![Cobit Dan Contoh Kasus [PDF]](https://pdfs.asia/img/200x200/cobit-dan-contoh-kasus.jpg)
21 0 750 KB
COBIT DAN CONTOH KASUS IN GUNADARMA, ILMU, PENGETAHUAN, SI, SOFTSKILL, TUGAS - ON 10/21/2017 - NO COMMENT AUTHOR: DENI SETIAWAN
PENGERTIAN COBIT Control Objective for Information and related Technology, disingkat COBIT, adalah suatu pa nduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT G overnance Institute yang merupakan bagian dari ISACA. COBIT 5 merupakan versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu : Perencanaan dan organisasi (plan and organise) Pengadaan dan implementasi (acquire and implement) Pengantaran dan dukungan (deliver and support) Pengawasan dan evaluasi (monitor and evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT g overnance, membantu manajemen senior dalam memahami dan mengelola risikorisiko yang berhubungan dengan IT.
COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail unt uk manajemen, pemilik proses bisnis, user dan auditor.
SEJARAH COBIT COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitk an pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Ke mudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah C OBIT 5.0 yang dirilis pada tahun 2012.
COBIT merupakan kombinasi dari prinsipprinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunaka n sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
KRITERIA INFORMASI BERDASARKAN COBIT Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut: Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan prose s bisnis, konsisten dapat dipercaya, dan tepat waktu. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling pr oduktif dan ekonomis) yang optimal. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihakpihak yang tidak memiliki hak otorisasi/tidak berwenang. Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingka t validitas yang sesuai dengan ekspetasi dan nilai bisnis. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dala m proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pen gamanan atas sumber daya yang diperlukan dan terkait. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, pe raturan, dan rencana perjanjian/kontrak untuk proses bisnis. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk meng operasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
Manfaat dan Pengguna COBIT Secara manajerial target pengguna COBIT dan manfaatnya adalah : Direktur dan Eksekutif Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejal an dengan TI. Manajemen Untuk mengambil keputusan investasi TI. Untuk keseimbangan resiko dan kontrol investasi. Untuk benchmark lingkungan TI sekarang dan masa depan.
Pengguna Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara in ternal maupun eksternal. Auditors Untuk memperkuat opini untuk manajemen dalam control internal. Untuk memberikan saran pada control minimum yang diperlukan.
KERANGKA KERJA COBIT Kerangka kerja COBIT terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha pengaturan TI yang menyan gkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas (Activities and Tasks) me rupakan kegiatan yang dilakukan secara terpisah yang diperlukan untuk mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity dan Tasks dikelompokkan kedalam proses TI yang memiliki permasalahan pengelolaan TI yang sama akan dikelompokkan kedalam do main. Maka konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Informati on Criteria, IT Resources, IT Processes, seperti terlihat pada gambar dibawah ini :
Cube COBIT (ITGI : 2007)
Model proses COBIT terdapat empat domain yang didalamnya terdapat 34 proses dalam me mberikan informasi kepada dunia usaha sesuai dengan bisnis dan kebutuhan tata kelola teknol ogi informasi. Sehingga domain tersebut dapat diidentifikasikan yang terdiri dari 34 proses, y aitu (ITGI, 2007)
Plan and organize (PO) Yaitu mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi y ang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdi ri dari 10 control objectives, meliputi : PO1 : Define a strategic IT plan PO2 : Define the information architecture PO3 : Determine technological direction PO4 : Define the IT processes, organization and relationships PO5 : Manage the IT investment PO6 : Communicate management aims and direction PO7 : Manage IT human resources PO8 : Manage quality human resource PO9 : Asses and manage IT risks PO10 : Manage projects
Acquire and Implement (AI) Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digun akan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusisolusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan kedal am proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi : AI1 : Identify automated solutions AI2 : Acquire and maintain application software AI3 : Acquire and maintain technology infrastructure AI4 : Enable operation and use AI5 : Procure IT resources
AI6 : Manage changes AI7 : Install and accredit solutions and changes
Deliver and Support (DS) Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, d an pengelolaan data yang sedang berjalan. Dimana domain DS terdiri dari 13 control objectiv es, meliputi : DS1 : Define and manage service levels DS2 : Manage third-party services DS3 : Manage performance and capacity DS4 : Ensure continuous service DS5 : Ensure systems security DS6 : Identify and allocate costs DS7 : Educate and train users DS8 : Manage service desk and incidents DS9 : Manage the configuration DS10 : Manage problems DS11 : Manage data DS12 : Manage the physical environment DS13 : Manage operations
Monitor and Evaluate (ME) Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendalikendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berka la. Domain ini fokus pada masalah kendalikendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domai n ME terdiri dari 4 control objectives, meliputi : ME1 : Monitor and evaluate IT performance ME2 : Monitor and evaluate internal control ME3 : Ensure regulatory compliance
ME4 : Provide IT Governance
Maka dengan melakukan kontrol terhadap 34 control objectives tersebut, organisasi dapat me mperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkunga n TI. Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan banyak pihak, tetapi l ebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik bi snis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi. Dan informas i itu sendiri perlu memenuhi kriteria kontrol tertentu, untuk mencapai tujuan bisnis.
Evaluasi Layanan BPJSTK Mobile Dengan Menggunakan Domain Deliver, Service and Support Berdasarkan Framework COBIT 5 (Studi Kasus : BPJ S Ketenagakerjaan Cabang Mataram) Ulfatisa Cahyani1, Ismiarta Aknuranda2, Andi Reza Perdanakusuma3 Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya Email: [email protected], [email protected], [email protected]
Abstrak BPJS (Badan Penyelenggara Jaminan Sosial) Ketenagakerjaan adalah program publik yang memberikan pe rlindungan bagi tenaga kerja. Dalam pelaksanaan tugasnya BPJS Ketenagakerjaan menerapkan teknologi i nformasi sebagai salah satu penunjang untuk pencapaian tujuan bisnis salah satunya adalah dengan menge mbangkan layanan BPJSTK Mobile. BPJSTK Mobile adalah aplikasi pelayanan untuk peserta sebagai bent uk perluasan media layanan informasi yang dihadirkan untuk pekerja yang ingin memastikan pemenuhan h akhaknya oleh perusahaan. Pentingnya layanan BPJSTK Mobile untuk melakukan kegiatan operasional menj adikannya harus dalam kondisi yang optimal, namun kurangnya tata kelola dalam penerapan teknologi info rmasi mengakibatkan kurang optimalnya perusahaan dalam menjalankan tugas dan pencapaian tujuan, sehi ngga BPJSTK Mobile perlu dievaluasi agar perusahaan dapat mengukur apakah teknologi informasi yang d iimplementasikan sudah sesuai dengan yang diharapkan. Pada penelitian ini, standar tata kelola teknologi i nformasi yang digunakan adalah COBIT 5 dengan domain Deliver, Support, Services (DSS). Hasil dari pe nelitian menunjukkan Capability Level dari proses DSS01 dan DSS02 berada pada level 2 yaitu managed p rocess, proses DSS03, DSS04, DSS05 dan proses DSS06 berada pada level 1 yaitu performed process. Re komendasi yang diberikan adalah memperbaiki kegiatan proses bisnis dengan memanfaatkan aplikasi secar a optimal dan membuat Standard Operasional Procedure (SOP) yang lengkap terkait dengan teknologi inf ormasi perusahaan. Kata kunci: Evaluasi, Tata Kelola Teknologi Informasi, COBIT 5, DSS, Capability Level
Abstract
BPJS (Social Assurance Administering Institution) Employment is a public program that provides lab or protection. In the implementation of its duties BPJS Employment applying information technology as one of support for achieving business goals one of them is by developing BPJSTK Mobile service. BPJSTK Mobile is a service application for participants as a form of expansion of the information ser vice media presented to workers who want to ensure the fulfillment of their rights by the company. Th e importance of BPJSTK Mobile service to perform operational activities should be optimal, but the l ack of governance in the application of information technology resulted in less optimal company in ca rrying out the task and achievement of goals, so that BPJSTK Mobile needs to be evaluated so that co mpanies can measure whether the information technology implemented is appropriate with the expect ed. In this research, the information technology governance standard used is COBIT 5 with the Delive r, Support, Services (DSS) domain. The result of this research shows that the Capability Level of DSS 01 and DSS02 process are at level 2, that are managed process. DSS03, DSS04, DSS05 and DSS06 pr ocess are at the 1st level performed process. Recommendations are to improve business process activi ties by optimally utilizing the application and create a complete Standard Operational Procedure (SO P) related to enterprise information technology. Keywords: Evaluation, Information Technology Governance, COBIT 5, DSS, Capability Level
1. PENDAHULUAN Saat ini TI menjadi salah satu bagian yang sangat penting bagi suatu perusahaan untuk mendukun g pencapaian rencana strategis dan tujuan perusahaan, begitu juga BPJS Ketenagakerjaan memanfaatk an teknologi dalam memberikan informasi dan layanan menggunakan aplikasi berbasis mobile yang diimplementasikan ke dalam proses operasionalnya. BPJS Ketenagakerjaan (Badan Penyelenggara Jamina n Sosial Ketenagakerjaan) adalah salah satu Badan Usaha Milik Negara (BUMN) yang merupakan progra m publik yang memberikan perlindungan bagi tenaga kerja untuk mengatasi risiko sosial ekonomi tertentu dan penyelenggaraan nya menggunakan mekanisme asuransi sosial. (BPJS,2014)
BPJSTK Mobile adalah suatu bentuk pemanfaatan TI yang berupa layanan perangkat lunak yang dibuat untuk memberi keefektifan bagi anggota BPJS Ketenagakerjaan untuk mendapatkan informasi yang berkaitan dengan program pelayanan yang dapat di akses dimanapun dan kapanpun. Pentingnya layanan BPJSTK Mobile untuk melakukan kegiatan operasional menjadikannya harus dalam kondisi y ang optimal, sehingga BPJSTK Mobile perlu dievaluasi agar perusahaan dapat mengukur apakah TI y ang diimplementasikan sudah sesuai dengan yang diharapkan. (BPJS, 2014)
Berdasarkan data keluhan yang didapat dari pihak BPJS Ketenagakerjaan Cabang Mataram, terdapat k omplain yang di tujukan kepada perusahaan terkait dengan fungsi BPJSTK Mobile yang dirasa kurang sesu ai dengan tujuan pembuatannya. Data keluhan dapat dibuktikan dengan melihat banyak komentar pada goo gle play store serta pengaduan komplain secara langsung oleh pengguna kepada perusahaan. Pihak BPJS K etenagakerjaan dinilai masih lamban dalam merespon keluhan dan permintaan peserta BPJS, hal ini terjadi karena kurangnya personil TI dalam kantor Cabang, hanya ada satu orang penata Madya TI. Sedangkan apl ikasi BPJSTK Mobile dibuat untuk memudahkan peserta agar dapat melakukan transaksi secara online, ya ng diharapkan pelaksanaan transaksi bisa lebih efektif dan efisien karena peserta tidak
harus mendatangkan Kantor BPJS Ketenagakerjaan. Evaluasi TI memiliki beberapa standar yang digunakan untuk penelitian, diantaranya menggunaka n framework COBIT 5 yang merupakan standar komprehensif yang membantu perusahaan dalam mencapai tujuan dan menghasilkan nilai melalui tata kelola dan manaje men TI yang efektif. COBIT 5 sesuai digunakan untuk mengevaluasi TI di BPJS Ketenagakerjaan Ca bang Mataram karena COBIT 5 membantu perusahaan untuk menciptakan nilai TI yang optimal deng an menjaga keseimbangan antara mewujudkan manfaat dan mengoptimalisasi tingkat risiko dan sumb er yang digunakan. Terdapat 5 domain dan 37 proses yang ada pada COBIT 5. Alasan domain DSS di pilih karena dianggap sesuai dengan kondisi BPJSTK Mobile saat ini. Dengan kondisi teknologi infor masi di BPJS Ketenagakerjaan yang sedang berlangsung dan kebutuhan untuk mengirimkan layanan, melayani, dan mendukung layanan teknologi informasi, maka Domain DSS yang dianggap sesuai den gan hal tersebut. Domain lain seperti APO (Align, Plan, and Organize) dirasa akan sesuai diterapkan p ada tata kelola teknologi informasi yang belum dijalankan atau akan dijalankan, domain BAI (Build, Acquire, and Implement) dirasa akan sesuai jika diterapkan pada unit khusus yang berperan sebagai p embangun (developer) atau memperbaiki tata kelola teknologi informasi yang sudah ada, domain ME A (Monitor, Evaluate, and Asses) dirasa akan sesuai diterapkan untuk kondisi yang telah dibangun da n berlangsung, dan pelaksanaan monitoring dilakukan oleh pihak internal. Penelitian mengenai evaluasi teknologi informasi menggunakan kerangka kerja COBIT 5 telah dilakuk an sebelumnya (AlRasyid, 2016) untuk mengukur capability level aplikasi SIM BL pada bagian Unit CDC PT Telkom Pusat. Domain yang digunakan adalah domain DSS karena fokus pada penilaian pengiriman dan layanan teknolo gi informasi serta dukungannya
termasuk pengelolaan masalah agar keberlanjutan layanan tetap terjaga. Dari hasil penilaian didapatka n bahwa untuk DSS01, DSS03, DSS04, DSS05 dan DSS06 berada pada level 4, yaitu Predictable Pro cess, dan Level target yang ingin dicapai adalah 5 yaitu Optimizing process, sehingga berdasarkan ana lisis gap secara garis besar perlu adanya peningkatan Capability Level dari kondisi existing dari sisi pe
ningkatan aktivitas dengan rekomendasinya yaitu memaksimalkan yang sudah berjalan baik dan mela kukan inovasi dalam aktivitas untuk mempercepat tercapainya tujuan. Penelitian ini bertujuan untuk menilai sejauh mana tingkat kemampuan (capability level) teknologi inf ormasi pada penerapan BPJSTK Mobile dengan judul “Evaluasi Layanan BPJSTK Mobile dengan menggu nakan domain Deliver, Service and Support berdasarkan framework COBIT 5 (Studi Kasus: BPJS
Ketenagakerjaan Cabang Mataram)”. Diharapkan dengan penerapan evaluasi teknologi informasi ters ebut dapat mengukur tingkat kemampuan (capability level) dan memberikan rekomendasi untuk perba ikan teknologi informasi serta analisis kesenjangan (gap analysis) dari hasil evaluasi tersebut
2. LANDASAN KEPUSTAKAAN 2.1 Evaluasi Evaluasi adalah suatu kegiatan penelitian yang sistematismencakup pemberian nilai, atribut, apre siasi, pengenalan masalah, dan pemberian solusi untuk menentukan apakah suatu sistem atau nilai bek erja dengan seharusnya dan memiliki manfaat dan nilai yang diharapkan, sehingga informasi yang dih asilkan dapat digunakan untuk menentukan alternatif yang tepat dalam mengambil sebuah keputusan dan kebijakan bagi decision maker. 2.2 Tata Kelola TI Menurut (Institute,2007), “Tata kelola teknologi informasi adalah pertangungjawaban dewan direksi d an manajemen eksekutif. Hal ini, merupakan bagian yang terintegrasi dengan tata kelola perusahaan dan be risi kepemimpinan dan struktur serta proses organisasi yang menjamin
bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis.” Dari pernyataan di atas dapat ditarik kesimpulan bahwa Tata Kelola TI merupakan bagian dari tat a kelola perusahaan dan yang terdiri dari kepemimpinan dan struktur organisasi serta prosesprosesnya, yang digunakan untuk untuk memastikan bahwa TI perusahaan memelihara dan memperlu as strategi dan sasaran perusahaan. 2.3 COBIT 5 COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu perusahaan dalam men capai tujuannya untuk tata kelola dan manajemen TI perusahaan. COBIT 5 memungkinkan TI untuk d ikelola dan diatur dalam cara yang lebih menyeluruh untuk seluruh lingkup perusahaan, meliputi selur
uh lingkup bisnis dan lingkup area fungsional TI, dengan mempertimbangkan kepentingan para stakeh older internal dan eksternal yang berhubungan dengan TI. COBIT 5 didasarkan pada lima prinsip kun ci untuk tata kelola dan manajemen TI perusahaan. Kelima prinsip ini memungkinkan perusahaan unt uk membangun sebuah kerangka tata kelola dan manajemen yang efektif dan efisien, yang dapat men goptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder (ISA CA, 2012).
2.3.1 Prinsip COBIT 5 Terdapat 5 (lima) prinsip kunci dalam COBIT 5 seperti Gambar berikut ini :
1. Memenuhi Kebutuhan Stakeholder 2. Melingkupi Seluruh Perusahaan 3. Menerapkan Suatu Kerangka Tunggal yang Terintegrasi 4. Menggunakan sebuah pendekatan yang menyeluruh 5. Pemisahan Tata Kelola Dari Manajemen Kerangka COBIT 5 memuat suatu perbedaan yang jelas antara tata kelola dan manajemen. Dua d isiplin yang berbeda ini juga meliputi aktivitas yang berbeda, memerlukan struktur organisasi yang be rbeda dan melayani tujuan yang berbeda pula.
Gambar diatas menjelaskan bahwa dalam COBIT 5 terdapat pemisahan antara proses tata kelola dan proses manajemen (ISACA,2012). Kunci perbedaan antara tata kelola dan manajemen menurut C OBIT 5 adalah : a. Governance, menjamin kebutuhan stakeholder, kondisi-kondisi dan pilihanpilihan selalu dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati untuk di capai, menentukan arah melalui penentuan prioritas dan pengambilan keputusan dan memantau pemenuhan unjuk kerja terhad ap tujuan dan arah yang disepakati. b.Management, bertugas untuk merencanakan, membangun, menjalankan dan memantau aktivitas dalam r angka penyelarasan dengan arah perusahaan yang telah ditentukan oleh badan pengelola (tata kelola), untuk mencapai tujuan perusahaan. Bagaimanapun juga, berdasarkan peranan tata kelola untuk mengevaluasi, mengarahkan dan memantau diperlukan suatu interaksi antara tata kel ola dan manajemen untuk menghasilkan sistem tata kelola yang efektif dan efisien. 2.4 Domain DSS (Deliver, Service, Support) Deliver, Service, and Support (DSS) Menerima solusi dan membuatnya dapat digunakan bagi pe ngguna akhir. Domain ini berkaitan dengan pengiriman/ penyampaian yang aktual dan dukungan laya nan yang dibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan bagi pengguna serta manajemen data dan fasilitas operasional.
Domain DSS terdiri dari 6 control objective, yakni sebagai berikut : 1. DSS01 – Mengelola Operasi Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang dibutuhkan untuk me mberikan layanan IT kepada internal maupun outsourced, termasuk pelaksanaan eksekusi dari standar operasi prosedur yang telah ditetapkan dan kegiatan pemantauan yang diperlukan. 2. DSS02 – Manage Service Request and Incidents Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan penyelesaian terhad ap semua jenis insiden. 3. DSS03 – Manage Problems Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebab masalah dan memberikan resolu si yang tepat waktu untuk mencegah insiden berulang serta memberikan rekomendasi untuk perbaikan . 4. DSS04 – Manage Continuity Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI dalam menanggapi insiden dan gangguan dalam rangka melanjutkan pelaksanaan proses bisnis yang penting dan layanan TI yang diperlukan dan menjaga ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan. 5. DSS05 – Manage Security Services Melindungi informasi perusahaan untuk mempertahankan tingkat resiko keamanan informasi yang da pat diterima oleh perusahaan sesuai dengan kebijakan keamanan. 6. DSS06 – Manage Business Process Controls Mendefinisikan dan memelihara proses bisnis yang tepat kontrol untuk memastikan bahwa informasi yang terkait dan diproses oleh proses bisnis outsourcing memenuhi semua persyaratan pengendalian i nformasi yang relevan.
Diagram RACI
Matriks penugasan tanggung jawab (responsibility assignment matrix, RAM), atau lebih dikenal dengan istilah RACI, adalah matriks yang menggambarkan peran berbagai pihak dalam penyelesaian suatu pekerjaan dalam suatu proyek atau proses bisnis. RACI merupakan akronim dari empat peran ya itu responsible, accountable, consulted dan informed. Berikut keterangan tentang tiap peran dalam dia gram RACI:
a. Responsible (pelaksana) b. Accountable atau Approver (penanggungjawab) c. Consulted (penasihat atau pengarah) d. Informed (penginformasi) 3. METODOLOGI PENELITIAN Alur kerja penelitian digambarkan pada Gambar berikut:
4. SURVEY DAN PENGUMPULAN DATA 4.1 Perhitungan RACI Chart Responden kuesioner berjumlah 3 orang yang terdiri dari bagianbagian yang bersangkutan dengan penelitian yang sesuai dengan domain DSS. Responden terdiri dari bagian Penata Madya TI, Kepala Bagian Keungan & TI, dan Kepala Cabang. Pembuatan kuesioner di dasarkan pada ebook COBIT 5 Enabling Processes.
4.2. Hasil Capability Level Hasil Capability Level ditentukan berdasarkan hasil dari kuisioner yang telah diisi oleh responden. Ha sil tersebut merupakan nilai dari keadaan perusahaan saat ini. Nantinya hasil capability level tersebut akan dibandingkan dengan target level yang perusahaan ingin untuk capai kedepannya. Perbandingan dari kedua nya akan menjadi Gap Analysis yang berguna untuk pemberian rekomendasi untuk perusahaan.
4.3 Penilaian Proses Capability Level Tabel detail penilaian Capability Level sebuah proses berdasarkan kuesioner yang telah diisi oleh masingmasing 3 orang responden dari hasil analisis RACI Chart pada proses DSS01 - DSS06. Responden 1 y aitu Kepala Bagian Keuangan & TI yang berkompeten dalam mengisi kuesioner pada proses DSS01, DSS02, DSS03, DSS04, dan DSS05. Responden 2 yaitu Penata Madya TI yang berkompeten dalam m engisi kuesioner pada proses DSS02 dan DSS03. Responden 3 yaitu Kepala Cabang yang berkompete n dalam mengisi kuesioner pada proses DSS06. Hasil kuisioner dapat dilihat pada Tabel 2 - 7 berikut.
• Kondisi Existing DSS01 Hasil capability level berada pada level 2 yaitu managed process yang artinya proses yangdijalankansekarangtelah diimplementasikan dan dimonitoring kemudian hasil dikelola dengan baik
(ditentukan requirementnya dan didokumentasikan). Kondisi saat ini dari DSS01 pada BPJS Ketenagakerjaan Cabang Matara m adalah sebagai berikut: 1. Telah menjalankan absensi dan rekap dengan baik. Absensi dilakukan melalui fingerprint. 2. Pemeliharaan dan pelaksanaan prosedur operasional dan aktivitas BPJSTK Mobile belum memiliki lapor an pengukuran setiap kurun waktu tertentu. SOP (Standard Operating Procedure) pada sebuah aktivita s tertentu tidak tersedia/tidak sempurna. 3. Telah dilakukan sosialisasi dan Training of Trainer (TOT) untuk outsourced pada Kantor Cabang. 4. Tersedia
sistem pelaporan dan
dashboard untuk Business Perfomance serta laporan dan analisis sehingga memudahkan dalam peninj auan ulang data. 5. Dalam memanage environment BPJS Ketenagakerjaan menjalankan kehendak sesuai dengan yang ditetapkan SDM. 6. Pengelolaan dan penjagaan fasilitas, ada dalam pengawasan CCTV dan Satpam yang bertugas.
• Kondisi Existing DSS02 Hasil capability level berada pada level 2 yaitu managed process yang artinya proses yangdijalankansekarangtelah diimplementasikan dan dimonitoring kemudian hasil dikelola dengan baik
(ditentukan requirementnya dan didokumentasikan). Kondisi saat ini dari DSS02 pada BPJS Ketenagakerjaan Cabang Matara m adalah sebagai berikut: 1. Dalam menjalankan layanan insiden dan permintaan layanan belum dibuat skema layanan/SOP (Standard Operasional Procedure) mengenai request insiden. 2. Terdapat klasifikasi dan prioritas terhadap permintaan layanan insiden sesuai dengan tingkat prioritasny a. Tetapi dokumentasinya masih belum ada. 3. Pendokumentasian insiden hanya melalui fitur layanan pengaduan dan belum ada dokumentasi secara pr intout. 4. Belum ada yang pihak khusus yang memonitoring bagaimana tindakan terhadap insiden yang ada, karen a kurangnya SDM di Kantor Cabang. 5. Rekapitulasi dan Analisa terhadap insiden dilakukan secara informal dan belum terjadwal.
• Kondisi Existing DSS03 Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimplem entasi telah mencapai tujuannya, tetapi belum ada manajemen yang mendukung. Kondisi saat ini dari DSS03 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut: 1. Penyelesaianinsidenhanya melibatkan orang-orang yang bersangkutan. 2. Tidak ada pertemuan rutin yang membahas mengenai penganalisisan solusisolusi, pembahasan dilakukan saat dilakukan rapat dan hanya terdokumentasi dalam notulensi.
3. Penyelesaian dan penutupan insiden dilakukan dengan baik, direkam dalam server. Dilakukan pengawas an dan evaluasi, tetapi belum bersifat periodik, sehingga belum dikomunikasikan dengan baik untuk mencegah adanya insiden yang terjadi di masa depan atau untuk mengidentifikasi adanya tren baru yang mungkin menyebabkan insiden.
• Kondisi Existing DSS04 Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimplementas i telah mencapai tujuannya, dilakukan tetapi belum ada manajemen yang mendukung. Kondisi saat ini dari DSS04 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut:
Dilakukan pemantauan terhadap proses bisnis yang berlangsung dalam BPJS Ketenagakerjaan. 2. Belum didefinisikan strategi antisipasi terhadap gangguan teknis yang mungkin terjadi, karena kurangny a sumber daya manusia yang memliki keahlian dalam hal tesebut di kantor Cabang, sehingga bila ada gangguan terkait teknis BPJSTK Mobile yang menangani adalah kantor Pusat. Sedangkan gangguan n on teknis diselesaikan dengan kebijakan. 3. Tidak adanya dokumen BPC (Bussines Plan Continuity) yang mendokumentasikan prosedur dan informasi yang digunakan untuk kemungkin an perusahaan melanjutkan kegiatan apabila terjadi insiden. 4. Sudah ada sesi pelatihan regular untuk semua pihak mengenai prosedur peran dan tanggung jawab. Pelat ihan terhadap perencanaan TI yang berkelanjutan masih bersifat umum, seperti komunikasi secara inf ormal. 5. Informasi-informasi bisnis yang penting dikelola dan dijaga dengan baik dilakukan backup data.
• Kondisi Existing DSS05 Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimple mentasi telah mencapai tujuannya, dilakukan tetapi belum ada manajemen yang mendukung. Kondi si saat ini dari DSS05 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut: 1. Dalam melindungi teknologi informasi dan teknologi dari malware, Penata Madya TI melakukan tindakan se perti menggunakan sistem operasi berbasis open source, mewajibkan penggunaan antivirus pada komputer dengan sistem operasi Windows serta penggunaan aplikasi firewall dan antispam. 2. Dalam melindungi teknologi informasi dan teknologi dari malware, Penata Madya TI melakukan tindakan se perti menggunakan sistem operasi berbasis open source, mewajibkan penggunaan antivirus pada komputer dengan sistem operasi Windows serta penggunaan aplikasi firewall dan antispam.
• Kondisi Existing DSS05 Hasil capability level berada pada level 1 yaitu performed process yang artinya proses yang diimplementas i telah mencapai tujuannya, dilakukan tetapi belum ada manajemen yang mendukung. Kondisi saat ini dari DSS06 pada BPJS Ketenagakerjaan Cabang Mataram adalah sebagai berikut: 1. Belum adanya penyelarasan aktivitas control yang ada di proses bisnis dengan tujuan BPJSTK Mobile. 2. Peran, tanggungjawab, tingkat wewenang dan pemisah tugas yang diperlukan untuk mendukung tujuan proses bisnis telah didefinisikan di dalam dokumen jobdesk perdir 24. 3. Telah dilakukan koreksi oleh pihak yang bertanggung jawab untuk mengetahui kesalahankesalahan yang kemudian dianalisis, dilaporkan dan didiskusikan dengan staff lainnya.
4. Terdapat dokumen history yang nantinya dapat digunakan untuk penelusuran dan pencegahan agar kesa halan tak terjadi lagi. 5. PEMBAHASAN Pada sub bab ini dilakukan analisis rekomendasi yang dilakukan berdasarkan hasil data kuesioner dari bab sebelumnya. Hal ini dilakukan agar dapat membantu BPJS Ketenagakerjaan Cabang Mataram dalam memperbaiki teknologi informa si khususnya layanan BPJSTK Mobile yang menjadi salah satu layanan terpenting dalam BPJS Ketena gakerjaan Cabang Mataram. 5.1 Analisis Gap Gap Analysis adalah perbandingan kinerja aktual dengan kinerja potensial atau yang diharapkan. Berdasarkan hasil evaluasi yang dilakukan di BPJS Ketenagakerjaan Cabang Mataram dengan mengg unakan framework COBIT 5 pada domain DSS, diperoleh hasil capability level untuk keseluruhan pro ses beserta dengan level target pada tabel berikut :
Ratarata gap antara level saat ini dengan level target adalah satu tingkat, berikut gambaran umum rekomen dasi keseluruhan proses yang disusun agar bisa mencapai level target adalah sebagai berikut :
1. Membuat penerapan pengukuran layanan yang harus dipenuhi dalam tiap proses bisnis untuk terjaminny a BPJSTK Mobile berjalan dengan baik. 2. Membuat sistem monitoring dan evaluasi yang tepat terhadap proses bisnis untuk mengoptimalkan kebe rlangsungan BPJSTK Mobile. 3. Membuat dokumentasi atau laporan mengenai keseluruhan hasil proses yang berlangsung, dan juga pela nggaran yang terjadi sebagai bahan evaluasi dan pengembangan keberlanjutannya. 4. Membuat dan menjaga dengan baik pendokumentasian informasi yang dapat meningkatkan/menjaga ke berlangsungan jalannya layanan BPJSTK Mobile. 5.2 Rekomendasi Rekomendasi dibuat berdasarkan hasil kuisioner, wawancara dan analisis best practices pada seti ap subdomain. (ITGI, 2007) 5.2.1 Rekomendasi DSS01 Untuk mencapai level target yang diinginkan yaitu level 3, maka yang perlu dilakukan adalah : 1. Membuat Standard Operating Procedure (SOP) yang lengkap agar dapat digunakan sebagai panduan prosedur pengoperasionalan. 2. Melakukan analisis perangkat IT untuk mencegah ancaman yang timbul dari tindakan manusia seperti p encurian, bahaya konsleting dll. 3. Melakukan penilaian terhadap infrastruktur yang dimilki dan dibuat dokumentasinya untuk bahan evalu asi kedepan. 4. Menindak lanjuti hasil audit independen terhadap kualitas layanan, lingkungan dan dengan pihak luar ya ng menjalin kerjasama, apabila dari audit independent tidak ada maka ditambahkan sendiri. 5.2.2 Rekomendasi DSS02 Untuk mencapai level target yang diinginkan yaitu level 3, maka yang perlu dilakukan adalah :
1. Membuat dokumen baku (lebih tersistematik) yang berkaitan dengan permintaan layanan, keluhan/adanya insiden serta penanganan insiden tersebut. 2. Membuat dokumentasi klasifikasi layanan insiden sesuai dengan jenisjenisnya agar dapat diselesaikan dengan tepat waktu dan efektif. 3. Membuat prosedur untuk verifikasi dalam proses penyelesaian insiden secara detail. 4. Melakukan pertemuan rutin guna membahas layanan permintaan dan layanan insiden yang terjadi. 5. Membuat dokumentasi terhadap resolusi atau solusi alternative terhadap pemecahan insiden dan mengev aluasinya. 5.2.3 Rekomendasi DSS03 Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah : 1. Melakukan pemantauan terhadap kinerja penyelesaian masalah yang ditentukan. 2. Mendokumentasikan dan mengalisa kembali laporan masalah yang ada baik yang sudah terselesaikan m aupun yang belum terselesaikan. 3. Menganalisa akar – akar permasalahan yang muncul dan pemecahan masalah, kemudian mendokumenta sikannya supaya tidak terjadi masalah yang sama. 4. Membuat sistem/skema
yang dapat
mengetahui jalannya penyelesaian pemecahan masalah yang ada agar dapat dipantau oleh pihak atasa n. 5. Membuat dokumentasi terkait solusi – solusi dalam pemecahan masalah. 6. Memebuat analisa pengalokasian sumberdaya yang akan digunakan untuk mengoptimalkan resource yan g dimiliki. 5.2.4 Rekomendasi DSS04 Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah :
1. Melakukan pengukuran keberlangsungan proses bisnis untuk mengetahui tingkat kematangannya dan ke senjangan proses bisnis, didokumentasikan dan dievaluasi. 2. Mengukur kesesuaian kebijakan yang dibuat dalam keberlangsungan proses bisnis. 3. Membuat skema atau sistem yang berisi respon terhadap insiden dan kominukasinya, mendokumentasikan dan dievaluasi. 4. Membuat business continuity plan (BCP) untuk pengembangan proses bisnis dan dokumentasikan. 5. Melakukan review manajemen secara rutin.
6. Melakukan pengukuran dan evaluasi terhadap tujuan pelatihan. 7. Membuat ketetapan ukuran – ukuran untuk pengambangan latihan sumberdaya manusia yang dimiliki, dan dipantau keberlangsungannya. 5.2.5 Rekomendasi DSS05 Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah : 1. Membuat aturan tertulis yang menyatakan semua pegawai untuk melindungi sistem informasi dan tekno logi dari malware. 2. Membuat prosedur dan mendokumentasikan pengecekan secara rutin terhadap keamanan perangkat luna k yang digunakan. 3. Membuat aturan tertulis mengenai keamanan konektifitas dan perangkat endpoint (misal laptop, server, perangkat Mobile atau software). 4. Memberikan peringatan kepada semua pegawai akan kedasarannya terhadap keamanan sistem dan peran gkat yang dimiliki. 5. Melakukan evaluasi yang dilakukan rutin, minimal tiap 3 bulan sekali terhadap sistem informasi yang di khawatirkan dapat timbul potensi ancaman baru. 5.2.6 Rekomendasi DSS06 Untuk mencapai level target yang diinginkan yaitu level 2, maka yang perlu dilakukan adalah :
1. Menetapkan ukuran-ukuran goal dari proses bisnis, mendokumentasikan dan dievaluasi. 2. Membuat laporan dari kontrol pemrosesan agar mudah diketahui gejala - gejala yang timbul. 3. Mendokumentasikan dengan baik rekaman transaksi dan rekaman keluhan dalam dokumen yang lebih te rsistematik yang nantinya dapat digunakan sebagai bukti untuk mengukur keberlangsungan bisnis. 4. Mereview penyimpangan - penyimpangan yang terjadi dalam keberlangsungan prose bisnis, mendokum entasikan dan dievaluasi. 5. Membuat kebijakan terhadap pemberian hukuman kepada pegawai yang melakukan pelanggaran - pelanggaran dalam pemantauan kegiatan proses bisnis. 6. Menyimpang dengan baik atau mengarsipkan data seperti sumber informasi, rekaman transaksi unt uk dijadikan bukti dalam pengukuran penilaian keberlangsungan proses bisnis dan dapat sebagai reko mendasi. 6. KESIMPULAN Berdasarkan hasil penelitian dan analisis yang dilakukan pada layanan BPJSTK Mobile di BPJS Kete nagakerjaan Cabang Mataram, maka dapat diambil kesimpulan sebagai berikut :
1. Evaluasi dilakukan menggunakan kerangka kerja framework COBIT 5 dan menggunakan domain DSS ( Delivery, Service and Support) yang dipilih karena sistem telah direncanakan (plan), telah dibangun ( build) dan sekarang sedang dijalankan (run). Domain DSS terdiri dari 6 proses yaitu DSS01, DSS02, DSS03, DSS04, DSS05, dan DSS06. 2. Dari hasil evaluasi tingkat kemampuan (Capability Level) diketahui ada 2 proses yang mempunyai level kapabilitas 2 yaitu DSS01 dan DSS02. Ada 4 proses yang memiliki level kapabilitas 1 yaitu DSS03, DSS04, DSS05, DSS06. 3. Menurut level kapabilitas masing-masing proses, ditentukan level target masingmasing proses yaitu berupa 1 level di atas level kapabilitas, yang ditentukan berdasarkan analisis dan juga persetujuan dengan instansi terkait, se hingga didapat level target untuk DSS03, DSS04, DSS05 dan DSS06 adalah level 2, untubk DSS01 d an DSS02 adalah level 3.
4. Level capability keseluruhan yang diperoleh berdasarkan keseluruhan ratarata adalah 1 (performed process), yang berarti sudah diterapkan dan mencapai tujuannya, tetapi belu m ada standar penerapan dalam melakukan proses tersebut, belum terdokumentasi dan dikomunikasik an dengan baik. Untuk penelitian selanjutnya, saran yang diberikan adalah sebagai berikut : 1. Sebaiknya menggunakan domain lain yang ada pada kerangka kerja framework COBIT 5 untuk mengevaluas i teknologi informasi yang ada pada suatu instansi sesuai dengan tujuan dan studi kasus yang diambil. Emp at domain selain DSS yaitu domain EDM (Evaluate, Direct, Monitor), domain APO (Align, Plan and Orga nise), domain BAI
(Build, Acquire and Implement), dan MEA (Monitor, Evaluate and Assess). 2. Peneliti sebaiknya memberikan pengenalan kepada calon responden terkait framework / domain yang ak an digunakan, sehingga isian data kuesioner yang nanti diberikan akan lebih objektif.
