ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA
KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI
MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR
PERNYATAAN MENGENAI TUGAS AKHIR DAN
SUMBER INFORMASI SERTA PELIMPAHAN HAK CIPTA*
Dengan ini saya menyatakan bahwa tugas akhir berjudul Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI menggunakan Framework COBIT 4.1 adalah benar karya saya dengan arahan dari komisi pembimbing dan belum diajukan dalam bentuk apa pun kepada perguruan tinggi mana pun. Sumber informasi yang berasal atau dikutip dari karya yang diterbitkan maupun tidak diterbitkan dari penulis lain telah disebutkan dalam teks dan dicantumkan dalam Daftar Pustaka di bagian akhir tugas akhir ini.
Dengan ini saya melimpahkan hak cipta dari karya tulis saya kepada Institut Pertanian Bogor.
Bogor, Agustus 2014
Rima Octavia
ABSTRACT
RIMA OCTAVIA. Analysis Maturity Level of Provision Information Technology Governance in PDII-LIPI Using Framework COBIT 4.1. Supervised by ENDANG PURNAMA GIRI and BLASIUS SUDARSONO.
Centre for Scientific Documentation and Information – Indonesian Institute of Science (PDII-LIPI) PDII-LIPI began developing its business purposes towards digital library. To support these purposes it is necessary to use IT governance. PDII-LIPI haven’t any specific IT governance. COBIT is one of the international standard for IT governance. COBIT is used in this study is COBIT 4.1 because it can measure the organization its not uses IT governance. The results of the calculation of the maturity level of to provided IT governance in PDII-LIPI based on framework COBIT 4.1 shows that PDII-LIPI already at level 3 (Defined Process). This is consistent with the actual conditions in PDII-LIPI. COBIT 4.1 is considered quite capable, reliable and easy to implement in PDII-LIPI as not only as IT governance, but also as a tool for management to formulate policies and IT audit.
RINGKASAN
RIMA OCTAVIA. Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1. Dibimbing oleh ENDANG PURNAMA GIRI dan BLASIUS SUDARSONO.
Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan Indonesia (PDII-LIPI) mulai mengembangkan tujuan bisnisnya ke arah perpustakaan digital. Untuk mendukung tujuan bisnis ini perlu untuk menggunakan tata kelola TI. PDII-LIPI belum mempunyai tata kelola TI tersendiri. COBIT merupakan salah satu standar internasional untuk tata kelola TI. COBIT yang digunakan dalam penelitian ini adalah COBIT 4.1 karena dapat mengukur organisasi yang belum menggunakan tata kelola TI.
Kerangka kerja COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat domain yaitu perencanaan dan pengorganisasian (PO), pengadaan dan implementasi (AI), pengantaran dan dukungan (DS), serta monitor dan evaluasi (ME). Kerangka kerja COBIT 4.1 berorientasi pada proses maka keseluruhan domain tersebut memiliki beberapa proses, domain PO memiliki 10 proses, domain AI memiliki 7 proses, domain DS memiliki 13 proses, dan domain ME memiliki 4 proses.
Analisis tingkat kematangan penyediaan tata kelola TI atau ME4, menggunakan beberapa proses pada kerangka kerja COBIT 4.1 sebagai proses kontrolnya, yaitu PO4, PO5, PO9, ME2, dan ME3. Hasil perhitungan tingkat kematangan untuk menyediakan tata kelola TI di PDII-LIPI berdasarkan kerangka kerja COBIT 4.1 didapatkan berdasarkan proses kontrol yaitu PO4, PO5, PO9, ME2, dan ME3 menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses Terdefinisi). Berdasarkan demografi responden dalam hal ini pada struktural yang masih menjabat saat ini, hasil tingkat kematangan penyediaan tata kelola TI di PDII-LIPI juga menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses Terdefini). Hal tersebut sesuai dengan kondisi pengelolaan TI di PDII-LIPI saat ini. Tingkat kematangan yang diinginkan oleh struktural adalah 4 (Terkelola dan Terukur) maka dari gap yang ada direkomendasikan untuk melakukan beberapa perbaikan dan menambah beberapa kekurangan agar tingkat kematangan yang diinginkan tercapai.
COBIT 4.1 dianggap cukup mampu, dapat diandalkan dan mudah diimplementasikan dalam PDII-LIPI tidak hanya sebagai tata kelola TI, tetapi juga sebagai alat bagi manajemen untuk merumuskan kebijakan dan audit TI.
© Hak Cipta Milik IPB, Tahun 2014
Hak Cipta Dilindungi Undang-Undang
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan atau menyebutkan sumbernya. Pengutipan hanya untuk kepentingan pendidikan, penelitian, penulisan karya ilmiah, penyusunan laporan, penulisan kritik, atau tinjauan suatu masalah; dan pengutipan tersebut tidak merugikan kepentingan IPB
Tugas Akhir
sebagai salah satu syarat untuk memperoleh gelar Magister Profesional
pada
Program Studi Magister Teknologi Informasi untuk Perpustakaan
ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA
KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI
MENGGUNAKAN FRAMEWORK COBIT 4.1
SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR
BOGOR 2014
Judul Tesis : Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1 Nama : Rima Octavia
NIM : G652 100045
Disetujui oleh Komisi Pembimbing
Endang Purnama Giri, SKom, MKom Ketua
Blasius Sudarsono, MLS Anggota
Diketahui oleh
Ketua Program Studi
Magister Teknologi Informasi untuk Perpustakaan
Aziz Kustiyo, SSi, MKom
Dekan Sekolah Pascasarjana
Dr. Ir. Dahrul Syah, MSc Agr
Tanggal Ujian: 30 Agustus 2014
PRAKATA
Puji dan syukur penulis panjatkan kepada Allah subhanahu wa ta’ala atas segala karunia-Nya sehingga karya ilmiah ini berhasil diselesaikan. Tema yang dipilih dalam penelitian yang dilaksanakan sejak bulan Januari 2014 ini ialah tata kelola TI, dengan judul Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1.
Terima kasih penulis ucapkan kepada Bapak Endang Purnama Giri, SKom, MKom dan Bapak Blasius Sudarsono, MLS selaku pembimbing yang telah banyak memberi saran. Di samping itu, penghargaan penulis sampaikan kepada Kementerian Riset dan Teknologi selaku pemberi beasiswa sehingga penulis bisa melaksanakan tugas belajar pada Program Studi Magister Teknologi Informasi untuk Perpustakaan. Penulis juga mengucapkan banyak terima kasih kepada Ibu Ir. Sri Hartinah, MSi selaku Kepala Pusat PDII-LIPI serta rekan-rekan kerja di PDII-LIPI yang telah membantu selama pengumpulan data. Ungkapan terima kasih juga disampaikan kepada papa dan mama, bapak dan ibu mertua, suami, anak, seluruh keluarga, sabahat dan teman-teman MTP khususnya angkatan 2010, sera semua yang telah memberikan doa, kasih sayang, dan dukungan penuh selama menyelesaikan penelitian hingga menyusun tulisan.
Semoga karya ilmiah ini bermanfaat.
Bogor, Agustus 2014
RIWAYAT HIDUP
Penulis dilahirkan di Jakarta pada tanggal 9 Oktober 1976 sebagai anak bungsu dari pasangan H. Anwardi Mawardi dan Hj. Yusra. Pendidikan diploma ditempuh di Program Studi Teknik Grafika, Politeknik Universitas Indonesia, Depok, lulus pada tahun 1998. Pada tahun 2002 penulis menamatkan pendidikan sarjana yang ditempuh di Universitas Sahid, Jakarta dengan Program Studi Teknik Industri. Kesempatan untuk melanjutkan ke program magister pada program studi Magister Teknologi Informasi untuk Perpustakaan pada Institut Pertanian Bogor diperoleh pada tahun 2010. Beasiswa pendidikan pascasarjana diperoleh dari Kementerian Riset dan Teknologi Republik Indonesia.
DAFTAR ISI
DAFTAR TABEL viii
DAFTAR GAMBAR viii
DAFTAR LAMPIRAN ix
1 PENDAHULUAN 1
Latar Belakang 1
Perumusan Masalah 3
Tujuan Penelitian 3
Manfaat Penelitian 3
Ruang Lingkup Penelitian 4
2 TINJAUAN PUSTAKA 5
Teknologi Informasi 5
Tata Kelola Teknologi Informasi 6
COBIT 9
Profil Organisasi PDII-LIPI 29
3 METODOLOGI 33
Metode Penelitian 33
Tahapan Penelitian 33
Tahapan Analisis 35
Pengolahan Hasil Kuesioner 36
Evaluasi 37
4 HASIL DAN PEMBAHASAN 38
Profil Responden 38
Karakteristik Demografi Responden 38
Pengolahan Data Kuesioner 42
Evaluasi Tata Kelola TI 51
5 SIMPULAN DAN SARAN 55
Simpulan 55
Saran 55
DAFTAR PUSTAKA 56
DAFTAR TABEL
1 Proses TI dalam domain perencanaan dan pengorganisasian 13 2 Proses TI dalam domain pengadaan dan implementasi 13 3 Proses TI dalam domain penyampaian layanan dan dukungan 14 4 Proses TI dalam domain monitor dan evaluasi 14
5 Kriteria kontrol informasi dari COBIT 4.1 15
6 Tingkat kematangan secara umum dalam COBIT 4.1 18
7 Tingkat kematangan ME4 26
8 Representasi tingkat kematangan COBIT 37
9 Jumlah jawaban responden untuk setiap modul dari sub domain PO4 42 10 Jumlah jawaban responden untuk setiap modul dari sub domain PO5 43 11 Jumlah jawaban responden untuk setiap modul dari sub domain PO9 45 12 Jumlah jawaban responden untuk setiap modul dari sub domain ME2 46 13 Jumlah jawaban responden untuk setiap modul dari sub domain ME3 48 14 Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3 49 15 Tingkat kematangan berdasarkan demografi responden 50
DAFTAR GAMBAR
1 Proses tata kelola TI 8
2 Kubus COBIT 11
3 Kerangka kerja COBIT 4.1 secara keseluruhan 12
4 Hubungan domain-domain dalam COBIT 4.1 15
5 Diagram alur penelitian 34
6 Sebaran responden berdasarkan usia 39
7 Sebaran responden berdasarkan jenis kelamin 39 8 Sebaran responden berdasarkan tingkat pendidikan 40
9 Sebaran responden berdasarkan jabatan 40
10 Sebaran responden berdasarkan masa kerja 41
11 Sebaran responden berdasarkan keaktifannya di PDII-LIPI 41 12 Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol
DAFTAR LAMPIRAN
1 Kuesioner tingkat kematangan tata kelola di PDII-LIPI 57
2 Data relasi responden mengenai TI 63
3 Data hasil identitas responden 64
4 Data modul sub domain PO4 65
5 Data modul sub domain PO5 67
6 Data modul sub domain PO9 68
7 Data modul sub domain ME2 69
1
PENDAHULUAN
Latar Belakang
Teknologi Informasi (TI) mempengaruhi hampir semua aspek kehidupan manusia, salah satunya adalah perpustakaan. Perkembangannya yang sangat cepat menuntut perpustakaan untuk melakukan terobosan dan perubahan agar dapat mengoptimalkan penggunaan TI. Perpustakaan pada era TI menciptakan perubahan konsep perpustakaan konvensional menjadi perpustakaan digital, membuat akses informasi perpustakaan dapat dilakukan secara virtual tanpa perlu datang ke perpustakaan. Dengan demikian, perpustakaan menjadi pusat informasi yang lebih proaktif mencari pembacanya dan memberikan layanan-layanan yang lebih cepat serta up to date.
Khusus di bidang Ilmu Perpustakaan dan Informasi, Sulistyo (1993) menyatakan bahwa TI adalah teknologi yang digunakan untuk menyimpan, mengolah, menghasilkan dan menyebarluaskan informasi. Penggunaan bantuan TI pada proses pengelolaan perpustakaan disebut otomasi perpustakaan. Otomasi perpustakaan (library automation) adalah pemanfaatan TI untuk kegiatan-kegiatan perpustakaan meliputi: pengadaan, pengolahan, penyimpanan, dan penyebarluasan informasi. Selain itu, otomasi perpustakaan mengubah sistem perpustakaan manual menjadi sistem perpustakaan terkomputerisasi. Penggunaan TI saat ini telah mengalami perubahan yang sangat besar dari sekedar alat bantu menjadi komponen proses bisnis dalam perpustakaan.
Lin et al. (2000) menyatakan bahwa organisasi yang menggunakan TI perlu melakukan tata kelola agar TI dapat memberikan manfaat yang maksimal. Pengelolaan TI dapat digambarkan sebagai pengelolaan piranti lunak dan piranti keras yang diharapkan dapat mengembangkan dan meningkatkan keuntungan sistem informasi serta menyumbang manfaat jangka panjang bagi organisasi.
2
yaitu format cantuman bibliografi yang terbaca mesin (komputer) pada tahun 1983 sehingga PDII-LIPI diakui sebagai perpustakaan pertama di Indonesia yang menerapkan penggunaan TI. PDII-LIPI mulai mengubah sistemnya menjadi on-line, yaitu TI berbasis internet sejak era 2000-an. PDII-LIPI berusaha menjadi sebuah perpustakaan yang tidak hanya melakukan layanan peminjaman buku, referensi, penelusuran, dan lain-lain yang terbatas pada aktivitas lokal, tetapi menjadi sebuah perpustakaan yang bisa di akses dari manapun, kapanpun, dan oleh siapapun. Oleh karena itu PDII-LIPI melakukan pengembangan perpustakaan ke arah perpustakaan digital (http://elib.pdii.lipi.go.id/). Wijaya (2007) menyatakan bahwa penerapan TI untuk mendukung e-goverment merupakan upaya pemerintah mengadopsi TI dalam rangka meningkatkan kualitas pelayanan publik.
PDII-LIPI telah berusaha menjawab tantangan era TI dengan terus mengembangkan TI pada perpustakaan, memperbaiki infrastruktur, dan meningkatkan kualitas sumber daya manusia (SDM). Meskipun Kementerian Komunikasi dan Informatika RI (2007), memberikan panduan tata kelola TI yaitu berdasarkan Peraturan Menteri Komunikasi dan Informatika No. 41/PER/MEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional, namun tetap diperlukan tata kelola TI yang lebih spesifik untuk PDII-LIPI karena TI telah menjadi proses bisnis di PDII-LIPI agar TI bisa berkontribusi maksimal pada penyelenggaraan
digital library (perpustakaan digital).
IT Governance Institute (2007) menyatakan bahwa untuk menjamin ketersediaan sumber daya dalam organisasi diperlukan mekanisme pengendalian internal sehingga tugas pokok dan fungsi (tupoksi) organisasi dapat tercapai. Mekanisme pengendalian internal mencakup dua lingkungan yaitu lingkungan aktivitas organisasi yang disebut tata kelola organisasi (enterprise governance) serta lingkungan pengelolaan dan pengolahan data menjadi informasi untuk menunjang proses pengambilan keputusan organisasi yang disebut tata kelola TI (IT Governance).
3 implementasinya. Pemilihan tata kelola COBIT dikarenakan COBIT adalah standar international untuk tata kelola TI dan COBIT diarahkan lebih luas digunakan di bidang manajemen, sehingga tidak hanya berperan sebagai standar tata kelola TI tetapi dapat juga digunakan sebagai alat bantu bagi manajemen dalam merumuskan kebijakan-kebijakan strategis. COBIT dilengkapi kerangka kerja(framework) untuk audit TI dan lebih mudah dipakai serta diterapkan dalam organisasi. COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat bagian yaitu plan and organize (perencanaan dan pengorganisasian), acquire and implement (pengadaan dan implementasi), deliver and support (pengantaran dan dukungan), serta monitor and evaluate (monitor dan evaluasi). COBIT yang digunakan dalam kajian ini adalah COBIT 4.1 karena dapat mengukur organisasi yang belum menggunakan tata kelola TI dan difokuskan pada domain monitor dan evaluasi (ME) terutama yang membahas tentang menyediakan tata kelola TI.
Perumusan Masalah
Berdasarkan masalah dan fakta yang terurai pada latar belakang, maka penyusun merumuskan masalah yang tercakup dalam penelitian ini sebagai berikut:
1. Bagaimana kondisi pengelolaan TI yang sedang berjalan?
2. Apakah dengan framework (kerangka kerja) COBIT 4.1 akan ditemukan mengapa tata kelola TI diperlukan?
Tujuan Penelitian
1. Mempelajari kondisi pengelolaan TI.
2. Menentukan maturity level (tingkat kematangan) penyediaan tata kelola TI berdasarkan kerangka kerja COBIT 4.1.
Manfaat Penelitian
Manfaat yang diharapkan dari hasil penelitian ini adalah:
4
2. Membantu manajemen dalam pengambilan keputusan untuk kebijakan TI untuk memperbaiki penyimpangan yang ditemukan di PDII-LIPI hingga selanjutnya mampu mendukung pencapaian tujuan bisnis.
Ruang Lingkup Penelitian
1. Penelitian dilakukan pada Januari-Juni 2014 dan hanya dilakukan di PDII-LIPI, Jakarta.
5
2
TINJAUAN PUSTAKA
Teknologi Informasi
TI adalah penggabungan antara teknologi komputer dengan telekomunikasi. Cakupan dari TI itu sendiri adalah telekomunikasi, komputer yang di dalamnya termasuk bentuk mikro (contohnya yaitu perlindungan data, sistem pakar, komunikasi suara dengan bantuan komputer), jaringan digital (contohnya antara lain adanya surat elektronik, sistem informasi, jaringan informasi), serta audio dan video, termasuk sistem komunikasi optik (contohnya video conference, video-teks,
dan lain-lain).
Fungsi utama TI pada perpustakaan adalah untuk mengatur informasi ( in-house information) serta mengusahakannya agar dapat ditemukembalikan. Selain itu, TI memungkinkan kita untuk mengakses pangkalan data (database) luar (ekstern), yaitu database dari lembaga-lembaga lain, di berbagai belahan dunia. Fungsi lain dari TI adalah meringankan beban kerja, efisiensi dan menghemat waktu, meningkatkan jasa perpustakaan, dokumentasi, dan informasi (perpusdokinfo), serta membangun jaringan kerja dan kerjasama.
Terdapat lima komponen dasar dari TI, antara lain hardware (perangkat keras), software (perangkat lunak), brainware (SDM), dataware (data), dan
netware (jaringan). Ada beberapa alasan mengapa TI perlu untuk dikembangkan yaitu untuk meningkatkan advantage (kegunaan), mengembangkan produktivitas dan kinerja, memfasilitasi sarana baru dalam pengelolaan dan pengorganisasian, dan mengembangkan bisnis baru.
Aplikasi TI yang tercakup dalam ruang lingkup suatu sistem informasi perpustakaan antara lain adalah library housekeeping (pengelolaan perpustakaan),
6
Tata Kelola Teknologi Informasi Pengertian Tata Kelola Teknologi Informasi
Weill et al. (2004) mendefinisikan tata kelola TI sebagai suatu bagian integral dari tata kelola organisasi yang terdiri atas kepemimpinan, struktur dan proses organisasional yang memastikan bahwa organisasi TI berlanjut serta meningkatkan tujuan dan strategi organisasi. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan keuntungan kompetitif (ITGI 2007).
Tata kelola TI merupakan satu kesatuan dari tata kelola organisasi melalui peningkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan. Lebih jauh lagi tata kelola TI menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, penyampaian layanan dan dukungan, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan. Tata kelola TI memungkinkan perusahaan untuk memperoleh keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari peluang dan keuntungan kompetitif yang dimiliki.
Pembangunan sistem pengendalian intern yang dapat diandalkan, sangat berkaitan dengan tata kelola TI, yaitu dalam hal pemilihan dan pengembangan TI yang memadai. Lemahnya pemilihan dan pengembangan TI akan menghasilkan sistem informasi (SI) yang tidak andal. Lemahnya SI tidak memungkinkan terjadinya warning sign (deteksi dini) atas kesalahan pengelolaan TI.
7 menghemat waktu, ruang dan jarak tempuh atas data dan informasi dalam penyampaian layanan yang dapat memuaskan konsumen.
Sayangnya, kesadaran atas pemilihan dan pengembangan IT yang andal, lambat disadari oleh organisasi. Organisasi banyak yang tidak mempunyai visi atau misi ke depan yang berkaitan dengan pemilihan dan pengembangan TI. Kesadaran tata kelola baru akan terasa ketika persaingan makin besar. Organisasi yang terlambat menyadari pentingnya tata kelola TI sementara proses bisnis mereka adalah TI dapat kalah bahkan mati dalam persaingan. Kegagalan pengembangan TI dapat meningkatkan keluhan dan tututan konsumen serta tingginya risiko operasional.
Kesadaran pemilihan dan pengembangan TI terletak pada top managemen karena mereka penentu strategi bisnis. Hal ini melibatkan pengadaan IT yang relatif mahal yang seringkali tidak sesuai dengan kaidah good corporate governance. Bukan rahasia lagi kalau korupsi sudah membudaya sehingga mark-up pembelian atau membeli barang yang bermutu rendah dengan harga mahal menjadi praktik biasa dengan komisi masuk kantung pribadi. Barang TI lalu menjadi beban perusahaan yang dapat menimbulkan IT Failure lalu menimbulkan frustasi dan tingginya tingkat risiko operasional dan risiko reputasi.
Organisasi yang mengedepankan tata kelola akan memilih perangkat TI yang berkualitas sehingga menghasilkan sistem informasi manajemen (MIS) yang handal dan mendukung pengembangan bisnisnya. Sebagaimana disampaikan oleh Damianides (2005) sebagai berikut.
"The prominent role of IT in creating business value has
accelerated the establishment of the concept of IT Governance as
ahigh priority for boards of directors and executive management. IT
Governance practices need to focus on ensuring that the expectations
of IT are met. An effective IT Governance program will help
organizations understand the issues and ensure that IT can sustain
operations, and help enable companies to use IT for competitive
advantage."
8
komitmen dalam pemilihan/pengembangan TI. Dalam hal ini, peran Chief Information Officer (CIO) saat ini menjadi penting karena membantu manajemen untuk melihat apa yang dibutuhkan organisasi agar dapat menyesuaikan dengan kebutuhan/tuntutan pasar (competitive advantage). Peran pegawai juga penting, apakah mereka mau menyesuaikan dengan "perubahan" yang berkaitan perkembangan TI atau tidak. Jadi, diperlukan sikap inovatif, ketekunan dan keinginan untuk belajar. Perubahan TI dapat menyebabkan perubahan prosedur kerja yang dapat menimbulkan frustrasi. Oleh karena itu, tata kelola TI juga berkaitan dengan pengembangan SDM yang berkualitas.
Proses Tata Kelola Teknologi Informasi
Sebagai suatu proses, sistem tata kelola TI dapat dilihat dari peran dan fungsi tiap komponen yang membentuk struktur tata kelola TI. Proses tata kelola TI dapat kita lihat pada Gambar 1.
Gambar 1 Proses tata kelola TI Proses Perancangan Tata Kelola TI
Proses Keputusan TI
Mekanisme Penyelarasan Strategi Bisnis dan TI
Mekanisme Implementasi Keputusan TI
Mekanisme Pengarahan Perilaku Pengguna
Mekanisme Pengawasan
9
COBIT Pengertian COBIT
Menurut Gondodiyoto (2007), COBIT adalah sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, pengguna (user), dan manajemen, dan juga untuk menjembatani kesenjangan (gap) antara resiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis TI.
COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya.
COBIT adalah merupakan kerangka kerja “a set of best practices” bagi IT management (pengelolaan TI). COBIT disusun oleh Information Technology Governance Institute (ITGI) bagian dari Information System Audit and Control Association (ISACA), tepatnya oleh Information Systems Audit and Control
Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, sementara versi on-line pertama kali dikeluarkan tahun 2003 pada edisi ke tiga. Versi COBIT terakhir saat ini adalah COBIT 5. Menurut ITGI (2007), pada COBIT 4.1 diuraikan good practices, domain-domain dan proses kerangka kerja TI yang ada. Selain itu juga menjelaskan masalah process and activity (pengelolaan proses TI dan bentuk-bentuk kegiatan) dan mempunyai struktur yang sangat logis.
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology security and control practices. Istilah
“generally applicable and accepted” digunakan secara eksplisit dalam pengertian
yang sama seperti Generally Accepted Accounting Principles (GAAP). Sementara itu, “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai tools tata kelola TI, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.
10
digunakan. Sementara itu, para manager memperoleh manfaat berupa kemudahan dalam pengambilan keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategi rencana TI, menentukan arsitektur informasi, dan keputusan atas procurement (pengadaan/pembelian) mesin. Disamping itu, dengan keterandalan SI yang ada pada organisasi diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI organisasi kita, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan tata kelola TI di perusahaan.
COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan tata kelola TI pada suatu organisasi. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta menyediakan referensi best business practices
yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis organisasi dan memaparkannya dalam struktur aktifitas-aktifitas logis yang dapat di kelola serta dikendalikan secara efektif.
11
Gambar 2 Kubus COBIT Sumber : ITGI (2007).
COBIT mengintegrasikan praktik-praktik yang baik dan menyediakan kerangka kerja untuk tata kelola TI yang membantu pemahaman dan pengelolaan resiko serta memperoleh keuntungan terkait dengan TI.
Untuk memahami kerangka kerja COBIT, harus diketahui karakteristik utama bagaimana kerangka kerja ini disusun dan prinsip yang mendasarinya. Karakteristik utama COBIT adalah orientasi pada proses, fokus pada bisnis, berbasis kontrol, dan dikendalikan oleh pengukuran. Sementara itu, prinsip dasar COBIT adalah memberikan informasi yang diperlukan bagi organisasi guna mencapai tujuannya. Organisasi perlu mengelola dan mengendalikan sumber daya TI dengan menggunakan sekumpulan proses-proses yang terstruktur untuk memberikan layanan informasi yang diperlukan.
Kerangka Kerja COBIT 4.1
12
Gambar 3 Kerangka kerja COBIT 4.1 secara keseluruhan Sumber: ITGI (2007).
Kerangka kerja tersebut tercermin dalam 4 domain sebagai berikut. 1. Perencanaan dan Pengorganisasian (PO)
13 paling menghasilkan keuntungan dari penggunaan TI. Tabel 1 berisi proses TI dalam domain perencanaan dan pengorganisasian sebanyak 10 proses.
Tabel 1 Proses TI dalam domain perencanaan dan pengorganisasian PO1 Mendefinisikan Rencana dann Arah Strategis TI
PO2 Mendefinisikan Arsitektur Informasi PO3 Menentukan Arah Teknologi
PO4 Mendefinisikan Proses TI, Organisasi dan Hubungan PO5 Mengelola Investasi TI
PO6 Mengkomunikasikan Tujuan dan Arah Manajemen PO7 Mengelola Sumber Daya Manusia TI
PO8 Mengelola Kualitas
PO9 Menilai dan Mengelola Resiko TI PO10 Mengelola Proyek
2. Pengadaan dan Implementasi (AI)
Domain pengadaan dan implementasi mencakup mengidentifikasi persyaratan TI, memperoleh teknologi, dan menerapkannya dalam organisasi saat ini, yaitu proses bisnis. Domain ini juga alat pengembangan rencana pemeliharaan bahwa organisasi harus mengadopsi untuk memperpanjang kehidupan sebuah sistem TI dan komponennya. Tabel 2 berisi proses TI dalam domain pengadaan dan implementasi sebanyak 7 proses.
Tabel 2 Proses TI dalam domain pengadaan dan implementasi AI1 Mendefinisikan Solusi Otomasi
AI2 Mengadakan dan Memelihara Piranti Lunak Aplikasi AI3 Mengadakan dan Memelihara Infrastruktur Teknologi AI4 Memungkinkan Operasi dan Penggunaan
AI5 Mengadakan Sumber Daya TI AI6 Mengelola Perubahan
AI7 Menginstal dan Mengakreditasi Solusi dan Perubahan 3. Penyampaian Layanan dan Dukungan (DS)
14
Tabel 3 Proses TI dalam domain penyampaian layanan dan dukungan DS1 Mendefinisikan dan Mengelola Tingkat Layanan DS2 Mengelola Layanan Pihak Ketiga
DS3 Mengelola Kinerja dan Kapasitas
DS4 Memastikan Layanan Berkesinambungan DS5 Memastikan Keamanan Sistem
DS6 Mengidentifikasikan dan Mengalokasikan Biaya DS7 Mendidik dan Melatih Pengguna
DS8 Mengelola Meja Layanan dan Insiden DS9 Mengelola Konfigurasi
DS10 Mengelola Masalah DS11 Mengelola Data
DS12 Mengelola Lingkungan Fisik DS13 Mengelola Pengoperasian 4. Monitor dan Evaluasi (ME)
Domain monitor dan evaluasi berurusan dengan strategi organisasi dalam menilai kebutuhan organisasi. Domain ini juga melihat apakah sistem TI yang sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu independen penilaian terhadap efektivitas sistem TI dalam kemampuan untuk memenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditor internal dan eksternal. Tabel 4 berisi proses TI dalam domain monitor dan evaluasi sebanyak 4 proses.
Tabel 4 Proses TI dalam domain monitor dan evaluasi ME1 Mengawasi dan Mengevaluasi Kinerja TI
ME2 Mengawasi dan Mengevaluasi Pengendalian Internal ME3 Memastikan Kepatuhan dengan Kebutuhan Eksternal ME4 Menyediakan Tata Kelola TI
15
Gambar 4 Hubungan domain-domain dalam COBIT 4.1 Sumber : ITGI (2007).
Fokus pada bisnis, menunjukkan bahwa COBIT 4.1 dirancang bukan hanya untuk dikerjakan oleh penyedia layanan TI, pengguna atau auditor, melainkan juga menyediakan panduan yang lengkap untuk manajemen dan pemilik proses bisnis. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Kerangka kerja COBIT 4.1 membahas isu utama mengenai bagaimana mengelola dan mengendalikan informasi serta membantu memastikan keselarasan sumber daya TI dengan kebutuhan atau tujuan bisnis. Tabel 5 menjelaskan beberapa kriteria kontrol informasi dari COBIT 4.1.
Tabel 5 Kriteria kontrol informasi dari COBIT 4.1
Efektivitas
Untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis sperti penyampaian informasi dengan benar, konsisten dapat dipercaya dan tepat waktu
Efesiensi Memfokuskan pada ketentuan informasi melalui
penggunaan sumber daya yang optimal
Kerahasian Memfokuskan proteksi terhadap informasi yang penting
dari orang yang tidak memiliki hak otorisasi
Integritas
Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis
Ketersediaan
Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang
Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian
untuk proses bisnis
Keakuratan Informasi
Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan
16
Antara sasaran bisnis dan sasaran TI (business goals and IT goals) serta kriteria informasi terdapat hubungan yang menunjukkan bahwa sasaran bisnis yang diberikan (yang dikelompokkan menjadi empat perspektif IT balanced scoredcard) terkait dengan sasaran TI yang sesuai dan kriteria informasi yang diperlukan. Pencapaian kebutuhan bisnis didukung oleh sumber daya TI yang diidentifikasi dan didefinisikan sebagai berikut:
Aplikasi, yaitu sistem user yang diotomatisasi dan prosedur manual yang memproses informasi.
Informasi, yaitu data dalam semua bentuknya, dimasukkan, diproses, dan dikeluarkan dari sistem informasi dalam bentuk apapun untuk keperluan bisnis.
Infrastruktur, yaitu teknologi dan fasilitas (perangkat keras, sistem operasi, sistem manajemen database, jaringan, multimedia, dan sebagainya, serta lingkungan penempatan dan pendukungnya) yang memungkinkan pemrosesan aplikasi.
Manusia, yaitu orang yang diperlukan untuk merencanakan, mengorganisir, mendapatkan, menerapkan, menyampaikan, mendukung, memonitor, serta mengevaluasi layanan dan sistem informasi.
COBIT 4.1 berbasis kontrol, didefinisikan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang dapat diterima bahwa tujuan bisnis akan dicapai dan kejadian yang tidak diharapkan dapat dicegah atau diketahui dan diperbaiki. Sementara itu, tujuan kontrol TI merupakan pernyataan mengenai maksud atau hasil yang diharapkan dengan menerapkan prosedur kontrol dalam aktivtias TI tertentu. Tujuan kontrol dalam COBIT 4.1 merupakan kebutuhan minimal untuk kontrol yang efektif dari setiap proses TI. Agar dapat mencapai tata kelola TI yang efektif, kontrol perlu diimplementasikan dalam suatu kerangka kerja kontrol yang didefinisikan untuk semua proses TI.
17 4.1 mempunyai tujuan kendali tingkat tinggi dan sejumlah tujuan kendali detail. Secara keseluruhan ini merupakan karakteristik proses yang dikelola dengan baik. COBIT 4.1 dikendalikan oleh pengukuran. Pemahaman terhadap status sistem TI, diperlukan bagi organisasi, agar dapat memutuskan tingkat manajemen dan kontrol yang harus diberikan. Dengan demikian organisasi perlu mengetahui apa yang harus diukur dan bagaimana pengukuran dilakukan, sehingga dapat diperoleh status kinerjanya. Selanjutnya pengetahuan ini akan membantu upaya peningkatan yang perlu dilakukan.
Maturity Model (Model Kematangan)
Model kematangan untuk pengelolaan dan kontrol pada proses TI didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri dari level tidak ada (0) hingga optimis (5). Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Model kematangan dirancang sebagai profil proses TI, sehingga organisasi dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan mendatang. Pengunaan model kematangan yang dikembangkan untuk setiap 34 proses TI yang terdapat pada seluruh domain-domain COBIT 4.1, memungkinkan manajemen mengidentifikasi:
Kinerja sesungguhnya organisasi, dimana kondisi organisasi saat ini. Kondisi sekarang dari organisasi sejenis sebagai perbandingan. Target peningkatan organisasi, kondisi yang diinginkan organisasi. Jalur pertumbuhan yang diperlukan anatara “as-is” dan “to-be”.
Masing-masing dari ke-34 proses TI tersebut mempunyai model kematangan yang telah didefinisikan dengan pemberian skala pengukuran bertingkat dari 0 (tidak ada) hingga 5 (optimis). Model kematangan yang dibangun berawal dari generic qualitative model, prinsip dari atribut berikut ditambahkan dengan cara bertingkat :
1. Kepedulian dan komunikasi (awareness and communication) 2. Kebijakan, standar dan prosedur (polices, standard and procedures) 3. Perangkat bantu dan otomatisasi (tools and automation)
18
5. Pertanggungjawaban external dan internal (responsibility and accountability)
6. Penetapan tujuan dan pengukuran (goal setting and measurement)
Pendefinisian model kematangan suatu proses TI mengacu pada kerangka kerja COBIT 4.1 yang secara umum dapat dijabarkan pada Tabel 6.
Tabel 6 Tingkat kematangan secara umum dalam COBIT 4.1
Level Kriteria Kematangan
0 Tidak Ada Organisasi bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi
1 Awal/Ad-Hoc
Tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus
2 Berulang tapi Intuitif
Proses dikembangkan ke dalam tahapan di mana prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama
3 Proses Terdefinisi Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan 4 Terkelola dan
Terukur
Manajemen mengawasi dan mengukur kepatuhan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif
5 Optimis
Proses telah dipilih ke dalam tingkat praktik yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kematangan dengan organisasi lain
Beberapa tujuan pengukuran kematangan adalah untuk: Menumbuhkan kepedulian (awareness).
Melakukan identifikasi kelemahan (weakness).
Melakukan identifikasi kebutuhan perbaikan (improvement).
Sub Domain Monitor dan Evaluasi 4 (ME4)
19 pada pembuatan laporan dewan pada strategi TI, kinerja dan risiko, dan menanggapi ketentuan tata sejalan dengan arah papan dicapai dengan:
Membangun kerangka kerja tata kelola TI diintegrasikan ke dalam tata kelola perusahaan
Mendapatkan jaminan independen terhadap status tata kelola TI dan terukur Frekuensi pelaporan papan di IT kepada para pemangku kepentingan
(termasuk kematangan)
Frekuensi pelaporan dari IT ke dewan (termasuk kematangan) Frekuensi tinjauan independen kepatuhan TI.
Sub domain yang menjadi kontrol dari proses ME4, antara lain adalah: a. Sub Domain Perencanaaan dan Pengorganisasian 4 (PO4) yaitu
Mendefinisikan Proses TI, Organisasi dan Hubungan. - PO4.1 (Kerangka Proses Informasi Teknologi)
Menentukan kerangka proses TI untuk menjalankan rencana strategi TI. Kerangka proses ini meliputi hubungan dan struktur proses TI (misalnya, untuk mengelola kesenjangan dan kondisi tumpang tindihnya proses), kepemilikan, kedewasan, pengukuran kinerja, peningkatan, kesesuaian, target kualitas, dan berbagai rencana untuk mencapainya.
Kerangka ini harus memberikan integrasi di antara berbagai proses yang spesifik TI, pengelolaan portofolio perusahaan, proses bisnis, dan proses perubahan bisnis.
Kerangka proses TI ini harus diintegrasikan ke dalam sistem pengelolaan kualitas (QMS) dan kerangka kontrol internal.
- PO4.2 (Komite Strategi TI)
Membentuk komite strategi TI pada level dewan pengurus. Komite ini harus memastikan bahwa tata kelola TI, sebagai bagian dari tata kelola perusahaan, diarahkan secara memadai; menyarankan arah strategi; dan meninjau investasi utama atas nama seluruh dewan pengurus.
- PO4.3 (Komite Pengarahan TI)
20
Menentukan prioritas program investasi yang memungkinkan TI sesuai dengan strategi dan prioritas bisnis perusahaan
Melacak status proyek dan memecahkan konflik sumber daya Memantau level layanan dan peningkatan layanan
- PO4.4 (Penempatan Organisasi Fungsi TI)
Menempatkan fungsi TI dalam struktur organisasi keseluruhan dengan kesatuan model bisnis pada pentingnya TI dalam perusahaan, terutama kekritisannya terhadap strategi binis dan tingkat ketergantungan operasional pada TI. Bagis laporan pada CIO harus sepadan dengan pentingnya TI dalam perusahaan.
- PO4.5 (Struktur Organisasi TI)
Membentuk struktur organisasi TI internal dan eksternal yang mencerminkan keperluan bisnis. Selain itu, menempatkan proses dalam posisi yang tepat untuk meninjau struktur organisasi TI secara berkala, guna menyesuaikan persyaratan penentuan staf dan strategi penentuan sumber untuk memenuhi tujuan bisnis yang diharapkan dan mengubah kondisi saat ini.
- PO4.6 (Pembentukan Peran dan Tanggung Jawab)
Membentuk dan mengkomunikasikan peran dan tanggung jawab untuk staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk memenuhi kebutuhan organisasi.
- PO4.7 (Tanggung Jawab untuk Jaminan Kualitas TI)
Menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas (QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. Memastikan bahwa penempatan organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi persyaratan organisasi.
- PO4.8 (Tanggung Jawab atas Risiko, Keamanan, dan Kesesuaian)
21 untuk keamanan informasi, keamanan fisik, dan kesesuaian. Membentuk tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan untuk menangani masalah dalam lingkup organisasi.
Tanggung jawab pengelolaan keamanan tambahan mungkin perlu ditetapkan pada tingkat sistem spesifik untuk menangani masalah keamanan yang terkait. Memperoleh pengarahan dari manajemen senior tentang risiko TI dan persetujuan atas setiap risiko TI yang masih ada. - PO4.9 (Kepemilikan Data dan Sistem)
Menyediakan bisnis dengan prosedur dan peralatan, yang memungkinkannya untuk mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi. Pemilik harus membuat keputusan tentang informasi klasifikasi dan sistem, dan melindunginya sesuai klasifikasinya.
- PO4.10 (Pengawasan)
Menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan untuk meninjau KPI (Indikator Kinerja Penting) secara umum.
- PO4.11 (Pemisahan Tugas)
Menerapkan divisi peran dan tanggung jawab yang dapat mengurangi kemungkinan kondisi di mana proses penting hanya ditangani oleh seorang personel. Memastikan bahwa personel hanya menjalankan tugas yang diwenangkan terkait dengan pekerjaan dan posisinya.
- PO4.12 (Penentuan Staf TI)
22
Menentukan dan mengidentifikasi personel TI penting (misalnya, personel pengganti/cadangan), dan meminimalkan ketergantungan pada satu personel yang menjalankan fungsi pekerjaan penting.
- PO4.14 (Kebijakan dan Prosedur untuk Staf Kontrak)
Memastikan bahwa konsultan dan personel kontrak yang mendukung fungsi TI memahami dan memenuhi kebijakan organisasi untuk melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui.
- PO4.15 (Hubungan)
Membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat (offsite).
b. Sub Domain Perencanaaan dan Pengorganisasian 5 (PO5) yaitu Mengelola Investasi TI
- PO5.1 (Kerangka Proses Manajemen Keuangan)
Membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI.
- PO5.2 (Prioritisasi dalam Anggaran TI)
Menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna memaksimalkan kontribusi TI untuk optimisasi pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya.
- PO5.3 (Penentuan Anggaran TI)
23 pengembangan anggaran untuk program masing-masing, dengan penekanan tertentu pada komponen TI dari program-program tersebut. Praktik harus memungkinkan tinjauan yang terus berlanjut, perbaikan, dan persetujuan keseluruhan anggaran dan anggaran untuk program masing-masing.
- PO5.4 (Manajemen Biaya)
Menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Di mana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. Bersama dengan sponsor bisnis dari program tersebut, tindakan perbaikan yang tepat harus diambil, jika perlu, status bisnis program harus diperbarui.
- PO5.5 (Manajemen Manfaat)
Menerapkan proses untuk memantau manfaat dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai. Kontribusi TI atas bisnis, baik sebagai komponen dari program investasi yang dimungkinkan TI, atau sebagai bagian dari dukungan operasional harus diidentifikasi dan didokumentasikan dalam status bisnis, disetujui, dipantau, dan dilaporkan. Laporan harus ditinjau, dan di mana ada kesempatan kesempatan untuk meningkatkan kontribusi TI, tindakan yang sesuai harus ditentukan dan diambil. Di mana perubahan dalam kontribusi TI berdampak pada program, status program harus diperbarui.
c. Sub Domain Perencanaaan dan Pengorganisasian 9 (PO9) yaitu Mengakses dan Mengelola Risiko TI
- PO9.1 (Kerangka Proses Manajemen Risiko TI)
Membentuk kerangka proses manajemen risiko TI yang selaras dengan kerangka proses manajemen risiko organisasi (perusahaan).
- PO9.2 (Membentuk Konteks Risiko)
24
konteks internal dan eksternal dari setiap penilaian risiko, sasaran penilaian, dan kriteria terhadap risiko yang dievaluasi.
- PO9.3 (Identifikasi Peristiwa)
Mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang berlaku) dengan dampak negatif potensial pada sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, SDM, dan aspek operasional. Menentukan sifat dampak dan menjaga informasi ini. Mencatat dan menjaga risiko yang relevan dalam registri risiko.
- PO9.4 (Penilaian Risiko)
Menilai pada basis berulang, kemungkinan dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara terpisah, berdasarkan kategori dan pada basis portofolio.
- PO9.5 (Respons Risiko)
Membangun dan menjaga proses respons risiko yang dirancang untuk memastikan bahwa kontrol yang efektif biaya mengurangi pemaparan terhadap risiko pada basis yang berkesinambungan. Proses respons risiko harus mengidentifikasi strategi risiko seperti penghindaran, pengurangan, pembagian, atau penerimaan; menentukan tanggung jawab yang terkait; dan mempertimbangkan tingkat toleransi risiko.
25 d. Sub Domain Monitor dan Evaluasi 2 (ME2) yaitu Memantau dan
Mengevaluasi Kontrol Internal
- ME2.1 (Memantau Kerangka Proses Kontrol Internal)
Pemantauan yang berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi.
- ME2.2 (Tinjauan Pengawasan)
Memantau dan mengevaluasi efisiensi dan efektivitas dari kontrol tinjauan manajerial TI internal.
- ME2.3 (Pengecualian Kontrol)
Mengidentifikasi pengecualian kontrol, dan menganalisis serta mengidentifikasi penyebab akar yang mendasari. Memperluas pengecualian kontrol dan laporan kepada pemegang saham selayaknya. Mengganti tindakan korektif yang perlu.
- ME2.4 (Mengontrol Penilaian Diri)
Mengevaluasi kelengkapan dan efektivitas dari kontrol manajemen atas proses TI, kebijakan, dan kontrak melalui program penilaian diri yang berkesinambungan.
- ME2.5 (Jaminan Kontrol Internal)
Memperoleh, jika diperlukan, jaminan lebih lanjut atas kelengkapan dan efektivitas kontrol internal melalui tinjauan pihak ketiga.
- ME2.6 (Kontrol Internal pada Pihak Ketiga)
Menilai status dari kontrol internal penyedia layanan. Mengonfirmasikan penyedia layanan eksternal sesuai dengan persyaratan hukum dan peraturan serta kewajiban sesuai kontrak.
- ME2.7 (Tindakan Perbaikan)
Mengidentifikasi, memulai, melacak, dan menerapkan tindakan perbaikan yang muncul dari penilaian kontrol dan pelaporan.
e. Sub Domain Monitor dan Evaluasi 3 (ME3) yaitu Memastikan Kesesuaian dengan Persyaratan Eksternal
26
Mengidentifikasi, pada basis yang berkesinambungan, hukum setempat dan internasional, pengaturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI.
- ME3.2 (Optimisasi Respons dari Persyaratan Eksternal)
Meninjau dan menyesuikan kebijakan, standar, prosedur, dan metodologi TI untuk memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan.
- ME3.3 (Evaluasi dari Kesesuaian dengan Persyaratan Eksternal)
Mengonfirmasikan kebijakan, standar, prosedur, dan metodologi TI dengan persyaratan hukum dan pengaturan.
- ME3.4 (Jaminan Positif atas Kesesuaian)
Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu.
- ME3.5 (Pelaporan Terintegrasi)
Mengintegrasikan pelaporan TI pada persyaratan hukum, pengaturan, dan kontraktual dengan output yang serupa dari fungsi bisnis lainnya.
Model kematangan pada ME4 secara khusus dapat di lihat dari Tabel 7. Tabel 7 Tingkat kematangan ME4
Level Kriteria Kematangan
0 Tidak Ada
Adanya ketidaklengkapan dari setiap proses tata kelola TI dikenali.
Organisasi bahkan tidak menyadari bahwa ada masalah yang harus ditangani; oleh karena itu, tidak ada komunikasi tentang masalah ini
1 Awal/Ad-Hoc
Pengakuan bahwa isu-isu tata kelola TI ada dan perlu ditangani.
Ada ad hoc pendekatan yang dikenakan pada individu atau kasus-per-kasus.
27 sporadis, komunikasi tidak konsisten pada isu-isu dan pendekatan untuk mengatasinya.
Manajemen hanya memiliki indikasi perkiraan bagaimana TI memberikan kontribusi terhadap kinerja bisnis.
Manajemen hanya reaktif menanggapi sebuah insiden yang telah menyebabkan beberapa kerugian atau rasa malu bagi organisasi.
2 Berulang tapi Intuitif
Ada kesadaran akan masalah tata kelola TI. Kegiatan tata kelola TI dan indikator kinerja, yang
meliputi perencanaan TI, pengiriman dan proses pemantauan, sedang dalam pengembangan.
Proses TI yang dipilih diidentifikasi untuk perbaikan berdasarkan keputusan individu.
Manajemen mengidentifikasi pengukuran tata kelola TI dasar dan metode penilaian dan teknik; namun, proses ini tidak diadopsi di seluruh organisasi. Komunikasi pada standar tata kelola dan tanggung
jawab diserahkan kepada individu.
Individu mendorong proses tata kelola dalam berbagai proyek TI dan proses.
Proses, alat dan metrik untuk mengukur tata kelola TI yang terbatas dan tidak boleh digunakan untuk
kapasitas penuh mereka karena kurangnya keahlian dalam fungsi mereka.
3 Proses Terdefinisi
Pentingnya dan kebutuhan tata kelola TI dipahami oleh manajemen dan dikomunikasikan kepada organisasi.
Satu set dasar indikator tata kelola TI dikembangkan di mana hubungan antara ukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan. Prosedur adalah standar dan didokumentasikan. Manajemen mengkomunikasikan prosedur standar,
serta mengadakan pelatihan.
Alat diidentifikasi untuk membantu mengawasi tata kelola TI.
Dashboard didefinisikan sebagai bagian dari IT scorecard bisnis seimbang. Namun, diserahkan kepada individu untuk mendapatkan pelatihan, mengikuti standar dan menerapkannya. Proses dapat dimonitor, namun bila terjadu
penyimpangan, sebagian besar ditindaklanjuti oleh inisiatif individu. Hal tersebut memungkinkan untuk tidak terdeteksi oleh manajemen.
4 Terkelola dan Terukur
Ada pemahaman penuh masalah tata kelola TI di semua tingkatan.
28
melalui service level agreement (SLA). Tanggung jawab jelas dan kepemilikan proses
didirikan.
Proses dan tata kelola TI yang selaras dengan dan diintegrasikan ke dalam bisnis dan strategi TI. Peningkatan proses-proses TI didasarkan terutama
pada pemahaman kuantitatif, dan adalah mungkin untuk memantau dan mengukur kepatuhan dengan prosedur dan metrik proses.
Semua pemangku kepentingan proses sadar akan risiko, pentingnya, dan peluang TI yang dapat ditawarkan.
Manajemen mendefinisikan toleransi di mana proses harus beroperasi.
Ada terbatas, terutama taktis penggunaan teknologi, berdasarkan teknik kematangan dan ditetapkan alat standar.
Tata kelola TI telah diintegrasikan ke dalam perencanaan dan dipantau proses strategis dan operasional.
Indikator kinerja atas semua kegiatan pengelolaan TI telah didata dan dilacak, yang mengarah ke perbaikan keseluruh bagian organisasi.
Secara keseluruhan akuntabilitas kinerja proses kunci jelas, dan manajemen dihargai berdasarkan ukuran kinerja kunci.
5 Optimis
Ada pemahaman lanjutan dan memandang ke depan isu tata kelola TI dan solusi.
Pelatihan dan komunikasi didukung oleh konsep dan teknik terdepan.
Proses diperhalus ke tingkat praktik industri yang baik, berdasarkan hasil perbaikan terus-menerus dan pemodelan kematangan dengan organisasi lain. Pelaksanaan kebijakan TI mengarah ke organisasi,
orang dan proses yang cepat untuk beradaptasi dan mendukung sepenuhnya peraturan tata kelola TI. Semua masalah dan penyimpangan yang menganalisis
akar penyebab masalah, dan tindakan yang efisien yang layak diidentifikasi dan dimulai.
TI digunakan secara luas, terintegrasi dan
dioptimalkan untuk mengotomatisasi alur kerja dan menyediakan alat-alat untuk meningkatkan kualitas dan efektivitas.
Risiko dan imbalan dari proses TI didefinisikan, seimbang dan dikomunikasikan di seluruh organisasi. Ahli eksternal mengembangkan dan menggunakan
tolok ukur untuk bimbingan.
29 harapan tata kelola yang meresap dalam organisasi, dan ada penggunaan optimal teknologi untuk mendukung pengukuran, analisis, komunikasi dan pelatihan.
Tata kelola organisasi dan tata kelola TI secara strategis terkait, memanfaatkan teknologi dan SDM dan keuangan untuk meningkatkan keunggulan kompetitif perusahaan.
Kegiatan tata kelola TI yang terintegrasi dengan proses tata kelola organisasi.
Profil Organisasi PDII-LIPI Visi dan Misi PDII-LIPI
PDII adalah salah satu unit kerja setingkat eselon II di bawah naungan LIPI. Sudarsono (2007) menyatakan pada perkembangan selanjutnya, setiap instansi pemerintah di tingkat eselon II diwajibkan mempunyai rencana strategis. Visi, misi, tujuan dan sasaran perlu secara tegas dirumuskan untuk membuat rencana kerja lima tahunan dan rencana kerja tahunan.
Sebagaimana tercantum dalam Rencana Strategis PDII (2015-2019), visi PDII adalah menjadi repositori nasional bidang sains dan teknologi di Indonesia. Untuk mewujudkan visi tersebut, misi PDII adalah membangun dan mengembangkan sistem repositori nasional bidang sains dan teknologi di Indonesia, menyediakan layanan informasi bidang sains dan teknologi kepada pemangku kepentingan, melaksanakan penelitian bidang dokumentasi dan informasi, melakukan pengelolaan pengetahuan, membangun kerjasama nasional dan internasional, serta melakukan penguatan kelembagaan (PDII-LIPI 2014).
Tujuan dan Sasaran Implementatif PDII-LIPI
Untuk dapat mewujudkan visi dan misi di atas, PDII-LIPI mempunyai tujuan dan sasaran implementatif sebagai berikut:
a) Tujuan dan Sasaran Umum
30
(a) Pengembangan pangkalan data jurnal ilmiah Indonesia (Indonesian Scientific Journal Database).
(b) Pengembangan indeks sitasi sains Indonesia (Indonesian Science Citation Index).
(c) Pengembangan koleksi Indonesiana dan literatur kelabu. (d) Melakukan preservasi dokumen ilmiah.
2) Memberikan pelayanan informasi bidang sains dan teknologi kepada masyarakat ilmiah dengan merencanakan dan melaksanakan program sebagai berikut:
(a) Pembinaan terhadap pengelola unit dokumentasi dan informasi di lingkungan LIPI.
(b) Pengemasan dan diseminasi informasi (Scientific Information Repackaging and Dissemination).
(c) Literasi informasi ilmiah (Scientific Information Literacy). (d) Konsultasi masalah informasi terkini bidang sains dan teknologi. 3) Melaksanakan penelitian bidang dokumentasi dan informasi dengan
merencanakan dan melaksanakan studi kebijakan, tren dan isu sains aktual, untuk:
(a) Memberikan solusi kepada masyarakat terhadap persoalan dokumentasi dan informasi.
(b) Memberikan rekomendasi kepada pembuat kebijakan terkait dengan bidang dokumentasi dan informasi.
4) Pengelolaan pengetahuan
(a) Melakukan pengelolaan pengetahuan di lingkungan LIPI. (b) Melakukan kajian pengelolaan pengetahuan di lingkungan LIPI. (c) Membangun sistem pengelolaan pengetahuan.
b) Tujuan dan Sasaran Khusus
1) Membangun dan mengembangkan repositori literatur di bidang sains dan teknologi di Indonesia dengan merencanakan dan melaksanakan program:
31 (b) Membangun sistem repositori literatur kelabu (Grey Literature
Repository System).
2) Memberikan pelayanan informasi bidang sains dan teknologi kepada masyarakat ilmiah dengan merencanakan dan melaksanakan program: (a) Pembuatan dan diseminasi kemas ulang informasi (Scientific
Information Repackaging)
(b) Pengembangan sistem sarana akses e-library yang ada di PDII-LIPI, yang berisi jurnal ilmiah Indonesia ISJD (Indonesian Scientific Journal Database), karya ilmiah Indonesia (Indonesian Science & Technology Digital Library), buku elektronik, multimedia, dan direktori pakar.
3) Melaksanakan penelitian informasi sains dan teknologi, dengan merencanakan dan melaksanakan program Studi kebijakan tren dan isu sains aktual, untuk:
(a) Memberikan solusi kepada masyarakat ilmiah terhadap persoalan informasi sains dan teknologi.
(b) Memberikan rekomendasi kepada pembuat kebijakan terkait dengan kebijakan sains di bidang dokumentasi dan informasi.
Tugas Pokok dan Fungsi PDII-LIPI
Berdasarkan Keputusan Kepala LIPI Nomor 1151/M/2001 tentang Organisasi dan Tata Kerja LIPI, khususnya pada pasal 325 disebutkan bahwa PDII mempunyai tugas melaksanakan penyiapan perumusan kebijakan, penyusunan pedoman, pemberian bimbingan teknis, penyusunan rencana dan program, pelaksaan penelitian, pelayanan serta evaluasi dan penyusunan laporan (LIPI 2001). Selanjutnya pada pasal 326 disebutkan bahwa menyelenggarakan fungsi sebagai berikut:
a. Penyiapan bahan perumusan kebijakan di bidang dokumentasi dan informasi ilmiah.
32
c. Penyusunan rencana, program, serta pelaksanaan penelitian di bidang dokumentasi dan informasi ilmiah.
d. Pengelolaan sarana teknis dokumentasi dan informasi ilmiah.
e. Evaluasi dan penyusunan laporan penelitian dan pelayanan dokumentasi dan informasi ilmiah.
f. Pelaksanaan urusan tata usaha.
33
3
METODOLOGI
Metode Penelitian
Metode penelitian yang digunakan dalam penelitian ini adalah studi kasus (case study). Menurut Hasibuan (2007), studi kasus adalah penelitian yang memusatkan perhatian pada suatu kasus tertentu dengan menggunakan individu atau kelompok sebagai bahan studinya. Penelitian difokuskan untuk menggali dan mengumpulkan data secara mendalam terhadap TI dan tata kelolanya di PDII-LIPI untuk menjawab permasalahan yang sedang terjadi. Oleh karena itu, bisa dikatakan bahwa penelitian ini bersifat deskriptif dan eksploratif.
Teknik pengumpulan data yang digunakan adalah penelitian survei, penelitian lapangan dan kepustakaan. Penelitian survei dilakukan dengan menggunakan kuesioner untuk memperoleh data kuantitatif. Sementara itu, penelitian lapangan dilakukan dengan menggunakan metode wawancara dan observasi. Survei dan wawancara mengacu kepada pedoman survei (kuesioner tertutup) dan pedoman wawancara tidak terstruktur, sebagai metode pengumpulan data yang primer.
Survei dan wawancara dilakukan terhadap responden/informan struktural sebagai pihak membuat dan pengambil keputusan di lokasi penelitian, dianggap mewakili kelompok-kelompok yang berkaitan dengan permasalahan penelitian. Sementara itu, kegiatan observasi akan dilakukan dengan cara observasi-partisipan dengan membuat catatan/dokumentasi. Teknik pengumpulan data sekunder dilakukan melalui kajian kepustakaan berbasis literatur dan jurnal elektronik.
Tahapan Penelitian
34
Tingkat Kematangan ME4 Yes BerkesesuaianBerkesesuaian No
Gambar 5 Diagram alur penelitian
Studi Literatur
35
Pengumpulan Data
Pengumpulan data dilakukan dengan penyebaran kuesioner dan wawancara. Teknik wawancara yang akan digunakan adalah wawancara tidak terstruktur atau wawancara mendalam (in-depth interviewing). Wawancara dilakukan dengan pertanyaan yang bersifat terbuka (open-ended), dan mengarah pada kedalaman informasi, serta dilakukan dengan cara yang tidak secara formal terstruktur, guna menggali pandangan informan tentang banyak hal yang sangat bermanfaat untuk menjadi dasar bagi penggalian informasinya secara lebih jauh, lengkap dan mendalam (Sutopo 2006).
Responden pada penelitian ini adalah informan atau nara sumber yang dapat memberikan informasi yang dibutuhkan oleh peneliti. Metode pemilihan informan yang dipakai adalah purposive sampling, yakni pemilihan berdasarkan pertimbangan tertentu, dengan kecenderungan untuk memilih informan berdasarkan posisi dengan akses tertentu yang dianggap memiliki informasi yang berkaitan dengan permasalahan secara mendalam dan dapat dipercaya untuk menjadi sumber data yang valid (Sutopo 2006).
Kuesioner dan wawancara dilakukan kepada para pejabat struktural yang pernah atau sedang menjabat di PDII-LIPI dari kurun waktu 2001 hingga 2014 serta para Kepala Pusat LIPI yang pernah atau sedang menjabat di PDII-LIPI. Pemilihan responden adalah karena mereka merepresentasikan informan di level eksekutif.
Tahapan Analisis
36
Analisi Deskriptif
Analisis deskriptif adalah perangkat analisis yang digunakan untuk menguraikan bagaimana realita berdasarkan fakta yang ada melalui data kuesioner yang diisi responden. Hasil analisis ini dijabarkan dengan persentase dan digambarkan melalui grafik untuk mempermudah dalam memahami informasi dengan cepat.
Kuesioner
Penulis melakukan pengambilan data dengan meminta responden mengisi kuesioner. Setiap pernyataan yang terdapat di dalam kuesioner penulis mengacu kepada kontrol objektif modul yang terdapat di dalam domain PO dan ME terutama pada sub-sub domain PO4, PO5, PO9, ME2, dan ME3 dari kerangka kerja COBIT 4.1. Kuesioner penelitian ini dapat dilihat pada Lampiran 1, responden diminta untuk memberikan pendapatnya mengenai pengelolaan TI di LIPI, selama responden berkerja dan menjabat sebagai struktural di PDII-LIPI dalam bentuk skala sikap. Dalam hal ini, skala Likert yang digunakan ada dalam 5 tingkatan bobot yang terdiri dari Sangat Tidak Sejutu (STS) dengan bobot 1, Tidak Setuju (TS) dengan bobot 2, Tidak Tahu (TT) dengan bobot 0, Setuju (S) dengan bobot 4, dan Sangat Setuju (SS) dengan bobot 5.
Pengolahan Hasil Kuesioner Perhitungan Indeks Kematangan
37
Representasi Indeks Kematangan
Setelah dilakukan penghitungan indeks kematangan, maka akan didapat tingkat kematangan untuk masing-masing sub domain yaitu PO4, PO5, PO9, ME2, dan ME3 dengan mengacu kepada Tabel 8.
Tabel 8 Representasi tingkat kematangan COBIT
Indeks Kematangan Tingkat Kematangan
0,00 - 0,50 0 - Tidak Ada 0,51 - 1,50 1 - Awal/Ad-Hoc
1,51 - 2,50 2 - Berulang tapi Intuitif 2,51 – 3,50 3 - Proses Terdefinisi 3,51 – 4,50 4 - Terkelola dan Terukur 4,51 – 5,00 5 - Optimis
Evaluasi
38
4
HASIL DAN PEMBAHASAN
Profil Responden
Dalam penelitian ini responden yang digunakan adalah pejabat struktural yang pernah dan atau sedang menjabat di PDII-LIPI antara tahun 2001-2014 dan seluruh kepala pusat PDII-LIPI yang pernah dan sedang menjabat, keseluruhannya berjumlah 31 responden. Responden adalah pihak-pihak yang bertanggung jawab dalam merancang dan membuat kebijakan internal di PDII-LIPI. Berdasarkan hasil screening responden menunjukkan bahwa 100% responden menyatakan bahwa mereka semua mengetahui mengenai TI, walau dalam kesehariannya beberapa dari mereka masih menggunakan TI secara tidak langsung. 70,69% menyatakan bahwa saat menjabat, responden pernah melakukan keputusan strategis dalam pemakaian TI di PDII-LIPI. 83,9% yang mengetahui tentang tata kelola TI, 93,5% yang menyadari tentang pentingnya tata kelola TI, dan 80,6% menyatakan bahwa ada tata kelola TI di PDII-LIPI, serta 83,9% responden memiliki kepentingan bila diadakan tata kelola TI (Lampiran 2).
Karakteristik Demografi Responden
Karakteristik demografi responden yang digunakan dalam penelitian ini dibagi dalam lima kriteria yaitu tingkat usia, jenis kelamin, tingkat pendidikan, jabatan dan lamanya bekerja. Dari kelima kriteria tersebut dapat dilihat kelompok demografi yang dominan (Lampiran 3).
Usia Responden
39
Gambar 6 Sebaran responden berdasarkan usia
Jenis Kelamin
Mayoritas responden berjenis kelamin perempuan, sebanyak 16 responden (52%) sedangkan sisanya sebanyak 15 responden (48%) berjenis kelamin laki-laki. Hal ini menunjukkan bahwa responden perempuan lebih banyak menjadi struktural yang pernah dan atau sedang menjabat di PDII-LIPI (Gambar 7).
Gambar 7 Sebaran responden berdasarkan jenis kelamin
Tingkat Pendidikan
Dari 31 responden, terdapat sebanyak 15 responden memiliki tingkat pendidikan S1/Sarjana, sebanyak 13 responden memiliki tingkat pendidikan S2/Magister, dan yang memiliki tingkat pendidikan S3/Doktor sebanyak 3 responden (Gambar 8). Kondisi ini menunjukkan bahwa kondisi struktural di PDII-LIPI yang pernah dan atau sedang menjabat banyak di tingkat pendidikan S1/Sarjana yaitu 49%, meskipun pada tingkat pendidikan S2/Magister juga
0 5 10 15 20 25
Muda Dewasa Paruh Baya
3 5
23
Sebaran Usia Responden
15 16
Sebaran Jenis Kelamin Responden
Laki-laki