Embed Size (px)
DESCRIPTION
CObit 4.1
Citation preview
Seminar Nasional Teknik Informatika (SANTIKA 2012)
Teknik Informatika-Fakultas Teknologi Industri Universitas Pembangunan Nasional “Veteran” Jawa Timur
10 Maret 2012. pp 73-77
73
ISSN 2252-3081
MODEL PERHITUNGAN TINGKAT KEDEWASAAN TI
(MATURITY LEVEL) MENGGUNAKAN FRAMEWORK COBIT 4.1
Indri Sudanawati Rozas
Jurusan Sistem Informasi, Fakultas Ilmu Komputer, Universitas Narotama Surabaya, 60117
email : [email protected]
Abstrak: COBIT (Control Objectives for Information and Related Technology) adalah sebuah framework
yang dikembangkan oleh IT Governance Institute (ITGI) yang berbasis di Amerika Serikat. COBIT merupakan
sebuah framework yang tak hanya digunakan sebagai dasar tata kelola, namun juga dapat digunakan sebagai
dasar audit teknologi informasi. COBIT 4.1 adalah versi terakhir yang saat ini sudah dirilis oleh ITGI.
Penggunaan COBIT sebagai framework tata kelola TI sudah banyak dikenal dan diketahui
penggunaannya. Namun pemakaian COBIT sebagai dasar metodologi audit masih belum banyak diketahui.
Salah satu hal mendasar yang masih banyak ditanyakan adalah bagaimana cara menghitung nilai maturity level
TI (tingkat kedewasaan TI) berdasarkan framework COBIT. Untuk itu dalam makalah ini dibahas tentang
metode perhitungan maturity level menggunakan framework COBIT.
Keywords: COBIT, audit, tata kelola, maturity level, level kedewasaan TI.
1. PENDAHULUAN Saat ini penggunaan teknologi informasi
dalam setiap aspek kehidupan sudah tidak dapat lagi
dipisahkan. Penggunaan teknologi informasi yang
efektif dan efisien merupakan cita-cita bagi setiap
organisasi. Untuk itu diperlukan tatakelola sebagai
acuan agar efektivitas dan efisiensi tersebut dapat
dicapai.
Ada beberapa standar dunia tata kelola TI
yang sudah umum digunakan. Masing-masing
memiliki fokus pengembangan dan kelebihan
masing-masing. Salah satu standar yang paling
banyak digunakan adalah COBIT. Hal ini
dikarenakan COBIT memiliki kelebihan dalam hal
kelengkapan instrumen pendukungnya. Namun
kalangan TI yang bisa dikatakan ahli framework
COBIT di Indonesia masih sedikit. Sehingga
sharing informasi mengenai penggunaan COBIT
sebagai framework tatakelola dan audit juga masih
jarang.
Salah satu infromasi mendasar yang masih
banyak belum diketahui oleh masyarakat TI adalah
bagaimana cara menghasilkan nilai maturity level
TI menggunakan COBIT. Padahal pada tahun 2003
Andrea Pederiva melalui jurnal yang diterbitkan
oleh ISACA (Information Systems Audit and
Control Association) telah mempublikasikan
algoritma perhitungan maturity level menggunakan
COBIT [1]. Makalah ini akan membahas algoritma
tersebut disertai ilustrasi dan contoh. Sehingga
diharapkan semakin banyak masyarakat TI
Indonesia yang memahami dan dapat menggunakan
framework COBIT sebagai acuan audit teknologi
informasi.
2. COBIT COBIT merupakan salah satu framework
tatakelola TI yang sudah dikenal luas oleh
masyarakat TI. Keseluruhan konsep framework
COBIT diilustrasikan oleh Gambar 1, dimana
terdapat kubus tiga dimensi yang terdiri dari:
(1) kebutuhan bisnis (business requirements),
(2) sumber daya teknologi informasi (IT resources)
(3) proses teknologi informasi (IT Processes).
Gambar 1. Kubus COBIT [2]
Dalam sudut pandang business requirements
COBIT menyatakan bahwa setiap organisasi
menginginkan proses TI yang berjalan memenuhi
prinsip effectiveness, efficiency, confidentiality,
integrity, availability, compliance, dan reliability.
Untuk memenuhi prinsip tersebut maka seluruh IT
resources yang terdiri dari people, information,
infrastructure, dan applications harus dikelola
dengan baik.
Seminar Nasional Teknik Informatika (SANTIKA)
74
ISSN 2252-3081
Dari sisi manajemen tatakelola TI COBIT
membagi menjadi 4 (empat) buah domain yaitu PO
(plan and organize), AI (acquire and implement),
DS (delivery and support), dan ME (monitor and
evaluate). Keempat domain tersebut terdiri dari 34
(tigapuluh empat) IT Process. Keseluruhan IT
Process tersebut adalah [2]:
1. PO1 Define a Strategic IT Plan
2. PO2 Define the Information Architecture
3. PO3 Determine Technological Direction
4. PO4 Define the IT Processes, Organisation
and Relationships
5. PO5 Manage the IT Investment
6. PO6 Communicate Management Aims and
Direction
7. PO7 Manage IT Human Resources
8. PO8 Manage Quality
9. PO9 Assess and Manage IT Risks
10. PO10 Manage Projects
11. AI1 Identify Automated Solutions
12. AI2 Acquire and Maintain Application
Software
13. AI3 Acquire and Maintain Technology
Infrastructure
14. AI4 Enable Operation and Use
15. AI5 Procure IT Resources
16. AI6 Manage Changes
17. AI7 Install and Ac
18. DS1 Define and Manage Service Levels
19. DS2 Manage Third-party Services
20. DS3 Manage Performance and Capacity
21. DS4 Ensure Continuous Service
22. DS5 Ensure Systems Security
23. DS6 Identify and Allocate Costs
24. DS7 Educate and Train Users
25. DS8 Manage Service Desk and Incidents
26. DS9 Manage the Configuration
27. DS10 Manage Problems
28. DS11 Manage Data
29. DS12 Manage the Physical Environment
30. DS13 Manage Operationscredit Solutions and
Changes
31. ME1 Monitor and Evaluate IT Performance
32. ME2 Monitor and Evaluate Internal Control
33. ME3 Ensure Compliance With External
Requirements
34. ME4 Provide IT Governance
Untuk melakukan audit berbasis COBIT,
auditor harus menilai berapa maturity level/tingkat
kedewasaan masing-masing IT Process berdasarkan
mekanisme audit yang telah dilaksanakan. Nilai
tersebut menggambarkan bagaimana kondisi proses
TI berjalan dalam suatu organisasi. Ketika nilainya
masih rendah maka auditor akan
merekomendasikan perbaikan kontrol sehingga
diperoleh peningkatan nilai kedewasaan TI.
Sebelum melaksanakan audit berbasis
COBIT, auditor harus mempersiapkan pertanyaan
dalam bentuk kuisioner. Beberapa hal yang harus
diketahui oleh auditor terkait kuisioner adalah
sebagai berikut.
2.1. Skenario Pembuatan Pernyataan Untuk membuat pertanyaan dalam kuisioner
tersebut auditor tinggal mengambil pernyataan yang
ada di dalam Maturity Model COBIT. Sebagai
contoh pembuatan pernyataan untuk proses PO10
terdapat pada Gambar 2. Auditor hanya perlu
mengambil setiap kalimat yang terdapat pada
deskripsi Maturity Model pada COBIT sesuai IT
Process terkait. Kemudian dari deskripsi tersebut
dipecah menjadi kalimat sederhana sebagaimana
dicontohkan pada Gambar 2.
Gambar 2. Pembuatan pernyataan [1]
2.2. Penilaian Pernyataan Kuisioner Setelah pernyataan untuk kuisioner
diperoleh, selanjutnya diperlukan standar penilaian
jawaban untuk masing-masing pernyataan. Untuk
masing-masing pernyataan, jawaban yang tersedia
adalah 4 (empat) yaitu: not at all, a little, quite a
lot, completely. Jawaban tersebut diberikan sesuai
dengan tingkat kesetujuan responden terhadap
masing-masing pernyataan yang diberikan seperti
contoh pada Gambar 2. Masing-masing jawaban
responden tersebut memiliki skore nilai
sebagaimana terdapat pada Gambar 3.
Gambar 3. Skore Jawaban [1]
Seminar Nasional Teknik Informatika (SANTIKA)
75
ISSN 2252-3081
2.3. Pembuatan Kuisioner Sebelum melakukan perhitungan, auditor
harus mempersiapkan kuisioner. Berdasarkan teori
pada pain 2.1 dan 2.3 sebelumnya, cara
mengaplikasikannya ke dalam sebuah kuisioner
dicontohkan pada IT Process PO3 level 3 berikut:
1. Mengambil pernyataan
Sesuai contoh yang diambil maka langkah
pertama adalah mengambil seluruh pernyataan dari
level 3 PO3 seperti pada Gambar 4.
Gambar 4. Level 3 PO3
2. Memecah pernyataan
Langkah kedua setelah pernyataan COBIT
yang bersesuaian diambil adalah dengan
memecahnya menjadi pernyataan dengan model
kalimat tunggal. Sebagai contoh jika dilakukan
maka Gambar 4 tersebut akan menghasilkan 11
pernyataan sebagai berikut:
1. The IT project management process and
methodology have been formally established
and communicated.
2. IT projects are defined with appropriate
business and technical objectives.
3. Stakeholders are involved in the management
of IT projects.
4. The IT project organization and some roles
and responsibilities are defined.
5. IT projects have defined and updated schedule
milestones.
6. IT projects have defined and managed
budgets.
7. IT projects monitoring relies on clearly
defined performance measurement techniques.
8. IT projects have formal post-system
implementation procedures.
9. Informal project management training is
provided.
10. Quality assurance procedures and post system
implementation activities have been defined,
but are not broadly applied by IT managers.
11. Policies for using a balance of internal and
external resources are being defined
3. Memasukkan ke dalam form kuisioner
Form kuisioner audit berdasarkan standar
COBIT terdiri dari 4 (empat) kolom utama
sebagaimana terdapat pada Gambar 5.
Gambar 5. Form Kuisioner
Pada Gambar 5 terlihat bahwa tabel terdiri dari
empat kolom utama yaitu nomor, pernyataan,
pendapat, dan compliance. Pernyataan yang
dimasukkan ke dalam form kuisioner adalah yang
terdiri dari kalimat tunggal sebagaimana langkah 2.
Nilai compliance menggunakan rentang niliai
sebagaimana telah dibahas pada Gambar 3.
Sedangkan total compliance diperoleh dari
penjumlahan semua nilai compliance.
3. MODEL PERHITUNGAN Setelah dasar pembuatan kuisioner telah
dimengerti, langkah selanjutnya adalah melakukan
perhitungan maturity level. Untuk mempermudah,
sebagai contoh diperoleh jawaban kuisioner untuk
Level 3 pada Maturity Model COBIT untuk proses
PO10 sebagaimana Gambar 6 [1]. Pada Gambar
tersebut telah terisi jawaban responden terhadap
pernyataan yang ada.
Seminar Nasional Teknik Informatika (SANTIKA)
76
ISSN 2252-3081
Gambar 6. Contoh Hasil Kuisioner [1]
Langkah perhitungan maturity level akan dijelaskan
pada poin-poin berikut.
1. Menghitung compliance masing-masing level
Nilai compliance masing-masing level diperoleh
dari hasil pembagian nilai compliance per level (A)
dengan jumlah pernyataan per level (B). Ilustrasi
perhitungannya terdapat pada Tabel 1. Pada tabel
tersebut diperoleh bahwa compliance untuk level 3
adalah sebesar 0,78 yang didapatkan dari nilai
compliance (8,63) dibagi dengan jumlah pernyataan
(11). Dengan cara yang sama semua nilai
compliance untuk masing-masing level dihitung.
Tabel 1. Perhitungan tingkat compliance
2. Melakukan normalisasi tingkat compliance
Setelah nilai compliance masing-masing level
telah diperoleh langkah selanjutnya adalah
melakukan normalisasi. Hal ini dilakukan dengan
membagi nilai masing-masing tingkat compliance
(A) dengan total nilai compliance (Total(A)).
Ilustrasinya terdapat pada Tabel 2. Dari ilustrasi
tersebut terlihat bahwa nilai compliance pada level
3 yang bernilai 0,78 menghasilkan angka 0,225
setelah dinormalisasi. Angka tersebut diperoleh dari
tingkat compliace (0,78) dibagi dengan total nilai
compliance (3,46).
Tabel 2. Normalisasi tingkat compliance
3. Menghitung nilai maturity level
Setelah nilai compliance masing-masing level
telah dinormalisiasi, maka langkah terakhir dalam
perhitungan nilai maturity level adalah menghitung
kontribusi masing-masing level kemudian
menjumlahkannya. Hasil penjumlahan itulah yang
menjadi nilai maturity level. Ilustrasinya terdapat
pada Tabel 3. Pada tabel tersebut terlihat bahwa
nilai kontribusi dari level 3 adalah sebesar 0,68.
Nilai tersebut diperoleh dari perkalian antara level
(A) dengan nilai compliance yang telah
dinormalisasi (B).
Tabel 3. Perhitungan Maturity Level
Setelah nilai kontribusi masing-masing level
diperoleh dan dijumlahkan, maka didapatkan bahwa
nilai Maturity Level = 2,23. Nilai tersebut
menggambarkan bagaimana kondisi proses Manage
Projects organisasi yang diaudit. Angka 2,23
tersebut masuk ke dalam level kedewasaan 2
(repeatable but intuitive).
4. SIMPULAN Dari pembahasan sebelumnya dapat
disimpulkan bahwa:
- Untuk membuat pernyataan kuisioner, auditor
mengambil dari pernyataan maturity model
COBIT.
Seminar Nasional Teknik Informatika (SANTIKA)
77
ISSN 2252-3081
- Untuk menjawab pernyataan kuisioner,
terdapat empat jawaban bernilai 0; 0,33; 0,66;
dan 1.
Berdasarkan model perhitungan maturity
level yang telah dibahas secara detil disertai ilustrasi
dan contoh, diharapkan dapat menjadi acuan bagi
auditor pemula untuk dapat melakukan perhitungan
secara benar berdasarkan COBIT.
5. DAFTAR PUSTAKA [1] Pederiva A (2003), The COBIT Maturity
Model in a Vendor Evaluation Case.
Information Systems Control Journal Vol 3.
[2] IT Governance Institute (2007) COBIT 4.1
Framework, Control Objectives, Management
Guidelines, Maturity Models. IT Governance
Institute. Illinois.
