BAB IV FRAMEWORK PENYUSUNAN TATA KELOLA TI
Framework penyusunan tata kelola TI ditujukan untuk memberikan arahan yang jelas dan terarah bagi Pemerintah dalam pembuatan dokumen tata kelola TI sehingga dokumen yang dihasilkan sesuai dengan definisi tata kelola menurut COBIT. Seperti telah disampaikan bahwa dari pembahasan sebelumnya bahwa dalam penelitian ini COBIT telah ditetapkan bahwa acuan tata kelola TI untuk pemerintahan.
Terdapat 4 fase penerapan Tata Kelola, yaitu fase identify needs (mengidentifikasi kebutuhan), envision solution (meramalkan solusi), plan solution (merencanakan solusi), dan implement solution (menerapkan solusi). Keempat fase tersebut merupakan road map yang harus dilalui untuk menerapkan Tata Kelola TI (Gambar III.1). Pada perancangan tata kelola ini penulis membatasi hanya sampai pada tahan ketiga yaitu plan solution (merencanakan solusi)
Gambar IV.1. Road Map IT Governance Implementation Guide (ITGI, 2003).
Dengan memperhatikan masukan dari IT Governance Implementation Guide (ITGI, 2003) tentang road map implementasi tata kelola TI dan memasukkan tahapan untuk mengkaji kondisi pemerintahan kabupaten, maka dihasilkan framework penyusunan tata kelola TI untuk pemerintahan sebagaimana diperlihatkan pada gambar III.2.
Gambar IV. 2 Framework Penyusunan Tata Kelola TI Pemerintahan
Sebagaimana terlihat pada gambar di atas, framework penyusunan tata kelola TI terdiri dari 8 (delapan) langkah utama. Dengan menggunakan
Identifikasi Kondisi TI Kabupaten Pengukuran nilai dan resiko Pemilihan proses TI kritikal Pengukuran tingkat kematangan Target kematangan
Kematangan saat ini
Perbaikan kepemimpinan dan struktur Perbaikan proses Dokumen tata kelola Analisis kesenjangan Pembuatan dokumen tata kelola
Menumbuhkan Kesadaran Manajemen
framework ini diharapkan tata kelola TI yang dihasilkan dapat sesuai dengan kebutuhan Kabupaten karena terdapat langkah yang dengan jelas mengharuskan adanya kajian terhadap kondisi TI (langkah 2) dan juga melakukan identifikasi dan pemetaan proses TI dengan proses TI COBIT (langkah 3). Berikut disampaikan penjelasan dari masing-masing tahapan yang ada di dalam framework penyusunan di atas.
IV.1 Langkah 1: Menumbuhkan Kesadaran Manajemen
Tanpa dukungan dari pihak manajemen organisasi, keberhasilan program tata kelola TI sangat sulit diraih. Diperlukan komitmen dan keterlibatan mulai dari awal penyusunan tata kelola untuk mendapatkan dukungan yang dibutuhkan. Untuk itu maka langkah pertama yang perlu dilakukan adalah membangkitkan kepedulian dari pihak manajemen (Management Awareness) tentang pentingnya Tata Kelola TI bagi organisasi.
Metoda
Metoda yang dapat digunakan untuk membangkitkan kesadaran dan kepedulian atas tata kelola TI ini antara lain dengan mengadakan seminar sehari tentang Tata Kelola TI. Peserta seminar adalah para Pimpinan yaitu:
1. Bupati
2. Sekretaris Daerah
3. Kepala Dinas/Kantor/Badan 4. Kepala Bagian
Materi
Materi yang diberikan antara lain:
1. Latar belakang dan kegunaan Tata Kelola TI bagi Instansi Pemerintah
2. Cakupan tata kelola TI di Kabupaten Ngawi.
3. Pemahaman dasar mengenai COBIT sebagai acuan framework untuk tata kelola TI di Instansi pemerintah
IV.2 Langkah 2: Identifikasi Kondisi TI
Setelah manajemen memiliki kesadaran tentang pentingnya tata kelola TI bagi kebupaten yang dipimpinnya maka langkah selanjutnya adalah melakukan identifikasi kondisi TI di tersebut. Kondisi TI ada yang bersifat umum dan mencakup semua (seperti regulasi yang dikeluarkan oleh Pemerintah Pusat terkait TI yang harus dipatuhi oleh semua ) serta kondisi TI yang spesifik bagi masing-masing sesuai dengan kebutuhannya. Kedua hal ini perlu mendapatkan perhatian dalam penyusunan tata kelola TI. Kondisi yang perlu diidentifikasi adalah yang terkait kepemimpinan, struktur organisasi dan proses TI.
Metoda
Untuk identifikasi kondisi TI metoda yang dapat digunakan adalah: 1. Wawancara terhadap para pimpinan .
Wawancara merupakan metoda yang cukup efektif dalam melakukan pengukuran dimana dengan wawancara dapat diketahui dengan cukup jelas kondisi dan permasalahan yang dihadapi oleh masing-masing unit organisasi di dalam . Kendala utama yang mungkin dihadapi adalah adanya birokrasi yang mengharuskan tim survei dibekali dengan surat pengantar. Kemungkinan masalah yang timbul dari hal ini adalah terbitnya surat pengantar dapat memakan waktu yang cukup lama sehingga mengganggu kelancaran proses pengukuran dengan metoda ini. Salah satu solusi untuk masalah ini adalah sambil menunggu terbitnya surat pengantar terbit tim survei tetap berusaha melakukan wawancara kepada para pimpinan melalui jalinan kontak yang informal.
2. Pengumpulan dan kajian terhadap dokumen-dokumen terkait visi dan misi, rencana strategis, peraturan-peraturan organisasi, tupoksi dan tata kelola TI . Daftar dokumen yang perlu dikumpulkan serta hasilnya perlu dirangkum dalam sebuah daftar seperti diperlihatkan pada contoh berikut ini.
Tabel IV.1. Contoh Daftar Dokumen Yang Perlu Dikumpulkan
NO. NAMA DOKUMEN ADA TIDAK
1. Renstra
2. Dokumen Tupoksi Setiap institusi di dalam
3. Dokumen Proses bisnis Utama yang berlaku
4. Dokumen terkait kebutuhan fungsional kunci dari
proses bisnis utama
5. Dokumen teknis sistem aplikasi utama
6. Dokumen tingkat layanan
7. Dokumen arsitektur, topologi, kapasitas dan
kondisi infrastruktur TI eksisting
8. Dokumen Tupoksi Pengelola TI
9. Dokumen komposisi dan kompetensi SDM TI
eksisting
10. Dokumen program tata kelola TI
Seperti telah dijelaskan di atas bahwa terdapat kondisi yang bersifat umum dan berlaku untuk semua karena terkait dengan regulasi yang dikeluarkan oleh Pemerintah Pusat dan harus dipatuhi oleh semua maupun kondisi yang bersifat spesifik dan hanya berlaku pada yang bersangkutan sesuai kebutuhan masing-masing . Salah satu contoh regulasi yang dikeluarkan oleh pemerintahan yang berlaku bagi semua adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional. Dalam Peraturan Menteri tersebut terdapat beberapa hal terkait kepemimpinan, struktur organisasi, dan proses TI di Pemerintahan yang perlu dikaji dan menjadi bahan pertimbangan dalam penyusunan tata kelola TI . Sedangkan contoh untuk regulasi yang dikeluarkan oleh Menteri dari yang bersangkutan dan hanya berlaku bagi tersebut adalah peraturan tentang pengelola TI . Peraturan Menteri ini perlu dikaji untuk mengetahui siapa yang ditunjuk sebagai pengelola TI dan apa wewenangnya.
Dari tahap ini diperoleh hasil kajian dokumen terkait tata kelola TI yang berhasil dikumpulkan dan hasil wawancara tentang kepemimpinan, struktur dan proses TI.
IV.3 Langkah 3: Identifikasi dan Pemetaan Proses TI terhadap Proses TI COBIT
Pada langkah sebelumnya telah diidentifikasi kondisi pengelolaan TI. Dari hasil tersebut maka dapat diidentifikasi proses-proses TI yang ada. Pada langkah ini proses-proses TI tersebut dipetakan ke proses-proses TI yang didefinisikan dalam COBIT.
Pemetaan dilakukan untuk mengidentifikasi kaitan yang jelas antara proses-proses yang ada termasuk yang dipersyaratkan harus ada oleh regulasi dengan proses-proses TI dalam COBIT. Dengan pemetaan ini maka dapat diuji pula apakah semua proses TI yang terjadi di dalam organisasi memang terwakili oleh COBIT atau tidak, kemudian dapat diketahui pula hubungan antara keduanya. Dengan demikian kaitan antara proses TI dalam COBIT dengan proses TI di Departemen yang mencerminkan kebutuhan departemen menjadi jelas sehingga tata kelola TI yang dihasilkan nantinya dapat sesuai dengan kebutuhan dan kondisi spesifik dari organisasi yang bersangkutan.
IV.4 Langkah 4: Pengukuran Nilai Dan Risiko TI
Langkah berikutnya adalah mengukur nilai dan risiko TI yang dimiliki. Pengukuran dilakukan untuk mengetahui nilai proses TI yang mencerminkan tingkat kepentingan terhadap sebuah proses TI. Selain itu pengukuran dilakukan juga untuk mengetahui profil risiko yang ditimbulkan oleh setiap proses TI. Yang dimaksud dengan proses TI di sini adalah proses TI yang didefinisikan di dalam COBIT.
Metoda
Untuk melaksanakan pengukuran dapat digunakan metoda wawancara terhadap para pimpinan . Terdapat dua perangkat bantu yang dapat digunkan pengukuran nilai dan risiko TI ini yaitu:
1. Perangkat untuk mengukur nilai proses TI 2. Perangkat untuk mengukur risiko TI
Pengukuran nilai TI
Pengukuran nilai TI dilakukan dengan cara menanyakan tentang pentingnya setiap proses TI yang ada dalam COBIT kepada Pimpinan . Seperti terlihat pada Tabel Pengukuran Nilai TI, kolom “Nilai Proses” diisi berdasarkan jawaban Pimpinan terhadap pertanyaan: “Seberapa pentingkah peran proses bagi ?”. Penilaian untuk kolom “Nilai Proses” dapat dilihat pada tabel di bawah ini.
Tabel IV. 2 Penilaian untuk Nilai TI Nilai Keterangan 5 Sangat Penting
4 Penting
3 Cukup Penting 2 Tidak Penting 1 Sama Sekali Tidak Penting
Tabel IV. 3 Pengukuran Nilai TI
Proses COBIT Nilai
Proses
Plan and Organise
PO1 Mendefinisikan Rencana TI Strategis PO2 Mendefinisikan arsitektur informasi PO3 Menentukan arahan teknologi
PO4 Mendefinisikan proses, organisasi dan hubungan TI PO5 Manajemen investasi TI
PO6 Mengomunikasikan tujuan dan arahan manajemen PO7 Manajemen sumber daya manusia TI
PO8 Manajemen Mutu PO9 Manajemen risiko PO10 Manajemen proyek Acquire and Implement
AI1 Mengidentifikasi solusi yang terotamatisasi
Proses COBIT Nilai Proses
AI3 Melakukan pengadaan dan pemeliharaan infrastruktur teknologi AI4 Memungkinkan operasi dan penggunaan
AI5 Melakukan pengadaan sumber daya TI AI6 Manajemen Perubahan
AI7 Memasang dan menggunakan solusi dan melaksanakan perubahan Deliver and Support
DS1 Manajemen tingkat layanan DS2 Manajemen layanan pihak ketiga DS3 Manajemen kinerja dan kapasitas DS4 Memastikan keberlangsungan layanan DS5 Memastikan keamanan sistem
DS6 Mengidentifikasi dan mengalokasikan biaya DS7 Mendidik dan melatih pengguna
DS8 Manajemen Service Desk dan insiden DS9 Manajemen konfigurasi
DS10 Manajemen masalah. DS11 Manajemen Data
DS12 Manajemen lingkungan fisik DS13 Manajemen operasi
Monitor and Evaluate
ME1 Memonitor dan mengevaluasi kinerja TI ME2 Memonitor dan mengevaluasi kontrol internal ME3 Memastikan pemenuhan terhadap regulasi ME4 Memberikan tata kelola TI
Pengukuran risiko TI
Penerapan TI pada sebuah organisasi tentunya memiliki risiko TI tersendiri. Risiko ini dapat dikurangi dampaknya dengan melakukan kontrol-kontrol tertentu. Oleh karena itu untuk pengukuran risiko TI dapat dilakukan dengan memeriksa keberadaan kontrol untuk setiap proses TI tersebut. Menurut COBIT, kontrol
dapat berupa kebijakan, prosedur, praktik dan struktur organisasi yang dapat menjamin bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dihindari atau dideteksi.
Untuk mengukur risiko TI maka perangkat bantu di seperti ditunjukkan pada tabel III.4 dapat digunakan. Kontrol kunci pada tabel tersebut diambil dari kontrol yang didefinisikan oleh COBIT untuk setiap proses TI. Sebagai contoh untuk PO1 Mendefinisikan Rencana TI Strategis (Define a Strategic IT Plan), COBIT mendefinisikan kontrolnya sebagai berikut:
• Engaging with business and senior management in aligning IT strategic planning with current and future business needs.
• Understanding current IT capabilities.
• Providing for a prioritization scheme for the business objectives that quantifies the business requirements.
Dengan demikian maka kontrol kunci untuk PO1 tersebut adalah:
• Keselarasan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan yang akan datang dibicarakan dengan manajemen bisnis dan senior
• Memahami kemampuan TI saat ini
• Memberikan skema prioritas untuk tujuan bisnis yang mengkuanfikasi kebutuhan bisnis.
Kontrol kunci tersebut kemudian diukur dengan menanyakan kepada para pimpinan apakah sudah ada atau belum, didokumentasikan atau tidak. Tabel IV.4 memperlihatkan contoh untuk 4 proses TI yaitu PO1, PO2, dan PO3.
Tabel IV. 4 Pengukuran Risiko
Domain COBIT dan
Proses
Kontrol Kunci
Analisis Kontrol Kunci Risiko
Tidak yakin Sebagian, Tid
a k didok u men tas ikan Sebagian, Did o kume n tasik a n Seluruhn ya, Ad a yang tid a k didok u men tas ikan S elu ru ha ny a, Didokumen tasikan Per A k tivi tas Per Proses 1.00 0.75 0.50 0.25 0.00 PO1 Mendefinisikan Rencana TI Strategis Keselarasan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan yang akan datang dibicarakan dengan manajemen bisnis dan
senior
Memahami kemampuan TI
saat ini
Memberikan skema prioritas untuk tujuan
bisnis yang mengkuantifikasi kebutuhan bisnis PO2 Mendefinisikan arsitektur informasi Memastikan keakuratan arsitektur informasi dan
model data
Menetapkan kepemilikan
data
Mengelompokan informasi
Domain COBIT dan
Proses
Kontrol Kunci
Analisis Kontrol Kunci Risiko
Tidak yakin Sebagian, Tid
a k didok u men tas ikan Sebagian, Did o kume n tasik a n Seluruhn ya, Ad a yang tid a k didok u men tas ikan Seluruh a n y a, Didokumen tasikan Per A k tivi tas Per Proses 1.00 0.75 0.50 0.25 0.00 dengan menggunakan skema pengelompokkan yang disetujui PO3 Menentukan arahan teknologi
Membentuk sebuah forum untuk memandu arsitektur
dan memverifikasi
pemenuhan
Membangun rencana teknis infrastruktur seimbang terhadap biaya,
risiko dan kebutuhan Mendefinisikan standar
teknis infrastruktur berdasarkan pada kebutuhan arsitektur
Untuk kepentingan analisis keberadaan kontrol kunci tersebut dikategorikan dan diberi nilai sebagaimana ditunjukkan pada tabel IV.5.
Tabel IV. 5 Nilai Untuk Analisis Kontrol Kunci
Jawaban Nilai Semua kontrol ada dan didokumentasikan 0.00
Semua kontrol ada tetapi ada yang belum didokumentasikan
0.25 Sebagian kontrol ada dan sudah didokumentasikan 0.50 Sebagian kontrol ada tetapi belum
didokumentasikan
0.75 Tidak yakin dengan adanya kontrol 1.00
Selanjutnya pengisian tabel tersebut mengikuti aturan sebagai berikut: a. Kolom “Analisis Kontrol Kunci” diisi dengan hasil penilaian
keberadaan kontrol untuk setiap proses TI seperti dijelaskan sebelumnya.
b. Kolom “Risiko – Per Aktivitas” diisi dengan jumlah nilai analisis kontrol kunci untuk setiap kontrol kunci dari proses TI tertentu.
c. Kolom “Risiko – Per Proses” diisi dengan rata-rata nilai analisis kontrol kunci untuk setiap proses TI.
Dengan menggunakan tabel IV.4 maka dapat kita lihat bahwa sebuah proses TI memiliki nilai risiko yang tinggi bilamana kontrol kunci untuk proses tersebut tidak atau belum dilaksanakan secara sempurna oleh organisasi.
IV.5 Langkah 5: Pemilihan Proses TI Yang Kritikal
Langkah berikutnya adalah memilih proses TI yang kritikal. Perbaikan tata kelola TI akan diprioritaskan pada proses-proses TI yang kritikal ini. Proses-proses TI kritikal tersebut memiliki kriteria sebagai berikut:
a. Proses TI tersebut dinilai penting bagi kepentingan , hal ini ditunjukkan dengan nilai pada kolom “Nilai Proses” pada tabel.
b. Proses TI tersebut dinilai memiliki tingkat risiko yang cukup tinggi akibat kurangnya kontrol yang memadai terhadap risiko TI.
Pemilihan proses TI yang kritikal ini dapat dilakukan dengan mempertimbangkan hasil dari tahap sebelumnya yaitu dengan mengalikan nilai pentingnya sebuah proses TI bagi dengan risiko dari proses TI tersebut. Perkalian ini menghasilkan sebuah nilai yang merupakan status risiko dari setiap proses TI bagi organisasi tersebut.
Tabel IV. 6 Tabel Pengukuran Nilai dan Risiko TI
Nilai Proses Domain COBIT dan Proses Kontrol Kunci Risiko Status Profil
Per Aktivitas Per Proses
PO1 Mendefinisikan Rencana TI Strategis Keselarasan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan yang akan datang dibicarakan dengan manajemen bisnis dan senior
Memahami
kemampuan TI saat ini Memberikan skema prioritas untuk tujuan
bisnis yang mengkuantifikasi kebutuhan bisnis PO2 Mendefinisikan Memastikan keakuratan arsitektur
Nilai Proses Domain COBIT dan Proses Kontrol Kunci Risiko Status Profil
Per Aktivitas Per Proses
arsitektur
informasi
informasi dan model data Menetapkan kepemilikan data Mengelompokan informasi dengan menggunakan skema pengelompokkan yang disetujui PO3 Menentukan arahan teknologi Membentuk sebuah forum untuk memandu
arsitektur dan memverifikasi pemenuhan Membangun rencana teknis infrastruktur seimbang terhadap biaya, risiko dan kebutuhan Mendefinisikan standar teknis infrastruktur berdasarkan pada kebutuhan arsitektur informasi
Nilai status yang dihasilkan kemudian dikelompokkan dalam 3 kategori sebagai berikut:
a. Kategori “Rendah” untuk nilai 0 sampai lebih kecil atau sama dengan 1,666
b. Kategori “Sedang” untuk nilai yang lebih besar dari 1,666 dan lebih kecil dari atau sama dengan 3,333
c. Kategori “Tinggi” untuk nilai yang lebih besar dari 3,333
Penilaian ini dilakukan untuk semua proses TI dan diisikan dalam kolom “Profil” seperti ditunjukkan pada tabel III.6 di atas. Proses TI yang kritikal tentunya proses TI yang memiliki nilai profil “Sedang” dan/atau “Tinggi”. Tentunya setiap dapat menentukan sendiri apakah proses TI kritikal adalah proses dengan profil “Sedang” dan “Tinggi” atau hanya yang memiliki profil “Tinggi” saja.
IV.6 Langkah 6: Pengukuran Tingkat Kematangan
Setelah menentukan proses TI yang kritikal bagi maka tahap berikutnya adalah mengukur tingkat kematangan dari proses-proses TI tersebut. Tingkat kematangan proses TI perlu diukur untuk mengetahui kondisi kematangan dari proses TI saat ini dan mengidentifikasi kemungkinan perbaikannya. Untuk itu terdapat dua hal yang perlu dilakukan yaitu:
1. Mengukur tingkat kematangan saat ini dari proses-proses TI yang kritikal. 2. Menetapkan tingkat kematangan yang menjadi target pencapaian guna
memperbaiki tingkat kematangan saat ini.
Metoda
Metoda pengukuran yang dapat dipakai adalah wawancara terhadap pimpinan . Kematangan dapat dihitung dengan menggunakan alat bantu seperti diperlihatkan pada tabel di bawah ini. Alat bantu tersebut menggunakan model kematangan proses TI dimana terdapat 5 (lima) tingkatan yaitu:
b. Tingkat 2 Repeatable but Intuitive c. Tingkat 3 Defined Process
d. Tingkat 4 Managed and Measurable e. Tingkat 5 Optimised
Setiap tingkat kematangan memiliki pernyataan yang diturunkan dari persyaratan tingkat kematangan yang didefinisikan oleh COBIT. Sebagai contoh untuk PO1 tingkat kematangan 1 memiliki persyaratan sebagai berikut
“The need for IT strategic planning is known by IT management. IT planning is performed on an as-needed basis in response to a specific business requirement. IT strategic planning is occasionally discussed at IT management meetings. The alignment of business requirements, applications and technology takes place reactively rather than by an organisationwide strategy. The strategic risk position is identified informally on a project-by-project basis.“
Dari persyaratan di atas maka dapat diturunkan pernyataan untuk tingkat kematangan 1 PO1 adalah sebagai berikut:
• Kebutuhan perencanaan strategis TI diketahui oleh manajemen TI
• Terdapat perencanaan TI paling sedikit berdasarkan kebutuhan untuk memenuhi persyaratan bisnis tertentu.
• Perencanaan strategis TI didiskusikan pada pertemuan manajemen TI (meskipun mungkin belum rutin dilakukan).
• Terdapat keselarasan antara kebutuhan bisnis, aplikasi dan teknologi (meskipun mungkin masih reaktif dan bukan berdasarkan strategi organisasi).
• Posisi risiko yang strategis diidentifikasi (meskipun mungkin masih secara informil per proyek).
Untuk mengetahui kematangan sebuah proses TI secara komprehensif, maka pemenuhan sebuah proses terhadap persyaratan setiap tingkat kematangan yang
ditetapkan dalam model kematangan COBIT perlu diukur. Hal ini dikarenakan sebuah proses meskipun belum memenuhi secara sempurna persyaratan sebuah tingkat kematangan namun mungkin sudah memenuhi sebagian dari persyaratan tersebut dan hal ini tentu saja perlu mendapatkan apresiasi dan penilaian. Sebagai contoh untuk mengukur tingkat kematangan proses TI PO1 Mendefinisikan Rencana TI Strategis (Define a strategic IT plan) maka perlu diukur pemenuhan dari proses TI yang terjadi di sebuah organisasi dengan persyaratan dalam setiap tingkat kematangan di dalam COBIT mulai dari tingkat 1 sampai 5 sebagai berikut.
Tingkat Kematangan: 1
No. Pernyataan
Tidak setuju sama sekali
Agak setuju S et u ju samp a i ti ng k a t tertentu Sangat setuju Nilai 0.00 0.33 0.66 1.00
1 Kebutuhan perencanaan strategis TI diketahui
oleh manajemen TI
2 Terdapat perencanaan TI paling sedikit
berdasarkan kebutuhan untuk memenuhi
persyaratan bisnis tertentu.
3 Perencanaan strategis TI didiskusikan pada
pertemuan manajemen TI (meskipun mungkin
belum rutin dilakukan).
4 Terdapat keselarasan antara kebutuhan bisnis,
aplikasi dan teknologi (meskipun mungkin masih reaktif dan bukan berdasarkan strategi
organisasi).
5 Posisi risiko yang strategis diidentifikasi
No. Pernyataan
Tidak setuju sama sekali
Agak setuju S et u ju samp a i ti ng k a t tertentu Sangat setuju Nilai proyek). Pemenuhan Tingkat Kematangan: 2 No. Pernyataan
Tidak setuju sama sekali
Agak setuju S et u ju samp a i ti ng k a t tertentu Sangat setuju Nilai 0.00 0.33 0.66 1.00
1 Perencanaan strategis TI dibicarakan dengan
manajemen bisnis berdasarkan kebutuhan
2 Pembaharuan rencana TI dilaksanakan (meskipun mungkin masih berdasarkan
permintaan manajemen)
3 Adanya mekanisme pengambilan keputusan
yang strategis (meskipun mungkin masih dikendalikan per proyek dan belum konsisten
dengan strategi organisasi keseluruhan)
4 Risiko dan manfaat pengguna untuk
keputusan-keputusan strategis yang utama diidentifikasi
(meskipun mungkin masih bersifat intuitif)
Pemenuhan Tingkat Kematangan: 3
No. Pernyataan
Tidak setuju sama sekali
Agak setuju S et u ju samp a i ti ng k a t tertentu Sangat setuju Nilai 0.00 0.33 0.66 1.00
1 Terdapat kebijakan mengenai kapan dan bagaimana
melakukan perencanaan strategis TI
2 Perencanaan strategis TI mengikuti pendekatan
terstruktur, didokumentasikan dan diketahui semua
staf
3 Proses perencanaan TI cukup baik guna memastikan
bahwa perencanaan yang tepat memungkinkan untuk
dilakukan
4 Sudah dilakukan penilaian atas pelaksanaan proses
perencanaan TI (meskipun mungkin masih diserahkan kepada para manajer dan belum terdapat
prosedur untuk itu).
5 Strategi TI keseluruhan mencakup batasan yang
konsisten tentang risiko yang dapat diambil oleh organisasi baik risiko sebagai innovator ataupun
follower.
6 Strategi finansial, teknis dan sumber daya manusia
TI semakin mempengaruhi pengadaan produk dan
teknologi baru
7 Perencanaan strategis TI didiskusikan pada
pertemuan manajemen bisnis
Pemenuhan
Nilai pemenuhan dari setiap tingkat kematangan kemudian dikalikan dengan bobot yang menunjukkan kontribusi dari masing-masing tingkat kematangan bagi
tingkat kematangan keseluruhan proses TI. Penentuan bobot diserahkan kepada masing-masing berdasarkan pertimbangan tingkat kepentingan atau tingkat kesulitan pencapaian dari masing-masing tingkat kematangan bagi tingkat kepentingan keseluruhan.
Sebagai contoh bila sebuah menganggap semua tingkat kematangan memberikan kontribusi yang sama bagi tingkat kematangan keseluruhan sebuah proses maka bobot setiap tingkat kematangan dapat diberi nilai 1.00. Namun bila tersebut menganggap tingkat kematangan yang tinggi memerlukan usaha yang lebih besar dan juga pencapaiannya memberikan dampak yang lebih besar pula maka tentunya bobot yang lebih besar dapat diberikan untuk tingkat kematangan yang lebih tinggi sebagaimana diperlihatkan pada contoh di bawah ini. Hasil perkalian setiap tingkat kematangan ini kemudian dijumlahkan untuk menghasilkan nilai tingkat kematangan dari proses TI tersebut.
Tingkat Pemenuhan Bobot Nilai
1 0.34 2 0.66 3 1.00 4 1.33 5 1.67 Tingkat Kematangan
Selain pengukuran tingkat kematangan proses TI saat ini, perlu juga ditetapkan target tingkat kematangan yang ingin dicapai oleh yang bersangkutan. Tingkat kematangan yang menjadi target dapat ditetapkan oleh pimpinan dengan mempertimbangkan:
• Kondisi kematangan proses TI saat ini.
• Kemampuan dari tersebut untuk mencapainya.
• Tingkat urgensi dan kebutuhan organisasi atas proses TI tersebut termasuk yang disebabkan oleh regulasi.
IV.7 Langkah 7: Analisis Kesenjangan
Dari hasil pengukuran tingkat kematangan proses-proses TI saat ini dan target tingkat kematangan yang telah ditetapkan maka dapat diketahui kesenjangan kondisi di antara keduanya. Target tingkat kematangan dapat dijadikan masukan untuk menentukan persyaratan dari setiap proses TI yang diharapkan dapat dicapai di masa yang akan datang. Sebagai contoh misalnya target tingkat kematangan adalah 3.00 maka tentunya setiap proses TI harus berusaha memenuhi persyaratan kematangan proses TI yang ada di tingkat 4 supaya nilai tingkat kematangan minimal 3.00 tersebut dapat dicapai.
IV.8 Langkah 8: Pembuatan Dokumen Tata Kelola TI
Dengan memperhatikan hasil yang terlah didapat sebelumnya antara lain tentang kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI. Dokumen tata kelola TI berisi kebijakan, standard, dan/atau prosedur menyangkut:
1. Perbaikan kepemimpinan dan struktur tata kelola TI
Dalam menyusun kebijakan, standard, dan/atau prosedur terkait kepemimpinan dan struktur tata kelola TI, terdapat beberapa hal yang perlu dipertimbangkan diantaranya:
• Struktur organisasi TI saat ini dan dibandingkan dengan praktik-praktik terbaik untuk organisasi TI. Praktik-praktik terbaik ini antara lain praktik terbaik mengenai:
o Struktur Komite Strategi TI dan Komite Pengarah TI sebagaimana diperlihatkan dalam Board Briefing on IT Governance (ITGI, 2003). o Struktur organisasi TI
o Pemilahan tugas (segregation of duties) dalam pengelolaan TI.
• Regulasi pemerintahan pusat dan tentang kepemimpinan dan struktur tata kelola TI. Contoh regulasi yang perlu mendapatkan perhatian adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional.
2. Perbaikan proses tata kelola TI
Hal-hal yang perlu diperhatikan terkait hal ini antara lain:
• Proses-proses TI yang harus ada berdasarkan baik berdasarkan regulasi yang berlaku bagi (antara lain Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007) maupun untuk memenuhi kebutuhan spesifik dari yang bersangkutan (dengan berdasarkan hasil pemilihan proses TI yang kritikal).
• Target tingkat kematangan dari proses-proses TI. Persyaratan dari target tingkat kematangan dapat menjadi masukan yang berharga untuk penyusunan kebijakan, standard dan/atau prosedur terkait proses tata kelola TI ini.
Kebijakan yang dibuat dapat mengikuti format seperti ditampilkan dalam tabel berikut ini.
Tabel IV.7 Format Kebijakan Nomor Kebijakan/Standard/Prosedur
Ranah (optional)
Nama Kebijakan/Standard/Prosedur Pernyataan
Penjelasan Pernyataan
Hubungan dengan Prosedur/ Kebijakan/Standard
Tanggal berlaku Efektif
4.4 Template Dokumen Tata Kelola TI Pemerintahan
Sesuai batasan masalah penelitian ini, maka template dokumen tata kelola TI yang diberikan sebatas kerangka dokumennya. Template dokumen Tata Kelola TI untuk memiliki kerangka sebagai berikut:
Ringkasan Eksekutif
Berisi ringkasan tentang informasi yang dapat diperoleh dari Dokumen Tata Kelola TI ini. Isinya antara lain tentang alasan dan manfaat tata kelola TI bagi dan penanggung jawabnya. Disebutkan juga bahwa dokumen ini terdiri dari kebijakan, standard dan prosedur yang terkait dengan kepemimpinan, struktur dan proses tata kelola TI.
Pertimbangan-pertimbangan yang digunakan dalam menyusun dokumen tata kelola juga disebutkan dan jumlah kebijakan yang ada dalam dokumen perlu juga disampaikan di bagian ini.
1. PENDAHULUAN 1. Tujuan
Dokumen ini berisi penjelasan tentang kebijakan, standard dan prosedur terkait tata kelola TI untuk , yang menjadi panduan dalam menjalankan tata kelola TI di lingkungan .
2. Cakupan dan Batasan
Dokumen Tata Kelola TI dibuat berdasarkan hasil kajian dan pengukuran nilai serta risiko TI dan difokuskan pada proses-proses TI yang dinilai memiliki risiko menengah dan tinggi.
Daftar proses-proses TI yang dianggap kritikal di adalah:
No. Nama Proses
Dokumen ini berisi kebijakan untuk proses-proses tersebut berdasarkan kebutuhannya. Kebijakan merupakan pernyataan umum yang mengungkapkan persyaratan dan harapan dari pihak manajemen puncak. 2. RUJUKAN
Dokumen, standard, praktik-praktik terbaik dan regulasi yang dijadikan acuan dalam pembuatan dokumen tata kelola ini adalah:
No. NAMA DOKUMEN
3. LINGKUP TATA KELOLA TI 3.1. Dasar penyusunan
Dokumen ini disusun berdasarkan hasil pengukuran nilai dan risiko TI terhadap proses-proses yang ada di dalam COBIT dengan mempertimbangkan kondisi yang ada di .
Pemilihan dilakukan terhadap proses-proses yang memiliki profil risiko “sedang” dan “tinggi”. Berikut hasil lengkap dari pengukuran yang dilakukan.
Proses Profil Proses 1 Rendah/Sedang/Tinggi Proses 2 Rendah/Sedang/Tinggi Proses 3 Rendah/Sedang/Tinggi Proses 4 Rendah/Sedang/Tinggi Proses 5 Rendah/Sedang/Tinggi 3.2. Sistematika Dokumen
Penulisan Dokumen mengikuti sistematika sebagai berikut: Kepemimpinan dan Struktur Tata Kelola
• Kebijakan Kepemimpinan dan Struktur • Standard Kepemimpinan dan Struktur • Prosedur Kepemimpinan dan Struktur Proses Tata Kelola
• Standard Proses • Prosedur Proses
Standard dan prosedur hanya dibuat bila memang dibutuhkan untuk menjalankan sebuah kebijakan.
3.3. Penomoran
Standard penomoran digunakan dalam penulisan dokumen tata kelola TI ini untuk memudahkan pencarian dan pengelompokkan. Berikut penjelasan dari penomoran tersebut
Contoh penomoran: TKTI.A.BB
Penjelasan:
TKTI = Tata Kelola IT, sama untuk semua
A = 1 untuk kelompok kepemimpinan dan struktur 2 untuk kelompok proses
B = nomor urut kebijakan/standard/prosedur
4. KEPEMIMPINAN DAN STRUKTUR TATA KELOLA
Berisi kebijakan, standard dan prosedur terkait kepemimpinan dan struktur tata kelola TI di yang diperlukan untuk memberikan kepemimpinan dan struktur organisasi yang dibutuhkan dalam menjalankan tata kelola TI di pemerintahan.
4.1. Kebijakan Kepemimpinan dan Struktur 4.1.1. Kebijakan 1 Kode Tentang Pernyataan Penjelasan Pernyataan Hubungan dengan
Standard/Prosedur
Tanggal berlaku Efektif
5. PROSES TATA KELOLA
Proses-proses tata kelola TI meliputi proses-proses TI yang kritikal yang digolongkan dalam kelompok proses perencanaan, manajemen belanja/investasi, realisasi, pengoperasian dan pemeliharaan sistem.
5.1. Kebijakan Proses 5.1.1. Kebijakan 1 Nomor Kebijakan Ranah Nama Kebijakan Pernyataan Penjelasan Pernyataan Hubungan dengan Prosedur/Standard
