SNIPTEK 2015 ISBN: KAJIAN TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA COBIT 4.

(1)

INF-627

KAJIAN TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI

MENGGUNAKAN KERANGKA KERJA COBIT 4.0

Artika Surniandari

Program Studi Komputer Akuntasi AMIK BSI Jakarta

artika.ats@bsi.ac.id

ABSTRACT — In this research, an analysis and

recommendation was presented to the management of BPKP Center by using COBIT (Control Objective for Information and related Technology) skill in Delivery & Support and Monitoring and Evaluating domain. This review can solve the problem on pusinfowas, since divisions working in IT management and data processing can not fully carry out their tasks and functions due to limitations in some processes and this research is expected to become a reference in managing IT in both BPKP and other government agencies. begins with data collection and observation of the system that has been running quite well until now. The study continued on the method of selecting the samples in which the sample selected was a puposive sampling that understood IT and the use of IT, because the method of data collection conducted interviews and questionnaires distributed to five respondents included in the sample criteria. The data obtained from the interview process conditions are expected for the future of IT BPKP implementation and the drawings obtained from the questionnaire of the current state of IT management. From the results of interviews obtained at the maturity level of target 4 and the results obtained the results of questionnaire data collection where most of the maturity level of both domains are still below the target domain, especially DS4, DS5 and ME4 have a low level of maturity. That is below 2.50 between the current maturity level with the expectation of the future IT maturity level, from which this gap arises so that the recommendations made are expected to cover the gap. From the results of this study, the maturity level of the research results at the BPKP IT Management Center is currently at the third level domain for DS and ME, but there is still a level of maturity that is below the level currently in the process of defining 2.50 ongoing services. (DS4), ensuring the security system (DS5) and not the ideal IT management establishment (ME4), which requires special attention from the IT management. The improvement in the BPKP IT Governance Center of this domain to DS and ME is to increase the level of maturity to Level 4 (Managed and Measurable).

Keyword : Information Systems, Spare Parts Sales

INTISARI — Dalam penelitian ini disajikan sebuah analisis dan rekomendasi kepada manajemen TI BPKP Center dengan menggunakan kerangka COBIT (Control Objective for Information and related Technology) pada domain Delivery & Support and Monitoring and Evaluating. Kaji ulang ini dapat memecahkan masalah pada pusinfowas, karena divisi yang bekerja dalam manajemen TI dan pengolahan data tidak dapat sepenuhnya menjalankan tugas dan fungsinya karena keterbatasan dalam beberapa proses dan penelitian ini diharapkan dapat menjadi acuan dalam mengelola TI di kedua BPKP dan instansi pemerintah lainnya Penelitian ini diawali dengan pengumpulan data dan pengamatan terhadap sistem yang telah berjalan cukup baik sampai saat ini. Penelitian dilanjutkan pada metode pemilihan sampel dimana sampel yang dipilih adalah sampling puposive yang mengerti IT dan penggunaan TI, karena metode pengumpulan datanya melakukan wawancara dan kuesioner yang disebarkan kepada lima responden yang termasuk dalam kriteria sampel. Data yang diperoleh dari kondisi proses wawancara diharapkan untuk masa depan penyelenggaraan IT BPKP dan gambar yang diperoleh dari kuesioner kondisi saat ini manajemen TI. Dari hasil wawancara yang diperoleh pada tingkat kematangan target 4 dan hasilnya diperoleh hasil pengumpulan data kuesioner dimana sebagian besar tingkat kematangan kedua domain tersebut masih di bawah domain target terutama DS4, DS5 dan ME4 memiliki tingkat kematangan yang cukup rendah. Yaitu di bawah 2,50 antara tingkat kematangan saat ini dengan harapan kedepan tingkat kematangan TI, dari mana muncul kesenjangan ini sehingga rekomendasi yang dibuat diharapkan dapat mencakup kesenjangan tersebut. Dari hasil kajian ini, tingkat kematangan hasil penelitian di Pusat Pengelolaan TI BPKP saat ini berada pada domain tingkat ketiga untuk DS dan ME, namun masih ada tingkat kematangan yang berada di bawah tingkat yang sedang dalam proses mendefinisikan 2,50 layanan berkelanjutan.

(2)

INF-628

(DS4), memastikan sistem keamanan (DS5) dan tidak ideal pendirian manajemen TI (ME4), yang memerlukan perhatian khusus dari pihak manajemen TI. Perbaikan di IT Governance Center BPKP domain ini ke DS dan ME adalah untuk meningkatkan tingkat kematangan sampai pada level 4 (Managed and Measurable).

Kata kunci: Tata Kelola, Cobit 4.0 PENDAHULUAN

Penerapan Teknologi Informasi (TI) merupakan hal yang menjadi target perkembangan suatu instansi guna meningkatkan kinerja serta kualitas produk atau keluaran yang dihasilkan. Untuk menerapkan teknologi informasi tentunya diperlukan biaya yang cukup besar dan mungkin saja dalam penerapannya dapat terjadi resiko kegagalan yang cukup tinggi. Namun apabila penerapan TI telah terlaksana dengan baik juga dapat memberikan keuntungan dengan menyediakan peluang-peluang untuk meningkatkan produktifitas bisnis yang sedang berjalan. Penerapan TI juga sangat membantu kinerja instansi dalam melakukan perkembangan dan menghadapi permasalahan.

Permasalahan yang dihadapi berbeda pada masing-masing instansi dari mulai pengolahan data yang tidak mendapatkan hasil yang sesuai dengan harapan, sampai dengan pemanfaatan waktu yang tidak efisien, permasalahan tersebut mendorong pihak manajemen menerapkan teknologi pendukung yang diharapkan dapat menjadi solusi dari permasalahan, sehingga teknologi informasi menjadi satu hal yang sangat penting dan dibutuhkan dalam mendukung jalannya sistem.

Hal tersebut memicu meningkatnya ketergantungan perusahaan akan kebutuhan di bidang TI, sehingga mengharuskan perusahaan melakukan pengelolaan aset ditentukan oleh keselarasan tujuan penerapan TI dan tujuan perusahaan. Pada dasarnya pengelolaan TI berkaitan dengan dua permasalahan utama, yaitu peranan TI dalam memberikan nilai bagi perusahaan dan penanganan resiko-resiko dari penerapan TI. Peranan TI ditinjau dari keselarasan dengan tujuan bisnis, sedangkan penanganan resiko ditinjau dari peningkatan akuntabilitas perusahaan sebagai hasil dari penerapan TI.

Pengelolaan TI merupakan struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan dalam mencapai tujuannya melalui penambahan nilai dengan tetap memperhatikan keseimbangan antara resiko dan manfaat dalam menerapkan TI dan proses-proses

di dalamnya. Penggunaan teknologi dalam aspek sosial dan ekonomi telah menciptakan ketergantungan pada TI dalam menginisiasi, merekam, memindahkan dan mengelola seluruh aspek transaksi ekonomi serta informasi dan pengetahuan perusahaan, yang menjadikan pengelolaan TI memiliki peran strategis dalam perusahaan.

Tujuan dari pengelolaan TI adalah untuk memberikan arahan pemanfaatan TI agar dapat menjamin kinerja TI dapat memenuhi tujuan penyelarasan TI dengan tujuan perusahaan dan dapat merealisasikan keuntungan yang dijanjikan. Disamping itu TI juga harus membantu perusahaan dalam menciptakan peluang-peluang baru dan memaksimalkan keuntungan. Sumberdaya TI harus digunakan secara optimal dan resiko yang berkaitan dengan TI harus dikelola dengan baik.

BPKP (Badan Pengawas Keuangan Dan Pembangunan ) adalah lembaga pemerintahan non departemen yang berada di bawah dan bertanggungjawab langsung kepada Presiden dan Wakil Presiden. Tugas utama BPKP adalah membantu Presiden dan Wakil Presiden mengawasi pengelolaan dan pertanggungjawaban keuangan negara dan pembangunan, agar sesuai dengan ketentuan perundang-undangan yang berlaku, sekaligus memberikan masukan bagi pembuatan kebijakan terkait dengan itu.

Dalam melakukan pengelolaan TI BPKP membutuhkan sebuah model pengelolaan yang dapat dijadikan acuan, sesuai dengan strategi dan tujuan perusahaan dan dapat digunakan untuk mengatasi permasalahan-permasalahan yang terjadi di perusahaan. Control Objectives for Information and Related Technology (COBIT) merupakan sebuah model standar tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI.

Berdasarkan hal tersebut maka dalam penelitian ini akan dirancang sebuah model pengelolaan TI dengan menggunakan kerangka kerja COBIT. Kerangka kerja COBIT mengidentifikasi proses-proses TI dalam 4 domain utama, yaitu domain Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring and Evaluating (ME). Domain PO mencakup strategi dan taktik, serta perhatian pada identifikasi cara TI dalam memberikan kontribusi terbaiknya pada pencapaian objektif bisnis. Domain AI mencakup realisasi, implementasi dan integrasi strategi TI kedalam proses bisnis. Domain DS berhubungan dengan penyampaian dan dukungan layanan-layanan TI. Domain ME mencakup pengawasan pada seluruh

(3)

INF-629

kendali-kendali yang diterapkan pada setiap

proses TI.

BAHAN DAN METODE

Teknologi informasi (TI) adalah hal yang telah menjadi prioritas bagi perkembangan suatu perusahaan pada masa sekarang ini. Teknologi informasi menjembatani komunikasi antar pihak terkait dalam proses bisnis yang dijalankan perusahaan. Agar teknologi informasi dapat digunakan dan dimanfaatkan seoptimal mungkin diperlukan perhatian khusus dalam tata kelolanya.

Definisi Tata Kelola IT

Definisi tata kelola Teknologi informasi menurut beberapa ahli dalam Surendro (2002. p. 3) diantaranya sebagai berikut :

a. Kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dan mengarahkan kepada kepentingan pencapaian daya saing korporasi (The Ministry of International Trade&Industry. 1999)

b. Tata kelola teknologi informasi adalah pertanggungjawaban dewan direksi dan manajemen eksekutif. Hal ini , merupakan bagian yang terintergrasi dengan tata kelola perusahaan dan berisi kepemimpinan dan struktur serta proses organisasi yang menjamin bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis (IT Governance Institute. 2001).

c. Tata kelola teknologi informasi adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen teknologi informasi untuk mengendalikan formulasi dan implementasi strategi informasi dalam rancangan mendukung bisnisnya (Grembergen. 2002).

Dalam hal ini dapat disimpulkan bahwa tata kelola TI adalah serangkaian kegiatan yang mengupayakan adanya kesinambungan antara pemanfaatan teknologi informasi dengan kebijakan yang diambil manajemen dalam memastikan teknologi informasi telah diterima dan dilaksanakan dengan baik selaras dengan tujuan bisnis perusahaan.

Fokus Bidang Tata Kelola TI

Menurut Surendro (2009. p. 143) Tata kelola teknologi informasi berjalan secara berkesinambungan seperti halnya sebuah siklus hidup, tata kelola TI dapat juga dianggap sebagai sebuah proses mengumpulkan sumber daya yang dibutuhkan untuk melaksanakan kewajiban, laporan dari proses TI mencakup kewajiban dari proses yang telah dilakukan, kinerja, risiko yang

diterima dan ditangani, beserta sumber daya yang telah digunakannya.

Lima area yang menjadi fokus tata kelola TI dikendalikan oleh nilai stakeholder diantaranya penyampaian layanan dan manajemen resiko, fokus yang lain berperan sebagai penentu yaitu penyelarasan strategi, pengelolaan sumber daya dan pengukuran kinerja.

Tahap Penerapan Tata Kelola TI

Menggunakan COBIT

Terdapat 4 fase penerapan tata kelola TI menggunakan COBIT yaitu fase Identify Needs (Mengidentifikasi kebutuhan), Envision Solution (meramalkan solusi), Plan Solution ( Merencanakan Solusi) dan Implement Solution (Menerapkan solusi).

Sumber : Surendro (2009. p. 198)

Framework COBIT

ITGI (2005) menjelaskan bahwa semakin manajemen puncak menyadari bahwa informasi dapat mempengaruhi keberhasilan perusahaan, manajemen diharapkan dapat meningkatkan pemahaman tentang pengoperasian teknologi informasi (TI) untuk keunggulan kompetitif. Secara khusus, manajemen puncak perlu tahu apakah informasi ini telah dikelola oleh perusahaan:

1. Kemungkinan untuk mencapai tujuannya 2. Cukup mudah dipelajari dan beradaptasi 3. Dapat mengelola risiko yang dihadapinya

dengan bijaksana

4. Mengenali adanya peluang

Menurut Surendro(2009. p. 242) COBIT mengintegrasikan praktek-praktek yang baik terhadap TI dan menyediakan framework untuk tata kelola TI, yang dapat membantu pemahaman dan pengelolaan resioko serta memperoleh keuntungan yang berkaitan dengan TI. Dengan demikian implementasi COBIT sebagai framework tata kelola TI akan dapat memberikan keuntungan :

a. Penyelarasan yang lebih baik, berdasarkan pada fokus binsis.

b. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan TI. c. Tanggung jawab dan kepemilikan yang jelas

didasarkan pada orientasi proses

d. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan

e. Berbagi pemahaman diantara pihak yang berkepentingan, didasarkan pada sebuah bahasa umum.

f. Pemenuhan kebutuhan Committee of Sponsorsing Organisations of the Treadway Commision (COSO) untuk lingkungan kendali TI.

(4)

INF-630

Fokus Pada Bisnis

Orientasi pada bisnis menunjukan bahwa COBIT dirancang untuk dapat digunakan oleh banyak pihak. Hal ini tidak sebatas hanya bagi kalangan TI, user maupun auditor, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik proses bisnis.

Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Informasi itu sendiri perlu memenuhi kriteria kontrol tertentu, guna mencapai obyektif binsis. Kriteria untuk informasi sebagaimana dikemukakan COBIT adalah:

a. Efektifitas (Effectiveness), berhubungan

dengan informasi yang relevan dan berhubungan pada proses bisnis seperti halnya disampaikan dengan suatu cara yang tepat waktu, benar, konsisten dan dapat digunakan.

b. Efisiensi (Efficiency), berhubungan dengan

ketentuan informasi melalui penggunaan sumberdaya secara optimal.

c. Kerahasiaan (Confidentiality),

berhubungan dengan kerahasiaan perusahaan dalam menjaga keamanan informasi dari ancaman dan gangguan pihak-pihak yang tidak bertanggungjawab. d. Integritas (Integrity), berhubungan

dengan ketepatan dan kelengkapan informasi seperti halnya keabsahannya menurut nilai dan harapan bisnis.

e. Ketersediaan (Availability), berhubungan

dengan ketersediaan informasi pada saat diperlukan oleh proses bisnis saat ini dan mendatang. Ini juga berhubungan dengan pengamanan sumberdaya yang perlu dan kemampuan yang berkaitan.

f. Kepatuhan (Compliance), berhubungan

dengan kepatuhan hukum, regulasi dan kesepakatan kontrak dimana proses binsis adalah pokok yaitu kriteria bisnis dikenakan secara eksternal, seperti halnya kebijakan internal.

g. Kehandalan (Reliability), berhubungan

dengan ketentuan informasi yang tepat bagi manajemen untuk mengoperasikan entitas dan menjalankan fiduciary-nya (kepercayaan) dan tanggung jawab tata kelola TI

Orientasi Pada Proses

Antara sasaran bisnis dan sasaran TI (business foal and IT goal) dan kriteria informasi terdapat hubungan. Hubungan ini menunjukan bahwa pada sasaran bisnis yang diberikan, yang dikelompokkan kedalam empat perspektif balanced scorcard, berhubungan dengan beberapa sasaran TI yang sesuai, dan kriteria informasi

yang berkaitan dengan sasaran bisnis tersebut. Hubungan yang lain adalah antara lain TI, proses-proses TI dan kriteria informasi.

a. Aplikasi adalah sistem user yang diotomasikan dan prosedur manual yang memproses informasi.

b. Informasi adalah data dalam semua bentuknya, dimasukkan, diproses dan dikeluarkan oleh sistem informasi, dalam bentuk apapun digunakan oleh bisnis. c. Infrastruktur adalah teknologi dan fasilitas

(hardware, operating system, database management system, jaringan multimedia, dan lain-lain dan lingkungan penempatan dan pendukungnya) yang memungkinkan pemrosesan aplikasi.

d. Orang adalah personal yang diperlukan untuk merencanakan, mengorganisir,

mendapatkan, menerapkan,

menyampaikan, mendukung, memonitor dan mengevaluasi layanan dan sistem informasi. Mereka bisa saja internal, outsource, atau dikontrak ketika diperlukan.

Aktivitas TI, dalam COBIT didefinisikan kedalam model proses yang generik dan dikelompokkan dalam 4 (empat) domain : Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring and Evaluate (ME) dengan penjelasan sebagai berikut :

1. Perencanaan dan organisasi (Planning

dan organisation / PO)

Domain ini mencakup masalah

mengidentifikasikan cara terbaik TI untuk memberikan konstribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Dititikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. High-level control objectives yang terdapat dalam domain ini adalah sebagai berikut :

PO1 - mendefinisikan perencanaan strategi TI PO2 - mendefinisikan arsitektur informasi PO3 - menentukan arah teknologi

PO4 - mendefinisikan hubungan, organisasi, proses-proses TI

PO5 - mengelola investasi TI

PO6 - menyampaikan arah dan maksud manajemen

PO7 - mengelola sumber daya manusia TI PO8 - mengelola mutu

PO9 - mengelola resiko dan menaksir TI PO10 - mengelola proyek-proyek

2. Akuisisi dan implementasi (Acquisition

and Implementation/AI)

Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah

(5)

INF-631

ditetapkan harus disertai dengan solusi-solusi TI

yang sesuai, dan solusi tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini terdiri 7 control objectives yaitu :

AI1 - mengenali pemecahan secara otomatis AI2 - memperoleh dan memelihara aplikasi software

AI3 - memperoleh dan memelihara infrastruktur teknologi

AI4 - memungkinkan operasi dan penggunaan

AI5 - memperoleh sumber daya TI AI6 - mengelola perubahan-perubahan AI7 - memasang dan mengakui pemecahan dan perubahan

3. Penyampaian dan dukungan (Delivery

and Support/DS)

Domain ini menitikberatkan pada teknis-teknis yang mendukung terhadap proses pelayanan TI. DS1 - menetapkan dan mengelola mutu service

DS2 - mengelola service pihak ketiga DS3 - mengelola kapasitas dan kinerja DS4 - menjamin service terus menerus DS5 - menjamin keamanan sistem

DS6 - mengidentifikasii dan mengalokasikan biaya

DS7 - mendidik dan melatih user

DS8 - mengelola peristiwa dan bagian service DS9 - mengelola konfigurasi

DS10 - mengelola permasalahan-permasalahan DS11 - mengelola data

DS12 - mengelola keadaan fisik DS13 - mengelola operasi

4. Pengawasan dan evaluasi (Monitoring

and Evaluate/ME)

Domain ini dikonsentrasikan pada monitoring dan evaluasi penerapan TI.

ME1 - mengawasi dan menilai kinerja TI ME2 - mengawasi dan menilai kerangka kontrol

ME3 - memastikan pematuhan peraturan ME4 - menetapkan pengelolaan TI

Model Kematangan

Menurut Surendro (2009. p. 247) Maturity model untuk pengelolaan dan kontrol pada proses TI didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri, mulai dari level non-existent (0) hingga optimised (5). Pendekatan ini berasal dari model maturity Software Engineering Institute yang mendefinisikan untuk kapabilitas pengembangan software. Maturity model dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Tingkat maturity dirancang sebagai profile proses TI, sehingga organisasi akan dapat mengenali

sebagai deskripsi kemungkinan keadaan sekarang dan mendatang. Penggunaan Maturity model yang dikembangkan untuk setiap 34 proses TI dari COBIT, memungkinkan manajemen dapat mengidentifikasi:

a. Performa sesungguhnya perusahaan – dimana kondisi perusahaan sekarang. b. Kondisi sekarang dari

industri-perbandingan

c. Target peningkatan perusahaan – dimana kondisi yang diinginkan perusahaan dalam melakukan pengukuran maturity untuk proses, terlebih dulu perlu kejelasan tentang tujuan pengukuran itu sendiri. Pemahaman secara jelas, apa yang diukur dan apa yang akan dilakukan pada saat melakukan pengukuran, diperlukan. Hal ini karena pengukuran maturity bukan merupakan tujuan tetapi sebagai pendukung sebagai contoh:

a. meningkatkan kepedulian b. identifikasi kelemahan

c. identifikasi prioritas peningkatan.

Beberapa cara yang umum dilakukan dalam melaksanakan penilaian maturity diantaranya adalah:

a. pendekatan multidisiplin kelompok orang yang mendiskusikan dan menghasilkan kesepakatan level maturity kondisi sekarang

b. dekomposisi deskripsi maturity menjadi beberapa statement sehingga manajemen dapat memberikan tingkat persetujuannya. c. penggunaan atribut matriks sebagaimana

didokumentasikan dalam Cobit’s Management Guidelines dan memberikan nilai masing-masing atribut dari setiap proses.

Mengingat perlunya kesesuaian antara pemilihan metoda untuk penilaian maturity dengan tujuan yang ingin dicapai sebagaimana dikemukakan diatas, serta upaya yang akan dilakukan adalah untuk peningkatan proses, maka metoda yang digunakan perlu disesuaikan dengan tujuan ini. Dengan pertimbangan ini maka metoda yang akan digunakan adalah dengan menilai setiap atribut dan maturity proses. Berdasarkan penilaian masing-masing atribut baik yang mencerminkan kondisi saat ini maupun yang diharapkan, akan didapatkan informasi mengenai kondisinya untuk setiap atribut.

Cara penyajian secara bersama-sama kondisi saat ini dan kondisi yang diharapkan, akan memudahkan untuk melihat gambaran kelemahan atau kekurangan setiap atribut yang membentuk tingkat maturity tersebut.

Model Framework COBIT

Kerangka kerja COBIT, mengikat kebutuhan bisnis untuk informasi dan tata kelola, pada

(6)

INF-632

tujuan fungsi layanan teknologi informasi. Model proses COBIT memungkinkan aktivitas teknologi informasi dan sumber daya yang mendukungnya dikelola dan di kontrol dengan tepat berdasarkan tujuan kendali COBIT, Keseluruhan framework COBIT dapat dilihat pada gambar di bawah ini, COBIT’s proses model dari empat domain mengandung 34 proses generik, yang mengelola IT resources untuk memberikan informasi pada bisnis sesuai dengan kebutuhan bisnis dan tata kelola

HASIL DAN PEMBAHASAN

Data Responden

Responden yang dilibatkan dalam penelitian ini berjumlah 5 orang. Pemilihan responden ditentukan dengan menggunakan

metode purposive sampling. Sampel yang dipilih yaitu sampel yang memahami sistem yang diterapkan di BPKP ini, yaitu bagian pengelola dan pengembang sistem informasi serta layanan pengguna. Adapun perincian data responden dapat dilihat pada tabel berikut ini:

Tabel.1 Daftar Responden Kuesioner

No Responden Jumlah

1 Kepala Subbidang Pengembangan

Teknologi Informasi 1

2 Kepala Subbidang Layanan

Pengguna 1

3 Staff Bagian Pusat Informasi dan

Pengawasan 2

4 Staff Bagian Evaluasi

Perencanaan 1

Total 5

Analisa hasil tingkat kematangan/maturity level domain DS dan ME

Analisa dilakukan untuk mengetahui tingkat kematangan tata kelola TI di BPKP Pusat terhadap control objective. Control objective yang akan dilakukan penilaian adalah control objective yang berada pada domain DS (Delivery and Support) dan ME (Monitoring and Evaluating).

Berikut hasil kuesioner untuk domain DS yang dapat diperlihatkan dalam tabel sebagai berikut:

Tabel.2 Rekapitulasi hasil kuesioner cobit maturity model pada domain DS

Control objective Jml

Pertanyaan Index Maturity level DS1-Mendefinisikan dan

mengelola tingkat layanan 20 3.09 3

DS2-Mengelola layanan pihak ketiga

22 2.86 3

DS3-Mengelola kinerja dan

kapasitas 16 3.27 3 DS4-Memastikan layanan yang berkelanjutan 15 2.11 2 DS5-Memastikan keamanan sistem 17 1.52 2 DS6-Melakukan identifikasi

dan alokasi biaya 15 3.04 3

DS7-Mendidik dan melatih

pengguna 14 3.73 4

DS8-Mendampingi dan

memberikan saran kepada pengguna

14 3.33 3

DS9-Mengelola konfigurasi 17 3.54 4

DS10-Mengelola

permasalahan dan insiden 17 3.08 3

DS11-Mengelola Data 15 2.60 3

DS12-Mengelola Fasilitas 16 2.96 3

DS13-Mengelola Operasi 16 2.78 3

Total Rata-rata

214 2.92 3

Sedangkan hasil kuesioner untuk domain ME dapat kita lihat pada tabel berikut:

Tabel.3 Rekapitulasi hasil kuesioner cobit maturity model pada domain ME

Control objective Jml

Pertanyaan Index Maturity level

ME1 - mengawasi

dan menilai kinerja TI 18 3.16 3

ME2 - mengawasi

dan menilai kerangka kontrol 16 3.19 3 ME3 - memastikan pematuhan peraturan 14 3.01 3 ME4 - menetapkan pengelolaan TI 13 1.82 2 Total Rata-rata 61 2.8 2,75

Untuk mengetahui tingkat kematangan tata kelola TI saat ini digunakan kuesioner cobit maturity model (lihat lampiran ). Kuesioner dibuat berdasarkan kriteria kematangan yang ditetapkan pada COBIT 4.0 untuk setiap proses yang terdapat dalam domain DS dan ME. Kuesioner menggunakan

skala guttman dengan bobot untuk setiap pertanyaan ditetapkan 0 dan 1. Pertanyaan dengan jawaban Ya (Y) akan dikonversikan pada nilai 1, sebaliknya untuk jawaban Tidak (T) akan dikonversi pada nilai 0.

Penilaian tingkat kematangan setiap control objective atau proses TI pada domain DS dan ME mengacu pada model maturity level COBIT versi 4 Dengan kriteria index penilaian sebagai berikut :

Tabel.4 Kriteria index nilai pada maturity level COBIT versi 4

0 – 0.50 Non-Existent 0.51 – 1.50 Initial/Ad Hoc

1.51 – 2.50 Repeatable But Invinitive 2.51 – 3.50 Defined Process

(7)

INF-633

4.51 – 5.00 Optimesed

Dari pengukuran tingkat kematangan tata kelola TI ini selain akan diketahui penilaian tentang kondisi saat ini juga dapat diketahui kondisi tata kelola TI yang diharapkan. Selain perhitungan maturity level juga diadakan wawancara dengan Kepala sub bidang pengembangan teknologi informasi sebagai pihak yang dianggap paling memahami Sistem Informasi yang sedang berjalan. Adapun temuan yang bisa kita analisis dari hasil kuesioner dan wawancara dengan pihak pengelola dan pengembang sistem informasi pada instansi BPKP secara umum dapat kita lihat dalam tabel-tabel sebagai berikut :

Tabel.5 Tabel Temuan Kuesioner

control objective Index Maturity level:

DS1-Mendefinisikan dan

mengelola tingkat layanan

3.09 3 - Defined

Process DS2-Mengelola layanan pihak

ketiga 2.86 3 Define Process

DS3-Mengelola kinerja dan

kapasitas 3.27 3 Define Process

DS4-Memastikan layanan yang

berkelanjutan 2.11 2 Repeatable But Invinitive DS5-Memastikan keamanan

sistem 1.52 2 Repeatable But Invinitive

DS6-Melakukan identifikasi dan

alokasi biaya 3.04 3-Defined Process

DS7-Mendidik dan melatih

pengguna 3.73 4 – Manage and Measurable

DS8-Mendampingi dan

memberikan saran kepada pengguna

3.33 3 – Defined

Process

DS9-Mengelola konfigurasi 3.54 4–Managed and

measurable

DS10 - Mengelola

Permasalahan 3.08 3-defined process

DS11-Mengelola Data 2.60 3 - defined

process

DS12-Mengelola Fasilitas 2.96 3 – defined

process

DS13-Mengelola Operasi 2.78 3 – defined

process

ME1 - mengawasi dan

menilai kinerja TI 3.16 3 Process – Defined

ME2 - mengawasi dan

menilai kerangka kontrol 3.19 3 process – defined

ME3 - memastikan

pematuhan peraturan 3.01 3 process – defined

ME4 - menetapkan

pengelolaan TI 1.82 2 - Repeatable But Invinitive

Menentukan Target Kematangan (Maturity Level) untuk masing-masing Control objective pada Domain DS dan ME

Target kematangan proses TI adalah kondisi ideal tingkat kematangan proses yang diharapkan (to-be), yang akan menjadi acuan dalam model tata kelola TI yang akan dikembangkan. Target kematangan proses TI

dapat ditentukan dengan melihat lingkungan internal bisnis BPKP dan tingginya ekspektasi jajaran manajemen BPKP Pusat terhadap proses TI COBIT yang diterapkan. Berdasarkan arah pengembangan TI BPKP Pusat secara umum dapat ditemukan beberapa hal penting yang dapat diambil sebagai dasar pertimbangan untuk menentukan target kematangan proses yang diharapkan antara lain :

1. Menjadikan BPKP Pusat sebagai institusi pemerintah Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas.

2. BPKP Pusat Menyelenggarakan pengawasan intern terhadap akuntabilitas keuangan negara yang mendukung tata kelola kepemerintahan yang baik dan bebas KKN. 3. Membina penyelenggaraan Sistem

Pengendalian Intern Pemerintah.

4. Mengembangkan kapasitas pengawasan intern pemerintah yang profesional dan kompeten.

5. Menyelenggarakan sistem dukungan pengambilan keputusan yang andal bagi presiden/pemerintah.

Dengan mempertimbangkan beberapa faktor diatas, untuk domain DS dan ME COBIT Versi 4, maka dapat diambil kesimpulan bahwa tingkat kematangan yang akan menjadi acuan dalam model tata kelola TI yang akan dikembangkan adalah pada skala 4 yaitu Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur, serta mengambil tindakan atas ketidakefektifan proses yang terjadi. Proses meningkat secara konstan dan memberikan praktek yang baik. Otomasi dan tool digunakan dengan cara terbatas dan terpecah-pecah.. (Managed and Measurable)

Analisis Gap Kematangan Control objective Domain DS dan ME

Dengan melihat kondisi tingkat kematangan control objective domain DS dan ME yang berjalan pada BPKP Pusat saat ini terhadap kondisi ideal tingkat kematangan control objective yang diinginkan, maka akan memunculkan suatu penyesuaian dengan kondisi normatif berdasarkan COBIT versi 4. Penyesuaian dilakukan untuk menutup gap yang diciptakan dari tingkat kematangan proses saat ini (current maturity level) dengan kondisi ideal tingkat kematangan proses yang diinginkan (target maturity level), sebagai acuan dari rekomendasi yang penulis ambil adalah dengan melihat Detail Control objective. Dari Tabel.2 dan Tabel.3 di atas menunjukan adanya gap pada 15 control objective domain DS dan ME, yang berupa 11 gap dalam

(8)

INF-634

domain DS dan 4 gap dalam domain ME. Berikut adalah analisisnya :

Tabel.6. Analisis gap Tingkat Kematangan cobtrol objective pada domain DS

Control objective Current

Maturity

level

Target

Maturity

Level DS1-menetapkan dan mengelola

mutu service

3.09 ₄

DS2-mengelola service pihak ketiga 2.86 4

DS3-mengelola kapasitas dan kinerja 3.27 4

DS4-menjamin service terus menerus 2.11 4

DS5-menjamin keamanan sistem 1.52 4

DS6-mengenali dan memberikan

biaya 3.04 4

DS7-mendidik dan melatih user 3.73 4

DS8-mengelola peristiwa dan bagian

service 3.33 4

DS9-mengelola konfigurasi 3.54 4

DS10-mengelola

permasalahan-permasalahan 3.08 4

DS11-mengelola data 2.60 4

DS12-mengelola keadaan fisik 2.96 4

DS13-mengelola operasi 2.78 4

Rata-rata Maturity Level domain DS 2.92 4

Berikut ini Tabel Analisa gap tingkat kematangan pada Domain ME:

Tabel.7 Analisis gap Tingkat Kematangan cobtrol objective pada domain ME

Control objective Current

Maturity

level

Target

Maturity

Level ME1-mengawasi dan menilai

kinerja TI 3.16 4

ME2-mengawasi dan menilai

kerangka kontrol 3.19 4

ME3-memastikan pematuhan

peraturan 3.01 4

ME4-menetapkan pengelolaan TI 1.82 4

Rata-rata maturity level untuk

domain ME 2.8 4

BPKP Pusat harus mampu mentupi gap maturity level ini agar sumber daya TI yang dimilikinya mampu mendukung secara maksimal seluruh proses bisnis BPKP Pusat dalam mencapai tujuan yang telah ditetapkan dalam visi dan misinya. Dari hasil kuesioner tingkat kematangan (matutity level) control objective COBIT domain DS dan ME yang diperlihatkan dalam grafik diatas, menunjukkan adanya gap yang cukup besar pada proses DS4, DS5 dan ME4 dimana ketiga domain tersebut masih dibawah level 2.50 maka dapat dideskripsikan suatu kondisi pada proses lainnya masih bervariasi dan sebagian besar telah mencapai level 3 dan 4. Hal ini berarti sebagian besar di BPKP Pusat masih terdapat kejadian yang diketahui, dan dipandang sebagai persoalan yang perlu ditangani oleh pihak manajemen, meskipun telah ada proses standar namun belum terealisasikan dengan sempurna meskipun ada juga yang sudah mendekati target pemenuhan tingkat kematangan yang diharapkan. Belum ada

komunikasi atau pelatihan formal atas prosedur standar dan tanggung jawab diserahkan pada individu sehingga terdapat kepercayaan yang tinggi pada kemampuan individu, sehingga kesalahan masih sangat mungkin terjadi. Terutama pada proses menjamin layanan berkelanjutan dan keamanan sistem serta dalam penetapan pengelolaan TI

Kondisi ideal yang diharapkan adalah pada tingkat kematangan 4 (Manage and Measurable), yaitu suatu kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif terhadap kinerja proses teknologi informasi, terdapat fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan dan dapat mengambil tindakan jika terdapat proses yang tidak efektif, proses diperbaiki terus menerus serta terdapat perangkat pembantu dan otomatisasi untuk pengawasan proses. Dapat disimpulkan temuan COBIT dari 15 gap yang harus disesuaikan tersebut adalah DS1, DS2, DS3, DS4, DS5, DS6, DS8, DS10, DS11, DS12, DS13, ME1,ME2, ME3, dan ME4

Mengatasi gap Kematangan Control objective Pada Domain DS dan ME

adapun kegiatan atau langkah-langkah penyesuaian yang bisa dilakukan sebagai berikut :

Rekomendasi untuk mengatasi gap maturity level pada DS1

Mutu layanan TI dan dukungan organisasi harus dikelola dan didefinisikan secara jelas (uraian tanggung jawab, waktu respon dan pengawasan serta pelaporan ) Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen harus dapat mendefinisikan dan mengelola mutu layanan dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Menyediakan suatu kerangka kerja yang selaras dengan kebutuhan bisnis b. Mendefinisikan layanan TI didasarkan

pada kebutuhan bisnis

c. Menentukan dan menyetujui perjanjian service level untuk seluruh layanan TI berdasarkan kebutuhan pelanggan dan kemampuan TI

d. Menetapkan pemantauan service level laporan disusun dengan sistematis sehingga dapat dimonitor dan ditindak lanjuti

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya:

(9)

INF-635

a. Mendefinisikan dan mengelola service

level secara utuh dan secara berkala diadakan forum internal untuk membahas serta mencari solusi bersama permasalahan yang timbul b. Tingkat layanan lebih didefinisikan

dalam tahap pendefinisian kebutuhan sistem

c. Mengotomasi pelaporan dan pengawasan tingkat layanan

d. Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan didefinisikan dengan jelas

Pengelolaan terhadap tingkat layanan TI yang dilakukan/disediakan oleh pihak eksternal harus mencakup kesepakatan layanan, kontrak, pengawasan dan aspek legalitas. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen harus dapat mengelola layanan pihak ketiga dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Mengidentifikasikan semua pihak penyedia layanan dan mengkategorikan sesuai dengan tipe dan fungsi

b. Melegalisasi perjanjian tingkat layanan didasarkan pada kepercayaan dan transparansi

c. Mengidentifikasi dan mengurangi resiko yang berhubungan dengan penyedia layanan , memastikan kontrak sesuai dengan standar bisnis dan persyaratan hukum

d. Menetapkan proses untuk memonitor ketersediaan layanan dan kepatuhan terhadap perjanjian

a. Memfokuskan kebutuhan pengelolaan tingkat layanan sesuai dengan tujuan bisnis

b. Dibuatkannya standarisasi pendefinisian lingkup kerja, skala waktu, pengaturan pembiayaan, tanggung jawab serta kesepakatan bisnis

c. Menetapkan tanggung jawab untuk manajemen kontrak dan vendor serta memverifikasi kualifikasi dan kapabilitas vendor

Dalam mengelola kinerja, kapasitas dan sumberdaya TI dilaksanakan untuk mempertahankan dan menjaga ketersediaan layanan TI. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan pengelolaan terhadap kinerja dan kapasitas sumberdaya dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa biaya dan kinerja tersedia

b. Mereview kinerja saat ini untuk memastikan bahwa kapasitas sumberdaya yang ada telah tercukupi c. Merencanakan secara berkala

penggunaan sumberdaya untuk meminimalkan resiko

d. Menyediakan kebutuhan yang diperlukan dengan memperhatikan beban kerja normal dan siklus sumberdaya TI

e. Memantau secara kontinu kinerja dan kapasitan sumberdaya TI

a. Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh dipahami dan secara berkala diadakan forum internal b. Proses dan perangkat tersedia untuk

mengukur penggunaan sistem, perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk drive, jaringan server dan network gateway

c. Statistik kerja dalam proses bisnis dibuatkan laporannya sehingga pengguna akhir dapat memahami. Informasi yang uptodate selalu tersedia

memberikan statistik kinerja dan memberitahukan terjadinya insiden seperti kekurangan sumberdaya TI.

Untuk memastikan layanan yang berkelanjutan Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat memastikan ketersediaan dan kesinambungan layanan-layanan TI dalam memenuhi kebutuhan bisnis perusahaan melalui kegiatan analisa resiko-resiko yang terkait TI, keamanan sistem, dan ketersediaan sumber daya yang diperlukan,

(10)

INF-636

untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Mengembangkan suatu kerangka kerja untuk TI yang berkelanjutan

b. Memusatkan perhatian pada hal yang dianggap paling penting dalam TI yang berkelanjutan dalam rencana membangun ketahanan dan menetapkan prioritas dalam pemulihan situasi

c. Menguji rencana kesinambungan TI secara teratur

d. Memastikan bahwa semua pihak menerima sesi pelatihan yang teratur mengantisipasi insiden atau bencana e. Mengantisipasi pemulihan fungsi TI

apabila terjadi bencana

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Menyelenggarakan pelatihan untuk

memastikan kesinambungan layanan

b. Aktivitas perawatan

mempertimbangkan perubahan lingkungan bisnis. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden disampaikan ke seluruh pihak terkait.

Memastikan keamanan sistem untuk mengamankan dan menjaga informasi perusahaan dari pihak-pihak yang tidak bertanggung jawab untuk melakukan hal-hal yang tidak diharapkan seperti hilang atau rusak. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat memastikan bahwa sistem dalam keadaan aman dan terkendali untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Pengelolaan keamanan diserahkan kepada bagian TI sehingga tindakan pengelolaan sejalan dengan kebutuhan bisnis

b. Menyusun rencana keamanan TI dan mengimplementasikannyadalam kebijakan dan prosedur keamanan yang telah dikomunikasikan kepada pihak terkait termasuk pengguna

c. Mengidentifikasi semua pengguna dan aktivitas mereka dalam TI

d. Melakukan tindakan preventif, detektif dan langkah-langkah perbaikan ditempat untuk melindungi sistem

informasi dan teknologi dari virus, spyware dll

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Melengkapi kebijakan dan pelaksanaan

keamanan dengan spesifik, secara konsisten melaksanakan analisa dampak dan resiko.

b. Memanfaatkan analisis biaya/manfaat untuk mendukung penerapan keamanan

c. Melakukan sertifikasi staff yang mengelola keamanan.

d. Menetapkan dengan jelas pengelola serta penanggung jawab untuk keamanan TI

e. Pelaporan keamanan TI terhubung dengan tujuan bisnis

Melakukan identifikasi dan alokasi biaya. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat mengidentifikasi dan mengalokasikan anggaran TI untuk menjaga ketersediaan sumber daya TI yang dibutuhkan dan memastikan bahwa sumber daya tersebut digunakan secara optimal dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Mendefinisikan seluruh pembiayaan TI b. Mengalokasikan biaya sesuai dengan

model biaya yang didefinisikan

c. Meninjau secara teratur tolok ukur kelayakan biaya mempertahankan relevansi dan kesesuaian dengan berkembangnya bisnis dan TI

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Diadakan evaluasi dan pengawasan

biaya, proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik

b. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala

c. Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal

(11)

INF-637

Dalam Mengelola peristiwa dan bagian service. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan pengelolaan peristiwa /iniden dan penyediaan service desk dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Menetapkan fungsi service desk yang merupakan antarmuka pengguna dengan TI untuk melaporkan, mengkomunikasikan dan menganalisis semua panggilan, pelaporan insiden,permintaan layanan maupun tuntutan informasi. Harus ada pemantauan dan prosedur eskalasi yang memungkinkan klasifikasi dan prioritas penanganan suatu insiden

b. Memungkinkan service desk dapat mencatat akar penyebab suatu masalah dan memastikan bahwa tindakan yang diambil disepakati oleh user

c. Melaporkan seluruh pencatatan yang dilakukan servce desk untuk mengukur kinerja dan pelayanan

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Memiliki pemahaman menyeluruh

mengenai manfaat service desk diseluruh tingkatan organisasi dan fungsi tersebut dibentuk pada unit organisasi yang tepat

b. Mengotomasi perangkat dan teknik dengan basis pengetahuan permaslah dan solusi yang terpusat

c. Mengadakan pelatihan bagi personil service desk dan terus ditingkatkan melalui penggunaan perangkat lunak yang spesifik untuk pekerjaan tertentu.

Permasalahan dan insiden harus dapat dikelola dengan baik. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan pengelolaan permasalahan-permasalahan dan insiden terkait dengan penerapan dan pegelolaan TI di perusahaan untuk memastikan permasalahan tersebut telah ditangani dan ditindaklanjuti dengan baik untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Melaporkan dan mengklasifikasi masalah yang telah diidentifikasi sebagai bagian dari manajemen insiden b. Menyediakan fasilitas audit trail yang

memadai yang memungkinkan pelacakan, analisa dan penentuan akar masalah yang dilaporkan

c. Melakukan pengelolaan yang efektif terhadap masalah dan insiden untuk meminimalkan masalah

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Mendokumentasikan metode dan

prosedur

b. Pemanfaatan Penggunaan perangkat terkini dalam mengelola permasalahan dan insiden

c. Karena fungsi layanan informasi telah dipandang sebagai aset pencapaian tujuan TI maka pengetahuan dan keahlian harus terus disempurnakan d. Kemampuan respon terhadap insiden

diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dan dilaporkan serta dianalisa untuk peningkatan secara kontinu dan dilaporkan kepada pihak stakeholder.

Dalam mengelola data harus diperhatikan jaminan terhadap integritas dan validasi data. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan pengelolaan data (proses input, pemrosesan dan output) untuk menjamin integritas, keakuratan dan validitas data, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Mendefinisikan dan menerapkan prosedur untuk penyimpanan data dan arsip-arsip sehingga data dapat tetap diakses dan berhasil guna

b. Mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, data dan dokumentasi sesuai dengan kebutuhan bisnis dan rencana kesinambungan

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Disusun prosedur lengkap pada proses

pengelolaan data yang mengacu pada standar dan menerapkan internal best practise, diformalkan dan

(12)

INF-638

disosialisasikan secara luas serta dilakukan sharing knowledge

b. Indikator pencapaian tujuan dan kinerja dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategis TI. Diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data.

Dalam usaha mengelola keadaan fisik / fasilitas yang ada. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan pengelolaan dan penyediaan fasilitas yang baik, perlindungan atas seluruh peralatan dan SDM TI dari ancaman kerusakan / bencana untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Melakukan pemilihan desain tata letak serta memperhitungkan resiko yang terkait dengan bencana alam atau kerusakan dengan mempertimbangkan unsur kesehatan dan aturan keselamatan

b. Memasang perangkat khusus untuk memantau dan mengendalikan lingkungan

c. Mengelola fasilitas termasuk sumberdaya dan peralatan komunikasi 2. Sedangkan untuk meningkatkan tingkat

kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Mengendalikan dengan baik kebutuhan

untuk merawat lingkungan. Daya pemulihan sumberdaya digabungkan kedalam proses manajemen resiko organisasi

b. Memfasilitasi staff dan melatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan

Dalam mengelola operasi harus ada pengaturan terhadap fungsi dukungan TI. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat mengelola operasional, memastikan fungsi-fungsi dukungan TI seperti preventive maintenace, network service management dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Menetapkan dan menerapkan prosedur

standar untuk operasi TI dan memastikan staf operasi terbiasa

dengan semua tugas yang relevan bagi mereka

b. Melakukan pengaturan penjadwalan pekerjaan, proses dan tugas-tugas c. Mendefinisikan dan menerapkan

prosedur untuk memantau infrastruktur TI dan peristiwa terkait d. Menetapkan perlindungan fisik yang

sesuai

e. Mendefinisikan dan menerapkan prosedur untuk menjamin pemeliharaan infrastruktur.

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Melakukan koreksi terhadap

penyimpangan yang mungkin terjadi. Adanya kesepakatan layanan dan perawatan formal dengan vendor b. Mengawasi penggunaan sumberdaya

komputer

c. Pelatihan dijalankan dan diformalkan d. Terdapat penyesuaian penuh dengan

permasalahan dan manajemen didukung oleh analisa penyebab kegagalan dan eror.

Rekomendasi untuk mengatasi gap maturity level pada ME1

Agar pengawasan dan penilaian kinerja TI dapat dijalankan dengan baik. Oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan pengawasan serta penilaian terhadap proses-proses TI untuk memastikan pencapaian kinerja yang diharapkan dari setiap proses TI yang telah dilakukan , untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Memastikan bahwa manajemen umum menetapkan kerangka pemantauan dan pendekatan yang menetapkan cakupan , metodologi dan proses yang harus di ikuti untuk memantau kontribusi TI b. Menetapkan proses pengumpulan data

yang tepat dan akurat untuk melaporkan kemajuan terhadap sasaran.

c. Mengidentifikasi tindakan perbaikan berdasarkan kinerja pemantauan, penilaian dan pelaporan dengan langkah review,negosiasi, penugasan tanggung jawab untuk perbaikan dan pengelusuran hasil tindakan yang dilakukan

(13)

INF-639

a. Pendasaran hasil pengawasan telah

distandarisasi dan dinormalisasikan. Terdapat integrasi diseluruh proses TI b. Perangkat otomasi diintegrasikan dan

digunakan untuk mengumpulkan dan mengawasi informasi operasional dari aplikasi, sistem dan proses

c. Sebuah framework di definisikan untuk mengukur kinerja.

Dalam mengawasi dan menilai kerangka kontrol diperlukan rekomendasi sebagai berikut: 1. Pihak manajemen diharapkan dapat

melakukan pengawasan dan penilaian atas kerangka proses pengendalian untuk memastikan pencapaian tujuan dan kontrol untuk setiap proses TI, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Memonitor dan melaporkan efektivitas pengendalian internal TI

b. Merekam informasi dan memastikan bahwa hal tersebut mengarah pada analisis penyebab kesalahan dan tindakan perbaikannya

c. Mengevaluasi kelengkapan dan efektivitas manajemen pengendalian internal proses TI termasuk kebijakan dan kontrak

d. Diperlukannya peninjauan lebih lanjut yang dilakukan oleh pihak ketiga baik itu oleh audit internal, eksternal, konsultan maupun lembaga sertifikasi 2. Sedangkan untuk meningkatkan tingkat

kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Organisasi mengembangkan tingkatan

toleransi untuk pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan didefinisikan untuk seluruh fungsi layanan informasi. b. Fungsi kendali internal TI dibentuk

dengan tenaga profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang telah disahkan.

Dalam memastikan peraturan yang telah di terapkan dipatuhi dengan baik maka diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat memastikan pematuhan peraturan yang telah diterapkan, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Menetapkan dan menerapkan proses untuk memastikan identifikasi yang tepat antara hukum internasional, kontrak, kebijakan dan peraturan yang berkaitan dengan TI, penyediaan layanan informasi termasuk layanan pihak ketiga, organisasi TI , proses dan infrastruktur

b. Melaksanakan evaluasi secara efisien sesuai dengan kebijakan TI, standar dan prosedur, termasuk persyaratan hukum dan peraturan berdasarkan bisnis dan kebijakan pemerintah.

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Ada mekanisme untuk memantau di

tempat yang sesuai dengan persyaratan eksternal, menegakkan praktek internal dan melaksanakan tindakan korektif b. Standar praktek internal yang baik

dimanfaatkan untuk kebutuhan tertentu seperti berdiri peraturan dan kontrak layanan yang berkelanjutan

Dalam usaha menetapkan pengelolaan terhadap sumberdaya TI, oleh karena itu diperlukan rekomendasi sebagai berikut:

1. Pihak manajemen diharapkan dapat melakukan penetapan pengelolaan TI untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :

a. Bekerja sama dengan dewan untuk mendefinisikan dan membentuk suatu kerangka tata kelola TI termasuk kepemimpinan , proses,peran dan tanggung jawab, informasi dan struktur organisasi

b. Mengoptimalkan investasi, penggunaan dan alokasi aset TI, memastikan ketersediaan TI

c. Segala hal yang berhubungan dengan analisa resiko TI bersifat transparan dan diketahui oleh stakeholder

d. Laporan kinerja TI dilaporkan tepat waktu dan akurat

2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Pemahaman Mengenai Tata Kelola IT

telah dipahami dengan baik oleh seluruh level.

b. Tanggungjawab telah ditentukan dan di awasi sesuai dengan SLA.

(14)

INF-640

c. Seluruh Akuntabilitas jelas dan ada penghargaan sesuai dengan ukuran pencapaian dalam kinerja

Implikasi Penelitian

Berdasarkan hasil penelitian, dimana untuk domain DS dan ME tingkat kematangan tata kelola TI BPKP, secara umum masih berada pada level 3 untuk domain DS dan domain ME, meskipun ditemukan proses yang masih berada pada level dibawah 2.50 yaitu DS4, DS5 dan ME4 perlu mendapat perhatian lebih. Berdasarkan detail control objective pada literarur COBIT versi 4, dimana bisa dijadikan acuan untuk implikasi dari penelitian yang bisa diambil dari beberapa aspek yaitu : aspek manajerial (kalau sistem COBIT ini diterapkan, apa yang harus dilakukan oleh pihak manajemen BPKP) aspek kesisteman (apakah pihak manajemen harus membuat prosedur, bagaimana tindak lanjutnya, dan sebagainya) dan seraca rinci bisa dilihat pada tabel berikut :

Tabel.24 Implikasi Penelitian untuk domain DS

CO Rincian Contorl Objective (CO)

Aspek manajerial Aspek Sistem

DS1 Menetapkan dan mengelola mutu service

Menyediakan kerangka kerja yang selaras dengan kebutuhan bisnis

Adanya sistem pengelolaan tingkat layanan secara utuh DS2 Mengelola

service pihak ketiga

Menetapkan proses untuk memonitor ketersediaan layanan dan kepatuhan terhadap perjanjian

Adanya focus pada kebutuhan pengelolaan tingkat layanan sesuai dengan tujuan bisnis DS3 Mengelola kapasitas dan kinerja Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa alokasi biaya dan kinerja tersedia

Tersedianya Proses dan perangkat untuk mengukur penggunaan sistem DS4 Menjamin layanan berkelanjutan Mengembangkan suatu kerangka kerja TI yang berkelanjutan Adanya Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis DS5 Menjamin Keamanan sistem Menyusun rencana keamanan TI dan mengimplementasikannya dalam kebijakan dan prosedur keamanan Adanya sistem pelaporan keamanan TI terhubung dengan tujuan bisnis DS6 Mengidentifikasi dan Mengalokasikan biaya

Meninjau secara teratur tolak ukur kelayakan biaya mempertahankan relevansi dan kesesuaian dengan berkembangnya bisnis dan TI Diadakannya evaluasi dan pengawasan biaya, proses pengelolaan biaya ditingkatkan secara kontinu DS7 Mendidik dan

melatih user Mengatur secara teratur pelatihan dan memperbaharui materi

Terdapat suatu program pelatihan dan pendidikan yang terfokus kepada kebutuhan serta keluaran yang terukur DS8 mengelola

peristiwa dan bagian service

Menetapkan fungsi

service desk Pengadaan pelatihan bagi personel service desk

DS9 mengelola

konfigurasi Memiliki repositori sebuah yang menampung semua informasi mengenai item konfigurasi

Perangkat yang terah terotomasi

DS10 mengelola permasalahan-permasalahan

Menyediakan fasilitas

audit trail yang memadai Adanya pemanfaatan penggunaan perangkat terkini dalam mengelola permasalahan dan insiden

DS11 mengelola data Penerapan prosedur penyimpanan data dan pengarsipan

Dilakukannya knowledge sharing DS12 mengelola

keadaan fisik Memperhitungkan resiko yang terkait dengan bencana alam maupun kerusakan

Mengintegrasikan perangkat yang ada

DS13 mengelola

operasi Mengatur penjadawalan pekerjaan, proses dan tugas ke urutan yang lebih efisien

Disesuaikan antara permasalahan dan proses manajemen ketersediaan

Tabel.25 Implikasi Penelitian untuk domain ME

CO Rincian Contorl Objective (CO)

Aspek manajerial Aspek Sistem

ME1 Mengawasi dan menilai kinerja TI Mengidentifikasi tindakan perbaikan berdasarkan pemantauan kinerja Adanya sistem pelaporan manajemen menilai kinerja TI ME2 Mengawasi dan

menilai kerangka kontrol

Melakukan pengendalian

internal TI Adanya sistem yang terintegrasi dalam proses penilaian kerangka kontrol ME3 Memastikan

pematuhan peraturan

Memastikan bahwa antara hukum, kontrak, kebijakan telah sesuai dengan undang undang

Adanya sistem pengawasan yang memastikan peraturan dipatuhi secara benar ME4 Menetapkan

pengelolaan TI Membentuk kerangka tata kelola TI suatu Adanya pengelolaan TI yang sistem baik

KESIMPULAN

Berdasarkan hasil pembahasan yang telah disampaikan dalam bab sebelumnya, penulis dapat menarik kesimpulan sebagai berikut : 1. Hasil penelitian tingkat kematangan tata kelola

TI di BPKP Pusat saat ini berada pada level 3 untuk domain DS dan ME

2. Tingkat kematangan (maturity level) tata kelola TI yang dilakukan di BPKP pusat adalah :

Domain DS dan ME secara umum berada pada level 3 (defined process) dimana disimpulkan : a. Prosedur sudah standar dan terdokumentasi dan dikomunikasikan melalui pelatihan

b. Pelaksanaan penerapannya diserahkan pada individu sehingga penyimpangan tak mungkin akan diketahui

c. Prosedurnya belum sempurna, sekedar formalitas atas praktek yang ada. Meskipun demikian masih terdapat tingkat kematangan yang berada di bawah level 2.50 yaitu pada proses mendefinisikan layanan yang berkelanjutan (DS4), menjamin keamanan sistem (DS5) serta belum idealnya penetapan pengelolaan TI (ME4) yang perlu mendapat perhatian khusus dari pihak manajemen TI

3. Perbaikan tata kelola TI di BPKP Pusat ini, untuk domain DS dan ME adalah dengan meningkatkan tingkat kematangan sampai pada level 4 (managed and measurable) berdasarkan misi, visi, tujuan dan arah pengembangan Sistem Informasi pada BPKP Pusat ini, yaitu :

a. Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur

(15)

INF-641

b. Mengambil tindakan atas

ketidakefektifan proses yang terjadi. c. Proses yang masih belum mencapai level

yang diharapkan ditingkatkan terus menerus serta terdapat perangkat pembantu dan otomatisasi untuk pengawasan proses.

UCAPAN TERIMA KASIH

Ucapan terima kasih kepada objek yang sudah bersedia diwawancara mengenai kondisi BPKP.

REFERENSI

Adikrishna, La Ode Rizal. (2008). Analisis Tata Kelola Teknologi Informasi PT. Surveyor Indonesia Menggunakan Kerangka Kerja Cobit (Studi Kasus : Proses DS 13 - Mengelola Operasi). 20 Januari 2010. http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id=jbptitbpp-gdl-laoderizal-31307&q=surveyor.

Budiyono. (2007) .Analisis Tata Kelola Teknologi Informasi Menggunakan Framework Cobit Dalam Mendukung Layanan Teknologi Informasi Studi Kasus : PT PLN (Persero) Distribusi Jawa Barat Dan Banten .20

Januari 2010.

http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id=jbptitbpp-gdl-budiyononi-29000&q=tata%20kelola%20it.

BPKP. (2008). Arsitektur Pengembangan Sistem Informasi BPKP (BPKP’s Enterprise Architecture). Jakarta: BPKP.

BPKP. (2006). Kerangka Pengembangan Sistem Informasi BPKP ( BPKP’s Enterprise System). Jakarta: BPKP.

Company Profile of BPKP. Januari 2010. http://www.bpkp.go.id/?idunit=1&idpage= 1663.

Fitroh. (2009). Penilaian Tingkat Kematangan Tata Kelola TI Pada Sistem Informasi Manajemen Akademik (Sim@K) Berdasarkan Domain PO Dan AI Cobit Versi 4.0 Studi Kasus : Uin Syarif Hidayatullah. Jakarta.Budi: Luhur Ishak. Interview.Februari.2010.

ITGI. (2005). Control Objective Management Guidelines Maturity Models.Available Online:www.itgi.org.

Lenggana, U Tresna. (2008). Perancangan Model Tata Kelola Teknologi Informasi Pada PT.

Kereta Api Indonesia Berbasis Framework Cobit. 20 Januari 2010.

http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id= jbptitbpp-gdl-utresnalen-29054&q=tata%20kelola%20it .

Nurtjahjo, Fery. Interview. Februari. 2010.

Panji, Wolfgang. (2007). Perancangan Model Tata Kelola Teknologi Informasi Berbasis Cobit Pada Proses Pengelolaan Data Studi Kasus : PT PLN (Persero) Distribusi Jawa Timur . 20 Januari. 2010. http:// digilib.itb.ac.id /gdl.php?mod=browse&op=read&id=jbptit bpp-gdl-wolfgangbp-29060&q= tata %20kelola%20it

Rakhmat, Jalaludin. (2007). Metode Penelitian Komunikasi. Bandung: Remaja Rosda Karya.

Sugiyono. (2009). Metode Penelitian Bisnis. Bandung: Alfabeta

Surendro, Kridanto. (2009).Implementasi Tata Kelola Teknologi Informasi. Bandung. Informatika.

Wasilah. (2007). Perancangan IT Governance Untuk Peningkatan Kualitas Layanan Akademik Studi Kasus : Puskom Universitas Lampung .20 Januari 2010.

http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id=jbptitbpp-gdl-wasilahnim 29059&q=tata%20kelola%20it