Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD...

Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)

Menggunakan COBIT 5 Domain Deliver, Service and Support

(Studi Kasus : Badan keuangan Daerah Kota Salatiga)

Artikel Ilmiah

Diajukan Kepada

Fakultas Teknologi Informasi

Untuk Memperoleh Gelar Sarjana Sistem Informasi

Peneliti:

Daniel Baltasar Thenu (682013059)

Yani Rahardja, S.E., M.M

Program Studi Sistem Informasi

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

Desember 2017

1. Pendahuluan

Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Program aplikasi ini digunakan

untuk pengelolaan keuangan daerah secara terintegrasi, meliputi penganggaran,

penatausahaan, akuntansi dan pelaporannya terkhususnya pada BKD kota Salatiga. SIPKD

digunakan oleh Organisasi Perangkat Daerah (OPD) pada bidang anggaran, belanja dan pada

bidang akuntansi, operator dari SIPKD yaitu adalah bendahara OPD pada BKD. SIPKD

mulai digunakan pada tahun 2008, jadi sebelum tahun 2008 masih menggunakan proses

manual untuk perencanaan, penganggaran, hingga penatausahaan. Kemudian pada tahun

2008 memutuskan untuk menggunakan aplikasi SIPKD sebagai tools untuk memperlancar

pengelolaan keuangan daerah dimulai dari penganggaran, penatausahaan dan pelaporannya.

sebelum penganggaran sebenarnya ada perencanaan oleh BAPPEDA yang sekarang

mengganti nama menjadi BAPELITBANG.

SIPKD merupakan inovativ sendiri dari Badan Keuangan Daerah (BKD) kota Salatiga

bekerja sama dengan pihak ketiga berdasarkan standar yang mengacu pada Peraturan

Pemerintah Nomor 58 Tahun 2005 tentang Pengelolaan Keuangan Daerah dan Peraturan

Menteri Dalam Negeri nomor 13 Tahun 2006 tentang Pedoman Pengelolaan Keuangan

Daerah. Hasil inovativ sendiri dengan pihak ketiga membuat aplikasi SIPKD lebih fleksibel,

lebih terbuka bisa dimodif sesuai kebutuhan dan apabila terjadi perubahan pada BPKB maka

mudah untuk melakukan perubahan. SIPKD menggunakan metode pencatatan akuntasi cash

basis sampai pada tahun 2014, Setelah tahun 2014 ada transisi antara cash basis menjadi

accrual basis untuk metode pencatatan akuntansinya. Pada tahun 2014 SIPKD Beralih

menjadi tampilan web yang semulanya pada tahun 2008 adalah tampilan desktop. Beralih

pada tampilan web dikarenakan menggunakan versi desktop pada masing–masing stand

alone aplikasi terjadi masalah proses eksport dan import sehingga didapatkan data yang

masuk tidak konsisten. Konsep dari stand alone yaitu program dapat melakukan proses

import maupun ekspor data secara online. Permasalahan yang terjadi ketika di kantor lain

sudah melakukan perubahan data pada BKD sendiri belum terjadi perubahan data.

Adapun kendala maupun masalah yang membuat implementasi aplikasi SIPKD kurang begitu

optimal, yaitu user yang kurang memahami dalam pengoperasian komputer sehingga

menghambat pengoperasian aplikasi SIPKD. Mengatasi masalah tersebut dengan berjalannya

waktu terjadi regenerasi sehingga user yang menggunakan aplikasi SIPKD telah mampu

mengoperasikannya dengan saat baik. Pada saat SIPKD digunakan oleh begitu banyak user

membuat Terjadinya overload pada server sehingga mengalami kendala mapun memakan

waktu pada saat mencetak laporan dan juga terjadi time out pada web browser. Melihat

permasalahan ini penelitian ini akan membahas tentang audit SIPKD (Sistem Informasi

Pengelolaan keuangan Daerah) menggunakan COBIT 5 domain Deliver, Service and Support

(DSS) yang berkaitan dengan aspek kinerja pengiriman layanan aplikasi teknologi informasi,

sehingga diharapkan dapat mendorong dan mengoptimalkan pelaksanaan yang efektif dan

efisien dari kinerja aplikasi dalam pemanfaatan sumber teknologi informasi pada BKD kota

Salatiga.

2. Tinjauan Pustaka

2.1 Penelitian Terdahulu

Penelitian sebelumnya yang berjudul “Penerapan COBIT 5 Domain DSS (Deliver,

Service, Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand Indonesia”.

Dalam penelitian ini telah dilakukan audit Audit FMS PT Grand Indonesia menggunakan

COBIT 5 domain DSS dengan memetakan enterprise goals, IT-related goals, dan proses

domain DSS. Setelah dilakukan pemetaan diagram RACI dilakukan pengisian kuesioner

dengan tujuan menilai kesesuaian aktivitas pada DSS dengan aktivitas corrective and

preventive maintenance FMS. Berdasarkan hasil audit, diperoleh capability level berdasarkan

kuisioner dan wawancara pada proses DSS01, DSS02, DSS03, DSS04, DSS05 dan DSS06

yaitu pada level 3 Established Process[3].

Adapun penelitian yang berjudul “Penerapan Framework Cobit 5 Pada Audit Tata

Kelola Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU”. Tujuan

dari penelitian ini adalah untuk mengaudit tata kelola teknologi informasi guna mengetahui

sejauh mana tingkat kapabilitas tata kelola teknologi informasi pada Dinas Komunikasi dan

Informatika Kabupaten OKU. Hasil dari pengukuran tingkat model capability skala penelitian

penerapan framework cobit 5 pada audit tata kelola teknologi informasi di Dinas Komunikasi

dan Informatika Kabupaten OKU yaitu memperoleh skala 3 (established process) dengan

nilai 3.18, yang artinya Dinas Komunikasi dan Informatika Kabupaten OKU ini sudah

mengimplementasikan tata kelola Teknologi Informasi dengan menggunakan proses

pelatihan yang telah ditetapkan dalam renstra, dan sudah mencapai target yang diharapkan[4].

Penelitian sebelumnya yang berjudul “Audit Teknologi Informasi Menggunakan

Framework COBIT 5 pada Domain (Delivery, Service, and Support) (Studi Kasus : iGracias

Telkom University)”. Metode yang digunakan dalam penelitian ini terdiri dari perencanaan,

pengumpulan data analisis data. Kesimpulan dari proses audit yang dilakukan pada penelitian

ini pada tahap Pra audit telah diperoleh 6 proses domain DSS COBIT 5 yang dimana

merupakan keseluruhan proses dari domain DSS yang sesuai dengan kondisi tata kelola

direktorat SISFO Telkom university dan digunakan sebagai ruang lingkup standar Audit,

Yaitu DSS01, DSS02, DSS03, DSS04 DSS05, dan DSS06. Dari hasil audit, diketahui ada 1

proses yang mempunyai level kapabilitas 4 DSS02, ada 5 proses yang mempunyai level

kapabilitas 3 yaitu DSS01, DSS03, DSS04, DSS05 dan DSS06. Menurut level kapabilitas

masing-masing proses ditentukan level masing-masing proses yaitu berupa 1 level di atas

level kapabilitas, yang ditentukan berdasar analisis dan juga persetujuan dengan

stakeholder, sehingga didapat level target untuk DSS01, DSS03, DSS04, DSS05 dan

DSS06 adalah level 4, untuk DSS02 adalah level 5. Level capability keseluruhan yang

diperoleh berdasarkan keseluruhan rata –rata adalah 3, yang berarti sebagian besar aktifitas

pada domain DSS untuk Direktorat SI SFO Telkom University telah dilakukan, ada standar

penerapan dalam melakukan proses tersebut, terdokumentasi dan komunikasi berjalan

dengan baik[6].

2.2 Dasar Teori

COBIT 5

Gambar 1. Model Referensi Proses pada COBIT 5 (COBIT 5, 2013)

Control Objective for Information & Related Technology (COBIT) merupakan

Kumpulan dokumentasi kerangka bisnis untuk IT Governance dan management of enterprise

IT yang dapat membantu auditor, pengguna (user), dan manajemen untuk menjembatani

antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT atau kinerja IT.

COBIT berisi tujuan pengendalian, petunjuk audit, kinerja, hasil metrik, faktor kesuksesan

dan maturity model. COBIT dikeluarkan oleh IT Governance Institute (ITGI) COBIT

dikembangkan secara berkala oleh Information Systems Audit and Control Association

(ISACA)[1].

Cobit 5 merupakan versi terbaru dari arahan ISACA mengenai tata kelola dan manajemen

proses perusahaan IT, membagi menjadi dua domain utama yaitu[1] :

1. Tata kelola (Govermance) bertanggung jawab untuk memantau secara langsung evaluate

direct and monitor (EDM) domain Proses ini ditetapkan tanggung jawab untuk

mengevaluasi, mengarahkan dan memantau penggunaan TI.

Evaluate, Direct and Monitor (EDM) EDM domain ini menetapkan kerangka kerja tata kelola, tanggung jawab membangun dalam

hal nilai (misalnya, kriteria investasi), faktor resiko dan sumber daya (misalnya, optimalisasi

sumber daya), dan menjaga transparansi IT kepada stakeholder.

2. Manajemen (Management) berisi empat domain yang sesuai dengan tanggung jawab

seperti proses (PBRM), perencanaan (planning), proses pembangunan (building), proses

yang sedang berjalan (running), dan proses memonitor( monitoring). Ada empat domain

pada proses Management.

Align, Plan and Organise (APO)

Berhubungan dengan strategi IT dan taktik atau strategi, arsitektur enterprise, inovasi dan

manajemen portofolio. proses penting lainnya mengatasi pengelolaan anggaran dan biaya,

sumber daya manusia, hubungan, perjanjian layanan, pemasok, kualitas, risiko, dan

keamanan.

Build, Acquire and Implement (BAI) Menyediakan solusi mewujudkan strategi TI yang dikembangkan atau diimplmentasikan ke

dalam proses bisnis, mengelola dan mengontrol perubahan terkait proses bisnis serta

melakukan aktifitas barupa tracking, pelaporan dan dokumentasi untuk memastikan nilai dan

kualitas deliverable perusahaan.

Deliver, Service and Support (DSS)

Domain ini mencakup pengiriman aktual dari layanan TI yang dibutuhkan untuk memenuhi

strategis dan rencana taktis. Domain DSS termasuk proses untuk mengelola operasi,

permintaan layanan dan insiden, serta pengelolaan masalah, kontinuitas, keamanan dan

kontrol proses bisnis.

Monitor, Evaluate and Assess (MEA) MEA, termasuk proses yang bertanggung jawab untuk penilaian kinerja proses dan

kesesuaian, evaluasi internal kontrol kecukupan, dan pemantauan kepatuhan terhadap

peraturan.

Deliver, Service and Support (DSS)

Berkaitan dengan aspek kinerja teknologi informasi mencakup pengiriman aktual dari

layanan TI. Domain DSS pada COBIT 5 menjangkau bidang-bidang seperti kinerja aplikasi

dalam pengiriman layanan sistem TI dan hasil-hasilnya serta proses yang memungkinkan

pelaksanaan yang efektif dan efisien dari sistem TI. Sub domainnya terdiri dari[2] :

DSS01 (Manage Operations). Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang dibutuhkan untuk memberikan internal dan

outsourcing layanan TI, termasuk pelaksanaan prosedur operasi standar yang telah

ditetapkan dan kegiatan monitoring yang diperlukan.

DSS02 (Manage Service Requests and Incidents) Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi dari semua jenis

insiden. Memulihkan layanan TI agar kembali normal, mencatat dan memenuhi

permintaan pengguna, dan menyelesaikan insiden yang terjadi.

DSS03 (Manage Problems) Mengidentifikasi dan mengklasifikasikan masalah

dan akar penyebab dan memberikan resolusi tepat waktu untuk mencegah insiden

berulang, Menyediakan rekomendasi untuk perbaikan.

DSS04 (Manage Continuity) Membangun dan memelihara rencana untuk memungkinkan bisnis dan TI untuk menanggapi insiden maupun gangguan untuk

melanjutkan operasi proses bisnis dan menjaga ketersediaan informasi yang dapat

diterima untuk organisasi atau perusahaan.

DSS05 (Manage Security Services) Melindungi informasi perusahaan untuk mempertahankan tingkat risiko keamanan informasi diterima perusahaan sesuai

dengan kebijakan keamanan. Membangun dan mempertahankan peran keamanan

informasi dalam hak akses dan melakukan pemantauan keamanan.

DSS06 ( Manage Business Process Controls) Mendefinisikan dan memelihara

kontrol proses bisnis yang tepat untuk memastikan informasi yang terkait dengan proses bisnis outsourcing proses memenuhi semua persyaratan kontrol informasi

yang relevan.

Capability Maturity Model

CMM (Capability Maturity Model). Model tingkat kematangan, membantu

mendefenisikan kematangan kemampuan proses–proses suatu organisasi serta mengarahkan

organisasi untuk dapat mencapai goal. CMM memiliki tingkatan pengelompokan kapabilitas

pengelolaan proses teknologi informasi dari tingkat 0 (non existent) hingga tingkat 5

(optimised) dalam bentuk gambar[1].

Gambar 2. CMM (Capability Maturity Model) COBIT 5 (COBIT 5, 2013)

Berikut penjelasan level dari Process Capability [5] :

a. Level 0 Incomplete Process - Proses yang belum atau gagal dilakukan.

b. Level 1 Performed Process - Proses yang menentukan tercapainya tujuan.

c. Level 2 Managed Process - Proses yang mencakup perencanaan, monitor, dan

penyesuaian.

d. Level 3 Established Process - Proses yang sudah dibangun kemudian,

diimplementasikan untuk mencapai hasil dari proses.

e. Level 4 Predictable Process - Proses yang sudah dibangun kemudian dioperasikan.

dengan batasan-batasan yang mampi merauh harapan dari proses.

f. Level 5 Optimizing Process - Proses yang diprediksi secara terus menerus

ditingkatkan untuk memenuhi tujuan bisnis dan tujuan perusahaan.

3. Metode Penelitian

Penelitian ini menggunakan pendekatan deskriptif kuantitaif. Metode deskriptif dapat

diartikan sebagai suatu bentuk penelitian berdasarkan data yang dikumpulkan selama

penelitian secara sistimatis mengenai fakta–fakta dan sifat–sifat dari objek yang diteliti

sebagaimana adanya. Data tersebut diperoleh dari wawancara, observasi hingga kusioner.

Penelitian ini dilaksanakan dalam beberapa tahapan seperti pada Gambar 3 dibawah ini.

Gambar 3. Tahapan Penelitian

Kegiatan yang dilakukan pada tahap pertama meliputi mempelajari teori tentang

COBIT 5 dan Capability Maturity Model (CMM) yang membantu penulis dalam penyelesaian

tugas akhir ini, Tahap kedua dalam penelitian ini yaitu menentukan domain yang digunakan

untuk analisis tingkat kematangan dan rekomendasi, domain yang digunakan adalah domain

Delivery service and Support memfokuskan pada kinerja dan pemenuhan layanan TI, Tahap

ketiga melakukan pengumpulan data berdasarkan obeservasi, wawancara hingga kuisioner

yang dijawab oleh pegawai atau staff IT pada BKD kota Salatiga. Wawancara dan

pengamatan sebagai dukungan atas temuan-temuan hasil dari kuisioner. Kuisoner berisi

tentang domain dari COBIT Delivery, Service and Support. Tahap selanjutnya setelah

pengumpulan data yaitu, pengolahan data yang bersifat kuantitatif diperoleh melalui

assessment tool template COBIT 5 dari ISACA. Dari hasil pengumpulan data kemudian

diolah dengan menghitung tingkat kematangan (Capability Level), hasil analisa data akan

dijadikan rekomendasi sebagai tolak ukur untuk hasil yang lebih baik lagi dan pada tahap

akhir dibuatkan simpulan dan saran dari hasil yang telah diteliti.

Kesimpulan

Studi literatur

(COBIT, CMM)

Pemilihan Domain COBIT

Deivery, service and Support

Pengumpulan Data

(Wawancara, Kuisioner,

Pengamatan)

Pengolahan Data

(analisis tingkat kematangan),

(Penyusunan Rekomendasi)

4. Hasil dan Pembahasan

4.1 Hasil PenilaianTingkat Kematangan Tiap Domain Proses (Capability Level)

Proses ini diperloleh dengan pengumpulan informasi dari kuisioner evaluasi tingkat

kematangan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) menggunakan

parameter COBIT 5 Domain Delivery, Service and Support (DSS) dengan responden 11

orang dari staff IT pada Badan Keuangan Daerah (BKD) kota Salatiga. Dari hasil penilaian

tingkat kematangan tiap domain diperoleh hasil rata – rata tingkat kematangan (Capability

Level) sebagai berikut :

1) Domain Proses DSS01 (Mengelola Operasi)

Aktifitas Proses Deskripsi Aktifitas Tingkat

Kematangan

DSS01.01 Melakukan prosedur operasional 3.60

DSS01.02 Mengelola layanan TI outsourcing 3.50

DSS01.03 Memonitor infrastruktur TI 3.60

DSS01.04 Mengelola lingkungan 3.40

DSS01.05 Mengelola fasilitas 3.20

Rata – Rata Tingkat Kematangan 3.46

Tabel 1. Perhitungan Tingkat Kematangan Domain Proses DSS01

Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS01

didapatkan rata–rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada

pada level 3 (Established Process). Artinya aktifitas telah dilakukan dan didokumentasikan

mencakup pengelolaan operasional. Pada domain proses DSS01.01 diperoleh rata–rata

tingkat kematangan yaitu 3.60 memastikan kegiatan operasional telah dilakukan sesuai

dengan kebutuhan dan konsisten terhadap jadwal, domain proses DSS01.02 diperoleh rata-

rata tingkat kematangan yaitu 3.50 memastikan pengolahan data menyangkut SIPKD

ditangani dan dikelola sesuai dengan kebijakan keamanan informasi, domain proses

DSS01.03 diperoleh rata –rata tingkat kematangan yaitu 3.60 memastikan Pengoperasian

SIPKD tercatat sebagai log peristiwa untuk memantau aktifitas yang dilakukan, domain

proses DSS01.04 diperoleh rata –rata tingkat kematangan yaitu 3.40 memastikan Pengelolaan

lingkungan TI, termasuk pusat data dan tempat penyimpanan data ditentukan sesuai dengan

kebijakan organisasi. Domain proses DSS01.05 diperoleh rata –rata tingkat kematangan yaitu

3.20 memastikan Pengelolaan fasilitas penunjang SIPKD telah aman terhadap resiko – resiko

yang bisa ditimbulkan pada lingkungan TI (kerusakan, bencana alam, dll).

2) Domain Proses DSS02 (Mengelola Permintaan Layanan dan Mengelola Insiden)


Kematangan

DSS02.01 Menentukan insiden dan permintaan layanan 3.60

DSS02.02 Mencatat, mengkasifikasikan dan memprioritas permintaan terhadap insiden 3.50

DSS02.03 Memverifikasi, menyetujui dan memenuhi permintaan layanan 3.60

DSS02.04 Menyelidiki, mendiagnosa dan mengalokasikan insiden 3.20

DSS02.05 Menyelesaikan dan memulihkan insiden 3.30

DSS02.06 Menutup permintaan layanan insiden 3.40

DSS02.07 Melacak status dan menghasilkan laporan 3.40






mencakup pengelolaan permintaan layanan dan pengelolaan insiden. Pada domain proses

DSS02.01 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan insiden yang terjadi

pada SIPKD telah teridentifikasi serta memprioritaskan permintaan layanan (komplain) dari

insiden yang terjadi. Domain proses DSS02.02 diperoleh rata-rata tingkat kematangan yaitu

3.50 memastikan permintaan layanan (komplain) telah teridentifikasi, dicatat serta ditetapkan

prioritas untuk penanganan insiden sesuai dengan kebutuhan organisasi. Pada domain

DSS02.03 diperoleh tingkat kematangan yaitu 3.60 memastikan pemenuhan permintaan

layanan (komplain) sesuai dengan prosedur yang ada pada organisasi. Domain proses

DSS02.04 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pencatatan

terhadap penyebab insiden yang mungkin terjadi pada SIPKD serta solusi penyelesainnya.

Domain DSS02.05 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan adanya

pencatatan dan pelaporan terhadap tindakan pemulihan layanan SIPKD. Domain proses

DSS02.06 diperoleh tingkat kematangan yaitu 3.40 memastikan permintaan layanan

(komplain) telah ditangani serta dan adanya pengecekan terhadap insiden yang telah

ditangani berhasil memenuhi permintaan layanan (komplain). Domain proses DSS02.07

diperoleh tingkat kematangan yaitu 3.40 memastikan laporan permintaan layanan (komplain)

dimonitor untuk perbaikan kedepannya.

3) Domain Proses DSSO3 (Mengelola Masalah)


Kematangan

DSS03.01 Mengidentifikasi dan klasifikasi masalah. 3.20

DSS03.02 Menyelidiki dan mendiagnosa masalah. 3.40

DSS03.03 Menemukan masalah yang ada 3.40

DSS03.04 Menyelesaikan dan memecahkan masalah 3.50

DSS03.05 Melakukan manajemen masalah secara proaktif 3.60






mencakup pengelolaan terhadap masalah yang terjadi. Pada domain DSS03.01 diperoleh rata-

rata tingkat kematangan yaitu 3.20 memastikan identifikasi masalah pada masalah yang

terjadi serta pelaporannya. Domain proses DSS03.02 diperoleh rata-rata tingkat kematangan

yaitu 3.40 memastikan masalah yang terjadi telah dicatat (log kejadian). Domain proses

DSS03.03 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan masalah yang

terjadi pada SIPKD diselidiki dan mendiagnosa akar penyebab masalah yang sering terjadi.

Domain proses DSS03.04 diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan

adanya laporan mengenai kesalahan – kesalahan pada pelaksanaan SIPKD yang telah

teridentifikasi serta usulan solusi penyelesainnya. Domain proses DSS03.05 diperoleh rata-

rata tingkat kematangan yaitu 3.60 memastikan adanya manajemen terhadap masalah

terutama laporan kejadian yang terjadi maupun identifikasi adanya muncul perubahan

masalah.

4) Domain Proses DSS04 (Mengelola Keberlanjutan)


Kematangan

DSS04.01 Menentukan kebijakan kelangsungan bisnis, tujuan, ruang lingkup 3.40

DSS04.02 Mempertahankan strategi kesinambungan 3.60

DSS04.03 Mengembangkan dan menerapkan respon kelangsungan bisnis 3.60

DSS04.04 pelatihan, menguji, dan meninjau BCP 3.40

DSS04.05 Ulasan, memelihara, meningkatkan rencana kesinambungan 3.50

DSS04.06 Melakukan pelatihan rencana kesinambungan 3.10

DSS04.07 Mengelola pengaturan cadangan 3.80

DSS04.08 Melakukan kajian post-resumption 3.50





pada level 3 (Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan

maupun pemeliharaan secara berkelanjutan. Pada domain DSS04.01 diperoleh rata-rata

tingkat kematangan yaitu 3.40 memastikan informasi dari SIPKD sesuai dengan pemenuhan

tujuan organisasi. Domain proses DSS04.02 diperoleh rata-rata tingkat kematangan yaitu

3.60 memastikan adanya evaluasi pada permasalahan penggunaan SIPKD untuk strategi

dalam menghadapi kemungkinan terjadi gangguan atau masalah lainnya. Domain proses

DSS04.03 diperoleh rata-rata tingkat kematangan yaitu 3.60 memastikan adanya penilaian

kemampuan layanan SIPKD pada kondisi saat ini dalam pemenuhan kebutuhan organisasi

berkelanjutan. Domain proses DSS04.04 diperoleh rata-rata tingkat kematangan yaitu 3.40

memastikan penanganan gangguan maupun kendala pada SIPKD ditangani sesuai dengan

perencanaan yang telah ditentukan oleh organisasi. Domain proses DSS04.05 diperoleh rata-

rata tingkat kematangan yaitu 3.50 memastikan adanya pengujian kemampuan/kinerja SIPKD

secara berkala untuk memastikan Kesesuaian, kecukupan dan efektivitas sesuai dengan

kebutuhan organisasi. Domain proses DSS04.06 diperoleh rata-rata tingkat kematangan yaitu

3.10 memastikan staff IT pada SIPKD telah mendapat pelatihan mengenai prosedur, peran

dan tanggung jawab masing – masing jika terjadi gangguan atau masalah. Domain proses

DSS04.07 diperoleh rata-rata tingkat kematangan yaitu 3.80 memastikan adanya backup yang

dilakukan oleh staff IT untuk informasi penting pada SIPKD. Domain proses DSS04.08

diperoleh rata-rata tingkat kematangan yaitu 3.50 memastikan adanya peninjauan dimulainya

kembali kinerja layanan SIPKD setelah sebelumnya mengalami gangguan

5) Domain Proses DSS05 (Mengelola Layanan Keamanan)


Kematangan

DSS05.01 Melindungi terhadap malware 3.70

DSS05.02 Mengelola jaringan dan keamanan konektivitas 3.50

DSS05.03 Mengelola keamanan endpoint 3.30

DSS05.04 Mengelola identitas pengguna dan akses logis 3.40

DSS05.05 Mengelola akses fisik ke aset TI 3.10

DSS05.06 Mengelola dokumen sensitif dan perangkat output 3.0

DSS05.07 Memonitor infrastruktur untuk event security-related 4.20



Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS05 didapatkan

rata–rata tingkat kematangan (Capability Level) yaitu 3.46 menunjukan berada pada level 3

(Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan pada layanan

keamanan. Pada domain DSS05.01 diperoleh rata-rata tingkat kematangan yaitu 3.70

memastikan Telah dilakukan perlindungan terhadap kemungkinan software dapat terserang

virus (malware). Domain proses DSS05.02 diperoleh rata-rata tingkat kematangan yaitu 3.50

memastikan Keamanan dan konektivitas jaringan pada BKD mendukung kinerja SIPKD.

Domain proses DSS05.03 diperoleh rata-rata tingkat kematangan yaitu 3.30 memastikan

Adanya informasi ketika ada perangkat yang ingin terhubung dengan jaringan SIPKD.

Domain prsoses DSS05.04 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan

semua pengguna SIPKD dikenali secara unik dan memiliki hak akses sesuai dengan peran

bisnis masing – masing. Domain prsoses DSS05.05 diperoleh rata-rata tingkat kematangan

yaitu 3.10 memastikan Ruangan staff IT yang menangani SIPKD diawasi, dipantau

membatasi semua orang yang masuk pada ruangan tersebut. Domain prsoses DSS05.06

diperoleh rata-rata tingkat kematangan yaitu 3.0 memastikan Output dokumen SIPKD yang

terhubung dengan aset TI (printer) diawasi dan diamankan dalam penggunaannya. Domain

proses DSS05.07 diperoleh rata-rata tingkat kematangan yaitu 4.20 memastikan adanya

pengawasan akses yang tidak sah (staff non IT), memastikan setiap kegiatan yang dilakukan

terekam sebagai log peristiwa.

6) Domain Proses DSS06 (Mengelola Kontrol – Kontrol Proses Bisnis)


Kematangan

DSS06.01 Menyelaraskan kegiatan pengendalian tertanam dalam proses bisnis dengan tujuan organisasi 3.20

DSS06.02 Mengontrol pengolahan informasi 3.50

DSS06.03 Mengelola peran, tanggung jawab, hak akses dan tingkat otoritas. 3.20

DSS06.04 Mengelola kesalahan dan pengecualian 3.20

DSS06.05 Memastikan ketertelusuran informasi acara dan akuntabilitas 3.50

DSS06.06 Mengamankan aset informasi 3.40



Tingkat kematangan dari penilaian terhadap 11 responden pada domain DSS06 didapatkan

rata–rata tingkat kematangan (Capability Level) yaitu 3.33 menunjukan berada pada level 3

(Established Process). Artinya aktifitas telah dilakukan mencakup pengelolaan kontrol

terhadap proses bisnis. Pada domain proses DSS06.01 diperoleh rata-rata tingkat kematangan

3.20 memastikan adanya monitoring pelaksanaan kegiatan proses bisnis terkait dengan

SIPKD, untuk memastikan proses yang dilakukan selaras dan sesuai dengan kebutuhan

organisasi. Domain proses DSS06.02 diperoleh rata-rata tingkat kematangan yaitu 3.50

memastikan adanya pengendalian Informasi yang diproses pada SIPKD memastikan bahwa

pemrosesan informasi valid, lengkap, akurat, tepat waktu, dan aman. Domain proses

DSS06.03 diperoleh rata-rata tingkat kematangan yaitu 3.20 memastikan Tugas, Peran dan

tanggung jawab staff IT SIPKD diawasi oleh organisasi. Domain proses DSS06.04 diperoleh

rata-rata tingkat kematangan yaitu 3.20 memastikan adanya pengecualian proses bisnis

dengan menyertakan alasan kesalahan dan pelaksanaan tindakan perbaikan akibat kesalahan

input pada SIPKD. Domain proses DSS06.05 diperoleh rata-rata tingkat kematangan yaitu

3.50 memastikan Ketersediaan data, informasi yang diolah pada SIPKD dapat ditelusuri

sesuai dengan proses bisnis dan bertanggung jawab memberikan kepastian bahwa informasi

yang diterima telah diolah serta dapat mendorong proses bisnis. Domain proses bisnis

DSS06.06 diperoleh rata-rata tingkat kematangan yaitu 3.40 memastikan adanya persetujuan

dan pengamanan penggunaan aset TI di BKD untuk mengakses SIPKD, termasuk perangkat

penyimpanan apapun.

4.2 Hasil AnalisisTingkat Kematangan (Capability Level)

Berdasarkan perolehan tingkat kematangan (Capability Level) tiap-tiap domain proses

DSS didapatkan hasil analisis rata-rata capability level yaitu 3.43 menunjukan berada pada

level 3 Established Process. Artinya aktifitas-aktifitas pada SIPKD sudah dilaksanakan,

aktifitas disesuaikan menurut standar (SOP/kebijakan/aturan), serta memiliki alokasi

tanggung jawab dan sumber daya yang tepat.

Rata-rata Capability Level Pembulatan Capability

Level

Aktifitas Proses Deskripsi Aktifitas

Level Existing

Level Target

Level Existing

Level Target

DSS01 Mengelola Operasi 3.46 4.46 3 4

DSS02 Mengelola permintaan layanan dan mengelola insiden 3.43 4.43 3 4

DSS03 Mengelola masalah 3.42 4.42 3 4

DSS04 Mengelola keberlanjutan 3.49 4.49 3 4

DSS05 Mengelola Layanan Keamanan 3.46 4.46 3 4

DSS06 Mengelola kontrol - kontrol proses bisnis 3.33 4.33 3 4

Rata - Rata tingkat kematangan 3.43 4.43 3 4

Tabel 7. Tingkat Kematangan (Capability Level)

Berikut merupakan tingkat kematangan (Capability Level) yang diperoleh berdasarkan proses

audit yang telah dilakukan,

Gambar 4. Level Existing dan Level Target

Pada gambar 4 dapat diketahui bahwa level existing pada Badan Keuangan Daerah (BKD)

kota Salatiga berada pada level 3 Establish Process.

4.3 Penyusunan Rekomendasi

Berdasarkan analisis hasil tingkat kematangan (capabilty level) diperoleh kondisi

existing dan dibuatkan rekomendasi setiap proses domain DSS untuk mencapai level 4.

Tabel 8. Rekomendasi DSS01 Mengelola Operasi

DSS01 Mengelola Operasi

DSS01.01 Mengelola layanan TI outsourcing

Kondisi Existing Rekomendasi

Adanya Pengelolaan fasilitas penunjang

SIPKD (fasilitas TI) terhadap resiko –

resiko yang bisa ditimbulkan pada

lingkungan TI (kerusakan, bencana alam,

dll).

Dilakukan monitoring dari waktu ke waktu

dan analisis terhadap pemeliharaan fasilitas

TI yang telah dilakukan untuk menghasilkan

layanan TI (SIPKD) yang optimal

kedepannya.

DSS01.04 Mengelola Lingkungan


Pengelolaan lingkungan TI, termasuk pusat

data dan tempat penyimpanan data telah

ditentukan sesuai dengan kebijakan

organisasi.

Mempertahankan kepatuhan terhadap

kebijakan dan prosedur yang telah

ditetapkan dalam pengendalian lingkungan

TI serta melakukan pengukuran pengaruh

kebijakan organisasi terhadap kinerja yang

dihasilkan.

Tabel 9. Rekomendasi DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden

DSS02 Mengelola Permintaan Layanan dan Mengelola Insiden

DSS02.04 Menyelidiki, Mendiagnosa dan Mengalokasikan Insiden


Terdapat gejala penyebab insiden yang

mungkin terjadi pada SIPKD serta upaya

penyelesaiannya.

Dilakukan dokumentasi pencatatan

kemungkinan gejala insiden dan solusi

penanganan kedepannya.

DSS02.05 Menyelesaikan dan Memulihkan Insiden


Terdapat pencatatan, pelaporan terhadap

tindakan pemulihan layanan SIPKD.

Dilakukan dokumentasi pencatatan

pengujian solusi yang teridentifikasi untuk

tindakan pemulihan layanan TI.

Tabel 10. Rekomendasi DSS03 Mengelola Masalah

DSS03 Mengelola Masalah

DSS03.01 Identifikasi dan klasifikasi masalah.


Adanya indentifikasi masalah pada SIPKD

dan prosedur pelaporannya.

Dilakukan penentuan kriteria masalah, level

prioritas masalah beserta pelaporannya

untuk menentukan penindakan selanjutnya.

DSS03.02 Menyelidiki dan mendiagnosa masalah.


Terdapat analisis terhadap penyebab

masalah yang sering terjadi pada SIPKD.

Dilakukan dokumentasi pencatatan segera

setelah terjadinya masalah pada SIPKD dan

identifikasi akar penyebab masalah untuk

solusi kedepannya.

Tabel 11. Rekomendasi DSS04 Mengelola Keberlanjutan

DSS04 Mengelola keberlanjutan

DSS04.04 Pelatihan, Menguji, dan Meninjau BCP.


Staff IT dalam menangani gangguan

maupun kendala pada SIPKD ditangani

sesuai tugas yang ditentukan oleh

organisasi.

Membuat dokumentasi dan melakukan

monitoring serta analisis terhadap hal-hal

yang harus dikerjakan

DSS04.06 Melakukan Pelatihan Rencana kesinambungan.


Staff IT yang terlibat pada SIPKD mendapat

pelatihan mengenai prosedur, peran dan

tanggung jawab masing – masing jika

terjadi gangguan atau masalah.

Dilakukan monitoring, kualifikasi dan

pelatihan berkelanjutan dalam

mempertahankan kompetensi, keterampilan

untuk memenuhi tujuan organisasi

kedepannya.

Tabel 12. Rekomendasi DSS05 Mengelola Layanan Keamanan

DSS05 Mengelola Layanan Keamanan

DSS05.05 Mengelola akses fisik ke aset TI


Ruangan staff IT yang menangani SIPKD

diawasi, dipantau membatasi semua orang

yang masuk pada ruangan tersebut.

Membuat dokumentasi penilaian resiko

kemungkinan masalah keamanan termasuk

akses masuk dalam keadaan darurat, setiap

akses masuk dimonitor, dan dicatat berlaku

untuk semua orang termasuk staff, klien,

pihak ketiga maupun pengunjung.

DSS05.06 Mengelola Dokumen Sensitif dan Perangkat Output


Kurangnya pengawasan terhadap Output

dokumen SIPKD yang terhubung dengan

perangkat TI (printer) maupun perangkat

sensitif lainnya.

Dibuatkan kebijakan terhadap device yang

boleh mengakses pada perangkat TI.

Tabel 13. Rekomendasi DSS06 Mengelola Kontrol - Kontrol Proses Bisnis

DSS06 Mengelola kontrol - kontrol Proses Bisnis

DSS06.01 Menyelaraskan Aktifitas-aktifitas yang Ada Dengan Tujuan Organisasi


Sudah dilakukan penilaian pelaksanaan

kegiatan proses bisnis terkait dengan

SIPKD, untuk memastikan proses yang

dilakukan selaras dan sesuai dengan

kebutuhan organisasi.

Dibuatkan dokumentasi terhadap kontrol

aktifitas terkait dengan SIPKD kemudian

dinilai dan dimonitoring.

DSS06.03 Mengelola Peran, Tanggung Jawab, Hak Akses dan Tingkat Otoritas


Tugas, Peran dan tanggung jawab staff IT

pada SIPKD belum diawasi secara optimal

oleh organisasi.

Tugas, tanggung jawab, kewenangan

dikelola, didokumentasi dan diawasi akses

terhadap aset informasi terkait informasi

perusahaan/organisasi termasuk staff IT

maupun pihak ketiga.

5. Simpulan

Telah dilakukan audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD)

menggunakan COBIT 5 domain DSS dengan melakukan obsevarsi, wawancara serta

dilakukan pengisian kuisioner dengan tujuan menilai tingkat kematangan (Capability Level ),

serta menilai kesesuian domain DSS pada aktifitas yang dilakukan terkait dengan SIPKD.

Berdasarkan perolehan rata-rata tingkat kematangan (capability level) pada proses DSS01,

DSS02, DSS03, DSS04, DSS05 dan DSS06 yaitu berada pada level 3 Established Process.

Dari hasil pengukuran tingkat kematangan (capability Level), diperoleh kondisi existing dan

penyusunan rekomendasi untuk aktifitas dengan skala terendah agar dapat mencapai level 4

sebagai perbaikan untuk kedepannya.

6. Saran

Berikut merupakan saran yang dapat disampaikan dalam penelitian ini yaitu :

1) Penelitian ini dapat dilakukan dengan domain-domain yang lain pada COBIT 5 yaitu

EDM, APO, BAI dan MEA.

2) Dapat dilakukan audit layanan sistem informasi yang lain pada Badan Keuangan

Daerah (BKD) kota Salatiga yaitu SIMBADA.

7. Daftar Pustaka

[1] COBIT 5 Process Assessment Model (PAM). 2013. Copyright ISACA.

[2]

ISACA Journal Volume 5, 2013. Understanding the Core Concepts in COBIT

5.

[3] Adi Nuratmojo dkk, Penerapan COBIT 5 Domain DSS (Deliver, Service,

Support) untuk Audit Infrastruktur Teknologi Informasi FMS PT Grand

Indonesia, Program Studi S1 Teknik Informatika School of Computing,

Telkom University, Bandung.

[4] [5]

Sepita Sari dkk, 2014, Penerapan Framework Cobit 5 Pada Audit Tata Kelola

Teknologi Informasi di Dinas Komunikasi dan Informatika Kabupaten OKU,

Universitas Bina Darma, Palembang.

Titus Kristanto dkk, 2016, Analisis Tingkat Kematangan E-Goverment

Menggunakan Framework COBIT 5 (Studi Kasus : Dinas Perdagangan dan

Perindustrian Kota Surabaya), Program Studi Teknik Informatika Institut

Teknologi Adhi Tama, Surabaya.

[6] Rio Kurnia dkk, 2014, Audit Teknologi Informasi Menggunakan Framework

COBIT 5 pada Domain (Delivery, Service, and Support) (Studi Kasus :

iGracias Telkom University), Program Studi Teknik Informatika Telkom

University, Bandung.

Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD...

Documents

Transcript of Audit Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD...