See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/323998144

AUDIT TATA KELOLA TI DI PERUSAHAAN (STUDI KASUS XYZ CARGO)

Conference Paper · March 2018

CITATIONS READS

3 2,982

1 author:

Johanes Andry
Universitas Bunda Mulia
70 PUBLICATIONS   119 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Journal View project

Audit Zahir View project

All content following this page was uploaded by Johanes Andry on 25 March 2018.

The user has requested enhancement of the downloaded file.

Seminar Nasional Teknologi Informasi 2016
AUDIT TATA KELOLA TI DI PERUSAHAAN
(STUDI KASUS XYZ CARGO)
Johanes Fernandes Andry
Sistem Informasi, Universitas Bunda Mulia
Jl. Lodan Raya Ancol No. 2, Jakarta 14430 Indonesia
email : jandry@bundamulia.ac.id
ABSTRACT
Established in 2001, XYZ Cargo, a Freight
Forwarder and a Service Company specialized in the
logistic transportation, located in Jakarta. Experience in
both ocean freight and air freight service which more
than sixty agents of partnership around the world. XYZ
Cargo has implemented Information Technology (IT).
Business organizations undergo different types of audits
for different purposes. An IT audit focuses on the
computer-based aspects of an organization’s
information system and modern systems employ
significant levels of technology.
The purpose of this research is to get an overview of
the performance of information technology governance
in order to determine the extent of maturity level in the
XYZ Cargo which is currently running, with a few
aspects to consider such as effectiveness, efficiency,
functional unit of information technology within an
organization. Implementing IT governance, however, is
a challenge to organizations. To ensure IT alignment
with business goals use standard COBIT. The analytical
tool used is the standard procedure COBIT issued by
ISACA. In this paper the method to be used is COBIT 4.1
is focused on the domain of AI (Acquire Implement) and
DS (Delever Support).
Key words
IT Governance, COBIT 4.1, AI & DS
1. Pendahuluan
XYZ Cargo adalah perusahaan yang bergerak
dibidang jasa pengiriman barang atau logistic. Jasa
pengiriman barang yang dilakukan melalui darat, laut dan
udara. XYZ Cargo berkomitmen untuk mengutamakan
kepercayaan dan kepuasan sebagai kunci kesuksesan,
dengan dedikasi Manajemen dan staff dalam memenuhi
kebutuhan dan harapan pelanggan. Saat ini banyak
bermunculan jenis usaha yang sama, hal ini tentunya
memperketat persaingan, baik dari sisi kualitas pegiriman
barang sampai kepada kualitas pelayanan terhadap
konsumen. Untuk Memastikan kualitas dan layanan yang
diberikan oleh XYZ Cargo dapat terarah dan selaras
dengan tujuan bisnis perusahaan, maka diterapkan tata
1
B1
kelola teknologi informasi. Tata kelola teknologi
informasi (Bahasa Inggris: IT governance) adalah suatu
cabang dari tata kelola perusahaan yang terfokus pada
sistem teknologi informasi (TI) serta manajemen kinerja
dan risikonya. Meningkatnya minat pada tata kelola TI
sebagian besar muncul karena adanya prakarsa
kepatuhan (seperti Sarbanes-Oxley di Amerika Serikat
dan Basel II di Eropa) serta semakin diakuinya
kemudahan proyek TI untuk lepas kendali yang dapat
berakibat besar terhadap kinerja suatu organisasi [1].
Tata kelola TI merupakan tanggung jawab pihak
manajemen didalam suatu organisasi, sehingga
bagaimana TI bisa menjadi lebih efisien dan efektif
dalam mendukung proses bisnis yang dijalankan tersebut
[2].
Tujuan dari penelitian ini adalah mendapatkan
gambaran mengenai kinerja dari tata kelola teknologi
informasi di perusahaan XYZ Cargo yang sedang
berjalan saat ini, dengan beberapa aspek yang
diperhatikan seperti: efektivitas (effectiveness), efisiensi
(efficiency), unit fungsional teknologi informasi pada
suatu organisasi, data integrity, saveguarding assets,
realibility, confidentiality, availability, dan security.
Manfaat dari penelitian ini adalah untuk mengetahui
tingkat maturity level tata kelola teknologi informasi
pada XYZ Cargo menggunakan cobit 4.1, fokus pada
domain AI (Acquire Implement) dan DS (Delever
Support).
2. Tinjauan Pustaka
2.1 Audit
Sarno (2009) mendefinisikan audit sebagai proses
sistematis yang dilakukan dengan memperhatikan
keobyektifan dari pihak kompeten dan independen dalam
perolehan dan penilaian bukti-bukti terhadap
tuntutantuntutan yang yang terkait dengan hal-hal atau
kejadian. Tujuan dari audit adalah untuk menentukan dan
melaporkan tingkat kesamaan antara informasi yang
dinilai dengan ukuran atau kriteria yang ada (Surendro,
2005) [3], [9], [10].
Audit SI/TI dalam kerangka kerja COBIT lebih
sering disebut dengan istilah IT Assurance ini bukan
B1 Seminar Nasional Teknologi Informasi 2016

hanya dapat memberikan evaluasi terhadap keadaan tata Efisiensi Memfokuskan pada ketentuan informasi
kelola Teknologi Informasi di XYZ Cargo tetapi dapat melalui penggunaan sumber
juga memberikan masukan yang dapat digunakan untuk daya yang optimal.
perbaikan pengelolaannya di masa yang akan datang [4]. Kerahasiaan Memfokuskan proteksi terhadap
Audit Sistem Informasi adalah proses untuk mengumpu informasi yang penting dari orang yang
lkan dan mengevaluasi bukti dalam menentukan apakah tidak memiliki hak otorisasi.
sistem informasi telah dibangun sehingga memelihara Integritas Berhubungan dengan keakuratan dan
integritas data, menjaga aset, membuat sasaran organisasi kelengkapan informasi sebagai
dapat tercapai secara efektif, dan menggunakan sumber kebenaran yang sesuai dengan harapan
daya yang efisien [5]. dan nilai
bisnis.
2.2 COBIT Framework Ketersediaan Berhubungan dengan informasi yang
tersedia ketika diperlukan dalam proses
Contol Objective for Information and Related bisnis sekarang dan yang akan datang.
Technologi (COBIT) memberikan kebijakan yang jelas Kepatuhan Sesuai menurut hukum, peraturan dan
dan praktik yang baik dalam tata kelola teknologi dengan rencana perjanjian untuk proses bisnis.
membantu Manajemen senior dalam memahami dan Keakuratan Berhubungan dengan ketentuan
mengelola risiko yang terkait dengan tata kelola informasi kecocokan informasi untuk manajemen
teknologi informasi dengan cara memberikan kerangka
mengoperasikan entitas dan mengatur
kerja tata kelola teknologi informasi dan panduan tujuan
pelatihan
pengendalian terinci / detailed control objective bagi
keuangan dan kelengkapan laporan
pihak manajemen, pemilik proses bisnis, pengguna dan
pertanggungjawaban.
juga auditor [6].
Framework tata kelola TI Cobit 4.1 berorientasi pada
Pada Gambar 1. Boundaries of Business, General and
bagaimana menghubungkan tujuan bisnis dengan tujuan
Application Controls, Framework COBIT
TI, menyediakan metrik dan maturity model untuk
menggambarkan antara business dan aplikasi [11], [12],
mengukur pencapaiannya, dan mengidentifikasi tanggung
[13].
jawab terkait bisnis dan pemilik proses TI [7].
Sumberdaya TI merupakan suatu elemen yang sangat
disoroti COBIT, termasuk pemenuhan kebutuhan bisnis
terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan,
ketersediaan, kepatuhan pada kebijakan/aturan dan
keandalan informasi (effectiveness, efficiency,
confidentiality, integrity, availability, compliance, dan
reliability), untuk lebih detil lihat Tabel 1. Kriteria Kerja
COBIT [8]. COBIT menyediakan langkah-langkah
praktis terbaik yang dapat diambil dan lebih difokuskan
pada pengendalian (control), yang selanjutnya dijelaskan
dalam tahap dan framework proses. Manfaat dari
langkah-langkah praktis terbaik yang dapat diambil
tersebut antara lain:
 Membantu mengoptimalkan investasi teknologi
informasi yang mungkin dapat dilakukan.
 Menjamin pengiriman service.
Framework COBIT 4.1, secara keseluruhan terdiri Gambar 1. Boundaries of Business, General and Application Controls
dari 4 domain yatiu PO (Plan & Organized), AI, (Aquire (sumber: IT Governance Institute., 2007)
& Implement), DS (Deliver & Support) dan ME (Monitor
& Evaluated) dan berisi 34 macam proses aktifitas dari
domain-domain tersebut. 2.3 Maturity Level
Adapun generic maturity model yang digunakan
Tabel 1 Kriteria kerja COBIT (sumber: Surbakti, Herison., 2012) adalah
Efektifitas Untuk memperoleh informasi yang  0 Non-existent – tidak ada sama sekali proses yang
relevan dan berhubungan dengan terlihat. Perusahaan belum menyadari bahwa ada
proses bisnis seperti penyampaian masalah yang harus dikaji.
informasi dengan benar, konsisten, dapat  1 Initial/Ad Hoc – Ada bukti bahwa perusahaan
dipercaya dan tepat waktu. telah menyadari ada masalah yang ada dan harus

2
Seminar Nasional Teknologi Informasi 2016 B1

dikaji namun belum ada standarisasi. Tetapi, ada

pendekatan ad hoc yang cenderung diaplikasikan
sesuai kasus. Pendakatan manajemen secara umum
tidak terstruktur.
 2 Repeatable but Intuitive – Proses telah
dikembangkan pada tahap dimana prosedur yang
mirip telah diikuti oleh bermacam-macam orang
yang melaksanakan tugas ini. Tidak ada training
atau komunikasi secara formal tentang prosedur
standard dan tanggung jawabnya jatuh pada
individu. Ada ketergantungan yang tinggi pada
individu dan sering terjadi error.
 3 Defined Process – Prosedur telah terstandarisasi
dan terdokumentasi, dan komunikasi lewat training.
Merupakan keharusan bahwa proses tersebut harus
diikuti. Tetapi, sedikit deviasi yang terjadi.
Prosedur tersebut tidak rumit tetapi formalisasi dari Gambar 3. Diagram Alir Wawancara
practice yang sekarang
 4 Managed and measurable – manajemen
memantau dan mengukur kesesuaian dengan
prosedur dan mengambil tindakan dimana proses
terlihat tidak berjalan efektif. Proses dikembangkan
secara berkelanjutan dan memberikan practice yang
baik. Otomasi dan alat bantu digunakan dalam cara
yang terbatas dan terpecah-pecah.
 5 Optimised – proses telah dirancang sampai
tingkat pelaksanaan yang baik, berdasarkan hasil
dari pengembangan berkelanjutan dan maturity
modelling dengan perusahaan lain. IT digunakan
dalam cara terintegrasi untuk mengotomasikan alur
kerja, menyediakan alat bantu untuk meningkatkan
kualitas dan efektivitas, membuat perusahaan
mudah diadaptasi.

3. Metodologi Penelitian
Metodologi penelitian yang dilakukan dan tahapan-
tahapan penulis dalam mengambil ataupun memperoleh
data dari sumber, mulai dari survei awal, wawancara dan
kuisioner ditujukan pada Gambar 2. Diagram Alir
Penelitian, Gambar 3. Diagram Alir Wawancara dan
Gambar 4. Diagram Alir Kuesioner.
Gambar 4. Diagram Alir Kuisioner
4. Hasil Evaluasi Audit Tata Kelola TI
Bagian ini, penulis akan membahas general control
dengan pendekatan COBIT 4.1 framework pada XYZ
Cargo. Disini, penulis akan menganalisa lebih mendalam
kepada lingkungan yang terjadi didalam IT departemen,
mulai dari karyawan, perlengkapan, keamanan fisik,
regulasi, dan sebagainya.

4.1 ACQUIRE AND IMPLEMENT (AI)

Gambar 2. Diagram Alir Penelitian
Dalam merealisasikan semua yang telah di
rencanakan, solusi dari tahap plan and organise harus
diidentifikasikan, dikembangkan atau dipelajari
sebagaimana diimplementasikan dan diintegrasikan
kedalam proses bisnis di XYZ Company (yang selanjutya
akan disebut XC). Semua perawatan dan perubahan
sistem dalam perusahaan juga terdapat didapat tahap ini.

3
B1
Rekomendasi atau expected maturity level dari AI yang
diharapkan dari level ini adalah 4 yaitu Managed and
measurable.
4.1.1 Hasil AI1 Identifikasi solusi-solusi
otomatis
XC menyadari pentingnya tahap ini, karena XC
bergerak dibidang logistic. Kebutuhan untuk aplikasi
atau fungsi yang baru memerlukan analisa sebelum
memperoleh atau membuatnya yang digunakan untuk
menjamin bahwa keperluan bisnis akan terpenuhi di
dalam pendekatan yang efektif dan efisien. Proses ini
mencakup definisi dari kebutuhan, pertimbangan dari
beberapa sumber alternatif, tinjauan terhadap
kemungkinan secara ekonomi dan teknologi, pemutusan
analisa resiko dan analisa cost benefit, serta kesimpulan
dari keputusan yang untuk untuk membeli aplikasi.
Semua tahapan ini, memungkinkan organisasi untuk
meminimalkan biaya dalam memperoleh dan
menerapkan solusi yang dapat menjamin bahwa mereka
mendukung bisnis dalam pencapaian tujuannya. Dari
penjelasan diatas, XC disimpulkan bahwa untuk proses
AI1 yaitu Identifikasi solusi-solusi otomatis, rata-rata
berada dilevel 3.1, Defined Process.
4.1.2 Hasil AI2 Mendapatkan dan memelihara
perangkat lunak
XC telah menyadari pentingnya pengelolaan dan
pemeliharaan aplikasi yang sudah dimiliki. Tetapi
selurah pengelolaan dan pemeliharaan aplikasi
ditentukan oleh orang-orang tertentu dari IT departemen
dan ada beberapa aplikasi yang juga hanya di mengerti
oleh orang-orang tertentu di IT departemen. Aplikasi
telah tersedia sesuai dengan keperluan bisnis. Proses-
proses ini mencakup rancangan aplikasi, penempatan
yang sesuai untuk keperluan keamanan dan kontrol
aplikasi, serta susunan dan perkembangan terbaru yang
sesuai dengan standar. Hal ini mengijinkan organisasi
untuk mendukung operasi bisnis yang sesuai dengan
aplikasi otomatisasi yang telah dikoreksi. Dari penjelasan
diatas, XC disimpulkan bahwa untuk proses AI2 yaitu
Mendapatkan dan memelihara perangkat lunak aplikasi,
rata-rata berada dilevel 2.9, Repeatable But Intuitive.
4.1.3 Hasil AI3 Mendapatkan dan memelihara
infrastruktur teknologi
XC telah memiliki proses-proses untuk memperoleh,
mengimplementasikan, dan memperbaharui teknologi
infrastruktur yang dimiliki. Proses ini memerlukan suatu
pendekatan yang terencana dalam hal memperoleh,
merawat dan melindungi infrastruktur agar sesuai dengan
strategi teknologi dan ketentuan pengembangan serta
percobaan terhadap lingkungan sekitarnya yang telah
disetujui. Hal ini menjamin bahwa teknologi secara
terus-menerus akan dapat mendukung aplikasi
bisnis.Semua proses penetapan dan pemeliharaan
4
Seminar Nasional Teknologi Informasi 2016
infrastruktur tersebut mendukung kebutuhan kritikal dari
aplikasi bisnis yang diperlukan dan diarahkan pada IT
dan strategi bisnis yang telah ditentukan sebelumnya,
tetapi tidak secara konsisten dilakukan diperusahaaan.
Tetapi untuk penjadwalan atau koordinasi pemeliharaan
tidaklah dilakukan secara terstruktur, tetapi berdasarkan
institusi senior management dalam IT departemen.
Untuk bagian dokumentasinya masih telah dilakukan
secara formal, sebelumnya hanya dilakukan secara
ingatan dan institusi semata. Dari penjelasan diatas, XC
disimpulkan bahwa untuk proses AI3 yaitu Mendapatkan
dan memelihara infrastruktur teknologi, rata-rata berada
dilevel 3.1, Defined Process.
4.1.4 Hasil AI4 Menjalankan operasi dan
menggunakannya
Proses ini memerlukan dokumentasi dan manual
standar yang akan digunakan oleh users dan IT, serta
pelatihan perlu diadakan untuk menjamin aplikasi dan
infrastruktur digunakan serta dijalankan dengan tepat.
XC selalu memberikan pelatihan kepada karyawanyang
nantinya akan menggunakannya, apabila terdapat aplikasi
atau sistem yang baru dan aplikasi atau sistem yang telah
dibuat. XC memiliki dokumentasi atas smua pelatihan
yang diberikan ke karyawannya. Semua pelatihan
diberikan secara informal dan formal untuk yang
melatihnya tentu dari orang-orang tertentu dari IT
departemen yang telah ahli dalam hal tersebut. Untuk
manual standar, beberapa aplikasi telah memilikinya.
Tapi khusus untuk aplikasi fixed asset tentu memiliki
manual book. Dari penjelasan diatas. XC disimpulkan
bahwa untuk proses AI4 yaitu Menjalankan operasi dan
menggunakannya, rata-rata berada dilevel 3.2, Defined
Process.
4.1.5 Hasil AI5 Pengadaan sumber daya TI
IT resource seperti orang, hardware, software dan
service perlu disediakan. Pengadaan IT resource
membutuhkan suatu ketentuan dan cara pelaksanaan,
seperti membuat prosedur pengadaan, melakukan seleksi
vendor, menyusun berdasarkan kontrak dan proses
pengadaan itu sendiri. Hal dilakukan untuk menjamin
bahwa perusahaan mendapatkan semua keperluan IT
resource dalam waktu yang tepat dan sesuai dengan
efisiensi biaya. Untuk hal ini, XC mutlak keputusan
berasal dari senior management. Dalam hal
perekrutannya senior management mempunyai kreteria
dan cara tersendiri dalam menilai resource tersebut layak
masuk kedalam perusahaan atau tidak. Seperti halnya
perekrutan karyawan baru, calon karyawan hanya harus
melewati tahap wawancara dengan senior management
dan apabila menurut senior management bahwa kandidat
pantas masuk maka kandidat akan direkrut. Atau untuk
resource software atau hardware sebelum masuk atau
dibeli perusahaan, ia akan melewati tahap testing dari
orang-orang IT maupun senior management. Dari
penjelasan diatas, XC disimpulkan bahwa untuk proses
Seminar Nasional Teknologi Informasi 2016 B1

AI5 yaitu Pengadaan sumber daya TI, rata-rata berada Tabel 2. Hasil Maturity Acquire and Implement.
dilevel 2.7, Repeatable But Intuitive.
Acquire and Implement (AI) Level
4.1.6 AI6 Hasil Mengelola perubahan AI1 Identifikasi solusi-solusi otomatis 3.1
Semua perubahan meliputi penambahan dan Mendapatkan dan memelihara
perawatan darurat, yang menghubungakan infrastruktur AI2 perangkat lunak 2.9
dan aplikasi dalam lingkungan produksi telah diatur Mendapatkan dan memelihara
secara resmi sesuai dengan aturan yang telah dikontrol. AI3 infrastruktur teknologi 3.1
Perubahan (meliputi prosedur, proses-proses, sistem dan Menjalankan operasi dan
parameter service) harus dikunci, dinilai dan diotorisasi AI4 menggunakannya 3.2
terlebih dahulu sebelum diimplementasikan dan AI5 Pengadaan sumber daya TI 2.7
dilakukan peninjauan terhadap hasil implementasi yang AI6 Mengelola perubahan 2.3
akan dilakukan dan telah direncanakan. Perubahan yang AI7 Instalasi dan akreditasi solusi
dilakukan dalam XC memang masih memasuki tahap AI7 serta perubahan 2.5
tidak resmi atau formal. Biasanya perubahan yang akan AI Rata-rata 2.83
dilakukan itu merupakan keputusan dari senior
management. Meskipun begitu keputusan tersebut selalu
Dari hasil analisa diatas, diperoleh level kematangan
sudah melewati pemikiran yang matang dan terkadang
dari setiap proses yang ada dalam tahap Acquire and
senior management meminta pendapat dari karyawan
Implement (AI) dan proses-prosesnya dapat dilihat pada
lainnya. Tetapi jarang sekali ada dokumentasi yang
Gambar 5 dan Tabel 2 Hasil Maturity Acquire and
dilakukan, meskipun ada mungkin dokumentasi tersebut
Implement.
tidaklah lengkap dan tidak konsisten. Akibatnya
terkadang sering terjadi kecenderungan error apabila
terjadi perubahan. Apabila terjadi hal tersebut maka akan
segera ditanggapi dan diperbaiki secapat mungkin. Dari
penjelasan diatas, XC disimpulkan bahwa untuk proses
AI6 yaitu Mengelola perubahan, rata-rata berada dilevel
2.3, Repeatable But Intuitive.
4.1.7 Hasil AI7 Instalasi dan akreditasi solusi serta
perubahan
Ketika pengembangan sistem yang baru telah selesai
dilakukan maka akan dibutuhkan sistem operasional.
Sistem tersebut memerlukan percobaan yang tepat,
sehingga akan tercipta penyesuaian antara lingkungan
dengan data percobaan yang berhubungan, serta akan Gambar 5. Hasil Maturity Acquire and Implement
ditentukan suatu pemaparan dan instruksi tentang
keringanan resiko, dan akan dikeluarkan suatu 4.2 DELIVER AND SUPPORT (DS)
perencanaan dan promosi yang digunakan untuk
produksi, serta peninjauan post implementation. Hal ini Tahap ini difokuskan pada actual delivery yang
dapat menjamin bahwa operasional dari sistem yang baru diterapkan didalam XC, mulai dari layanan, manajemen
sesuai dengan hasil dan harapan yang telah disetujui. keamanan, support, manajemen data, fasilitas
Aplikasi telah dibeli untuk digunakan dalam perusahaan. operasional, dan sebagainya. Rekomendasi atau expected
maturity level dari DS yang diharapkan dari level ini
Percobaan-percobaan akan dilakukan terhadap sistem
adalah 4 yaitu Managed and measurable.
atau aplikasi baru tersebut. Tetapi percobaan-percobaan
tersebut lebih kearah tidak resmi atau informal dan yang 4.2.1 Hasil DS1 Menetapkan dan Mengatur Tingkat
mencobanya merupakan orang-orang yang ahli dalam Layanan
bidangnya tersendiri. Tidak ada dokumentasi dalam
Komunikasi yang efektif antara IT management dan
proses percobaan ini. Entah aplikasi atau sistem baru ini
konsumen bisnis mengenai service yang diperlukan akan
layak pakai atau jual merupakan keputusan mutlak dari
dibantu dengan adanya dokumentasi dan persetujuan dari
senior management. Dari penjelasan diatas, XC
IT service serta service level yang telah ditentukan
disimpulkan bahwa untuk proses AI7 yaitu Instalasi dan
sebelumnya. Proses ini juga meliputi monitoring dan
akreditasi solusi serta perubahan, rata-rata berada dilevel
adanya laporan yang tepat waktu kepada stakeholders
2.5, Repeatable But Intuitive.
mengenai pencapaian service level. Proses ini dapat
membantu untuk menyesuaikan antara IT service dan
keperluan bisnis yang berhubungan. Dalam hal service
levels, XC selalu memikirkan pelayanan yang selalu

5
B1
diberikan kepada konsumen-konsumennya. Setiap terjadi
perubahan ataupun upgrade dari aplikasi yang mereka
buat, maka seluruh konsumen akan dikabarkan guna
untuk meng-update aplikasinya atau tidak perlu. XC
memiliki minimnya dokumentasi secara formal. Dari
penjelasan diatas disimpulkan bahwa untuk proses DS1
yaitu menetapkan dan mengatur tingkat layanan, rata-rata
berada dilevel 2.3, Repeatable But Intuitive.
4.2.2 Hasil DS2 Pengaturan Layanan Dengan Pihak
Ketiga
Suatu kebutuhan untuk menjamin bahwab service
yang disediakan oleh pihak ketiga sesuai dengan
keperluan bisnis, selain itu juga diperlukan
prosesmanajemen dari pihak ketiga yang lebih efektif.
Proses ini dilakukan dengan cara membuat perjanjian
dengan pihak ketiga, perjanjian tersebut berisi tentang
peraturan, tanggungjawab serta keinginan yang jelas dari
masing-masing pihak, selain itu juga membahas tentang
peninjauan dan monitoring yang akan dilakukan
berkaitan dengan efektifitas dan pemenuhan proses.
Layanan dengan pihak ketiga dalam XC merupakan
orang-orang yang bekerja dengan XC tetapi bersifat
freelance atau pekerja lepas. Orang-orang yang menjadi
pekerja lepas untuk TC merupakan orang-orang yang
sudah dikenal dan sering melakukan kerja sama dengan
TC, sehingga untuk masalah kekompakan atau
kecocokan kerjasama antara TC dengan para pekerja
lepas sudah terjalin dengan baik. Lalu untuk masalah
dokumentasi perjanjian kerja, penjelasan tentang
tanggung jawab, dan lain-lain telah belum
terdokumentasi dengan cukup baik, lebih dominan pada
saling percaya. Dari penjelasan diatas, disimpulkan
bahwa untuk proses DS2 yaitu pengaturan layanan
dengan pihak ketiga, rata-rata berada dilevel 2.4,
Repeatable But Intuitive.
4.2.3 Hasil DS3 Mengatur Kinerja dan Kapasitas
Keperluan untuk mengatur kebutuhan dan kapasitas
IT resources memeerlukan tinjauan proses secara
periodik untuk menilai performance dan kapasitas IT
resources saat ini. Proses ini meliputi peramalan
kebutuhan yang akan datang berdasarkan pada workload,
penyimpanan yang dilakikan dan kemungkinan terhadap
keperluan. Proses ini menyediakan jaminan bahwa
resources informasi dapat mendukung keperluan bisnis
yang akan disediakan secara terusmenerus. Dalam
pengaturan kebutuhan dan kapasitas dari IT resource
yang ada di XC dilakukan secara tidak terencana maupun
terstruktur, itu semua dilakukan dengan intuisi dan
pengalaman dari senior management. Tetapi keputusan
atau tindakan yang dilakukan oleh senior management
masih mengarah kepada IT strategi yang telah
ditentukan. Terkadang pengaturan dengan cara ini sedikit
membahayakan, contohnya seperti pembelian storage
server guna mem-back up data saat kehilangan data telah
terjadi. Dan sekali lagi itu semua terjadi tanpa ada
6
Seminar Nasional Teknologi Informasi 2016
dokumentasi secara baik. Dari penjelasan diatas,
disimpulkan bahwa untuk proses DS3 yaitu mengatur
kinerja dan kapasitas, rata-rata berada dilevel 2.3,
Repeatable But Intuitive.
4.2.4 Hasil DS4 Memastikan Ketersediaan Layanan
Kebutuhan untuk menyediakan IT services yang
berkelanjutan akan memerlukan suatu pengembangan,
perawatan dan percobaan rencana kelancaran IT,
penyimpanan offsite backup serta rencana pelatihan yang
akan dilaksanakan secara berkala. Proses service
berkelanjutan yang efektif akan dapat meminimalkan
kemungkinan dan pengaruh gangguan IT service yang
utama pada fungsi dan proses-proses bisnis. Untuk
pelayanan lanjutan yang diberikan XC kepada konsumen,
harus berdasarkan kesepakatan bersama antara XC
dengan konsumen. Dan untuk aplikasi yang dimiliki
sendiri oleh Perusahaan diatur pelayanannya oleh
individu masing-masing yang berurusan langsung dengan
aplikasi tersebut. Tetapi semua yang diatas tetap
dilakukan berdasarkan keputusan senior management dan
harus sesuai dengan IT strategi. Dan semua juga masih
dilakukan berdasarkan intuisi dan pengalaman dari senior
management. Dari penjelasan diatas disimpulkan bahwa
untuk proses DS4 yaitu memastikan ketersediaan
layanan, rata-rata berada dilevel 2.7, Repeatable But
Intuitive.
4.2.5 Hasil DS5 Memastikan Keamanan Sistem
Kebutuhan untuk merawat integritas informasi dan
melindungi aset-aset IT akan memerlukan proses
manajemen keamanan. Proses ini meliputi penetapan dan
perawatan terhadap peraturan dan tanggungjawab,
kebijakan, standar dan prosedur IT security. Manajemen
keamanan juga termasuk monitoring terhadap sistem
keamanan yang akan dilakukan serta percobaan serta
implementasi tindakan korektif, untuk menentukan
kelemahan atau kecelakaan keamanan yang akan
dilakukan secara berkala. Sistem keamanan telah disadari
benar oleh XC. Untuk aplikasi-aplikasi yang telah dibeli
oleh XC sistem keamanannya dibuat sedemikian rupa
sehingga sulit untuk ditembus dan selalu di protect
dengan login ID. Untuk keamanan infrastruktur yang ada
di XC diperlakukan hamper, seperti ID dan password
pada storage server, wireless, dan lain-lain. Lalu untuk
prosedur dan tanggung jawab keamanan telah
dikomunikasikan dengan baik ke seluruh karyawan XC.
Dari penjelasan diatas, disimpulkan bahwa untuk proses
DS5 yaitu memastikan keamanan sistem, rata-rata berada
dilevel 3.1, Defined Process.
4.2.6 Hasil DS6 Identifikasi dan Biaya Tambahan
Kebutuhan untuk mengadakan sistem yang adil dan
pantas dengan mengalokasikan biaya-biaya IT bagi
bisnis, maka akan diperlukan pengukuran yang akurat
dan adanya persetujuan business users terhadap biaya-
biaya IT yang akan dialokasikan dengan adil. Proses ini
Seminar Nasional Teknologi Informasi 2016
meliputi, membangun dan mengoperasikan sistem yang
dapat menyimpan, mengalokasikan dan melaporkan
biaya-biaya IT untuk service yang dilakukan oleh users.
Dalam permasalahan pengalokasian dana di XC
sepenuhnya dipegang oleh senior management, tapi
senior management juga selalu meminta pendapat kepada
tiap individu yang dananya akan dialokasikan untuk
kebutuhan individu tersebut. Di XC sangat tinggi akan
rasa kejujuran dan kebersamaan, sehingga senior
management memberikan kepercayaan lebih dalam hal
pengalokasian dana untuk kebutuhan masing-masing
individu. Untuk tahap ini terdapat dokumentasi yang baik
dan terstruktur. Tapi dana yang dialokasikan hanya
berdasarkan intuisi dan pengalaman dari masing-masing
individu. Dari penjelasan diatas, XC disimpulkan bahwa
untuk proses DS6 yaitu identifikasi dan biaya tambahan
rata-rata berada dilevel 3.0, Defined Process.
4.2.7 Hasil DS7 Mendidik dan Melatih User
Efektifnya, pendidikan untuk seluruh users dari IT
system, meliputi segala hal yang ada dalam IT dan
keperluan untuk menentukan training yang dibutuhkan
oleh setiap grup users. Sebagai tambahan untuk
menentukan suatu kebutuhan, maka dalam proses ini juga
akan ditentukan dan diputuskan suatu strategi yang
efektif untuk pelatihan dan pengukuran terhadap hasil
yang diperoleh. Di XC diberlakukan sistem training
secara informal dan formal untuk karyawan XC.
Biasanya apabila ada aplikasi baru yang masuk kedalam
TC, maka hal tersebut akan dikomunikasikan dengan
seluruh karyawan. Sedangkan untuk training kepada
users akan bersifat formal dengan perjanjian yang telah
disepakati oleh kedua belah pihak. Ini dilakukan karena
hubungan dengan users merupakan hubungan yang murni
bisnis dan harus dilindungi dengan perjanjian hitam
diatas putih. Dari penjelasan diatas, disimpulkan bahwa
untuk proses DS7 yaitu mendidik dan melatih user rata-
rata berada dilevel 2.4, Repeatable But Intuitive.
4.2.8 Hasil DS8 Mengelola Bantuan Layanan dan
Insiden
Respon yang tepat dan efektif terhadap IT user
queries dan masalah yang timbul, memerlukan
perancangan serta pelaksanaan yang baik dari service
desk dan proses manajemen kecelakaan. Proses ini
meliputi, pemasangan fungsi dari service desk yaitu
registrasi, proses peningkatan kecelakaan, analisa tren
dan akar masalah serta penyelesaiannya. Manfaat bisnis
meliputi peningkatan produktifitas melalui penyelesaian
yang cepat dari user queries. Sementara itu, bisnis dapat
menjawab akar masalah yang ada dengan sistem
pelaporan yang efektif. Terdapat kesadaran dalam hal
service desk function dan incident management process.
Tetapi pertolongan-pertolongan yang dilakukan terhadap
pertanyaan users maupun kendala-kendala users
diberikan secara informal berdasarkan atas pengetahuan
7
B1
individu masing-masing karyawan XC. Ada training dan
komunikasi secara formal dalam standar prosedur dan
tanggungjawab diserahkan untuk individu yang
bersangkutan. Dari penjelasan diatas, disimpulkan bahwa
untuk proses DS8 yaitu mengelola bantuan layanan dan
insiden, rata-rata berada dilevel 2.4, Repeatable But
Intuitive.
4.2.9 Hasil DS9 Mengatur Konfigurasi
Menjamin integritas konfigurasi hardware dan
software, sehingga akan memerlukan penetapan dan
perawatan terhadap keakuratan serta kelengkapan tempat
penyimpanan konfigurasi. Proses ini meliputi
pengumpulan konfigurasi informasi awal, menetapkan
dasar, melakukan verifikasi dan audit konfigurasi
informasi, serta mengupdate tempat penyimpanan
konfigurasi yang dibutuhkan. Manajemen konfigurasi
yang efektif akan memfasilitasi ketersediaan sistem.
Meminimalkan permasalahan produksi dan
menyelesaikan permasalahan yang ada dengan cepat.
Pada tahap ini kebutuhan akan configuration
management telah diakui dalam XC, hanya manajemen
konfigurasi berdasarkan sifatnya, seperti pemeliharaan
inventori, software, hardware, dan lain-lain telah
dikerjakan oleh individu tertentu didalam perusahaaan.
Tetapi tidak ada standar khusus atau tertulis, standar
yang ditetapkan hanya berdasarkan intuisi dan
pengalaman senior management dan pada tahap ini XC
memiliki dokumentasi yang baik. Dari penjelasan diatas,
disimpulkan bahwa untuk proses DS9 yaitu mengatur
konfigurasi, rata-rata berada dilevel 3.1, Defined
Process.
4.2.10 Hasil DS10 Mengelola Masalah
Efektifnya, mengatur suatu masalah akan memerlukan
identifikasi dan klasifikasi dari masalah yang ada.
Menganalisa akar masalah dan adanya penyelesaian
terhadap masalah tersebut. Proses mengatur masalah juga
meliputi identifikasi terhadap rekomendasi yang
diberikan untuk melakukan peningkatan, melakukan
perawatan terhadap catatan permasalahan dan meninjau
status dari tindakan korektif yang diambil. Efektifitas
dari proses untuk mengatur masalah akan dapat
meningkatkan service level, mengurangi biaya dan
meningkatkan kepuasan serta memudahkan konsumen.
Dalam mengatasi masalah di XC hanyalah berdasarkan
intuisi dan pengalaman dari individu masing-masing.
Tidak ada dokumentasi maupun prosedur dalam
penanganan masalah yang terjadi didalam perusahaan
maupun yang terjadi pada perusahaan users. Untuk saat
ini metode ini terbukti lumayan efektif, tetapi mungkin
untuk kedepannya akan menghadapi kendala-kendala
seperti keluarnya orang penting dalam perusahaan,
masalah baru yang belum pernah terjadi, atau kendala
lainnya yang dapat terjadi. Dari penjelasan diatas,
disimpulkan bahwa untuk proses DS10 yaitu mengelola
B1 Seminar Nasional Teknologi Informasi 2016

masalah, rata-rata berada dilevel 2.3, Repeatable But
Intuitive.
4.2.11 Hasil DS11 Mengelola Data
Efektifnya, pengaturan data akan memerlukan
penentuan data yang diperlukan. Proses pengaturan data
juga meliputi penetapan prosedur yang efektif untuk
mengatur media library, backup dan recovery data, serta
media pemusnahan yang tepat. Pengaturan data yang
efektif akan membantu menjamin kualitas, timeliness dan
ketersediaan data bisnis. Didalam XC data merupakan
salah satu hal yang paling fatal, ini semua dikarenakan
Perusahaan tersebut selain menjadi IT Consultant mereka
juga menerima outsourcing payroll yang isinya berupa
seluruh data-data karyawan yang menggunakan produk
mereka. Oleh karena itu, data di XC mendapatkan
perhatian yang lebih, mulai dari disiapkannya storage
server, satu komputer server guna menyimpan data juga,
dan lain-lain. Keamanan data users juga dilindungi oleh
perjanjian hitam diatas putih antara TC dengan para
users dan untuk keamanan data dalam perusahaan dibuat
sedemikian rupa agar dimudah ditembus oleh parah
orang-orang usil. Dan yang mengatur dan mengawasi
seluruh itu semuanya ada ditangan senior management.
Dari penjelasan diatas, disimpulkan bahwa untuk proses
DS11 yaitu mengelola data, rata-rata berada dilevel 3.0,
Defined Process.
4.2.12 Hasil DS12 Mengelola Fasilitas
Perlindungan untuk perlengkapan komputer dan
personil memerlukan rancangan dan pengaturan fasilitas
fisik sebagian besar merupakan tanggungjawab masing-
masing karyawan XC. Ini dikarenakan sebagian besar
karyawan menggunakan laptop untuk bekerja, dan laptop
tersebut sering dibawa pulang guna melanjutkan
pekerjaan dirumah. Untuk masalah dikantor seperti
storage server tidak dilindungi oleh perlindungan fisik
apapun. Didalam perusahaan juga tidak terdapat
perlindungan anti-maling, kebakaran, atau sejenisnya.
Dari penjelasan diatas, disimpulkan bahwa untuk proses
DS12 yaitu mengelola fasilitas, rata-rata berada dilevel
1.5, initial / Ad Hoc.
4.2.13 Hasil DS13 Mengelola Operasi
Pemrosesan data yang akurat dan lengkap akan
memerlukan efektifitas dari manajemen dalam
memproses data dan memelihara hardware. Proses ini
meliputi penentuan prosedur-prosedur dan
kebijakankebijakan operasi untuk mengefektifkan
manajemen dalam menjadwalkan pemrosesan,
melindungi output yang sensitif, memonitor infrastruktur
dan perawatan preventif untuk hardware. Di XC masalah
manajemen operasi seluruhnya dipegang oleh senior
management. Dan penentuan prosedur-prosedur dan
kebijakan-kebijakan yang nantinya akan diberlakukan
didalam perusahaan ditentukan berdasarkan intuisi dan
pengalaman dari senior management tersebut. Pada tahap
ini, XC kembali dihadapkan dengan permasalahan
dokumentasi yang kurang memadai. Dari penjelasan
diatas, disimpulkan bahwa untuk proses DS13 yaitu
mengelola operasi rata-rata berada dilevel 2.2,
Repeatable But Intuitive.

Delivery and Support (DS) Level

Menetapkan dan mengatur tingkat
DS 1 layanan 2.3
Pengaturan layanan dengan pihak
DS 2 ketiga 2.4
DS 3 Mengatur kinerja dan kapasitas 2.3
DS 4 Memastikan ketersediaan layanan 2.7
DS 5 Memastikan keamanan sistem 3.1
DS 6 Identifikasi dan biaya tambahan 3.0
DS 7 Mendidik dan melatih user 2.4
Mengelola bantuan layanan dan
DS 8 insiden 2.4
Gambar 6. Hasil Maturity Deliver and Support
DS 9 Mengatur konfigurasi 3.1
DS10 Mengelola masalah 2.3 Dari hasil analisa diatas, diperoleh level kematangan
DS11 Mengelola data 3.0 dari setiap proses yang ada dalam tahap Deliver and
DS12 Mengelola fasilitas 1.5 Support (DS) dan proses-prosesnya dapat dilihat pada
Gambar 6 dan Tabel 3. Hasil Maturity Deliver and
DS13 Mengelola operasi 2.2
Support.
DS Rata-rata 2.56
fisik yang baik. Proses untuk mengatur lingkungan fisik,
meliputi penentuan keperluan physical sit, pemilihan
fasilitas yang sesuai serta perancangan proses-proses
yang efektif untuk mengawasi faktor-faktor lingkungan
dan mengatur akses fisik. Untuk masalah perlindungan

8
 Seminar Nasional Teknologi Informasi 2016 B1

5. Simpulan Jurnal Teknologi Informasi, Vol . VII Nomor 19, ISSN :

Simpulan yang dapat diambil dari penelitian yang
telah dilakukan adalah sebagai berikut :
 Tata kelola TI pada XYZ Company sudah
dilakukan walaupun masih belum berjalan secara
optimal karena belum mencapai pada tingkat
kematangan yang diharapkan.
 Tingkat kematangan (maturity level) yang ada pada
setiap proses TI yang terdapat dalam domain
Acquire Implement (AI) dan Deliver Support (DS)
rata-rata pada level 2,83 dan level 2,56 dan masih
berada pada level 2 (repeatable but intuitive).
 Proses tata kelola TI di XYZ Company telah
memiliki pola yang berulangkali dilakukan. Di
dalam melakukan manajemen aktivitas terkait
dengan tata kelola teknologi informasi, namun
keberadaannya belum terdefinisi secara baik dan
formal sehingga masih terjadi ketidakkonsistenan.
Saran untuk penelitian ini adalah memberikan pelatihan
COBIT 4.1 atau 5 bagi karyawan yang terlibat dalam
kegiatan evaluasi tata kelola TI, jika memungkinkan di
certified oleh ISACA, dengan CISA (Certified
Information System Auditor)
1907-2430.
[9] Sarno, Riyanarto. , 2009, “Audit Sistem & Teknologi
Informasi” ITS Press, Surabaya.
[10] Surendro, Kridanto., 2005, “Implementasi Tata Kelola
Teknologi Informasi”, Jakarta, Informatika.
[11] IT Governance Institute., 2007, “COBIT 4.1 Framework,
Control Objective, Management Guidelines, Maturity
Models”, Rolling Meadows, IL 60008 USA: ITGI.
[12] Andry, J. F., 2016, “Audit Tata Kelola TI Menggunakan
Kerangka Kerja Cobit Pada Domain DS dan ME di
Perusahaan Kreavi Informatika Solusindo”, Seminar
Nasional Teknologi Informasi dan Komunikasi, pp. 287-
294.
[13] Andry, J. F., 2016, “Audit Sistem Informasi Sumber Daya
Manusia Pada Training Center Di Jakarta Menggunakan
Framework Cobit 4.1”, Jurnal Ilmiah FIFO, vol. VIII,
no.1, pp. 28-34.
Johanes Fernandes Andry, memperoleh gelar S.T dari
Universitas Atma Jaya, Jakarta tahun 1998 dan M.Kom dari
Universitas Budi Luhur, Jakarta tahun 2006. Saat ini sebagai
Staf Pengajar program studi Sistem Informasi Universitas
Bunda Mulia.

REFERENSI
[1] “Tata Kelola Teknologi Informasi”, 2016,
https://id.wikipedia.org/wiki/Tata_kelola_teknologi_infor
masi
[2] “Tata kelola IT Governance”, 2016, https://prezi.com/-
zrcshmj3ne3/tata-kelola-it-it-governance/
[3] Revinggar, Bilqish Nadia., Tanuwijaya Haryanto.,
Mastan, Ignatius Adrian., “Audit Sistem Informasi
Instalasi Rawat Jalan Berdasarkan Perspektif Pelanggan
Balanced Scorecard dan Standar Cobit 4.1 (Studi Kasus:
Rumah Sakit Umum Haji Surabaya)”, Sekolah Tinggi
Manajemen Komputer & Teknik Komputer Surabaya.
[4] Fitrianah, Devi., Sucahyo, Yudho Giri., “Audit Sistem
Informasi/Teknologi Informasi dengan Kerangka Kerja
COBIT untuk Evaluasi Manajemen Teknologi Informasi
di Universitas XYZ” Jurnal Sistem Informasi MTI-UI,
Volume 4, Nomor 1, ISBN 1412-8896.
[5] Maniah., Lestari, Sri., 2008, “Model Audit Sistem
Informasi Akademik Proses Penyampaian dan Dukungan
Pelayanan (Studi Kasus : Universitas Widyatama)”,
Konferensi dan Temu Nasional Teknologi Informasi dan
Komunikasi Untuk Indonesia”, Jakarta.
[6] Harris, Ivan., Tarigan, Muara Laut Adong., Mawlan,
Suwirno., “Analisis Manajemen Risiko Pada
Implementasi Sistem Informasi Keamanan di PT. Pupuk
Sriwidjaja Dengan Framework COBIT 4.1”, STMIK GI
MDP.
[7] Susandi, Bagus Apri., 2014, “Audit Tata Kelola
Teknologi Informasi Menggunakan COBIT 4.1 Pada
PTPN VII Unit Usaha Betung”, Jurnal Teknik
Informatika, Universitas Bina Darma Palembang.
[8] Surbakti, Herison., 2012, “Managing Control Object for
IT (COBIT) Sebagai Standar Framework Pada Proses
Pengelolaan IT-Governance dan Audit Sistem Informasi”,

View publication stats