PEMETAAN (MAPPING) DOMAIN COBIT 5 DENGAN STRUKTUR

BAB V RANCANG BANGUN KELEMBAGAAN

5.1 ANALISIS STRUKTUR ORGANISASI PUSAT DATA DAN SARANA

5.1.2 PEMETAAN (MAPPING) DOMAIN COBIT 5 DENGAN STRUKTUR

Peninjauan ulang struktur organisasi PDSI saat ini dapat dilakukan dengan menganalisis keadaan PDSI saat ini dengan menggunakan analisis kebutuhan yang telah dijelaskan sebelumnya. Setiap domain COBIT 5 menjadi alat penilai atau pemetaan (mapping) terhadap kondisi struktur organisasi PDSI saat ini. Hasil atau keluaran dari analisis tersebut merupakan fakta-fakta yang didapat dari kondisi struktur organisasis PDSI saat ini yang dapat menjadi masukan untuk pembuatan keputusan strategis mengenai bagaimana struktur organisasi PDSI seharusnya dalam menjalankan layanannya dan menjadi dasar untuk melakukan desain kembali struktur organisasi PDSI jika diperlukan. Rangkuman hasil dari analisis struktur organisasi PDSI saat ini dengan menggunakan domain-domain COBIT 5 dapat dilihat pada Tabel 5.1 sedangkan untuk hasil analisis secara lebih lengkap dapat dilihat pada Lampiran 1. Hasil mapping domain-domain COBIT 5 dengan struktur organisasi PDSI saat ini, untuk mengetahui seberapa banyak daur hidup TI dalam COBIT 5 yang tercakup dalam struktur organisasi PDSI saat ini, dapat dilihat pada Gambar 5.1.

Berdasarkan hasil analisis dan mapping domain-domain COBIT 5 tersebut dapat diketahui bahwa:

1. Belum ada bidang/sub bidang dalam struktur organisasi PDSI saat ini yang memiliki tugas maupun fungsi untuk memastikan terdapat pengaturan dan pemeliharaan kerangka kerja tata kelola; memastikan memperoleh manfaat; memastikan optimalisasi risiko; serta memastikan transparansi kepada stakeholder.

2. PDSI belum maksimal dalam menerapkan quality management

system karena masih ada beberapa proses dalam pengelolaan TI

yang seharusnya ada namun belum dilakukan.

3. Bidang / sub bidang dalam struktur organisasi PDSI melakukan banyak fungsi dan pekerjaan yang kurang fokus, contohnya sub bidang pengembangan aplikasi, selain melakukan pengembangan aplikasi juga harus melakukan pekerjaan lainnya seperti memanajemen pelaksanaan operasional dan dukungan layanan kepada pengguna (hepldesk). Hal ini menyebabkan keahlian SDM menjadi terbagi-bagi dan beban pekerjaan SDM menjadi berlebihan (overload), akibatnya pekerjaan menjadi kurang fokus, kurang profesional, tertundanya penanganan masalah dan kurangnya dokumentasi.

4. Belum ada bidang/sub bidang dalam struktur organisasi PDSI saat ini yang melakukan pengawasan terhadap proses/aktivitas yang dilakukan untuk memastikan keselarasan dan kepatuhan terhadap kebijakan maupun peraturan perundangan.

Hasil analisis dan mapping domain-domain COBIT 5 terhadap struktur organisasi PDSI saat ini dan keadaan yang kurang baik dari struktur organisasi PDSI saat ini menunjukan bahwa struktur organisasi PDSI saat ini belum melaksanakan sebuah daur hidup TI yang meliputi proses end to end yang berkenaan dengan TI seperti perencanaan (plan), pembangunan/pengembangan (build), operasional (run) dan pengamatan (monitor) di tingkat teknis manajemen (management area); dan evaluasi

(evaluate), mengarahkan (direct) dan mengawasi (monitor) di tingkat strategis pimpinan (governance area). Struktur organisasi PDSI saat ini belum mencakup kelengkapan proses-proses TI didalamnya yang merupakan aktivitas/proses yang seharusnya dilakukan oleh sebuah organisasi pengelola TI perusahaan. Hal ini didasarkan dari keadaan bahwa tidak semua domain-domain COBIT 5 tercakup dalam struktur organisasi PDSI saat ini, atau dari 37 aktivitas/proses domain COBIT 5, hanya ada 6 aktivitas/proses domain COBIT 5 (16%) yang tercakup dalam struktur organisasi PDSI saat ini, baik aktivitas dalam domain tersebut yang dijalankan sepenuhnya atau tidak (pada Gambar 5.1, aktivitas yang dijalankan sepenuhnya diberi warna hijau sedangkan aktivitas yang dijalankan tidak sepenuhnya diberi warna kuning). Hal ini berarti bahwa struktur organisasi PDSI saat ini masih jauh dari sebuah struktur organisasi pengelola TI perusahaan yang seharusnya yang mencakup daur hidup TI dan proses-proses penunjang tata kelola TI perusahaan. Oleh karena itu, struktur organisasi PDSI saat ini perlu dilakukan desain ulang untuk mendapatkan sebuah struktur organisasi yang sesuai dengan struktur organisasi pengelola TI perusahaan dan menunjang pelaksanaan tata kelola TI perusahaan.

Tabel 5.1. Analisis Kondisi Struktur Organisasi PDSI Saat Ini dengan Menggunakan COBIT 5 ID

PROSES ^{NAMA PROSES} ^{KRITERIA ANALISIS}

STRUKTUR ORGANISASI PDSI SAAT INI

BIDANG / SUB BIDANG KETERANGAN

DOMAIN TATA KELOLA (GOVERNANCE DOMAIN)

EDM01 Ensure Governance Framework Setting and Maintenance

Adanya bentuk komitmen dari pemangku kepentingan, misalnya dalam bentuk Keputusan Menteri atau bentuk pernyataan komitmen lainnya, mengenai tatakelola TI dan model pengambilan keputusan strategis TI.

EDM02 Ensure Benefits Delivery

Adanya bentuk komitmen dari pemangku kepentingan, misalnya dalam bentuk Keputusan Menteri atau bentuk pernyataan komitmen lainnya, mengenai manajemen dan pengelolaan investasi TI.

EDM03 Ensure Risk Optimisation

Adanya bentuk komitmen dari pemangku kepentingan, misalnya dalam bentuk Keputusan Menteri atau bentuk pernyataan komitmen lainnya, mengenai manajemen dan pengelolaan risiko terkait TI.

EDM04 Ensure Resource Optimisation

Adanya bentuk komitmen dari pemangku kepentingan, misalnya dalam bentuk Keputusan Menteri atau bentuk pernyataan komitmen lainnya, mengenai manajemen dan pengelolaan sumber daya TI.

EDM05 Ensure Stakeholder Transparency

Adanya bentuk komitmen dari pemangku kepentingan, misalnya dalam bentuk Keputusan Menteri atau bentuk pernyataan komitmen lainnya, mengenai manajemen dan pengelolaan pelaporan performa/kinerja.

DOMAIN MANAJEMEN (MANAGEMENT DOMAIN)

Align, Plan and Organise APO01 Manage the IT

Management Framework

Menjaga tata kelola TI kementerian, mekanisme dan otoritas dalam mengelola informasi dan penggunaan TI dalam kementerian agar sejalan dengan kebijakan dan prosedur yang berlaku.

APO02 Manage Strategy

Memberikan pandangan menyeluruh dari bisnis saat ini dan kondisi lingkungan TI (kondisi bisnis dan TI saat ini), arahan untuk masa yang akan datang (kondisi bisnis dan TI masa depan yang ideal/akan dicapai), dan inisiatif untuk bermigrasi ke masa yang akan datang (rencana strategis) / gap analysis 

Master IT Plan.

APO03 Manage Enterprise Architecture

Membangun arsitektur TI kementerian secara umum yang terdiri dari proses bisnis, informasi, data, aplikasi, dan lapisan arsitektur teknologi agar secara efektif dan efisien mewujudkan strategi TI.

APO04 Manage Innovation

Mempertahankan tingkat/level TI terkait akan tren layanan, mengidentifikasikan peluang inovasi, dan merencanakan keuntungan dari inovasi terkait dengan kebutuhan bisnis kementerian.

APO05 Manage Portfolio

Menjalankan arahan strategi yang ditetapkan untuk investasi yang sejalan dengan visi arsitektur kementerian, serta karakteristik yang diinginkan dari investasi dan layanan portofolio, dan mempertimbangkan berbagai kategori investasi dan sumber daya.

APO06 Manage Budget and Costs

Mengelola TI yang berkaitan dengan keuangan baik dari sisi bisnis dan fungsi TI yang meliputi anggaran, biaya, dan manfaat manajemen

APO07 Manage Human Resources

Memberikan pendekatan terstruktur untuk pengelolaan sumber daya manusia sebagai aset (human capital), memastikan struktur yang optimal, penempatan, hak pengambilan keputusan, dan keterampilan sumber daya manusia.

APO08 Manage Relationships

Mengelola hubungan antara bisnis dan TI dengan cara yang formal dan transparan untuk menjamin: fokus pada pencapaian tujuan bersama dan berbagi hasil dalam mendukung tujuan strategis --> perencanaan business relationship dan evaluasinya (survei).

APO09 Manage Service Agreements

Menyelaraskan layanan - yang dapat menggunakan/ diaktifkan dengan TI - dan level/tingkat layanan dengan kebutuhan kementerian, termasuk identifikasi, spesifikasi, desain, publikasi, perjanjian, dan pemantauan TI, serta tingkat layanan dan indikator kinerja --> kebijakan berapa nilai Service

Level Agreement (SLA).

APO10 Manage Suppliers

Mengelola TI terkait layanan yang diberikan oleh

supplier untuk memenuhi kebutuhan kementerian,

termasuk pemilihan supplier, manajemen hubungan, kontrak, dan meninjau serta memantau kinerja

supplier.

APO11 Manage Quality

Mendefinisikan dan mengkomunikasikan persyaratan mutu dalam semua proses, prosedur, dan hasil yang terkait, termasuk kontrol dan monitoring dalam perbaikan yang berkelanjutan.

APO12 Manage Risk

Mengidentifikasi, menilai, dan mengurangi risiko yang berkaitan dengan TI dalam toleransi yang ditetapkan oleh manajemen eksekutif kementerian --> risk tolerance berdasarkan risk appetite.

Build, Acquire and Implement

BAI01 Manage Programmes and

Projects

Pembangunan dan pelaksanaan program kegiatan dan proyek terkait TI yang telah teridentifikasi dan ditetapkan dalam perencanaan strategis bisnis dan TI kementerian.

 Sub Bidang Portal dan Konten

 Sub Bidang

Pengembangan Aplikasi  Sub Bidang Jaringan  Sub Bidang Piranti

Teknologi Informatika

BAI02 Manage Requirements

Definition

Pendefinisian requirements dari program, proyek dan solusi kementerian terkait TI yang disertai dengan analisis risiko yang dapat terjadi dari pelaksanaan

requirements tersebut beserta pemecahaan permasalahan risiko tersebut.

 Sub Bidang Portal dan Konten

 Sub Bidang

Pengembangan Aplikasi  Sub Bidang Jaringan BAI03 Manage Solutions

Identification and Build

Pengidentifikasian dan perencanaan solusi-solusi dari layanan TI yang dapat diperoleh dari analisis pelaksanaan layanan TI, baik dilihat dari sisi

availability maupun capacity layanan.

 Sub Bidang

Pengembangan Aplikasi  Sub Bidang Jaringan

BAI04 Manage Availability and Capacity

Menentukan, mengoperasikan dan memantau keberadaan (availability) dari layanan yang disajikan (Service Level Agreement) dan kapasitas/besaran (capacity) dari layanan atau infrastruktur pendukung, yang disertai dengan analisis implementasi keberadaan dan kapasitas layanan, pengidentifikasian masalah yang terjadi atau dapat terjadi dan solusi pemecahannya.

Sub Bidang Jaringan

Sudah dilakukan

monitoring kapasitas dan

ketersediaan layanan namun belum mencakup analisa dan prediksi kebutuhan yang akan datang. BAI05 Manage Organisational Change Enablement

Memanajemen/mengelola pemberdayaan perubahan-perubahan yang dapat terjadi, baik mendadak atau tidak. Perubahan-perubahan yang terjadi dianalisa kelayakan dan risikonya yang kemudian diinformasikan kepada pemangku kepentingan dan pengguna untuk mendapatkan komitmen atau kesepakatan dari mereka mengenai perubahan tersebut sehingga tercipta posisi yang seimbang sesuai dengan kesepakatan yang dibuat dan tidak

saling menyalahkan. Sebagai contoh sederhana: pengguna meminta penambahan button delete pada aplikasi, maka harus ditentukan macam-macam risiko untuk proses penambahan button tersebut, yang kemudian diinformasikan kepada pemangku kepentingan dan pengguna, sehingga mereka dapat mengambil keputusan apakah penambahan button tersebut akan dilaksanakan atau tidak, dan mereka komitmen terhadap keputusan tersebut.

BAI06 Manage Changes

Memanajemen/mengelola perubahan-perubahan sendiri secara operasional (Request For Change/RFC). Sebagai contoh: nomor RFC tertentu, perubahan mengenai hal tertentu, dicatat, diklasifikasikan apakah normal change atau emergency change, dan kemudian diinformasikan kepada pemangku kepentingan dan pengguna untuk didiskusikan (proses informasi dan diskusi mengenai perubahan tersebut kepada pemangku kepentingan dan pengguna ada di dalam proses domain BAI05)

 Sub Bidang Portal dan Konten  Sub Bidang Pengembangan Aplikasi  Sub Bidang Pengumpulan dan Pengolahan Data  Sub Bidang Jaringan  Sub Bidang Piranti

Teknologi Informatika  Sub Bidang Keamanan

Informatika

Pengelolaan perubahan (changes) dilakukan oleh masing-masing sub bidang, namun belum ada pencatatan yang baik berkaitan dengan pengelolaan perubahan.

BAI07 Manage Change Acceptance and Transitioning

Memanajemen/mengelola penerimaan hasil perubahan dan masa transisi penerimaan perubahan tersebut. Perlu ditentukan kriteria penerimaan perubahan, bagaimana kriteria dan persyaratan masa transisi untuk release hasil perubahan, dan tujuan perubahan ==> let go of things used to be,

adapt to the way things are or are going to be.

BAI08 Manage Knowledge

Semua pengetahuan (knowledge) dari kejadian, problem/ gangguan, SOP, manual penggunaan, dimanajemen atau dikelola dalam Knowledge

Management Database, digunakan dan dibagikan

(knowledge sharing). Knowledge tersebut diidentifikasikan, diklasifikasikan, diperbaharui, diperbaiki dan menjadi budaya kementerian.

Knowledge Management

yang ada saat ini hanya sebatas database

dokumen hasil training / kegiatan / rapat,

sedangkan yang

adalah knowlage yang bersumber tidak hanya dari dokumen-dokumen tersebut tetapi juga yang berasal dari pengelolaan operasional yang berjalan.

BAI09 Manage Assets

Memanajemen/mengelola aset terkait TI: informasi, orang (people), perangkat lunak, perangkat keras, hak cipta, sarana dan prasarana.

Pengelolaan aset yang ada saat ini hanya terkait asset kebutuhan operasional yang

dimanajemen di sub bagian Tata Usaha, belum mencakup aset yang mendefinisikan

Confidential, Integrity

dan Avability (CIA) (prinsip ISO

27000:2013))

BAI10 Manage Configuration

Memanajemen/mengelola konfigurasi layanan TI yang dapat dilakukan dalam Configuration Management Database (CMDB) --> best practice Information Technology Infrastructure Library (ITIL).

CMDB membentuk satu tempat penyimpanan untuk semua informasi yang berkenaan dengan komponen-komponen TI yang disebut dengan Configuration

Items (CIs). CMDB dapat menyimpan CIs dari server,

aplikasi, database, user & contacts, konfigurasi dan

history.

Pengelolaan konfigurasi yang ada saat ini belum sampai secara detail pencatatannya dan pencatatan perubahan yang ada saat ini masih belum tercatat dengan rapih sehingga

kebutuhan CMDB belum sampai kepada tahap yang bisa

menggambarkan

keseluruhan konfigurasi dan membantu dalam proses penanggulangan gangguan/insiden.

Deliver, Service and Support

DSS01 Manage Operations ^{Memanajemen/mengelola operasional layanan TI}_sehari-hari.

 Sub Bidang Portal dan Konten  Sub Bidang Pengembangan Aplikasi  Sub Bidang Pengumpulan dan Pengolahan Data  Sub Bidang Jaringan  Sub Bidang Piranti

Teknologi Informatika  Sub Bidang Keamanan

Informatika

DSS02 Manage Service Requests and

Incidents

Memanajemen/mengelola permintaan layanan, insiden dan keamanan. Sebagai contoh: permintaan pemeriksaan masalah komputer lambat

beroperasinya, harus diperiksa, misalnya apakah terkait permasalahan dalam komputernya atau adanya virus. Permintaan tersebut diterima dalam bentuk tiket layanan. Jika permasalahan dapat diselesaikan pada Level 1 manajemen permintaan layanan, insiden dan keamanan, maka tiket closed. Namun, jika tidak bisa, dikirim ke Level 2, tiket di Level 1 closed, namun di Level 2 menjadi opened

ticket. Penyelesaian permasalahan ini harus tetap

memperhatikan Service Level Agreement dari layanan.

Pencatatan gangguan belum berjalan dengan baik, belum ada

pengkategorian insiden, dan untuk permintaan layanan/service juga belum terdokumentasi dengan baik.

Penanganan insiden maupun service request semuanya belum dapat mengikuti Service Level

Agreement.

DSS03 Manage Problems

Memanajemen/mengelola problem atau insiden yang terjadi berulang kali untuk ditemukan solusi pemecahan masalah dan perbaikannya sehingga permasalahan tersebut tidak terjadi lagi.

Belum ada pengelolaan dan pendefinisian problem. Problem masih sama dengan insiden, belum menjadi

pengetahuan untuk mendapatkan solusi.

DSS04 Manage Continuity

Memanajemen/mengelola penjaminan keberadaan (availability) layanan TI agar keberadaan layanan sesuai dengan Service Level Agreement (SLA) dan tetap berjalan (adanya business continuity plan). Sebagai contoh: SLA dari tidak berfungsinya NOC adalah paling lama 1 jam. Jika PLN mengalami mati listrik dan dirasa SLA 1 jam tersebut tidak dapat dicapai, untuk mencapai continuity layanan maka NOC harus dipindahkan ke DRC agar SLA 1 jam tetap tercapai (perlu adanya Disaster Recovery Plan).

Belum ada yang mengelola

keberlangsungan

service/layanan. Semua

dikelola oleh setiap Sub Bidang, namun secara umum belum berjalan dengan baik.

DSS05 Manage Security Services

Memanajemen/mengelola operasional keamanan informasi/gangguan keamanan informasi. Sebagai

contoh: rutin melakukan penetration test. ^-

Belum ada pengelolaan insiden keamanan, semua masih dilakukan oleh masing-masing Sub Bidang dan belum tercatat dengan baik. Sub Bidang Keamanan Informatika baru menjalankan

kewajibannya jika ada permintaan atau insiden.

DSS06 Manage Business Process Controls

Memanajemen/mengelola bisnis proses yang ada: transaksi bisnis; role, tanggungjawab, akses layanan; pekerja tetap maupun outsource, log transaksi, dan informasi. Pengontrolan ini dapat dilakukan dalam bentuk tertentu atau pengontrolan dalam periode waktu tertentu yang telah disepakat. Intinya adalah mendefinisikan dan

mengimplementasikan kontrol proses bisnis yang tepat untuk memastikan informasi yang terkait dengan proses bisnis yang dilakukan oleh organisasi ataupun oleh pihak ketiga terjaga integritasnya dan keamanan aset informasi ditangani dalam proses bisnis baik yang dikelola oleh organisasi maupun pihak ketiga.

Monitor, Evaluate and Assess MEA01

Monitor, Evaluate and Assess Performance and

Conformance

Pengawasan, evaluasi dan penilaian kinerja sesuai

dengan Service Level Agreement. ^-

MEA02

Monitor, Evaluate and Assess the System of Internal

Control

Pengawasan, evaluasi dan penilaian internal kementerian terkait kesesuaian pelaksanaan layanan TI dengan SOP dan kebijakan internal (adanya internal audit).

- MEA03 Monitor, Evaluate and Assess Compliance with External Requirements

Pengawasan, evaluasi dan penilaian pelaksanaan layanan TI berdasarkan persyaratan/best practices eksternal. Sebagai contoh: berdasarkan ISO 27001, ISO 9001, dan sebagainya.

5.2 KONSEP STRUKTUR ORGANISASI PENGELOLA TI PERUSAHAAN

Struktur organisasi TI seharusnya tidak hanya sekedar grafik unit dan posisi. Struktur organisasi TI sebenarnya adalah desain yang dihasilkan dari proses pemikiran yang sistematik dan baik berdasarkan fakta, standar dan pengalaman (The Saudi e-Government Program, 2007).

Ketika merancang sebuah struktur organisasi TI, proses desain dapat secara sederhana menyajikan daftar dari fungsi-fungsi TI yang akan dijalankan. Namun, menyajikan daftar tersebut tanpa pengkategorian dan penggunaan referensi yang kuat, maka hal tersebut dapat menyebabkan duplikasi dan redundansi fungsi TI yang diikuti dengan kebingungan dan kesulitan untuk memanajemen, memahami dan memperbaharui fungsi-fungsi TI (The Saudi e-Government Program, 2007).

Dalam dokumen KEMENTERIAN KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA KAJIAN AKADEMIS KELEMBAGAAN PUSAT DATA DAN SARANA INFORMATIKA (Halaman 74-87)