AUDIT TEK. SISTEM INFORMASI | TUGAS 3

PERBANDINGAN COBIT, ITIL DAN ISO/IEC 38500​

ISO 38500 terlihat turun dari atas, seperti atap di rumah. COBIT adalah dinding, dan kerangka proses seperti ITIL dan Projects in Controlled Environments 2 (PRINCE2) adalah fondasinya. Dengan menggunakan analogi rumah, jika dewan coba menerapkan atap( ISO 38500), tanpa pondasi atau dinding, maka akan runtuh. Selanjutnya, tanpa atap, maka unsur - unsur sebuah perusahaan tidak akan terlindungi. ISO 38500 bukan merupakan framework yang sempurna. ISO 38500 tidak dapat menggantikan COBIT, ITIL, atau framework lainnya, Tapi, lebih tepatnya, melengkapi kerangka kerja dengan menyediakan fokus permintaan dari penggunaan IT.

PERBANDINGAN :

1. COBIT dan ITIL adalah standard yang cakupan areanya adalah menengah ke bawah sedangkan ISO 38500 cakupan areanya adalah menengah ke atas.
2. COBIT dan ITIL cocok jika dijadikan sebagai IT management framework sedangkan ISO 38500 cocok jika digunakan sebagai IT governance framework.
3. Kerangka kerja COBIT memasukkan hal-hal berikut ini :  Maturity Models , Critical Success Factors (CSFs), Key Goal Indicators (KGIs), dan Key Performance Indicators (KPIs).
4. Kerangka kerja ITIL digunakan untuk mengelola infrastruktur teknologi dan informasi dalam suatu organisasi, dan bagaimana memberikan pelayanan yang terbaik bagi para pengguna teknologi informasi.
5. Kerangka kerja ISO 38500 digunakan bagi pemerintahan untuk membantu mereka pada tingkat tertinggi dari organisasi untuk memahami dan memenuhi kewajiban hukum, peraturan, dan etika mereka dalam hal penggunaan organisasi mereka IT.

PERSAMAAN :

1. Dijadikan sebagai IT governance framework
2. Memberikan pedoman pada perusahaan bahwa keputusan-keputusan strategic IT tidak hanya berada pada CIO saja tetapi juga pada direksi, komisaris dan pemegang-saham.

Kelebihan  Cobit:

1. Rahasia
2. Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
3. Integritas
4. Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.
5. Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.

Kekurangan COBIT

1. COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.
2. COBIT hanya berfokus pada kendali dan pengukuran.

Kelebihan ITIL  :

1. Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur yang didalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya sendiri.
2. ITIL bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.

Kelemahan ITIL  :

1. Kelemahan ITIL antara lain: buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.

​Kelebihan ISO/IEC 38500​ :

1. Memberikan panduan kepada advisor perusahaan.
2. ​Menjamin akuntabilitas diberikan untuk semua Resiko IT dan aktivitasnya.
3. Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi mereka.
4. Menetapkan matriks yang sesuai yang melampaui kepatuhan terhadap standar minimum kantong individu praktik terbaik dengan menerapkan perbaikan tata kelola yang berkelanjutan dan perbaikan manajemen keamanan.

Kekurangan ISO/IEC 38500​ : 

Tidak cocok digunakan sebagai IT management framework

Mengukur Tingkat Kematangan Layanan IT dengan Framework ITIL V3 (Studi kasus: PUSTIPANDA UIN Jakarta)

2.         Penelitian Terdahulu

2.1.      Wahyudi, M., & Deswandi, A. (2016)

Melakukan penelitian pengukuran dan mengaudit sistem informasi CBS (Core Banking System) syariah yang dikenal sebagai T24. Core ini sangat penting dalam operasional bank sehari-hari. Dengan melakukan pengukuran dapat dengan mudah menangani masalah yang terjadi dan berapa lama masalah dapat diselesaikan sesuai dengan kerangka kerja ITIL V3 pada subdomain Service Desk, Incident Management, dan Problem Management yang merupakan proses dan fungsi dari domain Service Operation. Penelitian dilakukan pada BTPN (Bank Tabungan Pensiunan Nasional) syariah Islam. Metode penelitian yang digunakan adalah kombinasi dari survei dan metode penelitian eksperimental. Tiga responden dipilih menggunakan metode populasi terbatas dengan pertimbangan masalah-masalah yang terjadi untuk mengisi kuesioner. Kuesioner dibuat berdasarkan pedoman ITIL V3.

2.2.      Tika, S. P., Sari, D. A., & Sarayar, M. O. (2015)

Melakukan evaluasi layanan IT service desk pada PT XYZ yang sudah mengimplementasikan ITIL dan melakukan penyempurnaan serta penyelarasan untuk perpindahan versi framework dari ITIL V2 menjadi ITIL V3. Evaluasi dilakukan pada subdomain service desk dan incident management pada domain service operation.

2.3.      Putra, H. L., Darwiyanto, E., & Wisudiawan, G. A. (2015)

Melakukan penelitian pengukuran dan audit pada FMS (Facilities Management System) yang merupakan smart building. Agar kinerja FMS tidak terganggu dan menurunkan kualitasnya maka diperlukan nilai kematangan menggunakan ITIL V3 domain service operation dengan subdomain event management, incident management, request fulfillment, problem management, dan access management. Dengan mendapatkan hasil, maka mereka dapat memberikan beberapa rekomendasi pada PT Grand Indonesia yang menerapkanFMS.

2.4.      Suhairi, K., & Gaol, F. L. (2013)

Melakukan pengukuran dengan ITIL menggunakan Statistical Process Control. Dengan tujuan untuk menciptakan kejelasan dalam hubungan antara key performance indicators, informasi konfigurasi jaringan yang akurat untuk stafservice desk, keakuratan informasi digunakan untuk proses delivery service dan audit IT pada PT. XYZ.

2.5.      Albab, M. E. (2013) Melakukan perancangan manajemen layanan IT pada lembaga pendidikan (SMP Kartika VIII-1) dengan tujuan untuk mengoptimalkan infrastruktur (lab. komputer) sesuai framework ITIL V3.

3.         Metode Penelitian

3.1.      Tahapan Penelitian

Penelitian dimulai dengan mengumpulkan data yang diperlukan untuk bahan penelitian. Data didapat dengan cara melakukan studi pustaka, menyebarkan kuesioner, dan melakukan wawancara. Peneliti melakukan studi pustaka dengan mengumpulkan berbagaiinformasi yang berkaitan dengan topik penelitian sepertiITSM, dan ITIL. Semua informasi diambil dari berbagai sumber, seperti buku, jurnal, dan penelitian terdahulu. Selain itu, peneliti juga mengumpulkan data dengan menggunakan metode kuantitatif dan kualitatif. Dengan metode tersebut peneliti menyebarkan kuesioner offline dan melakukan wawancara. Kuesioner offline ditujukan kepada expert respondents dan dilanjutkan dengan melakukan wawancara untuk mendapatkan bukti bahwa jawaban yang diberikan pada kuesioner offline dapat dipertanggungjawabkan.

3.2.      Metode Penentuan Sampel

Peneliti menggunakan teknik purposive sampling (pengambilan sampel berdasarkan tujuan). Pada cara ini, siapa yang akan diambil sebagai anggota sampel diserahkan pada pertimbangan pengumpul data yang berdasarkan atas pertimbangannya sesuai dengan maksud dan tujuan penelitian. Responden ahli merupakan orang yang mempunyai tanggung jawab terhadap masing-masing divisi IT yang ada di PUSTIPANDA (divisi support, divisi ITSM, dan divisi IT Operation & Networking Coordinator).

Tabel 1. Responden Ahli

3.3.      Metode Pengukuran Layanan IT

Peneliti menggunakan metode ITIL V3 sebagai acuan untuk mengukur tingkat kematangan layanan IT. Domain yang dipilih untuk diukur adalah service operation dengan site service desk, incident management, dan problem management. Peneliti memilih salah satu domain dariservice lifecycle yang ada pada ITIL V3 yaitu service operation. Dengan memilih service operation, peneliti dapat mengukur tingkat kematangan layanan IT pada sudut pandang day-to-day, proses, dan infrastruktur.

4.         Hasil dan Pembahasan

4.1.      Pengukuran Layanan IT

Pengukuran layanan teknologi informasi PUSTIPANDA (Pusat Teknologi Informasi dan Pangkalan Data) dilakukan dengan cara menyebarkan kuesioner offline dan melakukan wawancara kepada responden yang ahli dibidangnya masing-masing.Pertanyaan kuesioner offline yang diajukan sesuai dengan pertanyaan ITIL high-level self-assessment.

4.2.      Penentuan Compliance

Penentuan compliance terbagi atas 4 standar, sebagai berikut

1. Not Comlpy, adalah hasil evaluasi yang dilakukan berdasarkan tabel ITIL service selfassessment hanya memenuhi antara level 1 sampai dengan level 3. leveltersebut adalah:

·         Level 1 – Pre-Requisite         

·         Level 1.5 – Management Intent         

·         Level 2 – Process Capability

·         Level 2.5 – Internal Integration         

·         Level 3 – Products

2. Standard Comply, adalah hasil evaluasi yang dilakukan berdasarkan tabel ITIL service selfassessment hanya memenuhilevel 3.5 yaitu quality control.

3. Average Comply, adalah hasil evaluasi yang dilakukan berdasarkan tabel ITIL service selfassessment telah memenuhilevel 4 dan level 4.5. level tersebut adalah:

·         Level 4 – Management Information  

·         Level 4.5 – External Integration

4. Fully Comply, adalah hasil evaluasi yang dilakukan berdasarkan tabel ITIL service selfassessment telah memenuhi keseluruhan dari semua level yang ada, termasuk telah memenuhi level 5 yaitu user interface.

4.3.      Maturity of IT

Services Kematangan layanan teknologiinformasi padaPUSTIPANDA dapat diukur dengan menggunakan ITIL Maturity Level Self-assessment. Dengan metode ini, sebuah perusahaan atau instansi dapat memahami sejauh mana tingkat kedewasaannya. Untuk mendapatkan hasil yang diharapkan, maka perusahaan atau instansi harus memenuhi persyaratan minimum yang telah ditentukan. Berikut ringkasan hasil skor selfassessment pada site service desk, incident management, dan problem management.

Tabel 2. Hasil Service Desk

Pada tabel diatas menunjukkan bahwa kematangan layanan IT pada site service desk berhenti di level 4 management information. Pencapaian tersebut masuk kedalam kategori Average Comply.

Tabel 3. Hasil Incident Management

Pada tabel diatas menunjukkan bahwa, hanya dua level saja yang mendapat status PASS yaitu level 1: pre-requisites, dan level 3.5: quality control. Meskipun begitu, kematangan layanan IT pada site Incident management hanya dapat mencapai level 1 karena pada level 1.5 mendapatkan status FAIL. Perolehan skor dengan status PASS berjumlah 6 poin. Pencapaian tersebut masuk kedalam kategori Not Comply.

Tabel 4. Hasil Problem Management

Semua level pada site problem management mendapatkan status FAIL dan kematangan layanan IT pada site ini tidak memenuhi level 1. Oleh karena itu PUSTIPANDA hanya mencapai level 0 - chaos atau pencapaian tersebut masuk kedalam kategori Not Comply.

5.         Kesimpulan

Setelah melakukan penelitian sekaligus menguraikan hasil pembahasan, langkah selanjutnya adalah menarik kesimpulan dan saran dari penelitian, sehingga bisa dijadikan gambaran secara umum. Berikut kesimpulan dari penelitian ini antara lain:

·         Semua layanan IT (e-campus, e-mail, dan internet) diperlakukan sama pada setiap site (service desk, incident management, dan problem management) oleh PUSTIPANDA

·         Setelah melakukan pengukuran tingkat kematangan layanan IT berdasarkan ITIL maturity level self- assessment, maka skor yang didapat pada site service desk berjumlah 78 point dan site incident management hanya mendapatkan 6 point. Sedangkan pada site problem managementtidak ada point yang didapatkan.

·         Hanya site service desk saja yang masuk kategori Average Comply, sedangkan site incident management dan problem management masuk kategori Not Comply karena tidak memenuhi beberapa ketentuan dari ITIL maturity level self-assessment.

·         Pada site service desk, level yang dinyatakan PASS antara lain, Level 1: Pre-requisites, Level 1.5: Management Intent, Level 2: Process Capability, Level 2.5: Internal Integration, Level 3: Products, Level 3.5: Quality Control, Level 4: Management Information dari level yang PASS terlihat bahwa kematangan layanan IT pada site service desk berakhir pada level 4.

·         Pada site incident management, level yang dinyatakanPASS hanya level 1: pre-requisites. Dengan begitu kematangan layanan IT pada site incident management berakhir pada level 1. Meskipun level 3.5: Quality Control mendapat status PASS.

·         Pada site problem management, tidak ada level yang dinyatakan lulus. Dengan begitu kematangan layanan IT pada site problem management masuk kedalam level 0 - chaos.

Referensi :

-   https://bang-ilmu.blogspot.com/2016/05/cobit-itil.html (diakses pada tanggal 3 desember 2018 jam 12 : 38 WIB)

-           https://www.isaca.org/Knowledge-Center/Documents/COBIT-Focus-ISO-38500-Why-Another-Standard.pdf (diakses pada tanggal 3 desember 2018 jam 12 : 38 WIB)

-      http://oktacute999.blogspot.com/2016/04/tugas-terakhir-di-semester-8.html(diakses pada tanggal 3 desember 2018 jam 12 : 38 WIB)

-           http://jurnal.atmaluhur.ac.id/index.php/knsi2018/article/view/512 (diakses pada tanggal 3 desember 2018 jam 13 : 04 WIB)

-           Romadhon, Ahmad dkk. Mengukur Tingkat Kematangan Layanan IT dengan Framework ITIL V3 (Studi kasus: PUSTIPANDA UIN Jakarta). Universitas Islam Negeri Syarif Hidayatullah, 2018 (diakses pada tanggal 3 desember 2018 jam 13 : 14 WIB)

AUDIT TEK. SISTEM INFORMASI | TUGAS 2

1.         PENDAHULUAN

Saat ini TI menjadi salah satu bagian yang sangat penting bagi suatu perusahaan untuk mendukung pencapaian rencana strategis dan tujuan perusahaan, begitu juga BPJS Ketenagakerjaan memanfaatkan teknologi dalam memberikan informasi dan layanan menggunakan aplikasi berbasis mobile yang

diimplementasikan ke dalam proses operasionalnya. BPJS Ketenagakerjaan (Badan Penyelenggara Jaminan Sosial Ketenagakerjaan) adalah salah satu Badan Usaha Milik Negara (BUMN) yang merupakan program publik yang memberikan perlindungan bagi tenaga kerja untuk mengatasi risiko sosial ekonomi tertentu dan penyelenggaraan nya menggunakan mekanisme asuransi sosial. (BPJS,2014)

BPJSTK Mobile adalah suatu bentuk pemanfaatan TI yang berupa layanan perangkat lunak yang dibuat untuk memberi keefektifan bagi anggota BPJS Ketenagakerjaan untuk mendapatkan informasi yang berkaitan dengan program pelayanan yang dapat di akses dimanapun dan kapanpun. Pentingnya layanan BPJSTK Mobile untuk melakukan kegiatan operasional menjadikannya harus dalam kondisi yang optimal, sehingga BPJSTK Mobile perlu dievaluasi agar perusahaan dapat mengukur apakah TI yang diimplementasikan sudah sesuai dengan yang diharapkan. (BPJS, 2014)

Berdasarkan data keluhan yang didapat dari pihak BPJS Ketenagakerjaan Cabang Mataram, terdapat komplain yang di tujukan kepada perusahaan terkait dengan fungsi BPJSTK Mobile yang dirasa kurang sesuai dengan tujuan pembuatannya. Data keluhan dapat dibuktikan dengan melihat banyak komentar pada google play store serta pengaduan komplain secara langsung oleh pengguna kepada perusahaan. Pihak BPJS Ketenagakerjaan dinilai masih lamban dalam merespon keluhan dan permintaan peserta BPJS, hal ini terjadi karena kurangnya personil TI dalam kantor Cabang, hanya ada satu orang penata Madya TI. Sedangkan aplikasi BPJSTK Mobile dibuat untuk memudahkan peserta agar dapat melakukan transaksi secara online, yang diharapkan pelaksanaan transaksi bisa lebih efektif dan efisien karena peserta tidakharus mendatangkan Kantor BPJS Ketenagakerjaan.

Evaluasi TI memiliki beberapa standar yang digunakan untuk penelitian, diantaranya menggunakan framework COBIT 5 yang merupakan standar komprehensif yang membantu perusahaan dalam mencapai tujuan dan menghasilkan nilai melalui tata kelola dan manajemen TI yang efektif. COBIT 5 sesuai digunakan untuk mengevaluasi TI di BPJS Ketenagakerjaan Cabang Mataram karena COBIT 5 membantu perusahaan untuk menciptakan nilai TI yang optimal dengan menjaga keseimbangan antara mewujudkan manfaat dan mengoptimalisasi tingkat risiko dan sumber yang digunakan. Terdapat 5 domain dan 37 proses yang ada pada COBIT 5. Alasan domain DSS dipilih karena dianggap sesuai dengan kondisi BPJSTK Mobile saat ini. Dengan kondisi teknologi informasi di BPJS Ketenagakerjaan yang sedang berlangsung dan kebutuhan untuk mengirimkan layanan, melayani, dan mendukung layanan teknologi informasi, maka Domain DSS yang dianggap sesuai dengan hal tersebut. Domain lain seperti APO (Align, Plan, and Organize) dirasa akan sesuai diterapkan pada tata kelola teknologi informasi yang belum dijalankan atau akan dijalankan, domain BAI (Build, Acquire, and Implement) dirasa akan sesuai jika diterapkan pada unit khusus yang berperan sebagai pembangun (developer) atau memperbaiki tata kelola teknologi informasi yang sudah ada, domain MEA (Monitor, Evaluate, and Asses) dirasa akan sesuai diterapkan untuk kondisi yang telah dibangun dan berlangsung, dan pelaksanaan monitoring dilakukan oleh pihak internal.

Penelitian mengenai evaluasi teknologi informasi menggunakan kerangka kerja COBIT 5 telah dilakukan sebelumnya (AlRasyid, 2016) untuk mengukur capability level aplikasi SIM BL pada bagian Unit CDC PT Telkom Pusat. Domain yang digunakan adalah domain DSS karena fokus pada penilaian pengiriman dan layanan teknologi informasi serta dukungannya

termasuk pengelolaan masalah agar keberlanjutan layanan tetap terjaga. Dari hasil penilaian didapatkan bahwa untuk DSS01, DSS03, DSS04, DSS05 dan DSS06 berada pada level 4, yaitu Predictable Process, dan Level target yang ingin dicapai adalah 5 yaitu Optimizing process, sehingga berdasarkan analisis gap secara garis besar perlu adanya peningkatan Capability Level dari kondisi existing dari sisi peningkatan aktivitas dengan rekomendasinya yaitu memaksimalkan yang sudah berjalan baik dan melakukan inovasi dalam aktivitas untuk mempercepat tercapainya tujuan

Penelitian ini bertujuan untuk menilai sejauh mana tingkat kemampuan (capability level) teknologi informasi pada penerapan BPJSTK Mobile dengan judul “Evaluasi Layanan BPJSTK Mobile dengan menggunakan domain Deliver, Service and Support berdasarkan framework COBIT 5 (Studi Kasus: BPJSKetenagakerjaan Cabang Mataram)”. Diharapkan dengan penerapan evaluasi teknologi informasi tersebut dapat mengukur tingkat kemampuan (capability level) dan memberikan rekomendasi untuk perbaikan teknologi informasi serta analisis kesenjangan (gap analysis) dari hasil evaluasi tersebut

       2.         LANDASAN KEPUSTAKAAN

2.1        Evaluasi

Evaluasi adalah suatu kegiatan penelitian yang sistematismencakup pemberian nilai, atribut, apresiasi, pengenalan masalah, dan pemberian solusi untuk menentukan apakah suatu sistem atau nilai bekerja dengan seharusnya dan memiliki manfaat dan nilai yang diharapkan, sehingga informasi yang dihasilkan dapat digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan dan kebijakan bagi decision maker.

2.2       Tata Kelola TI

Menurut (Institute,2007), “Tata kelola teknologi informasi adalah pertangungjawaban dewan direksi dan manajemen eksekutif. Hal ini, merupakan bagian yang terintegrasi dengan tata kelola perusahaan dan berisi kepemimpinan dan struktur serta proses organisasi yang menjamin bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis.

Dari pernyataan di atas dapat ditarik kesimpulan bahwa Tata Kelola TI merupakan bagian dari tata kelola perusahaan dan yang terdiri dari kepemimpinan dan struktur organisasi serta prosesprosesnya, yang digunakan untuk untuk memastikan bahwa TI perusahaan memelihara dan memperluas strategi dan sasaran perusahaan.

2.3        COBIT 5

COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu perusahaan dalam mencapai tujuannya untuk tata kelola dan manajemen TI perusahaan. COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih menyeluruh untuk seluruh lingkup perusahaan, meliputi seluruh lingkup bisnis dan lingkup area fungsional TI, dengan mempertimbangkan kepentingan para stakeholder internal dan eksternal yang berhubungan dengan TI. COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI perusahaan. Kelima prinsip ini memungkinkan perusahaan untuk membangun sebuah kerangka tata kelola dan manajemen yang efektif dan efisien, yang dapat mengoptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder (ISACA, 2012).

2.3.1    Prinsip COBIT 5

Terdapat 5 (lima) prinsip kunci dalam COBIT 5 seperti Gambar berikut ini :

1. Memenuhi Kebutuhan Stakeholder

2. Melingkupi Seluruh Perusahaan

3. Menerapkan Suatu Kerangka Tunggal yang Terintegrasi

4. Menggunakan sebuah pendekatan yang menyeluruh

5. Pemisahan Tata Kelola Dari Manajemen

Kerangka COBIT 5 memuat suatu perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin yang berbeda ini juga meliputi aktivitas yang berbeda, memerlukan struktur organisasi yang berbeda dan melayani tujuan yang berbeda pula.

Gambar diatas menjelaskan bahwa dalam COBIT 5 terdapat pemisahan antara proses tata kelola dan proses manajemen (ISACA,2012). Kunci perbedaan antara tata kelola dan manajemen menurut COBIT 5 adalah :

a. Governance, menjamin kebutuhan stakeholder, kondisi-kondisi dan pilihan-pilihan selalu dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati untuk dicapai, menentukan arahmelalui penentuan prioritas dan pengambilan keputusan dan memantau pemenuhan unjuk kerja terhadap tujuan dan arah yang disepakati.

b.Management, bertugas untuk merencanakan, membangun, menjalankan dan memantau aktivitas dalam rangka penyelarasan dengan arah perusahaan yang telah ditentukan oleh badan pengelola (tata kelola), untuk mencapai tujuan perusahaan. Bagaimanapun juga, berdasarkan peranantata kelola untuk mengevaluasi, mengarahkan dan memantau diperlukan suatu interaksi antara tata kelola dan manajemen untuk menghasilkan sistem tata kelola yang efektif dan efisien.

2.4 Domain DSS (Deliver, Service, Support)

Deliver, Service, and Support (DSS) Menerima solusi dan membuatnya dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman/ penyampaian yang aktual dan dukungan layanan yangdibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan bagi pengguna serta manajemen data dan fasilitas operasional.

Domain DSS terdiri dari 6 control objective, yakni sebagai berikut :

1. DSS01 – Mengelola Operasi

Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang dibutuhkan untuk memberikan layanan IT kepada internal maupun outsourced, termasuk pelaksanaan eksekusi dari standar operasi prosedur yang telah ditetapkan dan kegiatan pemantauan yang diperlukan.

2. DSS02 – Manage Service Request and Incidents

Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan penyelesaian terhadap semua jenis insiden.

3. DSS03 – Manage Problems

Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebab masalah dan memberikan resolusi yang tepat waktu untuk mencegah insiden berulang serta memberikan rekomendasi untukperbaikan.

4. DSS04 – Manage Continuity

Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI dalam menanggapi insiden dan gangguan dalam rangka melanjutkan pelaksanaan proses bisnis yang penting dan layanan TI yang diperlukan dan menjaga ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan.

5. DSS05 – Manage Security Services

Melindungi informasi perusahaan untuk mempertahankan tingkat resiko keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan.

6. DSS06 – Manage Business Process Controls

Mendefinisikan dan memelihara proses bisnis yang tepat kontrol untuk memastikan bahwa informasi yang terkait dan diproses oleh proses bisnis outsourcing memenuhi semua persyaratan pengendalian informasi yang relevan.

Diagram RACI

Matriks penugasan tanggung jawab (responsibility assignment matrix, RAM), atau lebih dikenal dengan istilah RACI, adalah matriks yang menggambarkan peran berbagai pihak dalam penyelesaian suatu pekerjaan dalam suatu proyek atau proses bisnis. RACI merupakan akronim dari empat peran yaitu responsible, accountable, consulted dan informed. Berikut keterangan tentang tiap peran dalam diagram RACI:

a. Responsible (pelaksana)

b. Accountable atau Approver (penanggungjawab)

c. Consulted (penasihat atau pengarah)

d. Informed (penginformasi)

3. METODOLOGI PENELITIAN

Alur kerja penelitian digambarkan pada Gambar berikut:

       4.         SURVEY DAN PENGUMPULAN DATA

4.1       Perhitungan RACI Chart

Responden kuesioner berjumlah 3 orang yang terdiri dari bagian-bagian yang bersangkutan dengan penelitian yang sesuai dengan domain DSS. Responden terdiri dari bagian Penata Madya TI, Kepala Bagian Keungan & TI, dan Kepala Cabang. Pembuatan kuesioner didasarkan pada ebook COBIT 5 Enabling Processes.

4.2.      Hasil Capability Level

Hasil Capability Level ditentukan berdasarkan hasil dari kuisioner yang telah diisi oleh responden. Hasil tersebut merupakan nilai dari keadaan perusahaan saat ini. Nantinya hasil capability level tersebut akan dibandingkan dengan target level yang perusahaan ingin untuk capai kedepannya. Perbandingan dari keduanya akan menjadi Gap Analysis yang berguna untuk pemberian rekomendasi untuk perusahaan.

4.3       Penilaian Proses Capability Level

Tabel detail penilaian Capability Level sebuah proses berdasarkan kuesioner yang telah diisi oleh masing-masing 3 orang responden dari hasil analisis RACI Chart pada proses DSS01 - DSS06. Responden 1 yaitu Kepala Bagian Keuangan & TI yang berkompeten dalam mengisi kuesioner pada proses DSS01, DSS02, DSS03, DSS04, dan DSS05. Responden 2 yaitu Penata Madya TI yang berkompeten dalam mengisi kuesioner pada proses DSS02 dan DSS03. Responden 3 yaitu Kepala Cabang yang berkompeten dalam mengisi kuesioner pada proses DSS06. Hasil kuisioner dapat dilihat pada Tabel 2 - 7 berikut.

• Kondisi Existing DSS01

Hasil capability level berada pada level 2 yaitu managed process yang artinya proses Yang dijalankan sekarang telahdiimplementasikan dan dimonitoring kemudian hasil dikelola dengan baik(ditentukan requirementnya dan didokumentasikan). Kondisi saat ini dari DSS01 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:

1. Telah menjalankan absensi dan rekap dengan baik. Absensi dilakukan melalui fingerprint.

2. Pemeliharaan dan pelaksanaan prosedur operasional dan aktivitas BPJSTK Mobile belum memilik laporan pengukuran setiap kurun waktu tertentu. SOP (Standard Operating Procedure) pada sebuah aktivitas tertentu tidak tersedia/tidak sempurna.

3. Telah dilakukan sosialisasi dan Training of Trainer (TOT) untuk outsourced pada Kantor Cabang.

4. Tersedia    sistem    pelaporan    dandashboard untuk Business Perfomance serta laporan dan analisis sehingga memudahkan dalam peninjauan ulang data.

5.Dalam memanage environment BPJSKetenagakerjaan menjalankan kehendak sesuai dengan yang ditetapkan SDM.

6. Pengelolaan dan penjagaan fasilitas, ada dalam pengawasan CCTV dan Satpam yang bertugas.

• Kondisi Existing DSS02

Hasil capability level berada pada level 2 yaitu managed process yang artinya proses

Yang dijalankan sekarang telah

diimplementasikan dan dimonitoring kemudian hasil dikelola dengan baik (ditentukan requirementnya dan didokumentasikan). Kondisi saat ini dari DSS02 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:

1. Dalam menjalankan layanan insiden dan permintaan layanan belum dibuat

skema layanan/SOP (Standard Operasional Procedure) mengenai request insiden.

2. Terdapat klasifikasi dan prioritas terhadap permintaan layanan insiden sesuai dengan tingkat prioritasnya. Tetapi dokumentasinya masih belum ada.

3. Pendokumentasian insiden hanya melalui fitur layanan pengaduan dan belum ada dokumentasi secara printout.

4. Belum ada yang pihak khusus yang memonitoring bagaimana tindakan terhadap insiden yang ada, karena kurangnya SDM di Kantor Cabang.

5. Rekapitulasi dan Analisa terhadap insiden dilakukan secara informal dan belum terjadwal.

• Kondisi Existing DSS03

Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimplementasi telah mencapai tujuannya, tetapi belum ada manajemen yang mendukung. Kondisi saat ini dari DSS03 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:

1. Penyelesaian insiden hanya melibatkan orang-orang yang bersangkutan.

2. Tidak ada pertemuan rutin yang membahas mengenai penganalisisan solusi-solusi, pembahasan dilakukan saat dilakukan rapat dan hanya terdokumentasi dalam notulensi.

3. Penyelesaian dan penutupan insiden dilakukan dengan baik, direkam dalam server. Dilakukan pengawasan dan evaluasi, tetapi belum bersifatperiodik, sehingga belum dikomunikasikan dengan baik untuk mencegah adanya insiden yang terjadi

di masa depan atau untuk mengidentifikasi adanya tren baru yang mungkin menyebabkan insiden.

• Kondisi Existing DSS04

Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimplementasi telah mencapai tujuannya, dilakukan tetapi belum ada manajemen yang mendukung. Kondisi saat ini dari DSS04 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:

1.     Dilakukan pemantauan terhadap proses bisnis yang berlangsung dalam BPJS Ketenagakerjaan.

2. Belum didefinisikan strategi antisipasi terhadap gangguan teknis yang mungkin terjadi, karena kurangnya sumber daya manusia yang memliki keahlian dalam hal tesebut di kantor Cabang, sehingga bila ada gangguan terkait teknis BPJSTK Mobile yang menangani adalah kantor Pusat. Sedangkan gangguan non teknis diselesaikan dengan kebijakan.

3. Tidak adanya dokumen BPC (BussinesPlan Continuity) yang mendokumentasikan prosedur dan informasi yang digunakan untuk kemungkinan perusahaan melanjutkan kegiatan apabila terjadi insiden.

4. Sudah ada sesi pelatihan regular untuk semua pihak mengenai prosedur peran dan tanggung jawab. Pelatihan terhadap perencanaan TI yang berkelanjutan masih bersifat umum, seperti komunikasi secara informal.

5. Informasi-informasi bisnis yang penting dikelola dan dijaga dengan baik dilakukan backup data.

• Kondisi Existing DSS05

Hasil capability level berada pada level 1 yaitu  performed  process  yang  artinya proses yang diimplementasi telah mencapai tujuannya,  dilakukan  tetapi  belum  ada manajemen yang mendukung. Kondisi saat ini dari DSS05 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:

1. Dalam melindungi teknologi informasi dan teknologi dari malware, Penata Madya TI melakukan tindakan seperti menggunakan sistem operasi berbasis open source, mewajibkan penggunaan antivirus pada komputer dengan sistem operasi Windows serta penggunaan aplikasi firewall dan antispam.

2. Dalam melindungi teknologi informasi dan teknologi dari malware, Penata Madya TI melakukan tindakan seperti menggunakan sistem operasi berbasis open source, mewajibkan penggunaan antivirus pada komputer dengan sistem operasi Windows serta penggunaan aplikasi firewall dan antispam.

• Kondisi Existing DSS05

Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimplementasi telah mencapai tujuannya, dilakukan tetapi belum ada manajemen yang mendukung. Kondisi saat ini dari DSS06 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:

1. Belum adanya penyelarasan aktivitas control yang ada di proses bisnis dengan tujuan BPJSTK Mobile.

2. Peran, tanggungjawab, tingkat wewenang dan pemisah tugas yang diperlukan untuk mendukung tujuan proses bisnis telah didefinisikan di dalam dokumen jobdesk perdir 24.

3. Telah dilakukan koreksi oleh pihak yang bertanggung jawab untuk mengetahui kesalahan-kesalahan yang kemudian dianalisis, dilaporkan dan didiskusikan dengan staff lainnya

4. Terdapat dokumen history yang nantinya dapat digunakan untuk penelusuran dan pencegahan agar kesahalan tak terjadi lagi.

      5.          PEMBAHASAN

Pada   sub   bab   ini   dilakukan   analisisrekomendasi yang dilakukan berdasarkan hasil data kuesioner dari bab sebelumnya. Hal ini dilakukan agar dapat membantu BPJS Ketenagakerjaan Cabang Mataram dalam memperbaiki teknologi informasi khususnya layanan BPJSTK Mobile yang menjadi salah satu layanan terpenting dalam BPJS Ketenagakerjaan Cabang Mataram.

5.1       Analisis Gap

Gap Analysis adalah perbandingan kinerja aktual dengan kinerja potensial atau yang diharapkan. Berdasarkan hasil evaluasi yang dilakukan di BPJS Ketenagakerjaan Cabang Mataram dengan menggunakan framework COBIT 5 pada domain DSS, diperoleh hasil capability level untuk keseluruhan proses beserta dengan level target pada tabel berikut :

Ratarata gap antara level saat ini dengan level target adalah satu tingkat, berikut gambaran umum rekomendasi keseluruhan proses yang disusun agar bisa mencapai level target adalah sebagai berikut :

1. Membuat penerapan pengukuran layanan yang harus dipenuhi dalam tiap proses bisnis untuk terjaminnya BPJSTK Mobile berjalan dengan baik.

2. Membuat sistem monitoring dan evaluasi yang tepat terhadap proses bisnis untuk mengoptimalkan keberlangsungan BPJSTK Mobile.

3. Membuat dokumentasi atau laporan mengenai keseluruhan hasil proses yang berlangsung, dan juga pelanggaran yang terjadi sebagai bahan evaluasi dan pengembangan keberlanjutannya.

4. Membuat dan menjaga dengan baik pendokumentasian informasi yang dapat meningkatkan/menjaga keberlangsungan jalannya layanan BPJSTK Mobile.

5.2       Rekomendasi

Rekomendasi dibuat berdasarkan hasil kuisioner, wawancara dan analisis best practices pada setiap subdomain. (ITGI, 2007)

5.2.1    Rekomendasi DSS01

   Untuk mencapai level target yang diinginkan yaitu level 3, maka yang perlu dilakukan adalah :

1. Membuat Standard Operating Procedure (SOP) yang lengkap agar dapat digunakansebagai panduan prosedur pengoperasionalan.

2. Melakukan analisis perangkat IT untuk mencegah ancaman yang timbul dari tindakan manusia seperti pencurian, bahaya konsleting dll.

3. Melakukan penilaian terhadap infrastruktur yang dimilki dan dibuat dokumentasinya untuk bahan evaluasi kedepan.

4. Menindak lanjuti hasil audit independen terhadap kualitas layanan, lingkungan dan dengan pihak luar yang menjalin kerjasama, apabila dari audit independent tidak ada maka ditambahkan sendiri.

5.2.2    Rekomendasi DSS02

Untuk mencapai level target yang diinginkan yaitu level 3, maka yang perlu dilakukan adalah :

1. Membuat dokumen baku (lebih tersistematik) yang berkaitan denganpermintaan layanan, keluhan/adanya insiden serta penanganan insiden tersebut.

2. Membuat dokumentasi klasifikasi layanan insiden sesuai dengan jenis-jenisnya agar dapat diselesaikan dengan tepat waktu dan efektif.

3. Membuat prosedur untuk verifikasi dalam proses penyelesaian insiden secara detail.

4. Melakukan pertemuan rutin guna membahas layanan permintaan dan layanan insiden yang terjadi.

5. Membuat dokumentasi terhadap resolusi atau solusi alternative terhadap pemecahan insiden dan mengevaluasinya.

5.2.3    Rekomendasi DSS03

Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah :

1. Melakukan pemantauan terhadap kinerja penyelesaian masalah yang ditentukan.

2. Mendokumentasikan dan mengalisa kembali laporan masalah yang ada baik yang sudah terselesaikan maupun yang belum terselesaikan.

3. Menganalisa akar akar permasalahan yang muncul dan pemecahan masalah, kemudian mendokumentasikannya supaya tidak terjadi masalah yang sama.

4. Membuat    sistem/skema    yang    dapatmengetahui jalannya penyelesaian pemecahan masalah yang ada agar dapat dipantau oleh pihak atasan.

5. Membuat dokumentasi terkait solusi – solusi dalam pemecahan masalah.

6. Memebuat analisa pengalokasian sumberdaya yang akan digunakan untuk mengoptimalkan resource yang dimiliki.

5.2.4    Rekomendasi DSS04

Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah :

1. Melakukan pengukuran keberlangsungan proses bisnis untuk mengetahui tingkat kematangannya dan kesenjangan proses bisnis, didokumentasikan dan dievaluasi.

2. Mengukur kesesuaian kebijakan yang dibuat dalam keberlangsungan proses bisnis.

3. Membuat  skema  atau  sistem  yang  berisirespon terhadap insiden dan kominukasinya, mendokumentasikan dan dievaluasi.

4. Membuat business continuity plan (BCP) untuk pengembangan proses bisnis dan dokumentasikan.

5. Melakukan review manajemen secara rutin.

6. Melakukan pengukuran dan evaluasi terhadap tujuan pelatihan.

7. Membuat ketetapan ukuran – ukuran untuk pengambangan latihan sumberdaya manusia yang dimiliki, dan dipantau keberlangsungannya.

5.2.5    Rekomendasi DSS05

Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah :

1. Membuat aturan tertulis yang menyatakan semua pegawai untuk melindungi sistem informasi dan teknologi dari malware.

2. Membuat prosedur dan mendokumentasikan pengecekan secara rutin terhadap keamanan perangkat lunak yang digunakan.

3. Membuat aturan tertulis mengenai keamanan konektifitas dan perangkat endpoint (misal laptop, server, perangkat Mobile atau software).

4. Memberikan peringatan kepada semua pegawai akan kedasarannya terhadap keamanan sistem dan perangkat yang dimiliki.

5. Melakukan evaluasi yang dilakukan rutin, minimal tiap 3 bulan sekali terhadap sistem informasi yang dikhawatirkan dapat timbul potensi ancaman baru.

5.2.6    Rekomendasi DSS06

Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah :

1. Menetapkan ukuran-ukuran goal dari proses bisnis, mendokumentasikan dan dievaluasi.

2. Membuat laporan dari kontrol pemrosesan agar mudah diketahui gejala - gejala yang timbul.

3. Mendokumentasikan dengan baik rekaman transaksi dan rekaman keluhan dalam dokumen yang lebih tersistematik yang nantinya dapat digunakan sebagai bukti untuk mengukur keberlangsungan bisnis.

4. Mereview penyimpangan” yang terjadi dalam keberlangsungan prose bisnis, mendokumentasikan dan dievaluasi.

5. Membuat kebijakan terhadap pemberian hukuman kepada pegawai yang melakukanpelanggaran - pelanggaran dalam pemantauan kegiatan proses bisnis.

6.  Menyimpang dengan baik atau mengarsipkan data seperti sumber informasi, rekaman transaksi untuk dijadikan bukti dalam pengukuran penilaian keberlangsungan proses bisnis dan dapat sebagai rekomendasi.

6. KESIMPULAN

Berdasarkan hasil penelitian dan analisis yang dilakukan pada layanan BPJSTK Mobile di BPJS Ketenagakerjaan Cabang Mataram, maka dapat diambil kesimpulan sebagai berikut :

1. Evaluasi dilakukan menggunakan kerangka kerja framework COBIT 5 dan menggunakan domain DSS (Delivery, Service and Support) yang dipilih karena sistem telah direncanakan (plan), telah dibangun (build) dan sekarang sedang dijalankan (run). Domain DSS terdiri dari 6 proses yaitu DSS01, DSS02, DSS03, DSS04, DSS05, dan DSS06.

2. Dari hasil evaluasi tingkat kemampuan (Capability Level) diketahui ada 2 proses yang mempunyai level kapabilitas 2 yaitu DSS01 dan DSS02. Ada 4 proses yang memiliki level kapabilitas 1 yaitu DSS03, DSS04, DSS05, DSS06.

3. Menurut level kapabilitas masing-masing proses, ditentukan level target masing-masing proses yaitu berupa 1 level di ataslevel kapabilitas, yang ditentukan berdasarkan analisis dan juga persetujuan dengan instansi terkait, sehingga didapat level target untuk DSS03, DSS04, DSS05 dan DSS06 adalah level 2, untubk DSS01 dan DSS02 adalah level 3.

4. Level capability keseluruhan yang diperoleh berdasarkan keseluruhan rata-rata adalah 1 (performed process), yang berarti sudah diterapkan dan mencapai tujuannya, tetapi belum ada standar penerapan dalam melakukan proses tersebut, belum terdokumentasi dan dikomunikasikan dengan baik.

Untuk penelitian selanjutnya, saran yang diberikan adalah sebagai berikut :

1. Sebaiknya menggunakan domain lain yang ada pada kerangka kerja framework COBIT 5 untuk mengevaluasi teknologi informasi yang ada pada suatu instansi sesuai dengan tujuan dan studi kasus yang diambil. Empat domain selain DSS yaitu domain EDM (Evaluate, Direct, Monitor), domain APO (Align, Plan and Organise), domain BAI

(Build, Acquire and Implement), dan MEA (Monitor, Evaluate and Assess).

2. Peneliti sebaiknya memberikan pengenalan kepada calon responden terkait framework / domain yang akan digunakan, sehingga isian data kuesioner yang nanti diberikan akan lebih objektif.

DAFTAR PUSTAKA

AlRasyid, A., 2016. Analisis Audit Sistem Informasi Berbasis COBIT 5 Pada Domain Deliver, Service, and Support (DSS) (Studi Kasus: SIM-BL di Unit CDC PT Telkom Pusat. Tbk).

Institute, 2007. IT Governance Guide using COBIT ed.s.l.:www.itgi.org.

ISACA, 2012. A Business Framework for the Governance and Management of Enterprise IT. COBIT ed. s.l.:www.isaca.org.Ketenagakerjaan, B., 2014. BPJSKetenagakerjaan. [Online]

Available at: http://www.bpjsketenagakerjaan.go.id/ [Accessed 4 Februari 2017].

IT Governance Institute. (2007), “COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity Models”, IT Governance Institute.

https://id.wikipedia.org/wiki/COBIT

http://mymuse7.blogspot.co.id/2014/11/pengertian-cobit.html

http://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html

http://lukmanprayogi20.blogspot.co.id/2016/01/pengertian-cobit-dan-sejarahnya.html