UNIVERSITAS INDONESIA IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK.

Transkripsi

1 UNIVERSITAS INDONESIA IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK. KARYA AKHIR ALIDA WIDIANTI FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

2 UNIVERSITAS INDONESIA IDENTIFIKASI RISIKO DAN KONTROL TEKNOLOGI INFORMASI BERDASARKAN COBIT 5 DAN SARBANES-OXLEY: STUDI KASUS PT. XYZ TBK. KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi ALIDA WIDIANTI FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

3

4

5 KATA PENGANTAR Puji syukur dipanjatkan kepada Allah SWT, karena atas berkah dan rahmatnya, saya dapat menyelesaikan Karya Akhir yang dibuat dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa tanpa bantuan dari berbagai pihak, dari masa studi sampai pada penyusunan karya akhir ini, tidak mungkin bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: (1) Pak Budi Yuwono, selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya akhir ini; (2) Pihak Perusahaan XYZ, terutama Pak Venerdi Faizal dan Pak Iwan Fadillah yang telah membantu perolehan data yang diperlukan; (3) Orang tua, mertua dan keluarga saya yang telah memberikan dukungan moral serta pengertian ketika menjadi prioritas kesekian selama masa studi dan pengerjaan karya akhir ini; (4) Calon anak saya, yang belum ditentukan namanya, yang mendampingi saya di dalam perut sejak sebelum pembuatan proposal sampai Insya Allah setelah wisuda nanti, semoga jatuh bangun pengerjaan karya akhir ini memberikan yang terbaik untukmu. (5) Terakhir, tapi yang paling signifikan, suami saya, Ilham Aji Pratomo, sahabat terbaik, penasihat, dan penyemangat yang selalu mendampingi saya saat suka dan duka studi dan pengerjaan karya akhir ini. Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu dan penerapannya di dunia kerja. Jakarta, 22 Desember 2012 Penulis iv

6

7 ABSTRAK Nama : Alida Widianti Program Studi : Teknologi Informasi Judul : Identifikasi Risiko dan Kontrol Teknologi Informasi Berdasarkan COBIT 5 dan Sarbanes Oxley: Studi Kasus PT. XYZ Tbk. TI dinilai dapat membantu perusahaan untuk mendukung strategi bisnisnya untuk mencapai keunggulan kompetitif. IT juga memiliki peran yang sangat penting dalam meningkatkan tata kelola perusahaan secara keseluruhan. PT. XYZ Tbk (XYZ), sebuah perusahaan yang bergerak di bidang telekomunikasi, dan mencatatkan sahamnya di New York Stock Exchange (NYSE), berkewajiban untuk mematuhi Sarbanes-Oxley Act mengenai pengendalian internal dalam pelaporan keuangan. Khusus untuk IT SOX Compliance, perusahaan mengacu pada kerangka kerja COBIT (Control Objectives for Information and related Technology). Pada tahun 2012, COBIT 5 yang merupakan COBIT versi terbaru diluncurkan sehingga mengakibatkan munculnya perbedaan antara risiko dan kontrol yang digunakan perusahaan dengan COBIT versi terbaru tersebut. Oleh karena itu, perusahaan perlu menerapkan COBIT versi terbaru dalam penentuan proses TI dan identifikasi risiko dan kontrol untuk diterapkan perusahaan. Dari penelitian ini, didapat kesimpulan bahwa terdapat 16 proses dalam COBIT 5 yang relevan terhadap penerapan Sarbanes-Oxley Act dan 7 proses diantaranya belum sepenuhnya diterapkan oleh perusahaan. Risiko dan rincian kontrol yang perlu diterapkan juga dijelaskan dalam penelitian ini. Kata Kunci: Tata Kelola Teknologi Informasi, COBIT, Sarbanes-Oxley vi

8 ABSTRACT Name Study Program Title : Alida Widianti : Teknologi Informasi : Information Technology Risk and Control Identification Based on COBIT 5 and Sarbanes Oxley: Case Study PT. XYZ Tbk. IT is considered to help companies to support their business strategy to achieve competitive advantage. IT also has a very important role in enhancing the overall corporate governance. PT. XYZ Tbk. (XYZ), a company engaged in telecommunications business, and listed on the New York Stock Exchange (NYSE), is obliged to comply with the Sarbanes-Oxley Act regarding internal controls in financial reporting. For its IT - SOX Compliance, the company refers to the framework COBIT (Control Objectives for Information and related Technology). In 2012, the latest version of COBIT, COBIT 5, was released, resulting in the difference between risk and controls used by the company's with the latest version of COBIT. Therefore, companies need to reassess the latest version of COBIT in the determination current applicable processes and the identification of risks and controls to be applied to the company. This study concluded that there are 16 processes in COBIT 5, which are relevant to the application of the Sarbanes-Oxley Act and 7 of them have not been fully implemented by the company. Risk and control the details that need to be applied also described in this study. Keywords: IT Governance, COBIT, Sarbanes-Oxley vii

9 DAFTAR ISI HALAMAN PERNYATAAN ORISINALITAS... ii HALAMAN PENGESAHAN... iii KATA PENGANTAR... iv PERNYATAAN PERSETUJUAN PUBLIKASI... KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS... v ABSTRAK... vi ABSTRACT... vii DAFTAR ISI... viii DAFTAR GAMBAR... x DAFTAR TABEL... xi BAB PENDAHULUAN Latar Belakang Permasalahan Penelitian Pertanyaan Penelitian Batasan Penelitian Tujuan Penelitian... 4 BAB LANDASAN TEORI IT Governance COBIT (Control Objectives for Information and related Technology) COBIT COBIT IT SOX Compliance COBIT dalam IT SOX Compliance BAB METODOLOGI PENELITIAN Pengumpulan Data Teknik Analisa Data Pemetaan antara Proses COBIT 4.1 dengan PCAOB Control Activities Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT Gap Analysis Identifikasi Risiko Identifikasi Kontrol BAB HASIL PENELITIAN DAN PEMBAHASAN Profil PT. XYZ Tbk Profil Umum Profil Tata Kelola Teknologi Informasi Pemetaan antara Proses COBIT 4.1 dengan Proses PCAOB Control Activities Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT viii

10 4.4. Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT Gap Analysis Identifikasi Risiko Identifikasi Kontrol Identifikasi Aktivitas Identifikasi Peran dan Tanggung Jawab BAB PENUTUP Kesimpulan Saran DAFTAR PUSTAKA LAMPIRAN 1 Pemetaan Control Objective COBIT 4.1 dengan Management Practice COBIT LAMPIRAN 2 Dokumen Pendukung Gap Analysis ix

11 DAFTAR GAMBAR Gambar 2.1 Kerangka Kerja COBIT Gambar 2.2 Kerangka Kerja COBIT Gambar 3.1 Tahapan Penelitian Gambar 3.2 Kerangka Pemikiran Penelitian Gambar 4.1 Struktur Organisasi Perusahaan XYZ Gambar 4.2 Struktur Organisasi TI XYZ x

12 DAFTAR TABEL Tabel 4.1 Pemetaan Proses COBIT 4.1 Terhadap PCAOB Control Activities Tabel 4.2 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT Tabel 4.3 Management Practice yang Relevan Dengan SOX Tabel 4.4 Status Penerapan Management Practice Tabel 4.5 Rangkuman Status Penarapan Tabel 4.6 Risiko Terkait Tabel 4.7 Aktivitas Terkait Tabel 4.8 Pembagian Peran Berdasarkan COBIT Tabel 4.9 Penanggung Jawab Pelaksana di Perusahaan Tabel 4.10 Penanggung Jawab Utama di Perusahaan Tabel 4.11 Pihak yang Perlu Dimintai Pendapat Tabel 4.12 Pihak yang Perlu Mengetahui Keputusan xi

13 BAB 1 PENDAHULUAN 1.1. Latar Belakang Teknologi Informasi (TI) dinilai dapat membantu perusahaan untuk mendukung strategi bisnisnya dengan mendukung proses bisnis dan operasional, mendukung proses pengambilan keputusan manajemen dan mendukung strategi bisnis untuk mencapai keunggulan kompetitif. Setelah kasus Enron pada tahun 2001, tata kelola perusahaan dianggap semakin penting, dan TI memiliki peran yang sangat penting dalam meningkatkan tata kelola perusahaan secara keseluruhan. Terdapat beberapa hal yang menjadi faktor pendorong dibutuhkannya tata kelola TI dalam perusahaan, sebagai berikut (IMPACT, 2005): Kurangnya akuntabilitas dan kejelasan tanggung jawab layanan dan proyek TI. Perbedaan antara persepsi kebutuhan bisnis oleh departemen TI dan persepsi layanan yang dapat diberikan oleh departemen TI kepada bisnis perusahaan. Organisasi dan pihak manajemen tingkat atas perlu mendapatkan pemahaman atas nilai tambah yang dihasilkan dari penggunaan TI dan alasan yang mendasari pembangunan infrastruktur TI sehubungan dengan tujuan bisnis perusahaan. Kesadaran bahwa TI adalah suatu sistem yang kompleks dan kondisi yang unik sehingga kebutuhan untuk menerapkan manajemen dan kontrol yang baik menjadi lebih besar. Dengan penerapan tata kelola yang baik, beberapa manfaat yang dapat diperoleh perusahaan adalah sebagai berikut: Transparansi dan Akuntabilitas o Peningkatan transparansi biaya, proses dan portfolio TI o Akuntabilitas pengambilan keputusan yang jelas. 1

14 2 Return on Investment (ROI) / Stakeholder Value o Peningkatan pemahaman mengenai keseluruhan biaya TI dan hubungannya dengan ROI. o Menggabungkan pemotongan biaya untuk menjadi alasan investasi. o Stakeholder dapat melihat risiko maupun keuntungan yang berhubungan dengan TI. o Meningkatkan kontribusi pada stakeholder. o Peningkatan reputasi dan citra perusahaan. Peluang dan Kemitraan o Jalan untuk peluang yang sebelumnya tidak diperhatikan sebelumnya. o Posisi TI sebagai partner bisnis dan kemitraan yang dimiliki.. o Pendekatan yang konsisten untuk menanggulangi risiko. o Kemungkinan partisipasi TI dalam strategi bisnis yang dapat terlihat dari strategi TI dan juga sebaliknya. o Peningkatan respon terhadap peluang dan tantangan pasar. Performance Improvement o Identifikasi yang jelas mengenai suatu layanan atau proyek TI terhadap nilai tambah di kemudian hari. o Peningkatan transparansi sehingga meningkatkan standar kinerja. o Peningkatan kinerja dapat mengarah pada pencapaian best practice. o Terhindar dari pengeluaran yang tidak diperlukan karena setiap pengeluaran dicocokan dengan tujuan bisnis. External Compliance o Memungkinkan suatu pendekatan terpadu untuk memenuhi hukum dan peraturan yang berlaku. Sehubungan dengan tata kelola perusahaan, PT XYZ Tbk. (XYZ) meyakini bahwa penerapan tata kelola perusahaan yang baik adalah kunci untuk meningkatkan pertumbuhan serta menjamin keberlanjutan bisnis. Selain itu, sebagai perusahaan publik yang mencatatkan sahamnya di Bursa Efek Indonesia

15 3 (BEI) dan New York Stock Exchange (NYSE), XYZ juga mempunyai kewajiban untuk mematuhi peraturan pasar modal Indonesia dan di Amerika Serikat, termasuk Pasal 404 dari US Sarbanes-Oxley Act mengenai pengendalian internal dalam pelaporan keuangan. Sarbanes-Oxley Act mensyaratkan organisasi untuk memilih dan menerapkan kerangka kontrol internal yang sesuai, sehingga organisasi membutuhkan panduan untuk menangani komponen TI yang berkaitan dengan pelaporan keuangan secara keseluruhan. Khusus untuk IT SOX Compliance, perusahaan mengacu pada kerangka kerja COBIT (Control Objectives for Information and related Technology). COBIT merupakan kerangka kerja yang ditetapkan untuk membantu menyediakan suatu alat bantu untuk mengembangkan sistem yang lebih baik pada tata kelola TI dalam suatu organisasi. Pada dasarnya, struktur COBIT menawarkan best practice untuk menilai proses bisnis suatu organisasi. Selanjutnya organisasi tersebut dapat mengidentifikasi, memperbaiki atau memodifikasi setiap kelemahan dalam berbagai aspek TI yang terkait. Penggunaan COBIT dapat membantu bisnis menuju kepatuhan terhadap peraturan karena kerangka kerja tersebut secara sistematis menguraikan langkah-langkah yang perlu dilakukan untuk menyesuaikan dengan peraturan perundang-undangan Permasalahan Penelitian Pada tahun 2012, IT Governance Institute (ITGI) meluncurkan versi terbaru dari kerangka kerja COBIT, yaitu COBIT 5. Sebelumnya, perusahaan menggunakan COBIT 4.1, yang dijembatani dengan Control Objectives for Sarbanes-Oxley sebagai dasar penentuan proses TI yang dapat diterapkan di perusahaan. Proses TI tersebut digunakan sebagai dasar identifikasi risiko dan kontrol yang seharusnya diterapkan oleh perusahaan untuk mencapai tata kelola TI yang baik. Peluncuran COBIT versi terbaru mengakibatkan munculnya perbedaan antara risiko dan kontrol yang digunakan perusahaan dengan COBIT 5. Oleh karena itu, perusahaan merasa perlu menerapkan COBIT 5 dalam penentuan proses TI dan identifikasi risiko dan kontrol untuk diterapkan perusahaan.

16 Pertanyaan Penelitian Proses TI apa saja yang dapat diterapkan pada PT. XYZ Tbk. berdasarkan COBIT 5? Bagaimana kondisi implementasi proses-proses tersebut saat ini di perusahaan? Risiko apa saja yang terkait dengan proses TI tersebut yang terdapat pada PT. XYZ Tbk? Kontrol apa yang harus diterapkan untuk menanggulangi risiko TI tersebut? 1.4. Batasan Penelitian Penelitian ini dibatasi oleh hal hal berikut: Studi kasus pada PT. XYZ Tbk untuk kondisi proses TI dalam 1 tahun terakhir. Penggunaan COBIT 5 sebagai acuan dalam atribut proses TI dan identifikasi risiko dan kontrol terkait Tujuan Penelitian Dari latar belakang, permasalahan dan pertanyaan penelitian yang telah dijelaskan sebelumnya, penulis menyusun penelitian ini untuk mencapai beberapa tujuan berikut: Mengetahui proses TI yang dapat diterapkan pada perusahaan berdasarkan COBIT 5. Mengetahui status penerapan proses TI tersebut di perusahaan. Identifikasi risiko yang terkait dengan proses TI tersebut. Identifikasi aktivitas dan pembagian tanggung jawab di perusahaan untuk menanggulangi risiko TI tersebut.

17 BAB 2 LANDASAN TEORI 2.1. IT Governance Definisi IT Governance atau Tata Kelola TI menurut IT Governance Institute (2011) adalah sebagai berikut: IT governance is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategies and objectives. Dari definisi tersebut, tata kelola TI merupakan bagian yang tidak terpisahkan dari tata kelola perusahaan secara keseluruhan. Tata kelola TI terdiri dari struktur organisasi dan kepemimpinan TI, serta proses yang memastikan bagian TI perusahaan dapat mendukung dan mengembangkan strategi dan tujuan perusahaan. Untuk menerapkan tata kelola TI pada suatu organisasi atau perusahaan, tersedia beberapa kerangka kerja yang dapat digunakan, antara lain: COBIT (Control Objectives for Information and related Technology), fokus pada manajemen risiko TI. IT Infrastructure Library (ITIL) dan ISO dengan fokus pada manajemen layanan TI. ISO / ISO dengan fokus pada keamanan informasi. Menurut IT Governance Institute (2011), tujuan dari penerapan tata kelola TI adalah untuk memastikan bahwa kinerja TI telah memenuhi tujuan sebagai berikut: TI selaras dengan perusahaan dan dapat merealisasikan manfaat yang dijanjikan. TI menjadi enabler perusahaan dengan memanfaatkan peluang dan memaksimalkan manfaat yang dihasilkan. Sumber daya TI digunakan secara bertanggung jawab. Risiko yang berkaitan dengan TI dikelola dengan tepat. 5

18 COBIT (Control Objectives for Information and related Technology) COBIT merupakan kerangka kerja yang disusun pertama kali oleh IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA) pada tahun Kerangka kerja ini mengalami beberapa kali revisi sampai versi terakhir, COBIT 5 yang dikeluarkan pada tahun COBIT menyediakan panduan praktik pada domain dan kerangka kerja proses dan menyajikan aktivitas-aktivitasnya secara terstruktur. Praktik-praktik tersebut merepresentasikan kesepakatan para ahli dan diharapkan akan membantu mengoptimalkan investasi TI, memastikan kualitas pelayanan dan memberikan pengukuran untuk menilai saat terjadi hal-hal yang salah. COBIT adalah suatu kerangka kerja dan pendukung yang memungkinkan manajemen menjembatani kesenjangan antara kebutuhan kontrol, masalah teknis dan risiko bisnis, juga untuk mengkomunikasikan tingkat kontrol kepada para stakeholder. COBIT memungkinkan pengembangkan kebijakan yang jelas dan praktik yang baik untuk kontrol TI di seluruh perusahaan. Oleh karena itu, COBIT menjadi pemersatu praktik TI yang baik dan memayungi tata kelola TI untuk membantu memahami dan mengelola risiko dan manfaat yang terkait dengan TI. Struktur proses pada COBIT dengan pendekatan tingkat tinggi dan berorientasi bisnis memberikan pandangan yang menyeluruh dari TI dan keputusan yang harus dibuat mengenai TI. Manfaat dari penerapan COBIT sebagai kerangka tata kelola TI antara lain: Keselarasan yang baik berdasarkan fokus terhadap bisnis perusahaan. Suatu pandangan yang dapat dimengerti oleh manajemen mengenai apa yang dilakukan oleh TI. Kepemilikan dan tanggung jawab yang jelas dengan berorientasi pada proses. Penerimaan general dengan pihak ketiga dan regulator. Pemahaman bersama antara seluruh stakeholder berdasarkan bahasa yang umum. Pemenuhan persyaratan The Committee of Sponsoring Organizations of the Treadway Commission (COSO) untuk lingkungan pengendalian TI.

19 COBIT 4.1 Kerangka kerja COBIT 4.1 terdiri dari empat domain sebagai berikut: Plan and Organise Domain ini mencakup strategi dan memperhatikan identifikasi kontribusi TI terhadap pencapaian dan tujuan bisnis. Realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola. Organisasi dan infrastruktur teknologi yang baik harus diterapkan. Domain ini biasanya membahas hal-hal berikut: o Apakah TI dan strategi bisnis telah diselaraskan? o Apakah perusahaan mencapai hasil optimal dari penggunaan sumber dayanya? o Apakah setiap orang di organisasi memahami tujuan TI? o Apakah risiko TI dimengerti dan telah dikelola? o Apakah kualitas TI telah sesuai dengan kebutuhan bisnis? Acquire and Implement Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh dari pihak lain, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada tercakup dalam domain ini untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Domain ini biasanya membahas hal-hal berikut: o Apakah proyek baru akan memberikan solusi yang memenuhi kebutuhan bisnis? o Apakah proyek baru akan selesai tepat waktu dan sesuai anggaran? o Apakah sistem baru bekerja dengan baik ketika diimplementasikan? o Apakah perubahan dapat dilakukan tanpa mengganggu operasi bisnis saat ini?

20 8 Gambar 2.1 Kerangka Kerja COBIT 4.1 (COBIT 4.1) Deliver and Support Domain ini berkaitan dengan penyampaian layanan yang dibutuhkan, yang mencakup pelayanan, pengelolaan keamanan dan kontinuitas, layanan dukungan bagi pengguna, dan pengelolaan data dan fasilitas operasional. Domain ini biasanya membahas hal-hal berikut:

21 9 o Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis? o Apakah biaya TI telah optimal? o Apakah tenaga kerja dapat menggunakan sistem TI secara produktif dan aman? o Apakah telah tersedia kerahasiaan yang memadai, integritas dan ketersediaan atas keamanan informasi? Monitor and Evaluate Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk memastikan kualitasnya dan untuk mematuhi persyaratan kontrol. Domain ini mencakup manajemen kinerja, monitoring atas pengendalian internal, serta kepatuhan terhadap peraturan dan tata kelola. Domain ini biasanya membahas hal-hal manajemen berikut: o Apakah kinerja TI telah diukur untuk mendeteksi masalah sebelum terlambat? o Apakah manajemen memastikan bahwa kontrol internal berjalan secara efektif dan efisien? o Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis? o Apakah telah tersedia kontrol yang memadai atas kerahasiaan, integritas dan ketersediaan atas keamanan informasi? Diagram kerangka kerja COBIT 4.1. dapat dilihat pada Gambar COBIT 5 Kerangka kerja COBIT 5 terdiri dari lima prinsip dalam mencapai tata kelola TI, sebagai berikut: Meeting Stakeholder Needs Suatu perusahaan dibangun untuk menciptakan nilai bagi para stakeholder dengan menyeimbangkan manfaat dan optimasi dari risiko dan sumber daya yang dimanfaatkan. COBIT 5 bertujuan untuk mendukung penciptaan nilai bisnis melalui penggunaan TI. COBIT 5 juga dapat disesuaikan dengan setiap tujuan perusahaan yang berbedabeda. Covering the Enterprise End-to-end

22 10 COBIT 5 mengintegrasikan tata kelola TI dalam tata kelola perusahaan dengan mencakup seluruh fungsi. Tidak hanya fokus terhadap fungsi TI, melainkan menganggap informasi dan teknologi sebagai aset yang perlu diperlakukan seperti aset-aset penting lain di perusahaan. Applying a Single, Integrated Framework COBIT 5 selaras dengan standar dan kerangka kerja lain yang relevan untuk mencapai tata kelola TI yang baik. Enabling a Holistic Approach Tata kelola TI yang efektif dan efisien membutuhkan pendekatan yang menyeluruh dan mencakup seluruh komponen yang terkait. COBIT 5 mendefinisikan kumpulan enabler yang dimaksudkan setiap hal yang dapat membantu pencapaian tujuan perusahaan. Separating Governance From Management COBIT 5 memperjelas perbedaan governance dan management. Kedua disiplin tersebut mencakup aktivitas yang berbeda. Governance ditujukan untuk memastikan bahwa kebutuhan stakeholder, kondisi yang ada, dan pilihan yang tersedia dievaluasi untuk menyeimbangkan tujuan yang akan dicapai, dan melakukan monitoring terhadap kinerja dan kesesuaian pencapaian terhadap tujuan tersebut. Sedangkan management diartikan untuk merencanakan aktivitas yang selaras dengan tujuan yang ditentukan pada proses governance.

23 11 Gambar 2.2 Kerangka Kerja COBIT 5 (COBIT 5, A Business Framework for the Governance and Management of Enterprise IT) Proses model COBIT 5 membagi proses TI menjadi dua domain utama, yaitu: Governance Mengandung 5 proses governance dan di setiap prosesnya mendefinisikan praktik Evaluate, Direct and Monitor (EDM). Management Mengandung empat domain yang mencakup proses TI secara end-toend. Domain tersebut merupakan evolusi dari domain dan proses COBIT 4.1, yaitu: o Align, Plan and Organise (APO) o Build, Acquire and Implement (BAI) o Deliver, Service and Support (DSS) o Monitor, Evaluate and Assess (MEA)

24 IT SOX Compliance Spears (2009) menyatakan bahwa penetapan Sarbanes-Oxley (SOX) pada tahun 2002 telah meningkatkan kesadaran untuk mengelola risiko keamanan sehingga meningkatkan kualitas pengelolaan risiko perusahaan. Hal ini dapat dilihat dari semakin banyaknya kontrol akses yang efektif, dan dibangunnya aplikasi untuk mendukung keamanan informasi tersebut. Kepatuhan pada kebutuhan SOX juga dinilai sebagai kesempatan bagi perusahaan untuk meningkatkan investasi untuk mendukung keamanan informasi. Menurut Adaikkappan (2009), audit TI dapat berkontribusi dalam perjalanan keamanan informasi dari suatu perusahaan dengan menggunakan pendekatan proaktif dalam menganalisa dan mengaudit keamanan informasi. Seluruh kontrol kunci yang teridentifikasi harus diperiksa untuk memberikan level kepastian yang sesuai bagi petinggi perusahaan dan audit committee. Peraturan SOX terdiri dari beberapa bagian yang dirancang untuk meningkatkan kualitas dan integritas dari laporan keuangan perusahaan. Salah satu bagian tersebut berdampak langsung pada kontrol IT, yaitu bagian 404, Management Assessment of Internal Controls. Bagian 404 mewajibkan perusahaan untuk memasukkan hal hal berikut dalam laporan keuangan tahunan: Kewajiban manajemen untuk memiliki kontrol internal yang cukup dalam proses pembuatan laporan keuangan. Kerangka kerja yang digunakan sebagai kriteria penilaian efektifitas kontrol internal dalam proses pembuatan laporan keuangan. Penilaian manajemen atas efektifitas dari internal kontrol dalam proses pembuatan laporan keuangan dan mengungkapkan kelemahan yang material. Untuk memenuhi ketentuan tersebut, auditor independen harus memastikan penilaian manajemen atas efektifitas kontrol internal atas laporan keuangan. Oleh karena itu, perusahaan harus memastikan bahwa kontrol TI berjalan dengan baik. Menurut Chaudhuri et al (2009), TI adalah layanan yang terintegrasi dalam audit keuangan. Untuk menghindari ketidakterhubungan dengan tujuan bisnis secara keseluruhan, perusahaan perlu memiliki kontrol TI yang baik dalam kontrol

25 13 internalnya. Kontrol harus berjalan untuk memastikan akurasi, kelengkapan, validitas dan keamanan suatu transaksi. Secara umum, kontrol pengamanan harus terdapat pada input, proses dan output suatu transaksi. Perusahaan yang terdaftar pada New York Stock Exchange (NYSE) dan harus memenuhi ketentuan Sarbanes-Oxley Act mungkin merasa kesulitan dalam mengidentifikasi tangible value dari kontrol aplikasi, tetapi seringkali terbukti bahwa kontrol aplikasi berperan penting dalam efisiensi dan efektivitas suatu perusahaan untuk memenuhi peraturan SOX tersebut. Kontrol aplikasi membutuhkan biaya lebih murah dalam proses auditnya karena suatu kontrol aplikasi yang telah berjalan dengan baik memerlukan pemeriksaan dengan frekuensi lebih sedikit, Dengan mengurangi kemungkinan human error, perusahaan juga dapat meningkatkan kualitas control environment secara keseluruhan. Penggunaan kontrol aplikasi menurunkan biaya dari pemeriksaan tahunan dengan menggantikan pemeriksaan manual yang lambat, penuh kemungkinan kesalahan dan kebutuhan untuk pemeriksaan dengan jumlah sampel yang banyak dengan proses observasi aplikasi secara lebih efisien. Tetapi keuntungan terbesar dari otomasi kontrol adalah dengan menurunkan inherent risk pada proses bisnis secara keseluruhan. Mehta (2009) menyatakan bahwa cara yang paling tepat untuk menentukan ruang lingkup dan kedalaman pemeriksaan dengan melakukan risk assessment dengan menitikberatkan risiko yang berkaitan dengan kebutuhan SOX, seperti integritas data dan kesalahan penyajian laporan keuangan, secara khususnya terkait dengan IT General Control (ITGC) pada sistem terkait. Dengan menggunakan pendekatan tersebut yang menitikberatkan pada parameter kritikal dari sudut pandang SOX ITGC, auditor dapat menghemat banyak waktu, usaha, beban kerja, dan juga uang. Risk assessment yang dilakukan secara benar dapat digunakan perusahaan sebagai dasar untuk meyakinkan bahwa seluruh sistem telah divalidasi dan diperiksa sesuai dengan aturan SOX. Hal ini akan mengurangi kemungkinan defisiensi yang signifikan. Jika ruang lingkup ITGC sudah memadai, jumlah prosedur manual

26 14 yang harus dilakukan juga akan berkurang, sehingga akan menurunkan biaya secara keseluruhan. SOX menimbulkan kesempatan yang baik kepada auditor TI untuk menanggulangi risiko dengan merekomendasikan cara untuk meningkatkan tata kelola TI yang sudah diterapkan dan memastikan bahwa program SOX - TI terintegrasi dalam budaya perusahaan. Rozek (2008) menyatakan bahwa terdapat lebih dari satu proses yang dibutuhkan untuk menjawab kebutuhan SOX - TI. Dengan memiliki proses yang berbasiskan pada tata kelola, perusahaan dapat mengurangi waktu dan biaya yang harus dikeluarkan dan kesulitan yang dialami dalam proses remediasi. Proses yang telah berulang kali dilakukan juga dapat meningkatkan kepercayaan terhadap arsitektur kontrol perusahaan dan meningkatkan kesadaran atas kontrol dalam perusahaan secara keseluruhan. Hal itu juga memungkinkan dilakukannya program monitoring kontrol secara berkelanjutan. Hasil penelitian Grant dan Miller (2008) menyatakan bahwa perusahaan dapat meningkatkan kualitas laporan keuangan secara keseluruhan dan menurunkan jumlah eror secara signifikan dengan mengurangi defisiensi pada kontrol IT. Penelitian tersebut juga menyatakan bahwa perusahaan yang memiliki defisiensi pada kontrol TI mengeluarkan biaya audit yang lebih tinggi. Hasil penelitian Velichety et al. (2007) menyatakan bahwa kontrol internal dapat membantu manajemen untuk mencapai tujuan bisnis perusahaan. Penelitian tersebut juga menyatakan bahwa standarisasi proses TI dan kesiapan manajemen untuk mengotomasi kontrol TI berkontribusi aktif dalam kesuksesan implementasi SOX. Perusahaan juga mendapat keuntungan yang signifikan dari investasi yang dilakukan untuk mencapai kepatuhan SOX tersebut. Beberapa industri juga mendapatkan keuntungan yang spesifik dan lebih luas dari investasi atas Sarbanes-Oxley COBIT dalam IT SOX Compliance Secara umum menurut SANS (2005), kerangka kerja COSO Internal Control Integrated Framework (Control Framework) merupakan kerangka kerja yang diakui sebagai standar kontrol internal organisasi untuk mengimplementasi dan

27 15 mengevaluasi kontrol internal untuk memenuhi peraturan SOX, PCAOB (Public Company Accounting Oversight Board, organisasi pemerintahan pengawas implementasi SOX) Standard 2, dan SEC (US Securities and Exchange Commission). Oleh karena itu, mayoritas perusahaan menggunakan kerangka kerja tersebut untuk memenuhi regulasi SOX. COSO membahas mengenai bagaimana risiko seharusnya diidentifikasi dan kontrol untuk menanggulangi risiko tersebut. Hal tersebut mengacu pada kontrol manual dan otomatis. Untuk kontrol otomatis, hal tersebut perlu didukung oleh ITGC yang tepat. Pada kebanyakan perusahaan dengan ukuran apapun, terjadi perpindahan data antara grup-grup yang berbeda dan antara berbagai aplikasi TI yang digunakan, sejak dari transaksi yang dilakukan, sampai kepada laporan yang harus disahkan oleh pemimpin perusahaan. Oleh karena itu, harus dilakukan pemeriksaan atas akurasi data dan hal tersebut membutuhkan keyakinan bahwa seluruh prosedur dan kontrol yang dilakukan sudah dilakukan dengan benar. Banyak pengamat yang menunjukkan bahwa COSO saja tidak cukup untuk mengidentifikasi, mendokumentasikan, dan mengevaluasi kontrol-kontrol TI yang diperlukan untuk mematuhi regulasi SOX. Kerangka kerja COBIT dirancang untuk mengatasi masalah tersebut. COBIT merupakan interpretasi dari COSO dilihat dari sudut pandang TI. ITGI secara khusus mengemukakan bahwa prioritas pertama perusahaan adalah dapat menunjukkan bahwa terdapat kontrol TI yang kuat terhadap mekanisme pelaporan keuangan. COBIT merupakan pendekatan yang menyeluruh untuk mengelola risiko dan kontrol teknologi informasi dan COBIT dapat diadopsi sebagai panduan untuk upaya kepatuhan Sarbanes-Oxley.

28 BAB 3 METODOLOGI PENELITIAN Secara umum, metodologi yang digunakan dalam penelitian ini adalah kualitatif dengan studi kasus. Tahapan penelitian digambarkan pada Gambar 3.1 berikut: Gambar 3.1 Tahapan Penelitian Kerangka pemikiran penelitian ini dapat dilihat pada Gambar 3.2 berikut: Gambar 3.2 Kerangka Pemikiran Penelitian 16

29 Pengumpulan Data Penelitian ini menggunakan beberapa jenis data, yaitu: Data primer mengenai kondisi yang terkait dengan studi kasus akan dikumpulkan dengan cara wawancara terhadap pihak utama terkait tata kelola teknologi informasi di perusahaan. Wawancara dilakukan dengan pertanyaan yang semi terstruktur untuk mendapatkan informasi yang rinci, tetapi tetap berada pada koridor penelitian. Data primer dibutuhkan untuk menjelaskan kondisi atas setiap proses TI yang berlaku di perusahaan, dan status penerapan proses-proses tersebut. Data sekunder mengenai kerangka kerja dan teori yang digunakan, atribut pengukuran, dan best practice yang dijadikan tujuan akan dikumpulkan dengan studi literatur terhadap jurnal-jurnal nasional dan internasional, dokumentasi dan panduan kerangka kerja, maupun penelitian sejenis yang pernah dilakukan sebelumnya. Data sekunder yang akan digunakan adalah COBIT 4.1, COBIT 5 Enabling Process, dan IT Control Objectives for Sarbanes-Oxley (The Role of IT in the Design and Implementation of Internal Control over Financial Reporting) 2 nd Edition Teknik Analisa Data Penelitian ini menggunakan teknik analisa kualitatif untuk mendapatkan pengertian secara mendalam dan keseluruhan atas proses TI yang terjadi dalam perusahaan studi kasus. Sesuai dengan kerangka penelitian, analisa data yang akan dilakukan adalah sebagai berikut: Analisa pemetaan proses COBIT 4.1 dengan PCAOB IT General Controls Analisa pemetaan proses COBIT 4.1 dengan proses COBIT 5 Pemetaan antara proses COBIT for SOX dengan proses COBIT 5 Gap Analysis Identifikasi Risiko Identifikasi Kontrol

30 Pemetaan antara Proses COBIT 4.1 dengan PCAOB Control Activities Pada tahap ini, penulis melakukan analisa singkat mengenai proses mana saja pada COBIT 4.1 yang selaras dengan PCAOB Control Activities. Analisa akan dilakukan dengan mengacu pada dokumen IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition dan akan menghasilkan proses COBIT 4.1 yang digunakan dalam relevan dengan penerapan SOX Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 Pada tahap ini, penulis akan melakukan analisa pemetaan antara proses COBIT 4.1 dengan proses COBIT 5. COBIT 4.1 memiliki 34 proses TI, sedangkan COBIT 5 memiliki 37 proses TI. Asumsi yang digunakan adalah setiap proses COBIT 4.1 terdapat juga dalam COBIT 5, dengan nama proses yang mungkin berbeda. Analisa akan menghasilkan proses pada COBIT 5 yang merupakan pasangan dari proses COBIT 4.1. Pemetaan dilakukan dengan mengacu pada dokumen COBIT 5: Enabling Process dan pada dokumen tersebut pemetaan dilakukan satu level lebih detail yaitu pada level Management Practice. Pemetaan ini perlu dilakukan untuk menjembatani pemetaan antara proses COBIT 5 dengan PCAOB Control Activities Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Pada tahap ini, penulis akan melakukan pemetaan silang antara hasil pemetaan pada dengan Dari pemetaan silang tersebut, akan menghasilkan Management Practice COBIT 5 yang relevan dengan penerapan SOX di perusahaan Gap Analysis Pada tahap ini, penulis akan melakukan analisa terhadap status penerapan setiap proses yang dihasilkan pada di perusahaan berdasarkan best practice yang pada COBIT 5 disebut sebagai Management Practice. Output

31 19 dari proses ini adalah identifikasi Management Practice yang telah diterapkan dan yang belum sepenuhnya diterapkan Identifikasi Risiko Untuk setiap proses yang dianggap belum sepenuhnya diterapkan, dilakukan identifikasi risiko terkait proses tersebut. Identifikasi risiko dilakukan dengan mengacu kepada profil risiko perusahaan. Output dari proses ini adalah daftar risiko di perusahaan terkait dengan setiap proses TI yang berlaku sesuai dengan tujuan penyajian laporan keuangan Identifikasi Kontrol Dari setiap risiko yang teridentifikasi, dilakukan identifikasi kontrol yang diperlukan untuk menanggulangi risiko-risiko tersebut. Output dari proses ini adalah rincian kontrol dan aktivitas terkait penerapan proses yang juga menanggulangi risiko yang teridentifikasi.

32 BAB 4 HASIL PENELITIAN DAN PEMBAHASAN Bab ini menjelaskan tentang hasil yang diperoleh dari penelitian. Selanjutnya dijelaskan analisis yang dilakukan terhadap hasil penelitian sesuai dengan tujuan di awal. Tahapan analisis dijelaskan menurut metode yang digunakan dalam penelitian Profil PT. XYZ Tbk Profil Umum PT. XYZ Tbk, (XYZ), merupakan suatu perusahaan di bidang telekomunikasi di Indonesia yang fokus pada tiga jenis usaha utama yaitu: Jasa Seluler Jasa Multimedia, Komunikasi Data dan Internet Jasa Komunikasi Tetap Visi XYZ adalah menjadi pilihan utama pelanggan untuk seluruh kebutuhan informasi dan komunikasi. Untuk mencapai visi tersebut, perusahaan memiliki beberapa misi, yaitu: Menyediakan dan mengembangkan produk, layanan dan solusi inovatif yang berkualitas untuk memberikan nilai lebih bagi para pelanggan. Meningkatkan shareholders value secara terus menerus. Mewujudkan kualitas kehidupan yang lebih baik bagi stakeholder. Jumlah karyawan yang mendukung operasional perusahaan mencapai 3,800 karyawan tetap dan sekitar 600 karyawan outsource. Struktur organisasi perusahaan dapat dilihat pada Gambar 4.1 berikut. 20

33 21 Gambar 4.1 Struktur Organisasi Perusahaan XYZ

34 Profil Teknologi Informasi Teknologi informasi perusahaan dikelola oleh dua Group utama yaitu Group IT Planning dan Group IT Operation, keduanya berada di bawah Direktorat Teknologi (Director & Chief Technology Officer). Struktur organisasi dalam kedua Group tersebut dijelaskan pada Gambar 4.2 berikut. Gambar 4.2 Struktur Organisasi TI XYZ Tanggung jawab utama dari Group IT Planning adalah mengembangkan dan mengelola strategi dan arsitektur TI, mengembangkan solusi TI berdasarkan kebutuhan bisnis, mengelola proyek pengembangan sistem atau aplikasi yang akan diserahkan ke pengguna bisnis, dan melakukan evaluasi dan analisa kinerja sistem TI yang ada untuk memastikannya selalu bekerja dengan baik. Sedangkan tanggung jawab utama dari Group IT Operation adalah mengelola kualitas sistem sesuai dengan tingkat layanan yang diperlukan oleh perusahaan, pengguna bisnis dan pelanggan, berkoordinasi dengan pihak internal dan ketiga untuk pemecahan masalah, permintaan pengguna akses, dan pelaporan, mengelola kontrak pemeliharaan dengan menjalankan review atas kinerja pihak ketiga.

35 Profil Tata Kelola Teknologi Informasi Pihak utama yang mendukung Tata Kelola Teknologi Informasi di XYZ terimplementasi dengan baik sampai level operasional adalah Internal Audit Group (IAG) dan Risk Management Group (RMG). IAG bertanggung jawab untuk memberikan rekomendasi audit independen dan jaminan atas kelayakan dan efektifitas proses-proses manajemen risiko, pengendalian internal dan tata kelola perusahaan untuk memberikan nilai tambah dan meningkatkan operasional perusahaan. Sedangkan RMG bertugas untuk membantu President Director & Chief Executive Officer (CEO) dan Director & Chief Financial Officer (CFO) dalam mengelola kepatuhan perusahaan terhadap regulasi SOX, menyusun kontrol internal, serta mengembangkan dan mendokumentasikan proses identifikasi risiko kesalahan penyajian laporan keuangan. Selain itu, RMG dan IAG melakukan uji efektifitas terhadap rancangan dan implementasi faktor-faktor kunci atas penanggulangan risiko kesalahan penyajian laporan keuangan. Proses dan dokumentasi kepatuhan SOX terakhir telah dilakukan atas posisi per tanggal 31 Desember 2011 dan tidak terdapat kelemahan material dalam Internal Control over Financial Reporting (ICOFR) Pemetaan antara Proses COBIT 4.1 dengan Proses PCAOB Control Activities ITGI (2006) memetakan proses TI pada COBIT 4.1 dengan standar audit PCAOB yang digunakan sebagai dasar Sarbanes-Oxley dalam publikasinya yang berjudul IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2 nd Edition. PCAOB Control Activities mencakup empat aktivitas kontrol teknologi informasi yang digunakan dalam penerapan SOX, yaitu Program Development, Program Changes, Computer Operations dan Access to Programs and Data. Pada pemetaan tersebut, dihasilkan 12 dari 34 proses pada COBIT 4.1 yang relevan dengan penerapan SOX, seperti yang tertera pada Tabel 4.1.

36 24 Tabel 4.1 Pemetaan Proses COBIT 4.1 Terhadap PCAOB Control Activities PCAOB Control Activities Proses COBIT 4.1 Program Development Program Changes Computer Operations Access to Programs and Data PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Processes, Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes DS1 Define and Manage Service Levels DS2 Manage Third-party Services DS3 Manage Performance and Capacity

37 25 PCAOB Control Activities Proses COBIT 4.1 Program Development Program Changes Computer Operations Access to Programs and Data DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations ME1 Monitor and Evaluate IT Performance ME2 Monitor and Evaluate Internal Control ME3 Ensure Compliance With External Requirements ME4 Provide IT Governance 4.3. Pemetaan antara Proses COBIT 4.1 dengan Proses COBIT 5 Pada saat ISACA menerbitkan COBIT 5, ISACA menerbitkan beberapa dokumen pendukung yang salah satunya adalah COBIT 5 Enabling Process. Pada dokumen tersebut bagian Lampiran A, terdapat pemetaan antara Control Objective yang terdapat pada COBIT 4.1 dengan Management Practice di COBIT 5. Pemetaan untuk keseluruhan Control Objectives dapat dilihat pada Lampiran 1.

38 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Dari hasil kedua pemetaan pada bagian 4.2 dan 4.3, dilakukan pemetaan silang untuk mendapatkan Management Practice dalam COBIT 5 yang relevan dalam kepatuhan penerapan SOX, seperti yang terlihat pada Tabel 4.2.

39 27 Tabel 4.2 Pemetaan antara Proses PCAOB Control Activities dengan Proses COBIT 5 Management Practice COBIT 4.1 Control Objective COBIT 5 Termasuk PCAOB Control Activities AI2.1 High-level Design BAI03.01 Ya AI2.2 Detailed Design BAI03.02 Ya AI2.3 Application Control and Auditability BAI03.05 Ya AI2.4 Application Security and Availability BAI ; BAI03.05 Ya AI2.5 Configuration and Implementation of Acquired Application Software BAI03.03; BAI03.05 Ya AI2.6 Major Upgrades to Existing System BAI03.10 Ya AI2.7 Development of Application Software BAI Ya AI2.8 Software Quality Assurance BAI03.06 Ya AI2.9 Applications Requirements Management BAI03.09 Ya AI2.10 Application Software Maintenance BAI03.10 Ya AI3.1 Technological Infrastructure Acquisition Plan BAI03.04 Ya AI3.2 Infrastructure Resource Protection and Availability BAI03.03; DSS02.03 Ya AI3.3 Infrastructure Maintenance BAI03.10 Ya AI3.4 Feasibility Test Environment BAI Ya

40 28 Management Practice COBIT 4.1 Control Objective COBIT 5 Termasuk PCAOB Control Activities AI4.1 Planning for Operational Solutions BAI05.05 Ya AI4.2 Knowledge Transfer to Business Management BAI Ya AI4.3 Knowledge Transfer to End Users BAI Ya AI4.4 Knowledge Transfer to Operations and Support Staff BAI Ya AI6.1 Change Standards and Procedures BAI Ya AI6.2 Impact Assessment, Prioritisation and Authorisation BAI06.01 Ya AI6.3 Emergency Changes BAI06.02 Ya AI6.4 Change Status Tracking and Reporting BAI06.03 Ya AI6.5 Change Closure and Documentation BAI06.04 Ya AI7.1 Training BAI05.05 Ya AI7.2 Test Plan BAI07.01; BAI07.03 Ya AI7.3 Implementation Plan BAI07.01 Ya AI7.4 Test Environment BAI07.04 Ya AI7.5 System and Data Conversion BAI07.02 Ya AI7.6 Testing of Changes BAI07.05 Ya AI7.7 Final Acceptance Test BAI07.05 Ya

41 29 Management Practice COBIT 4.1 Control Objective COBIT 5 Termasuk PCAOB Control Activities AI7.8 Promotion to Production BAI07.06 Ya AI7.9 Post-implementation Review BAI07.08 Ya DS1.1 Service Level Management Framework APO Ya DS1.2 Definition of Services APO Ya DS1.3 Service Level Agreements APO09.04 Ya DS1.4 Operating Level Agreements APO09.04 Ya DS1.5 Monitoring and Reporting of Service Level Achievements APO09.05 Ya DS1.6 Review of Service Level Agreements and Contracts APO09.06 Ya DS2.1 Identification of All Supplier Relationships APO10.01 Ya DS2.2 Supplier Relationship Management APO10.03 Ya DS2.3 Supplier Risk Management APO10.04 Ya DS2.4 Supplier Performance Monitoring APO10.05 Ya DS5.1 Management of IT Security APO13.01; APO13.03 Ya DS5.2 IT Security Plan APO13.02 Ya DS5.3 Identity Management DSS05.04 Ya

42 30 Management Practice COBIT 4.1 Control Objective COBIT 5 Termasuk PCAOB Control Activities DS5.4 User Account Management DSS05.04 Ya DS5.5 Security Testing, Surveillance and Monitoring DSS05.07 Ya DS5.6 Security Incident Definition DSS02.01 Ya DS5.7 Protection of Security Technology DSS05.05 Ya DS5.8 Cryptographic Key Management DSS05.03 Ya DS5.9 Malicious Software Prevention, Detection and Correction DSS05.01 Ya DS5.10 Network Security DSS05.02 Ya DS5.11 Exchange of Sensitive Data DSS05.02 Ya DS8.1 Service Desk Deleted ITIL 3 does not Ya refer to Service Desk as a process. DS8.2 Registration of Customer Queries DSS Ya DS8.3 Incident Escalation DSS02.04 Ya DS8.4 Incident Closure DSS Ya DS8.5 Reporting and Trend Analysis DSS02.07 Ya

43 31 Management Practice COBIT 4.1 Control Objective COBIT 5 Termasuk PCAOB Control Activities DS9.1 Configuration Repository and Baseline BAI ; BAI10.04; DSS02.01 Ya DS9.2 Identification and Maintenance of Configuration Items BAI10.03 Ya DS9.3 Configuration Integrity Review BAI ; DSS02.05 Ya DS10.1 Identification and Classification of Problems DSS03.01 Ya DS10.2 Problem Tracking and Resolution DSS03.02 Ya DS10.3 Problem Closure DSS Ya DS10.4 Integration of Configuration, Incident and Problem Management DSS03.05 Ya DS11.1 Business Requirements for Data Management DSS01.01 Ya DS11.2 Storage and Retention Arrangements DSS04.08; DSS06.04 Ya DS11.3 Media Library Management System DSS04.08 Ya DS11.4 Disposal DSS05.08 Ya DS11.5 Backup and Restoration DSS04.08 Ya DS11.6 Security Requirements for Data Management DSS01.01; DSS05.08; DSS06.05 Ya

44 32 Management Practice COBIT 4.1 Control Objective COBIT 5 Termasuk PCAOB Control Activities DS12.1 Site Selection and Layout DSS ; DSS05.05 Ya DS12.2 Physical Security Measures DSS05.05 Ya DS12.3 Physical Access DSS05.05 Ya DS12.4 Protection Against Environmental Factors DSS01.04 Ya DS12.5 Physical Facilities Management DSS01.05 Ya DS13.1 Operations Procedures and Instructions DSS01.01 Ya DS13.2 Job Scheduling DSS01.01 Ya DS13.3 IT Infrastructure Monitoring DSS01.03 Ya DS13.4 Sensitive Documents and Output Devices DSS05.06 Ya DS13.5 Preventive Maintenance for Hardware BAI09.02 Ya Dari hasil pemetaan silang tersebut, teridentifikasi Management Practice COBIT 5 yang relevan terhadap PCAOB Control Activities sehingga relevan juga terhadap penerapan SOX di perusahaan, seperti terlihat pada Tabel 4.3.

45 33 Tabel 4.3 Management Practice yang Relevan Dengan SOX Management Practice APO09.01 Identify IT services. Analyse business requirements and the way in which IT-enabled services and service levels support business processes. Discuss and agree on potential services and service levels with the business, and compare them with the current service portfolio to identify new or changed services or service level options. APO09.02 Catalogue IT-enabled services. Define and maintain one or more service catalogues for relevant target groups. Publish and maintain live IT-enabled services in the service catalogues. APO09.03 Define and prepare service agreements. Define and prepare service agreements based on the options in the service catalogues. Include internal operational agreements. APO09.04 Monitor and report service levels. Monitor service levels, report on achievements and identify trends. Provide the appropriate management information to aid performance management. APO09.05 Review service Conduct periodic reviews of the service agreements and revise when needed. agreements and contracts. APO10.01 Identify and evaluate supplier relationships and contracts. Identify suppliers and associated contracts and categorise them into type, significance and criticality. Establish supplier and contract evaluation criteria and evaluate the overall portfolio of existing and alternative suppliers and contracts.

46 34 APO10.03 Manage supplier relationships and contracts. Formalise and manage the supplier relationship for each supplier. Manage, maintain and monitor contracts and service delivery. Ensure that new or changed contracts conform to enterprise standards and legal and regulatory requirements. Deal with contractual disputes. APO10.04 Manage supplier risk. Identify and manage risk relating to suppliers ability to continually provide secure, efficient and effective service delivery. APO10.05 Monitor supplier performance and compliance. Periodically review the overall performance of suppliers, compliance to contract requirements, and value for money, and address identified issues. APO13.01 Establish and maintain an information security management system (ISMS). Establish and maintain an ISMS that provides a standard, formal and continuous approach to security management for information, enabling secure technology and business processes that are aligned with business requirements and enterprise security management. APO13.02 Define and manage an information security risk treatment plan. Maintain an information security plan that describes how information security risk is to be managed and aligned with the enterprise strategy and enterprise architecture. Ensure that recommendations for implementing security improvements are based on approved business cases and implemented as an integral part of services and solutions development, then operated as an integral part of business operation.

47 APO13.03 Monitor and review the ISMS. BAI03.01 Design high-level solutions. BAI03.02 Design detailed solution components. BAI03.03 Develop solution components. 35 Maintain and regularly communicate the need for, and benefits of, continuous information security improvement. Collect and analyse data about the ISMS, and improve the effectiveness of the ISMS. Correct non-conformities to prevent recurrence. Promote a culture of security and continual improvement. Develop and document high-level designs using agreed-on and appropriate phased or rapid agile development techniques. Ensure alignment with the IT strategy and enterprise architecture. Reassess and update the designs when significant issues occur during detailed design or building phases or as the solution evolves. Ensure that stakeholders actively participate in the design and approve each version. Develop, document and elaborate detailed designs progressively using agreed-on and appropriate phased or rapid agile development techniques, addressing all components (business processes and related automated and manual controls, supporting IT applications, infrastructure services and technology products, and partners/suppliers). Ensure that the detailed design includes internal and external SLAs and OLAs. Develop solution components progressively in accordance with detailed designs following development methods and documentation standards, quality assurance (QA) requirements, and approval standards. Ensure that all control requirements in the business processes, supporting IT applications and infrastructure services, services and technology products, and partners/suppliers are addressed.

48 36 BAI03.04 Procure solution components. Procure solution components based on the acquisition plan in accordance with requirements and detailed designs, architecture principles and standards, and the enterprise s overall procurement and contract procedures, QA requirements, and approval standards. Ensure that all legal and contractual requirements are identified and addressed by the supplier. BAI03.05 Build solutions. Install and configure solutions and integrate with business process activities. Implement control, security and auditability measures during configuration, and during integration of hardware and infrastructural software, to protect resources and ensure availability and data integrity. Update the services catalogue to reflect the new solutions. BAI03.06 Perform quality assurance (QA). Develop, resource and execute a QA plan aligned with the QMS to obtain the quality specified in the requirements definition and the enterprise s quality policies and procedures. BAI03.07 Prepare for solution testing. Establish a test plan and required environments to test the individual and integrated solution components, including the business processes and supporting services, applications and infrastructure. BAI03.08 Execute solution testing. Execute testing continually during development, including control testing, in accordance with the defined test plan and development practices in the appropriate environment. Engage business process owners and end users in the test team. Identify, log and prioritise errors and issues identified during testing. BAI03.09 Manage changes to requirements. Track the status of individual requirements (including all rejected requirements) throughout the project life cycle and manage the approval of changes to requirements.

49 37 BAI03.10 Maintain solutions. Develop and execute a plan for the maintenance of solution and infrastructure components. Include periodic reviews against business needs and operational requirements. BAI05.05 Enable operation and use. Plan and implement all technical, operational and usage aspects such that all those who are involved in the future state environment can exercise their responsibility. BAI06.01 Evaluate, prioritise and authorise change requests. Evaluate all requests for change to determine the impact on business processes and IT services, and to assess whether change will adversely affect the operational environment and introduce unacceptable risk. Ensure that changes are logged, prioritised, categorised, assessed, authorised, planned and scheduled. BAI06.02 Manage emergency changes. Carefully manage emergency changes to minimise further incidents and make sure the change is controlled and takes place securely. Verify that emergency changes are appropriately assessed and authorised after the change. BAI06.03 Track and report change status. Maintain a tracking and reporting system to document rejected changes, communicate the status of approved and in-process changes, and complete changes. Make certain that approved changes are implemented as planned. BAI06.04 Close and document the changes. Whenever changes are implemented, update accordingly the solution and user documentation and the procedures affected by the change. BAI07.01 Establish an implementation plan. Establish an implementation plan that covers system and data conversion, acceptance testing criteria, communication, training, release preparation, promotion to production, early production support, a fallback/backout plan, and a post-implementation review. Obtain approval from relevant parties.

50 38 BAI07.02 Plan business process, system and data conversion. Prepare for business process, IT service data and infrastructure migration as part of the enterprise s development methods, including audit trails and a recovery plan should the migration fail. BAI07.03 Plan acceptance tests. Establish a test plan based on enterprisewide standards that define roles, responsibilities, and entry and exit criteria. Ensure that the plan is approved by relevant parties. BAI07.04 Establish a test environment. Define and establish a secure test environment representative of the planned business process and IT operations environment, performance and capacity, security, internal controls, operational practices, data quality and privacy requirements, and workloads. BAI07.05 Perform acceptance tests. Test changes independently in accordance with the defined test plan prior to migration to the live operational environment. BAI07.06 Promote to production and manage releases. Promote the accepted solution to the business and operations. Where appropriate, run the solution as a pilot implementation or in parallel with the old solution for a defined period and compare behaviour and results. If significant problems occur, revert back to the original environment based on the fallback/backout plan. Manage releases of solution components. BAI07.08 Perform a postimplementation review. Conduct a post-implementation review to confirm outcome and results, identify lessons learned, and develop an action plan. Evaluate and check the actual performance and outcomes of the new or changed service against the predicted performance and outcomes (i.e., the service expected by the user or customer).

51 39 BAI08.01 Nurture and facilitate Devise and implement a scheme to nurture and facilitate a knowledge-sharing culture. a knowledge-sharing culture. BAI08.02 Identify and classify sources of information. Identify, validate and classify diverse sources of internal and external information required to enable effective use and operation of business processes and IT services. BAI08.03 Organise and contextualise information into knowledge. Organise information based on classification criteria. Identify and create meaningful relationships between information elements and enable use of information. Identify owners and define and implement levels of access to knowledge resources. BAI08.04 Use and share knowledge. Propagate available knowledge resources to relevant stakeholders and communicate how these resources can be used to address different needs (e.g., problem solving, learning, strategic planning and decision making). BAI09.02 Manage critical assets. Identify assets that are critical in providing service capability and take steps to maximise their reliability and availability to support business needs. BAI10.01 Establish and maintain a configuration model. Establish and maintain a logical model of the services, assets and infrastructure and how to record configuration items (Cis) and the relationships amongst them. Include the Cis considered necessary to manage services effectively and to provide a single reliable description of the assets in a service.

52 BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.03 Maintain and control configuration items. BAI10.04 Produce status and configuration reports. BAI10.05 Verify and review integrity of the configuration repository. DSS01.01 Perform operational procedures. DSS01.03 Monitor IT infrastructure. 40 Establish and maintain a configuration management repository and create controlled configuration baselines. Maintain an up-to-date repository of configuration items by populating with changes. Define and produce configuration reports on status changes of configuration items. Periodically review the configuration repository and verify completeness and correctness against the desired target. Maintain and perform operational procedures and operational tasks reliably and consistently. Monitor the IT infrastructure and related events. Store sufficient chronological information in operations logs to enable the reconstruction, review and examination of the time sequences of operations and the other activities surrounding or supporting operations.

53 41 DSS01.04 Manage the environment. Maintain measures for protection against environmental factors. Install specialised equipment and devices to monitor and control the environment. DSS01.05 Manage facilities. Manage facilities, including power and communications equipment, in line with laws and regulations, technical and business requirements, vendor specifications, and health and safety guidelines. DSS02.01 Define incident and Define incident and service request classification schemes and models. service request classification schemes. DSS02.02 Record, classify and prioritise requests and incidents. Identify, record and classify service requests and incidents, and assign a priority according to business criticality and service agreements. DSS02.03 Verify, approve and fulfil service requests. Select the appropriate request procedures and verify that the service requests fulfil defined request criteria. Obtain approval, if required, and fulfil the requests. DSS02.04 Investigate, diagnose and allocate incidents. Identify and record incident symptoms, determine possible causes, and allocate for resolution. DSS02.05 Resolve and recover from incidents. Document, apply and test the identified solutions or workarounds and perform recovery actions to restore the IT-related service DSS02.06 Close service requests and incidents. Verify satisfactory incident resolution and/or request fulfilment, and close.

54 42 DSS02.07 Track status and produce reports. Regularly track, analyse and report incident and request fulfilment trends to provide information for continual improvement. DSS03.01 Identify and classify problems. Define and implement criteria and procedures to report problems identified, including problem classification, categorisation and prioritisation. DSS03.02 Investigate and diagnose problems. Investigate and diagnose problems using relevant subject management experts to assess and analyse root causes. DSS03.03 Raise known errors. As soon as the root causes of problems are identified, create known-error records and an appropriate workaround, and identify potential solutions. DSS03.04 Resolve and close problems. Identify and initiate sustainable solutions addressing the root cause, raising change requests via the established change management process if required to resolve errors. Ensure that the personnel affected are aware of the actions taken and the plans developed to prevent future incidents from occurring. DSS03.05 Perform proactive problem management. Collect and analyse operational data (especially incident and change records) to identify emerging trends that may indicate problems. Log problem records to enable assessment. DSS04.08 Conduct postresumption review. Assess the adequacy of the BCP following the successful resumption of business processes and services after a disruption. DSS05.01 Protect against malware. Implement and maintain preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the enterprise to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).

55 DSS05.02 Manage network and connectivity security. DSS05.03 Manage endpoint security. DSS05.04 Manage user identity and logical access. DSS05.05 Manage physical access to IT assets. DSS05.06 Manage sensitive documents and output devices. DSS05.07 Monitor the infrastructure for security-related events. 43 Use security measures and related management procedures to protect information over all methods of connectivity. Ensure that endpoints (e.g., laptop, desktop, server, and other mobile and network devices or software) are secured at a level that is equal to or greater than the defined security requirements of the information processed, stored or transmitted. Ensure that all users have information access rights in accordance with their business requirements and co-ordinate with business units that manage their own access rights within business processes. Define and implement procedures to grant, limit and revoke access to premises, buildings and areas according to business needs, including emergencies. Access to premises, buildings and areas should be justified, authorised, logged and monitored. This should apply to all persons entering the premises, including staff, temporary staff, clients, vendors, visitors or any other third party. Establish appropriate physical safeguards, accounting practices and inventory management over sensitive IT assets, such as special forms, negotiable instruments, special-purpose printers or security tokens. Using intrusion detection tools, monitor the infrastructure for unauthorised access and ensure that any events are integrated with general event monitoring and incident management.

56 44 DSS06.04 Manage errors and exceptions. Manage business process exceptions and errors and facilitate their correction. Include escalation of business process errors and exceptions and the execution of defined corrective actions. This provides assurance of the accuracy and integrity of the business information process. DSS06.05 Ensure traceability of Information events and accountabilities. Ensure that business information can be traced to the originating business event and accountable parties. This enables traceability of the information through its life cycle and related processes. This provides assurance that information that drives the business is reliable and has been processed in accordance with defined objectives Gap Analysis Hasil pemetaan pada bagian 4.4 berupa Management Practice yang relevan terhadap penerapan SOX kemudian dinilai status penerapannya di perusahaan. Pada proses Gap Analysis, pengambilan data dilakukan dengan cara wawancara dengan pihak utama yang terkait tata kelola teknologi informasi di perusahaan, yaitu Division Head IT Audit dari IAG dan Division Head IT & Network Risk dari RMG. Wawancara dilakukan secara bersamaan dengan kedua pihak tersebut dan langsung mengacu kepada daftar Management Practice di bagian 4.4. Status penerapan diyakinkan dengan observasi dokumen ataupun proses yang relevan berdasarkan penjelasan dari pihak yang diwawancara. Hasil status penerapan setiap Management Practice beserta keterangan pendukung dan dokumen yang relevan tertera pada Tabel 4.4.

57 45 Tabel 4.4 Status Penerapan Management Practice Status Management Practice Keterangan Dokumen Terkait Penerapan APO Identify IT services. X Belum terdapat katalog layanan TI. N/A APO09.02 Catalogue IT-enabled services. X Belum terdapat katalog layanan TI. N/A APO Define and prepare service agreements. X Belum terdapat katalog layanan TI. N/A APO09.04 Monitor and report service levels. APO09.05 Review service agreements and contracts. APO10.01 Identify and evaluate supplier relationships and contracts. APO10.03 Manage supplier relationships and contracts. V Review vendor difasilitasi oleh Group Procurement setiap 3 bulan. V Termasuk dalam review vendor yang dilakukan setiap 3 bulan. V Termasuk dalam review vendor yang dilakukan setiap 3 bulan. V Layanan dari vendor dilaksanakan setelah kontrak antara kedua belah pihak diterbitkan. Pada akhir periode layanan, dilakukan penilaian layanan sebelum dilakukan pembayaran. APO10.04 Manage supplier risk. V Termasuk dalam review vendor yang dilakukan setiap 3 bulan. Pada setiap akhir periode layanan, pengguna diwajibkan untuk membuat laporan pencapaian SLA sebagai dasar pembayaran. Selain itu, setiap 3 bulan sekali, Group Procurement meminta pencapaian keseluruhan dengan kriteria tertentu setiap vendor dan jenis pekerjaan yang dilakukan kepada pengguna. Hasil evaluasi tersebut didokumentasikan dalam Laporan Evaluasi Performansi Rekanan Per 3 Bulan. Laporan Evaluasi Performansi Rekanan tersebut disampaikan pada pihak-pihak terkait sebagai dasar proses pengadaan sejenis selanjutnya. APO10.05 Monitor supplier performance and compliance. V Termasuk dalam review vendor yang dilakukan setiap 3 bulan.

58 46 Status Management Practice Keterangan Dokumen Terkait Penerapan APO13.01 Establish and maintain an information security management system (ISMS). V Terdapat Kebijakan Keamanan Informasi yang mengacu kepada seri ISO Pada bulan November 2011, dilakukan pembaruan terhadap kebijakan keamanan informasi perusahaan dengan mengacu pada ISO Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO APO13.02 Define and manage an information security risk treatment plan. V Terdapat Kebijakan Keamanan Informasi yang mengacu kepada seri ISO Terkait mitigasi risiko keamanan informasi dijelaskan pada bagian Compliance, Exceptions, and Enforcement (Enforcement and Violation Handling). Detail kebijakan pada bagian tersebut dapat dilihat pada Lampiran 2 APO APO13.03 Monitor and review the ISMS. V Dilakukan oleh Internal Audit dan akan dilanjutkan oleh Forum Keamanan Informasi yang baru dibentuk. Pada tahun 2012, Internal Audit melakukan review atas kebijakan baru dan aspek-aspek yang terkait. Ringkasan dari hasil review dapat dilihat pada Lampiran 2 APO BAI03.01 Design high-level solutions. V Terdapat dalam dokumentasi Arsitektur TI perusahaan. BAI03.02 Design detailed solution components. V Terdapat dalam dokumentasi Arsitektur TI perusahaan. Perencanaan solusi didokumentasikan dalam XYZ IT Master Plan yang mengandung rencana solusi TI perusahaan selama 3 tahun ke depan. BAI03.03 Develop solution components. V Tertera dalam Perencanaan TI dan Jaringan.

59 47 Status Management Practice Keterangan Dokumen Terkait Penerapan BAI03.04 Procure solution components. V Untuk setiap solusi yang diputuskan untuk diperoleh dari pihak eksternal, alur proses dimulai dari Project Initiation Documents (yang mengandung Business Case), kemudian Shopping Cart yang disetujui secara berjenjang, baru kemudian melibatkan Group Procurement untuk proses pengadaan. Contoh Project Initiation Documents, Shopping Cart, dan Purchase Order terdapat pada Lampiran 2 BAI BAI03.05 Build solutions. V Pengguna bisnis dilibatkan dalam penyusunan kebutuhan bisnis dalam pengembangan solusi untuk memastikan keselarasan solusi dengan proses bisnis. Melibatkan RMG dan IAG dalam implementasi kontrol dan keamanan sistem. Contoh template Business Requirement Specifications, yang disusun bersama-sama pengguna bisnis terdapat pada Lampiran 2 BAI BAI03.06 Perform quality assurance (QA). X Fungsi Quality Assurance sudah dijalankan, N/A namun belum terdokumentasi secara formal. BAI03.07 Prepare for solution testing. V Termasuk dalam dokumentasi proyek / System Development Life Cycle (SDLC). BAI03.08 Execute solution testing. V Termasuk dalam dokumentasi proyek / SDLC. Contoh template System Integration Test (SIT) Plan dan User Acceptance Testing (UAT) Plan terdapat pada Lampiran 2 BAI BAI03.09 Manage changes to requirements. V Termasuk dalam dokumentasi proyek / SDLC. Contoh Change Request Log untuk salah satu aplikasi dapat dilihat pada Lampiran 2 BAI03.09.

60 48 Status Management Practice Keterangan Dokumen Terkait Penerapan BAI03.10 Maintain solutions. V Pemeliharaan sistem dilakukan oleh Group IT Operation. BAI05.05 Enable operation and use. V Dukungan teknis dilakukan oleh Group IT Operation. Pemeliharaan sistem yang dilakukan oleh Group IT Operation misalnya mencakup pemeliharaan hak akses pengguna, monitor job schedule dan pemecahan masalah. BAI06.01 Evaluate, prioritise and authorise change requests. V Dilakukan oleh Group IT Planning, didokumentasikan dalam Technology Change Request Form. Contoh Technology Change Request Form terdapat pada Lampiran 2 BAI BAI06.02 Manage emergency changes. V Dilakukan oleh Group IT Planning. Contoh Technology Change Request Form dengan prioritas kategori Emergency terdapat pada Lampiran 2 BAI BAI06.03 Track and report change status. V Dilaporkan dalam laporan bulanan Group IT Planning. Contoh Change Request Log untuk salah satu aplikasi dapat dilihat pada Lampiran 2 BAI BAI06.04 Close and document the changes. V Termasuk dalam dokumentasi proyek / SDLC. Kewajiban pembuatan User Documentation (End User Manual) dan System Documentation (Installation Guide, Operation Support Manual, Technical Documentation) terdapat pada Kebijakan SDLC yang dapat dilihat pada Lampiran 2 BAI06.04.

61 49 Status Management Practice Keterangan Dokumen Terkait Penerapan BAI07.01 Establish an implementation plan. V Diatur pada kebijakan dan prosedur pengelolaan perubahan. Information Technology Policy and Procedure System Development Life Cycle (SDLC). Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 BAI BAI07.02 Plan business process, system and data conversion. V Terdapat dalam dokumentasi proyek / SDLC. Contoh template Data Migration/Conversion Plan (Strategy) terdapat pada Lampiran 2 BAI BAI07.03 Plan acceptance tests. V Terdapat dalam dokumentasi proyek / SDLC. Contoh template User Acceptance Testing (UAT) Plan BAI07.04 Establish a test V Terdapat dalam dokumentasi proyek / SDLC. terdapat pada Lampiran 2 BAI environment. BAI07.05 Perform acceptance tests. V Terdapat dalam dokumentasi proyek / SDLC. BAI07.06 Promote to production and manage releases. V Terdapat dalam dokumentasi proyek / SDLC. Contoh template Hand Over Checklist terdapat pada Lampiran 2 BAI BAI07.08 Perform a postimplementation review. V Tergantung pada setiap proyek karena tidak semua proyek melibatkan proses post implementation review. Contoh template Post Implementation Review (PIR) terdapat pada Lampiran 2 BAI BAI08.01 Nurture and facilitate a knowledge-sharing culture. V Knowledge sharing seringkali dilakukan kepada IT Operation Group maupun kepada IAG dan RMG. Materi presentasi terkait perubahan proses pada aplikasi billing yang baru dari Divisi Billing Support (Group IT Operation) kepada IAG dan RMG. BAI08.02 Identify and classify sources of information. X Belum terdapat klasifikasi informasi secara formal. N/A

62 50 Status Management Practice Keterangan Dokumen Terkait Penerapan BAI08.03 Organise and contextualise information into knowledge. X Belum diterapkan. N/A BAI08.04 Use and share knowledge. V Knowledge sharing seringkali dilakukan kepada IT Operation Group maupun kepada IAG dan RMG. Materi presentasi terkait perubahan proses pada aplikasi billing yang baru dari Divisi Billing Support (Group IT Operation) kepada IAG dan RMG BAI09.02 Manage critical assets. X Belum terdapat klasifikasi aset secara formal. N/A BAI10.01 Establish and maintain a configuration model. X Belum dilakukan. N/A BAI10.02 Establish and maintain a configuration repository and baseline. X Belum dilakukan. N/A BAI10.03 Maintain and control configuration items. X Belum dilakukan. N/A BAI10.04 Produce status and configuration reports. X Belum dilakukan. N/A BAI10.05 Verify and review integrity of the configuration repository. X Terdapat review yang dilakukan atas konfigurasi N/A sistem, tetapi belum terdapat repositori. DSS01.01 Perform operational procedures. X Masih terdapat operasional yang dilakukan secara N/A ad-hoc. DSS01.03 Monitor IT infrastructure. X Belum semua sistem memiliki kemampuan penyimpanan log yang memadai. N/A

63 51 Status Management Practice Keterangan Dokumen Terkait Penerapan DSS01.04 Manage the environment. V Termasuk dalam Kebijakan Keamanan Informasi Information Security Policy, November 2011, Bab 5. Physical and Environmental Security yang terdiri dari sub bab Secure Areas dan Equipment Security. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO DSS Manage facilities. V Dikelola oleh Group Properties and Facilities Management. Standard Operating Procedures Facilities Management DSS02.01 Define incident and service request classification schemes. V Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. DSS02.02 Record, classify and prioritise requests and incidents. V Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. DSS02.03 Verify, approve and fulfil service requests. V Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. DSS02.04 Investigate, diagnose and allocate incidents. V Menggunakan fungsi helpdesk, masalah Pencatatan Incident Request di Aplikasi Remedy dialokasikan pada divisi terkait jika masalah tersebut tidak dapat diselesaikan oleh helpdesk. DSS02.05 Resolve and recover from incidents. V Menggunakan fungsi helpdesk, solusi untuk setiap Pencatatan Incident Request di Aplikasi Remedy masalah didokumentasikan. DSS02.06 Close service requests and incidents. V Setiap masalah yang sudah diselesaikan Pencatatan Incident Request di Aplikasi Remedy dikonfirmasikan terlebih dahulu pada pengguna.

64 52 Status Management Practice Keterangan Dokumen Terkait Penerapan DSS02.07 Track status and produce reports. V Menggunakan fungsi helpdesk dan dibantu dengan penggunaan aplikasi helpdesk. Laporan bulanan Divisi IT Security, Helpdesk & Desktop yang mencakup informasi Aplikasi, Waktu kejadian masalah, Waktu eskalasi, Penyebab, Solusi, Penanggung Jawab dan Status Masalah. DSS03.01 Identify and classify problems. V Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. DSS03.02 Investigate and diagnose problems. V Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. DSS03.03 Raise known errors. V Menggunakan fungsi helpdesk dan dibantu dengan penggunaan aplikasi helpdesk. Pencatatan Incident Request di Aplikasi Remedy DSS03.04 Resolve and close problems. V Menggunakan fungsi helpdesk dan dibantu dengan penggunaan aplikasi helpdesk. Pencatatan Incident Request di Aplikasi Remedy DSS03.05 Perform proactive problem management. V Menggunakan fungsi helpdesk dan dibantu dengan Pencatatan Incident Request di Aplikasi Remedy penggunaan aplikasi helpdesk. DSS04.08 Conduct post-resumption review. X Business Continuity Management belum N/A diimplementasikan. DSS05.01 Protect against malware. V Diatur dalam Standar Keamanan Informasi. Standar Keamanan Informasi: Virus Handling yang dimaksudkan untuk mengatur langkah-langkah pencegahan, pendeteksian, dan penanggulangan serangan virus.

65 53 Status Management Practice Keterangan Dokumen Terkait Penerapan DSS05.02 Manage network and V Diatur dalam Standar Keamanan Informasi Standar Keamanan Informasi: Network and Internet connectivity security. yang dimaksudkan untuk mengatur penyediaan dan penggunaan sistem akses jaringan informasi dan DSS05.03 Manage endpoint security. V Diatur dalam Standar Keamanan Informasi internet yang dikelola unit kerja/fungsi Teknologi Informasi (TI). DSS05.04 Manage user identity and logical access. V Diatur dalam Standar Keamanan Informasi Standar Keamanan Informasi: User Access Management yang dimaksudkan untuk melindungi dan menjaga kerahasiaan, integritas, dan ketersediaan sumberdaya informasi perusahaan terhadap akses yang tidak memiliki otorisasi, tidak memiliki kepentingan bisnis, tidak memiliki catatan aktifitas akses, dan akses yang tidak terpantau ataupun terkontrol terhadap penyalahgunaan kewenangan yang diberikan terhadap pengguna. DSS05.05 Manage physical access to IT assets. V Termasuk dalam Kebijakan Keamanan Informasi Information Security Policy, November 2011, Bab 5. Physical and Environmental Security yang terdiri dari sub bab Secure Areas dan Equipment Security. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO13.01.

66 Management Practice DSS05.06 Manage sensitive documents and output devices. DSS05.07 Monitor the infrastructure for security-related events. DSS06.04 Manage errors and exceptions. DSS06.05 Ensure traceability of Information events and accountabilities. Keterangan Status Penerapan: X: Belum diterapkan di perusahaan V: Sudah diterapkan di perusahaan 54 Status Penerapan Keterangan Dokumen Terkait V Diatur dalam Standar Keamanan Informasi Standar Keamanan Informasi: Information Security and Confidentiality yang ditetapkan untuk melindungi perusahaan dari penggunaan yang mengakibatkan resiko, termasuk serangan virus, kebocoran pada sistem jaringan dan layanan, serta isu-isu hukum. V Termasuk dalam Kebijakan Keamanan Informasi Information Security Policy, November 2011, Bab 9. Information Security Incident Management yang terdiri dari sub bab Reporting Information Security Events and Weaknesses dan Management of Information Security Incidents and Improvements. Daftar isi dari kebijakan ini dapat dilihat pada Lampiran 2 APO V Diatur dalam Standar Keamanan Informasi Standar Keamanan Informasi: Operational Control for Business Application yang dimaksudkan untuk V Diatur dalam Standar Keamanan Informasi menginformasikan ketentuan pemasukan data, pemrosesan data, dan pelaporan aplikasi bisnis.

67 55 Analisis tersebut menghasilkan rangkuman status penerapan setiap proses TI pada Tabel 4.5 sebagai berikut: Tabel 4.5 Rangkuman Status Penarapan Proses TI APO09 Manage Service Agreements APO10 Manage Suppliers APO13 Manage Security BAI03 Manage Solutions Identification and Build BAI05 Manage Organisational Change Enablement BAI06 Manage Changes BAI07 Manage Change Acceptance and Transactioning BAI08 Manage Knowledge BAI09 Manage Assets BAI10 Manage Configuration DSS01 Manage Operations DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity DSS05 Manage Security Services DSS06 Manage Business Process Controls Status Penerapan Sebagian diterapkan Sudah diterapkan Sudah diterapkan Sebagian diterapkan Sudah diterapkan Sudah diterapkan Sudah diterapkan Sebagian diterapkan Belum diterapkan Belum diterapkan Sebagian diterapkan Sudah diterapkan Sudah diterapkan Belum diterapkan Sudah diterapkan Sudah diterapkan Keterangan Rangkuman Status Penerapan: Belum diterapkan: Seluruh Management Practice yang ada pada proses tersebut belum diterapkan Sebagian diterapkan: Terdapat Management Practice pada proses tersebut yang sudah diterapkan dan terdapat Management Practice yang belum diterapkan Sudah diterapkan: Seluruh Management Practice pada proses tersebut sudah diterapkan

68 Identifikasi Risiko Dari hasil analisis 4.5, terlihat bahwa belum semua proses TI dipatuhi oleh perusahaan, sehingga perlu dilakukan identifikasi risiko untuk proses-proses yang belum dipatuhi sepenuhnya oleh perusahaan. Identifikasi risiko dilakukan berdasarkan profil risiko perusahaan yang didapatkan dari wawancara terhadap kedua narasumber dari pihak tata kelola TI perusahaan. Dari hasil wawancara, dihasilkan risiko terkait proses-proses TI yang belum sepenuhnya mematuhi Management Practice pada COBIT 5 yang dapat dilihat pada Tabel 4.6. Tabel 4.6 Risiko Terkait Proses TI APO09 Manage Service Agreements BAI03 Manage Solutions Identification and Build BAI08 Manage Knowledge BAI09 Manage Assets BAI10 Manage Configuration DSS01 Manage Operations DSS04 Manage Continuity Risiko Terkait Gagalnya TI memenuhi kebutuhan bisnis maupun perjanjian dengan pihak pengguna bisnis. Kegagalan dalam penerapan keamanan aset untuk menghindari kebocoran data dan data yang tidak akurat. Kekurangan keunggulan kompetitif. Kegagalan dalam penerapan keamanan aset untuk menghindari kebocoran data dan data yang tidak akurat. Pengelolaan yang tidak sesuai terhadap aset yang dimiliki perusahaan. Kegagalan dalam penerapan keamanan aset untuk menghindari kebocoran data dan data yang tidak akurat. Produktivitas bisnis yang rendah. Proses bisnis yang tidak efisien. Kegagalan untuk beroperasi sepenuhnya karena terjadinya bencana alam maupun bencana yang disebabkan manusia, seperti gempa bumi, terorisme, kebakaran dan banjir.

69 Identifikasi Kontrol Untuk setiap Management Practice yang belum diterapkan, dilakukan identifikasi kontrol yang diperlukan. Kontrol dijelaskan dalam dua aspek, yaitu aktivitas yang perlu dilakukan dan pembagian tanggung jawab sebagai panduan dalam penerapan Management Practice tersebut Identifikasi Aktivitas Sebagai panduan bagi perusahaan dalam menerapkan Management Practice yang relevan dan selama ini belum diterapkan, terdapat rincian aktivitas yang telah disediakan COBIT 5. Rincian aktivitas tersebut dapat dilihat pada Tabel 4.7. Tabel 4.7 Aktivitas Terkait Management Practice APO Identify IT services. APO09.02 Catalogue IT-enabled services. Aktivitas 1. Menilai tingkat layanan TI saat ini untuk mengidentifikasi perbedaan antara layanan yang tersedia dengan aktivitas bisnis yang didukung olehnya. Mengidentifikasi perbaikan yang dapat dilakukan terhadap layanan maupun tingkat layanan yang tersedia. 2. Melakukan analisis dan estimasi atas kemungkinan permintaan pada masa yang akan datang dan menyesuaikannya dengan kapasitas layanan TI saat ini. 3. Melakukan analisis proses bisnis untuk mengidentifikasi kebutuhan terhadap layanan TI yang baru ataupun perbaikan terhadap layanan TI yang ada. 4. Membandingkan kebutuhan yang teridentifikasi dengan layanan yang ada saat ini. Jika memungkinkan, gunakan layanan yang sudah tersedia untuk memenuhi kebutuhan bisnis. 5. Jika memungkinkan, mencocokkan kebutuhan layanan dan membuat standarisasi layanan untuk mencapai efisiensi secara keseluruhan. 6. Melakukan review portfolio layanan TI dengan portfolio bisnis untuk mengidentifikasi layanan yang sudah tidak diperlukan. 1. Mempublikasikan katalog layanan TI dan tingkat layanan yang tersedia pada portfolio layanan. 2. Memastikan secara terus menerus bahwa portfolio layanan selalu lengkap dan mutakhir. 3. Menginformasikan pada manajemen atas setiap perubahan yang terjadi pada katalog layanan.

70 58 APO Define and prepare service agreements. BAI03.06 Perform quality assurance (QA). BAI08.02 Identify and classify sources of information. 1. Melakukan analisis kebutuhan atas perjanjian layanan yang baru ataupun yang mengalami perubahan dari manajemen bisnis untuk memastikan bahwa kebutuhan tersebut dapat dipenuhi. Mempertimbangkan aspek-aspek terkait waktu layanan, tingkat ketersediaan, kinerja, kapasitas, keamanan, keberlanjutan, kepatuhan dan masalah peraturan, tingkat kegunaan, dan batasan-batasan lain. 2. Menyiapkan perjanjian layanan pelanggan berdasarkan layanan yang relevan dari katalog yang ada. 3. Menentukan dan menyepakati perjanjian layanan pelanggan, jika memungkinkan. 4. Bekerja sama dengan vendor untuk memastikan bahwa kontrak komersial mengacu pada perjanjian layanan pelanggan. 5. Memfinalisasi perjanjian layanan pelanggan dengan manajemen bisnis. 1. Menentukan rencana QA dan praktiknya, misalnya kriteria kualitas, proses validasi dan verifikasi, bagaimana kualitas akan dinilai, kualifikasi yang diperlukan untuk melakukan review, dan peran dan tanggung jawab untuk pencapaian kualitas. 2. Memantau kualitas solusi berdasarkan kebutuhan proyek, kebijakan perusahaan, kepatuhan terhadap metodologi pengembangan, prosedur manajemen mutu dan kriteria penerimaan. 3. Menerapkan metode yang sesuai. Melaporkan hasil proses monitor dan pengujian kepada tim pengembang dan manajemen TI. 4. Memantau semua pengecualian kualitas dan melakukan tindakan korektif. Mengelola semua hasil review, pengecualian dan koreksi. Mengulangi proses QA bila dibutuhkan. 1. Melakukan identifikasi pengguna yang berpotensi memiliki pengetahuan, termasuk informasi mengenai pihak yang butuh berkontribusi dan menyetujui pengetahuan tersebut. Mendapatkan kebutuhan pengetahuan dan sumbernya. 2. Mempertimbangkan tipe dokumen maupun struktur informasi yang digunakan. 3. Melakukan klasifikasi sumber informasi berdasarkan skema tertentu. 4. Mengumpulkan dan melakukan validasi informasi berdasarkan beberapa kriteria, seperti relevansi, tingkat kepentingan, integritas, akurasi, konsistensi, kerahasiaan, dan tingkat kepercayaan.

71 59 BAI08.03 Organise and contextualise information into knowledge. BAI09.02 Manage critical assets. BAI10.01 Establish and maintain a configuration model. 1. Melakukan identifikasi atribut yang digunakan bersama, mencocokan sumber informasi, dan menciptakan hubungan antar informasi. 2. Menciptakan tampilan untuk set data yang berhubungan dengan mempertimbangkan pihak-pihak yang terkait dan kebutuhan organisasi. 3. Merancang dan mengimplementasikan suatu skema untuk mengelola pengetahuan yang belum terstruktur. 4. Mempublikasikan pengetahuan agar dapat diakses oleh pihak terkait berdasarkan tanggung jawab dan mekanisme aksesnya. 1. Melakukan identifikasi aset yang penting dalam penyediaan layanan. 2. Melakukan monitor atas kinerja dari aset tersebut dengan memeriksa tren masalah dan melakukan perbaikan jika dibutuhkan. 3. Mempertimbangkan risiko dari kegagalan atau kebutuhan penggantian setiap aset penting secara reguler. 4. Menjaga ketahanan aset penting dengan menerapkan pemeliharaan preventif rutin, pemantauan kinerja, dan jika diperlukan memberikan alternatif atau aset tambahan untuk meminimalkan kemungkinan kegagalan. 5. Menetapkan rencana pemeliharaan preventif untuk semua perangkat keras, mempertimbangkan analisa cost-benefit, rekomendasi vendor, risiko pemadaman, personil yang berkualitas dan faktor lain yang relevan. 6. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas TI. Menetapkan kontrak layanan formal mengandung atau mengacu pada semua kondisi keamanan yang diperlukan, termasuk prosedur otorisasi akses, untuk memastikan kepatuhan dengan kebijakan keamanan organisasi dan standar. 7. Berkomunikasi dengan pelanggan dan pengguna yang terkena dampak yang diperkirakan (misalnya pembatasan kinerja) dari kegiatan pemeliharaan. 8. Memastikan layanan akses remote dan profil pengguna (atau alat lain yang digunakan untuk pemeliharaan atau diagnosis) yang aktif hanya bila diperlukan. 9. Mengikutsertakan perkiraan downtime dan jadwal kegiatan pemeliharaan dalam jadwal produksi secara keseluruhan untuk meminimalkan dampak negatif terhadap proses bisnis. 1. Menentukan dan menyetujui ruang lingkup dan tingkat detail untuk manajemen konfigurasi (layanan, aset, dan infrastruktur yang mana saja yang termasuk di dalamnya). 2. Menetapkan dan memelihara logical model untuk manajemen konfigurasi, termasuk informasi mengenai jenis item konfigurasi, atribut item konfigurasi, jenis hubungan, atribut hubungan dan kode status yang digunakan.

72 60 BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.03 Maintain and control configuration items. BAI10.04 Produce status and configuration reports. BAI10.05 Verify and review integrity of the configuration repository. 1. Mengidentifikasi dan mengklasifikasikan item konfigurasi dan membuat repositori. 2. Membuat, melakukan review dan menyetujui baseline konfigurasi aplikasi, layanan atau infrastruktur secara formal. 1. Mengidentifikasi perubahan pada item konfigurasi secara berkala. 2. Melakukan review terhadap perubahan yang diusulkan untuk item konfigurasi terhadap baseline untuk memastikan kelengkapan dan keakuratan. 3. Memperbarui rincian konfigurasi untuk perubahan item konfigurasi yang disetujui. 4. Membuat, melakukan review dan menyetujui perubahan baseline konfigurasi secara formal. 1. Mengidentifikasi perubahan status item konfigurasi terhadap baseline. 2. Mencocokkan perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi perubahan yang tidak sah. Melaporkan perubahan tidak sah kepada bagian Change Management. 3. Mengidentifikasi persyaratan pelaporan dari semua stakeholder, termasuk konten, frekuensi dan media. Menghasilkan laporan sesuai dengan persyaratan yang teridentifikasi. 1. Melakukan verifikasi item konfigurasi secara periodik terhadap konfigurasi repositori dengan membandingkan konfigurasi fisik dan logis dan menggunakan alat yang tepat jika diperlukan. 2. Melaporkan dan meninjau semua penyimpangan untuk dikoreksi atau tindakan untuk menyingkirkan aset yang tidak sah. 3. Melakukan verifikasi secara periodik terhadap semua item konfigurasi secara fisik, sebagaimana didefinisikan dalam repositori. Melaporkan setiap penyimpangan kepada manajemen. 4. Menetapkan dan meninjau target secara periodik untuk kelengkapan repositori konfigurasi berdasarkan kebutuhan bisnis. 5. Membandingkan tingkat kelengkapan dan akurasi terhadap target secara periodik dan mengambil tindakan perbaikan, jika diperlukan, untuk meningkatkan kualitas data repositori.

73 61 DSS01.01 Perform operational procedures. DSS01.03 Monitor IT contextualize. DSS04.08 Conduct postresumption review. 1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang diberikan. 2. Menjaga jadwal kegiatan operasional, melakukan kegiatan, dan mengelola kinerja dan throughput dari kegiatan yang dijadwalkan. 3. Melakukan verifikasi bahwa semua data telah diterima dan diproses sepenuhnya, akurat, dan pada waktu yang tepat. Memberikan output sesuai dengan kebutuhan perusahaan. Pastikan bahwa pengguna menerima output yang tepat dengan cara yang aman dan tepat waktu. 4. Memastikan bahwa standar keamanan yang berlaku terpenuhi untuk seluruh proses data dengan cara yang memenuhi tujuan perusahaan, kebijakan keamanan perusahaan dan persyaratan undang-undang 5. Menjadwalkan, mengambil dan mencatat backup sesuai dengan kebijakan dan prosedur. 1. Menyimpan log kejadian dan mengidentifikasi informasi yang dicatat berdasarkan pertimbangan risiko dan kinerja. 2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau berdasarkan kepentingan layanan dan hubungan antara item konfigurasi dan layanan yang bergantung pada mereka. 3. Mendefinisikan dan menerapkan aturan yang mengidentifikasi dan mencatat pelanggaran dan kejadian. Menemukan keseimbangan antara menyimpan peristiwa minor dan peristiwa penting sehingga log kejadian tidak dipenuhi dengan informasi yang tidak perlu. 4. Menghasilkan log kejadian dan menyimpannya untuk jangka waktu tertentu untuk membantu penyelidikan masa depan. 5. Menetapkan prosedur untuk memantau log kejadian dan melakukan tinjauan rutin. 6. Memastikan bahwa catatan insiden diciptakan pada waktu yang tepat saat proses pemantauan mengidentifikasi penyimpangan dari batas yang ditetapkan. 1. Menilai kesesuaian terhadap Business Continuity Plan yang telah didokumentasikan. 2. Menentukan efektivitas dari perencanaan, kemampuan kontinuitas, peran dan tanggung jawab, keterampilan dan kompetensi, ketahanan terhadap insiden, infrastruktur teknis, dan struktur organisasi. 3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kemampuan dan membuat rekomendasi untuk perbaikan. 4. Memperoleh persetujuan manajemen untuk setiap perubahan rencana dan menerapkan perubahan tersebut melalui suatu kontrol perubahan.

74 Identifikasi Peran dan Tanggung Jawab Untuk menerapkan setiap aktivitas pada Management Practice yang belum diterapkan, COBIT 5 dalam dokumen COBIT 5 Enabling Process memberikan panduan pembagian peran dan tanggung jawab untuk setiap pihak yang dinilai terlibat dalam setiap Management Practice. Panduan peran dan tanggung jawab dibagi menjadi beberapa jenis peran, yaitu Responsible, Accountable, Consult, dan Inform, yang biasanya disingkat dengan RACI. Penjelasan dari masing-masing peran tersebut adalah sebagai berikut: Responsible: Pihak yang secara langsung menangani pelaksanaan proses. Accountable: Pihak yang paling bertanggung jawab atas pelaksanaan proses dan berhak mengambil keputusan terhadap suatu proses. Consult: Pihak yang perlu dimintai pendapat terhadap proses tersebut. Inform: Pihak yang perlu mengetahui keputusan atas proses tersebut. Tabel 4.8 menggambarkan pembagian peran dari COBIT 5 untuk setiap Management Process yang belum diterapkan di perusahaan.

75 63 Tabel 4.8 Pembagian Peran Berdasarkan COBIT 5 Management Practice CEO CFO COO Business Executives Business Process Owners Strategy Executive Committee Steeringg Committee Project Management Office Chief Risk Officer Head Human Resources Compliance Audit CIO Head Architect Head Development Head IT Operations Head IT Administration Service Manager Information Security Manager Business Continuity Manager APO Identify IT C R R R C I I I R I C C C A I I services. APO09.02 Catalogue ITenabled services. I I I I I R I C C C A I I APO Define and prepare service agreements. R C C C C C R C R R A C C BAI03.06 Perform quality assurance (QA). I R A R C C I C R C C C C BAI08.02 Identify and classify sources of information. A R C C C R R R R BAI08.03 Organise and contextualise information into knowledge. C C I I A R R R BAI09.02 Manage critical assets. C I C C C R R A R C C C BAI10.01 Establish and C C C C I A R R maintain a configuration model. BAI10.02 Establish and C R A R R maintain a configuration repository and baseline. BAI10.03 Maintain and control configuration items. A C R R R C BAI10.04 Produce status and configuration reports. I I I C C A R I BAI10.05 Verify and review integrity of the configuration repository. I R R R A R DSS01.01 Perform operational procedures. A C C C DSS01.03 Monitor IT infrastructure. I C I C I C A C C DSS04.08 Conduct postresumption review. C R I R C C R R A

76 64 Dari panduan yang disediakan COBIT 5, titik berat peran diberikan kepada pihak yang Responsible sebagai pelaksana utama dari aktivitas-aktivitas yang teridentifikasi dalam penerapan Management Practice karena penerapan proses COBIT 5 tersebut berpengaruh secara signifikan terhadap beban kerja posisi yang terkait. Setiap pihak yang memiliki peran Responsible dipetakan pada posisi yang saat ini ada di perusahaan, seperti yang tertera pada Tabel 4.9. Tabel 4.9 Penanggung Jawab Pelaksana di Perusahaan Peran berdasarkan COBIT 5 COO Business Executives Business Process Owners Posisi di Perusahaan Director & CCO Director & CWIO Group Head Business Owners Division Head Business Owners Tanggung Jawab Pelaksana APO Identify IT services. APO Identify IT services. APO Define and prepare service agreements. APO Identify IT services. BAI03.06 Perform quality assurance (QA) BAI08.02 Identify and classify sources of information. DSS04.08 Conduct post-resumption review. Project Management Office Audit CIO Group President Director Office Internal Audit Group Director & Chief Technology Officer BAI03.06 Perform quality assurance (QA) BAI10.05 Verify and review integrity of the configuration repository. APO Identify IT services. APO09.02 Catalogue IT-enabled services. APO Define and prepare service agreements. BAI08.02 Identify and classify sources of information. DSS04.08 Conduct post-resumption review. Head Architect Division Head IT Architecture & Strategy BAI09.02 Manage critical assets. BAI10.05 Verify and review integrity of the configuration repository.

77 65 Peran berdasarkan COBIT 5 Head Development Head IT Operations Head IT Administration Service Manager Posisi di Perusahaan Group Head IT Planning Group Head IT Operation Division Head IT Operation Division Head IT Security, Helpdesk & Desktop Tanggung Jawab Pelaksana BAI03.06 Perform quality assurance (QA) BAI08.02 Identify and classify sources of information. BAI08.03 Organise and contextualize information into knowledge. BAI09.02 Manage critical assets. BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.03 Maintain and control configuration items. BAI10.05 Verify and review integrity of the configuration repository. APO Define and prepare service agreements. BAI08.02 Identify and classify sources of information. BAI08.03 Organise and contextualize information into knowledge. BAI10.03 Maintain and control configuration items. DSS04.08 Conduct post-resumption review. APO Define and prepare service agreements. BAI08.03 Organise and contextualize information into knowledge. BAI09.02 Manage critical assets. BAI10.01 Establish and maintain a configuration model. BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.03 Maintain and control configuration items. BAI10.04 Produce status and configuration reports. DSS04.08 Conduct post-resumption review. BAI08.02 Identify and classify sources of information. BAI10.01 Establish and maintain a configuration model. BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.05 Verify and review integrity of the configuration repository.

78 66 Selain penanggung jawab pelaksana, peran pihak yang Accountable juga penting karena pengambilan keputusan berada pada tangan pihak tersebut. Setiap pihak yang memiliki peran Accountable dipetakan pada posisi yang saat ini ada di perusahaan, seperti yang tertera pada Tabel Tabel 4.10 Penanggung Jawab Utama di Perusahaan Peran berdasarkan COBIT 5 Business Executives Steeringg Committee CIO Head IT Operations Service Manager Business Continuity Manager Posisi di Perusahaan Group Head Business Owners Group President Director Office Director & Chief Technology Officer Group Head IT Operation Division Head IT Security, Helpdesk & Desktop Group President Director Office Tanggung Jawab Utama BAI08.02 Identify and classify sources of information. BAI03.06 Perform quality assurance (QA) BAI08.03 Organise and contextualize information into knowledge. BAI10.03 Maintain and control configuration items. BAI09.02 Manage critical assets. BAI10.01 Establish and maintain a configuration model. BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.04 Produce status and configuration reports. BAI10.05 Verify and review integrity of the configuration repository. DSS01.01 Perform operational procedures. DSS01.03 Monitor IT infrastructure. APO Identify IT services. APO09.02 Catalogue IT-enabled services. APO Define and prepare service agreements. DSS04.08 Conduct post-resumption review. Sebagai pelengkap, dijabarkan juga pihak yang perlu dimintai pendapat dan pihak yang perlu mengetahui keputusan atas setiap proses seperti yang tertera pada Tabel 4.11 dan Tabel 4.12.

79 67 Tabel 4.11 Pihak yang Perlu Dimintai Pendapat Peran berdasarkan COBIT 5 CEO CFO Business Executives Business Process Owners Strategy Executive Committee Project Management Office Chief Risk Officer Head Human Resources Compliance Audit Posisi di Perusahaan President Director & CEO Pihak yang Perlu Dimintai Pendapat APO Identify IT services. Director & CFO BAI09.02 Manage critical assets. Group Head DSS04.08 Conduct post-resumption review. Business Owners Division Head Business Owners Group President Director Office Group President Director Office Group Head Risk Management Group Head Human Resources APO Define and prepare service agreements. BAI08.03 Organise and contextualise information into knowledge. BAI09.02 Manage critical assets. BAI10.01 Establish and maintain a configuration model. DSS01.03 Monitor IT infrastructure. APO Identify IT services. APO Define and prepare service agreements. APO Define and prepare service agreements. BAI08.02 Identify and classify sources of information. BAI08.03 Organise and contextualise information into knowledge. Regulatory Group APO Define and prepare service agreements. BAI03.06 Perform quality assurance (QA). BAI08.02 Identify and classify sources of information. BAI09.02 Manage critical assets. Internal Audit Group APO Define and prepare service agreements. BAI03.06 Perform quality assurance (QA). BAI08.02 Identify and classify sources of information. BAI09.02 Manage critical assets. BAI10.01 Establish and maintain a configuration model. DSS01.03 Monitor IT infrastructure.

80 68 Peran berdasarkan COBIT 5 Posisi di Perusahaan Pihak yang Perlu Dimintai Pendapat CIO Director & CTO BAI10.01 Establish and maintain a configuration model. Head Architect Head Development Head IT Operations Division Head IT Architecture & Strategy Group Head IT Planning Group Head IT Operation BAI03.06 Perform quality assurance (QA). BAI10.01 Establish and maintain a configuration model. BAI10.02 Establish and maintain a configuration repository and baseline. BAI10.03 Maintain and control configuration items. BAI10.04 Produce status and configuration reports. DSS04.08 Conduct post-resumption review. APO Identify IT services. APO09.02 Catalogue IT-enabled services. APO Define and prepare service agreements. BAI10.04 Produce status and configuration reports. DSS01.03 Monitor IT infrastructure. DSS04.08 Conduct post-resumption review. APO Identify IT services. APO09.02 Catalogue IT-enabled services. BAI03.06 Perform quality assurance (QA). Head IT Administration Service Manager Information Security Manager Business Continuity Manager Division Head IT Operation Division Head IT Security, Helpdesk & Desktop Manager IT Security Group President Director Office APO Identify IT services. APO09.02 Catalogue IT-enabled services. BAI03.06 Perform quality assurance (QA). BAI09.02 Manage critical assets. BAI10.03 Maintain and control configuration items. DSS01.01 Perform operational procedures. DSS01.03 Monitor IT infrastructure. APO Define and prepare service agreements. BAI03.06 Perform quality assurance (QA). BAI09.02 Manage critical assets. DSS01.01 Perform operational procedures. DSS01.03 Monitor IT infrastructure. APO Define and prepare service agreements. BAI03.06 Perform quality assurance (QA). BAI09.02 Manage critical assets. DSS01.01 Perform operational procedures.

81 69 Peran berdasarkan COBIT 5 COO Business Executives Business Process Owners Project Management Office Chief Risk Officer Compliance Audit CIO Tabel 4.12 Pihak yang Perlu Mengetahui Keputusan Posisi di Perusahaan Pihak yang Perlu Mengetahui Keputusan Director & CCO DSS01.03 Monitor IT infrastructure. Director & CWIO Group Head Business Owners Division Head Business Owners Group President Director Office Group Head Risk Management APO09.02 Catalogue IT-enabled services. BAI03.06 Perform quality assurance (QA). BAI09.02 Manage critical assets. APO09.02 Catalogue IT-enabled services. BAI10.04 Produce status and configuration reports. BAI10.05 Verify and review integrity of the configuration repository. APO Identify IT services. APO09.02 Catalogue IT-enabled services. DSS01.03 Monitor IT infrastructure. DSS04.08 Conduct post-resumption review. Regulatory Group APO Identify IT services. APO09.02 Catalogue IT-enabled services. BAI08.03 Organise and contextualise information into knowledge. Internal Audit Group Head Architect Division Head IT Architecture & Strategy Head Development Service Manager APO Identify IT services. APO09.02 Catalogue IT-enabled services. BAI08.03 Organise and contextualise information into knowledge. BAI10.04 Produce status and configuration reports. Director & CTO BAI03.06 Perform quality assurance (QA). BAI10.04 Produce status and configuration reports. DSS01.03 Monitor IT infrastructure. Group Head IT Planning APO Identify IT services. APO09.02 Catalogue IT-enabled services. BAI10.01 Establish and maintain a configuration model. Division Head IT BAI10.04 Produce status and configuration Security, Helpdesk reports. & Desktop

82 70 Peran berdasarkan COBIT 5 Information Security Manager Business Continuity Manager Posisi di Perusahaan Manager IT Security Group President Director Office Pihak yang Perlu Dimintai Pendapat APO Identify IT services. APO09.02 Catalogue IT-enabled services. APO Identify IT services. APO09.02 Catalogue IT-enabled services. Dengan panduan rincian aktivitas dan pembagian peran dan tanggung jawab tersebut, diharapkan perusahaan dapat segera menerapkan Management Practice yang sampai saat ini belum diterapkan.

83 BAB 5 PENUTUP Pada bab ini dijelaskan mengenai kesimpulan yang dihasilkan berdasarkan tujuan penelitian yang ditentukan pada awal penelitian. Pada bab ini dijelaskan mengenai kesimpulan yang didapat setelah melakukan tahapan analisa beserta saran untuk penelitian yang dapat dilakukan lebih lanjut Kesimpulan Setelah seluruh tahapan analisa dilakukan, dihasilkan kesimpulan sebagai berikut: a. Terdapat 16 proses di COBIT 5 yang relevan dengan penerapan SOX, yaitu sebagai berikut: 1. APO09 Manage Service Agreements 2. APO10 Manage Suppliers 3. APO13 Manage Security 4. BAI03 Manage Solutions Identification and Build 5. BAI05 Manage Organisational Change Enablement 6. BAI06 Manage Changes 7. BAI07 Manage Change Acceptance and Transactioning 8. BAI08 Manage Knowledge 9. BAI09 Manage Assets 10. BAI10 Manage Configuration 11. DSS01 Manage Operations 12. DSS02 Manage Service Requests and Incidents 13. DSS03 Manage Problems 14. DSS04 Manage Continuity 15. DSS05 Manage Security Services 16. DSS06 Manage Business Process Controls 71

84 72 b. Status penerapan keenambelas proses COBIT 5 yang relevan dengan penerapan SOX tersebut dapat dirangkum seperti terlihat pada Tabel 5.1. Tabel 5.1 Rangkuman Status Penerapan Proses TI APO09 Manage Service Agreements APO10 Manage Suppliers APO13 Manage Security BAI03 Manage Solutions Identification and Build BAI05 Manage Organisational Change Enablement BAI06 Manage Changes BAI07 Manage Change Acceptance and Transactioning BAI08 Manage Knowledge BAI09 Manage Assets BAI10 Manage Configuration DSS01 Manage Operations DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity DSS05 Manage Security Services DSS06 Manage Business Process Controls Status Penerapan Sebagian diterapkan Sudah diterapkan Sudah diterapkan Sebagian diterapkan Sudah diterapkan Sudah diterapkan Sudah diterapkan Sebagian diterapkan Belum diterapkan Belum diterapkan Sebagian diterapkan Sudah diterapkan Sudah diterapkan Belum diterapkan Sudah diterapkan Sudah diterapkan

85 73 c. Dari proses-proses yang belum seluruhnya diterapkan, teridentifikasi risiko sebagai berikut: Gagalnya TI memenuhi kebutuhan bisnis maupun perjanjian dengan pihak pengguna bisnis. Kekurangan keunggulan kompetitif. Kegagalan dalam penerapan keamanan sistem untuk menghindari kebocoran data dan data yang tidak akurat. Pengelolaan yang tidak sesuai terhadap aset yang dimiliki perusahaan. Produktivitas bisnis yang rendah. Proses bisnis yang tidak efisien. Kegagalan untuk beroperasi sepenuhnya karena terjadinya bencana alam maupun bencana yang disebabkan manusia, seperti gempa bumi, terorisme, kebakaran dan banjir. d. COBIT 5 juga memberikan panduan rincian aktivitas dan pembagian tanggung jawab dalam penerapan proses-proses yang belum sepenuhnya diterapkan oleh perusahaan. Penelitian menitikberatkan pihak yang Responsible sebagai pelaksana utama dari aktivitas-aktivitas yang teridentifikasi dalam penerapan proses dan juga pihak yang Accountable karena pengambilan keputusan berada pada pihak tersebut Saran Jika dilakukan penelitian sejenis, maka beberapa hal yang dapat dipertimbangkan adalah: a. Proses identifikasi risiko dapat dilakukan lebih awal, misalnya sebagai paduan dalam proses pemilihan proses COBIT 5 yang relevan diterapkan di perusahaan. b. Penilaian status penerapan proses COBIT 5 dapat dilakukan sampai ke level aktivitas, input dan output, tidak hanya sampai level Management Practice saja.

86 DAFTAR PUSTAKA Adaikkappan, Alagammai (2009). Application Security Controls: An Audit Perspective. ISACA Journal, 1(6), 1 7. Chaudhuri, A., Chaudhuri, D., Davis, Robert E. (2009). Managing Sarbanes- Oxley Section 404 Compliance in ERP Systems Using Information Security Control Reports. ISACA Journal. 1(6) Grant, Gerry H., Miller, Karen C. (2008). Improving Financial Reporting Through Effective IT Controls: Evidence from the SOX 404 Audit. American Accounting Association Auditing Section 2008 Midyear Conference, Diakses di eporting.pdf. IMPACT (2005). IT Governance Developing a successful governance strategy. A Best Practice Guide for decision makers in IT. Diakses pada Enterprise-IT/Prepare-for-the-Exam/Study-Materials/Documents/Developing-a- Successful-Governance-Strategy.pdf. ISACA (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA (2012). COBIT 5: Enabling Process. IT Governance Institute (2003). Board Briefing on IT Governance, 2 nd Edition. IT Governance Institute (2006). IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2 nd Edition. IT Governance Institute (2007). COBIT 4.1. IT Governance Institute (2011). Purpose of IT Governance. Diakses di ntmanagement/htmldisplay.cfm&contentid=

87 75 Mehta, Arvind (2010). An Approach Toward Sarbanes-Oxley ITGC Risk Assessment. ISACA Journal, 1(5), Rozek, Paul (2008). Solving the Puzzle of IT for Sarbanes-Oxley: IT s Role in Sarbanes-Oxley Compliance. Information Systems Control Journal, 1(5), 1 3. SANS (2005). Sarbanes-Oxley Information Technology Compliance Audit. Diakses di Velichety, S.,Park, J., Jung, S., Lee, S., Tanriverdi, H. (2004). Company Perspectives on Business Value of IT Investments in Sarbanes-Oxley Compliance. Information Systems Control Journal, 1(3), 1 4.

88 LAMPIRAN 1 Pemetaan Control Objective COBIT 4.1 dengan Management Practice COBIT 5 Control Objective COBIT 4.1 Management Practice COBIT 5 AC1 Source Data Preparation and Authorisation DSS06.02; DSS06.03; BAI03.02; BAI03.03; BAI03.05; BAI03.07 AC2 Source Data Collection and Entry DSS06.02 AC3 Accuracy, Completeness and Authenticity Checks DSS06.02 AC4 Processing Integrity and Validity DSS06.02 AC5 Output Review, Reconciliation and Error Handling DSS06.02 AC6 Transaction Authentication and Integrity DSS06.02 PO1.1 IT Value Management EDM02 PO1.2 Business-IT Alignment APO02.01 PO1.3 Assessment of Current Capability and Performance APO02.02 PO1.4 IT Strategic Plan APO PO1.5 IT Tactical Plans APO02.05 PO1.6 IT Portfolio Management APO05.05 PO2.1 Enterprise Information Architecture Model APO03.02 PO2.2 Enterprise Data Dictionary and Data Syntax Rules APO03.02 PO2.3 Data Classification Scheme APO03.02 PO2.4 Integrity Management APO01.06 PO3.1 Technological Direction Planning APO02.03; APO04.03 PO3.2 Technical Infrastructure Plan APO ; APO PO3.3 Monitor Future Trends and Regulations EDM01.01; APO04.03 PO3.4 Technology Standards APO03.05 PO3.5 IT Architecture Board APO01.01 PO4.1 IT Process Framework APO01.03; APO

89 77 PO4.2 IT Strategy Committee APO01.01 PO4.3 IT Steering Committee APO01.01 PO4.4 Organisational Placement of the IT Function APO01.05 PO4.5 IT Organisational Structure APO01.01 PO4.6 Establishment of Roles and Responsibilities APO01.02 PO4.7 Responsibility for IT Quality Assurance APO11.01 PO4.8 Responsibility for Risk, Security and Compliance Deleted these specific roles are no longer explicitly specified as a practice PO4.9 Data and System Ownership APO01.06 PO4.10 Supervision APO01.02 PO4.11 Segregation of Duties APO01.02; DSS08.02 PO4.12 IT Staffing APO07.01 PO4.13 Key IT Personnel APO07.02 PO4.14 Contracted Staff Policies and Procedures APO07.06 PO4.15 Relationships APO01.01 PO5.1 Financial Management Framework APO06.01 PO5.2 Prioritisation Within IT Budget APO06.02 PO5.3 IT Budgeting APO06.03 PO5.4 Cost Management APO PO5.5 Benefit Management APO05.06 PO6.1 IT Policy and Control Environment APO01.03 PO6.2 Enterprise IT Risk and Control Framework EDM03.02; APO01.03 PO6.3 IT Policies Management APO01.03; APO01.08 PO6.4 Policy, Standards and Procedures Rollout APO01.03; APO01.08 PO6.5 Communication of IT Objectives and Direction APO01.04

90 78 PO7.1 Personnel Recruitment and Retention APO07.01; APO07.05 PO7.2 Personnel Competencies APO07.03 PO7.3 Staffing of Roles APO01.02; APO07.01 PO7.4 Personnel Training APO07.03 PO7.5 Dependence Upon Individuals APO07.02 PO7.6 Personnel Clearance Procedures APO07.01; APO07.06 PO7.7 Employee Job Performance Evaluation APO07.04 PO7.8 Job Change and Termination APO07.01 PO8.1 Quality Management System APO11.01 PO8.2 IT Standards and Quality Practices APO11.02 PO8.3 Development and Acquisition Standards APO11.02; APO11.05 PO8.4 Customer Focus APO11.03 PO8.5 Continuous Improvement APO11.06 PO8.6 Quality Measurement, Monitoring and Review APO11.04 PO9.1 IT Risk Management Framework EDM03.02; APO01.03 PO9.2 Establishment of Risk Context APO12.03 PO9.3 Event Identification APO12.01; APO12.03 PO9.4 Risk Assessment APO12.02; APO12.04 PO9.5 Risk Response APO12.06 PO9.6 Maintenance and Monitoring of a Risk Action Plan APO PO10.1 Programme Management Framework BAI01.01 PO10.2 Project Management Framework BAI01.01 PO10.3 Project Management Approach BAI01.01 PO10.4 Stakeholder Commitment BAI01.03 PO10.5 Project Scope Statement BAI01.07 PO10.6 Project Phase Initiation BAI01.07 PO10.7 Integrated Project Plan BAI01.08

91 79 PO10.8 Project Resources BAI01.08 PO10.9 Project Risk Management BAI01.10 PO10.10 Project Quality Plan BAI01.09 PO10.11 Project Change Control BAI01.11 PO10.12 Project Planning and Assurance Methods BAI01.08 PO10.13 Project Performance Measurement, Reporting and BAI01.06; BAI01.11 Monitoring PO10.14 Project Closure BAI01.13 AI1.1 Definition and Maintenance of Business Functional BAI02.1 and Technical Requirements AI1.2 Risk Analysis Report BAI02.03 AI1.3 Feasibility Study and Formulation of Alternative BAI02.02 Courses of Action AI1.4 Requirements and Feasibility Decision and BAI02.04 Approval AI2.1 High-level Design BAI03.01 AI2.2 Detailed Design BAI03.02 AI2.3 Application Control and Auditability BAI03.05 AI2.4 Application Security and Availability BAI ; BAI03.05 AI2.5 Configuration and Implementation of Acquired BAI03.03; BAI03.05 Application Software AI2.6 Major Upgrades to Existing System BAI03.10 AI2.7 Development of Application Software BAI AI2.8 Software Quality Assurance BAI03.06 AI2.9 Applications Requirements Management BAI03.09 AI2.10 Application Software Maintenance BAI03.10 AI3.1 Technological Infrastructure Acquisition Plan BAI03.04 AI3.2 Infrastructure Resource Protection and Availability BAI03.03; DSS02.03 AI3.3 Infrastructure Maintenance BAI03.10

92 80 AI3.4 Feasibility Test Environment BAI AI4.1 Planning for Operational Solutions BAI05.05 AI4.2 Knowledge Transfer to Business Management BAI AI4.3 Knowledge Transfer to End Users BAI AI4.4 Knowledge Transfer to Operations and Support BAI Staff AI5.1 Procurement Control BAI03.04 AI5.2 Supplier Contract Management APO10.01; APO10.03 AI5.3 Supplier Selection APO10.02 AI5.4 IT Resources Acquisition APO10.03 AI6.1 Change Standards and Procedures BAI AI6.2 Impact Assessment, Prioritisation and BAI06.01 Authorisation AI6.3 Emergency Changes BAI06.02 AI6.4 Change Status Tracking and Reporting BAI06.03 AI6.5 Change Closure and Documentation BAI06.04 AI7.1 Training BAI05.05 AI7.2 Test Plan BAI07.01; BAI07.03 AI7.3 Implementation Plan BAI07.01 AI7.4 Test Environment BAI07.04 AI7.5 System and Data Conversion BAI07.02 AI7.6 Testing of Changes BAI07.05 AI7.7 Final Acceptance Test BAI07.05 AI7.8 Promotion to Production BAI07.06 AI7.9 Post-implementation Review BAI07.08 DS1.1 Service Level Management Framework APO DS1.2 Definition of Services APO DS1.3 Service Level Agreements APO09.04 DS1.4 Operating Level Agreements APO09.04 DS1.5 Monitoring and Reporting of Service Level Achievements APO09.05

93 81 DS1.6 Review of Service Level Agreements and Contracts APO09.06 DS2.1 Identification of All Supplier Relationships APO10.01 DS2.2 Supplier Relationship Management APO10.03 DS2.3 Supplier Risk Management APO10.04 DS2.4 Supplier Performance Monitoring APO10.05 DS3.1 Performance and Capacity Planning BAI04.03 DS3.2 Current Performance and Capacity BAI DS3.3 Future Performance and Capacity BAI04.01 DS3.4 IT Resources Availability BAI04.05 DS3.5 Monitoring and Reporting BAI04.04 DS4.1 IT Continuity Framework DSS DS4.2 IT Continuity Plans DSS04.03 DS4.3 Critical IT Resources DSS04.04 DS4.4 Maintenance of the IT Continuity Plan DSS04.02; DSS04.06 DS4.5 Testing of the IT Continuity Plan DSS04.05 DS4.6 IT Continuity Plan Training DSS04.07 DS4.7 Distribution of the IT Continuity Plan DSS04.03 DS4.8 IT Services Recovery and Resumption DSS04.04 DS4.9 Offsite Backup Storage DSS04.08 DS4.10 Post-resumption Review DSS04.09 DS5.1 Management of IT Security APO13.01; APO13.03 DS5.2 IT Security Plan APO13.02 DS5.3 Identity Management DSS05.04 DS5.4 User Account Management DSS05.04 DS5.5 Security Testing, Surveillance and Monitoring DSS05.07 DS5.6 Security Incident Definition DSS02.01 DS5.7 Protection of Security Technology DSS05.05 DS5.8 Cryptographic Key Management DSS05.03 DS5.9 Malicious Software Prevention, Detection and DSS05.01 Correction DS5.10 Network Security DSS05.02

94 82 DS5.11 Exchange of Sensitive Data DSS05.02 DS6.1 Definition of Services APO06.04 DS6.2 IT Accounting APO06.01 DS6.3 Cost Modelling and Charging APO06.04 DS6.4 Cost Model Maintenance APO06.04 DS7.1 Identification of Education and Training Needs APO07.03 DS7.2 Delivery of Training and Education APO07.03 DS7.3 Evaluation of Training Received APO07.03 DS8.1 Service Desk Deleted ITIL 3 does not refer to Service Desk as a process. DS8.2 Registration of Customer Queries DSS DS8.3 Incident Escalation DSS02.04 DS8.4 Incident Closure DSS DS8.5 Reporting and Trend Analysis DSS02.07 DS9.1 Configuration Repository and Baseline BAI ; BAI10.04; DSS02.01 DS9.2 Identification and Maintenance of Configuration BAI10.03 Items DS9.3 Configuration Integrity Review BAI ; DSS02.05 DS10.1 Identification and Classification of Problems DSS03.01 DS10.2 Problem Tracking and Resolution DSS03.02 DS10.3 Problem Closure DSS DS10.4 Integration of Configuration, Incident and Problem DSS03.05 Management DS11.1 Business Requirements for Data Management DSS01.01 DS11.2 Storage and Retention Arrangements DSS04.08; DSS06.04 DS11.3 Media Library Management System DSS04.08 DS11.4 Disposal DSS05.08 DS11.5 Backup and Restoration DSS04.08

95 83 DS11.6 Security Requirements for Data Management DSS01.01; DSS05.08; DSS06.05 DS12.1 Site Selection and Layout DSS ; DSS05.05 DS12.2 Physical Security Measures DSS05.05 DS12.3 Physical Access DSS05.05 DS12.4 Protection Against Environmental Factors DSS01.04 DS12.5 Physical Facilities Management DSS01.05 DS13.1 Operations Procedures and Instructions DSS01.01 DS13.2 Job Scheduling DSS01.01 DS13.3 IT Infrastructure Monitoring DSS01.03 DS13.4 Sensitive Documents and Output Devices DSS05.06 DS13.5 Preventive Maintenance for Hardware BAI09.02 ME1.1 Monitoring Approach MEA01.01 ME1.2 Definition and Collection of Monitoring Data MEA ME1.3 Monitoring Method MEA01.03 ME1.4 Performance Assessment MEA01.04 ME1.5 Board and Executive Reporting MEA01.04 ME1.6 Remedial Actions MEA01.05 ME2.1 Monitoring of Internal Control Framework MEA ME2.2 Supervisory Review MEA02.01 ME2.3 Control Exceptions MEA02.04 ME2.4 Control Self-assessment MEA02.03 ME2.5 Assurance of Internal Control MEA ME2.6 Internal Control at Third Parties MEA02.01 ME2.7 Remedial Actions MEA02.04 ME3.1 Identification of External Legal, Regulatory and MEA03.1 Contractual Compliance Requirements ME3.2 Optimisation of Response to External MEA03.02 Requirements ME3.3 Evaluation of Compliance With External MEA03.03

96 84 Requirements ME3.4 Positive Assurance of Compliance MEA03.04 ME3.5 Integrated Reporting MEA03.04 ME4.1 Establishment of an IT Governance Framework EDM01 ME4.2 Strategic Alignment Deleted ME4.3 Value Delivery EDM02 ME4.4 Resource Management EDM04 ME4.5 Risk Management EDM03 ME4.6 Performance Measurement EDM01.03; EDM02.03; EDM03.03; EDM04.03 ME4.7 Independent Assurance MEA ; MEA02-08

97 85 LAMPIRAN 2 Dokumen Pendukung Gap Analysis

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121