See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/330994012

AUDIT SISTEM INFORMASI ABSENSI PADA PT SINAR PRATAMA AGUNG

MENGGUNAKAN KERANGKA KERJA COBIT 4.1

Article · August 2018

DOI: 10.24014/rmsi.v4i2.5690

CITATIONS READS

2 6,919

4 authors:

Michelle Angelia Kristanto Setiono

2 PUBLICATIONS   15 CITATIONS    1 PUBLICATION   2 CITATIONS   

SEE PROFILE SEE PROFILE

Yohanes Setevannus Johanes Fernandes Andry

1 PUBLICATION   2 CITATIONS   
Associate Professor Universitas Bunda Mulia
198 PUBLICATIONS   1,041 CITATIONS   
SEE PROFILE
SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Audit Aplikasi Zahir di PT Radisa Mahardi Rekatama Menggunakan Framework COBIT 5 View project

Akuntansi View project

All content following this page was uploaded by Johanes Fernandes Andry on 10 February 2019.

The user has requested enhancement of the downloaded file.

Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

AUDIT SISTEM INFORMASI ABSENSI PADA PT SINAR PRATAMA

AGUNG MENGGUNAKAN KERANGKA KERJA COBIT 4.1

1
Michelle Angelia, 2Kristanto, 3Yohanes Setevannus, 4Johanes Fernandes Andry
1,2,3,4
Program Studi Sistem Informasi, Fakultas Teknik dan Desain, Universitas Bunda Mulia
Jl. Lodan Raya No. 2 Ancol, Jakarta Utara 14430.
Email: 1michelleangelia198@gmail.com, 2ktanto13@gmail.com,
3
setevannusy@gmail.com, 4jandry@bundamulia.ac.id.

ABSTRAK
PT. Sinar Pratama Agung merupakan perusahaan yang bergerak di bidang garment dan sepatu yang
menerapkan suatu sistem informasi pada aspek kerjanya di perusahaan untuk meningkatkan kegiatan
operasional kerja yaitu menggunakan alat yang terkomputerisasi yaitu fingerprint untuk mencatat daftar
kehadiran setiap karyawan di perusahaan. Sistem yang digunakan harus mampu mengelola, menyampaikan dan
menjaga keamanan informasi dengan baik. Maka, perlu dilakukan audit bertujuan untuk mengevaluasi tata
kelola sistem informasi yang berjalan. Penelitian dilakukan mengikuti standar Kerangka Kerja COBIT 4.1 untuk
tata kelola IT. Penelitian berfokus pada sub-domain AI4, DS1, DS4, DS5, DS10, dan ME2. Keenam sub-domain
tersebut penting dibahas karena berkaitan dengan penilaian dari karyawan, perlengkapan, keamanan fisik,
regulasi, dan sebagainya. Untuk pengumpulan data, penelitian ini menggunakan teknik observasi, wawancara
dan kepustakaan. Teknik analisis data yang digunakan adalah Maturity level. Dari hasil penelitian, ditemukan
bahwa DS5 berada pada level 3,09; DS4 dan DS10 berada pada level 3 (Defined Process); DS1 berada pada
level 2,83; AI4 berada pada level 2,75 (Repeatable but Intuitive); sedangkan ME2 berada pada level 1,71
(Initial/ad Hoc). Nilai tertinggi berada pada DS5 (Ensure Systems Security) dengan nilai 3,09 dan nilai terendah
pada ME2 (Monitor and Evaluate Internal Control) dengan nilai 1,71.
Kata Kunci: absensi, COBIT 4.1, PT Sinar Pratama Agung.

A. PENDAHULUAN dan supporting toolset yang dapat membantu

Dengan perkembangan teknologi yang manajer pada perusahaan menjembatani jarak
semakin maju menuntun dunia usaha untuk antara tujuan keperluan perusahaan terhadap
bersaing secara kompetitif yang secara efektif dan pengendalian, resiko bisnis yang di hadapi dan
efisien [1]. PT sinar pratama agung adalah salah disetiap permasalahan teknik, serta
satu perusahaan yang bergerak di bidang garment mengomunikasikan level pengendalian kepada
dan sepatu telah menempatkan teknologi dalam stakeholder [8][9]. COBIT terdapat 4 domain
mencapai tujuannya untuk meningkatkan kegiatan utama [10]: Planning and Organization (PO),
operasional kerja sesuai dengan sasaran visi misi Acquisition and Implementation (AI), Delivery and
dan tujuan perusahaannya [2]. Dengan adanya Support (DS) dan Monitoring and Evaluation (ME)
teknologi, perusahaan ini menerapkan sistem yang memiliki proses (sub-domain). Jumlah proses
informasi untuk mendukung proses bisnisnya yang dari setiap sub-domain adalah 34 proses.
seperti penggunaan sistem informasi absensi pada Oleh karena itu, penelitian ini menggunakan
perusahan. Perlu melakukan evaluasi terhadap beberapa domain yaitu AI, DS, dan ME.
sistem dan prosesnya yang bertujuan memastikan Khususnya pada sub-sub domainnya seperti AI4,
sistem informasi absensi yang di gunakan pada DS1, DS4, DS5, DS10, dan ME2. Penelitian ini
perusahaan memberi kemudahan dalam proses memilih sub domain ini karena berkaitan dengan
bisnis perusahaan serta meningkatkan tata kelola IT hal yang akan diberikan penilaian, yaitu mulai dari
yang baik sesuai dengan visi misi perusahaan. karyawan, perlengkapan, keamanan fisik, dan
Dapat dilakukan audit yang dapat bertanggung regulasi yang ada di perusahaan, serta menemukan
jawab terhadap penilaian tata kelola TI yang gap atau kesenjangan yang menetapkan tingkat
efisiensi sesuai dengan prosedur yang diterapkan kematangan pada penerapan sistem informasi
pada perusahaan [3][4][5]. Audit SI/TI dalam absensi dan mencari tahu keselarasan proses
kerangka kerja COBIT atau IT Assurance adalah kerjanya terhadap prosedur absensi di perusahaan
salah satu audit yang dapat memberikan masukan [11].
terhadap perbaikan pengelolaan sistem di masa
yang akan datang [6][7]. Audit Sistem Informasi B. LANDASAN TEORI
berdasarkan standar framework COBIT 4.1. B.1. Audit Sistem Informasi
Control Objective for Information and Related Proses mengumpulkan dan evaluasi suatu
Technology (COBIT) adalah sebuah kerangka kerja bukti menentukan apakah sistem aplikasi

163
 Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

terkomputerisasi menetapkan serta menerapkan (2) 1 - Initial/Ad Hoc - Ada bukti perusahaan
sistemnya dalam pengendalian intern secara menyadari bahwa adanya masalah dan harus
memadai, terjamin integritas datanya dan dikaji tetapi belum adanya standarisasi.
penyelenggaraan sistem informasi berbasis (3) 2 - Repeatable but Intuitive - Proses
computer secara efektif [12][13]. dikembangkan pada tahap dimana prosedur
yang mirip diikuti oleh bermacam-macam
B.2. Absensi orang yang melaksanakan tugas.
Sistem absensi merupakan sistem yang (4) 3 - Defined Process - Prosedur telah
mencatat daftar kehadiran serta identitas setiap terstandarisasi dan terdokumentasi, serta
karyawan atau anggota instansi dalam sebuah komunikasi melalui training.
perusahaan [14]. Fingerprint adalah alat yang (5) 4 - Managed and measurable - Manajemen
digunakan untuk memudahkan sebuah proses memantau dan mengukur kesesuaian prosedur
kegiatan absensi di perusahaan. Selain itu juga serta mengambil tindakan dimana proses
berfungsi untuk menghindari manipulasi data terlihat tidak berjalan efektif.
absensi yang sangat mudah dilakukan jika proses (6) 5 - Optimised - Proses dirancang sampai
kegiatan absensi secara manual. tingkat pelaksanaan yang baik, berdasarkan
hasil dari pengembangan berkelanjutan dan
B.3. COBIT 4.1 maturity modelling dengan perusahaan lain.
COBIT merupakan sebuah kerangka kerja
dan supporting toolset yang membantu manajer C. METODOLOGI PENELITIAN
untuk pengendalian, permasalahan teknik dan Pada penelitian ini, lingkup penelitian dibatasi
risiko bisnis serta komunikasi kepada stakeholder pada audit sistem informasi absensi pada PT. Sinar
mengenai level pengendalian [15][16]. Merupakan Pratama Agung dan Identifikasi Proses Sistem
metode kerangka dasar dalam menciptakan TI Informasi Absensi.
sesuai keinginan organisasi [17]. Metode ini
merupakan framework yang terdiri dari domain Tabel 1. Cakupan IT Domain yang di audit
serta proses mengatur aktivitas dan logical Sub Domain Descriptions
structure [18]. COBIT framework dapat dilihat AI4 Enable Operations and Use
pada Gambar 1.
DS1 Define and Manage Service Levels
DS4 Ensure Continuous Service
DS5 Ensure Systems Security
DS10 Manage Problems
ME2 Monitor and Evaluate Internal Control

Gambar 1. COBIT framework [19][20]

B.4. Maturity Level

Dalam pengukuran tingkat kematangan untuk
tingkat manajemen dan para manajer harus diatur
sebab untuk mengetahui pengelolaan dan proses
sebuah TI di organisasi agar dapat diketahui pada Gambar 2. Diagram alir penelitian
tingkatan mana pengelolaannya [19][20].
Adapun maturity model yang digunakan Tahap ini, ditetapkan proses teknologi
adalah: informasi yang sesuai dengan standar COBIT yang
(1) 0 - Non-existent – Tidak terlihat sama sekali diolah sesuai dengan studi kasus. Cakupan IT
adanya proses.

164
Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

domain yang diaudit pada sistem informasi absensi D. Proses Sistem Informasi Absensi
diperlihatkan pada Tabel 1. Metodologi penelitian Proses berjalannya Sistem Informasi Absensi
yang dilakukan dan tahapan dalam memperoleh di PT Sinar Pratama Agung menggunakan
data dari sumber, mulai dari survei awal dan fingerprint:
wawancara ditujukan pada Gambar 2. (1) tahapan pertama adalah dimana para
Prosedur Penelitian merupakan suatu kegiatan karyawan mulai datang ke perusahaan;
yang dilakukan dalam penelitian. Adapun tahapan (2) tahapan kedua adalah dimana para karyawan
dan prosedur penelitiannya sebagai berikut: mulai melakukan kegiatan absensi dengan
(1) Planning (Perencanaan) menempelkan sidik jarinya di fingerprint yang
Planning merupakan tahap awal dalam dimiliki oleh perusahaan;
prosedur penelitian yang dilakukan. Karena tahap (3) tahapam kedua, terdapat kondisi dimana bila
ini ditentukan ruang lingkup (scope), sebuah objek sidik jari dari karyawan tersebut sedang
yang akan di audit, standar evaluasi dari hasil audit dibaca oleh fingerprint, apakah sidik tersebut
serta komunikasi terhadap orang yang dapat terdeteksi oleh fingerprint? Jika ya,
bersangkutan akan organisasi/perusahaan yang maka sidik jari karyawan tersebut berhasil
akan diaudit dengan menganalisa sebuah visi, misi, terdata pada absensi tesebut. Sedangkan jika
sasaran dan tujuan objek, dan kebijakan-kebijakan tidak, maka si karyawan harus menempelkan
yang terkait dengan pengolahan investigasi. Tahap kembali sidik jarinya agar dapat terdeteksi
perancangan meliputi beberapa aktifitas utama pada fingerprint;
yakni penetapan ruang lingkup dan tujuan audit, (4) tahapan keempat, setelah sidik jari tersebut
pengorganisasian tim audit, pemahaman mengenai terdeteksi maka data absensi karyawan
operasi bisnis klien, pengkajian ulang hasil audit tersebut langsung terinput ke personalia;
sebelumnya, serta penyiapan program audit. (5) Tahapan kelima, setelah data absensi
karyawan terinput ke personalia, data tersebut
(2) Field Work (Pemeriksaan Lapangan) terinput ke dalam database dan selesai.
Pada tahap ini, auditor bertujuan untuk
mendapatkan informasi dengan cara E. HASIL AUDIT DAN PEMBAHASAN
mengumpulkan data dengan pihak-pihak yang Pada bagian ini, membahas sistem informasi
terkait yang menggunakan beberapa metode yang absensi dengan pendekatan COBIT framework
dapat dilakukan seperti; wawancara dan melakukan pada PT. Sinar Pratama Agung. Disini menganalisa
survey langsung ke tempat penelitian dilakukan. lingkungan yang terjadi dalam IT departemen,
Data yang di dapat nantinya akan sangat berguna mulai dari karyawan, perlengkapan, keamanan fisik
dalam membantu auditor melakukan analisa sebuah dan regulasi.
organisasi/perusahaan yang di audit.
E.1. AI4 Enable Operation and Use
(3) Reporting (Pelaporan) Proses memerlukan dokumentasi dan manual
Dengan adanya pelaporan pada suatu masalah standar yang digunakan users dan IT, serta
maka akan dapat terlihat jelas dimanakah letak pelatihan diadakan menjamin aplikasi dan
kesalahannya. Setelah itu peneliti akan menganalisa infrastruktur yang digunakan serta dijalankan
dan menyimpulkan hasil. Peneliti memberi laporan dengan tepat [21].
hasil audit dalam hal merekomendasi tindak
perbaikan dan wewenang perbaikan kepada pihak E.1.1. AI4.1 Planning for Operational Solutions
management objek penelitian, dapatkah penelitian Perencanaan solusi operasional dengan
ini akan diterapkan secara langsung atau hanya mengembangkan rencana, mengidentifikasi dan
menjadi acuan untuk perbaikan dimasa yang akan mendokumentasikan, aspek teknis operasional dan
datang. penggunaan agar semua orang yang
mengoperasikan, menggunakan dan
(4) Follow-Up (Tindak Lanjut) mempertahankan solusi otomatis dapat
Dengan adanya pelaporan pada suatu masalah melaksanakan tanggung jawabnya.
maka akan dapat terlihat jelas dimanakah letak
kesalahannya. Setelah itu peneliti akan menganalisa E.1.2. AI4.2 Knowledge Transfer to Business
dan menyimpulkan hasil. Peneliti memberi laporan Management Transfer
hasil audit dalam hal merekomendasi tindak Pengetahuan manajemen bisnis dengan
perbaikan dan wewenang perbaikan kepada pihak mentransfer pengetahuan untuk manajemen bisnis
management objek penelitian, dapatkah penelitian memungkinkan individu mengambil kepemilikan
ini akan diterapkan secara langsung atau hanya sistem dan data, tanggung jawab penyediaan
menjadi acuan untuk perbaikan dimasa yang akan layanan dan kualitas, pengendalian internal, dan
datang. aplikasi administrasi.

165
 Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

E.1.3. AI4.3 Knowledge Transfer to End Users dan disimpan secara terpusat melalui implementasi
Transfer pendekatan portofolio katalog layanan.
Pengetahuan pengguna akhir dengan
mentransfer pengetahuan serta keterampilan E.2.3. DS1.3 Service Level Agreements
memungkinkan pengguna akhir secara efektif dan Menetapkan dan menyetujui SLA untuk
efisien menggunakan sistem untuk mendukung semua layanan IT kritis berdasarkan kebutuhan
proses bisnis. Di tahapan ini prosedur telah pelanggan dan kemampuan IT, seperti komitmen
terstandarisasi dari pengetahuan dan keterampilan pelanggan, persyaratan layanan pendukung,
karyawan sudah baik. pengaturan pendanaan dan komersial, dan
sebagainya.
E.1.4. AI4.4 Knowledge Transfer to Operations
and Support Staff Transfer E.2.4. DS1.4 Operating Level Agreements
Pengetahuan operasional dan staff pendukung Menetapkan OLA yang menjelaskan
transfer pengetahuan dan keterampilan bagaimana layanan yang akan disampaikan secara
memungkinkan operasi serta staf pendukung teknis teknis untuk mendukung SLA secara optimal.
secara efektif dan efisien memberi dukungan serta
memelihara sistem dan infrastruktur yang terkait. E.2.5. DS1.5 Monitoring and Reporting of Service
Dari hasil analisa audit AI4 Enable operation Level Achievements
and use, diperoleh level kematangan dari setiap Memantau kriteria kinerja tingkat layanan
proses yang ada dalam tahap dan proses-prosesnya tertentu serta melaporkan pencapaian tingkat
dapat dilihat pada Tabel 2 Hasil Maturity AI4 layanan dalam bentuk yang lebih berarti bagi
Enable Operation and Use. stakeholder. Hasil statistic pemantauan tersebut
dianalisis untuk mengetahui kelebihan dan
Tabel 2. Hasil Maturity AI4 Enable Operation and kekurangannya sehingga mampu meningkatkan
Use layanan.
Maturity
AI4 Enable operation and use
Level E.2.6. DS1.6 Review of Service Level Agreements
Planning for Operational 3
AI4.1 Solutions and Contracts
Knowledge Transfer to Business 2 Secara teratur meninjau SLA dan kontrak
AI4.2 Management fondasi (UCs) dengan penyedia layanan internal
AI4.3 Knowledge Transfer to End Users 3 dan eksternal memastikan efektif dan up to date
Knowledge Transfer to 3
AI4.4 Operations and Support Staff serta perubahan dalam persyaratan telah
AI4 Rata-rata 2,75 diperhitungkan. Dari hasil analisa audit DS1 Define
and manage service levels, diperoleh level
E.2. DS1 Define and Manage Service Levels kematangan dari setiap proses yang ada dalam
Komunikasi efektif antara manajemen IT dan tahap dan proses-prosesnya dapat dilihat pada
pelanggan bisnis mengenai jasa yang dibutuhkan, Tabel 3.
disanggupi oleh definisi serta persetujuan layanan
IT dan tingkat layanan yang didokumentasikan. Tabel 3. Hasil Maturity DS1 Define And Manage S
Proses ini mencakupi pemantauan dan pelaporan
Maturity
secara berkala pada stakeholder untuk pemenuhan DS1 Define And Manage Service Levels
Level
tingkat layanan. Proses memungkinkan keselarasan DS1.1 Service Level Management Framework 3
antara layanan IT dan persyaratan bisnis terkait DS1.2 Definition of Services 2
[21].
DS1.3 Service Level Agreements 3
DS1.4 Operating Level Agreements 3
E.2.1. DS1.1 Service Level Management DS1.5 Monitoring and Reporting of Service Level 3
Framework Achievements
Tetapkan sebuah kerangka yang menyediakan DS1.6 Review of Service Level Agreements and 3
tingkat layanan manajemen proses antara Contracts
pelanggan dan penyedia layanan. Kerangka DS1 Rata-rata 2,83
menjaga keselarasan antara kebutuhan bisnis dan
prioritas, serta menfasilitasi pemahaman yang sama E.3. DS4 Ensure Continuous Service
antara pelanggan dan penyedia. Kerangka Kebutuhan menyediakan layanan IT yang
mencakup proses untuk menciptakan kebutuhan berkesinambungan membutuhkan pengembangan,
layanan, definisi layanan, SLA, OLA dan sumber mempertahankan dan pengujian rencana
pendanaan. kontinuitas IT, memanfaatkan penyimpanan offsite
backup dan memberikan pelatihan rencana
E.2.2. DS1.2 Definition of Services kelangsungan secara periodik [21].
Definisi karakteristik pelayanan dan
kebutuhan bisnis, serta memastikan terorganisasi

166
Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

E.3.1. DS4.1 IT Continuity Framework diperlukan untuk rencana kontinuitas pemulihan

Kerangka kerja membahas struktur organisasi dan bisnis IT.
manajemen kontinuitas, meliputi peran, tugas dan
tanggung jawab penyedia layanan internal dan E.3.10. DS4.10 Post-resumption Review
eksternal, manajemen dan pelanggan, proses Mentukan apakah manajemen IT menetapkan
perencanaan yang menciptakan aturan dan struktur prosedur untuk menilai kecukupan dari rencana
dokumen, pengujian dan melaksanakan pemulihan dalam penerusan keberhasilan fungsi IT setelah
bencana IT dan rencana kontinjensi. bencana, dan memperbarui rencana yang sesuai.
Dari hasil analisa audit DS4 Ensure continuous
E.3.2. DS4.2 IT Continuity Plans service, diperoleh level kematangan dari setiap
Rencana didasarkan pada pemahaman risiko proses yang ada dalam tahap dan proses-prosesnya
potensi dampak bisnis dan membahas persyaratan dapat dilihat pada Tabel 4 Hasil Maturity DS4
untuk ketahanan, pengolahan alternatif dan Ensure continuous service.
kemampuan pemulihan dari semua layanan IT
kritis. Tabel 4. Hasil Maturity DS4 Ensure Continuous
Service
E.3.3. DS4.3 Critical IT Resources DS4 Ensure Continuous Service
Maturity
Fokus perhatian pada item yang dispesifikasi Level
sebagai yang paling kritis dalam rencana DS4.1 IT Continuity Framework 2
kelangsungan IT untuk membangun ketahanan dan DS4.2 IT Continuity Plans 3
menetapkan prioritas dalam situasi pemulihan. DS4.3 Critical IT Resources 3
Maintenance of the IT Continuity
DS4.4 Plan 4
E.3.4. DS4.4 Maintenance of the IT Continuity
DS4.5 Testing of the IT Continuity Plan 3
Plan
DS4.6 IT Continuity Plan Training 3
Mendorong manajemen IT mendefinisikan Distribution of the IT Continuity
dan mengeksekusi prosedur kontrol perubahan DS4.7 Plan 3
untuk memastikan rencana kontinuitas IT terus IT Services Recovery and
berkembang dan mencerminkan kebutuhan bisnis DS4.8 Resumption 3
yang sebenarnya secara terus-menerus. DS4.9 Offsite Backup Storage 3
DS4.10 Post-resumption Review 3
E.3.5. DS4.5 Testing of the IT Continuity Plan DS4 Rata-rata 3
Menguji rencana kontinuitas IT secara teratur
memastikan sistem IT dapat pulih secara efektif, E.4. DS5 Ensure Systems Security
menangani kekurangan dan menjaga rencana tetap Proses meliputi membangun dan
relevan. mempertahankan peran dan tanggung jawab
keamanan IT, kebijakan, standar, dan prosedur.
E.3.6. DS4.6 IT Continuity Plan Training Manajemen keamanan termasuk melakukan
Menyediakan semua pihak terkait dengan sesi pemantauan keamanan dan pengujian berkala serta
pelatihan reguler mengenai tata cara serta peran dan mengimplementasikan tindakan perbaikan untuk
tanggung jawab mereka jika terjadi insiden atau mengidentifikasi kelemahan atau insiden
bencana. keamanan. Manajemen keamanan efektif
melindungi semua aset IT meminimalkan dampak
E.3.7. DS4.7 Distribution of the IT Continuity bisnis dari kerentanan dan insiden keamanan [21].
Plan
Menentukan adanya pendefinisian dan E.4.1. DS5.1 Management of IT Security
pengelolaan strategi distribusi memastikan rencana Mengelola keamanan TI pada tingkat tertinggi
didistribusi dengan benar dan aman serta tersedia organisasi yang tepat, sehingga manajemen
bagi pihak berwenang yang berkepentingan, kapan tindakan keamanan sejalan dengan kebutuhan
dan dimana diperlukan. bisnis.

E.3.8. DS4.8 IT Services Recovery and E.4.2. DS5.2 IT Security Plan

Resumption Menerjemahkan kebutuhan bisnis, risiko dan
Aktivasi dari situs cadangan, inisiasi proses penyesuaian ke dalam rencana keamanan IT secara
alternatif, komunikasi pelanggan dan stakeholder, keseluruhan, dengan mempertimbangkan
dan prosedur penerusan. infrastruktur IT dan budaya keamanan.
Mengkomunikasikan kebijakan dan prosedur
E.3.9. DS4.9 Offsite Backup Storage keamanan pada stakeholder dan pengguna.
Penyimpanan offsite semua backup media
kritis, dokumentasi dan sumber daya IT lainnya

167
 Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

E.4.3. DS5.3 Identity Management E.4.10. DS5.10 Network Security

Memastikan semua pengguna (internal, Menggunakan teknik keamanan dan prosedur
eksternal dan sementara) dan aktivitas di sistem IT manajemen terkait (misalnya, firewall, peralatan
(aplikasi bisnis, lingkungan IT, operasi sistem, keamanan, segmentasi jaringan, deteksi intrusi)
pengembangan dan pemeliharaan) dapat untuk mengotorisasi akses dan kontrol arus
diidentifikasi secara unik. Konfirmasi user informasi dari dan ke jaringan.
memiliki hak akses ke sistem dan data yang sesuai
dengan kebutuhan bisnis didefinisikan dan E.4.11. DS5.11 Exchange of Sensitive Data
didokumentasikan dan persyaratan kerja yang Pertukaran data transaksi sensitif melalui jalur
melekat pada identitas user. dipercaya atau menengah dengan kontrol
memberikan keaslian konten, bukti pengiriman,
E.4.4. DS5.4 User Account Management bukti penerimaan dan tidak ada penolakan. Dari
Mengalamatkan permintaan, pembuatan, hasil analisa audit DS5 Ensure Systems Security,
penerbitan, penangguhan, modifikasi dan diperoleh level kematangan dari setiap proses yang
penutupan account pengguna dan hak akses ada dalam tahap dan proses-prosesnya dapat dilihat
pengguna terkait dengan satu set prosedur pada Tabel 5.
manajemen user account.
Tabel 5. Hasil Maturity DS5 Ensure Systems
E.4.5. DS5.5 Security Testing, Surveillance and Security
Monitoring DS5 Ensure Systems Security
Maturity
Menguji dan memantau pelaksanaan Level
keamanan IT dengan cara proaktif. Keamanan IT DS5.1 Management of IT Security 3
diakreditas ulang pada waktu yang tepat DS5.2 IT Security Plan 3
memastikan dasar informasi keamanan perusahaan DS5.3 Identify Management 3
yang disetujui tetap terjaga. Fungsi logging dan DS5.4 User Account Management 3
pengawasan memungkinkan pencegahan dini Security Testing, Surveillance and 2
DS5.5 Monitoring
dan/atau deteksi dan pelaporan tepat waktu akan
DS5.6 Security Incident Definition 4
kegiatan yang tidak biasa dan/atau abnormal yang
DS5.7 Protection of Security Technology 3
mungkin perlu ditangani.
DS5.8 Cryptographic Key Management 3
Malicious Software Prevention, 3
E.4.6. DS5.6 Security Incident Definition DS5.9 Detection and Correction
Mendefinisikan dan mengkomunikasikan DS5.10 Network Security 4
karakteristik insiden keamanan yang potensial DS5.11 Exchange of Sensitive Data 3
dengan jelas sehingga mereka dapat DS5 Rata-rata 3,09
diklasifikasikan dan diobati oleh peristiwa dengan
benar dan proses manajemen masalah. E.5. DS10 Manage Problem
Manajemen data efektif membutuhkan
E.4.7. DS5.7 Protection of Security Technology identifikasi kebutuhan data. Proses manajemen data
Membuat teknologi yang berhubungan dengan meliputi pembangungan prosedur secara efektif
keamanan yang tahan terhadap gangguan. mengelola perpustakaan media, backup dan
recovery dari data, dan pembuangan media yang
E.4.8. DS5.8 Cryptographic Key Management layak. Manajemen data efektif membantu
Menentukan kebijakan dan prosedur di tempat menjamin kualitas, ketepatan waktu dan
mengatur generasi, perubahan, pencabutan, ketersediaan data bisnis [21].
perusakan, distribusi, sertifikasi, penyimpanan,
masuk, penggunaan dan pengarsipan kunci E.5.1. DS10.1 Identification and Classification of
kriptografi memastikan perlindungan terhadap Problems
kunci modifikasi dan pengungkapan yang tidak Mengimplementasi proses untuk melaporkan
sah. dan mengklasifikasi masalah yang diidentifikasikan
sebagai bagian manajemen insiden. Langkah-
E.4.9. DS5.9 Malicious Software Prevention, langkah ini terlibat dalam klasifikasi masalah mirip
Detection and Correction dengan langkah-langkah dalam klasifikasi insiden.
Memasukan tindakan preventif, detektif dan Langkah-langkah tersebut yakni menentukan
korektif pada bagian (terutama patch keamanan dan kategori, dampak, urgensi, dan prioritas.
pengendalian virus yang berkembang) di seluruh Mengelompokkan masalah selayaknya pada grup
organisasi untuk melindungi sistem informasi dan atau domain terkait (contoh: hardware, software,
teknologi dari malware (misalnya, virus, worm, software pendukung). Kelompok-kelompok ini
spyware, spam). disesuaikan dengan tanggung jawab organisasi dari
pengguna dan basis konsumen dan harus menjadi
dasar dari alokasi masalah untuk mendukung staf.

168
Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

E.5.2. DS10.2 Problem Tracking and Resolution dan sesuai dengan peraturan dan hukum yang
Memastikan sistem manajemen masalah berlaku [21].
menyediakan fasilitas audit trail yang cukup
memudahkan pelacakan, analisa dan menentukan E.6.1. ME2.1 Monitoring of Internal Control
root cause dari seluruh masalah yang dilaporkan Framework
menyangkut seluruh benda konfigurasi terkait, Meningkatkan IT mengendalikan lingkungan
insiden dan masalah yang belum selesai, error yang dan kerangka kontrol untuk memenuhi tujuan
diduga dan diketahui, pelacakan trend dari masalah. organisasi.
Mengidentifikasi dan menginisiasi solusi yang
berkelanjutan ke root cause, membuat change E.6.2. ME2.2 Supervisory Review
request lewat proses manajemen perubahan yang Memantau dan mengevaluasi efisiensi dan
telah dibangun. Selama proses resolusi, manajemen efektivitas IT internal kontrol tinjauan manajerial.
masalah harus mendapatkan laporan berkala dari
manajemen perubahan dari kemajuan dalam E.6.3. ME2.3 Control Exceptions
menyelesaikan masalah dan error. Manajemen Mengidentifikasi kontrol pengecualian, serta
masalah harus memantau dampak berkelanjutan menganalisis dan mengidentifikasi penyebab yang
dari masalah dan error yang diketahui ke layanan mendasari root. Meningkat kontrol pengecualian
pengguna. Dalam kejadian dimana dampak sangat dan melaporkan tepat kepada stakeholder. Institut
berbahaya, manajemen masalah harus tindakan korektif yang diperlukan.
mengeskalasi masalah, mungkin menyertakan
manajemen senior untuk meningkatkan prioritas E.6.4. ME2.4 Control Self-assessment
dari laporan atau mengimplementasikan perubahan Mengevaluasi kelengkapan dan efektivitas
yang penting sesuai kebutuhan. Memantau pengendalian manajemen atas proses IT, kebijakan
kemajuan dari resolusi masalah sesuai SLA. dan kontrak melalui terus program penilaian diri.

E.5.3. DS10.3 Problem Closure E.6.5. ME2.5 Assurance of Internal Control

Membuat prosedur untuk menyelesaikan Memperoleh sesuai kebutuhan serta kepastian
laporan masalah yang dijalankan saat konfirmasi lebih lanjut akan kelengkapan dan efektivitas
dari error diselesaikan atau setelah persetujuan pengendalian internal melalui pihak ketiga tinjauan.
dengan pihak bisnis bagaimana jalur alternatif
untuk menghadapi masalah. E.6.6. ME2.6 Internal Control at Third Parties
Menilai status kontrol internal penyedia
E.5.4. DS10.4 Integration of Configuration, layanan eksternal. Memastikan penyedia layanan
Incident and Problem Management eksternal mematuhi hukum dan peraturan
Mengintegrasikan proses terkait konfigurasi, persyaratan dan kewajiban kontrak.
insiden dan manajemen masalah memastikan
manajemen efektif dari masalah dan memudahkan E.6.7. ME2.7 Remedial Actions
perkembangan. Dari hasil analisa audit DS10 Mengidentifikasi, melacak dan menerapkan
Manage Problems, diperoleh level kematangan dari tindakan perbaikan yang timbul dari penilaian
setiap proses yang ada dalam tahap dan proses- pengendalian dan pelaporan.
prosesnya dapat dilihat pada Tabel 6 Hasil Maturity Dari hasil analisa audit ME2 Monitor and
DS10 Manage Problems. Evaluate Internal Control, diperoleh level
kematangan dari setiap proses yang ada dalam
Tabel 6. Hasil Maturity DS10 Manage Problems tahap dan proses-prosesnya dapat dilihat pada
DS10 Manage Problem
Maturity Tabel 7.
Level
DS10.1 Identification and Classification of 3
Tabel 7. Hasil Maturity ME2 Monitor and Evaluate
Problems
DS10.2 Problem Tracking and Resolutions 3 Internal Control
DS10.3 Problem Closure 3 Maturity
ME2 Monitor and Evaluate Internal Control
DS10.4 Integration of Configuration, Incident and 3 Level
Problem Management ME2.1 Monitoring of Internal Control 2
DS10 Rata-rata 3 Framework
ME2.2 Supervisory Review 3
ME2.3 Control Exceptions 3
E.6. ME2 Monitor and Evaluate Internal Control ME2.4 Control Self-assessment 2
Membangun program kontrol internal efektif ME2.5 Assurance of Internal Control 0
untuk IT membutuhkan proses pemantauan yang ME2.6 Internal Control at Third Parties 0
terdefinisi dengan baik. Proses meliputi ME2.7 Remedial Actions 2
ME2 Rata-rata 1,71
pemantauan dan pelaporan kontrol pengecualian,
kumpulan penilaian dari internal dan pihak ketiga.
Keuntungan kunci dari pemantauan kontrol internal
adalah untuk menjamin operasi efektif dan efisien

169
 Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

Dari hasil audit sistem informasi absensi Pratama Agung berada expected level yang
diatas, maka sub domain rata-rata hasil perhitungan diharapkan pada level 3.
maturity level, diperlihatkan pada Tabel 8.
Keseluruhan maturity yang diinginkan (to-be) REFERENSI
adalah pada level 4 yaitu Managed and measurable [1] Rinawati dan P. Candrawati. Vol.7, No. 2,
dibandingkan dengan maturity saat ini (as-is). Desember 2013. Sistem Informasi Absensi
Dengan data yang ada pada Tabel 8 rata-rata Karyawan Pada Pt Harja Gunatama Lestari
Bandung. Jurnal Computech & Bisnis, Vol.7. 96-
perhitungan maturity level, maka dibuat gambarnya 105.
menggunakan diagram spider, diperlihatkan pada [2] R. K. Candra, I. Atastina dan Y. Firdaus. No.1
Gambar 4. April 2015. Audit Teknologi Informasi
menggunakan Framework COBIT 5 Pada Domain
DSS (Delivery, Service, and Support) (Studi Kasus:
iGracias Telkom University). e-Proceeding of
Engineering: Vol.2.
[3] Jelvino dan J. F. Andry. Nomor 2 Agustus 2017.
Audit Sistem Informasi Absensi pada PT. Bank
Central Asia Tbk menggunakan COBIT 4.1. Jurnal
Teknik Informatika dan Sistem Informasi Volume
3.
[4] G. Hardy. 2009. The Role of the IT Auditor in IT
Governance. ISACA Jurnal 1.
[5] H. Setiawan dan K. Mustofa. 2013. Metode Audit
Tata Kelola Teknologi Informasi di Instansi
Pemerintah Indonesia. IPTEK-KOM, Vol. 15 No.
Gambar 4. Diagram Spider Maturity Level as-is vs 1 Juni, pp.1-15, ISSN 1410 – 3346,
to-be [6] J. F. Andry. 2016. Audit Tata Kelola Ti Di
Perusahaan (Studi Kasus XYZ Cargo). Seminar
Tabel 8. Rata-rata Hasil Perhitungan Maturity Nasional Teknologi Informasi.
Level [7] Fitrianah, Devi, Sucahyo dan Yudho Giri. Audit
Maturity Sistem Informasi/Teknologi Informasi dengan
Proses TI Descriptions Kerangka Kerja COBIT untuk Evaluasi
Level
AI4 Enable operation and use 2,75 Manajemen Teknologi Informasi di Universitas
DS1 Define And Manage Service 2,83 XYZ. Jurnal Sistem Informasi MTI-UI, Volume 4,
Levels Nomor 1, ISBN 1412-8896.
DS4 Ensure Continuous Service 3 [8] T. Pradini dan J. F. Andry. 2018. Audit Sistem
DS5 Ensure Systems Security 3,09 Informasi Front Office Pada World Hotel
Menggunakan Kerangka Kerja Cobit 4.1.
DS10 Manage Problem 3
IKRAITH-INFORMATIKA, VOL. 2, NO. 1.
ME2 Monitor and Evaluate Internal 1,71 [9] M. K. Tanugara. 2015. Perancangan Pedoman
Control Audit Sistem Informasi Pada Industri Perhotelan
dengan Studi Kasus Hotel Bintang 4 Berbasis
F. KESIMPULAN Framework COBIT 4.1 menggunakan Domain
Kesimpulan yang dapat diambil dari Delivery and Support. Makalah disajikan dalam
penelitian yang telah dilakukan adalah sebagai Seminar Nasional Aplikasi dan Pengembangan
berikut: (1) PT. Sinar Pratama Agung sudah Teknologi Informasi, Surabaya: Universitas
memiliki tata kelola sistem informasi yang telah Ciputra Surabaya 2.Buyens, Jim, 2001. Web
dilakukan secara berulang, namun tata kelola yang Database Development. Jakarta: PT. Elex Media
Komputindo.
diterapkan sudah memenuhi harapan. Keberadaan
[10] I. S. Rozas dan D. A. R. Effendy. 2012. Mengukur
tata kelola sistem informasi pada PT. Sinar Pratama Efektifitas Hasil Audit Teknologi Informasi Cobit
Agung terdefinisi dengan baik dan formal, ada 4.1 Berdasarkan Perspektif End User. JURANAL
prosedur maupun panduan baku dari pihak LINK VOL 17/No. 2/September.
manajemen dan (2) berdasarkan hasil pengukuran [11] Juliandarini dan S. Handayaningsih, S. 2013. Audit
menggunakan maturity level diketahui bahwa DS5 Sistem Informasi Pada Digilib Universitas XYZ
berada pada level 3,09 dan DS4 dan DS10 berada Menggunakan Kerangka Kerja COBIT 4.0. Jurnal
pada level 3 (Defined Process), sedangkan DS1 Sarjana Teknik Informatika, Jurnal Sarjana Teknik
berada pada level 2,83 dan AI4 berada pada level Informatika e-ISSN: 2338-5197 Volume 1 Nomor
1, Juni.Budiawan, Tiyo. 2011. Mobile Tracking
2,75 (Repeatable but Intuitive), sedangkan ME2
GPS (Global Positioning System) Melalui Media
berada pada level 1,71 (Initial/ad Hoc). Nilai SMS (Short Message Service). [SKRIPSI]
tertinggi berada pada DS5 (Ensure Systems Universitas Diponegoro.
Security) dengan nilai 3,09 dan nilai terendah pada [12] I R. Widayanti dan L. Purnamawati. 2013. Audit
ME2 (Monitor and Evaluate Internal Control) Sistem Informasi Pada Aplikasi Sistem Manajemen
dengan nilai 1,71. Dengan itu diketahui bahwa Tata Pemeriksaan (Smp) Badan Pemeriksa Keuangan
Kelola Sistem Informasi Absensi di PT. Sinar Republik Indonesia. Forum Ilmiah Volume 10
Nomor 2, Mei.

170
 Jurnal Ilmiah Rekayasa dan Manajemen Sistem Informasi, Vol. 4, No. 2, Agustus 2018, Hal. 163-171
e-ISSN 2502-8995, p-ISSN 2460-8181

[13] Weber, Ron. 2000. Information System Control [17] Muthmainnah, S. Kom., M. Kom. 2015. Model
and Audit”, Printice Hall,, Inc. New Jersey. Perancangan Tata Kelola Teknologi Informasi (It
[14] A. S.Rintjap, Sherwin R.U.A, Sompie ST, MT dan Governance) Pada Proses Pengelolaan Data Di
Oktavian Lantang ST., MTI. 2014. Aplikasi Universitas Malikussaleh Lhokseumawe. Techsi
Absensi Siswa Menggunakan Sidik Jari di Sekolah Vol. 6 No.1, April.
Menengah Atas Negeri 9 Manado. e-journal [18] D. T. Yulianti dan M. C. Patria. 2011. Audit Sistem
Teknik Elektro dan Komputer), ISSN: 2301-8402. Informasi Sumber Daya Manusia Pada PT X
[15] T. Pradini dan J. F. Andry. 2018. Audit Sistem Menggunakan Cobit Framework 4.1. Jurnal Sistem
Informasi Front Office Pada World Hotel Informasi, Vol 6, No 1, Maret, pp. 15 – 33.
Menggunakan Kerangka Kerja Cobit 4.1. [19] I. B. Sukmajaya dan J. F. Andry. 2017. Audit
IKRAITH-INFORMATIKA, VOL. 2, NO. 1. Sistem Informasi Pada Aplikasi Accurate
[16] M. K. Tanugara. 2015. Perancangan Pedoman Menggunakan Model Cobit Framework 4.1 (Studi
Audit Sistem Informasi Pada Industri Perhotelan Kasus: Pt. Setia Jaya Teknologi). Vol. 2.
dengan Studi Kasus Hotel Bintang 4 Berbasis [20] Rajasa, A. 2015. Predicting the Intention to Re-Use
Framework COBIT 4.1 menggunakan Domain on Accounting Application Software, The
Delivery and Support. Makalah disajikan dalam International Journal of Business & Management,
Seminar Nasional Aplikasi dan Pengembangan Vol.3, No.8, p.207, August.
Teknologi Informasi, Surabaya: Universitas [21] Andry, J.F. Christianto, K. 2018. Audit
Ciputra Surabaya 2. Menggunakan COBIT 4.1 dan COBIT 5 dengan
Case Study. Yogyakarta: TEKNOSAIN.

171

View publication stats