and Support
(DSS) (Studi Kasus: SIM-BL di Unit
CDC PT Telkom Pusat. Tbk),6110
Direktorat Jenderal Bea dan Cukai (February
5, 2013). Sejarah Bea dan Cukai. April
 20, 2018.
http://www.beacukai.go.id/arsip/abt/sejar
ah-bea-dan-cukai.html
Direktorat Jenderal Bea dan Cukai (November
21, 2012). Struktur Organisasi. April 20,
2018.
http://www.beacukai.go.id/arsip/abt/struk
tur-organisasi.html
Direktorat Jenderal Bea dan Cukai (June 21,
2011). Tugas Pokok dan Fungsi. April
20, 2018.
http://www.beacukai.go.id/arsip/abt/tugas
-pokok-dan-fungsi.html
Direktorat Jenderal Bea dan Cukai (June 21,
2011). Visi, Misi dan Fungsi Utama.
April 20, 2018.
http://www.beacukai.go.id/arsip/abt/visi-
misi-dan-fungsi-utama.html
Firdaus, Y., Atastina, I & Candra, R. K.
(2015). Audit Teknologi Informasi
menggunakan Framework COBIT 5 Pada
Domain DSS (Delivery, Service, and
Support) (Studi Kasus : iGracias Telkom
University), 1129
Gondodiyoto, Sanyoto.,2010., Audit Sistem
Informasi + Pendekatan Cobit.,
Jakarta.,Mitra Wacana Media
Gumilang, S. F., Murahartawaty & Fajrin, R.
A (2016). Perancangan Tata Kelola
Teknologi Informasi di BAPAPSI
Pemkab Bandung Menggunakan
framework COBIT 5 Pada Domain EDM
dan DSS, 74-80
ISACA. (2012). COBIT 5 A Business
Framework for the Governance and
Management of Enterprise IT. USA:
ISACA
ISACA. (2013). Process Assessment Model
(PAM): Using COBIT 5.
ISACA. (2012). COBIT 5 Enabling Process.
USA: ISACA.
14
ISACA. (2012). COBIT 5 Implementation.
USA: ISACA.
Kementerian Keuangan RI (2009). Keputusan
Mentri Keuangan Nomor
260/KMK.01/2009 tanggal 24 Juli 2009
tentang Kebijakan Pengelolaan
Teknologi Informasi dan Komunikasi di
Lingkungan Departemen Keuangan
Manuputty, A. D.,Waluyan, G. (2016).
Evaluasi Kinerja Tata Kelola TI
Terhadap Penerapan Sistem Informasi
Starclick Framework COBIT 5 (Studi
Kasus PT. Telekomunikasi Indonesia,
Tbk Semarang), 157-166
Mursityo, Y. T., Suprapto & Mufti, R. G.
(2017). Evaluasi Tata Kelola Sistem
Keamanan Teknologi Informasi
Menggunakan Framework COBIT 5
Fokus Proses APO13 dan DSS05 (Studi
Pada PT Martina Berto Tbk). Jurnal
Pengembangan Teknologi Informasi dan
Ilmu Komputer, 1622-1631
Putra, Hervandi (2014). Penerapan dan
Penilaian Tata Kelola Teknologi
Informasi berdasarkan COBIT 5
Framework (Studi Kasus pada BPK RI).
Skripsi Fakultas Ekonomi Universitas
Indonesia.
Putra, I. G & Swastika, I . P., 2016., Audit
Sistem Informasi dan Tata Kelola
Teknologi Informasi., Yogyakarta., Andi
Offset
Rabbani, R.I (2016). Evaluasi Penerapan Tata
Kelola Teknologi Informasi berdasarkan
Kerangka Cobit 5 (Studi Kasus Pada
Direktorat Jenderal Bea Dan Cukai).
Skripsi Fakultas Ekonomi Universitas
Indonesia.
Weber, Ron (2000). Information System
Control and Audit. New Jersey: Prentice
Hall, Inc.