Bab III Analisis Proses TI
III.2 Identifikasi Layanan TI di Pemerintah Kota Tangerang
III.2.4. Identifikasi Tingkat Kepentingan IT Streering Committees
Setelah melakukan identifikasi terhadap layanan sistem informasi, identifikasi aplikasi dan bahasa pemrograman, serta identifikasi hardware, software, dan brainware di Pemerintah Kota Tangerang, masih ada beberapa permasalahan mengenai mekanisme pelaksanaan tata kelola TIK, seperti belum adanya kebijakan dan aturan Tata Kelola TIK dan Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan - ITSP). Oleh karena itu, untuk memastikan layanan teknologi informasi dan komunikasi berjalan dengan baik diperlukan IT Steering Committees. Jika mengacu pada Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional versi 1 Tahun 2007 yang diterbitkan oleh Kementrian Komunikasi dan Informasi, IT Steering Committees dapat disebut sebagai Dewan TIK Daerah atau Detikda.
Alasan dibentuknya IT Steering Committees atau Detikda adalah sebagai berikut1:
1. Memastikan keterlibatan eksekutif pemerintahan dalam perencanaan teknologi informasi.
2. Memastikan keselarasan antara tujuan teknologi informasi dan tujuan pemerintahan.
3. Memperkuat komunikasi antara eksekutif pemerintahan dan pengelola layanan teknologi informasi
4. Mengubah perilaku pengguna ke arah layanan teknologi informasi. Permasalahan umum dalam pembentukan IT Steering Committee atau Detikda adalah sebagai berikut.
1. Komposisi yang kurang tepat dalam penempatan peran jabatan di dalam komite.
2. Integrasi pengetahuan yang kurang sesuai dan tidak mengacu pada strategi pencapaian yang tepat.
3. Kurangnya infrastruktur untuk mendukung dan melaksanakan strategi pencapaian.
IT Steering Committee atau Detikda harus mempunyai kemampuan sebagai berikut.
1. Mengenali potensi layanan teknologi informasi dalam hubungannya dengan tujuan pemerintahan.
2. Ketajaman dalam mengeksploitasi layanan teknologi informasi sebagai strategi pemerintahan.
3. Mampu mempengaruhi sistem manajemen dalam area pemerintahan 4. Memiliki kepercayaan dari eksekutif pemerintahan.
Tujuan utama dari IT Steering Committee atau Detikda adalah sebagai berikut.
1. Memastikan semua tujuan strategis layanan teknologi informasi dapat tercapai
2. Memperhatikan kejadian-kejadian yang bisa mempengaruhi aplikasi strategis
3. Berlaku sebagai pengambil keputusan final
4. Untuk berhadapan dengan eksekutif pemerintahan
Menurut Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional versi 1 Tahun 2007 yang diterbitkan oleh Kementrian Komunikasi dan Informasi, setiap institusi pemerintahan minimal harus memiliki perencanaan atas
komponen berikut ini.
1. Arsitektur Informasi, yaitu model informasi organisasi yang
mendefinisikan lingkup kebutuhan informasi yang dipetakan ke dalam proses bisnis organisasi terkait.
2. Arsitektur Aplikasi, yaitu model aplikasi organisasi yang
mendefinisikan lingkup aplikasi beserta persyaratan dan spesifikasi desain apa saja yang dibutuhkan oleh organisasi untuk mengakomodasi seluruh level proses bisnis organisasi seperti: transaksional, operasional, pelaporan, analisa, monitoring dan perencanaan.
3. Arsitektur Infrastruktur Teknologi, yaitu: topologi, konfigurasi, dan
untuk memastikan infrastruktur teknologi yang digunakan organisasi selalu sesuai dengan kebutuhan.
4. Organisasi dan Manajemen, yaitu struktur organisasi dan deskripsi
peran, serta kebijakan dan prosedur untuk menjalankan seluruh proses dalam manajemen TIK.
5. Pendekatan dan Roadmap Implementasi, yaitu pola pendekatan
yang digunakan untuk memastikan implementasi seluruh arsitektur beserta organisasi dan manajemen, didukung oleh roadmap implementasi yang mendeskripsikan tahapan-tahapan target implementasi dalam sebuah durasi waktu tertentu.
Untuk mewujudkan Tata kelola TIK yang baik, dan maka mengimplementasikan komponen-komponen di atas, maka diperlukan suatu sinkronisasi dan integrasi, seperti berikut ini.
1. Sinkronisasi dan integrasi perencanaan sistem dilakukan sejak di level internal institusi maupun hubungan antar institusi.
2. Komisi TIK Daerah Kota Tangerang memberikan persetujuan akhir atas Rencana Strategis Teknologi Informasi (ITSP) lima tahunan Pemerintah Kota Tangerang, yang kemudian akan disahkan secara legal dan formal oleh Dewan TIK Daerah (Detikda) Kota Tangerang. 3. Detikda Kota Tangerang melakukan review dan memberikan masukan
atas perencanaan TIK di Pemerintah Kota Tangerang.
4. Detikda Kota Tangerang memberikan persetujuan akhir atas Rencana Flagship Daerah, yang kemudian akan disahkan secara legal dan formal oleh eksekutif pemerintahan.
III.3 Layanan TI Kondisi Saat ini dan Kondisi yang
diharapkan Pemerintah Kota Tangerang
Berdasarkan hasil identifikasi Layanan TI pada Pemerintah Kota Tangerang saat ini yang dimulai dari penilaian berdasarkan control objective di proses TI (hasil modifikasi terhadap COBIT Management Tool Set V.3 yang disesuaikan dengan COBIT framework V.4.1), Proses layanan TI yang diharapkan adalah sebagai berikut.
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) PO 1 Mendefinisikan rencana strategis TI Memastikan keselarasan tujuan teknologi
informasi dengan tujuan institusi berdasarkan keseimbangan persyaratan yang
dibutuhkan oleh institusi dalam mencapai strateginya TIDAK PO 2 Mendefinisikan arsitektur informasi Melakukan optimali pencapaian tujuan organisasi melalui sistem informasi
TIDAK
PO 3 Menentukan arahan teknologi
Memahami dan dapat mengambil keuntungan dari kemajuan teknologi agar dapat mencapai strategi institusi TIDAK PO 4 Mendefinisikan organisasi TI dan hubungannya Memastikan keberjalanan layanan TI sampai pada tujuannya
TIDAK
PO 5 Pengelolaan investasi TI Memastikan kontrol pendanaan dan
pengeluaran pada sumber daya keuangan
YA
PO 6 Mengomunikasikan sasaran dan arahan manajemen Memastikan kesadaran pengguna dan pemahamannya untuk mencapai sasaran organisasi TIDAK PO 7 Pengelolaan sumber daya manusia Memastikan bahwa perolehan kompetensi dan motivasi kerja tercapai secara maksimal terhadap proses TI YA PO 8 Memastikan kepatuhan terhadap persyaratan eksternal Memastikan tingkat legalitas, peraturan dan kontrak sesuai dengan aturan yang berlaku
TIDAK
PO 9 Penilaian risiko Memastikan bahwa dukungan pengelolaan keputusan dapat dicapai melalui obyektif TI yaitu dengan mengurangi kompleksitas sistem yang dapat mengancam keamanan informasi serta melalui identifikasi faktor keputusan penting di sisi layanan TI
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN
LAYANAN TI
Proses TI (Ada/Tidak) PO 10 Pengelolaan proyek Memastikan bahwa
prioritas dan ketepatan waktu pekerjaan dapat tercapai sesuai dengan anggaran
YA
PO 11 Pengelolaan kualitas Memastikan kebutuhan pengguna dapat terpenuhi melalui proses TI
YA
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) AI 1 Mendefinisikan solusi otomatisasi Memastikan pendekatan efektivitas dan efisiensi mencapai kepuasan pengguna TIDAK AI 2 Memperoleh dan merawat aplikasi perangkat lunak Menyediakan fungsi otomatis yang dapat mendukung proses bisnis secara efektif YA AI 3 Memperoleh dan merawat infrastruktur teknologi Menyediakan platform yang sesuai untuk mendukung aplikasi institusi YA AI 4 Mengembangkan dan merawat prosedur pelaksanaan Memastikan penggunaan yang tepat pada aplikasi dan solusi teknologi yang sesuai dengan tempatnya
TIDAK
AI 5 Menginstal dan mengakreditasi sistem
Memeriksa dan
mengkomfirmasi bahwa solusi yang digunakan sesuai dengan tujuan yang dimaksudkan
YA
AI 6 Mengelola perubahan Meminimalisasi kemungkinan gangguan, perubahan yang tidak sah dan kesalahan yang mungkin terjadi
TIDAK
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) DS 1 Mendefinisikan dan mengelola tingkat layanan Menetapkan pemahaman umum dari tingkat layanan yang dibutuhkan
TIDAK
DS 2 Mengelola layanan pihak ketiga
Memastikan peran dan tanggung jawab dari
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) terdefiniskan dengan
baik, ditaati dan dapat memenuhi persyaratan yang diberikan
DS 3 Mengelola kinerja dan kapasitas
Memastikan kapasitas yang tersedia telah memadai dan dapat digunakan secara optimal serta telah sesuai dengan persyaratan yang dibutuhkan TIDAK DS 4 Memastikan keberlanjutan layanan Memastikan bahwa layanan TI telah tersedia sesuai dengan
persyaratannya dan dapat meminimalisasi
gangguan besar terhadap keberlangsungan institusi TIDAK DS 5 Memastikan keamanan sistem Menjaga informasi terhadap penggunaan yang tidak sah, penyingkapan atau modifikasi, kerusakan maupun kehilangan informasi TIDAK DS 6 Mengidentifikasi dan mengalokasikan biaya Memastikan kesadaran akan biaya yang timbul pada layanan TI TIDAK DS 7 Pendidikan dan pelatihan terhadap pengguna Memastikan bahwa pengguna dapat mencapai penggunaan teknologi dengan efektif dan sadar akan risiko serta tanggung jawab atas penggunaan teknologi
YA
DS 8 Membantu dan dapat memberikan saran pada pengguna
Memastikan bahwa setiap permasalahan yang dihadapi oleh pengguna dapat diselesaikan dengan tepat
TIDAK
DS 9 Mengelola konfigurasi Mencatat, menghitung dan melaporkan semua komponen TI, mencegah perubahan yang tidak sah, memverifikasi keberadaan fisik komponen sehingga dapat digunakan sebagai bahan dasar manajemen perubahan
YA
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) permasalahan dan insiden
permasalahan dan insiden dapat diselesaikan serta penyebabnya dapat diinvestigasi sehingga dapat mencegah terulangnya peristiwa yang sama
DS 11 Mengelola data Memastikan bahwa data tetap lengkap, akurat dan valid selama proses pembaharuan, input maupun ketika disimpan
YA
DS 12 Mengelola fasilitas Menyediakan kesesuaian fisik di sekitar peralatan TI dan personil yang ada di dalamnya dari bahaya alam maupun buatan manusia
YA
DS 13 Mengelola operasional Memastikan bahwa dukungan fungsi penting TI dilakukan secara teratur
TIDAK
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN
LAYANAN TI
Proses TI (Ada/Tidak) M 1 Pemantauan proses Mematikan pencapaian
tujuan kinerja layanan TI yang telah ditetapkan untuk proses TI TIDAK M 2 Menilai kecukupan pengendalian internal Memastikan pencapaian pengendalian internal layanan TI yang telah ditetapkan untuk proses TI TIDAK M 3 Memperoleh jaminan yang independen Meningkatkan kepercayaan dan keyakinan terhadap layanan TI di institusi, pengguna dan pihak ketiga
TIDAK
M 4 Menyediakan sistem audit yang independen
Memastikan tingkat kepercayaan dan manfaat yang akan dicapai berdasarkan best practice advice
TIDAK
tersebut dapat dikatakan bahwa keberjalanan layanan teknologi informasi belum maksimal. Dengan demikian pencapaian terhadap good governance di bidang IT belum terpenuhi. Hal ini dimungkinkan karena ketiadaan kebijakan dan peraturan yang akan mengawal proses keberjalanan tata kelola teknologi informasi.
Berdasarkan hasil kajian TI Pemerintah Kota Tangerang dan wawancara personil Dinas Informasi dan Komunikasi Pemerintah Kota Tangerang, akan dimulai dari penilaian berdasarkan control objective di proses TI (hasil modifikasi terhadap COBIT Management Tool Set V.3 yang disesuaikan dengan COBIT framework V.4.1), Proses layanan TI yang diharapkan adalah sebagai berikut.
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) PO 1 Mendefinisikan rencana strategis TI Memastikan keselarasan tujuan teknologi
informasi dengan tujuan institusi berdasarkan keseimbangan persyaratan yang
dibutuhkan oleh institusi dalam mencapai strateginya YA PO 2 Mendefinisikan arsitektur informasi Melakukan optimali pencapaian tujuan organisasi melalui sistem informasi
YA
PO 3 Menentukan arahan teknologi
Memahami dan dapat mengambil keuntungan dari kemajuan teknologi agar dapat mencapai strategi institusi YA PO 4 Mendefinisikan organisasi TI dan hubungannya Memastikan keberjalanan layanan TI sampai pada tujuannya
YA
PO 5 Pengelolaan investasi TI Memastikan kontrol pendanaan dan
pengeluaran pada sumber daya keuangan
YA
PO 6 Mengomunikasikan sasaran dan arahan manajemen Memastikan kesadaran pengguna dan pemahamannya untuk mencapai sasaran organisasi YA
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN
LAYANAN TI
Proses TI (Ada/Tidak) daya manusia perolehan kompetensi
dan motivasi kerja tercapai secara maksimal terhadap proses TI PO 8 Memastikan kepatuhan
terhadap persyaratan eksternal
Memastikan tingkat legalitas, peraturan dan kontrak sesuai dengan aturan yang berlaku
TIDAK
PO 9 Penilaian risiko Memastikan bahwa dukungan pengelolaan keputusan dapat dicapai melalui obyektif TI yaitu dengan mengurangi kompleksitas sistem yang dapat mengancam keamanan informasi serta melalui identifikasi faktor keputusan penting di sisi layanan TI
YA
PO 10 Pengelolaan proyek Memastikan bahwa prioritas dan ketepatan waktu pekerjaan dapat tercapai sesuai dengan anggaran
YA
PO 11 Pengelolaan kualitas Memastikan kebutuhan pengguna dapat terpenuhi melalui proses TI
YA
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) AI 1 Mendefinisikan solusi otomatisasi Memastikan pendekatan efektivitas dan efisiensi mencapai kepuasan pengguna YA AI 2 Memperoleh dan merawat aplikasi perangkat lunak Menyediakan fungsi otomatis yang dapat mendukung proses bisnis secara efektif YA AI 3 Memperoleh dan merawat infrastruktur teknologi Menyediakan platform yang sesuai untuk mendukung aplikasi institusi YA AI 4 Mengembangkan dan merawat prosedur pelaksanaan Memastikan penggunaan yang tepat pada aplikasi dan solusi teknologi yang sesuai dengan tempatnya
YA AI 5 Menginstal dan mengakreditasi sistem Memeriksa dan mengkomfirmasi bahwa TIDAK
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN
LAYANAN TI
Proses TI (Ada/Tidak) sesuai dengan tujuan yang
dimaksudkan AI 6 Mengelola perubahan Meminimalisasi
kemungkinan gangguan, perubahan yang tidak sah dan kesalahan yang mungkin terjadi
YA
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN LAYANAN TI Proses TI (Ada/Tidak) DS 1 Mendefinisikan dan mengelola tingkat layanan Menetapkan pemahaman umum dari tingkat layanan yang dibutuhkan
YA
DS 2 Mengelola layanan pihak ketiga
Memastikan peran dan tanggung jawab dari pihak ketiga telah terdefiniskan dengan baik, ditaati dan dapat memenuhi persyaratan yang diberikan
YA
DS 3 Mengelola kinerja dan kapasitas
Memastikan kapasitas yang tersedia telah memadai dan dapat digunakan secara optimal serta telah sesuai dengan persyaratan yang dibutuhkan YA DS 4 Memastikan keberlanjutan layanan Memastikan bahwa layanan TI telah tersedia sesuai dengan
persyaratannya dan dapat meminimalisasi
gangguan besar terhadap keberlangsungan institusi YA DS 5 Memastikan keamanan sistem Menjaga informasi terhadap penggunaan yang tidak sah, penyingkapan atau modifikasi, kerusakan maupun kehilangan informasi YA DS 6 Mengidentifikasi dan mengalokasikan biaya Memastikan kesadaran akan biaya yang timbul pada layanan TI YA DS 7 Pendidikan dan pelatihan terhadap pengguna Memastikan bahwa pengguna dapat mencapai penggunaan YA
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN
LAYANAN TI
Proses TI (Ada/Tidak) dan sadar akan risiko
serta tanggung jawab atas penggunaan teknologi DS 8 Membantu dan dapat
memberikan saran pada pengguna
Memastikan bahwa setiap permasalahan yang dihadapi oleh pengguna dapat diselesaikan dengan tepat
TIDAK
DS 9 Mengelola konfigurasi Mencatat, menghitung dan melaporkan semua komponen TI, mencegah perubahan yang tidak sah, memverifikasi keberadaan fisik komponen sehingga dapat digunakan sebagai bahan dasar manajemen perubahan YA DS 10 Mengelola permasalahan dan insiden Memastikan bahwa permasalahan dan insiden dapat diselesaikan serta penyebabnya dapat diinvestigasi sehingga dapat mencegah terulangnya peristiwa yang sama YA
DS 11 Mengelola data Memastikan bahwa data tetap lengkap, akurat dan valid selama proses pembaharuan, input maupun ketika disimpan
YA
DS 12 Mengelola fasilitas Menyediakan kesesuaian fisik di sekitar peralatan TI dan personil yang ada di dalamnya dari bahaya alam maupun buatan manusia
YA
DS 13 Mengelola operasional Memastikan bahwa dukungan fungsi penting TI dilakukan secara teratur
TIDAK
Domain &
Proses TI AREA PROSES TI
PERSYARATAN KEBERJALANAN
LAYANAN TI
Proses TI (Ada/Tidak) M 1 Pemantauan proses Mematikan pencapaian
tujuan kinerja layanan TI yang telah ditetapkan untuk proses TI
layanan TI yang telah ditetapkan untuk proses TI M 3 Memperoleh jaminan yang independen Meningkatkan kepercayaan dan keyakinan terhadap layanan TI di institusi, pengguna dan pihak ketiga
TIDAK
M 4 Menyediakan sistem audit yang independen
Memastikan tingkat kepercayaan dan manfaat yang akan dicapai berdasarkan best practice advice
TIDAK
Berdasarkan hasil identifikasi 34 Proses IT, Pemerintah Kota Tangerang mengharapkan 28 dari 34 proses TI atau sekitar 82,35% dapat terlaksana dalam proses keberjalanan layanan teknologi informasi. Dengan demikian pencapaian terhadap good governance di bidang IT akan terpenuhi. Hal ini dimungkinkan dengan dibuatnya kebijakan dan peraturan yang akan mengawal proses keberjalanan tata kelola teknologi informasi.
Dari hasil identifikasi kondisi saat ini dan kondisi yang diharapkan, maka diperoleh hasil sebagai berikut.
Legenda untuk simbol: = Kondisi saat ini
= Kondisi yang diharapkan
Legenda untuk Pemeringkatan : 0 – Proses pengelolaan tidak teraplikasi
pada semua proses TI.
1 – Proses bersifat ad hoc dan tidak teroganisir.
2 – Proses mengikuti pola reguler. 3 – Proses telah terdokumentasi dan
dikomunikasikan.
4 – Proses telah terpantau dan terukur. 5 –Telah mengikuti good practices dan
terotomatisasi.
0 1 2 3 4 5
Berikut ini pengertian level pemeringkatan pada tingkat kematangan (maturity) dari proses TI.
Tingkat Maturity Status Kontrol Internal Penyusunan Kontrol Internal
0 Tidak Ada Kondisi dimana belum adanya kepedulian terhadap kebutuhan kontrol internal.
Kontrol bukan merupakan bagian atau misi
organisasi. Terdapat resiko yang tinggi terhadap defisiensi dan insiden.
Belum ada keinginan untuk melakukan penilaian terhadap kebutuhan kontrol internal.
Insiden dipecahkan hanya ketika terjadi saja.
1 Awal/ Ad-Hoc Kondisi dimana organisasi mengetahui kebutuhan kontrol internal.
Pendekatan terhadap resiko dan kebutuhan kontrol adalah ad-hoc dan tidak terorganisir, tanpa komunikasi atau pengawasan.
Belum teridentifikasinya defisiensi.
Karyawan tidak peduli terhadap
tanggungjawabnya.
Belum ada kepedulian terhadap kebutuhan penilaian dari kontrol TI. Ketika dilakukan, hanya ada pada tingkat ad-hoc, pada tingkat tinggi dan reaksi yang signifikan terhadap insiden.
Penilaian dilakukan hanya untuk insiden yang terjadi saja.
2 Berulang tapi intuitif
Kondisi dimana kontrol telah diterapkan tetapi tidak terdokumentasi. Dioperasikan tergantung pada pengetahuan dan motivasi individual. Efektif belum cukup terevaluasi. Masih banyak kelemahan yang terjadi dan belum terdefinisikan; yang dampaknya cukup besar.
Tindakan manajemen untuk memecahkan masalah kontrol bukan merupakan prioritas atau konsisten. Karyawan belum memiliki kepedulian terhadap tanggungjawabnya. Penilaian terhadap kebutuhan kontrol hanya terjadi ketika dibutuhkan pemilihan proses TI dalam menentukan tingkat maturity kontrol pada saat itu, tingkat yang dituju harus dapat dicapai dan kesenjangan yang terjadi. Pendekatan workshop internal, melibatkan manajer TI dan tim yang terlibat dalam proses, guna mendefinisikan sebuah pendekatan yang memadai untuk
mengontrol proses dan memotivasi rencana aksi yang telah disepakati.
Tingkat Maturity Status Kontrol Internal Penyusunan Kontrol Internal
Keefektifan terevaluasi secara periodik dan jumlah masalah yang timbul adalah rata-rata. Tetapi evaluasi proses tidak terdokumentasi. Manajemen mampu meramalkan beberapa kelemahan yang terjadi dan dampaknya, dengan hanya melihat kontrol masalah yang sering terjadi.
Karyawan memiliki kepedulian terhadap tanggungjawab mereka akan kontrol.
berdasarkan nilai dan resiko yang terjadi. Analisis secara detail diterapkan untuk mengidentifikasi kebutuhan kontrol dan sumber yang
mengakibatkan kesenjangan dan untuk membangun lebih banyak kesempatan.
Sebagai tambahan, untuk memfasilitasi workshop, digunakan perangkat/tools dan interview untuk mendukung analisis dan memastikan bahwa proses TI memiliki dan mengatur penilaian dan peningkatan proses.
4 Terkelola dan terukur
Terdapat kefektifan kontrol dan manajemen resiko.
Secara formal, dokumen evaluasi kontrol
seringkali di buat.
Banyak kontrol yang telah terautomatisasi dan secara regular di review.
Memungkinkan
manajemen mendeteksi masalah kontrol yang sering terjadi tetapi tidak semua masalah secara rutin teridentifikasi. Terdapat kekonsistensian dalam menindaklanjuti kelemahan kontrol yang teridentifikasi.
Secara terbatas, penggunaan teknologi sacara taktis diterapkan pada kontrol yang terautomatisasi.
Proses TI yang kritikal secara regular terdefinisi dengan dukungan penuh dan persetujuan dari pemilik proses bisnis yang relevan.
Penilaian terhadap kebutuhan kontrol
berdasarkan kebijakan dan tingkat maturity dari proses-proses tersebut, mulai dari permulaan dan analisis pengukuran melibatkan key stakeholders. Akuntabilitas untuk penilaian, jelas dan sesuai dengan perundang- undangan.
Srategi peningkatan didukung oleh bisnis. Peningkatan dalam pencapaian hasil yang diharapkan secara konsisten diawasi. Terkadang review kontrol eksternal dibutuhkan. 5 Optimasi Sebuah resiko
enterprisewide dan kontrol program menyediakan secara kontinu kontrol yang
Perubahan bisnis mempertimbangkan proses TI yang kritikal, dan melingkupi beberapa kebutuhan untuk
Tingkat Maturity Status Kontrol Internal Penyusunan Kontrol Internal
efektif dan resolusi resiko issues.
Kontrol internal dan manajemen resiko terintegrasi dengan organisasi practices, didukung dengan
automatisasi pengawasan yang real-time dengan akuntabilitas penuh untuk monitoring kontrol, manajemen resiko dan pemenuhan pelaksanaan undang-undang. Evaluasi kontrol secara kontinu, berdasarkan self- assessment, kesenjangan dan analisa akar
penyebabnya.
Karyawan secara proaktif terlibat dalam
peningkatan kontrol.
menetapkan kapabilitas kontrol proses.
Pemilik proses TI secara regular meningkatkan self-asessments untuk mengkonfirmasikan bahwa kontrol berada di tingkat maturity yang tepat dalam pemenuhan kebutuhan bisnis dan mempertimbangkan atribut maturity untuk mencari jalan untuk membuat kontrol yang lebih efektif dan efisien. Benchmark organisasi untuk good practices secara eksternal dan mencari pertimbangan secara eksternal untuk efektivitas kontrol internal.
Untuk proses yang kritikal, tergantung pada review dalam penyediaan kepastian kontrol dan tingkat maturity yang diharapkan dan bekerja sesuai dengan yang direncanakan.
Dengan demikian untuk mencapai target yang diharapkan perlu dilihat tingkat kepentingan proses TI yang diinginkan terhadap fokus area tata kelola teknologi informasi. Hal tersebut dapat dilihat pada tabel berikut.
Pemetaan Tingkat Kepentingan Proses TI terhadap Fokus Area
Fokus Area Tata Kelola TI Ti n gk at k e p e n ti n g an K e se la r as an S tr ate g is K e b er ja lan an N il a i P e n g e lo laan S u mb e r D aya P e n g e lo laan R is is k o P e n gu k u r an K in er ja
Domain Proses TI
PO1 Mendefinisikan rencana strategis TI T P S S PO2 Mendefinisikan arsitektur informasi R P S P S PO3 Menentukan arahan teknologi S S S P S PO4 Mendefinisikan proses, organisasi TI dan hubungannya R S P P PO5 Pengelolaan investasi TI S S P S S PO6 Mengomunikasikan sasaran dan arahan manajemen S P P PO7 Pengelolaan sumber daya manusia TI R P P S S
PO8 Pengelolaan kualitas S P S S
PO9 Mengelola & menilai risiko T P P