Makalah Nomor: KNSI-423
PENILAIAN TATA KELOLA TI BERDASARKAN EDM01 COBIT 5
Siti Sarah Abdullah1, RR. Isni Anisah P.21 Teknik Informatika, Fakultas Teknik, Universitas Suryakancana Cianjur 2Politeknik Piksi Ganesha Bandung
1 sarah0040057@live.com, 2isnikng81@gmail.com ,
Abstrak
COBIT 5 digunakan sebagai kerangka kerja baik teknis maupun non-teknis untuk menilai tata kelola dan manajemen informasi terkait teknologi dan perspektif. COBIT 5 memiliki lima prinsip dasar dengan dua fungsi area yaitu tata kelola enterprise Teknologi Informasi terdiri dari domain EDM dan manajemen enterprise TI yang terdiri dari domain APO, BAI, DSS, MEA. Didalam setiap domain diturunkan lagi menjadi beberapa sub domain. Penelitian berfokus membahas satu sub domain yaitu EDM01 mengenai pengaturan dan pemeliharaan atata kelola dengan menilai berdasarkan PAM (Process Assessment Modelling) yang diadopsi dari ISO/IEC 15504. Penilaian tersebut diimplementasikan pada Rumah Sakit XXX untuk mengetahui kualitasnya. Hasil penelitian dapat disimpulkan bahwa penilaian dapat diakukan untuk menguji kualitas suatu instansi.
Kata kunci : COBIT 5, PAM, EDM01
1. Pendahuluan
Teknologi Informasi (TI) mendorong kesuksesan di abad 21. Disisi lain tata kelola dan tantangan manajemen di perusahaan semakin kompleks. COBIT 5 hadir sebagai salah satu solusi untuk menanggulangi itu semua. COBIT 5 memiliki lima prinsip dasar. Kelima prinsip tersebut dapat menyesuaikan diri dengan semua skala enterprise, baik komersial, non profit, maupun layanan publik. Domain yang ada pada COBIT 5 dibagi kedalam 2 bagian yaitu tata kelola enterprise TI terdiri dari domain EDM, manajemen enterprise TI terdiri dari domain APO, BAI, DSS, MEA.
Penilaian terhadap COBIT 5 menggunakan PAM (Process Assessment Model) yang diadopsi dari ISO/IEC 15504. Penelitian berfokus pada penilaian domain EDM01 (pengaturan dan pemeliharaan tata kelola).
Penelitian ini diharapkan dapat memudahkan dalam menilai kualitas enterprise, dan lebih jauhnya diharapkan enterprise mempunyai solusi untuk meningkatkan kualitasnya.
2. Landasan Teori 2.1 Prinsip COBIT 5
COBIT 5 menyediakan framework menyeluruh yang membantu enterprise mencapai tujuan dalam tata kelola dan manajemen enterprise TI. COBIT 5 memungkinkan TI melakukan tata kelola dan manajemen secara holitstik untuk keseluruhan enterprise, mengelola bisnis dari ujung ke ujung,
bertanggung jawab pada keseluruhan area fungsi TI, dan menyediakan fasilitas dalam cakupan stakeholder internal dan eksternal. COBIT 5 mempunyai 5 prinsip [2]:
Gambar 72. Prinsip COBIT 5 [2] COBIT 5 berdasarkan lima prinsip kunci pada
Error! Reference source not found. untuk tata
kelola dan manajemen TI [2]:1. Prinsip 1: Menemukan kebutuhan stakeholder
Enterprise melakukan sebuah value untuk stakeholder dengan mengelola keseimbangan (balance) antara realisasi keuntungan dan optimisasi resiko serta penggunaan sumber daya. COBIT 5 menyediakan semua proses yang dibutuhkan untuk mendukung pembuatan value bisnis melalui penggunaan TI. Karena setiap enterprise memiliki tujuan yang berbeda, enterprise dapat menggunakan COBIT 5 sesuai dengan kebutuhannya melalui penterjemahan tujuan enterprise level atas kedalam
tujuan TI yang spesifik dan memetakannya kedalam proses dan praktik spesifik.
2. Prinsip 2: Mencakup ujung ke ujung enterprise
COBIT 5 mengintegrasikan tata kelola enterprise TI ke tata kelola enterprise:
- Melingkupi semua fungsi dan proses enterprise. COBIT 5 tidak hanya berfokus pada fungsi TI, tapi menjadikan informasi dan teknologi yang berkaitan sebagai aset yang dibutuhkan seperti aset lain yang ada didalam enterprise
- Mencakup tata kelola dan manajemen yang berelasi dengan TI yang mencakup ujung ke ujung, internal dan eksternal.
3. Prinsip 3: Mengaplikasikan yang tunggal, mengintegrasikan framework
Banyak standar dan praktik terbaik yang berkaitan dengan TI, semuanya menyediaka panduan dalam bagian dari aktivitas TI. COBIT 5 selaras dengan standar dan framework lain yang relevan pada level atas, serta melyani cakupan framework untuk tata kelola dan manajemen enterprise TI.
4. Prinsip 4: Mengaktifkan pendekatan holistic Tata kelola dan manajemen TI yang efektif dan efisien yang dibutuhkan dalam pendekatan holistik, membutuhkan komponen yang saling berinteraksi. COBIT 5 mendefinisikan enabler untuk mendukung implementasi sistem tata kelola dan manajemen enterprise TI secara komprehensif. Enabler mendefinisikan apapun yang dapat membantu mencapai tujuan enterprise. Framework COBIT 5 memiliki 7 kategori enabler [1]:
- Prinsip, kebijakan, framework
- Proses
- Struktur organisasi
- Budaya, etika, dan perilaku
- Informasi
- Layanan, infrastruktur, dan aplikasi
- Manusia, kemampuan, dan kompetensi 5. Prinsip 5: Memisahkan tata kelola dengan
manajemen
Framework COBIT 5 membuat perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin tersebut memiliki tipe aktifitas yang berbeda, membutuhkan struktur organisasi yang berbeda, dan melayani tujuan yang berbeda. COBIT 5 melihat kunci tata kelola dan manajemen sebagai berikut:
- Tata kelola
Tata kelola dapat memastikan kebutuhan stakeholder, kondisi dan pilihan dievaluasi untuk keseimbangan tujuan enterprise yang akan dicapai; mengatur
arahn melalui prioritas dan pembuatan keputusan; memantau performansi dan kepatuhan sesuai dengan arahan dan tujuan.
- Manajemen
Manajemen merencanakan, membangun, menjalankan, dan memantau aktivitas selaras dengan arahan yang diatur dalam tata kelola untuk mencapai tujuan enteprise.
2.2 COBIT 5 Process References Model
Proses cobit terdiri dari dua proses yaitu proses tata kelola dan proses manajemen [2].
Gambar 73. Area Kunci Tata Kelola dan Manajemen COBIT 5 [2]
Keterangan mengenai gambar 2:
- Tata kelola: berisi lima proses tata kelola; yang masing-masing proses dievaluasi, diarahkan, dimonitor (EDM)
- Manajemen: berisi empat domain, selaras dengan area tanggung jawab untuk merencanakan, membangun, menjalankan, dan mengawasi (PBRM), dan menyediakan cakupan TI dari ujung ke ujung. Domain ini merupakan evolusi dari domain COBIT 4.1 dan struktur proses. Berikut nama domainnya:
- Align, Plan, Organise (APO)
- Build, Acquire, and Implement (BAI)
- Deliver, Service, and Support (DSS)
- Monitor, Evaluate, and Assess (MEA) 2.3 EDM01. Memastikan Pengaturan dan
Pemeliharaan Kerangka Tata Kelola Tujuan dari EDM01 adalah menganalisa dan mengartikulasikan persyaratan untuk tata kelola enterprise TI, serta pilah struktur, prinsip, proses, dan praktek yang efektif, dengan kejelasan tanggung jawab dan kewenangan untuk mencapai misi, tujuan, dan sasaran enterprise.
Pernyataan tujuan prosesnya adalah Menyediakan pendekatan yang terintegrasi dan selaras secara konsisten dengan pendekatan tata kelola enterprise. Untuk dapat memastikan bahwa TI yang terkait dengan keputusan dibuat sejalan dengan
strategis dan sasaran enterprise, pastikan bahwa TI yang terkait dengan proses diawasi secara efektif dan sasaran, sesuai dengan persyaratan hukum dan peraturan.
EDM01 terdiri dari:
EDM01.01 Evaluasi Sistem Tata Kelola EDM01.02 Arahan Sistem Tata Kelola EDM01.03 Pengawasan Sistem Tata kelola
2.4 Model Proses Kapabilitas COBIT 5 Model Proses Kapabilitas COBIT 5:
Gambar 74. COBIT 5 process Capability Model
Terdapat 6 level kapabilitas dimana proses dapat dicapai, termasuk prosees yang tidak lengkap:
- 0 incomplete process – proses tidak
diimplementasikan atau gagal untuk mencapai tujuan proses. Pada level ini terdapat sedikit atau tidk ada pencapaian sistematik untuk tujuan proses.
- 1 performed process (one atribute) – proses yang diimplementasikan mencapai tujuan proses.
- 2 managed process (two attributes) –
performansi yang digambarkan sebelumnya, sekarang diimplementasikan dan dikelola (direncanakan, diawasi, dan disesuaikan) dan work product dibangun, dikontrol dan dikelola.
- 3 established process (two attributes) – proses yang dikelola yang digambarikan sebelumnya, sekarang diimplementasikan menggunakan proses yang dtemukan yang tepat mencapai keluaran proses (process outcome).
- 4 predictable process (two attributes) – proses yang telah yang digambarkan sebelumya, sekarang dioperasikan dengan mencapai tujuan keluaran proses yang masih terbatas.
- 5 optimising process (two attributes) – proses yang telah diprediksikan yang digambarkan sebelumnya, sekarnag secara berkelanjutan diperbaiki agar dapat bertemu dengan kondisi sekarang dan diproyeksikan ke tujuan bisnis.
-2.5 Penilaian Proses Kapabilitas COBIT 5 Penilaian kapabilitas COBIT 5 diadopsi dari ISO/IEC 15504 yang menilai dengan tujuan [3]:
- Memungkinkan “tubuh” tata kelola dan manajemen menjadi acuan kapabilitas proses.
- Memungkinkan pengecekan level atas untuk kondisi “as-is” dan “to-be” enterprise agar dapat mendukung investasi tata kelola dan manajemen untuk membuat keputusan agar dapat melakukan perbaikan proses terus menerus.
- Mempersiapkan analisis kesenjangan dan memperbaiki rencana informasi untuk mendukung proyek perbaikan.
- Mempersiapkan tata kelola dan manajemen untuk mengukur dan mengawasi peringkat penilaian pada kapabilitas yang ada.
Penilaian dilakukan mulai dari kapabilitas kematangan level satu dan seterusnya. Untuk mencapai level 1, dapat dilakukan dengan cara: 1. Meninjau hasil proses yang digambarkan dalam
deskripsi proses rinci dengan menggunakan skala peringkat yang dimiliki ISO/IEC 15504 untuk mengetahui derajat tujuan dicapai. Skala tersebut berdasarkan peringkat:
N (Not achieved) – ada sedikit atau bahkan tidak ada bukti pencapaian atribut yang ditemukan dalam menilai proses.
P (Partially achieved) – ada beberapa bukti pencapaian yang ditemukan. Aspek pencapaian atribut tidak terprediksi (15% - 50 % pencapaian)
L (Largely achieved) – ada bukti pendekatan sistematis, pencapaian signifikan, atribut terdefinisi dalam proses penilaian. Beberapa kelemahan masih ada dalam proses penilain (50% - 85% pencapaian)
F (Fully achieved) – ad bukti pendekatan lengkap dan sistemtis, pencapaian penuh, atribut terdifinisi dalam proses penilaian. Tidak ada kelemahan yang signifikan dalam penilaian proses (85%-100% pencapaian)
2. Praktik proses (tata kelola maupun manajemen) dapat dinilai dengan menggunakan skala peringkat yang sama, mengungkapkan sejauh mana praktek dasar diterapkan.
3. Untuk lebih menyempurnakan nilai, work product dapat dipertimbangkan untuk menentukan sejauh mana atribut penilaian tetentu telah dicapai.
Untuk proses penilaian level kapabilitas lebih atas, praktek secara umum dilakukan berdasarkan ISO/IEC 15504:2.
Berikut merupakan peringkat atribut proses
yang selaras dengan leve
Gambar 75. Atribut Proses Selaras dengan Level[5]
3. Pembahasan
Referensi mengenai hubungan proses secara rinci mengacu pada [2] yang didalamnya terdapat process identification, process description, process purpose statement, goal cascade information, process goal and metric, RACI Chart, detail description of the process practice, related guidance. Untuk dapat menilai, maka acuan tersebut dipetakan terhadap PAM dengan mempertimbangkan Outcomes, base practice, Work produk dalam pam tersebut. Hasil pemetaan dapat dilihat pada tabel 1.
Tabel 1. RACI Chart [2]
EDM01 RACI Chart Praktek Tata Kelola Kunci Bo ar d Ch ie f E x ec u ti v e O ff ic er Ch ie f F in an ce O ff ic er Ch ie f O p er at in g O ff ic er Bu si n es s E x ec u ti v es Bu si n es s P ro ce ss O w n er s S tr at eg y E x ec u ti v e Co m m it te e S te er in g ( P ro g ra m m es /P ro je ct s) Co m m it ee P ro je ct M an ag em en t O ff ic e V al u e M an ag em en t O ff ic e Ch ie f Ri sk O ff ic er Ch ie f In fo rm at io n S ec u ri ty O ff ic er A rc h it ec tu re Bo ar d E n te rp ri se Ri sk Co m m it ee H ea d H u m an Re so u rc es Co m p li an ce A u d it Ch ie f In fo rm at io n O ff ic er H ea d A rc h it ec t H ea d D ev el o p m en t H ea d I T O p er at io n s H ea d I T A d m in is tr at io n S er v ic e M an ag er In fo rm at io n S ec u ri ty M an ag er Bu si n es s Co n ti n u it y M an ag er P ri v ac y O ff ic er EDM01. 01. Evaluasi sistem tata kelol A R C C R R C C C C R C C C A R
Tabel 2. Pemetaan COBIT 5 EDM01 terhadap PAM
ID Proses
EDM01 Nama
Proses
Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola
Tujuan Analisa dan artikulasikan persyaratan untuk tata kelola enterprise TI, serta pilah struktur, prinsip, proses, dan praktek yang efektif, dengan kejelasan tanggung jawab dan kewenangan untuk mencapai misi, tujuan, dan sasaran enterprise.
Outcomes (Os) N omor Deskripsi E DM01-O1
Prinsip TI diarahkan oleh tata kelola perusahaan sehingga pembuatan keputusan dari IT selaras dengan tujuan perusahaan.
E DM01-O2
Pertimbangan Peraturan, hukum yang berlaku dalam perusahaan , serta kewajiban kontrak dengan pihak eksternal
E DM01-O3
Telah ada ketentuan untuk menerapkan tata kelola TI termasuk pengambilan keputusan Base Practice (BP) N umber Deskripsi Dukungan E DM01-BP1
Menganalisa dan mengidentifikasi faktor lingkungan internal dan eksternal (aspek legal, regulasi dan kontrak obligasi) serta tren bisnis yang dapat mempengaruhi perancangan tata kelola.
EDM01-O2
EDM01-BP2 Menentukan pentingnya TI serta perannya terhadap bisnis. EDM01-O1
EDM01-BP3 Mempertimbangkan peraturan, hukum, serta kewajiban kontrak pihak
eksternal, dan menentukan bagaimana menerapkan dalam tata kelola TI.
EDM01-O2
EDM01-BP4 Menyelaraskan penggunaan etika dan pengelolaan informasi serta
dampaknya terhadap masyarakat, lingkungan, dan ketertarikan pemangku kepentingan terkait dengan arahan, tujuan, serta sasaran enterprise.
EDM01-O2
EDM01-BP5 Menentukan implikasi dari lingkungan pengendalian enterprise secara
keseluruhan terkait dengan TI.
EDM01-O3
EDM01-BP6 Mengartikulasikan prinsip yang akan memandu rancangan tata kelola
dan pengambilan keputusan TI.
EDM01-O3
EDM01-BP7 Memahami budaya pengambilan keputusan enterprise dan menentukan
model pembuatan keputusan untuk TI.
EDM01-O3
EDM01-BP8 Menentukan delegasi wewenang pada tingkat yang tepat, termasuk
aturan ambang batas untuk keputusan TI.
EDM01-BP9 Mengkomunikasikan prinsip tata kelola TI dan setuju dengan manajemen eksekutif dalam cara membangun kepemimpinan informasi dan komitmen.
EDM01-O3
EDM01-BP10 Membangun atau mendelegasikan pembentukan struktur tata kelola,
proses, serta praktek sesuai dengan prinsip perancangan yang telah disepakati.
EDM01-O3
EDM01-BP11 Mengalokasikan tanggung jawab, wewenang, dan akuntabilitas sesuai
dengan prinsip perancangan tata kelola yang telah disepakati, model pembuatan keputusan, dan delegasi.
EDM01-O3
EDM01-BP12 Menjamin bahwa mekanisme komunikasi dan pelaporan menyediakan
tanggung jawabnya atas pengawasan dan pengambilan keputusan dengan informasi yang tepat.
EDM01-O3
EDM01-BP13 Mengarahkan staf untuk mengikuti pedoman yang relevan untuk
perilaku etis dan profesional dan memastikan bahwa konsekuensi ketidakpatuhan diketahui dan ditegakkan.
EDM01-O2
EDM01-BP14 Mengarahkan pembentukan sistem penghargaan untuk mempromosikan
budaya yang diinginkan.
EDM01-O3
EDM01-BP15 Menilai efektivitas dan performansi para pemangku kepentingan yang
didelegasikan untuk tanggung jawab dan otoritas untuk tata kelola enterprise TI.
EDM01-O3
EDM01-BP16 Menilai secara berkala apakah mekanisme tata kelola TI yang telah
disetujui (struktur, prinsip, proses, dsb) dibangun dan beroperasi secara efektif.
EDM01-O1
EDM01-BP17 Menilai efektifitas rancangan tata kelola dan mengidentifikasi aksi
untuk memperbaiki setiap penyimpangan yang ditemukan.
EDM01-O1, EDM01-O3
EDM01-BP18 Menjaga pengawasan sejauh mana TI memenuhi kewajiban (peraturan,
undang-undang, hukum umum, kontrak), kebijakan internal, standar dan pedoman profesional.
EDM01-O1, EDM01-O2
EDM01-BP19 Menyediakan pengawasan terhadap efektivitas, dan kepatuhan,
pengendalian sistem enterprise.
EDM01-O2, EDM01-O3
EDM01-BP20 Mengawasi mekanisme secara teratur dan rutin untuk memastikan
bahwa penggunaan TI sesuai dengan obligasi
EDM01-O2
Work Product (WP) Input
Nomor Deskripsi Dukungan
MEA03.02 Komunikasi perubahan pemenuhan persyaratan EDM01-O1, EDM01-O3
Diluar COBIT Tren lingkungan bisnis EDM01-O1, EDM01-O2
Diluar COBIT Regulasi EDM01-O1, EDM01-O3
Diluar COBIT Tata kelola/ model pembuatan keputusan EDM01-O3
Diluar COBIT Konstitusi/ anggaran Rumah Tangga/ Statuta organisasi EDM01-O1, EDM01-O3 Output
Nomor Deskripsi Input ke Dukungan
EDM01-WP1 Tata kelola enterprise memandu
prinsip
Semua EDM, APO01.01, APO01.03 EDM01-O1
EDM01-WP2 Model Pembuatan Keputusan Semua EDM, APO01.01 EDM01-O2
4. Implementasi Pola EDM01
Implementasi Pola EDM01 dapat diterapkan pada berbagai instansi, caranya dengan memberikan kuesioner kepada pihak yang berwenang. Pembuatan kuesioner dibuat dengan mengacu pada pemetaan tabel 1. Pihak yang berwenang dapat mengacu pada Tabel 2. RACI Chart. Berdasarkan hasil kuesioner pada Rumah Sakit XXX didapat menunjukan nilai masih pada level 0 karena masih banyak hasil kuesioner yang bernilai N (Null). Seleksi penilaian pada COBIT 5 lebih ketat dibanding sebelumnya, sehingga untuk mencapai level 1 saja, persyaratan banyak yang harus terpenuhi.
5. Kesimpulan dan Saran 5.1 Kesimpulan
Berdasarkan hasil penelitian diatas, dapat disimpulkan bahwa:
1. Domain EDM01 COBIT 5 dapat dipetakan dengan PAM dengan memahami kedua konsep tersebut kemudian dicari sinkronisasi pada keduanya.
2. Hasil implementasi penilaian berdasarkan pemetaan EDM01 COBIT 5 yang diterapkan pada Rumah Sakit XXX masih berada pada level 0 karena terlalu banyak N (Null) pada rumah sakit tersebut.
5.2 Saran
Saran untuk penelitian yang akan datang: 1. Rumah Sakit XXX dapat meningkatkan
kualitas menjadi level 1 apabila persyaratan yang masih bernilai N dapat ditingkatkan menjadi L. Pertanyaan yang masih bernilai L ditingkatkan menjadi P, dan pertanyaan yang bernilai L ditingkatkan menjadi F. 2. Mengembangkan penilaian untuk domain
lain selain EDM01. Daftar Pustaka:
[1] Whittington, O. Ray. (2013). CPA Exam Review : Business Environment and Concept, Wiley, NJ.
[2] ISACA. (2012). COBIT 5: Enabling Process.
Rolling Meadows, Illionis, USA.
[3] ISACA. (2012). COBIT5: A Business Framework for the Governance and Management of Enterprise IT. 2, Rolling Meadows, IL, USA.
[4] IT Governance Network. (2011). Summary of Differences between CobiT 4.1 and COBIT 5. Dipetik Nopember 16, 2011, dari http://www.itgovernance.com:
http://www.itgovernance.com/changes%20in% 20cobit5.pdf
[5] Lewis, B. D. 2012. Using the New COBIT Assessment Program to Perform IT Process Assessment.