INF-627
KAJIAN TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI
MENGGUNAKAN KERANGKA KERJA COBIT 4.0
Artika Surniandari
Program Studi Komputer Akuntasi AMIK BSI Jakarta
artika.ats@bsi.ac.id
ABSTRACT — In this research, an analysis and
recommendation was presented to the management of BPKP Center by using COBIT (Control Objective for Information and related Technology) skill in Delivery & Support and Monitoring and Evaluating domain. This review can solve the problem on pusinfowas, since divisions working in IT management and data processing can not fully carry out their tasks and functions due to limitations in some processes and this research is expected to become a reference in managing IT in both BPKP and other government agencies. begins with data collection and observation of the system that has been running quite well until now. The study continued on the method of selecting the samples in which the sample selected was a puposive sampling that understood IT and the use of IT, because the method of data collection conducted interviews and questionnaires distributed to five respondents included in the sample criteria. The data obtained from the interview process conditions are expected for the future of IT BPKP implementation and the drawings obtained from the questionnaire of the current state of IT management. From the results of interviews obtained at the maturity level of target 4 and the results obtained the results of questionnaire data collection where most of the maturity level of both domains are still below the target domain, especially DS4, DS5 and ME4 have a low level of maturity. That is below 2.50 between the current maturity level with the expectation of the future IT maturity level, from which this gap arises so that the recommendations made are expected to cover the gap. From the results of this study, the maturity level of the research results at the BPKP IT Management Center is currently at the third level domain for DS and ME, but there is still a level of maturity that is below the level currently in the process of defining 2.50 ongoing services. (DS4), ensuring the security system (DS5) and not the ideal IT management establishment (ME4), which requires special attention from the IT management. The improvement in the BPKP IT Governance Center of this domain to DS and ME is to increase the level of maturity to Level 4 (Managed and Measurable).
Keyword : Information Systems, Spare Parts Sales
INTISARI — Dalam penelitian ini disajikan sebuah analisis dan rekomendasi kepada manajemen TI BPKP Center dengan menggunakan kerangka COBIT (Control Objective for Information and related Technology) pada domain Delivery & Support and Monitoring and Evaluating. Kaji ulang ini dapat memecahkan masalah pada pusinfowas, karena divisi yang bekerja dalam manajemen TI dan pengolahan data tidak dapat sepenuhnya menjalankan tugas dan fungsinya karena keterbatasan dalam beberapa proses dan penelitian ini diharapkan dapat menjadi acuan dalam mengelola TI di kedua BPKP dan instansi pemerintah lainnya Penelitian ini diawali dengan pengumpulan data dan pengamatan terhadap sistem yang telah berjalan cukup baik sampai saat ini. Penelitian dilanjutkan pada metode pemilihan sampel dimana sampel yang dipilih adalah sampling puposive yang mengerti IT dan penggunaan TI, karena metode pengumpulan datanya melakukan wawancara dan kuesioner yang disebarkan kepada lima responden yang termasuk dalam kriteria sampel. Data yang diperoleh dari kondisi proses wawancara diharapkan untuk masa depan penyelenggaraan IT BPKP dan gambar yang diperoleh dari kuesioner kondisi saat ini manajemen TI. Dari hasil wawancara yang diperoleh pada tingkat kematangan target 4 dan hasilnya diperoleh hasil pengumpulan data kuesioner dimana sebagian besar tingkat kematangan kedua domain tersebut masih di bawah domain target terutama DS4, DS5 dan ME4 memiliki tingkat kematangan yang cukup rendah. Yaitu di bawah 2,50 antara tingkat kematangan saat ini dengan harapan kedepan tingkat kematangan TI, dari mana muncul kesenjangan ini sehingga rekomendasi yang dibuat diharapkan dapat mencakup kesenjangan tersebut. Dari hasil kajian ini, tingkat kematangan hasil penelitian di Pusat Pengelolaan TI BPKP saat ini berada pada domain tingkat ketiga untuk DS dan ME, namun masih ada tingkat kematangan yang berada di bawah tingkat yang sedang dalam proses mendefinisikan 2,50 layanan berkelanjutan.
INF-628
(DS4), memastikan sistem keamanan (DS5) dan tidak ideal pendirian manajemen TI (ME4), yang memerlukan perhatian khusus dari pihak manajemen TI. Perbaikan di IT Governance Center BPKP domain ini ke DS dan ME adalah untuk meningkatkan tingkat kematangan sampai pada level 4 (Managed and Measurable).
Kata kunci: Tata Kelola, Cobit 4.0 PENDAHULUAN
Penerapan Teknologi Informasi (TI) merupakan hal yang menjadi target perkembangan suatu instansi guna meningkatkan kinerja serta kualitas produk atau keluaran yang dihasilkan. Untuk menerapkan teknologi informasi tentunya diperlukan biaya yang cukup besar dan mungkin saja dalam penerapannya dapat terjadi resiko kegagalan yang cukup tinggi. Namun apabila penerapan TI telah terlaksana dengan baik juga dapat memberikan keuntungan dengan menyediakan peluang-peluang untuk meningkatkan produktifitas bisnis yang sedang berjalan. Penerapan TI juga sangat membantu kinerja instansi dalam melakukan perkembangan dan menghadapi permasalahan.
Permasalahan yang dihadapi berbeda pada masing-masing instansi dari mulai pengolahan data yang tidak mendapatkan hasil yang sesuai dengan harapan, sampai dengan pemanfaatan waktu yang tidak efisien, permasalahan tersebut mendorong pihak manajemen menerapkan teknologi pendukung yang diharapkan dapat menjadi solusi dari permasalahan, sehingga teknologi informasi menjadi satu hal yang sangat penting dan dibutuhkan dalam mendukung jalannya sistem.
Hal tersebut memicu meningkatnya ketergantungan perusahaan akan kebutuhan di bidang TI, sehingga mengharuskan perusahaan melakukan pengelolaan aset ditentukan oleh keselarasan tujuan penerapan TI dan tujuan perusahaan. Pada dasarnya pengelolaan TI berkaitan dengan dua permasalahan utama, yaitu peranan TI dalam memberikan nilai bagi perusahaan dan penanganan resiko-resiko dari penerapan TI. Peranan TI ditinjau dari keselarasan dengan tujuan bisnis, sedangkan penanganan resiko ditinjau dari peningkatan akuntabilitas perusahaan sebagai hasil dari penerapan TI.
Pengelolaan TI merupakan struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan dalam mencapai tujuannya melalui penambahan nilai dengan tetap memperhatikan keseimbangan antara resiko dan manfaat dalam menerapkan TI dan proses-proses
di dalamnya. Penggunaan teknologi dalam aspek sosial dan ekonomi telah menciptakan ketergantungan pada TI dalam menginisiasi, merekam, memindahkan dan mengelola seluruh aspek transaksi ekonomi serta informasi dan pengetahuan perusahaan, yang menjadikan pengelolaan TI memiliki peran strategis dalam perusahaan.
Tujuan dari pengelolaan TI adalah untuk memberikan arahan pemanfaatan TI agar dapat menjamin kinerja TI dapat memenuhi tujuan penyelarasan TI dengan tujuan perusahaan dan dapat merealisasikan keuntungan yang dijanjikan. Disamping itu TI juga harus membantu perusahaan dalam menciptakan peluang-peluang baru dan memaksimalkan keuntungan. Sumberdaya TI harus digunakan secara optimal dan resiko yang berkaitan dengan TI harus dikelola dengan baik.
BPKP (Badan Pengawas Keuangan Dan Pembangunan ) adalah lembaga pemerintahan non departemen yang berada di bawah dan bertanggungjawab langsung kepada Presiden dan Wakil Presiden. Tugas utama BPKP adalah membantu Presiden dan Wakil Presiden mengawasi pengelolaan dan pertanggungjawaban keuangan negara dan pembangunan, agar sesuai dengan ketentuan perundang-undangan yang berlaku, sekaligus memberikan masukan bagi pembuatan kebijakan terkait dengan itu.
Dalam melakukan pengelolaan TI BPKP membutuhkan sebuah model pengelolaan yang dapat dijadikan acuan, sesuai dengan strategi dan tujuan perusahaan dan dapat digunakan untuk mengatasi permasalahan-permasalahan yang terjadi di perusahaan. Control Objectives for Information and Related Technology (COBIT) merupakan sebuah model standar tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI.
Berdasarkan hal tersebut maka dalam penelitian ini akan dirancang sebuah model pengelolaan TI dengan menggunakan kerangka kerja COBIT. Kerangka kerja COBIT mengidentifikasi proses-proses TI dalam 4 domain utama, yaitu domain Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring and Evaluating (ME). Domain PO mencakup strategi dan taktik, serta perhatian pada identifikasi cara TI dalam memberikan kontribusi terbaiknya pada pencapaian objektif bisnis. Domain AI mencakup realisasi, implementasi dan integrasi strategi TI kedalam proses bisnis. Domain DS berhubungan dengan penyampaian dan dukungan layanan-layanan TI. Domain ME mencakup pengawasan pada seluruh
INF-629
kendali-kendali yang diterapkan pada setiapproses TI.
BAHAN DAN METODE
Teknologi informasi (TI) adalah hal yang telah menjadi prioritas bagi perkembangan suatu perusahaan pada masa sekarang ini. Teknologi informasi menjembatani komunikasi antar pihak terkait dalam proses bisnis yang dijalankan perusahaan. Agar teknologi informasi dapat digunakan dan dimanfaatkan seoptimal mungkin diperlukan perhatian khusus dalam tata kelolanya.
Definisi Tata Kelola IT
Definisi tata kelola Teknologi informasi menurut beberapa ahli dalam Surendro (2002. p. 3) diantaranya sebagai berikut :
a. Kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dan mengarahkan kepada kepentingan pencapaian daya saing korporasi (The Ministry of International Trade&Industry. 1999)
b. Tata kelola teknologi informasi adalah pertanggungjawaban dewan direksi dan manajemen eksekutif. Hal ini , merupakan bagian yang terintergrasi dengan tata kelola perusahaan dan berisi kepemimpinan dan struktur serta proses organisasi yang menjamin bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis (IT Governance Institute. 2001).
c. Tata kelola teknologi informasi adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen teknologi informasi untuk mengendalikan formulasi dan implementasi strategi informasi dalam rancangan mendukung bisnisnya (Grembergen. 2002).
Dalam hal ini dapat disimpulkan bahwa tata kelola TI adalah serangkaian kegiatan yang mengupayakan adanya kesinambungan antara pemanfaatan teknologi informasi dengan kebijakan yang diambil manajemen dalam memastikan teknologi informasi telah diterima dan dilaksanakan dengan baik selaras dengan tujuan bisnis perusahaan.
Fokus Bidang Tata Kelola TI
Menurut Surendro (2009. p. 143) Tata kelola teknologi informasi berjalan secara berkesinambungan seperti halnya sebuah siklus hidup, tata kelola TI dapat juga dianggap sebagai sebuah proses mengumpulkan sumber daya yang dibutuhkan untuk melaksanakan kewajiban, laporan dari proses TI mencakup kewajiban dari proses yang telah dilakukan, kinerja, risiko yang
diterima dan ditangani, beserta sumber daya yang telah digunakannya.
Lima area yang menjadi fokus tata kelola TI dikendalikan oleh nilai stakeholder diantaranya penyampaian layanan dan manajemen resiko, fokus yang lain berperan sebagai penentu yaitu penyelarasan strategi, pengelolaan sumber daya dan pengukuran kinerja.
Tahap Penerapan Tata Kelola TI
Menggunakan COBIT
Terdapat 4 fase penerapan tata kelola TI menggunakan COBIT yaitu fase Identify Needs (Mengidentifikasi kebutuhan), Envision Solution (meramalkan solusi), Plan Solution ( Merencanakan Solusi) dan Implement Solution (Menerapkan solusi).
Sumber : Surendro (2009. p. 198)
Framework COBIT
ITGI (2005) menjelaskan bahwa semakin manajemen puncak menyadari bahwa informasi dapat mempengaruhi keberhasilan perusahaan, manajemen diharapkan dapat meningkatkan pemahaman tentang pengoperasian teknologi informasi (TI) untuk keunggulan kompetitif. Secara khusus, manajemen puncak perlu tahu apakah informasi ini telah dikelola oleh perusahaan:
1. Kemungkinan untuk mencapai tujuannya 2. Cukup mudah dipelajari dan beradaptasi 3. Dapat mengelola risiko yang dihadapinya
dengan bijaksana
4. Mengenali adanya peluang
Menurut Surendro(2009. p. 242) COBIT mengintegrasikan praktek-praktek yang baik terhadap TI dan menyediakan framework untuk tata kelola TI, yang dapat membantu pemahaman dan pengelolaan resioko serta memperoleh keuntungan yang berkaitan dengan TI. Dengan demikian implementasi COBIT sebagai framework tata kelola TI akan dapat memberikan keuntungan :
a. Penyelarasan yang lebih baik, berdasarkan pada fokus binsis.
b. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan TI. c. Tanggung jawab dan kepemilikan yang jelas
didasarkan pada orientasi proses
d. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan
e. Berbagi pemahaman diantara pihak yang berkepentingan, didasarkan pada sebuah bahasa umum.
f. Pemenuhan kebutuhan Committee of Sponsorsing Organisations of the Treadway Commision (COSO) untuk lingkungan kendali TI.
INF-630
Fokus Pada Bisnis
Orientasi pada bisnis menunjukan bahwa COBIT dirancang untuk dapat digunakan oleh banyak pihak. Hal ini tidak sebatas hanya bagi kalangan TI, user maupun auditor, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik proses bisnis.
Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Informasi itu sendiri perlu memenuhi kriteria kontrol tertentu, guna mencapai obyektif binsis. Kriteria untuk informasi sebagaimana dikemukakan COBIT adalah:
a. Efektifitas (Effectiveness), berhubungan
dengan informasi yang relevan dan berhubungan pada proses bisnis seperti halnya disampaikan dengan suatu cara yang tepat waktu, benar, konsisten dan dapat digunakan.
b. Efisiensi (Efficiency), berhubungan dengan
ketentuan informasi melalui penggunaan sumberdaya secara optimal.
c. Kerahasiaan (Confidentiality),
berhubungan dengan kerahasiaan perusahaan dalam menjaga keamanan informasi dari ancaman dan gangguan pihak-pihak yang tidak bertanggungjawab. d. Integritas (Integrity), berhubungan
dengan ketepatan dan kelengkapan informasi seperti halnya keabsahannya menurut nilai dan harapan bisnis.
e. Ketersediaan (Availability), berhubungan
dengan ketersediaan informasi pada saat diperlukan oleh proses bisnis saat ini dan mendatang. Ini juga berhubungan dengan pengamanan sumberdaya yang perlu dan kemampuan yang berkaitan.
f. Kepatuhan (Compliance), berhubungan
dengan kepatuhan hukum, regulasi dan kesepakatan kontrak dimana proses binsis adalah pokok yaitu kriteria bisnis dikenakan secara eksternal, seperti halnya kebijakan internal.
g. Kehandalan (Reliability), berhubungan
dengan ketentuan informasi yang tepat bagi manajemen untuk mengoperasikan entitas dan menjalankan fiduciary-nya (kepercayaan) dan tanggung jawab tata kelola TI
Orientasi Pada Proses
Antara sasaran bisnis dan sasaran TI (business foal and IT goal) dan kriteria informasi terdapat hubungan. Hubungan ini menunjukan bahwa pada sasaran bisnis yang diberikan, yang dikelompokkan kedalam empat perspektif balanced scorcard, berhubungan dengan beberapa sasaran TI yang sesuai, dan kriteria informasi
yang berkaitan dengan sasaran bisnis tersebut. Hubungan yang lain adalah antara lain TI, proses-proses TI dan kriteria informasi.
a. Aplikasi adalah sistem user yang diotomasikan dan prosedur manual yang memproses informasi.
b. Informasi adalah data dalam semua bentuknya, dimasukkan, diproses dan dikeluarkan oleh sistem informasi, dalam bentuk apapun digunakan oleh bisnis. c. Infrastruktur adalah teknologi dan fasilitas
(hardware, operating system, database management system, jaringan multimedia, dan lain-lain dan lingkungan penempatan dan pendukungnya) yang memungkinkan pemrosesan aplikasi.
d. Orang adalah personal yang diperlukan untuk merencanakan, mengorganisir,
mendapatkan, menerapkan,
menyampaikan, mendukung, memonitor dan mengevaluasi layanan dan sistem informasi. Mereka bisa saja internal, outsource, atau dikontrak ketika diperlukan.
Aktivitas TI, dalam COBIT didefinisikan kedalam model proses yang generik dan dikelompokkan dalam 4 (empat) domain : Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring and Evaluate (ME) dengan penjelasan sebagai berikut :
1. Perencanaan dan organisasi (Planning
dan organisation / PO)
Domain ini mencakup masalah
mengidentifikasikan cara terbaik TI untuk memberikan konstribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Dititikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. High-level control objectives yang terdapat dalam domain ini adalah sebagai berikut :
PO1 - mendefinisikan perencanaan strategi TI PO2 - mendefinisikan arsitektur informasi PO3 - menentukan arah teknologi
PO4 - mendefinisikan hubungan, organisasi, proses-proses TI
PO5 - mengelola investasi TI
PO6 - menyampaikan arah dan maksud manajemen
PO7 - mengelola sumber daya manusia TI PO8 - mengelola mutu
PO9 - mengelola resiko dan menaksir TI PO10 - mengelola proyek-proyek
2. Akuisisi dan implementasi (Acquisition
and Implementation/AI)
Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah
INF-631
ditetapkan harus disertai dengan solusi-solusi TIyang sesuai, dan solusi tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini terdiri 7 control objectives yaitu :
AI1 - mengenali pemecahan secara otomatis AI2 - memperoleh dan memelihara aplikasi software
AI3 - memperoleh dan memelihara infrastruktur teknologi
AI4 - memungkinkan operasi dan penggunaan
AI5 - memperoleh sumber daya TI AI6 - mengelola perubahan-perubahan AI7 - memasang dan mengakui pemecahan dan perubahan
3. Penyampaian dan dukungan (Delivery
and Support/DS)
Domain ini menitikberatkan pada teknis-teknis yang mendukung terhadap proses pelayanan TI. DS1 - menetapkan dan mengelola mutu service
DS2 - mengelola service pihak ketiga DS3 - mengelola kapasitas dan kinerja DS4 - menjamin service terus menerus DS5 - menjamin keamanan sistem
DS6 - mengidentifikasii dan mengalokasikan biaya
DS7 - mendidik dan melatih user
DS8 - mengelola peristiwa dan bagian service DS9 - mengelola konfigurasi
DS10 - mengelola permasalahan-permasalahan DS11 - mengelola data
DS12 - mengelola keadaan fisik DS13 - mengelola operasi
4. Pengawasan dan evaluasi (Monitoring
and Evaluate/ME)
Domain ini dikonsentrasikan pada monitoring dan evaluasi penerapan TI.
ME1 - mengawasi dan menilai kinerja TI ME2 - mengawasi dan menilai kerangka kontrol
ME3 - memastikan pematuhan peraturan ME4 - menetapkan pengelolaan TI
Model Kematangan
Menurut Surendro (2009. p. 247) Maturity model untuk pengelolaan dan kontrol pada proses TI didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri, mulai dari level non-existent (0) hingga optimised (5). Pendekatan ini berasal dari model maturity Software Engineering Institute yang mendefinisikan untuk kapabilitas pengembangan software. Maturity model dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Tingkat maturity dirancang sebagai profile proses TI, sehingga organisasi akan dapat mengenali
sebagai deskripsi kemungkinan keadaan sekarang dan mendatang. Penggunaan Maturity model yang dikembangkan untuk setiap 34 proses TI dari COBIT, memungkinkan manajemen dapat mengidentifikasi:
a. Performa sesungguhnya perusahaan – dimana kondisi perusahaan sekarang. b. Kondisi sekarang dari
industri-perbandingan
c. Target peningkatan perusahaan – dimana kondisi yang diinginkan perusahaan dalam melakukan pengukuran maturity untuk proses, terlebih dulu perlu kejelasan tentang tujuan pengukuran itu sendiri. Pemahaman secara jelas, apa yang diukur dan apa yang akan dilakukan pada saat melakukan pengukuran, diperlukan. Hal ini karena pengukuran maturity bukan merupakan tujuan tetapi sebagai pendukung sebagai contoh:
a. meningkatkan kepedulian b. identifikasi kelemahan
c. identifikasi prioritas peningkatan.
Beberapa cara yang umum dilakukan dalam melaksanakan penilaian maturity diantaranya adalah:
a. pendekatan multidisiplin kelompok orang yang mendiskusikan dan menghasilkan kesepakatan level maturity kondisi sekarang
b. dekomposisi deskripsi maturity menjadi beberapa statement sehingga manajemen dapat memberikan tingkat persetujuannya. c. penggunaan atribut matriks sebagaimana
didokumentasikan dalam Cobit’s Management Guidelines dan memberikan nilai masing-masing atribut dari setiap proses.
Mengingat perlunya kesesuaian antara pemilihan metoda untuk penilaian maturity dengan tujuan yang ingin dicapai sebagaimana dikemukakan diatas, serta upaya yang akan dilakukan adalah untuk peningkatan proses, maka metoda yang digunakan perlu disesuaikan dengan tujuan ini. Dengan pertimbangan ini maka metoda yang akan digunakan adalah dengan menilai setiap atribut dan maturity proses. Berdasarkan penilaian masing-masing atribut baik yang mencerminkan kondisi saat ini maupun yang diharapkan, akan didapatkan informasi mengenai kondisinya untuk setiap atribut.
Cara penyajian secara bersama-sama kondisi saat ini dan kondisi yang diharapkan, akan memudahkan untuk melihat gambaran kelemahan atau kekurangan setiap atribut yang membentuk tingkat maturity tersebut.
Model Framework COBIT
Kerangka kerja COBIT, mengikat kebutuhan bisnis untuk informasi dan tata kelola, pada
INF-632
tujuan fungsi layanan teknologi informasi. Model proses COBIT memungkinkan aktivitas teknologi informasi dan sumber daya yang mendukungnya dikelola dan di kontrol dengan tepat berdasarkan tujuan kendali COBIT, Keseluruhan framework COBIT dapat dilihat pada gambar di bawah ini, COBIT’s proses model dari empat domain mengandung 34 proses generik, yang mengelola IT resources untuk memberikan informasi pada bisnis sesuai dengan kebutuhan bisnis dan tata kelola
HASIL DAN PEMBAHASAN
Data Responden
Responden yang dilibatkan dalam penelitian ini berjumlah 5 orang. Pemilihan responden ditentukan dengan menggunakan
metode purposive sampling. Sampel yang dipilih yaitu sampel yang memahami sistem yang diterapkan di BPKP ini, yaitu bagian pengelola dan pengembang sistem informasi serta layanan pengguna. Adapun perincian data responden dapat dilihat pada tabel berikut ini:
Tabel.1 Daftar Responden Kuesioner
No Responden Jumlah
1 Kepala Subbidang Pengembangan
Teknologi Informasi 1
2 Kepala Subbidang Layanan
Pengguna 1
3 Staff Bagian Pusat Informasi dan
Pengawasan 2
4 Staff Bagian Evaluasi
Perencanaan 1
Total 5
Analisa hasil tingkat kematangan/maturity level domain DS dan ME
Analisa dilakukan untuk mengetahui tingkat kematangan tata kelola TI di BPKP Pusat terhadap control objective. Control objective yang akan dilakukan penilaian adalah control objective yang berada pada domain DS (Delivery and Support) dan ME (Monitoring and Evaluating).
Berikut hasil kuesioner untuk domain DS yang dapat diperlihatkan dalam tabel sebagai berikut:
Tabel.2 Rekapitulasi hasil kuesioner cobit maturity model pada domain DS
Control objective Jml
Pertanyaan Index Maturity level DS1-Mendefinisikan dan
mengelola tingkat layanan 20 3.09 3
DS2-Mengelola layanan pihak ketiga
22 2.86 3
DS3-Mengelola kinerja dan
kapasitas 16 3.27 3 DS4-Memastikan layanan yang berkelanjutan 15 2.11 2 DS5-Memastikan keamanan sistem 17 1.52 2 DS6-Melakukan identifikasi
dan alokasi biaya 15 3.04 3
DS7-Mendidik dan melatih
pengguna 14 3.73 4
DS8-Mendampingi dan
memberikan saran kepada pengguna
14 3.33 3
DS9-Mengelola konfigurasi 17 3.54 4
DS10-Mengelola
permasalahan dan insiden 17 3.08 3
DS11-Mengelola Data 15 2.60 3
DS12-Mengelola Fasilitas 16 2.96 3
DS13-Mengelola Operasi 16 2.78 3
Total Rata-rata
214 2.92 3
Sedangkan hasil kuesioner untuk domain ME dapat kita lihat pada tabel berikut:
Tabel.3 Rekapitulasi hasil kuesioner cobit maturity model pada domain ME
Control objective Jml
Pertanyaan Index Maturity level
ME1 - mengawasi
dan menilai kinerja TI 18 3.16 3
ME2 - mengawasi
dan menilai kerangka kontrol 16 3.19 3 ME3 - memastikan pematuhan peraturan 14 3.01 3 ME4 - menetapkan pengelolaan TI 13 1.82 2 Total Rata-rata 61 2.8 2,75
Untuk mengetahui tingkat kematangan tata kelola TI saat ini digunakan kuesioner cobit maturity model (lihat lampiran ). Kuesioner dibuat berdasarkan kriteria kematangan yang ditetapkan pada COBIT 4.0 untuk setiap proses yang terdapat dalam domain DS dan ME. Kuesioner menggunakan
skala guttman dengan bobot untuk setiap pertanyaan ditetapkan 0 dan 1. Pertanyaan dengan jawaban Ya (Y) akan dikonversikan pada nilai 1, sebaliknya untuk jawaban Tidak (T) akan dikonversi pada nilai 0.
Penilaian tingkat kematangan setiap control objective atau proses TI pada domain DS dan ME mengacu pada model maturity level COBIT versi 4 Dengan kriteria index penilaian sebagai berikut :
Tabel.4 Kriteria index nilai pada maturity level COBIT versi 4
0 – 0.50 Non-Existent 0.51 – 1.50 Initial/Ad Hoc
1.51 – 2.50 Repeatable But Invinitive 2.51 – 3.50 Defined Process
INF-633
4.51 – 5.00 OptimesedDari pengukuran tingkat kematangan tata kelola TI ini selain akan diketahui penilaian tentang kondisi saat ini juga dapat diketahui kondisi tata kelola TI yang diharapkan. Selain perhitungan maturity level juga diadakan wawancara dengan Kepala sub bidang pengembangan teknologi informasi sebagai pihak yang dianggap paling memahami Sistem Informasi yang sedang berjalan. Adapun temuan yang bisa kita analisis dari hasil kuesioner dan wawancara dengan pihak pengelola dan pengembang sistem informasi pada instansi BPKP secara umum dapat kita lihat dalam tabel-tabel sebagai berikut :
Tabel.5 Tabel Temuan Kuesioner
control objective Index Maturity level:
DS1-Mendefinisikan dan
mengelola tingkat layanan
3.09 3 - Defined
Process DS2-Mengelola layanan pihak
ketiga 2.86 3 Define Process
DS3-Mengelola kinerja dan
kapasitas 3.27 3 Define Process
DS4-Memastikan layanan yang
berkelanjutan 2.11 2 Repeatable But Invinitive DS5-Memastikan keamanan
sistem 1.52 2 Repeatable But Invinitive
DS6-Melakukan identifikasi dan
alokasi biaya 3.04 3-Defined Process
DS7-Mendidik dan melatih
pengguna 3.73 4 – Manage and Measurable
DS8-Mendampingi dan
memberikan saran kepada pengguna
3.33 3 – Defined
Process
DS9-Mengelola konfigurasi 3.54 4–Managed and
measurable
DS10 - Mengelola
Permasalahan 3.08 3-defined process
DS11-Mengelola Data 2.60 3 - defined
process
DS12-Mengelola Fasilitas 2.96 3 – defined
process
DS13-Mengelola Operasi 2.78 3 – defined
process
ME1 - mengawasi dan
menilai kinerja TI 3.16 3 Process – Defined
ME2 - mengawasi dan
menilai kerangka kontrol 3.19 3 process – defined
ME3 - memastikan
pematuhan peraturan 3.01 3 process – defined
ME4 - menetapkan
pengelolaan TI 1.82 2 - Repeatable But Invinitive
Menentukan Target Kematangan (Maturity Level) untuk masing-masing Control objective pada Domain DS dan ME
Target kematangan proses TI adalah kondisi ideal tingkat kematangan proses yang diharapkan (to-be), yang akan menjadi acuan dalam model tata kelola TI yang akan dikembangkan. Target kematangan proses TI
dapat ditentukan dengan melihat lingkungan internal bisnis BPKP dan tingginya ekspektasi jajaran manajemen BPKP Pusat terhadap proses TI COBIT yang diterapkan. Berdasarkan arah pengembangan TI BPKP Pusat secara umum dapat ditemukan beberapa hal penting yang dapat diambil sebagai dasar pertimbangan untuk menentukan target kematangan proses yang diharapkan antara lain :
1. Menjadikan BPKP Pusat sebagai institusi pemerintah Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas.
2. BPKP Pusat Menyelenggarakan pengawasan intern terhadap akuntabilitas keuangan negara yang mendukung tata kelola kepemerintahan yang baik dan bebas KKN. 3. Membina penyelenggaraan Sistem
Pengendalian Intern Pemerintah.
4. Mengembangkan kapasitas pengawasan intern pemerintah yang profesional dan kompeten.
5. Menyelenggarakan sistem dukungan pengambilan keputusan yang andal bagi presiden/pemerintah.
Dengan mempertimbangkan beberapa faktor diatas, untuk domain DS dan ME COBIT Versi 4, maka dapat diambil kesimpulan bahwa tingkat kematangan yang akan menjadi acuan dalam model tata kelola TI yang akan dikembangkan adalah pada skala 4 yaitu Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur, serta mengambil tindakan atas ketidakefektifan proses yang terjadi. Proses meningkat secara konstan dan memberikan praktek yang baik. Otomasi dan tool digunakan dengan cara terbatas dan terpecah-pecah.. (Managed and Measurable)
Analisis Gap Kematangan Control objective Domain DS dan ME
Dengan melihat kondisi tingkat kematangan control objective domain DS dan ME yang berjalan pada BPKP Pusat saat ini terhadap kondisi ideal tingkat kematangan control objective yang diinginkan, maka akan memunculkan suatu penyesuaian dengan kondisi normatif berdasarkan COBIT versi 4. Penyesuaian dilakukan untuk menutup gap yang diciptakan dari tingkat kematangan proses saat ini (current maturity level) dengan kondisi ideal tingkat kematangan proses yang diinginkan (target maturity level), sebagai acuan dari rekomendasi yang penulis ambil adalah dengan melihat Detail Control objective. Dari Tabel.2 dan Tabel.3 di atas menunjukan adanya gap pada 15 control objective domain DS dan ME, yang berupa 11 gap dalam
INF-634
domain DS dan 4 gap dalam domain ME. Berikut adalah analisisnya :
Tabel.6. Analisis gap Tingkat Kematangan cobtrol objective pada domain DS
Control objective Current
Maturity
level
Target
Maturity
Level DS1-menetapkan dan mengelola
mutu service
3.09 4
DS2-mengelola service pihak ketiga 2.86 4
DS3-mengelola kapasitas dan kinerja 3.27 4
DS4-menjamin service terus menerus 2.11 4
DS5-menjamin keamanan sistem 1.52 4
DS6-mengenali dan memberikan
biaya 3.04 4
DS7-mendidik dan melatih user 3.73 4
DS8-mengelola peristiwa dan bagian
service 3.33 4
DS9-mengelola konfigurasi 3.54 4
DS10-mengelola
permasalahan-permasalahan 3.08 4
DS11-mengelola data 2.60 4
DS12-mengelola keadaan fisik 2.96 4
DS13-mengelola operasi 2.78 4
Rata-rata Maturity Level domain DS 2.92 4
Berikut ini Tabel Analisa gap tingkat kematangan pada Domain ME:
Tabel.7 Analisis gap Tingkat Kematangan cobtrol objective pada domain ME
Control objective Current
Maturity
level
Target
Maturity
Level ME1-mengawasi dan menilai
kinerja TI 3.16 4
ME2-mengawasi dan menilai
kerangka kontrol 3.19 4
ME3-memastikan pematuhan
peraturan 3.01 4
ME4-menetapkan pengelolaan TI 1.82 4
Rata-rata maturity level untuk
domain ME 2.8 4
BPKP Pusat harus mampu mentupi gap maturity level ini agar sumber daya TI yang dimilikinya mampu mendukung secara maksimal seluruh proses bisnis BPKP Pusat dalam mencapai tujuan yang telah ditetapkan dalam visi dan misinya. Dari hasil kuesioner tingkat kematangan (matutity level) control objective COBIT domain DS dan ME yang diperlihatkan dalam grafik diatas, menunjukkan adanya gap yang cukup besar pada proses DS4, DS5 dan ME4 dimana ketiga domain tersebut masih dibawah level 2.50 maka dapat dideskripsikan suatu kondisi pada proses lainnya masih bervariasi dan sebagian besar telah mencapai level 3 dan 4. Hal ini berarti sebagian besar di BPKP Pusat masih terdapat kejadian yang diketahui, dan dipandang sebagai persoalan yang perlu ditangani oleh pihak manajemen, meskipun telah ada proses standar namun belum terealisasikan dengan sempurna meskipun ada juga yang sudah mendekati target pemenuhan tingkat kematangan yang diharapkan. Belum ada
komunikasi atau pelatihan formal atas prosedur standar dan tanggung jawab diserahkan pada individu sehingga terdapat kepercayaan yang tinggi pada kemampuan individu, sehingga kesalahan masih sangat mungkin terjadi. Terutama pada proses menjamin layanan berkelanjutan dan keamanan sistem serta dalam penetapan pengelolaan TI
Kondisi ideal yang diharapkan adalah pada tingkat kematangan 4 (Manage and Measurable), yaitu suatu kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif terhadap kinerja proses teknologi informasi, terdapat fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan dan dapat mengambil tindakan jika terdapat proses yang tidak efektif, proses diperbaiki terus menerus serta terdapat perangkat pembantu dan otomatisasi untuk pengawasan proses. Dapat disimpulkan temuan COBIT dari 15 gap yang harus disesuaikan tersebut adalah DS1, DS2, DS3, DS4, DS5, DS6, DS8, DS10, DS11, DS12, DS13, ME1,ME2, ME3, dan ME4
Mengatasi gap Kematangan Control objective Pada Domain DS dan ME
adapun kegiatan atau langkah-langkah penyesuaian yang bisa dilakukan sebagai berikut :
Rekomendasi untuk mengatasi gap maturity level pada DS1
Mutu layanan TI dan dukungan organisasi harus dikelola dan didefinisikan secara jelas (uraian tanggung jawab, waktu respon dan pengawasan serta pelaporan ) Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen harus dapat mendefinisikan dan mengelola mutu layanan dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Menyediakan suatu kerangka kerja yang selaras dengan kebutuhan bisnis b. Mendefinisikan layanan TI didasarkan
pada kebutuhan bisnis
c. Menentukan dan menyetujui perjanjian service level untuk seluruh layanan TI berdasarkan kebutuhan pelanggan dan kemampuan TI
d. Menetapkan pemantauan service level laporan disusun dengan sistematis sehingga dapat dimonitor dan ditindak lanjuti
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya:
INF-635
a. Mendefinisikan dan mengelola servicelevel secara utuh dan secara berkala diadakan forum internal untuk membahas serta mencari solusi bersama permasalahan yang timbul b. Tingkat layanan lebih didefinisikan
dalam tahap pendefinisian kebutuhan sistem
c. Mengotomasi pelaporan dan pengawasan tingkat layanan
d. Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan didefinisikan dengan jelas
Rekomendasi untuk mengatasi gap maturity level pada DS2
Pengelolaan terhadap tingkat layanan TI yang dilakukan/disediakan oleh pihak eksternal harus mencakup kesepakatan layanan, kontrak, pengawasan dan aspek legalitas. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen harus dapat mengelola layanan pihak ketiga dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Mengidentifikasikan semua pihak penyedia layanan dan mengkategorikan sesuai dengan tipe dan fungsi
b. Melegalisasi perjanjian tingkat layanan didasarkan pada kepercayaan dan transparansi
c. Mengidentifikasi dan mengurangi resiko yang berhubungan dengan penyedia layanan , memastikan kontrak sesuai dengan standar bisnis dan persyaratan hukum
d. Menetapkan proses untuk memonitor ketersediaan layanan dan kepatuhan terhadap perjanjian
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya:
a. Memfokuskan kebutuhan pengelolaan tingkat layanan sesuai dengan tujuan bisnis
b. Dibuatkannya standarisasi pendefinisian lingkup kerja, skala waktu, pengaturan pembiayaan, tanggung jawab serta kesepakatan bisnis
c. Menetapkan tanggung jawab untuk manajemen kontrak dan vendor serta memverifikasi kualifikasi dan kapabilitas vendor
Rekomendasi untuk mengatasi gap maturity level pada DS3
Dalam mengelola kinerja, kapasitas dan sumberdaya TI dilaksanakan untuk mempertahankan dan menjaga ketersediaan layanan TI. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan pengelolaan terhadap kinerja dan kapasitas sumberdaya dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa biaya dan kinerja tersedia
b. Mereview kinerja saat ini untuk memastikan bahwa kapasitas sumberdaya yang ada telah tercukupi c. Merencanakan secara berkala
penggunaan sumberdaya untuk meminimalkan resiko
d. Menyediakan kebutuhan yang diperlukan dengan memperhatikan beban kerja normal dan siklus sumberdaya TI
e. Memantau secara kontinu kinerja dan kapasitan sumberdaya TI
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya:
a. Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh dipahami dan secara berkala diadakan forum internal b. Proses dan perangkat tersedia untuk
mengukur penggunaan sistem, perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk drive, jaringan server dan network gateway
c. Statistik kerja dalam proses bisnis dibuatkan laporannya sehingga pengguna akhir dapat memahami. Informasi yang uptodate selalu tersedia
memberikan statistik kinerja dan memberitahukan terjadinya insiden seperti kekurangan sumberdaya TI.
Rekomendasi untuk mengatasi gap maturity level pada DS4
Untuk memastikan layanan yang berkelanjutan Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat memastikan ketersediaan dan kesinambungan layanan-layanan TI dalam memenuhi kebutuhan bisnis perusahaan melalui kegiatan analisa resiko-resiko yang terkait TI, keamanan sistem, dan ketersediaan sumber daya yang diperlukan,
INF-636
untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Mengembangkan suatu kerangka kerja untuk TI yang berkelanjutan
b. Memusatkan perhatian pada hal yang dianggap paling penting dalam TI yang berkelanjutan dalam rencana membangun ketahanan dan menetapkan prioritas dalam pemulihan situasi
c. Menguji rencana kesinambungan TI secara teratur
d. Memastikan bahwa semua pihak menerima sesi pelatihan yang teratur mengantisipasi insiden atau bencana e. Mengantisipasi pemulihan fungsi TI
apabila terjadi bencana
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Menyelenggarakan pelatihan untuk
memastikan kesinambungan layanan
b. Aktivitas perawatan
mempertimbangkan perubahan lingkungan bisnis. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden disampaikan ke seluruh pihak terkait.
Rekomendasi untuk mengatasi gap maturity level pada DS5
Memastikan keamanan sistem untuk mengamankan dan menjaga informasi perusahaan dari pihak-pihak yang tidak bertanggung jawab untuk melakukan hal-hal yang tidak diharapkan seperti hilang atau rusak. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat memastikan bahwa sistem dalam keadaan aman dan terkendali untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Pengelolaan keamanan diserahkan kepada bagian TI sehingga tindakan pengelolaan sejalan dengan kebutuhan bisnis
b. Menyusun rencana keamanan TI dan mengimplementasikannyadalam kebijakan dan prosedur keamanan yang telah dikomunikasikan kepada pihak terkait termasuk pengguna
c. Mengidentifikasi semua pengguna dan aktivitas mereka dalam TI
d. Melakukan tindakan preventif, detektif dan langkah-langkah perbaikan ditempat untuk melindungi sistem
informasi dan teknologi dari virus, spyware dll
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Melengkapi kebijakan dan pelaksanaan
keamanan dengan spesifik, secara konsisten melaksanakan analisa dampak dan resiko.
b. Memanfaatkan analisis biaya/manfaat untuk mendukung penerapan keamanan
c. Melakukan sertifikasi staff yang mengelola keamanan.
d. Menetapkan dengan jelas pengelola serta penanggung jawab untuk keamanan TI
e. Pelaporan keamanan TI terhubung dengan tujuan bisnis
Rekomendasi untuk mengatasi gap maturity level pada DS6
Melakukan identifikasi dan alokasi biaya. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat mengidentifikasi dan mengalokasikan anggaran TI untuk menjaga ketersediaan sumber daya TI yang dibutuhkan dan memastikan bahwa sumber daya tersebut digunakan secara optimal dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Mendefinisikan seluruh pembiayaan TI b. Mengalokasikan biaya sesuai dengan
model biaya yang didefinisikan
c. Meninjau secara teratur tolok ukur kelayakan biaya mempertahankan relevansi dan kesesuaian dengan berkembangnya bisnis dan TI
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Diadakan evaluasi dan pengawasan
biaya, proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik
b. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala
c. Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal
INF-637
Rekomendasi untuk mengatasi gap maturity level pada DS8
Dalam Mengelola peristiwa dan bagian service. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan pengelolaan peristiwa /iniden dan penyediaan service desk dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Menetapkan fungsi service desk yang merupakan antarmuka pengguna dengan TI untuk melaporkan, mengkomunikasikan dan menganalisis semua panggilan, pelaporan insiden,permintaan layanan maupun tuntutan informasi. Harus ada pemantauan dan prosedur eskalasi yang memungkinkan klasifikasi dan prioritas penanganan suatu insiden
b. Memungkinkan service desk dapat mencatat akar penyebab suatu masalah dan memastikan bahwa tindakan yang diambil disepakati oleh user
c. Melaporkan seluruh pencatatan yang dilakukan servce desk untuk mengukur kinerja dan pelayanan
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Memiliki pemahaman menyeluruh
mengenai manfaat service desk diseluruh tingkatan organisasi dan fungsi tersebut dibentuk pada unit organisasi yang tepat
b. Mengotomasi perangkat dan teknik dengan basis pengetahuan permaslah dan solusi yang terpusat
c. Mengadakan pelatihan bagi personil service desk dan terus ditingkatkan melalui penggunaan perangkat lunak yang spesifik untuk pekerjaan tertentu.
Rekomendasi untuk mengatasi gap maturity level pada DS10
Permasalahan dan insiden harus dapat dikelola dengan baik. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan pengelolaan permasalahan-permasalahan dan insiden terkait dengan penerapan dan pegelolaan TI di perusahaan untuk memastikan permasalahan tersebut telah ditangani dan ditindaklanjuti dengan baik untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Melaporkan dan mengklasifikasi masalah yang telah diidentifikasi sebagai bagian dari manajemen insiden b. Menyediakan fasilitas audit trail yang
memadai yang memungkinkan pelacakan, analisa dan penentuan akar masalah yang dilaporkan
c. Melakukan pengelolaan yang efektif terhadap masalah dan insiden untuk meminimalkan masalah
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Mendokumentasikan metode dan
prosedur
b. Pemanfaatan Penggunaan perangkat terkini dalam mengelola permasalahan dan insiden
c. Karena fungsi layanan informasi telah dipandang sebagai aset pencapaian tujuan TI maka pengetahuan dan keahlian harus terus disempurnakan d. Kemampuan respon terhadap insiden
diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dan dilaporkan serta dianalisa untuk peningkatan secara kontinu dan dilaporkan kepada pihak stakeholder.
Rekomendasi untuk mengatasi gap maturity level pada DS11
Dalam mengelola data harus diperhatikan jaminan terhadap integritas dan validasi data. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan pengelolaan data (proses input, pemrosesan dan output) untuk menjamin integritas, keakuratan dan validitas data, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Mendefinisikan dan menerapkan prosedur untuk penyimpanan data dan arsip-arsip sehingga data dapat tetap diakses dan berhasil guna
b. Mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, data dan dokumentasi sesuai dengan kebutuhan bisnis dan rencana kesinambungan
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Disusun prosedur lengkap pada proses
pengelolaan data yang mengacu pada standar dan menerapkan internal best practise, diformalkan dan
INF-638
disosialisasikan secara luas serta dilakukan sharing knowledge
b. Indikator pencapaian tujuan dan kinerja dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategis TI. Diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data.
Rekomendasi untuk mengatasi gap maturity level pada DS12
Dalam usaha mengelola keadaan fisik / fasilitas yang ada. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan pengelolaan dan penyediaan fasilitas yang baik, perlindungan atas seluruh peralatan dan SDM TI dari ancaman kerusakan / bencana untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Melakukan pemilihan desain tata letak serta memperhitungkan resiko yang terkait dengan bencana alam atau kerusakan dengan mempertimbangkan unsur kesehatan dan aturan keselamatan
b. Memasang perangkat khusus untuk memantau dan mengendalikan lingkungan
c. Mengelola fasilitas termasuk sumberdaya dan peralatan komunikasi 2. Sedangkan untuk meningkatkan tingkat
kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Mengendalikan dengan baik kebutuhan
untuk merawat lingkungan. Daya pemulihan sumberdaya digabungkan kedalam proses manajemen resiko organisasi
b. Memfasilitasi staff dan melatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan
Rekomendasi untuk mengatasi gap maturity level pada DS13
Dalam mengelola operasi harus ada pengaturan terhadap fungsi dukungan TI. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat mengelola operasional, memastikan fungsi-fungsi dukungan TI seperti preventive maintenace, network service management dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Menetapkan dan menerapkan prosedur
standar untuk operasi TI dan memastikan staf operasi terbiasa
dengan semua tugas yang relevan bagi mereka
b. Melakukan pengaturan penjadwalan pekerjaan, proses dan tugas-tugas c. Mendefinisikan dan menerapkan
prosedur untuk memantau infrastruktur TI dan peristiwa terkait d. Menetapkan perlindungan fisik yang
sesuai
e. Mendefinisikan dan menerapkan prosedur untuk menjamin pemeliharaan infrastruktur.
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Melakukan koreksi terhadap
penyimpangan yang mungkin terjadi. Adanya kesepakatan layanan dan perawatan formal dengan vendor b. Mengawasi penggunaan sumberdaya
komputer
c. Pelatihan dijalankan dan diformalkan d. Terdapat penyesuaian penuh dengan
permasalahan dan manajemen didukung oleh analisa penyebab kegagalan dan eror.
Rekomendasi untuk mengatasi gap maturity level pada ME1
Agar pengawasan dan penilaian kinerja TI dapat dijalankan dengan baik. Oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan pengawasan serta penilaian terhadap proses-proses TI untuk memastikan pencapaian kinerja yang diharapkan dari setiap proses TI yang telah dilakukan , untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Memastikan bahwa manajemen umum menetapkan kerangka pemantauan dan pendekatan yang menetapkan cakupan , metodologi dan proses yang harus di ikuti untuk memantau kontribusi TI b. Menetapkan proses pengumpulan data
yang tepat dan akurat untuk melaporkan kemajuan terhadap sasaran.
c. Mengidentifikasi tindakan perbaikan berdasarkan kinerja pemantauan, penilaian dan pelaporan dengan langkah review,negosiasi, penugasan tanggung jawab untuk perbaikan dan pengelusuran hasil tindakan yang dilakukan
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya:
INF-639
a. Pendasaran hasil pengawasan telahdistandarisasi dan dinormalisasikan. Terdapat integrasi diseluruh proses TI b. Perangkat otomasi diintegrasikan dan
digunakan untuk mengumpulkan dan mengawasi informasi operasional dari aplikasi, sistem dan proses
c. Sebuah framework di definisikan untuk mengukur kinerja.
Rekomendasi untuk mengatasi gap maturity level pada ME2
Dalam mengawasi dan menilai kerangka kontrol diperlukan rekomendasi sebagai berikut: 1. Pihak manajemen diharapkan dapat
melakukan pengawasan dan penilaian atas kerangka proses pengendalian untuk memastikan pencapaian tujuan dan kontrol untuk setiap proses TI, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Memonitor dan melaporkan efektivitas pengendalian internal TI
b. Merekam informasi dan memastikan bahwa hal tersebut mengarah pada analisis penyebab kesalahan dan tindakan perbaikannya
c. Mengevaluasi kelengkapan dan efektivitas manajemen pengendalian internal proses TI termasuk kebijakan dan kontrak
d. Diperlukannya peninjauan lebih lanjut yang dilakukan oleh pihak ketiga baik itu oleh audit internal, eksternal, konsultan maupun lembaga sertifikasi 2. Sedangkan untuk meningkatkan tingkat
kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Organisasi mengembangkan tingkatan
toleransi untuk pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan didefinisikan untuk seluruh fungsi layanan informasi. b. Fungsi kendali internal TI dibentuk
dengan tenaga profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang telah disahkan.
Rekomendasi untuk mengatasi gap maturity level pada ME3
Dalam memastikan peraturan yang telah di terapkan dipatuhi dengan baik maka diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat memastikan pematuhan peraturan yang telah diterapkan, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Menetapkan dan menerapkan proses untuk memastikan identifikasi yang tepat antara hukum internasional, kontrak, kebijakan dan peraturan yang berkaitan dengan TI, penyediaan layanan informasi termasuk layanan pihak ketiga, organisasi TI , proses dan infrastruktur
b. Melaksanakan evaluasi secara efisien sesuai dengan kebijakan TI, standar dan prosedur, termasuk persyaratan hukum dan peraturan berdasarkan bisnis dan kebijakan pemerintah.
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Ada mekanisme untuk memantau di
tempat yang sesuai dengan persyaratan eksternal, menegakkan praktek internal dan melaksanakan tindakan korektif b. Standar praktek internal yang baik
dimanfaatkan untuk kebutuhan tertentu seperti berdiri peraturan dan kontrak layanan yang berkelanjutan
Rekomendasi untuk mengatasi gap maturity level pada ME4
Dalam usaha menetapkan pengelolaan terhadap sumberdaya TI, oleh karena itu diperlukan rekomendasi sebagai berikut:
1. Pihak manajemen diharapkan dapat melakukan penetapan pengelolaan TI untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen :
a. Bekerja sama dengan dewan untuk mendefinisikan dan membentuk suatu kerangka tata kelola TI termasuk kepemimpinan , proses,peran dan tanggung jawab, informasi dan struktur organisasi
b. Mengoptimalkan investasi, penggunaan dan alokasi aset TI, memastikan ketersediaan TI
c. Segala hal yang berhubungan dengan analisa resiko TI bersifat transparan dan diketahui oleh stakeholder
d. Laporan kinerja TI dilaporkan tepat waktu dan akurat
2. Sedangkan untuk meningkatkan tingkat kematangan tata kelola TI pihak manajemen TI BPKP Pusat sebaiknya: a. Pemahaman Mengenai Tata Kelola IT
telah dipahami dengan baik oleh seluruh level.
b. Tanggungjawab telah ditentukan dan di awasi sesuai dengan SLA.
INF-640
c. Seluruh Akuntabilitas jelas dan ada penghargaan sesuai dengan ukuran pencapaian dalam kinerja
Implikasi Penelitian
Berdasarkan hasil penelitian, dimana untuk domain DS dan ME tingkat kematangan tata kelola TI BPKP, secara umum masih berada pada level 3 untuk domain DS dan domain ME, meskipun ditemukan proses yang masih berada pada level dibawah 2.50 yaitu DS4, DS5 dan ME4 perlu mendapat perhatian lebih. Berdasarkan detail control objective pada literarur COBIT versi 4, dimana bisa dijadikan acuan untuk implikasi dari penelitian yang bisa diambil dari beberapa aspek yaitu : aspek manajerial (kalau sistem COBIT ini diterapkan, apa yang harus dilakukan oleh pihak manajemen BPKP) aspek kesisteman (apakah pihak manajemen harus membuat prosedur, bagaimana tindak lanjutnya, dan sebagainya) dan seraca rinci bisa dilihat pada tabel berikut :
Tabel.24 Implikasi Penelitian untuk domain DS
CO Rincian Contorl Objective (CO)
Aspek manajerial Aspek Sistem
DS1 Menetapkan dan mengelola mutu service
Menyediakan kerangka kerja yang selaras dengan kebutuhan bisnis
Adanya sistem pengelolaan tingkat layanan secara utuh DS2 Mengelola
service pihak ketiga
Menetapkan proses untuk memonitor ketersediaan layanan dan kepatuhan terhadap perjanjian
Adanya focus pada kebutuhan pengelolaan tingkat layanan sesuai dengan tujuan bisnis DS3 Mengelola kapasitas dan kinerja Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa alokasi biaya dan kinerja tersedia
Tersedianya Proses dan perangkat untuk mengukur penggunaan sistem DS4 Menjamin layanan berkelanjutan Mengembangkan suatu kerangka kerja TI yang berkelanjutan Adanya Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis DS5 Menjamin Keamanan sistem Menyusun rencana keamanan TI dan mengimplementasikannya dalam kebijakan dan prosedur keamanan Adanya sistem pelaporan keamanan TI terhubung dengan tujuan bisnis DS6 Mengidentifikasi dan Mengalokasikan biaya
Meninjau secara teratur tolak ukur kelayakan biaya mempertahankan relevansi dan kesesuaian dengan berkembangnya bisnis dan TI Diadakannya evaluasi dan pengawasan biaya, proses pengelolaan biaya ditingkatkan secara kontinu DS7 Mendidik dan
melatih user Mengatur secara teratur pelatihan dan memperbaharui materi
Terdapat suatu program pelatihan dan pendidikan yang terfokus kepada kebutuhan serta keluaran yang terukur DS8 mengelola
peristiwa dan bagian service
Menetapkan fungsi
service desk Pengadaan pelatihan bagi personel service desk
DS9 mengelola
konfigurasi Memiliki repositori sebuah yang menampung semua informasi mengenai item konfigurasi
Perangkat yang terah terotomasi
DS10 mengelola permasalahan-permasalahan
Menyediakan fasilitas
audit trail yang memadai Adanya pemanfaatan penggunaan perangkat terkini dalam mengelola permasalahan dan insiden
DS11 mengelola data Penerapan prosedur penyimpanan data dan pengarsipan
Dilakukannya knowledge sharing DS12 mengelola
keadaan fisik Memperhitungkan resiko yang terkait dengan bencana alam maupun kerusakan
Mengintegrasikan perangkat yang ada
DS13 mengelola
operasi Mengatur penjadawalan pekerjaan, proses dan tugas ke urutan yang lebih efisien
Disesuaikan antara permasalahan dan proses manajemen ketersediaan
Tabel.25 Implikasi Penelitian untuk domain ME
CO Rincian Contorl Objective (CO)
Aspek manajerial Aspek Sistem
ME1 Mengawasi dan menilai kinerja TI Mengidentifikasi tindakan perbaikan berdasarkan pemantauan kinerja Adanya sistem pelaporan manajemen menilai kinerja TI ME2 Mengawasi dan
menilai kerangka kontrol
Melakukan pengendalian
internal TI Adanya sistem yang terintegrasi dalam proses penilaian kerangka kontrol ME3 Memastikan
pematuhan peraturan
Memastikan bahwa antara hukum, kontrak, kebijakan telah sesuai dengan undang undang
Adanya sistem pengawasan yang memastikan peraturan dipatuhi secara benar ME4 Menetapkan
pengelolaan TI Membentuk kerangka tata kelola TI suatu Adanya pengelolaan TI yang sistem baik
KESIMPULAN
Berdasarkan hasil pembahasan yang telah disampaikan dalam bab sebelumnya, penulis dapat menarik kesimpulan sebagai berikut : 1. Hasil penelitian tingkat kematangan tata kelola
TI di BPKP Pusat saat ini berada pada level 3 untuk domain DS dan ME
2. Tingkat kematangan (maturity level) tata kelola TI yang dilakukan di BPKP pusat adalah :
Domain DS dan ME secara umum berada pada level 3 (defined process) dimana disimpulkan : a. Prosedur sudah standar dan terdokumentasi dan dikomunikasikan melalui pelatihan
b. Pelaksanaan penerapannya diserahkan pada individu sehingga penyimpangan tak mungkin akan diketahui
c. Prosedurnya belum sempurna, sekedar formalitas atas praktek yang ada. Meskipun demikian masih terdapat tingkat kematangan yang berada di bawah level 2.50 yaitu pada proses mendefinisikan layanan yang berkelanjutan (DS4), menjamin keamanan sistem (DS5) serta belum idealnya penetapan pengelolaan TI (ME4) yang perlu mendapat perhatian khusus dari pihak manajemen TI
3. Perbaikan tata kelola TI di BPKP Pusat ini, untuk domain DS dan ME adalah dengan meningkatkan tingkat kematangan sampai pada level 4 (managed and measurable) berdasarkan misi, visi, tujuan dan arah pengembangan Sistem Informasi pada BPKP Pusat ini, yaitu :
a. Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur
INF-641
b. Mengambil tindakan atasketidakefektifan proses yang terjadi. c. Proses yang masih belum mencapai level
yang diharapkan ditingkatkan terus menerus serta terdapat perangkat pembantu dan otomatisasi untuk pengawasan proses.
UCAPAN TERIMA KASIH
Ucapan terima kasih kepada objek yang sudah bersedia diwawancara mengenai kondisi BPKP.
REFERENSI
Adikrishna, La Ode Rizal. (2008). Analisis Tata Kelola Teknologi Informasi PT. Surveyor Indonesia Menggunakan Kerangka Kerja Cobit (Studi Kasus : Proses DS 13 - Mengelola Operasi). 20 Januari 2010. http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id=jbptitbpp-gdl-laoderizal-31307&q=surveyor.
Budiyono. (2007) .Analisis Tata Kelola Teknologi Informasi Menggunakan Framework Cobit Dalam Mendukung Layanan Teknologi Informasi Studi Kasus : PT PLN (Persero) Distribusi Jawa Barat Dan Banten .20
Januari 2010.
http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id=jbptitbpp-gdl-budiyononi-29000&q=tata%20kelola%20it.
BPKP. (2008). Arsitektur Pengembangan Sistem Informasi BPKP (BPKP’s Enterprise Architecture). Jakarta: BPKP.
BPKP. (2006). Kerangka Pengembangan Sistem Informasi BPKP ( BPKP’s Enterprise System). Jakarta: BPKP.
Company Profile of BPKP. Januari 2010. http://www.bpkp.go.id/?idunit=1&idpage= 1663.
Fitroh. (2009). Penilaian Tingkat Kematangan Tata Kelola TI Pada Sistem Informasi Manajemen Akademik (Sim@K) Berdasarkan Domain PO Dan AI Cobit Versi 4.0 Studi Kasus : Uin Syarif Hidayatullah. Jakarta.Budi: Luhur Ishak. Interview.Februari.2010.
ITGI. (2005). Control Objective Management Guidelines Maturity Models.Available Online:www.itgi.org.
Lenggana, U Tresna. (2008). Perancangan Model Tata Kelola Teknologi Informasi Pada PT.
Kereta Api Indonesia Berbasis Framework Cobit. 20 Januari 2010.
http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id= jbptitbpp-gdl-utresnalen-29054&q=tata%20kelola%20it .
Nurtjahjo, Fery. Interview. Februari. 2010.
Panji, Wolfgang. (2007). Perancangan Model Tata Kelola Teknologi Informasi Berbasis Cobit Pada Proses Pengelolaan Data Studi Kasus : PT PLN (Persero) Distribusi Jawa Timur . 20 Januari. 2010. http:// digilib.itb.ac.id /gdl.php?mod=browse&op=read&id=jbptit bpp-gdl-wolfgangbp-29060&q= tata %20kelola%20it
Rakhmat, Jalaludin. (2007). Metode Penelitian Komunikasi. Bandung: Remaja Rosda Karya.
Sugiyono. (2009). Metode Penelitian Bisnis. Bandung: Alfabeta
Surendro, Kridanto. (2009).Implementasi Tata Kelola Teknologi Informasi. Bandung. Informatika.
Wasilah. (2007). Perancangan IT Governance Untuk Peningkatan Kualitas Layanan Akademik Studi Kasus : Puskom Universitas Lampung .20 Januari 2010.
http://digilib.itb.ac.id/gdl.php?mod=brows e&op=read&id=jbptitbpp-gdl-wasilahnim 29059&q=tata%20kelola%20it