UNIVERSITAS INDONESIA IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK

UNIVERSITAS INDONESIA

IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK.

KARYA AKHIR

ALIDA WIDIANTI 1006832934

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013

UNIVERSITAS INDONESIA

IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK.

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

ALIDA WIDIANTI 1006832934

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013




KATA PENGANTAR

Puji syukur dipanjatkan kepada Allah SWT, karena atas berkah dan rahmatNya, saya dapat menyelesaikan Karya Akhir yang dibuat dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa tanpa bantuan dari berbagai pihak, dari masa studi sampai pada penyusunan karya akhir ini, tidak mungkin bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: (1) Pak Budi Yuwono, selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya akhir ini; (2) Pihak Perusahaan XYZ, terutama Pak Venerdi Faizal dan Pak Iwan Fadillah yang telah membantu perolehan data yang diperlukan; (3) Orang tua, mertua dan keluarga saya yang telah memberikan dukungan moral serta pengertian ketika menjadi prioritas kesekian selama masa studi dan pengerjaan karya akhir ini; (4) Calon anak saya, yang belum ditentukan namanya, yang mendampingi saya di dalam perut sejak sebelum pembuatan proposal sampai Insya Allah setelah wisuda nanti, semoga jatuh bangun pengerjaan karya akhir ini memberikan yang terbaik untukmu. (5) Terakhir, tapi yang paling signifikan, suami saya, Ilham Aji Pratomo, sahabat terbaik, penasihat, dan penyemangat yang selalu mendampingi saya saat suka dan duka studi dan pengerjaan karya akhir ini. Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu dan penerapannya di dunia kerja.

Jakarta, 22 Desember 2012 Penulis

iv



ABSTRAK

Nama : Alida Widianti Program Studi : Teknologi Informasi Judul : Identifikasi Risiko dan Kontrol Teknologi Informasi Berdasarkan COBIT 5 dan Sarbanes Oxley: Studi Kasus PT. XYZ Tbk.

TI dinilai dapat membantu perusahaan untuk mendukung strategi bisnisnya untuk mencapai keunggulan kompetitif. IT juga memiliki peran yang sangat penting dalam meningkatkan tata kelola perusahaan secara keseluruhan. PT. XYZ Tbk (XYZ), sebuah perusahaan yang bergerak di bidang telekomunikasi, dan mencatatkan sahamnya di New York Stock Exchange (NYSE), berkewajiban untuk mematuhi Sarbanes-Oxley Act mengenai pengendalian internal dalam pelaporan keuangan. Khusus untuk IT – SOX Compliance, perusahaan mengacu pada kerangka kerja COBIT (Control Objectives for Information and related Technology). Pada tahun 2012, COBIT 5 yang merupakan COBIT versi terbaru diluncurkan sehingga mengakibatkan munculnya perbedaan antara risiko dan kontrol yang digunakan perusahaan dengan COBIT versi terbaru tersebut. Oleh karena itu, perusahaan perlu menerapkan COBIT versi terbaru dalam penentuan proses TI dan identifikasi risiko dan kontrol untuk diterapkan perusahaan. Dari penelitian ini, didapat kesimpulan bahwa terdapat 16 proses dalam COBIT 5 yang relevan terhadap penerapan Sarbanes-Oxley Act dan 7 proses diantaranya belum sepenuhnya diterapkan oleh perusahaan. Risiko dan rincian kontrol yang perlu diterapkan juga dijelaskan dalam penelitian ini.

Kata Kunci: Tata Kelola Teknologi Informasi, COBIT, Sarbanes-Oxley

vi

Universitas Indonesia


ABSTRACT

Name Study Program Title

: Alida Widianti : Teknologi Informasi : Information Technology Risk and Control Identification Based on COBIT 5 and Sarbanes Oxley: Case Study PT. XYZ Tbk.

IT is considered to help companies to support their business strategy to achieve competitive advantage. IT also has a very important role in enhancing the overall corporate governance. PT. XYZ Tbk. (XYZ), a company engaged in telecommunications business, and listed on the New York Stock Exchange (NYSE), is obliged to comply with the Sarbanes-Oxley Act regarding internal controls in financial reporting. For its IT SOX Compliance, the company refers to the framework COBIT (Control Objectives for Information and related Technology). In 2012, the latest version of COBIT, COBIT 5, was released, resulting in the difference between risk and controls used by the company's with the latest version of COBIT. Therefore, companies need to reassess the latest version of COBIT in the determination current applicable processes and the identification of risks and controls to be applied to the company. This study concluded that there are 16 processes in COBIT 5, which are relevant to the application of the Sarbanes-Oxley Act and 7 of them have not been fully implemented by the company. Risk and control the details that need to be applied also described in this study.

Keywords: IT Governance, COBIT, Sarbanes-Oxley

vii



DAFTAR ISI

HALAMAN PERNYATAAN ORISINALITAS.................................................... ii HALAMAN PENGESAHAN................................................................................ iii KATA PENGANTAR ........................................................................................... iv PERNYATAAN PERSETUJUAN PUBLIKASI ..................................................... KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .................................. v ABSTRAK ............................................................................................................. vi ABSTRACT .......................................................................................................... vii DAFTAR ISI ........................................................................................................ viii DAFTAR GAMBAR .............................................................................................. x DAFTAR TABEL .................................................................................................. xi BAB 1 ..................................................................................................................... 1 PENDAHULUAN .................................................................................................. 1 1.1. Latar Belakang.............................................................................................. 1 1.2. Permasalahan Penelitian ............................................................................... 3 1.3. Pertanyaan Penelitian ................................................................................... 4 1.4. Batasan Penelitian ........................................................................................ 4 1.5. Tujuan Penelitian .......................................................................................... 4 BAB 2 ..................................................................................................................... 5 LANDASAN TEORI .............................................................................................. 5 2.1. IT Governance .............................................................................................. 5 2.2. COBIT (Control Objectives for Information and related Technology) ....... 6 2.2.1 COBIT 4.1 .............................................................................................. 7 2.2.2 COBIT 5 ................................................................................................. 9 2.3. IT SOX Compliance .................................................................................... 12 2.4. COBIT dalam IT SOX Compliance ............................................................ 14 BAB 3 ................................................................................................................... 16 METODOLOGI PENELITIAN ............................................................................ 16 3.1. Pengumpulan Data ..................................................................................... 17 3.2. Teknik Analisa Data ................................................................................... 17 3.2.1 Pemetaan antara Proses COBIT 4.1 dengan PCAOB Control Activities ....................................................................................................................... 18 3.2.2 Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5.............. 18 3.2.3 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 ........................................................................................................ 18 3.2.4 Gap Analysis ......................................................................................... 18 3.2.5 Identifikasi Risiko ................................................................................. 19 3.2.6 Identifikasi Kontrol ............................................................................... 19 BAB 4 ................................................................................................................... 20 HASIL PENELITIAN DAN PEMBAHASAN .................................................... 20 4.1. Profil PT. XYZ Tbk.................................................................................... 20 4.1.1 Profil Umum ......................................................................................... 20 4.1.3 Profil Tata Kelola Teknologi Informasi ............................................... 23 4.2. Pemetaan antara Proses COBIT 4.1 dengan Proses PCAOB Control Activities ............................................................................................................ 23 4.3. Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 ................... 25 viii



4.4. Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 ........................................................................................................................... 26 4.5. Gap Analysis............................................................................................... 44 4.6. Identifikasi Risiko ...................................................................................... 56 4.7. Identifikasi Kontrol .................................................................................... 57 4.7.1 Identifikasi Aktivitas ............................................................................ 57 4.7.2 Identifikasi Peran dan Tanggung Jawab ............................................... 62 BAB 5 ................................................................................................................... 71 PENUTUP ............................................................................................................. 71 5.1. Kesimpulan ............................................................................................. 71 5.2. Saran ....................................................................................................... 73 DAFTAR PUSTAKA ........................................................................................... 74 LAMPIRAN 1 Pemetaan Control Objective COBIT 4.1 dengan Management Practice COBIT 5 ................................................................................................. 76 LAMPIRAN 2 Dokumen Pendukung Gap Analysis ............................................. 85

ix



DAFTAR GAMBAR

Gambar 2.1 Kerangka Kerja COBIT 4.1 ................................................................ 8 Gambar 2.2 Kerangka Kerja COBIT 5 ................................................................. 11 Gambar 3.1 Tahapan Penelitian ............................................................................ 16 Gambar 3.2 Kerangka Pemikiran Penelitian ......................................................... 16 Gambar 4.1 Struktur Organisasi Perusahaan XYZ ............................................... 21 Gambar 4.2 Struktur Organisasi TI XYZ.............................................................. 22

x



DAFTAR TABEL

Tabel 4.1 Pemetaan Proses COBIT 4.1 Terhadap PCAOB Control Activities ..... 24 Tabel 4.2 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 ................................................................................................................ 27 Tabel 4.3 Management Practice yang Relevan Dengan SOX .............................. 33 Tabel 4.4 Status Penerapan Management Practice ............................................... 45 Tabel 4.5 Rangkuman Status Penarapan ............................................................... 55 Tabel 4.6 Risiko Terkait........................................................................................ 56 Tabel 4.7 Aktivitas Terkait ................................................................................... 57 Tabel 4.8 Pembagian Peran Berdasarkan COBIT 5 .............................................. 63 Tabel 4.9 Penanggung Jawab Pelaksana di Perusahaan........................................ 64 Tabel 4.10 Penanggung Jawab Utama di Perusahaan ........................................... 66 Tabel 4.11 Pihak yang Perlu Dimintai Pendapat .................................................. 67 Tabel 4.12 Pihak yang Perlu Mengetahui Keputusan ........................................... 69

xi



BAB 1 PENDAHULUAN

1.1. Latar Belakang Teknologi Informasi (TI) dinilai dapat membantu perusahaan untuk mendukung strategi bisnisnya dengan mendukung proses bisnis dan operasional, mendukung proses pengambilan keputusan manajemen dan mendukung strategi bisnis untuk mencapai keunggulan kompetitif. Setelah kasus Enron pada tahun 2001, tata kelola perusahaan dianggap semakin penting, dan TI memiliki peran yang sangat penting dalam meningkatkan tata kelola perusahaan secara keseluruhan. Terdapat beberapa hal yang menjadi faktor pendorong dibutuhkannya tata kelola TI dalam perusahaan, sebagai berikut (IMPACT, 2005): x

Kurangnya akuntabilitas dan kejelasan tanggung jawab layanan dan proyek TI.

x

Perbedaan antara persepsi kebutuhan bisnis oleh departemen TI dan persepsi layanan yang dapat diberikan oleh departemen TI kepada bisnis perusahaan.

x

Organisasi dan pihak manajemen tingkat atas perlu mendapatkan pemahaman atas nilai tambah yang dihasilkan dari penggunaan TI dan alasan yang mendasari pembangunan infrastruktur TI sehubungan dengan tujuan bisnis perusahaan.

x

Kesadaran bahwa TI adalah suatu sistem yang kompleks dan kondisi yang unik sehingga kebutuhan untuk menerapkan manajemen dan kontrol yang baik menjadi lebih besar.

Dengan penerapan tata kelola yang baik, beberapa manfaat yang dapat diperoleh perusahaan adalah sebagai berikut: x

Transparansi dan Akuntabilitas o Peningkatan transparansi biaya, proses dan portfolio TI o Akuntabilitas pengambilan keputusan yang jelas.

1



2

x

Return on Investment (ROI) / Stakeholder Value o Peningkatan pemahaman mengenai keseluruhan biaya TI dan hubungannya dengan ROI. o Menggabungkan

pemotongan

biaya

untuk

menjadi

alasan

investasi. o Stakeholder dapat melihat risiko maupun keuntungan yang berhubungan dengan TI. o Meningkatkan kontribusi pada stakeholder. o Peningkatan reputasi dan citra perusahaan. x

Peluang dan Kemitraan o Jalan untuk peluang yang sebelumnya tidak diperhatikan sebelumnya. o Posisi TI sebagai partner bisnis dan kemitraan yang dimiliki.. o Pendekatan yang konsisten untuk menanggulangi risiko. o Kemungkinan partisipasi TI dalam strategi bisnis yang dapat terlihat dari strategi TI dan juga sebaliknya. o Peningkatan respon terhadap peluang dan tantangan pasar.

x

Performance Improvement o Identifikasi yang jelas mengenai suatu layanan atau proyek TI terhadap nilai tambah di kemudian hari. o Peningkatan transparansi sehingga meningkatkan standar kinerja. o Peningkatan kinerja dapat mengarah pada pencapaian ‘best practice’. o Terhindar dari pengeluaran yang tidak diperlukan karena setiap pengeluaran dicocokan dengan tujuan bisnis.

x

External Compliance o Memungkinkan suatu pendekatan terpadu untuk memenuhi hukum dan peraturan yang berlaku.

Sehubungan dengan tata kelola perusahaan, PT XYZ Tbk. (XYZ) meyakini bahwa penerapan tata kelola perusahaan yang baik adalah kunci untuk meningkatkan pertumbuhan serta menjamin keberlanjutan bisnis. Selain itu, sebagai perusahaan publik yang mencatatkan sahamnya di Bursa Efek Indonesia Universitas Indonesia


3

(BEI) dan New York Stock Exchange (NYSE), XYZ juga mempunyai kewajiban untuk mematuhi peraturan pasar modal Indonesia dan di Amerika Serikat, termasuk Pasal 404 dari US Sarbanes-Oxley Act mengenai pengendalian internal dalam pelaporan keuangan. Sarbanes-Oxley Act mensyaratkan organisasi untuk memilih dan menerapkan kerangka kontrol internal yang sesuai, sehingga organisasi membutuhkan panduan untuk menangani komponen TI yang berkaitan dengan pelaporan keuangan secara keseluruhan. Khusus untuk IT – SOX Compliance, perusahaan mengacu pada kerangka kerja COBIT (Control Objectives for Information and related Technology). COBIT merupakan kerangka kerja yang ditetapkan untuk membantu menyediakan suatu alat bantu untuk mengembangkan sistem yang lebih baik pada tata kelola TI dalam suatu organisasi. Pada dasarnya, struktur COBIT menawarkan best practice untuk menilai proses bisnis suatu organisasi. Selanjutnya organisasi tersebut dapat mengidentifikasi, memperbaiki atau memodifikasi setiap kelemahan dalam berbagai aspek TI yang terkait. Penggunaan COBIT dapat membantu bisnis menuju kepatuhan terhadap peraturan karena kerangka kerja tersebut secara sistematis

menguraikan

langkah-langkah

yang

perlu

dilakukan

untuk

menyesuaikan dengan peraturan perundang-undangan. 1.2. Permasalahan Penelitian Pada tahun 2012, IT Governance Institute (ITGI) meluncurkan versi terbaru dari kerangka kerja COBIT, yaitu COBIT 5. Sebelumnya, perusahaan menggunakan COBIT 4.1, yang dijembatani dengan Control Objectives for Sarbanes-Oxley sebagai dasar penentuan proses TI yang dapat diterapkan di perusahaan. Proses TI tersebut digunakan sebagai dasar identifikasi risiko dan kontrol yang seharusnya diterapkan oleh perusahaan untuk mencapai tata kelola TI yang baik. Peluncuran COBIT versi terbaru mengakibatkan munculnya perbedaan antara risiko dan kontrol yang digunakan perusahaan dengan COBIT 5. Oleh karena itu, perusahaan merasa perlu menerapkan COBIT 5 dalam penentuan proses TI dan identifikasi risiko dan kontrol untuk diterapkan perusahaan.



4

1.3. Pertanyaan Penelitian x

Proses TI apa saja yang dapat diterapkan pada PT. XYZ Tbk. berdasarkan COBIT 5?

x

Bagaimana kondisi implementasi proses-proses tersebut saat ini di perusahaan?

x

Risiko apa saja yang terkait dengan proses TI tersebut yang terdapat pada PT. XYZ Tbk?

x

Kontrol apa yang harus diterapkan untuk menanggulangi risiko TI tersebut?

1.4. Batasan Penelitian Penelitian ini dibatasi oleh hal – hal berikut: x

Studi kasus pada PT. XYZ Tbk untuk kondisi proses TI dalam 1 tahun terakhir.

x

Penggunaan COBIT 5 sebagai acuan dalam atribut proses TI dan identifikasi risiko dan kontrol terkait.

1.5. Tujuan Penelitian Dari latar belakang, permasalahan dan pertanyaan penelitian yang telah dijelaskan sebelumnya, penulis menyusun penelitian ini untuk mencapai beberapa tujuan berikut: x

Mengetahui proses TI yang dapat diterapkan pada perusahaan berdasarkan COBIT 5.

x

Mengetahui status penerapan proses TI tersebut di perusahaan.

x

Identifikasi risiko yang terkait dengan proses TI tersebut.

x

Identifikasi aktivitas dan pembagian tanggung jawab di perusahaan untuk menanggulangi risiko TI tersebut.



BAB 2 LANDASAN TEORI

2.1. IT Governance Definisi IT Governance atau Tata Kelola TI menurut IT Governance Institute (2011) adalah sebagai berikut: “ IT governance is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategies and objectives. “ Dari definisi tersebut, tata kelola TI merupakan bagian yang tidak terpisahkan dari tata kelola perusahaan secara keseluruhan. Tata kelola TI terdiri dari struktur organisasi dan kepemimpinan TI, serta proses yang memastikan bagian TI perusahaan dapat mendukung dan mengembangkan strategi dan tujuan perusahaan. Untuk menerapkan tata kelola TI pada suatu organisasi atau perusahaan, tersedia beberapa kerangka kerja yang dapat digunakan, antara lain: x

COBIT (Control Objectives for Information and related Technology), fokus pada manajemen risiko TI.

x

IT Infrastructure Library (ITIL) dan ISO 20000 dengan fokus pada manajemen layanan TI.

x

ISO 17799 / ISO 27001 dengan fokus pada keamanan informasi.

Menurut IT Governance Institute (2011), tujuan dari penerapan tata kelola TI adalah untuk memastikan bahwa kinerja TI telah memenuhi tujuan sebagai berikut: x

TI selaras dengan perusahaan dan dapat merealisasikan manfaat yang dijanjikan.

x

TI menjadi enabler perusahaan dengan memanfaatkan peluang dan memaksimalkan manfaat yang dihasilkan.

x

Sumber daya TI digunakan secara bertanggung jawab.

x

Risiko yang berkaitan dengan TI dikelola dengan tepat. 5



6

2.2. COBIT (Control Objectives for Information and related Technology) COBIT merupakan kerangka kerja yang disusun pertama kali oleh IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA) pada tahun 1992. Kerangka kerja ini mengalami beberapa kali revisi sampai versi terakhir, COBIT 5 yang dikeluarkan pada tahun 2012. COBIT menyediakan panduan praktik pada domain dan kerangka kerja proses dan menyajikan aktivitas-aktivitasnya secara terstruktur. Praktik-praktik tersebut merepresentasikan kesepakatan para ahli dan diharapkan akan membantu mengoptimalkan investasi TI, memastikan kualitas pelayanan dan memberikan pengukuran untuk menilai saat terjadi hal-hal yang salah. COBIT adalah suatu kerangka kerja dan pendukung yang memungkinkan manajemen menjembatani kesenjangan antara kebutuhan kontrol, masalah teknis dan risiko bisnis, juga untuk mengkomunikasikan tingkat kontrol kepada para stakeholder. COBIT memungkinkan pengembangkan kebijakan yang jelas dan praktik yang baik untuk kontrol TI di seluruh perusahaan. Oleh karena itu, COBIT menjadi pemersatu praktik TI yang baik dan memayungi tata kelola TI untuk membantu memahami dan mengelola risiko dan manfaat yang terkait dengan TI. Struktur proses pada COBIT dengan pendekatan tingkat tinggi dan berorientasi bisnis memberikan pandangan yang menyeluruh dari TI dan keputusan yang harus dibuat mengenai TI. Manfaat dari penerapan COBIT sebagai kerangka tata kelola TI antara lain: x

Keselarasan yang baik berdasarkan fokus terhadap bisnis perusahaan.

x

Suatu pandangan yang dapat dimengerti oleh manajemen mengenai apa yang dilakukan oleh TI.

x

Kepemilikan dan tanggung jawab yang jelas dengan berorientasi pada proses.

x

Penerimaan general dengan pihak ketiga dan regulator.

x

Pemahaman bersama antara seluruh stakeholder berdasarkan bahasa yang umum.

x

Pemenuhan persyaratan The Committee of Sponsoring Organizations of the Treadway Commission (COSO) untuk lingkungan pengendalian TI.



7

2.2.1 COBIT 4.1 Kerangka kerja COBIT 4.1 terdiri dari empat domain sebagai berikut: x

Plan and Organise Domain ini mencakup strategi dan memperhatikan identifikasi kontribusi TI terhadap pencapaian dan tujuan bisnis. Realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi dan infrastruktur teknologi yang baik harus diterapkan. Domain ini biasanya membahas hal-hal berikut: o Apakah TI dan strategi bisnis telah diselaraskan? o Apakah perusahaan mencapai hasil optimal dari penggunaan sumber dayanya? o Apakah setiap orang di organisasi memahami tujuan TI? o Apakah risiko TI dimengerti dan telah dikelola? o Apakah kualitas TI telah sesuai dengan kebutuhan bisnis?

x

Acquire and Implement Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh dari pihak lain, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada tercakup dalam domain ini untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Domain ini biasanya membahas hal-hal berikut: o Apakah proyek baru akan memberikan solusi yang memenuhi kebutuhan bisnis? o Apakah proyek baru akan selesai tepat waktu dan sesuai anggaran? o Apakah

sistem

baru

bekerja

dengan

baik

ketika

diimplementasikan? o Apakah perubahan dapat dilakukan tanpa mengganggu operasi bisnis saat ini?



8

Gambar 2.1 Kerangka Kerja COBIT 4.1 (COBIT 4.1)

x

Deliver and Support Domain ini berkaitan dengan penyampaian layanan yang dibutuhkan, yang mencakup pelayanan, pengelolaan keamanan dan kontinuitas, layanan dukungan bagi pengguna, dan pengelolaan data dan fasilitas operasional. Domain ini biasanya membahas hal-hal berikut:



9 o Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis? o Apakah biaya TI telah optimal? o Apakah tenaga kerja dapat menggunakan sistem TI secara produktif dan aman? o Apakah telah tersedia kerahasiaan yang memadai, integritas dan ketersediaan atas keamanan informasi? x

Monitor and Evaluate Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk memastikan kualitasnya dan untuk mematuhi persyaratan kontrol. Domain ini mencakup manajemen kinerja, monitoring atas pengendalian internal, serta kepatuhan terhadap peraturan dan tata kelola. Domain ini biasanya membahas hal-hal manajemen berikut: o Apakah kinerja TI telah diukur untuk mendeteksi masalah sebelum terlambat? o Apakah manajemen memastikan bahwa kontrol internal berjalan secara efektif dan efisien? o Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis? o Apakah telah tersedia kontrol yang memadai atas kerahasiaan, integritas dan ketersediaan atas keamanan informasi?

Diagram kerangka kerja COBIT 4.1. dapat dilihat pada Gambar 2.1. 2.2.2 COBIT 5 Kerangka kerja COBIT 5 terdiri dari lima prinsip dalam mencapai tata kelola TI, sebagai berikut: x

Meeting Stakeholder Needs Suatu perusahaan dibangun untuk menciptakan nilai bagi para stakeholder dengan menyeimbangkan manfaat dan optimasi dari risiko dan sumber daya yang dimanfaatkan. COBIT 5 bertujuan untuk mendukung penciptaan nilai bisnis melalui penggunaan TI. COBIT 5 juga dapat disesuaikan dengan setiap tujuan perusahaan yang berbedabeda.

x

Covering the Enterprise End-to-end Universitas Indonesia


10

COBIT 5 mengintegrasikan tata kelola TI dalam tata kelola perusahaan dengan mencakup seluruh fungsi. Tidak hanya fokus terhadap fungsi TI, melainkan menganggap informasi dan teknologi sebagai aset yang perlu diperlakukan seperti aset-aset penting lain di perusahaan. x

Applying a Single, Integrated Framework COBIT 5 selaras dengan standar dan kerangka kerja lain yang relevan untuk mencapai tata kelola TI yang baik.

x

Enabling a Holistic Approach Tata kelola TI yang efektif dan efisien membutuhkan pendekatan yang menyeluruh dan mencakup seluruh komponen yang terkait. COBIT 5 mendefinisikan kumpulan enabler yang dimaksudkan setiap hal yang dapat membantu pencapaian tujuan perusahaan.

x

Separating Governance From Management COBIT 5 memperjelas perbedaan governance dan management. Kedua disiplin tersebut mencakup aktivitas yang berbeda. Governance ditujukan untuk memastikan bahwa kebutuhan stakeholder, kondisi yang ada, dan pilihan yang tersedia dievaluasi untuk menyeimbangkan tujuan yang akan dicapai, dan melakukan monitoring terhadap kinerja dan kesesuaian pencapaian terhadap tujuan tersebut. Sedangkan management diartikan untuk merencanakan aktivitas yang selaras dengan tujuan yang ditentukan pada proses governance.



11

Gambar 2.2 Kerangka Kerja COBIT 5 (COBIT 5, A Business Framework for the Governance and Management of Enterprise IT)

Proses model COBIT 5 membagi proses TI menjadi dua domain utama, yaitu: x

Governance Mengandung 5 proses governance dan di setiap prosesnya mendefinisikan praktik Evaluate, Direct and Monitor (EDM).

x

Management Mengandung empat domain yang mencakup proses TI secara end-toend. Domain tersebut merupakan evolusi dari domain dan proses COBIT 4.1, yaitu: o Align, Plan and Organise (APO) o Build, Acquire and Implement (BAI) o Deliver, Service and Support (DSS) o

Monitor, Evaluate and Assess (MEA)



12

2.3. IT SOX Compliance Spears (2009) menyatakan bahwa penetapan Sarbanes-Oxley (SOX) pada tahun 2002 telah meningkatkan kesadaran untuk mengelola risiko keamanan sehingga meningkatkan kualitas pengelolaan risiko perusahaan. Hal ini dapat dilihat dari semakin banyaknya kontrol akses yang efektif, dan dibangunnya aplikasi untuk mendukung keamanan informasi tersebut. Kepatuhan pada kebutuhan SOX juga dinilai sebagai kesempatan bagi perusahaan untuk meningkatkan investasi untuk mendukung keamanan informasi. Menurut Adaikkappan (2009), audit TI dapat berkontribusi dalam perjalanan keamanan informasi dari suatu perusahaan dengan menggunakan pendekatan proaktif dalam menganalisa dan mengaudit keamanan informasi. Seluruh kontrol kunci yang teridentifikasi harus diperiksa untuk memberikan level kepastian yang sesuai bagi petinggi perusahaan dan audit committee. Peraturan SOX terdiri dari beberapa bagian yang dirancang untuk meningkatkan kualitas dan integritas dari laporan keuangan perusahaan. Salah satu bagian tersebut berdampak langsung pada kontrol IT, yaitu bagian 404, Management Assessment of Internal Controls. Bagian 404 mewajibkan perusahaan untuk memasukkan hal – hal berikut dalam laporan keuangan tahunan: x

Kewajiban manajemen untuk memiliki kontrol internal yang cukup dalam proses pembuatan laporan keuangan.

x

Kerangka kerja yang digunakan sebagai kriteria penilaian efektifitas kontrol internal dalam proses pembuatan laporan keuangan.

x

Penilaian manajemen atas efektifitas dari internal kontrol dalam proses pembuatan laporan keuangan dan mengungkapkan kelemahan yang material.

Untuk memenuhi ketentuan tersebut, auditor independen harus memastikan penilaian manajemen atas efektifitas kontrol internal atas laporan keuangan. Oleh karena itu, perusahaan harus memastikan bahwa kontrol TI berjalan dengan baik. Menurut Chaudhuri et al (2009), TI adalah layanan yang terintegrasi dalam audit keuangan. Untuk menghindari ketidakterhubungan dengan tujuan bisnis secara keseluruhan, perusahaan perlu memiliki kontrol TI yang baik dalam kontrol Universitas Indonesia


13

internalnya. Kontrol harus berjalan untuk memastikan akurasi, kelengkapan, validitas dan keamanan suatu transaksi. Secara umum, kontrol pengamanan harus terdapat pada input, proses dan output suatu transaksi. Perusahaan yang terdaftar pada New York Stock Exchange (NYSE) dan harus memenuhi ketentuan Sarbanes-Oxley Act mungkin merasa kesulitan dalam mengidentifikasi tangible value dari kontrol aplikasi, tetapi seringkali terbukti bahwa kontrol aplikasi berperan penting dalam efisiensi dan efektivitas suatu perusahaan untuk memenuhi peraturan SOX tersebut. Kontrol aplikasi membutuhkan biaya lebih murah dalam proses auditnya karena suatu kontrol aplikasi yang telah berjalan dengan baik memerlukan pemeriksaan dengan frekuensi lebih sedikit, Dengan mengurangi kemungkinan human error, perusahaan juga dapat meningkatkan kualitas control environment secara keseluruhan. Penggunaan kontrol aplikasi menurunkan biaya dari pemeriksaan tahunan dengan menggantikan pemeriksaan manual yang lambat, penuh kemungkinan kesalahan dan kebutuhan untuk pemeriksaan dengan jumlah sampel yang banyak dengan proses observasi aplikasi secara lebih efisien. Tetapi keuntungan terbesar dari otomasi kontrol adalah dengan menurunkan inherent risk pada proses bisnis secara keseluruhan. Mehta (2009) menyatakan bahwa cara yang paling tepat untuk menentukan ruang lingkup dan kedalaman pemeriksaan dengan melakukan risk assessment dengan menitikberatkan risiko yang berkaitan dengan kebutuhan SOX, seperti integritas data dan kesalahan penyajian laporan keuangan, secara khususnya terkait dengan IT General Control (ITGC) pada sistem terkait. Dengan menggunakan pendekatan tersebut yang menitikberatkan pada parameter kritikal dari sudut pandang SOX ITGC, auditor dapat menghemat banyak waktu, usaha, beban kerja, dan juga uang. Risk assessment yang dilakukan secara benar dapat digunakan perusahaan sebagai dasar untuk meyakinkan bahwa seluruh sistem telah divalidasi dan diperiksa sesuai dengan aturan SOX. Hal ini akan mengurangi kemungkinan defisiensi yang signifikan. Jika ruang lingkup ITGC sudah memadai, jumlah prosedur manual



14

yang harus dilakukan juga akan berkurang, sehingga akan menurunkan biaya secara keseluruhan. SOX

menimbulkan

kesempatan

yang

baik

kepada

auditor

TI

untuk

menanggulangi risiko dengan merekomendasikan cara untuk meningkatkan tata kelola TI yang sudah diterapkan dan memastikan bahwa program SOX - TI terintegrasi dalam budaya perusahaan. Rozek (2008) menyatakan bahwa terdapat lebih dari satu proses yang dibutuhkan untuk menjawab kebutuhan SOX - TI. Dengan memiliki proses yang berbasiskan pada tata kelola, perusahaan dapat mengurangi waktu dan biaya yang harus dikeluarkan dan kesulitan yang dialami dalam proses remediasi. Proses yang telah berulang kali dilakukan juga dapat meningkatkan

kepercayaan

terhadap

arsitektur

kontrol

perusahaan

dan

meningkatkan kesadaran atas kontrol dalam perusahaan secara keseluruhan. Hal itu juga memungkinkan dilakukannya program monitoring kontrol secara berkelanjutan. Hasil penelitian Grant dan Miller (2008) menyatakan bahwa perusahaan dapat meningkatkan kualitas laporan keuangan secara keseluruhan dan menurunkan jumlah eror secara signifikan dengan mengurangi defisiensi pada kontrol IT. Penelitian tersebut juga menyatakan bahwa perusahaan yang memiliki defisiensi pada kontrol TI mengeluarkan biaya audit yang lebih tinggi. Hasil penelitian Velichety et al. (2007) menyatakan bahwa kontrol internal dapat membantu manajemen untuk mencapai tujuan bisnis perusahaan. Penelitian tersebut juga menyatakan bahwa standarisasi proses TI dan kesiapan manajemen untuk mengotomasi kontrol TI berkontribusi aktif dalam kesuksesan implementasi SOX. Perusahaan juga mendapat keuntungan yang signifikan dari investasi yang dilakukan untuk mencapai kepatuhan SOX tersebut. Beberapa industri juga mendapatkan keuntungan yang spesifik dan lebih luas dari investasi atas Sarbanes-Oxley. 2.4. COBIT dalam IT SOX Compliance Secara umum menurut SANS (2005), kerangka kerja COSO Internal Control – Integrated Framework (Control Framework) merupakan kerangka kerja yang diakui sebagai standar kontrol internal organisasi untuk mengimplementasi dan Universitas Indonesia


15

mengevaluasi kontrol internal untuk memenuhi peraturan SOX, PCAOB (Public Company Accounting Oversight Board, organisasi pemerintahan pengawas implementasi SOX) Standard 2, dan SEC (US Securities and Exchange Commission). Oleh karena itu, mayoritas perusahaan menggunakan kerangka kerja tersebut untuk memenuhi regulasi SOX. COSO membahas mengenai bagaimana risiko seharusnya diidentifikasi dan kontrol untuk menanggulangi risiko tersebut. Hal tersebut mengacu pada kontrol manual dan otomatis. Untuk kontrol otomatis, hal tersebut perlu didukung oleh ITGC yang tepat. Pada kebanyakan perusahaan dengan ukuran apapun, terjadi perpindahan data antara grup-grup yang berbeda dan antara berbagai aplikasi TI yang digunakan, sejak dari transaksi yang dilakukan, sampai kepada laporan yang harus disahkan oleh pemimpin perusahaan. Oleh karena itu, harus dilakukan pemeriksaan atas akurasi data dan hal tersebut membutuhkan keyakinan bahwa seluruh prosedur dan kontrol yang dilakukan sudah dilakukan dengan benar. Banyak pengamat yang menunjukkan bahwa COSO saja tidak cukup untuk mengidentifikasi, mendokumentasikan, dan mengevaluasi kontrol-kontrol TI yang diperlukan untuk mematuhi regulasi SOX. Kerangka kerja COBIT dirancang untuk mengatasi masalah tersebut. COBIT merupakan interpretasi dari COSO dilihat dari sudut pandang TI. ITGI secara khusus mengemukakan bahwa prioritas pertama perusahaan adalah dapat menunjukkan bahwa terdapat kontrol TI yang kuat terhadap mekanisme pelaporan keuangan. COBIT merupakan pendekatan yang menyeluruh untuk mengelola risiko dan kontrol teknologi informasi dan COBIT dapat diadopsi sebagai panduan untuk upaya kepatuhan Sarbanes-Oxley.



BAB 3 METODOLOGI PENELITIAN Secara umum, metodologi yang digunakan dalam penelitian ini adalah kualitatif dengan studi kasus. Tahapan penelitian digambarkan pada Gambar 3.1 berikut:

Gambar 3.1 Tahapan Penelitian

Kerangka pemikiran penelitian ini dapat dilihat pada Gambar 3.2 berikut:

Gambar 3.2 Kerangka Pemikiran Penelitian

16



17

3.1. Pengumpulan Data Penelitian ini menggunakan beberapa jenis data, yaitu: x

Data primer mengenai kondisi yang terkait dengan studi kasus akan dikumpulkan dengan cara wawancara terhadap pihak utama terkait tata kelola teknologi informasi di perusahaan. Wawancara dilakukan dengan pertanyaan yang semi terstruktur untuk mendapatkan informasi yang rinci, tetapi tetap berada pada koridor penelitian. Data primer dibutuhkan untuk menjelaskan kondisi atas setiap proses TI yang berlaku di perusahaan, dan status penerapan proses-proses tersebut.

x

Data sekunder mengenai kerangka kerja dan teori yang digunakan, atribut pengukuran, dan best practice yang dijadikan tujuan akan dikumpulkan dengan studi literatur terhadap jurnal-jurnal nasional dan internasional, dokumentasi dan panduan kerangka kerja, maupun penelitian sejenis yang pernah dilakukan sebelumnya. Data sekunder yang akan digunakan adalah COBIT 4.1, COBIT 5 Enabling Process, dan IT Control Objectives for Sarbanes-Oxley (The Role of IT in the Design and Implementation of Internal Control over Financial Reporting) 2nd Edition.

3.2. Teknik Analisa Data Penelitian ini menggunakan teknik analisa kualitatif untuk mendapatkan pengertian secara mendalam dan keseluruhan atas proses TI yang terjadi dalam perusahaan studi kasus. Sesuai dengan kerangka penelitian, analisa data yang akan dilakukan adalah sebagai berikut: x

Analisa pemetaan proses COBIT 4.1 dengan PCAOB IT General Controls

x

Analisa pemetaan proses COBIT 4.1 dengan proses COBIT 5

x

Pemetaan antara proses COBIT for SOX dengan proses COBIT 5

x

Gap Analysis

x

Identifikasi Risiko

x

Identifikasi Kontrol Universitas Indonesia


18

3.2.1 Pemetaan antara Proses COBIT 4.1 dengan PCAOB Control Activities Pada tahap ini, penulis melakukan analisa singkat mengenai proses mana saja pada COBIT 4.1 yang selaras dengan PCAOB Control Activities. Analisa akan dilakukan dengan mengacu pada dokumen IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition dan akan menghasilkan proses COBIT 4.1 yang digunakan dalam relevan dengan penerapan SOX. 3.2.2 Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 Pada tahap ini, penulis akan melakukan analisa pemetaan antara proses COBIT 4.1 dengan proses COBIT 5. COBIT 4.1 memiliki 34 proses TI, sedangkan COBIT 5 memiliki 37 proses TI. Asumsi yang digunakan adalah setiap proses COBIT 4.1 terdapat juga dalam COBIT 5, dengan nama proses yang mungkin berbeda. Analisa akan menghasilkan proses pada COBIT 5 yang merupakan pasangan dari proses COBIT 4.1. Pemetaan dilakukan dengan mengacu pada dokumen COBIT 5: Enabling Process dan pada dokumen tersebut pemetaan dilakukan satu level lebih detail yaitu pada level Management Practice. Pemetaan ini perlu dilakukan untuk menjembatani pemetaan antara proses COBIT 5 dengan PCAOB Control Activities. 3.2.3 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Pada tahap ini, penulis akan melakukan pemetaan silang antara hasil pemetaan pada 3.2.1 dengan 3.2.2. Dari pemetaan silang tersebut, akan menghasilkan Management Practice COBIT 5 yang relevan dengan penerapan SOX di perusahaan. 3.2.4 Gap Analysis Pada tahap ini, penulis akan melakukan analisa terhadap status penerapan setiap proses yang dihasilkan pada 3.2.3 di perusahaan berdasarkan best practice yang pada COBIT 5 disebut sebagai Management Practice. Output



19

dari proses ini adalah identifikasi Management Practice yang telah diterapkan dan yang belum sepenuhnya diterapkan. 3.2.5 Identifikasi Risiko Untuk setiap proses yang dianggap belum sepenuhnya diterapkan, dilakukan identifikasi risiko terkait proses tersebut. Identifikasi risiko dilakukan dengan mengacu kepada profil risiko perusahaan. Output dari proses ini adalah daftar risiko di perusahaan terkait dengan setiap proses TI yang berlaku sesuai dengan tujuan penyajian laporan keuangan. 3.2.6 Identifikasi Kontrol Dari setiap risiko yang teridentifikasi, dilakukan identifikasi kontrol yang diperlukan untuk menanggulangi risiko-risiko tersebut. Output dari proses ini adalah rincian kontrol dan aktivitas terkait penerapan proses yang juga menanggulangi risiko yang teridentifikasi.



BAB 4 HASIL PENELITIAN DAN PEMBAHASAN

Bab ini menjelaskan tentang hasil yang diperoleh dari penelitian. Selanjutnya dijelaskan analisis yang dilakukan terhadap hasil penelitian sesuai dengan tujuan di awal. Tahapan analisis dijelaskan menurut metode yang digunakan dalam penelitian. 4.1. Profil PT. XYZ Tbk. 4.1.1 Profil Umum PT. XYZ Tbk, (XYZ), merupakan suatu perusahaan di bidang telekomunikasi di Indonesia yang fokus pada tiga jenis usaha utama yaitu: x

Jasa Seluler

x

Jasa Multimedia, Komunikasi Data dan Internet

x

Jasa Komunikasi Tetap

Visi XYZ adalah menjadi pilihan utama pelanggan untuk seluruh kebutuhan informasi dan komunikasi. Untuk mencapai visi tersebut, perusahaan memiliki beberapa misi, yaitu: x

Menyediakan dan mengembangkan produk, layanan dan solusi inovatif yang berkualitas untuk memberikan nilai lebih bagi para pelanggan.

x

Meningkatkan shareholders value secara terus menerus.

x

Mewujudkan kualitas kehidupan yang lebih baik bagi stakeholder.

Jumlah karyawan yang mendukung operasional perusahaan mencapai 3,800 karyawan tetap dan sekitar 600 karyawan outsource. Struktur organisasi perusahaan dapat dilihat pada Gambar 4.1 berikut.

20



21

Gambar 4.1 Struktur Organisasi Perusahaan XYZ



22

4.1.2 Profil Teknologi Informasi Teknologi informasi perusahaan dikelola oleh dua Group utama yaitu Group IT Planning dan Group IT Operation, keduanya berada di bawah Direktorat Teknologi (Director & Chief Technology Officer). Struktur organisasi dalam kedua Group tersebut dijelaskan pada Gambar 4.2 berikut.

Gambar 4.2 Struktur Organisasi TI XYZ

Tanggung jawab utama dari Group IT Planning adalah mengembangkan dan mengelola strategi dan arsitektur TI, mengembangkan solusi TI berdasarkan kebutuhan bisnis, mengelola proyek pengembangan sistem atau aplikasi yang akan diserahkan ke pengguna bisnis, dan melakukan evaluasi dan analisa kinerja sistem TI yang ada untuk memastikannya selalu bekerja dengan baik. Sedangkan tanggung jawab utama dari Group IT Operation adalah mengelola kualitas sistem sesuai dengan tingkat layanan yang diperlukan oleh perusahaan, pengguna bisnis dan pelanggan, berkoordinasi dengan pihak internal dan ketiga untuk pemecahan masalah, permintaan pengguna akses, dan pelaporan, mengelola kontrak pemeliharaan dengan menjalankan review atas kinerja pihak ketiga. Universitas Indonesia


23

4.1.3 Profil Tata Kelola Teknologi Informasi Pihak utama yang mendukung Tata Kelola Teknologi Informasi di XYZ terimplementasi dengan baik sampai level operasional adalah Internal Audit Group (IAG) dan Risk Management Group (RMG). IAG bertanggung jawab untuk memberikan rekomendasi audit independen dan jaminan atas kelayakan dan efektifitas proses-proses manajemen risiko, pengendalian internal dan tata kelola perusahaan untuk memberikan nilai tambah dan meningkatkan operasional perusahaan. Sedangkan RMG bertugas untuk membantu President Director & Chief Executive Officer (CEO) dan Director & Chief Financial Officer (CFO) dalam mengelola kepatuhan perusahaan terhadap regulasi SOX, menyusun kontrol internal, serta mengembangkan dan mendokumentasikan proses identifikasi risiko kesalahan penyajian laporan keuangan. Selain itu, RMG dan IAG melakukan uji efektifitas terhadap rancangan dan implementasi faktor-faktor kunci atas penanggulangan risiko kesalahan penyajian laporan keuangan. Proses dan dokumentasi kepatuhan SOX terakhir telah dilakukan atas posisi per tanggal 31 Desember 2011 dan tidak terdapat kelemahan material dalam Internal Control over Financial Reporting (ICOFR). 4.2. Pemetaan antara Proses COBIT 4.1 dengan Proses PCAOB Control Activities ITGI (2006) memetakan proses TI pada COBIT 4.1 dengan standar audit PCAOB yang digunakan sebagai dasar Sarbanes-Oxley dalam publikasinya yang berjudul IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition. PCAOB Control Activities mencakup empat aktivitas kontrol teknologi informasi yang digunakan dalam penerapan SOX, yaitu Program Development, Program Changes, Computer Operations dan Access to Programs and Data. Pada pemetaan tersebut, dihasilkan 12 dari 34 proses pada COBIT 4.1 yang relevan dengan penerapan SOX, seperti yang tertera pada Tabel 4.1.



24

Tabel 4.1 Pemetaan Proses COBIT 4.1 Terhadap PCAOB Control Activities

Program Development

Program Changes

Computer Operations

Access to Programs and Data

PCAOB Control Activities

PO1 Define a Strategic IT Plan

8

8

8

8

PO2 Define the Information Architecture

8

8

8

8

PO3 Determine Technological Direction

8

8

8

8

Relationships

8

8

8

8

PO5 Manage the IT Investment

8

8

8

8

Direction

8

8

8

8

PO7 Manage IT Human Resources

8

8

8

8

PO8 Manage Quality

8

8

8

8

PO9 Assess and Manage IT Risks

8

8

8

8

PO10 Manage Projects

8

8

8

8

AI1 Identify Automated Solutions

8

8

8

8

AI2 Acquire and Maintain Application Software

9

9

9

9

Infrastructure

9

9

9

8

AI4 Enable Operation and Use

9

9

9

9

AI5 Procure IT Resources

8

8

8

8

AI6 Manage Changes

8

9

8

9

AI7 Install and Accredit Solutions and Changes

9

9

9

9

DS1 Define and Manage Service Levels

9

9

9

9

DS2 Manage Third-party Services

9

9

9

9

DS3 Manage Performance and Capacity

8

8

8

8

Proses COBIT 4.1

PO4 Define the IT Processes, Organisation and

PO6 Communicate Management Aims and

AI3 Acquire and Maintain Technology



25

Program Development

Program Changes

Computer Operations

Access to Programs and Data

PCAOB Control Activities

DS4 Ensure Continuous Service

8

8

8

8

DS5 Ensure Systems Security

8

8

9

9

DS6 Identify and Allocate Costs

8

8

8

8

DS7 Educate and Train Users

8

8

8

8

DS8 Manage Service Desk and Incidents

8

8

9

8

DS9 Manage the Configuration

8

8

9

9

DS10 Manage Problems

8

8

9

8

DS11 Manage Data

8

8

9

9

DS12 Manage the Physical Environment

8

8

9

9

DS13 Manage Operations

8

8

9

9

ME1 Monitor and Evaluate IT Performance

8

8

8

8

ME2 Monitor and Evaluate Internal Control

8

8

8

8

Requirements

8

8

8

8

ME4 Provide IT Governance

8

8

8

8

Proses COBIT 4.1

ME3 Ensure Compliance With External

4.3. Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 Pada saat ISACA menerbitkan COBIT 5, ISACA menerbitkan beberapa dokumen pendukung yang salah satunya adalah COBIT 5 Enabling Process. Pada dokumen tersebut bagian Lampiran A, terdapat pemetaan antara Control Objective yang terdapat pada COBIT 4.1 dengan Management Practice di COBIT 5. Pemetaan untuk keseluruhan Control Objectives dapat dilihat pada Lampiran 1.



26

4.4. Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Dari hasil kedua pemetaan pada bagian 4.2 dan 4.3, dilakukan pemetaan silang untuk mendapatkan Management Practice dalam COBIT 5 yang relevan dalam kepatuhan penerapan SOX, seperti yang terlihat pada Tabel 4.2.




Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya

BAI03.05 BAI03.01-03; BAI03.05 BAI03.03; BAI03.05 BAI03.10 BAI03.03-04 BAI03.06 BAI03.09 BAI03.10 BAI03.04 BAI03.03; DSS02.03 BAI03.10 BAI03.07-08

AI2.3 Application Control and Auditability

AI2.4 Application Security and Availability

AI2.5 Configuration and Implementation of Acquired Application Software

AI2.6 Major Upgrades to Existing System

AI2.7 Development of Application Software

AI2.8 Software Quality Assurance

AI2.9 Applications Requirements Management

AI2.10 Application Software Maintenance

AI3.1 Technological Infrastructure Acquisition Plan

AI3.2 Infrastructure Resource Protection and Availability

AI3.3 Infrastructure Maintenance

AI3.4 Feasibility Test Environment


Ya

Ya

BAI03.02

AI2.2 Detailed Design

Ya

Control Activities

COBIT 5 BAI03.01

Termasuk PCAOB

Management Practice

AI2.1 High-level Design

COBIT 4.1 Control Objective

Tabel 4.2 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5

27


Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya

BAI08.01-04 BAI08.01-04 BAI06.01-04 BAI06.01 BAI06.02 BAI06.03 BAI06.04 BAI05.05 BAI07.01; BAI07.03 BAI07.01 BAI07.04 BAI07.02 BAI07.05 BAI07.05

AI4.3 Knowledge Transfer to End Users

AI4.4 Knowledge Transfer to Operations and Support Staff

AI6.1 Change Standards and Procedures

AI6.2 Impact Assessment, Prioritisation and Authorisation

AI6.3 Emergency Changes

AI6.4 Change Status Tracking and Reporting

AI6.5 Change Closure and Documentation

AI7.1 Training

AI7.2 Test Plan

AI7.3 Implementation Plan

AI7.4 Test Environment

AI7.5 System and Data Conversion

AI7.6 Testing of Changes

AI7.7 Final Acceptance Test


Ya

Ya

BAI08.01-04

AI4.2 Knowledge Transfer to Business Management

Ya

Control Activities

COBIT 5 BAI05.05

Termasuk PCAOB

Management Practice

AI4.1 Planning for Operational Solutions


28


Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya Ya

APO09.01-06 APO09.01-03 APO09.04 APO09.04 APO09.05 APO09.06 APO10.01 APO10.03 APO10.04 APO10.05 APO13.01; APO13.03 APO13.02 DSS05.04

DS1.1 Service Level Management Framework

DS1.2 Definition of Services

DS1.3 Service Level Agreements

DS1.4 Operating Level Agreements

DS1.5 Monitoring and Reporting of Service Level Achievements

DS1.6 Review of Service Level Agreements and Contracts

DS2.1 Identification of All Supplier Relationships

DS2.2 Supplier Relationship Management

DS2.3 Supplier Risk Management

DS2.4 Supplier Performance Monitoring

DS5.1 Management of IT Security

DS5.2 IT Security Plan

DS5.3 Identity Management


Ya

Ya

BAI07.08

AI7.9 Post-implementation Review

Ya

Control Activities

COBIT 5 BAI07.06

Termasuk PCAOB

Management Practice

AI7.8 Promotion to Production


29


Ya Ya Ya Ya

DSS05.05 DSS05.03 DSS05.01 DSS05.02 DSS05.02 Deleted—ITIL 3 does not

DS5.7 Protection of Security Technology

DS5.8 Cryptographic Key Management

DS5.9 Malicious Software Prevention, Detection and Correction

DS5.10 Network Security

DS5.11 Exchange of Sensitive Data

DS8.1 Service Desk

Ya Ya Ya

DSS02.04 DSS02.05-06 DSS02.07

DS8.3 Incident Escalation

DS8.4 Incident Closure

DS8.5 Reporting and Trend Analysis


Ya

DSS02.01-03

Ya

Ya

DS8.2 Registration of Customer Queries

process.

refer to Service Desk as a

Ya

DSS02.01

DS5.6 Security Incident Definition

Ya

DSS05.07

DS5.5 Security Testing, Surveillance and Monitoring

Ya

Control Activities

COBIT 5 DSS05.04

Termasuk PCAOB

Management Practice

DS5.4 User Account Management


30


Ya Ya Ya Ya Ya Ya Ya Ya Ya

DSS03.02 DSS03.03-04 DSS03.05 DSS01.01 DSS04.08; DSS06.04 DSS04.08 DSS05.08 DSS04.08 DSS01.01; DSS05.08;

DS10.2 Problem Tracking and Resolution

DS10.3 Problem Closure

DS10.4 Integration of Configuration, Incident and Problem Management

DS11.1 Business Requirements for Data Management

DS11.2 Storage and Retention Arrangements

DS11.3 Media Library Management System

DS11.4 Disposal

DS11.5 Backup and Restoration

DS11.6 Security Requirements for Data Management


Ya

DSS03.01

DS10.1 Identification and Classification of Problems

DSS06.05

Ya

BAI10.04-05; DSS02.05

DS9.3 Configuration Integrity Review

Ya

BAI10.03

DSS02.01

Ya

Control Activities

COBIT 5 BAI10.01-02; BAI10.04;

Termasuk PCAOB

Management Practice

DS9.2 Identification and Maintenance of Configuration Items

DS9.1 Configuration Repository and Baseline


31


Ya Ya Ya Ya Ya Ya Ya

DSS05.05 DSS01.04 DSS01.05 DSS01.01 DSS01.01 DSS01.03 DSS05.06 BAI09.02

DS12.3 Physical Access

DS12.4 Protection Against Environmental Factors

DS12.5 Physical Facilities Management

DS13.1 Operations Procedures and Instructions

DS13.2 Job Scheduling

DS13.3 IT Infrastructure Monitoring

DS13.4 Sensitive Documents and Output Devices

DS13.5 Preventive Maintenance for Hardware

sehingga relevan juga terhadap penerapan SOX di perusahaan, seperti terlihat pada Tabel 4.3.


Dari hasil pemetaan silang tersebut, teridentifikasi Management Practice COBIT 5 yang relevan terhadap PCAOB Control Activities

Ya

Ya

DSS05.05

DS12.2 Physical Security Measures

Ya

Control Activities

COBIT 5 DSS01.04-05; DSS05.05

Termasuk PCAOB

Management Practice

DS12.1 Site Selection and Layout


32


APO10.01

APO09.05

APO09.04

APO09.03

Catalogue IT-enabled Define and maintain one or more service catalogues for relevant target groups. Publish and maintain live

APO09.02

operational agreements. Monitor service levels, report on achievements and identify trends. Provide the appropriate management information to aid performance management. Conduct periodic reviews of the service agreements and revise when needed.

service agreements.

Monitor and report

service levels.

Review service

and contracts.

alternative suppliers and contracts. Universitas Indonesia

supplier relationships Establish supplier and contract evaluation criteria and evaluate the overall portfolio of existing and

Identify and evaluate

contracts. Identify suppliers and associated contracts and categorise them into type, significance and criticality.

Define and prepare service agreements based on the options in the service catalogues. Include internal

Define and prepare

agreements and

IT-enabled services in the service catalogues.

services.

options.

compare them with the current service portfolio to identify new or changed services or service level

business processes. Discuss and agree on potential services and service levels with the business, and

Analyse business requirements and the way in which IT-enabled services and service levels support

Identify IT services.

APO09.01

Management Practice

Tabel 4.3 Management Practice yang Relevan Dengan SOX

33


APO13.02

APO13.01

APO10.05

APO10.04

APO10.03

contracts and service delivery. Ensure that new or changed contracts conform to enterprise standards and legal and regulatory requirements. Deal with contractual disputes.

relationships and

contracts.

for money, and address identified issues.

performance and

business requirements and enterprise security management.

implementing security improvements are based on approved business cases and implemented as an

risk treatment plan.

operation.


integral part of services and solutions development, then operated as an integral part of business

aligned with the enterprise strategy and enterprise architecture. Ensure that recommendations for

information security

Define and manage an Maintain an information security plan that describes how information security risk is to be managed and

(ISMS).

management system

an information security management for information, enabling secure technology and business processes that are aligned with

Establish and maintain Establish and maintain an ISMS that provides a standard, formal and continuous approach to security

compliance.

Periodically review the overall performance of suppliers, compliance to contract requirements, and value

Monitor supplier

service delivery.

Manage supplier risk. Identify and manage risk relating to suppliers’ ability to continually provide secure, efficient and effective

Formalise and manage the supplier relationship for each supplier. Manage, maintain and monitor

Manage supplier

34


BAI03.03

BAI03.02

BAI03.01

APO13.03

development techniques. Ensure alignment with the IT strategy and enterprise architecture. Reassess and

solutions.

or rapid agile development techniques, addressing all components (business processes and related

solution components.

methods and documentation standards, quality assurance (QA) requirements, and approval standards.

components.


infrastructure services, services and technology products, and partners/suppliers are addressed.

Ensure that all control requirements in the business processes, supporting IT applications and

Develop solution components progressively in accordance with detailed designs following development

Develop solution

and OLAs.

products, and partners/suppliers). Ensure that the detailed design includes internal and external SLAs

automated and manual controls, supporting IT applications, infrastructure services and technology

Develop, document and elaborate detailed designs progressively using agreed-on and appropriate phased

Design detailed

solution evolves. Ensure that stakeholders actively participate in the design and approve each version.

update the designs when significant issues occur during detailed design or building phases or as the

Develop and document high-level designs using agreed-on and appropriate phased or rapid agile

improvement.

Correct non-conformities to prevent recurrence. Promote a culture of security and continual

improvement. Collect and analyse data about the ISMS, and improve the effectiveness of the ISMS.

Design high-level

ISMS.

Monitor and review the Maintain and regularly communicate the need for, and benefits of, continuous information security

35


designs, architecture principles and standards, and the enterprise’s overall procurement and contract

components.

requirements definition and the enterprise’s quality policies and procedures. Establish a test plan and required environments to test the individual and integrated solution components, including the business processes and supporting services, applications and infrastructure. Execute testing continually during development, including control testing, in accordance with the defined test plan and development practices in the appropriate environment. Engage business process owners and

assurance (QA).

Prepare for solution

testing.

Execute solution

testing.

BAI03.09

BAI03.08

BAI03.07

Develop, resource and execute a QA plan aligned with the QMS to obtain the quality specified in the

Perform quality

BAI03.06

life cycle and manage the approval of changes to requirements.

requirements.


Track the status of individual requirements (including all rejected requirements) throughout the project

Manage changes to

end users in the test team. Identify, log and prioritise errors and issues identified during testing.

reflect the new solutions.

software, to protect resources and ensure availability and data integrity. Update the services catalogue to

and auditability measures during configuration, and during integration of hardware and infrastructural

Install and configure solutions and integrate with business process activities. Implement control, security

Build solutions.

requirements are identified and addressed by the supplier.

procedures, QA requirements, and approval standards. Ensure that all legal and contractual

Procure solution components based on the acquisition plan in accordance with requirements and detailed

Procure solution

BAI03.05

BAI03.04

36


BAI07.01

BAI06.04

BAI06.03

BAI06.02

BAI06.01

Enable operation and Plan and implement all technical, operational and usage aspects such that all those who are involved in

BAI05.05

Evaluate all requests for change to determine the impact on business processes and IT services, and to

Evaluate, prioritise

Carefully manage emergency changes to minimise further incidents and make sure the change is controlled and takes place securely. Verify that emergency changes are appropriately assessed and

Manage emergency

changes.

approved and in-process changes, and complete changes. Make certain that approved changes are

change status.

procedures affected by the change. Establish an implementation plan that covers system and data conversion, acceptance testing criteria, communication, training, release preparation, promotion to production, early production support, a

the changes.

Establish an

implementation plan.


fallback/backout plan, and a post-implementation review. Obtain approval from relevant parties.

Whenever changes are implemented, update accordingly the solution and user documentation and the

Close and document

implemented as planned.

Maintain a tracking and reporting system to document rejected changes, communicate the status of

Track and report

authorised after the change.

Ensure that changes are logged, prioritised, categorised, assessed, authorised, planned and scheduled.

requests.

and authorise change assess whether change will adversely affect the operational environment and introduce unacceptable risk.

the future state environment can exercise their responsibility.

use.

periodic reviews against business needs and operational requirements.

Develop and execute a plan for the maintenance of solution and infrastructure components. Include

Maintain solutions.

BAI03.10

37


BAI07.08

BAI07.06

BAI07.05

BAI07.04

BAI07.03

BAI07.02 development methods, including audit trails and a recovery plan should the migration fail.

operations environment, performance and capacity, security, internal controls, operational practices,

environment.

operational environment.

tests.

Conduct a post-implementation review to confirm outcome and results, identify lessons learned, and

customer). Universitas Indonesia

service against the predicted performance and outcomes (i.e., the service expected by the user or

implementation review. develop an action plan. Evaluate and check the actual performance and outcomes of the new or changed

Perform a post-

fallback/backout plan. Manage releases of solution components.

results. If significant problems occur, revert back to the original environment based on the

and manage releases. pilot implementation or in parallel with the old solution for a defined period and compare behaviour and

Promote to production Promote the accepted solution to the business and operations. Where appropriate, run the solution as a

Test changes independently in accordance with the defined test plan prior to migration to the live

Perform acceptance

data quality and privacy requirements, and workloads.

Define and establish a secure test environment representative of the planned business process and IT

Establish a test

exit criteria. Ensure that the plan is approved by relevant parties.

Plan acceptance tests. Establish a test plan based on enterprisewide standards that define roles, responsibilities, and entry and

conversion.

system and data

Plan business process, Prepare for business process, IT service data and infrastructure migration as part of the enterprise’s

38


BAI10.01

BAI09.02

BAI08.04

BAI08.03

BAI08.02

BAI08.01

Identify, validate and classify diverse sources of internal and external information required to enable

between information elements and enable use of information. Identify owners and define and implement levels of access to knowledge resources.

contextualise

information into

can be used to address different needs (e.g., problem solving, learning, strategic planning and decision

knowledge.


manage services effectively and to provide a single reliable description of the assets in a service.

a configuration model. configuration items (Cis) and the relationships amongst them. Include the Cis considered necessary to

Establish and maintain Establish and maintain a logical model of the services, assets and infrastructure and how to record

and availability to support business needs.

Manage critical assets. Identify assets that are critical in providing service capability and take steps to maximise their reliability

making).

Propagate available knowledge resources to relevant stakeholders and communicate how these resources

Use and share

knowledge.

Organise information based on classification criteria. Identify and create meaningful relationships

Organise and

sources of information. effective use and operation of business processes and IT services.

Identify and classify

culture.

a knowledge-sharing

Nurture and facilitate Devise and implement a scheme to nurture and facilitate a knowledge-sharing culture.

39


DSS01.03

DSS01.01

BAI10.05

BAI10.04

BAI10.03

BAI10.02


logs to enable the reconstruction, review and examination of the time sequences of operations and the

infrastructure.

other activities surrounding or supporting operations.

Monitor the IT infrastructure and related events. Store sufficient chronological information in operations

Monitor IT

procedures.

Perform operational

repository. Maintain and perform operational procedures and operational tasks reliably and consistently.

desired target.

integrity of the

configuration

Periodically review the configuration repository and verify completeness and correctness against the

Define and produce configuration reports on status changes of configuration items.

Maintain an up-to-date repository of configuration items by populating with changes.

baselines.

Verify and review

configuration reports.

Produce status and

configuration items.

Maintain and control

baseline.

repository and

a configuration

Establish and maintain Establish and maintain a configuration management repository and create controlled configuration

40


Manage facilities, including power and communications equipment, in line with laws and regulations,

Manage facilities.

Define incident and

DSS01.05

DSS02.01

DSS02.06

DSS02.05

DSS02.04

DSS02.03

DSS02.02

Identify, record and classify service requests and incidents, and assign a priority according to business

Define incident and service request classification schemes and models.

Select the appropriate request procedures and verify that the service requests fulfil defined request

and incidents. Universitas Indonesia

the IT-related service

from incidents.

Close service requests Verify satisfactory incident resolution and/or request fulfilment, and close.

Document, apply and test the identified solutions or workarounds and perform recovery actions to restore

Identify and record incident symptoms, determine possible causes, and allocate for resolution.

Resolve and recover

and allocate incidents.

Investigate, diagnose

fulfil service requests. criteria. Obtain approval, if required, and fulfil the requests.

Verify, approve and

incidents.

prioritise requests and criticality and service agreements.

Record, classify and

classification schemes.

service request

devices to monitor and control the environment.

environment.

technical and business requirements, vendor specifications, and health and safety guidelines.

Maintain measures for protection against environmental factors. Install specialised equipment and

DSS01.04

Manage the

41


Define and implement criteria and procedures to report problems identified, including problem classification, categorisation and prioritisation. Investigate and diagnose problems using relevant subject management experts to assess and analyse root causes. As soon as the root causes of problems are identified, create known-error records and an appropriate

Identify and initiate sustainable solutions addressing the root cause, raising change requests via the established change management process if required to resolve errors. Ensure that the personnel affected

Identify and classify

problems.

Investigate and

diagnose problems.

Raise known errors.

Resolve and close

problems.

DSS03.03

DSS03.04

DSS05.01

DSS04.08

DSS03.05

DSS03.02

DSS03.01

Collect and analyse operational data (especially incident and change records) to identify emerging trends

are aware of the actions taken and the plans developed to prevent future incidents from occurring.

Implement and maintain preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the enterprise to protect information systems and technology

Protect against

malware.


after a disruption.

resumption review.

from malware (e.g., viruses, worms, spyware, spam).

Assess the adequacy of the BCP following the successful resumption of business processes and services

Conduct post-

problem management. that may indicate problems. Log problem records to enable assessment.

Perform proactive

continual improvement.

produce reports.

workaround, and identify potential solutions.

Regularly track, analyse and report incident and request fulfilment trends to provide information for

DSS02.07

Track status and

42


DSS05.07

DSS05.06

DSS05.05

DSS05.04

DSS05.03

DSS05.02 connectivity.

Ensure that endpoints (e.g., laptop, desktop, server, and other mobile and network devices or software) are secured at a level that is equal to or greater than the defined security requirements of the information

connectivity security.

Manage endpoint

security.

Define and implement procedures to grant, limit and revoke access to premises, buildings and areas according to business needs, including emergencies. Access to premises, buildings and areas should be

Manage physical

access to IT assets.

Establish appropriate physical safeguards, accounting practices and inventory management over

including staff, temporary staff, clients, vendors, visitors or any other third party.

events are integrated with general event monitoring and incident management.

infrastructure for


Using intrusion detection tools, monitor the infrastructure for unauthorised access and ensure that any

Monitor the

security-related events.

tokens.

devices.

documents and output sensitive IT assets, such as special forms, negotiable instruments, special-purpose printers or security

Manage sensitive

co-ordinate with business units that manage their own access rights within business processes.

and logical access.

justified, authorised, logged and monitored. This should apply to all persons entering the premises,

Ensure that all users have information access rights in accordance with their business requirements and

Manage user identity

processed, stored or transmitted.

Use security measures and related management procedures to protect information over all methods of

Manage network and

43


business process errors and exceptions and the execution of defined corrective actions. This provides

exceptions.

accountabilities.


status penerapan setiap Management Practice beserta keterangan pendukung dan dokumen yang relevan tertera pada Tabel 4.4.

penerapan diyakinkan dengan observasi dokumen ataupun proses yang relevan berdasarkan penjelasan dari pihak yang diwawancara. Hasil

dilakukan secara bersamaan dengan kedua pihak tersebut dan langsung mengacu kepada daftar Management Practice di bagian 4.4. Status

teknologi informasi di perusahaan, yaitu Division Head IT Audit dari IAG dan Division Head IT & Network Risk dari RMG. Wawancara

di perusahaan. Pada proses Gap Analysis, pengambilan data dilakukan dengan cara wawancara dengan pihak utama yang terkait tata kelola

Hasil pemetaan pada bagian 4.4 berupa Management Practice yang relevan terhadap penerapan SOX kemudian dinilai status penerapannya

defined objectives.

assurance that information that drives the business is reliable and has been processed in accordance with

Information events and This enables traceability of the information through its life cycle and related processes. This provides

Ensure traceability of Ensure that business information can be traced to the originating business event and accountable parties.

assurance of the accuracy and integrity of the business information process.

Manage business process exceptions and errors and facilitate their correction. Include escalation of

Manage errors and

4.5. Gap Analysis

DSS06.05

DSS06.04

44


Pada setiap akhir periode layanan, pengguna diwajibkan untuk membuat laporan pencapaian SLA sebagai dasar pembayaran. Termasuk dalam review vendor yang dilakukan Selain itu, setiap 3 bulan sekali, Group Procurement setiap 3 bulan. meminta pencapaian keseluruhan dengan kriteria Termasuk dalam review vendor yang dilakukan tertentu setiap vendor dan jenis pekerjaan yang setiap 3 bulan. dilakukan kepada pengguna. Hasil evaluasi tersebut Layanan dari vendor dilaksanakan setelah kontrak didokumentasikan dalam Laporan Evaluasi antara kedua belah pihak diterbitkan. Pada akhir Performansi Rekanan Per 3 Bulan. periode layanan, dilakukan penilaian layanan Laporan Evaluasi Performansi Rekanan tersebut sebelum dilakukan pembayaran. disampaikan pada pihak-pihak terkait sebagai dasar Termasuk dalam review vendor yang dilakukan proses pengadaan sejenis selanjutnya. setiap 3 bulan. Termasuk dalam review vendor yang dilakukan setiap 3 bulan.

V V V

V V

APO09.05 – Review service agreements and contracts.

APO10.01 – Identify and evaluate supplier relationships and contracts.

APO10.03 – Manage supplier relationships and contracts.

APO10.04 – Manage supplier risk.

APO10.05 – Monitor supplier

N/A


Review vendor difasilitasi oleh Group Procurement setiap 3 bulan.

V

APO09.04 – Monitor and report service levels.

performance and compliance.

Belum terdapat katalog layanan TI.

X

APO09.03- Define and prepare service agreements.

N/A


X

APO09.02 – Catalogue IT-enabled services.

N/A

Dokumen Terkait


Keterangan

X

Status Penerapan

APO09.01- Identify IT services.

Management Practice

Tabel 4.4 Status Penerapan Management Practice

45


Dilakukan oleh Internal Audit dan akan Pada tahun 2012, Internal Audit melakukan review atas dilanjutkan oleh Forum Keamanan Informasi yang kebijakan baru dan aspek-aspek yang terkait. baru dibentuk. Ringkasan dari hasil review dapat dilihat pada Lampiran 2 APO13.03. Terdapat dalam dokumentasi Arsitektur TI perusahaan. Terdapat dalam dokumentasi Arsitektur TI perusahaan. Tertera dalam Perencanaan TI dan Jaringan.

V

V V V

APO13.03 – Monitor and review the ISMS.

BAI03.01 – Design high-level solutions.

BAI03.02 – Design detailed solution components.

BAI03.03 – Develop solution components.


Perencanaan solusi didokumentasikan dalam XYZ IT Master Plan yang mengandung rencana solusi TI perusahaan selama 3 tahun ke depan.

Terkait mitigasi risiko keamanan informasi dijelaskan pada bagian Compliance, Exceptions, and Enforcement (Enforcement and Violation Handling). Detail kebijakan pada bagian tersebut dapat dilihat pada Lampiran 2 APO13.02.

Terdapat Kebijakan Keamanan Informasi yang mengacu kepada seri ISO 27000.

V

APO13.01 – Establish and maintain an information security management system (ISMS).

Pada bulan November 2011, dilakukan pembaruan terhadap kebijakan keamanan informasi perusahaan dengan mengacu pada ISO 27000. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.

Dokumen Terkait

APO13.02 – Define and manage an information security risk treatment plan.

Keterangan Terdapat Kebijakan Keamanan Informasi yang mengacu kepada seri ISO 27000.

Status Penerapan V

Management Practice

46


Dokumen Terkait

Contoh template System Integration Test (SIT) Plan dan User Acceptance Testing (UAT) Plan terdapat pada Lampiran 2 BAI03.07.

Fungsi Quality Assurance sudah dijalankan, namun belum terdokumentasi secara formal. Termasuk dalam dokumentasi proyek / System Development Life Cycle (SDLC). Termasuk dalam dokumentasi proyek / SDLC. Termasuk dalam dokumentasi proyek / SDLC.

X V V V

BAI03.06 – Perform quality assurance (QA).

BAI03.07 – Prepare for solution testing.

BAI03.08 – Execute solution testing.

BAI03.09 – Manage changes to requirements.


Contoh Change Request Log untuk salah satu aplikasi dapat dilihat pada Lampiran 2 BAI03.09.

N/A

Pengguna bisnis dilibatkan dalam penyusunan kebutuhan bisnis dalam pengembangan solusi untuk memastikan keselarasan solusi dengan proses bisnis. Melibatkan RMG dan IAG dalam implementasi kontrol dan keamanan sistem.

Contoh template Business Requirement Specifications, yang disusun bersama-sama pengguna bisnis terdapat pada Lampiran 2 BAI03.05.

Contoh Project Initiation Documents, Shopping Cart, Untuk setiap solusi yang diputuskan untuk diperoleh dari pihak eksternal, alur proses dimulai dan Purchase Order terdapat pada Lampiran 2 BAI03.04. dari Project Initiation Documents (yang mengandung Business Case), kemudian Shopping Cart yang disetujui secara berjenjang, baru kemudian melibatkan Group Procurement untuk proses pengadaan.

Keterangan

V

V

Status Penerapan

BAI03.05 – Build solutions.

BAI03.04 – Procure solution components.

Management Practice

47


Contoh Technology Change Request Form dengan prioritas kategori Emergency terdapat pada Lampiran 2 BAI06.01. Contoh Change Request Log untuk salah satu aplikasi dapat dilihat pada Lampiran 2 BAI03.09.

Dilakukan oleh Group IT Planning, didokumentasikan dalam Technology Change Request Form. Dilakukan oleh Group IT Planning.

Dilaporkan dalam laporan bulanan Group IT Planning. Termasuk dalam dokumentasi proyek / SDLC.

V

V

V

V

BAI06.01 – Evaluate, prioritise and authorise change requests.

BAI06.02 – Manage emergency changes.

BAI06.03 – Track and report change status.

BAI06.04 – Close and document the changes.


Kewajiban pembuatan User Documentation (End User Manual) dan System Documentation (Installation Guide, Operation Support Manual, Technical Documentation) terdapat pada Kebijakan SDLC yang dapat dilihat pada Lampiran 2 BAI06.04.

Contoh Technology Change Request Form terdapat pada Lampiran 2 BAI06.01.

Dukungan teknis dilakukan oleh Group IT Operation.

V

BAI03.10 – Maintain solutions.

BAI05.05 – Enable operation and use.

Dokumen Terkait Pemeliharaan sistem yang dilakukan oleh Group IT Operation misalnya mencakup pemeliharaan hak akses pengguna, monitor job schedule dan pemecahan masalah.

Keterangan Pemeliharaan sistem dilakukan oleh Group IT Operation.

Penerapan

Status

V

Management Practice

48

Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 Terdapat dalam dokumentasi proyek / SDLC. Terdapat dalam dokumentasi proyek / SDLC. Terdapat dalam dokumentasi proyek / SDLC. Terdapat dalam dokumentasi proyek / SDLC.

Tergantung pada setiap proyek karena tidak semua Contoh template Post Implementation Review (PIR) proyek melibatkan proses post implementation terdapat pada Lampiran 2 BAI07.08. review. Knowledge sharing seringkali dilakukan kepada IT Materi presentasi terkait perubahan proses pada Operation Group maupun kepada IAG dan RMG. aplikasi billing yang baru dari Divisi Billing Support (Group IT Operation) kepada IAG dan RMG. Belum terdapat klasifikasi informasi secara formal. N/A

V V V V V

V

X

BAI07.03 – Plan acceptance tests.

BAI07.04 – Establish a test environment.

BAI07.05 – Perform acceptance tests.

BAI07.06 – Promote to production and manage releases.

BAI07.08 – Perform a postimplementation review.

BAI08.01 – Nurture and facilitate a knowledge-sharing culture.

BAI08.02 – Identify and classify sources of information.


Contoh template Hand Over Checklist terdapat pada Lampiran 2 BAI07.06.

Contoh template User Acceptance Testing (UAT) Plan terdapat pada Lampiran 2 BAI03.07.

Contoh template Data Migration/Conversion Plan (Strategy) terdapat pada Lampiran 2 BAI07.02.

Terdapat dalam dokumentasi proyek / SDLC.

BAI07.01 – Establish an implementation plan.

V

Information Technology Policy and Procedure – System Development Life Cycle (SDLC). Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 BAI07.01.

Dokumen Terkait

BAI07.02 – Plan business process, system and data conversion.

Keterangan Diatur pada kebijakan dan prosedur pengelolaan perubahan.

Penerapan

Status

V

Management Practice

49

Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 N/A

Belum dilakukan. Belum dilakukan. Belum dilakukan. Terdapat review yang dilakukan atas konfigurasi sistem, tetapi belum terdapat repositori.

Masih terdapat operasional yang dilakukan secara N/A ad-hoc. Belum semua sistem memiliki kemampuan penyimpanan log yang memadai.

X X X X X X

BAI10.02 – Establish and maintain a configuration repository and baseline.

BAI10.03 – Maintain and control configuration items.

BAI10.04 – Produce status and configuration reports.

BAI10.05 – Verify and review integrity of the configuration repository.

DSS01.01 – Perform operational procedures.

DSS01.03 – Monitor IT infrastructure.

N/A

N/A

N/A

N/A


N/A

Belum dilakukan.

X

BAI10.01 – Establish and maintain a configuration model.

N/A

Belum terdapat klasifikasi aset secara formal.

X

BAI09.02 – Manage critical assets.

N/A

Dokumen Terkait

Knowledge sharing seringkali dilakukan kepada IT Materi presentasi terkait perubahan proses pada Operation Group maupun kepada IAG dan RMG. aplikasi billing yang baru dari Divisi Billing Support (Group IT Operation) kepada IAG dan RMG

Belum diterapkan.

Keterangan

V

X

Penerapan

Status

BAI08.04 – Use and share knowledge.

BAI08.03 – Organise and contextualise information into knowledge.

Management Practice

50


Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk.

Menggunakan fungsi helpdesk, solusi untuk setiap Pencatatan Incident Request di Aplikasi Remedy masalah didokumentasikan. Pencatatan Incident Request di Aplikasi Remedy

Menggunakan fungsi helpdesk, masalah dialokasikan pada divisi terkait jika masalah tersebut tidak dapat diselesaikan oleh helpdesk.

V V

V V

DSS02.03 – Verify, approve and fulfil service requests.

DSS02.04 – Investigate, diagnose and allocate incidents.

DSS02.05 – Resolve and recover from incidents.

DSS02.06 – Close service requests and incidents.

Setiap masalah yang sudah diselesaikan dikonfirmasikan terlebih dahulu pada pengguna.


V

DSS02.02 – Record, classify and prioritise requests and incidents.


Pencatatan Incident Request di Aplikasi Remedy


V

DSS02.01 – Define incident and service request classification schemes.

Standard Operating Procedures Facilities Management

Dikelola oleh Group Properties and Facilities Management.

Information Security Policy, November 2011, Bab 5. Physical and Environmental Security yang terdiri dari sub bab Secure Areas dan Equipment Security. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.

Dokumen Terkait

Termasuk dalam Kebijakan Keamanan Informasi

Keterangan

V

V

Penerapan

Status

DSS01.05- Manage facilities.

DSS01.04 – Manage the environment.

Management Practice

51


Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. Business Continuity Management belum diimplementasikan. Diatur dalam Standar Keamanan Informasi.

V V V V X V

DSS03.02 – Investigate and diagnose problems.

DSS03.03 – Raise known errors.

DSS03.04 – Resolve and close problems.

DSS03.05 – Perform proactive problem management.

DSS04.08 – Conduct post-resumption review.

DSS05.01 – Protect against malware.


Standar Keamanan Informasi: Virus Handling yang dimaksudkan untuk mengatur langkah-langkah pencegahan, pendeteksian, dan penanggulangan serangan virus.

N/A


DSS02.07 – Track status and produce reports.

V

Dokumen Terkait

DSS03.01 – Identify and classify problems.

Keterangan

Menggunakan fungsi helpdesk dan dibantu dengan Laporan bulanan Divisi IT Security, Helpdesk & penggunaan aplikasi helpdesk. Desktop yang mencakup informasi Aplikasi, Waktu kejadian masalah, Waktu eskalasi, Penyebab, Solusi, Penanggung Jawab dan Status Masalah.

Penerapan

Status

V

Management Practice

52

Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 Diatur dalam Standar Keamanan Informasi

Diatur dalam Standar Keamanan Informasi


V

V

DSS05.04 – Manage user identity and logical access.

DSS05.05 – Manage physical access to IT assets.


Keterangan

V

V

Penerapan

Status

DSS05.03 – Manage endpoint security.

DSS05.02 – Manage network and connectivity security.

Management Practice


Information Security Policy, November 2011, Bab 5. Physical and Environmental Security yang terdiri dari sub bab Secure Areas dan Equipment Security. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.

Standar Keamanan Informasi: User Access Management yang dimaksudkan untuk melindungi dan menjaga kerahasiaan, integritas, dan ketersediaan sumberdaya informasi perusahaan terhadap akses yang tidak memiliki otorisasi, tidak memiliki kepentingan bisnis, tidak memiliki catatan aktifitas akses, dan akses yang tidak terpantau ataupun terkontrol terhadap penyalahgunaan kewenangan yang diberikan terhadap pengguna.

Standar Keamanan Informasi: Network and Internet yang dimaksudkan untuk mengatur penyediaan dan penggunaan sistem akses jaringan informasi dan internet yang dikelola unit kerja/fungsi Teknologi Informasi (TI).

Dokumen Terkait

53

Identifikasi risiko ..., Alida Widianti, Fasilkom UI, 2013 Diatur dalam Standar Keamanan Informasi

V

DSS06.05 – Ensure traceability of Information events and accountabilities.

V: Sudah diterapkan di perusahaan

X: Belum diterapkan di perusahaan

Keterangan Status Penerapan:




Keterangan

V

V

V

Penerapan

Status

DSS06.04 – Manage errors and exceptions.

for security-related events.

DSS05.07 – Monitor the infrastructure

DSS05.06 – Manage sensitive documents and output devices.

Management Practice


Standar Keamanan Informasi: Operational Control for Business Application yang dimaksudkan untuk menginformasikan ketentuan pemasukan data, pemrosesan data, dan pelaporan aplikasi bisnis.

Information Security Policy, November 2011, Bab 9. Information Security Incident Management yang terdiri dari sub bab Reporting Information Security Events and Weaknesses dan Management of Information Security Incidents and Improvements. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.

Standar Keamanan Informasi: Information Security and Confidentiality yang ditetapkan untuk melindungi perusahaan dari penggunaan yang mengakibatkan resiko, termasuk serangan virus, kebocoran pada sistem jaringan dan layanan, serta isu-isu hukum.

Dokumen Terkait

54

55

Analisis tersebut menghasilkan rangkuman status penerapan setiap proses TI pada Tabel 4.5 sebagai berikut: Tabel 4.5 Rangkuman Status Penarapan

Proses TI APO09 Manage Service Agreements

Status Penerapan Sebagian diterapkan

APO10 Manage Suppliers

Sudah diterapkan

APO13 Manage Security

Sudah diterapkan

BAI03 Manage Solutions Identification and Build

Sebagian diterapkan

BAI05 Manage Organisational Change Enablement

Sudah diterapkan

BAI06 Manage Changes

Sudah diterapkan

BAI07 Manage Change Acceptance and

Sudah diterapkan

Transactioning BAI08 Manage Knowledge

Sebagian diterapkan

BAI09 Manage Assets

Belum diterapkan

BAI10 Manage Configuration

Belum diterapkan

DSS01 Manage Operations

Sebagian diterapkan

DSS02 Manage Service Requests and Incidents

Sudah diterapkan

DSS03 Manage Problems

Sudah diterapkan

DSS04 Manage Continuity

Belum diterapkan

DSS05 Manage Security Services

Sudah diterapkan

DSS06 Manage Business Process Controls

Sudah diterapkan

Keterangan Rangkuman Status Penerapan: x

Belum diterapkan: Seluruh Management Practice yang ada pada proses tersebut belum diterapkan

x

Sebagian diterapkan: Terdapat Management Practice pada proses tersebut yang sudah diterapkan dan terdapat Management Practice yang belum diterapkan

x

Sudah diterapkan: Seluruh Management Practice pada proses tersebut sudah diterapkan Universitas Indonesia


56

4.6. Identifikasi Risiko Dari hasil analisis 4.5, terlihat bahwa belum semua proses TI dipatuhi oleh perusahaan, sehingga perlu dilakukan identifikasi risiko untuk proses-proses yang belum dipatuhi sepenuhnya oleh perusahaan. Identifikasi risiko dilakukan berdasarkan profil risiko perusahaan yang didapatkan dari wawancara terhadap kedua narasumber dari pihak tata kelola TI perusahaan. Dari hasil wawancara, dihasilkan risiko terkait proses-proses TI yang belum sepenuhnya mematuhi Management Practice pada COBIT 5 yang dapat dilihat pada Tabel 4.6. Tabel 4.6 Risiko Terkait

Proses TI

Risiko Terkait

APO09 Manage Service

Gagalnya TI memenuhi kebutuhan bisnis maupun

Agreements

perjanjian dengan pihak pengguna bisnis.

BAI03 Manage Solutions

Kegagalan dalam penerapan keamanan aset untuk

Identification and Build

menghindari kebocoran data dan data yang tidak akurat.

BAI08 Manage Knowledge

Kekurangan keunggulan kompetitif.

BAI09 Manage Assets

x Kegagalan dalam penerapan keamanan aset untuk menghindari kebocoran data dan data yang tidak akurat. x Pengelolaan yang tidak sesuai terhadap aset yang dimiliki perusahaan.

BAI10 Manage

Kegagalan dalam penerapan keamanan aset untuk

Configuration

menghindari kebocoran data dan data yang tidak akurat.

DSS01 Manage Operations

x Produktivitas bisnis yang rendah. x Proses bisnis yang tidak efisien.


Kegagalan untuk beroperasi sepenuhnya karena terjadinya bencana alam maupun bencana yang disebabkan manusia, seperti gempa bumi, terorisme, kebakaran dan banjir.



57

4.7. Identifikasi Kontrol Untuk setiap Management Practice yang belum diterapkan, dilakukan identifikasi kontrol yang diperlukan. Kontrol dijelaskan dalam dua aspek, yaitu aktivitas yang perlu dilakukan dan pembagian tanggung jawab sebagai panduan dalam penerapan Management Practice tersebut. 4.7.1 Identifikasi Aktivitas Sebagai panduan bagi perusahaan dalam menerapkan Management Practice yang relevan dan selama ini belum diterapkan, terdapat rincian aktivitas yang telah disediakan COBIT 5. Rincian aktivitas tersebut dapat dilihat pada Tabel 4.7. Tabel 4.7 Aktivitas Terkait

Management Practice APO09.01Identify IT services.

APO09.02 – Catalogue IT-enabled services.

Aktivitas 1. Menilai tingkat layanan TI saat ini untuk mengidentifikasi perbedaan antara layanan yang tersedia dengan aktivitas bisnis yang didukung olehnya. Mengidentifikasi perbaikan yang dapat dilakukan terhadap layanan maupun tingkat layanan yang tersedia. 2. Melakukan analisis dan estimasi atas kemungkinan permintaan pada masa yang akan datang dan menyesuaikannya dengan kapasitas layanan TI saat ini. 3. Melakukan analisis proses bisnis untuk mengidentifikasi kebutuhan terhadap layanan TI yang baru ataupun perbaikan terhadap layanan TI yang ada. 4. Membandingkan kebutuhan yang teridentifikasi dengan layanan yang ada saat ini. Jika memungkinkan, gunakan layanan yang sudah tersedia untuk memenuhi kebutuhan bisnis. 5. Jika memungkinkan, mencocokkan kebutuhan layanan dan membuat standarisasi layanan untuk mencapai efisiensi secara keseluruhan. 6. Melakukan review portfolio layanan TI dengan portfolio bisnis untuk mengidentifikasi layanan yang sudah tidak diperlukan. 1. Mempublikasikan katalog layanan TI dan tingkat layanan yang tersedia pada portfolio layanan. 2. Memastikan secara terus menerus bahwa portfolio layanan selalu lengkap dan mutakhir. 3. Menginformasikan pada manajemen atas setiap perubahan yang terjadi pada katalog layanan. Universitas Indonesia


58

APO09.03Define and prepare service agreements.

BAI03.06 – Perform quality assurance (QA).

BAI08.02 – Identify and classify sources of information.

1. Melakukan analisis kebutuhan atas perjanjian layanan yang baru ataupun yang mengalami perubahan dari manajemen bisnis untuk memastikan bahwa kebutuhan tersebut dapat dipenuhi. Mempertimbangkan aspek-aspek terkait waktu layanan, tingkat ketersediaan, kinerja, kapasitas, keamanan, keberlanjutan, kepatuhan dan masalah peraturan, tingkat kegunaan, dan batasan-batasan lain. 2. Menyiapkan perjanjian layanan pelanggan berdasarkan layanan yang relevan dari katalog yang ada. 3. Menentukan dan menyepakati perjanjian layanan pelanggan, jika memungkinkan. 4. Bekerja sama dengan vendor untuk memastikan bahwa kontrak komersial mengacu pada perjanjian layanan pelanggan. 5. Memfinalisasi perjanjian layanan pelanggan dengan manajemen bisnis. 1. Menentukan rencana QA dan praktiknya, misalnya kriteria kualitas, proses validasi dan verifikasi, bagaimana kualitas akan dinilai, kualifikasi yang diperlukan untuk melakukan review, dan peran dan tanggung jawab untuk pencapaian kualitas. 2. Memantau kualitas solusi berdasarkan kebutuhan proyek, kebijakan perusahaan, kepatuhan terhadap metodologi pengembangan, prosedur manajemen mutu dan kriteria penerimaan. 3. Menerapkan metode yang sesuai. Melaporkan hasil proses monitor dan pengujian kepada tim pengembang dan manajemen TI. 4. Memantau semua pengecualian kualitas dan melakukan tindakan korektif. Mengelola semua hasil review, pengecualian dan koreksi. Mengulangi proses QA bila dibutuhkan. 1. Melakukan identifikasi pengguna yang berpotensi memiliki pengetahuan, termasuk informasi mengenai pihak yang butuh berkontribusi dan menyetujui pengetahuan tersebut. Mendapatkan kebutuhan pengetahuan dan sumbernya. 2. Mempertimbangkan tipe dokumen maupun struktur informasi yang digunakan. 3. Melakukan klasifikasi sumber informasi berdasarkan skema tertentu. 4. Mengumpulkan dan melakukan validasi informasi berdasarkan beberapa kriteria, seperti relevansi, tingkat kepentingan, integritas, akurasi, konsistensi, kerahasiaan, dan tingkat kepercayaan.



59

1. Melakukan identifikasi atribut yang digunakan bersama, mencocokan sumber informasi, dan menciptakan hubungan Organise and antar informasi. contextualise 2. Menciptakan tampilan untuk set data yang berhubungan dengan mempertimbangkan pihak-pihak yang terkait dan information kebutuhan organisasi. 3. Merancang dan mengimplementasikan suatu skema untuk into mengelola pengetahuan yang belum terstruktur. knowledge. 4. Mempublikasikan pengetahuan agar dapat diakses oleh pihak terkait berdasarkan tanggung jawab dan mekanisme aksesnya. 1. Melakukan identifikasi aset yang penting dalam penyediaan BAI09.02 – layanan. Manage 2. Melakukan monitor atas kinerja dari aset tersebut dengan memeriksa tren masalah dan melakukan perbaikan jika critical dibutuhkan. assets. 3. Mempertimbangkan risiko dari kegagalan atau kebutuhan penggantian setiap aset penting secara reguler. 4. Menjaga ketahanan aset penting dengan menerapkan pemeliharaan preventif rutin, pemantauan kinerja, dan jika diperlukan memberikan alternatif atau aset tambahan untuk meminimalkan kemungkinan kegagalan. 5. Menetapkan rencana pemeliharaan preventif untuk semua perangkat keras, mempertimbangkan analisa cost-benefit, rekomendasi vendor, risiko pemadaman, personil yang berkualitas dan faktor lain yang relevan. 6. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas TI. Menetapkan kontrak layanan formal mengandung atau mengacu pada semua kondisi keamanan yang diperlukan, termasuk prosedur otorisasi akses, untuk memastikan kepatuhan dengan kebijakan keamanan organisasi dan standar. 7. Berkomunikasi dengan pelanggan dan pengguna yang terkena dampak yang diperkirakan (misalnya pembatasan kinerja) dari kegiatan pemeliharaan. 8. Memastikan layanan akses remote dan profil pengguna (atau alat lain yang digunakan untuk pemeliharaan atau diagnosis) yang aktif hanya bila diperlukan. 9. Mengikutsertakan perkiraan downtime dan jadwal kegiatan pemeliharaan dalam jadwal produksi secara keseluruhan untuk meminimalkan dampak negatif terhadap proses bisnis. 1. Menentukan dan menyetujui ruang lingkup dan tingkat detail BAI10.01 – untuk manajemen konfigurasi (layanan, aset, dan infrastruktur Establish and yang mana saja yang termasuk di dalamnya). 2. Menetapkan dan memelihara logical model untuk manajemen maintain a konfigurasi, termasuk informasi mengenai jenis item configuration konfigurasi, atribut item konfigurasi, jenis hubungan, atribut hubungan dan kode status yang digunakan. model. BAI08.03 –



60

1. Mengidentifikasi dan mengklasifikasikan item konfigurasi dan membuat repositori. Establish and 2. Membuat, melakukan review dan menyetujui baseline konfigurasi aplikasi, layanan atau infrastruktur secara formal. maintain a BAI10.02 –

configuration repository and baseline. BAI10.03 – Maintain and control configuration items.

BAI10.04 – Produce status and configuration reports.


1. Mengidentifikasi perubahan pada item konfigurasi secara berkala. 2. Melakukan review terhadap perubahan yang diusulkan untuk item konfigurasi terhadap baseline untuk memastikan kelengkapan dan keakuratan. 3. Memperbarui rincian konfigurasi untuk perubahan item konfigurasi yang disetujui. 4. Membuat, melakukan review dan menyetujui perubahan baseline konfigurasi secara formal. 1. Mengidentifikasi perubahan status item konfigurasi terhadap baseline. 2. Mencocokkan perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi perubahan yang tidak sah. Melaporkan perubahan tidak sah kepada bagian Change Management. 3. Mengidentifikasi persyaratan pelaporan dari semua stakeholder, termasuk konten, frekuensi dan media. Menghasilkan laporan sesuai dengan persyaratan yang teridentifikasi. 1. Melakukan verifikasi item konfigurasi secara periodik terhadap konfigurasi repositori dengan membandingkan konfigurasi fisik dan logis dan menggunakan alat yang tepat jika diperlukan. 2. Melaporkan dan meninjau semua penyimpangan untuk dikoreksi atau tindakan untuk menyingkirkan aset yang tidak sah. 3. Melakukan verifikasi secara periodik terhadap semua item konfigurasi secara fisik, sebagaimana didefinisikan dalam repositori. Melaporkan setiap penyimpangan kepada manajemen. 4. Menetapkan dan meninjau target secara periodik untuk kelengkapan repositori konfigurasi berdasarkan kebutuhan bisnis. 5. Membandingkan tingkat kelengkapan dan akurasi terhadap target secara periodik dan mengambil tindakan perbaikan, jika diperlukan, untuk meningkatkan kualitas data repositori.



61

1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang Perform diberikan. 2. Menjaga jadwal kegiatan operasional, melakukan kegiatan, dan operational mengelola kinerja dan throughput dari kegiatan yang procedures. dijadwalkan. 3. Melakukan verifikasi bahwa semua data telah diterima dan diproses sepenuhnya, akurat, dan pada waktu yang tepat. Memberikan output sesuai dengan kebutuhan perusahaan. Pastikan bahwa pengguna menerima output yang tepat dengan cara yang aman dan tepat waktu. 4. Memastikan bahwa standar keamanan yang berlaku terpenuhi untuk seluruh proses data dengan cara yang memenuhi tujuan perusahaan, kebijakan keamanan perusahaan dan persyaratan undang-undang 5. Menjadwalkan, mengambil dan mencatat backup sesuai dengan kebijakan dan prosedur. 1. Menyimpan log kejadian dan mengidentifikasi informasi yang DSS01.03 – dicatat berdasarkan pertimbangan risiko dan kinerja. Monitor IT 2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau berdasarkan kepentingan layanan dan hubungan contextualize. antara item konfigurasi dan layanan yang bergantung pada mereka. 3. Mendefinisikan dan menerapkan aturan yang mengidentifikasi dan mencatat pelanggaran dan kejadian. Menemukan keseimbangan antara menyimpan peristiwa minor dan peristiwa penting sehingga log kejadian tidak dipenuhi dengan informasi yang tidak perlu. 4. Menghasilkan log kejadian dan menyimpannya untuk jangka waktu tertentu untuk membantu penyelidikan masa depan. 5. Menetapkan prosedur untuk memantau log kejadian dan melakukan tinjauan rutin. 6. Memastikan bahwa catatan insiden diciptakan pada waktu yang tepat saat proses pemantauan mengidentifikasi penyimpangan dari batas yang ditetapkan. 1. Menilai kesesuaian terhadap Business Continuity Plan yang DSS04.08 – telah didokumentasikan. Conduct post2. Menentukan efektivitas dari perencanaan, kemampuan kontinuitas, peran dan tanggung jawab, keterampilan dan resumption kompetensi, ketahanan terhadap insiden, infrastruktur teknis, review. dan struktur organisasi. 3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kemampuan dan membuat rekomendasi untuk perbaikan. 4. Memperoleh persetujuan manajemen untuk setiap perubahan rencana dan menerapkan perubahan tersebut melalui suatu kontrol perubahan. DSS01.01 –



62

4.7.2 Identifikasi Peran dan Tanggung Jawab Untuk menerapkan setiap aktivitas pada Management Practice yang belum diterapkan, COBIT 5 dalam dokumen COBIT 5 Enabling Process memberikan panduan pembagian peran dan tanggung jawab untuk setiap pihak yang dinilai terlibat dalam setiap Management Practice. Panduan peran dan tanggung jawab dibagi menjadi beberapa jenis peran, yaitu Responsible, Accountable, Consult, dan Inform, yang biasanya disingkat dengan RACI. Penjelasan dari masing-masing peran tersebut adalah sebagai berikut: x

Responsible: Pihak yang secara langsung menangani pelaksanaan proses.

x

Accountable: Pihak yang paling bertanggung jawab atas pelaksanaan proses dan berhak mengambil keputusan terhadap suatu proses.

x

Consult: Pihak yang perlu dimintai pendapat terhadap proses tersebut.

x

Inform: Pihak yang perlu mengetahui keputusan atas proses tersebut.

Tabel 4.8 menggambarkan pembagian peran dari COBIT 5 untuk setiap Management Process yang belum diterapkan di perusahaan.



63

Management Practice

CEO CFO COO Business Executives Business Process Owners Strategy Executive Committee Steeringg Committee Project Management Office Chief Risk Officer Head Human Resources Compliance Audit CIO Head Architect Head Development Head IT Operations Head IT Administration Service Manager Information Security Manager Business Continuity Manager

Tabel 4.8 Pembagian Peran Berdasarkan COBIT 5

APO09.01- Identify IT C R R services. APO09.02 – Catalogue ITI enabled services. APO09.03- Define and R prepare service agreements. BAI03.06 – Perform quality I assurance (QA). BAI08.02 – Identify and A classify sources of information. BAI08.03 – Organise and contextualise information into knowledge. BAI09.02 – Manage C I critical assets. BAI10.01 – Establish and maintain a configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.04 – Produce status and configuration reports. BAI10.05 – Verify and review integrity of the configuration repository. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT I infrastructure. DSS04.08 – Conduct postC resumption review.

R

C

I

I I R I C C C A

I

I

I

I

I I R I C C C A

I

I

C

C

C C R

C

C

R

A R

C

C

C

C

C

C

C R R A

C C I C R C

C

R

C C C R

R R

C

C I I A

R R R

C

C C

R R A R C

C

R

C C C I A R R

C R A R R

A C R R R C

I

I I C C A R I

I

R

C

I

R

I

C I

R R A

R

A

C

C

C A

C

C

R C C R R



A

64

Dari panduan yang disediakan COBIT 5, titik berat peran diberikan kepada pihak yang Responsible sebagai pelaksana utama dari aktivitas-aktivitas yang teridentifikasi dalam penerapan Management Practice karena penerapan proses COBIT 5 tersebut berpengaruh secara signifikan terhadap beban kerja posisi yang terkait. Setiap pihak yang memiliki peran Responsible dipetakan pada posisi yang saat ini ada di perusahaan, seperti yang tertera pada Tabel 4.9. Tabel 4.9 Penanggung Jawab Pelaksana di Perusahaan

Peran Posisi di berdasarkan Tanggung Jawab Pelaksana Perusahaan COBIT 5 COO Director & CCO APO09.01- Identify IT services. Director & CWIO Business Group Head APO09.01- Identify IT services. Executives Business Owners APO09.03- Define and prepare service agreements. Business Process Owners

Division Head APO09.01- Identify IT services. Business Owners BAI03.06 – Perform quality assurance (QA) BAI08.02 – Identify and classify sources of information. DSS04.08 – Conduct post-resumption review.

Project Group President BAI03.06 – Perform quality assurance (QA) Management Director Office Office Audit

Internal Audit Group


CIO

Director & Chief APO09.01- Identify IT services. Technology APO09.02 – Catalogue IT-enabled services. Officer APO09.03- Define and prepare service agreements. BAI08.02 – Identify and classify sources of information. DSS04.08 – Conduct post-resumption review.

Head Architect Division Head IT BAI09.02 – Manage critical assets. Architecture & BAI10.05 – Verify and review integrity of the Strategy configuration repository.



65

Peran Posisi di berdasarkan Perusahaan COBIT 5 Head Group Head IT Development Planning

Tanggung Jawab Pelaksana

BAI03.06 – Perform quality assurance (QA) BAI08.02 – Identify and classify sources of information. BAI08.03 – Organise and contextualize information into knowledge. BAI09.02 – Manage critical assets. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.05 – Verify and review integrity of the configuration repository. Head IT Group Head IT APO09.03- Define and prepare service Operations Operation agreements. BAI08.02 – Identify and classify sources of information. BAI08.03 – Organise and contextualize information into knowledge. BAI10.03 – Maintain and control configuration items. DSS04.08 – Conduct post-resumption review. Head IT Division Head IT APO09.03- Define and prepare service Administration Operation agreements. BAI08.03 – Organise and contextualize information into knowledge. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.04 – Produce status and configuration reports. DSS04.08 – Conduct post-resumption review. Service Division Head IT BAI08.02 – Identify and classify sources of Manager Security, information. Helpdesk & BAI10.01 – Establish and maintain a Desktop configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.05 – Verify and review integrity of the configuration repository. Universitas Indonesia


66

Selain penanggung jawab pelaksana, peran pihak yang Accountable juga penting karena pengambilan keputusan berada pada tangan pihak tersebut. Setiap pihak yang memiliki peran Accountable dipetakan pada posisi yang saat ini ada di perusahaan, seperti yang tertera pada Tabel 4.10. Tabel 4.10 Penanggung Jawab Utama di Perusahaan

Peran berdasarkan COBIT 5 Business Executives Steeringg Committee CIO

Head IT Operations

Service Manager

Business Continuity Manager

Posisi di Perusahaan Group Head Business Owners Group President Director Office Director & Chief Technology Officer Group Head IT Operation

Division Head IT Security, Helpdesk & Desktop Group President Director Office

Tanggung Jawab Utama BAI08.02 – Identify and classify sources of information. BAI03.06 – Perform quality assurance (QA) BAI08.03 – Organise and contextualize information into knowledge. BAI10.03 – Maintain and control configuration items. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.04 – Produce status and configuration reports. BAI10.05 – Verify and review integrity of the configuration repository. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT infrastructure. APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services. APO09.03- Define and prepare service agreements. DSS04.08 – Conduct post-resumption review.

Sebagai pelengkap, dijabarkan juga pihak yang perlu dimintai pendapat dan pihak yang perlu mengetahui keputusan atas setiap proses seperti yang tertera pada Tabel 4.11 dan Tabel 4.12.



67

Tabel 4.11 Pihak yang Perlu Dimintai Pendapat

Peran berdasarkan COBIT 5 CEO CFO Business Executives Business Process Owners

Posisi di Perusahaan President Director & CEO Director & CFO Group Head Business Owners Division Head Business Owners

Pihak yang Perlu Dimintai Pendapat APO09.01- Identify IT services. BAI09.02 – Manage critical assets. DSS04.08 – Conduct post-resumption review.

APO09.03- Define and prepare service agreements. BAI08.03 – Organise and contextualise information into knowledge. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. DSS01.03 – Monitor IT infrastructure. Group President APO09.01- Identify IT services. Director Office

Strategy Executive Committee Project Group President Management Director Office Office Chief Risk Group Head Risk Officer Management

APO09.03- Define and prepare service agreements. APO09.03- Define and prepare service agreements.

Head Human Group Head BAI08.02 – Identify and classify sources of Resources Human Resources information. BAI08.03 – Organise and contextualise information into knowledge. Compliance Regulatory Group APO09.03- Define and prepare service agreements. BAI03.06 – Perform quality assurance (QA). BAI08.02 – Identify and classify sources of information. BAI09.02 – Manage critical assets. Audit Internal Audit APO09.03- Define and prepare service Group agreements. BAI03.06 – Perform quality assurance (QA). BAI08.02 – Identify and classify sources of information. BAI09.02 – Manage critical assets. BAI10.01 – Establish and maintain a configuration model. DSS01.03 – Monitor IT infrastructure. Universitas Indonesia


68

Peran berdasarkan COBIT 5 CIO Head Architect

Head Development

Head IT Operations

Posisi di Perusahaan

Pihak yang Perlu Dimintai Pendapat

Director & CTO BAI10.01 – Establish and maintain a configuration model. Division Head IT BAI03.06 – Perform quality assurance (QA). Architecture & BAI10.01 – Establish and maintain a Strategy configuration model. BAI10.02 – Establish and maintain a configuration repository and baseline. BAI10.03 – Maintain and control configuration items. BAI10.04 – Produce status and configuration reports. DSS04.08 – Conduct post-resumption review. Group Head IT APO09.01- Identify IT services. Planning APO09.02 – Catalogue IT-enabled services. APO09.03- Define and prepare service agreements. BAI10.04 – Produce status and configuration reports. DSS01.03 – Monitor IT infrastructure. DSS04.08 – Conduct post-resumption review. Group Head IT APO09.01- Identify IT services. Operation APO09.02 – Catalogue IT-enabled services. BAI03.06 – Perform quality assurance (QA).

Head IT Division Head IT Administration Operation Service Division Head IT Manager Security, Helpdesk & Desktop

Information Security Manager

Business Continuity Manager

APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services. BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. BAI10.03 – Maintain and control configuration items. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT infrastructure. Manager IT APO09.03- Define and prepare service Security agreements. BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. DSS01.01 – Perform operational procedures. DSS01.03 – Monitor IT infrastructure. Group President APO09.03- Define and prepare service Director Office agreements. BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. DSS01.01 – Perform operational procedures. Universitas Indonesia


69

Tabel 4.12 Pihak yang Perlu Mengetahui Keputusan

Peran berdasarkan COBIT 5 COO

Posisi di Perusahaan

Pihak yang Perlu Mengetahui Keputusan

Director & CCO DSS01.03 – Monitor IT infrastructure. Director & CWIO Business Group Head APO09.02 – Catalogue IT-enabled services. Executives Business Owners BAI03.06 – Perform quality assurance (QA). BAI09.02 – Manage critical assets. Business Division Head APO09.02 – Catalogue IT-enabled services. Process Business Owners BAI10.04 – Produce status and configuration Owners reports. BAI10.05 – Verify and review integrity of the configuration repository. Project Group President APO09.01- Identify IT services. Management Director Office APO09.02 – Catalogue IT-enabled services. Office Chief Risk Group Head Risk DSS01.03 – Monitor IT infrastructure. Officer Management DSS04.08 – Conduct post-resumption review. Compliance Regulatory Group APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services. BAI08.03 – Organise and contextualise information into knowledge. Audit Internal Audit APO09.01- Identify IT services. Group APO09.02 – Catalogue IT-enabled services. BAI08.03 – Organise and contextualise information into knowledge. BAI10.04 – Produce status and configuration reports. CIO Director & CTO BAI03.06 – Perform quality assurance (QA). BAI10.04 – Produce status and configuration reports. DSS01.03 – Monitor IT infrastructure. Head Architect Division Head IT APO09.01- Identify IT services. Architecture & APO09.02 – Catalogue IT-enabled services. Strategy Head Group Head IT BAI10.01 – Establish and maintain a Development Planning configuration model. Service Division Head IT BAI10.04 – Produce status and configuration Manager Security, Helpdesk reports. & Desktop



70

Peran berdasarkan COBIT 5 Information Security Manager Business Continuity Manager

Posisi di Perusahaan Manager IT Security

Pihak yang Perlu Dimintai Pendapat APO09.01- Identify IT services. APO09.02 – Catalogue IT-enabled services.

Group President APO09.01- Identify IT services. Director Office APO09.02 – Catalogue IT-enabled services.

Dengan panduan rincian aktivitas dan pembagian peran dan tanggung jawab tersebut, diharapkan perusahaan dapat segera menerapkan Management Practice yang sampai saat ini belum diterapkan.



BAB 5 PENUTUP

Pada bab ini dijelaskan mengenai kesimpulan yang dihasilkan berdasarkan tujuan penelitian yang ditentukan pada awal penelitian. Pada bab ini dijelaskan mengenai kesimpulan yang didapat setelah melakukan tahapan analisa beserta saran untuk penelitian yang dapat dilakukan lebih lanjut. 5.1. Kesimpulan Setelah seluruh tahapan analisa dilakukan, dihasilkan kesimpulan sebagai berikut: a. Terdapat 16 proses di COBIT 5 yang relevan dengan penerapan SOX, yaitu sebagai berikut: 1. APO09 Manage Service Agreements 2. APO10 Manage Suppliers 3. APO13 Manage Security 4. BAI03 Manage Solutions Identification and Build 5. BAI05 Manage Organisational Change Enablement 6. BAI06 Manage Changes 7. BAI07 Manage Change Acceptance and Transactioning 8. BAI08 Manage Knowledge 9. BAI09 Manage Assets 10. BAI10 Manage Configuration 11. DSS01 Manage Operations 12. DSS02 Manage Service Requests and Incidents 13. DSS03 Manage Problems 14. DSS04 Manage Continuity 15. DSS05 Manage Security Services 16. DSS06 Manage Business Process Controls

71



72

b. Status penerapan keenambelas proses COBIT 5 yang relevan dengan penerapan SOX tersebut dapat dirangkum seperti terlihat pada Tabel 5.1. Tabel 5.1 Rangkuman Status Penerapan

Proses TI APO09 Manage Service Agreements

Status Penerapan Sebagian diterapkan

APO10 Manage Suppliers

Sudah diterapkan

APO13 Manage Security

Sudah diterapkan

BAI03 Manage Solutions Identification and

Sebagian diterapkan

Build BAI05 Manage Organisational Change

Sudah diterapkan

Enablement BAI06 Manage Changes

Sudah diterapkan

BAI07 Manage Change Acceptance and

Sudah diterapkan

Transactioning BAI08 Manage Knowledge

Sebagian diterapkan

BAI09 Manage Assets

Belum diterapkan

BAI10 Manage Configuration

Belum diterapkan

DSS01 Manage Operations DSS02 Manage Service Requests and

Sebagian diterapkan Sudah diterapkan

Incidents DSS03 Manage Problems

Sudah diterapkan


Belum diterapkan

DSS05 Manage Security Services

Sudah diterapkan

DSS06 Manage Business Process Controls

Sudah diterapkan



73

c. Dari proses-proses yang belum seluruhnya diterapkan, teridentifikasi risiko sebagai berikut: x

Gagalnya TI memenuhi kebutuhan bisnis maupun perjanjian dengan pihak pengguna bisnis.

x

Kekurangan keunggulan kompetitif.

x

Kegagalan dalam penerapan keamanan sistem untuk menghindari kebocoran data dan data yang tidak akurat.

x

Pengelolaan yang tidak sesuai terhadap aset yang dimiliki perusahaan.

x

Produktivitas bisnis yang rendah.

x

Proses bisnis yang tidak efisien.

x

Kegagalan untuk beroperasi sepenuhnya karena terjadinya bencana alam maupun bencana yang disebabkan manusia, seperti gempa bumi, terorisme, kebakaran dan banjir.

d. COBIT 5 juga memberikan panduan rincian aktivitas dan pembagian tanggung jawab dalam penerapan proses-proses yang belum sepenuhnya diterapkan oleh perusahaan. Penelitian menitikberatkan pihak yang Responsible sebagai pelaksana utama dari aktivitas-aktivitas yang teridentifikasi dalam penerapan proses dan juga pihak yang Accountable karena pengambilan keputusan berada pada pihak tersebut. 5.2. Saran Jika dilakukan penelitian sejenis, maka beberapa hal yang dapat dipertimbangkan adalah: a. Proses identifikasi risiko dapat dilakukan lebih awal, misalnya sebagai paduan dalam proses pemilihan proses COBIT 5 yang relevan diterapkan di perusahaan. b. Penilaian status penerapan proses COBIT 5 dapat dilakukan sampai ke level aktivitas, input dan output, tidak hanya sampai level Management Practice saja.



DAFTAR PUSTAKA Adaikkappan, Alagammai (2009). Application Security Controls: An Audit Perspective. ISACA Journal, 1(6), 1 – 7. Chaudhuri, A., Chaudhuri, D., Davis, Robert E. (2009). Managing SarbanesOxley Section 404 Compliance in ERP Systems Using Information Security Control Reports. ISACA Journal. 1(6). 1 – 7. Grant, Gerry H., Miller, Karen C. (2008). Improving Financial Reporting Through Effective IT Controls: Evidence from the SOX 404 Audit. American Accounting Association – Auditing Section – 2008 Midyear Conference, 1 – 44. Diakses di http://aaahq.org/audit/midyear/08midyear/papers/01_Grant_ImprovingFinancialR eporting.pdf. IMPACT (2005). IT Governance – Developing a successful governance strategy. A

Best

Practice

Guide

for

decision

makers

in

IT.

Diakses

pada

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-ofEnterprise-IT/Prepare-for-the-Exam/Study-Materials/Documents/Developing-aSuccessful-Governance-Strategy.pdf. ISACA (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA (2012). COBIT 5: Enabling Process. IT Governance Institute (2003). Board Briefing on IT Governance, 2nd Edition. IT Governance Institute (2006). IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition. IT Governance Institute (2007). COBIT 4.1. IT Governance Institute (2011). Purpose of IT Governance. Diakses di http://www.itgi.org/template_ITGI9bfe.html?Section=Purpose&Template=/Conte ntManagement/HTMLDisplay.cfm&ContentID=19659 . 74



75

Mehta, Arvind (2010). An Approach Toward Sarbanes-Oxley ITGC Risk Assessment. ISACA Journal, 1(5), 15 – 18. Rozek, Paul (2008). Solving the Puzzle of IT for Sarbanes-Oxley: IT’s Role in Sarbanes-Oxley Compliance. Information Systems Control Journal, 1(5), 1 – 3. SANS (2005). Sarbanes-Oxley Information Technology Compliance Audit. Diakses

di

http://www.sans.org/reading_room/whitepapers/auditing/sarbanes-

oxley-information-technology-compliance-audit_1624. Velichety, S.,Park, J., Jung, S., Lee, S., Tanriverdi, H. (2004). Company Perspectives on Business Value of IT Investments in Sarbanes-Oxley Compliance. Information Systems Control Journal, 1(3), 1 – 4.



LAMPIRAN 1 Pemetaan Control Objective COBIT 4.1 dengan Management Practice COBIT 5

Management Practice

Control Objective COBIT 4.1 AC1

COBIT 5

Source Data Preparation and Authorisation

DSS06.02; DSS06.03; BAI03.02; BAI03.03; BAI03.05; BAI03.07

AC2

Source Data Collection and Entry

DSS06.02

AC3

Accuracy, Completeness and Authenticity Checks

DSS06.02

AC4

Processing Integrity and Validity

DSS06.02

AC5

Output Review, Reconciliation and Error Handling

DSS06.02

AC6

Transaction Authentication and Integrity

DSS06.02

PO1.1

IT Value Management

EDM02

PO1.2

Business-IT Alignment

APO02.01

PO1.3

Assessment of Current Capability and Performance APO02.02

PO1.4

IT Strategic Plan

APO02.03-05

PO1.5

IT Tactical Plans

APO02.05

PO1.6

IT Portfolio Management

APO05.05

PO2.1

Enterprise Information Architecture Model

APO03.02

PO2.2

Enterprise Data Dictionary and Data Syntax Rules

APO03.02

PO2.3

Data Classification Scheme

APO03.02

PO2.4

Integrity Management

APO01.06

PO3.1

Technological Direction Planning

APO02.03; APO04.03

PO3.2

Technical Infrastructure Plan

APO02.03-05; APO04.03-05

PO3.3

Monitor Future Trends and Regulations

EDM01.01; APO04.03

PO3.4

Technology Standards

APO03.05

PO3.5

IT Architecture Board

APO01.01

PO4.1

IT Process Framework

APO01.03; APO01.07 76



77

PO4.2

IT Strategy Committee

APO01.01

PO4.3

IT Steering Committee

APO01.01

PO4.4

Organisational Placement of the IT Function

APO01.05

PO4.5

IT Organisational Structure

APO01.01

PO4.6

Establishment of Roles and Responsibilities

APO01.02

PO4.7

Responsibility for IT Quality Assurance

APO11.01

PO4.8

Responsibility for Risk, Security and Compliance

Deleted—these specific roles are no longer explicitly specified as a practice

PO4.9

Data and System Ownership

APO01.06

PO4.10

Supervision

APO01.02

PO4.11

Segregation of Duties

APO01.02; DSS08.02

PO4.12

IT Staffing

APO07.01

PO4.13

Key IT Personnel

APO07.02

PO4.14

Contracted Staff Policies and Procedures

APO07.06

PO4.15

Relationships

APO01.01

PO5.1

Financial Management Framework

APO06.01

PO5.2

Prioritisation Within IT Budget

APO06.02

PO5.3

IT Budgeting

APO06.03

PO5.4

Cost Management

APO06.04-05

PO5.5

Benefit Management

APO05.06

PO6.1

IT Policy and Control Environment

APO01.03

PO6.2

Enterprise IT Risk and Control Framework

EDM03.02; APO01.03

PO6.3

IT Policies Management

APO01.03; APO01.08

PO6.4

Policy, Standards and Procedures Rollout

APO01.03; APO01.08

PO6.5

Communication of IT Objectives and Direction

APO01.04



78

PO7.1

Personnel Recruitment and Retention

APO07.01; APO07.05

PO7.2

Personnel Competencies

APO07.03

PO7.3

Staffing of Roles

APO01.02; APO07.01

PO7.4

Personnel Training

APO07.03

PO7.5

Dependence Upon Individuals

APO07.02

PO7.6

Personnel Clearance Procedures

APO07.01; APO07.06

PO7.7

Employee Job Performance Evaluation

APO07.04

PO7.8

Job Change and Termination

APO07.01

PO8.1

Quality Management System

APO11.01

PO8.2

IT Standards and Quality Practices

APO11.02

PO8.3

Development and Acquisition Standards

APO11.02; APO11.05

PO8.4

Customer Focus

APO11.03

PO8.5

Continuous Improvement

APO11.06

PO8.6

Quality Measurement, Monitoring and Review

APO11.04

PO9.1

IT Risk Management Framework

EDM03.02; APO01.03

PO9.2

Establishment of Risk Context

APO12.03

PO9.3

Event Identification

APO12.01; APO12.03

PO9.4

Risk Assessment

APO12.02; APO12.04

PO9.5

Risk Response

APO12.06

PO9.6

Maintenance and Monitoring of a Risk Action Plan

APO12.04-05

PO10.1

Programme Management Framework

BAI01.01

PO10.2

Project Management Framework

BAI01.01

PO10.3

Project Management Approach

BAI01.01

PO10.4

Stakeholder Commitment

BAI01.03

PO10.5

Project Scope Statement

BAI01.07

PO10.6

Project Phase Initiation

BAI01.07

PO10.7

Integrated Project Plan

BAI01.08 Universitas Indonesia


79

PO10.8

Project Resources

BAI01.08

PO10.9

Project Risk Management

BAI01.10

PO10.10 Project Quality Plan

BAI01.09

PO10.11 Project Change Control

BAI01.11

PO10.12 Project Planning and Assurance Methods

BAI01.08

PO10.13 Project Performance Measurement, Reporting and

BAI01.06; BAI01.11

Monitoring PO10.14 Project Closure AI1.1

BAI01.13

Definition and Maintenance of Business Functional BAI02.1 and Technical Requirements

AI1.2

Risk Analysis Report

BAI02.03

AI1.3

Feasibility Study and Formulation of Alternative

BAI02.02

Courses of Action AI1.4

Requirements and Feasibility Decision and

BAI02.04

Approval AI2.1

High-level Design

BAI03.01

AI2.2

Detailed Design

BAI03.02

AI2.3

Application Control and Auditability

BAI03.05

AI2.4

Application Security and Availability

BAI03.01-03; BAI03.05

AI2.5

Configuration and Implementation of Acquired

BAI03.03; BAI03.05

Application Software AI2.6

Major Upgrades to Existing System

BAI03.10

AI2.7

Development of Application Software

BAI03.03-04

AI2.8

Software Quality Assurance

BAI03.06

AI2.9

Applications Requirements Management

BAI03.09

AI2.10

Application Software Maintenance

BAI03.10

AI3.1

Technological Infrastructure Acquisition Plan

BAI03.04

AI3.2

Infrastructure Resource Protection and Availability BAI03.03; DSS02.03

AI3.3

Infrastructure Maintenance

BAI03.10



80

AI3.4

Feasibility Test Environment

BAI03.07-08

AI4.1

Planning for Operational Solutions

BAI05.05

AI4.2

Knowledge Transfer to Business Management

BAI08.01-04

AI4.3

Knowledge Transfer to End Users

BAI08.01-04

AI4.4

Knowledge Transfer to Operations and Support

BAI08.01-04

Staff AI5.1

Procurement Control

BAI03.04

AI5.2

Supplier Contract Management

APO10.01; APO10.03

AI5.3

Supplier Selection

APO10.02

AI5.4

IT Resources Acquisition

APO10.03

AI6.1

Change Standards and Procedures

BAI06.01-04

AI6.2

Impact Assessment, Prioritisation and

BAI06.01

Authorisation AI6.3

Emergency Changes

BAI06.02

AI6.4

Change Status Tracking and Reporting

BAI06.03

AI6.5

Change Closure and Documentation

BAI06.04

AI7.1

Training

BAI05.05

AI7.2

Test Plan

BAI07.01; BAI07.03

AI7.3

Implementation Plan

BAI07.01

AI7.4

Test Environment

BAI07.04

AI7.5

System and Data Conversion

BAI07.02

AI7.6

Testing of Changes

BAI07.05

AI7.7

Final Acceptance Test

BAI07.05

AI7.8

Promotion to Production

BAI07.06

AI7.9

Post-implementation Review

BAI07.08

DS1.1

Service Level Management Framework

APO09.01-06

DS1.2

Definition of Services

APO09.01-03

DS1.3

Service Level Agreements

APO09.04

DS1.4

Operating Level Agreements

APO09.04

DS1.5

Monitoring and Reporting of Service Level

APO09.05

Achievements Universitas Indonesia


81

DS1.6

Review of Service Level Agreements and Contracts

APO09.06

DS2.1

Identification of All Supplier Relationships

APO10.01

DS2.2

Supplier Relationship Management

APO10.03

DS2.3

Supplier Risk Management

APO10.04

DS2.4

Supplier Performance Monitoring

APO10.05

DS3.1

Performance and Capacity Planning

BAI04.03

DS3.2

Current Performance and Capacity

BAI04.01-02

DS3.3

Future Performance and Capacity

BAI04.01

DS3.4

IT Resources Availability

BAI04.05

DS3.5

Monitoring and Reporting

BAI04.04

DS4.1

IT Continuity Framework

DSS04.01-02

DS4.2

IT Continuity Plans

DSS04.03

DS4.3

Critical IT Resources

DSS04.04

DS4.4

Maintenance of the IT Continuity Plan

DSS04.02; DSS04.06

DS4.5

Testing of the IT Continuity Plan

DSS04.05

DS4.6

IT Continuity Plan Training

DSS04.07

DS4.7

Distribution of the IT Continuity Plan

DSS04.03

DS4.8

IT Services Recovery and Resumption

DSS04.04

DS4.9

Offsite Backup Storage

DSS04.08

DS4.10

Post-resumption Review

DSS04.09

DS5.1

Management of IT Security

APO13.01; APO13.03

DS5.2

IT Security Plan

APO13.02

DS5.3

Identity Management

DSS05.04

DS5.4

User Account Management

DSS05.04

DS5.5

Security Testing, Surveillance and Monitoring

DSS05.07

DS5.6

Security Incident Definition

DSS02.01

DS5.7

Protection of Security Technology

DSS05.05

DS5.8

Cryptographic Key Management

DSS05.03

DS5.9

Malicious Software Prevention, Detection and

DSS05.01

Correction DS5.10

Network Security

DSS05.02 Universitas Indonesia


82

DS5.11

Exchange of Sensitive Data

DSS05.02

DS6.1

Definition of Services

APO06.04

DS6.2

IT Accounting

APO06.01

DS6.3

Cost Modelling and Charging

APO06.04

DS6.4

Cost Model Maintenance

APO06.04

DS7.1

Identification of Education and Training Needs

APO07.03

DS7.2

Delivery of Training and Education

APO07.03

DS7.3

Evaluation of Training Received

APO07.03

DS8.1

Service Desk

Deleted—ITIL 3 does not refer to Service Desk as a process.

DS8.2

Registration of Customer Queries

DSS02.01-03

DS8.3

Incident Escalation

DSS02.04

DS8.4

Incident Closure

DSS02.05-06

DS8.5

Reporting and Trend Analysis

DSS02.07

DS9.1

Configuration Repository and Baseline

BAI10.01-02; BAI10.04; DSS02.01

DS9.2

Identification and Maintenance of Configuration

BAI10.03

Items DS9.3

Configuration Integrity Review

BAI10.04-05; DSS02.05

DS10.1

Identification and Classification of Problems

DSS03.01

DS10.2

Problem Tracking and Resolution

DSS03.02

DS10.3

Problem Closure

DSS03.03-04

DS10.4

Integration of Configuration, Incident and Problem DSS03.05 Management

DS11.1

Business Requirements for Data Management

DSS01.01

DS11.2

Storage and Retention Arrangements

DSS04.08; DSS06.04

DS11.3

Media Library Management System

DSS04.08

DS11.4

Disposal

DSS05.08

DS11.5

Backup and Restoration

DSS04.08 Universitas Indonesia


83

DS11.6

Security Requirements for Data Management

DSS01.01; DSS05.08; DSS06.05

DS12.1

Site Selection and Layout

DSS01.04-05; DSS05.05

DS12.2

Physical Security Measures

DSS05.05

DS12.3

Physical Access

DSS05.05

DS12.4

Protection Against Environmental Factors

DSS01.04

DS12.5

Physical Facilities Management

DSS01.05

DS13.1

Operations Procedures and Instructions

DSS01.01

DS13.2

Job Scheduling

DSS01.01

DS13.3

IT Infrastructure Monitoring

DSS01.03

DS13.4

Sensitive Documents and Output Devices

DSS05.06

DS13.5

Preventive Maintenance for Hardware

BAI09.02

ME1.1

Monitoring Approach

MEA01.01

ME1.2

Definition and Collection of Monitoring Data

MEA01.02-03

ME1.3

Monitoring Method

MEA01.03

ME1.4

Performance Assessment

MEA01.04

ME1.5

Board and Executive Reporting

MEA01.04

ME1.6

Remedial Actions

MEA01.05

ME2.1

Monitoring of Internal Control Framework

MEA02.01-02

ME2.2

Supervisory Review

MEA02.01

ME2.3

Control Exceptions

MEA02.04

ME2.4

Control Self-assessment

MEA02.03

ME2.5

Assurance of Internal Control

MEA02.06-08

ME2.6

Internal Control at Third Parties

MEA02.01

ME2.7

Remedial Actions

MEA02.04

ME3.1

Identification of External Legal, Regulatory and

MEA03.1

Contractual Compliance Requirements ME3.2

Optimisation of Response to External

MEA03.02

Requirements ME3.3

Evaluation of Compliance With External

MEA03.03 Universitas Indonesia


84

Requirements ME3.4

Positive Assurance of Compliance

MEA03.04

ME3.5

Integrated Reporting

MEA03.04

ME4.1

Establishment of an IT Governance Framework

EDM01

ME4.2

Strategic Alignment

Deleted

ME4.3

Value Delivery

EDM02

ME4.4

Resource Management

EDM04

ME4.5

Risk Management

EDM03

ME4.6

Performance Measurement

EDM01.03; EDM02.03; EDM03.03; EDM04.03

ME4.7

Independent Assurance

MEA02.05-07; MEA02-08



85

LAMPIRAN 2 Dokumen Pendukung Gap Analysis






























UNIVERSITAS INDONESIA IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK

Recommend Documents