Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1
ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA
KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI
MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
SEKOLAH PASCASARJANA
INSTITUT PERTANIAN BOGOR
BOGOR
2014
PERNYATAAN MENGENAI TUGAS AKHIR DAN
SUMBER INFORMASI SERTA PELIMPAHAN HAK CIPTA*
Dengan ini saya menyatakan bahwa tugas akhir berjudul Analisis Tingkat
Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI
menggunakan Framework COBIT 4.1 adalah benar karya saya dengan arahan dari
komisi pembimbing dan belum diajukan dalam bentuk apa pun kepada perguruan
tinggi mana pun. Sumber informasi yang berasal atau dikutip dari karya yang
diterbitkan maupun tidak diterbitkan dari penulis lain telah disebutkan dalam teks
dan dicantumkan dalam Daftar Pustaka di bagian akhir tugas akhir ini.
Dengan ini saya melimpahkan hak cipta dari karya tulis saya kepada Institut
Pertanian Bogor.
Bogor, Agustus 2014
Rima Octavia
G652100045
ABSTRACT
RIMA OCTAVIA. Analysis Maturity Level of Provision Information Technology
Governance in PDII-LIPI Using Framework COBIT 4.1. Supervised by
ENDANG PURNAMA GIRI and BLASIUS SUDARSONO.
Centre for Scientific Documentation and Information – Indonesian
Institute of Science (PDII-LIPI) PDII-LIPI began developing its business
purposes towards digital library. To support these purposes it is necessary to use
IT governance. PDII-LIPI haven’t any specific IT governance. COBIT is one of
the international standard for IT governance. COBIT is used in this study is
COBIT 4.1 because it can measure the organization its not uses IT governance.
The results of the calculation of the maturity level of to provided IT governance in
PDII-LIPI based on framework COBIT 4.1 shows that PDII-LIPI already at level
3 (Defined Process). This is consistent with the actual conditions in PDII-LIPI.
COBIT 4.1 is considered quite capable, reliable and easy to implement in PDIILIPI as not only as IT governance, but also as a tool for management to formulate
policies and IT audit.
Keywords: IT governance, framework COBIT 4.1, maturity level.
RINGKASAN
RIMA OCTAVIA. Analisis Tingkat Kematangan Penyediaan Tata Kelola
Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1.
Dibimbing oleh ENDANG PURNAMA GIRI dan BLASIUS SUDARSONO.
Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan
Indonesia (PDII-LIPI) mulai mengembangkan tujuan bisnisnya ke arah
perpustakaan digital. Untuk mendukung tujuan bisnis ini perlu untuk
menggunakan tata kelola TI. PDII-LIPI belum mempunyai tata kelola TI
tersendiri. COBIT merupakan salah satu standar internasional untuk tata kelola TI.
COBIT yang digunakan dalam penelitian ini adalah COBIT 4.1 karena dapat
mengukur organisasi yang belum menggunakan tata kelola TI.
Kerangka kerja COBIT 4.1 membagi tahapan tata kelola TI ke dalam
empat domain yaitu perencanaan dan pengorganisasian (PO), pengadaan dan
implementasi (AI), pengantaran dan dukungan (DS), serta monitor dan evaluasi
(ME). Kerangka kerja COBIT 4.1 berorientasi pada proses maka keseluruhan
domain tersebut memiliki beberapa proses, domain PO memiliki 10 proses,
domain AI memiliki 7 proses, domain DS memiliki 13 proses, dan domain ME
memiliki 4 proses.
Analisis tingkat kematangan penyediaan tata kelola TI atau ME4,
menggunakan beberapa proses pada kerangka kerja COBIT 4.1 sebagai proses
kontrolnya, yaitu PO4, PO5, PO9, ME2, dan ME3. Hasil perhitungan tingkat
kematangan untuk menyediakan tata kelola TI di PDII-LIPI berdasarkan kerangka
kerja COBIT 4.1 didapatkan berdasarkan proses kontrol yaitu PO4, PO5, PO9,
ME2, dan ME3 menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses
Terdefinisi). Berdasarkan demografi responden dalam hal ini pada struktural yang
masih menjabat saat ini, hasil tingkat kematangan penyediaan tata kelola TI di
PDII-LIPI juga menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses
Terdefini). Hal tersebut sesuai dengan kondisi pengelolaan TI di PDII-LIPI saat
ini. Tingkat kematangan yang diinginkan oleh struktural adalah 4 (Terkelola dan
Terukur) maka dari gap yang ada direkomendasikan untuk melakukan beberapa
perbaikan dan menambah beberapa kekurangan agar tingkat kematangan yang
diinginkan tercapai.
COBIT 4.1 dianggap cukup mampu, dapat diandalkan dan mudah
diimplementasikan dalam PDII-LIPI tidak hanya sebagai tata kelola TI, tetapi juga
sebagai alat bagi manajemen untuk merumuskan kebijakan dan audit TI.
Kata kunci: tata kelola TI, kerangka kerja COBIT 4.1, tingkat kematangan
© Hak Cipta Milik IPB, Tahun 2014
Hak Cipta Dilindungi Undang-Undang
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan
atau menyebutkan sumbernya. Pengutipan hanya untuk kepentingan pendidikan,
penelitian, penulisan karya ilmiah, penyusunan laporan, penulisan kritik, atau
tinjauan suatu masalah; dan pengutipan tersebut tidak merugikan kepentingan
IPB
Dilarang mengumumkan dan memperbanyak sebagian atau seluruh karya tulis ini
dalam bentuk apa pun tanpa izin IPB
ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA
KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI
MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
Tugas Akhir
sebagai salah satu syarat untuk memperoleh gelar
Magister Profesional
pada
Program Studi Magister Teknologi Informasi untuk Perpustakaan
SEKOLAH PASCASARJANA
INSTITUT PERTANIAN BOGOR
BOGOR
2014
Penguji Luar Komisi : Firman Ardiansyah, SKom, Msi
Judul Tesis : Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi
Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1
Nama
: Rima Octavia
NIM
: G652 100045
Disetujui oleh
Komisi Pembimbing
Endang Purnama Giri, SKom, MKom
Ketua
Blasius Sudarsono, MLS
Anggota
Diketahui oleh
Ketua Program Studi
Magister Teknologi Informasi
untuk Perpustakaan
Dekan Sekolah Pascasarjana
Aziz Kustiyo, SSi, MKom
Dr. Ir. Dahrul Syah, MSc Agr
Tanggal Ujian:
30 Agustus 2014
Tanggal Lulus:
PRAKATA
Puji dan syukur penulis panjatkan kepada Allah subhanahu wa ta’ala atas
segala karunia-Nya sehingga karya ilmiah ini berhasil diselesaikan. Tema yang
dipilih dalam penelitian yang dilaksanakan sejak bulan Januari 2014 ini ialah tata
kelola TI, dengan judul Analisis Tingkat Kematangan Penyediaan Tata Kelola
Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1.
Terima kasih penulis ucapkan kepada Bapak Endang Purnama Giri, SKom,
MKom dan Bapak Blasius Sudarsono, MLS selaku pembimbing yang telah
banyak memberi saran. Di samping itu, penghargaan penulis sampaikan kepada
Kementerian Riset dan Teknologi selaku pemberi beasiswa sehingga penulis bisa
melaksanakan tugas belajar pada Program Studi Magister Teknologi Informasi
untuk Perpustakaan. Penulis juga mengucapkan banyak terima kasih kepada Ibu
Ir. Sri Hartinah, MSi selaku Kepala Pusat PDII-LIPI serta rekan-rekan kerja di
PDII-LIPI yang telah membantu selama pengumpulan data. Ungkapan terima
kasih juga disampaikan kepada papa dan mama, bapak dan ibu mertua, suami,
anak, seluruh keluarga, sabahat dan teman-teman MTP khususnya angkatan 2010,
sera semua yang telah memberikan doa, kasih sayang, dan dukungan penuh
selama menyelesaikan penelitian hingga menyusun tulisan.
Semoga karya ilmiah ini bermanfaat.
Bogor, Agustus 2014
Rima Octavia
RIWAYAT HIDUP
Penulis dilahirkan di Jakarta pada tanggal 9 Oktober 1976 sebagai anak
bungsu dari pasangan H. Anwardi Mawardi dan Hj. Yusra. Pendidikan diploma
ditempuh di Program Studi Teknik Grafika, Politeknik Universitas Indonesia,
Depok, lulus pada tahun 1998. Pada tahun 2002 penulis menamatkan pendidikan
sarjana yang ditempuh di Universitas Sahid, Jakarta dengan Program Studi Teknik
Industri. Kesempatan untuk melanjutkan ke program magister pada program studi
Magister Teknologi Informasi untuk Perpustakaan pada Institut Pertanian Bogor
diperoleh pada tahun 2010. Beasiswa pendidikan pascasarjana diperoleh dari
Kementerian Riset dan Teknologi Republik Indonesia.
Penulis bekerja sebagai Pengolah Naskah dan Desain di Pusat Dokumentasi
dan Informasi Ilmiah LIPI sejak tahun 2006 dan ditempatkan di Jakarta. Penulis
bertanggung jawab terhadap pengolahan naskah dan desain produk-produk PDIILIPI.
DAFTAR ISI
DAFTAR TABEL
viii
DAFTAR GAMBAR
viii
DAFTAR LAMPIRAN
ix
1 PENDAHULUAN
Latar Belakang
Perumusan Masalah
Tujuan Penelitian
Manfaat Penelitian
Ruang Lingkup Penelitian
1
1
3
3
3
4
2 TINJAUAN PUSTAKA
Teknologi Informasi
Tata Kelola Teknologi Informasi
COBIT
Profil Organisasi PDII-LIPI
5
5
6
9
29
3 METODOLOGI
Metode Penelitian
Tahapan Penelitian
Tahapan Analisis
Pengolahan Hasil Kuesioner
Evaluasi
33
33
33
35
36
37
4 HASIL DAN PEMBAHASAN
Profil Responden
Karakteristik Demografi Responden
Pengolahan Data Kuesioner
Evaluasi Tata Kelola TI
38
38
38
42
51
5 SIMPULAN DAN SARAN
Simpulan
Saran
55
55
55
DAFTAR PUSTAKA
56
LAMPIRAN
57
DAFTAR TABEL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Proses TI dalam domain perencanaan dan pengorganisasian
Proses TI dalam domain pengadaan dan implementasi
Proses TI dalam domain penyampaian layanan dan dukungan
Proses TI dalam domain monitor dan evaluasi
Kriteria kontrol informasi dari COBIT 4.1
Tingkat kematangan secara umum dalam COBIT 4.1
Tingkat kematangan ME4
Representasi tingkat kematangan COBIT
Jumlah jawaban responden untuk setiap modul dari sub domain PO4
Jumlah jawaban responden untuk setiap modul dari sub domain PO5
Jumlah jawaban responden untuk setiap modul dari sub domain PO9
Jumlah jawaban responden untuk setiap modul dari sub domain ME2
Jumlah jawaban responden untuk setiap modul dari sub domain ME3
Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3
Tingkat kematangan berdasarkan demografi responden
13
13
14
14
15
18
26
37
42
43
45
46
48
49
50
DAFTAR GAMBAR
1
2
3
4
5
6
7
8
9
10
11
12
Proses tata kelola TI
Kubus COBIT
Kerangka kerja COBIT 4.1 secara keseluruhan
Hubungan domain-domain dalam COBIT 4.1
Diagram alur penelitian
Sebaran responden berdasarkan usia
Sebaran responden berdasarkan jenis kelamin
Sebaran responden berdasarkan tingkat pendidikan
Sebaran responden berdasarkan jabatan
Sebaran responden berdasarkan masa kerja
Sebaran responden berdasarkan keaktifannya di PDII-LIPI
Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol
proses ME4
8
11
12
15
34
39
39
40
40
41
41
52
DAFTAR LAMPIRAN
1 Kuesioner tingkat kematangan tata kelola di PDII-LIPI
2 Data relasi responden mengenai TI
3 Data hasil identitas responden
4 Data modul sub domain PO4
5 Data modul sub domain PO5
6 Data modul sub domain PO9
7 Data modul sub domain ME2
8 Data modul sub domain ME3
57
63
64
65
67
68
69
70
1 PENDAHULUAN
Latar Belakang
Teknologi Informasi (TI) mempengaruhi hampir semua aspek kehidupan
manusia, salah satunya adalah perpustakaan. Perkembangannya yang sangat cepat
menuntut perpustakaan untuk melakukan terobosan dan perubahan agar dapat
mengoptimalkan penggunaan TI. Perpustakaan pada era TI menciptakan
perubahan konsep perpustakaan konvensional menjadi perpustakaan digital,
membuat akses informasi perpustakaan dapat dilakukan secara virtual tanpa perlu
datang ke perpustakaan. Dengan demikian, perpustakaan menjadi pusat informasi
yang lebih proaktif mencari pembacanya dan memberikan layanan-layanan yang
lebih cepat serta up to date.
Khusus di bidang Ilmu Perpustakaan dan Informasi, Sulistyo (1993)
menyatakan bahwa TI adalah teknologi yang digunakan untuk menyimpan,
mengolah, menghasilkan dan menyebarluaskan informasi. Penggunaan bantuan TI
pada proses pengelolaan perpustakaan disebut otomasi perpustakaan. Otomasi
perpustakaan (library automation) adalah pemanfaatan TI untuk kegiatan-kegiatan
perpustakaan meliputi: pengadaan, pengolahan, penyimpanan, dan penyebarluasan
informasi. Selain itu, otomasi perpustakaan mengubah sistem perpustakaan
manual menjadi sistem perpustakaan terkomputerisasi. Penggunaan TI saat ini
telah mengalami perubahan yang sangat besar dari sekedar alat bantu menjadi
komponen proses bisnis dalam perpustakaan.
Lin et al. (2000) menyatakan bahwa organisasi yang menggunakan TI perlu
melakukan tata kelola agar TI dapat memberikan manfaat yang maksimal.
Pengelolaan TI dapat digambarkan sebagai pengelolaan piranti lunak dan piranti
keras yang diharapkan dapat mengembangkan dan meningkatkan keuntungan
sistem informasi serta menyumbang manfaat jangka panjang bagi organisasi.
Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan
Indonesia (PDII-LIPI) sebagai lembaga pemerintahan yang bergerak pada bidang
jasa perpustakaan telah menyadari pentingnya penggunaan TI pada perpustakaan.
PDII-LIPI menerapkan TI pertama kali dalam bentuk off-line dengan
menggunakan perangkat lunak format MARC (machine readible cataloguing)
2
yaitu format cantuman bibliografi yang terbaca mesin (komputer) pada tahun
1983 sehingga PDII-LIPI diakui sebagai perpustakaan pertama di Indonesia yang
menerapkan penggunaan TI. PDII-LIPI mulai mengubah sistemnya menjadi online, yaitu TI berbasis internet sejak era 2000-an. PDII-LIPI berusaha menjadi
sebuah perpustakaan yang tidak hanya melakukan layanan peminjaman buku,
referensi, penelusuran, dan lain-lain yang terbatas pada aktivitas lokal, tetapi
menjadi sebuah perpustakaan yang bisa di akses dari manapun, kapanpun, dan
oleh siapapun. Oleh karena itu PDII-LIPI melakukan pengembangan perpustakaan
ke
arah
perpustakaan
digital
(http://elib.pdii.lipi.go.id/).
Wijaya
(2007)
menyatakan bahwa penerapan TI untuk mendukung e-goverment merupakan
upaya pemerintah mengadopsi TI dalam rangka meningkatkan kualitas pelayanan
publik.
PDII-LIPI telah berusaha menjawab tantangan era TI dengan terus
mengembangkan TI pada perpustakaan, memperbaiki infrastruktur, dan
meningkatkan kualitas sumber daya manusia (SDM). Meskipun Kementerian
Komunikasi dan Informatika RI (2007), memberikan panduan tata kelola TI yaitu
berdasarkan
Peraturan
Menteri
41/PER/MEN.KOMINFO/11/2007
Komunikasi
tentang
dan
Panduan
Informatika
Umum
Tata
No.
Kelola
Teknologi Informasi dan Komunikasi Nasional, namun tetap diperlukan tata
kelola TI yang lebih spesifik untuk PDII-LIPI karena TI telah menjadi proses
bisnis di PDII-LIPI agar TI bisa berkontribusi maksimal pada penyelenggaraan
digital library (perpustakaan digital).
IT Governance Institute (2007) menyatakan bahwa untuk menjamin
ketersediaan sumber daya dalam organisasi diperlukan mekanisme pengendalian
internal sehingga tugas pokok dan fungsi (tupoksi) organisasi dapat tercapai.
Mekanisme pengendalian internal mencakup dua lingkungan yaitu lingkungan
aktivitas organisasi yang disebut tata kelola organisasi (enterprise governance)
serta lingkungan pengelolaan dan pengolahan data menjadi informasi untuk
menunjang proses pengambilan keputusan organisasi yang disebut tata kelola TI
(IT Governance).
Penerapan TI di perpustakaan akan dapat dilakukan dengan baik apabila
ditunjang dengan suatu tata kelola TI mulai dari perencanaan sampai
3
implementasinya. Pemilihan tata kelola COBIT dikarenakan COBIT adalah
standar international untuk tata kelola TI dan COBIT diarahkan lebih luas
digunakan di bidang manajemen, sehingga tidak hanya berperan sebagai standar
tata kelola TI tetapi dapat juga digunakan sebagai alat bantu bagi manajemen
dalam merumuskan kebijakan-kebijakan strategis. COBIT dilengkapi kerangka
kerja (framework) untuk audit TI dan lebih mudah dipakai serta diterapkan dalam
organisasi. COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat bagian
yaitu plan and organize (perencanaan dan pengorganisasian), acquire and
implement (pengadaan dan implementasi), deliver and support (pengantaran dan
dukungan), serta monitor and evaluate (monitor dan evaluasi). COBIT yang
digunakan dalam kajian ini adalah COBIT 4.1 karena dapat mengukur organisasi
yang belum menggunakan tata kelola TI dan difokuskan pada domain monitor dan
evaluasi (ME) terutama yang membahas tentang menyediakan tata kelola TI.
Perumusan Masalah
Berdasarkan masalah dan fakta yang terurai pada latar belakang, maka
penyusun merumuskan masalah yang tercakup dalam penelitian ini sebagai
berikut:
1.
Bagaimana kondisi pengelolaan TI yang sedang berjalan?
2.
Apakah dengan framework (kerangka kerja) COBIT 4.1 akan ditemukan
mengapa tata kelola TI diperlukan?
Tujuan Penelitian
1.
Mempelajari kondisi pengelolaan TI.
2.
Menentukan maturity level (tingkat kematangan) penyediaan tata kelola TI
berdasarkan kerangka kerja COBIT 4.1.
Manfaat Penelitian
Manfaat yang diharapkan dari hasil penelitian ini adalah:
1.
Dapat ditemukannya penyimpangan dalam pengelolaan TI di PDII-LIPI dari
hasil tingkat kematangan penyediaan tata kelola TI berdasarkan kerangka
kerja COBIT 4.1.
4
2.
Membantu manajemen dalam pengambilan keputusan untuk kebijakan TI
untuk memperbaiki penyimpangan yang ditemukan di PDII-LIPI hingga
selanjutnya mampu mendukung pencapaian tujuan bisnis.
Ruang Lingkup Penelitian
1.
Penelitian dilakukan pada Januari-Juni 2014 dan hanya dilakukan di PDIILIPI, Jakarta.
2.
Untuk mendapatkan rekomendasi dan saran atas hasil evaluasi tersebut,
digunakan domain monitor dan evaluasi (ME) terutama sub domain
mengenai penyediaan tata kelola yang terdapat dalam kerangka kerja
COBIT 4.1.
5
2 TINJAUAN PUSTAKA
Teknologi Informasi
TI adalah penggabungan antara teknologi komputer dengan telekomunikasi.
Cakupan dari TI itu sendiri adalah telekomunikasi, komputer yang di dalamnya
termasuk bentuk mikro (contohnya yaitu perlindungan data, sistem pakar,
komunikasi suara dengan bantuan komputer), jaringan digital (contohnya antara
lain adanya surat elektronik, sistem informasi, jaringan informasi), serta audio dan
video, termasuk sistem komunikasi optik (contohnya video conference, video-teks,
dan lain-lain).
Fungsi utama TI pada perpustakaan adalah untuk mengatur informasi (inhouse information) serta mengusahakannya agar dapat ditemukembalikan. Selain
itu, TI memungkinkan kita untuk mengakses pangkalan data (database) luar
(ekstern), yaitu database dari lembaga-lembaga lain, di berbagai belahan dunia.
Fungsi lain dari TI adalah meringankan beban kerja, efisiensi dan menghemat
waktu,
meningkatkan
jasa
perpustakaan,
dokumentasi,
dan
informasi
(perpusdokinfo), serta membangun jaringan kerja dan kerjasama.
Terdapat lima komponen dasar dari TI, antara lain hardware (perangkat
keras), software (perangkat lunak), brainware (SDM), dataware (data), dan
netware (jaringan). Ada beberapa alasan mengapa TI perlu untuk dikembangkan
yaitu untuk meningkatkan advantage (kegunaan), mengembangkan produktivitas
dan kinerja, memfasilitasi sarana baru dalam pengelolaan dan pengorganisasian,
dan mengembangkan bisnis baru.
Aplikasi TI yang tercakup dalam ruang lingkup suatu sistem informasi
perpustakaan antara lain adalah library housekeeping (pengelolaan perpustakaan),
information retrieval (temu kembali informasi/penelusuran informasi), general
purpose software (perangkat lunak untuk berbagai macam keperluan), library
networking (jaringan kerjasama perpustakaan).
6
Tata Kelola Teknologi Informasi
Pengertian Tata Kelola Teknologi Informasi
Weill et al. (2004) mendefinisikan tata kelola TI sebagai suatu bagian
integral dari tata kelola organisasi yang terdiri atas kepemimpinan, struktur dan
proses organisasional yang memastikan bahwa organisasi TI berlanjut serta
meningkatkan tujuan dan strategi organisasi. Tata kelola TI memungkinkan
perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya
sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan
keuntungan kompetitif (ITGI 2007).
Tata kelola TI merupakan satu kesatuan dari tata kelola organisasi melalui
peningkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang
berhubungan. Tata kelola TI menyediakan struktur yang menghubungkan proses
TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan. Lebih jauh
lagi tata kelola TI menggabungkan good (best) practice dari perencanaan dan
pengorganisasian TI, pembangunan dan pengimplemantasian, penyampaian
layanan dan dukungan, serta memonitor kinerja TI untuk memastikan kalau
informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis
perusahaan. Tata kelola TI memungkinkan perusahaan untuk memperoleh
keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari
peluang dan keuntungan kompetitif yang dimiliki.
Pembangunan sistem pengendalian intern yang dapat diandalkan, sangat
berkaitan dengan tata kelola TI, yaitu dalam hal pemilihan dan pengembangan TI
yang memadai. Lemahnya pemilihan dan pengembangan TI akan menghasilkan
sistem informasi (SI) yang tidak andal. Lemahnya SI tidak memungkinkan
terjadinya warning sign (deteksi dini) atas kesalahan pengelolaan TI.
Peranan tata kelola TI merupakan hal yang sangat penting, dalam konteks
organisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barang
yang langka/baru lagi. Penggunaan TI di berbagai industri jasa tidak dapat
dihindarkan dan telah mengubah sifat dari penyampaian jasa, yang memaksa
pekerja dan konsumen untuk lebih berinteraksi dengan teknologi yang dapat
7
menghemat waktu, ruang dan jarak tempuh atas data dan informasi dalam
penyampaian layanan yang dapat memuaskan konsumen.
Sayangnya, kesadaran atas pemilihan dan pengembangan IT yang andal,
lambat disadari oleh organisasi. Organisasi banyak yang tidak mempunyai visi
atau misi ke depan yang berkaitan dengan pemilihan dan pengembangan TI.
Kesadaran tata kelola baru akan terasa ketika persaingan makin besar. Organisasi
yang terlambat menyadari pentingnya tata kelola TI sementara proses bisnis
mereka adalah TI dapat kalah bahkan mati dalam persaingan. Kegagalan
pengembangan TI dapat meningkatkan keluhan dan tututan konsumen serta
tingginya risiko operasional.
Kesadaran pemilihan dan pengembangan TI terletak pada top managemen
karena mereka penentu strategi bisnis. Hal ini melibatkan pengadaan IT yang
relatif mahal yang seringkali tidak sesuai dengan kaidah good corporate
governance. Bukan rahasia lagi kalau korupsi sudah membudaya sehingga markup pembelian atau membeli barang yang bermutu rendah dengan harga mahal
menjadi praktik biasa dengan komisi masuk kantung pribadi. Barang TI lalu
menjadi beban perusahaan yang dapat menimbulkan IT Failure lalu menimbulkan
frustasi dan tingginya tingkat risiko operasional dan risiko reputasi.
Organisasi yang mengedepankan tata kelola akan memilih perangkat TI
yang berkualitas sehingga menghasilkan sistem informasi manajemen (MIS) yang
handal dan mendukung pengembangan bisnisnya. Sebagaimana disampaikan oleh
Damianides (2005) sebagai berikut.
"The prominent role of IT in creating business value has
accelerated the establishment of the concept of IT Governance as
ahigh priority for boards of directors and executive management. IT
Governance practices need to focus on ensuring that the expectations
of IT are met. An effective IT Governance program will help
organizations understand the issues and ensure that IT can sustain
operations, and help enable companies to use IT for competitive
advantage."
Dengan kata lain, memang tata kelola TI awalnya berada di tangan direksi,
komisaris atau pemilik yang mau tahu perubahan/percepatan TI dan mempunyai
8
komitmen dalam pemilihan/pengembangan TI. Dalam hal ini, peran Chief
Information Officer (CIO) saat ini menjadi penting karena membantu manajemen
untuk melihat apa yang dibutuhkan organisasi agar dapat menyesuaikan dengan
kebutuhan/tuntutan pasar (competitive advantage). Peran pegawai juga penting,
apakah mereka mau menyesuaikan dengan "perubahan" yang berkaitan
perkembangan TI atau tidak. Jadi, diperlukan sikap inovatif, ketekunan dan
keinginan untuk belajar. Perubahan TI dapat menyebabkan perubahan prosedur
kerja yang dapat menimbulkan frustrasi. Oleh karena itu, tata kelola TI juga
berkaitan dengan pengembangan SDM yang berkualitas.
Proses Tata Kelola Teknologi Informasi
Sebagai suatu proses, sistem tata kelola TI dapat dilihat dari peran dan
fungsi tiap komponen yang membentuk struktur tata kelola TI. Proses tata kelola
TI dapat kita lihat pada Gambar 1.
Proses Perancangan Tata Kelola TI
Proses Keputusan TI
Mekanisme Penyelarasan Strategi Bisnis dan TI
Mekanisme Implementasi Keputusan TI
Mekanisme Pengarahan Perilaku Pengguna
Mekanisme Pengawasan
Mekanisme Evaluasi Kinerja TI
Gambar 1 Proses tata kelola TI
9
COBIT
Pengertian COBIT
Menurut Gondodiyoto (2007), COBIT adalah sekumpulan dokumentasi best
practices untuk tata kelola TI yang dapat membantu auditor, pengguna (user), dan
manajemen, dan juga untuk menjembatani kesenjangan (gap) antara resiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis TI.
COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan
karena itu business process owners dan manajer, termasuk juga auditor dan
pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya.
COBIT adalah merupakan kerangka kerja “a set of best practices” bagi IT
management (pengelolaan TI). COBIT disusun oleh Information Technology
Governance Institute (ITGI) bagian dari Information System Audit and Control
Association (ISACA), tepatnya oleh Information Systems Audit and Control
Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada
tahun 1996, sementara versi on-line pertama kali dikeluarkan tahun 2003 pada
edisi ke tiga. Versi COBIT terakhir saat ini adalah COBIT 5. Menurut ITGI
(2007), pada COBIT 4.1 diuraikan good practices, domain-domain dan proses
kerangka kerja TI yang ada. Selain itu juga menjelaskan masalah process and
activity (pengelolaan proses TI dan bentuk-bentuk kegiatan) dan mempunyai
struktur yang sangat logis.
COBIT dikembangkan sebagai suatu generally applicable and accepted
standard for good Information Technology security and control practices. Istilah
“generally applicable and accepted” digunakan secara eksplisit dalam pengertian
yang sama seperti Generally Accepted Accounting Principles (GAAP). Sementara
itu, “good practices” mencerminkan konsensus antar para ahli di seluruh dunia.
COBIT dapat digunakan sebagai tools tata kelola TI, dan juga membantu
perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT
dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpangsiuran dalam penerapan teknologi.
COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat
membantu dalam mengindetifikasi IT control issues. COBIT berguna bagi para
pengguna karena memperoleh keyakinan atas keandalan sistem aplikasi yang
10
digunakan. Sementara itu, para manager memperoleh manfaat berupa kemudahan
dalam pengambilan keputusan investasi di bidang TI serta infrastrukturnya,
menyusun strategi rencana TI, menentukan arsitektur informasi, dan keputusan
atas procurement (pengadaan/pembelian) mesin. Disamping itu, dengan
keterandalan SI yang ada pada organisasi diharapkan berbagai keputusan bisnis
dapat didasarkan atas informasi yang ada.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai
tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT dapat
dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI organisasi kita,
atau objek khusus di lingkungan TI. Selain dapat digunakan oleh auditor, COBIT
dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI
dan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama
yang sangat membantu dalam penerapan tata kelola TI di perusahaan.
COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan
tata kelola TI pada suatu organisasi. COBIT mempertemukan dan menjembatani
kebutuhan manajemen dari gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis TI, serta menyediakan referensi best business practices
yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis organisasi dan
memaparkannya dalam struktur aktifitas-aktifitas logis yang dapat di kelola serta
dikendalikan secara efektif.
COBIT mendukung manajemen dalam mengoptimalkan investasi TI melalui
ukuran-ukuran dan hasil pengukuran yang akan memberikan sinyal bahaya bila
suatu kesalahan atau resiko akan/atau sedang terjadi. Manajemen perusahaan
harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik.
Itu artinya, sistem dapat mendukung proses bisnis perusahaan yang secara jelas
menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan
dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.
Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk
pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian,
keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan
informasi (Gambar 2).
11
Gambar 2 Kubus COBIT
Sumber : ITGI (2007).
COBIT mengintegrasikan praktik-praktik yang baik dan menyediakan
kerangka kerja untuk tata kelola TI yang membantu pemahaman dan pengelolaan
resiko serta memperoleh keuntungan terkait dengan TI.
Untuk memahami kerangka kerja COBIT, harus diketahui karakteristik
utama bagaimana kerangka kerja ini disusun dan prinsip yang mendasarinya.
Karakteristik utama COBIT adalah orientasi pada proses, fokus pada bisnis,
berbasis kontrol, dan dikendalikan oleh pengukuran. Sementara itu, prinsip dasar
COBIT adalah memberikan informasi yang diperlukan bagi organisasi guna
mencapai tujuannya. Organisasi perlu mengelola dan mengendalikan sumber daya
TI dengan menggunakan sekumpulan proses-proses yang terstruktur untuk
memberikan layanan informasi yang diperlukan.
Kerangka Kerja COBIT 4.1
Kerangka kerja COBIT 4.1 berorientasi pada control objectives (proses)
yang terdiri atas 4 high-level control objectives (tujuan pengendalian tingkattinggi). Gambar 3 memperlihatkan kerangka kerja COBIT 4.1 secara keseluruhan.
12
Gambar 3 Kerangka kerja COBIT 4.1 secara keseluruhan
Sumber: ITGI (2007).
Kerangka kerja tersebut tercermin dalam 4 domain sebagai berikut.
1.
Perencanaan dan Pengorganisasian (PO)
Domain perencanaan dan pengorganisasian mencakup penggunaan TI dan
dapat digunakan dalam sebuah organisasi untuk membantu organisasi mencapai
tujuan dan sasaran. Selain itu, domain ini juga menyoroti organisasi dan
infrastruktur TI untuk mengambil dan mencapai hasil yang optimal dan yang
13
paling menghasilkan keuntungan dari penggunaan TI. Tabel 1 berisi proses TI
dalam domain perencanaan dan pengorganisasian sebanyak 10 proses.
Tabel 1 Proses TI dalam domain perencanaan dan pengorganisasian
PO1
Mendefinisikan Rencana dann Arah Strategis TI
PO2
Mendefinisikan Arsitektur Informasi
PO3
Menentukan Arah Teknologi
PO4
Mendefinisikan Proses TI, Organisasi dan Hubungan
PO5
Mengelola Investasi TI
PO6
Mengkomunikasikan Tujuan dan Arah Manajemen
PO7
Mengelola Sumber Daya Manusia TI
PO8
Mengelola Kualitas
PO9
Menilai dan Mengelola Resiko TI
PO10 Mengelola Proyek
2.
Pengadaan dan Implementasi (AI)
Domain
pengadaan
dan
implementasi
mencakup
mengidentifikasi
persyaratan TI, memperoleh teknologi, dan menerapkannya dalam organisasi saat
ini, yaitu proses bisnis. Domain ini juga alat pengembangan rencana pemeliharaan
bahwa organisasi harus mengadopsi untuk memperpanjang kehidupan sebuah
sistem TI dan komponennya. Tabel 2 berisi proses TI dalam domain pengadaan
dan implementasi sebanyak 7 proses.
Tabel 2 Proses TI dalam domain pengadaan dan implementasi
AI1 Mendefinisikan Solusi Otomasi
AI2 Mengadakan dan Memelihara Piranti Lunak Aplikasi
AI3 Mengadakan dan Memelihara Infrastruktur Teknologi
AI4 Memungkinkan Operasi dan Penggunaan
AI5 Mengadakan Sumber Daya TI
AI6 Mengelola Perubahan
AI7 Menginstal dan Mengakreditasi Solusi dan Perubahan
3.
Penyampaian Layanan dan Dukungan (DS)
Domain penyampaian layanan dan dukungan berfokus pada domain
pengiriman aspek TI. Domain ini meliputi area-area lingkup TI seperti eksekusi
aplikasi di dalam sistem TI dan hasil proses TI, serta dukungan yang
memungkinkan proses yang efektif dan efisien dalam pelaksanaan sistem TI.
Mendukung proses ini termasuk masalah keamanan dan pelatihan. Tabel 3 berisi
proses TI dalam domain penyampaian layanan dan dukungan sebanyak 13 proses.
14
Tabel 3 Proses TI dalam domain penyampaian layanan dan dukungan
DS1
Mendefinisikan dan Mengelola Tingkat Layanan
DS2
Mengelola Layanan Pihak Ketiga
DS3
Mengelola Kinerja dan Kapasitas
DS4
Memastikan Layanan Berkesinambungan
DS5
Memastikan Keamanan Sistem
DS6
Mengidentifikasikan dan Mengalokasikan Biaya
DS7
Mendidik dan Melatih Pengguna
DS8
Mengelola Meja Layanan dan Insiden
DS9
Mengelola Konfigurasi
DS10 Mengelola Masalah
DS11 Mengelola Data
DS12 Mengelola Lingkungan Fisik
DS13 Mengelola Pengoperasian
4.
Monitor dan Evaluasi (ME)
Domain monitor dan evaluasi berurusan dengan strategi organisasi dalam
menilai kebutuhan organisasi. Domain ini juga melihat apakah sistem TI yang
sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang
diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu
independen penilaian terhadap efektivitas sistem TI dalam kemampuan untuk
memenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditor
internal dan eksternal. Tabel 4 berisi proses TI dalam domain monitor dan
evaluasi sebanyak 4 proses.
Tabel 4 Proses TI dalam domain monitor dan evaluasi
ME1 Mengawasi dan Mengevaluasi Kinerja TI
ME2 Mengawasi dan Mengevaluasi Pengendalian Internal
ME3 Memastikan Kepatuhan dengan Kebutuhan Eksternal
ME4 Menyediakan Tata Kelola TI
Domain-domain pada COBIT 4.1 dapat dilihat hubungannya satu dengan
yang lainnya pada Gambar 4.
15
Gambar 4 Hubungan domain-domain dalam COBIT 4.1
Sumber : ITGI (2007).
Fokus pada bisnis, menunjukkan bahwa COBIT 4.1 dirancang bukan hanya
untuk dikerjakan oleh penyedia layanan TI, pengguna atau auditor, melainkan
juga menyediakan panduan yang lengkap untuk manajemen dan pemilik proses
bisnis. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Kerangka
kerja COBIT 4.1 membahas isu utama mengenai bagaimana mengelola dan
mengendalikan informasi serta membantu memastikan keselarasan sumber daya
TI dengan kebutuhan atau tujuan bisnis. Tabel 5 menjelaskan beberapa kriteria
kontrol informasi dari COBIT 4.1.
Tabel 5 Kriteria kontrol informasi dari COBIT 4.1
Untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis sperti penyampaian
Efektivitas
informasi dengan benar, konsisten dapat dipercaya dan
tepat waktu
Memfokuskan pada ketentuan informasi melalui
Efesiensi
penggunaan sumber daya yang optimal
Memfokuskan proteksi terhadap informasi yang penting
Kerahasian
dari orang yang tidak memiliki hak otorisasi
Berhubungan dengan keakuratan dan kelengkapan
informasi sebagai kebenaran yang sesuai dengan
Integritas
harapan dan nilai bisnis
Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan
Ketersediaan
datang
Sesuai menurut hukum, peraturan dan rencana perjanjian
Kepatuhan
untuk proses bisnis
Berhubungan dengan ketentuan kecocokan informasi
untuk manajemen mengoperasikan entitas dan mengatur
Keakuratan
pelatihan keuangan dan kelengkapan laporan
Informasi
pertanggungjawaban
16
Antara sasaran bisnis dan sasaran TI (business goals and IT goals) serta
kriteria informasi terdapat hubungan yang menunjukkan bahwa sasaran bisnis
yang diberikan (yang dikelompokkan menjadi empat perspektif IT balanced
scoredcard) terkait dengan sasaran TI yang sesuai dan kriteria informasi yang
diperlukan. Pencapaian kebutuhan bisnis didukung oleh sumber daya TI yang
diidentifikasi dan didefinisikan sebagai berikut:
Aplikasi, yaitu sistem user yang diotomatisasi dan prosedur manual yang
memproses informasi.
Informasi, yaitu data dalam semua bentuknya, dimasukkan, diproses, dan
dikeluarkan dari sistem informasi dalam bentuk apapun untuk keperluan
bisnis.
Infrastruktur, yaitu teknologi dan fasilitas (perangkat keras, sistem operasi,
sistem manajemen database, jaringan, multimedia, dan sebagainya, serta
lingkungan
penempatan
dan
pendukungnya)
yang
memungkinkan
pemrosesan aplikasi.
Manusia, yaitu orang yang diperlukan untuk merencanakan, mengorganisir,
mendapatkan, menerapkan, menyampaikan, mendukung, memonitor, serta
mengevaluasi layanan dan sistem informasi.
COBIT 4.1 berbasis kontrol, didefinisikan sebagai kebijakan, prosedur,
praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang
dapat diterima bahwa tujuan bisnis akan dicapai dan kejadian yang tidak
diharapkan dapat dicegah atau diketahui dan diperbaiki. Sementara itu, tujuan
kontrol TI merupakan pernyataan mengenai maksud atau hasil yang diharapkan
dengan menerapkan prosedur kontrol dalam aktivtias TI tertentu. Tujuan kontrol
dalam COBIT 4.1 merupakan kebutuhan minimal untuk kontrol yang efektif dari
setiap proses TI. Agar dapat mencapai tata kelola TI yang efektif, kontrol perlu
diimplementasikan dalam suatu kerangka kerja kontrol yang didefinisikan untuk
semua proses TI.
Kerangka kerja kontrol dalam COBIT 4.1, memberikan kaitan yang jelas
antara kebutuhan tata kelola TI, proses TI, dan kontrol TI, karena tujuan kendali
diorganisasikan menurut proses TI. Setiap proses TI yang terdapat dalam COBIT
17
4.1 mempunyai tujuan kendali tingkat tinggi dan sejumlah tujuan kendali detail.
Secara keseluruhan ini merupakan karakteristik proses yang dikelola dengan baik.
COBIT 4.1 dikendalikan oleh pengukuran. Pemahaman terhadap status sistem TI,
diperlukan bagi organisasi, agar dapat memutuskan tingkat manajemen dan
kontrol yang harus diberikan. Dengan demikian organisasi perlu mengetahui apa
yang harus diukur dan bagaimana pengukuran dilakukan, sehingga dapat
diperoleh status kinerjanya. Selanjutnya pengetahuan ini akan membantu upaya
peningkatan yang perlu dilakukan.
Maturity Model (Model Kematangan)
Model kematangan untuk pengelolaan dan kontrol pada proses TI
didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri
dari level tidak ada (0) hingga optimis (5). Model kematangan dimaksudkan untuk
mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas
peningkatan. Model kematangan dirancang sebagai profil proses TI, sehingga
organisasi dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan
mendatang. Pengunaan model kematangan yang dikembangkan untuk setiap 34
proses TI yang terdapat pada seluruh domain-domain COBIT 4.1, memungkinkan
manajemen mengidentifikasi:
Kinerja sesungguhnya organisasi, dimana kondisi organisasi saat ini.
Kondisi sekarang dari organisasi sejenis sebagai perbandingan.
Target peningkatan organisasi, kondisi yang diinginkan organisasi.
Jalur pertumbuhan yang diperlukan anatara “as-is” dan “to-be”.
Masing-masing dari ke-34 proses TI tersebut mempunyai model
kematangan yang telah didefinisikan dengan pemberian skala pengukuran
bertingkat dari 0 (tidak ada) hingga 5 (optimis). Model kematangan yang
dibangun berawal dari generic qualitative model, prinsip dari atribut berikut
ditambahkan dengan cara bertingkat :
1.
Kepedulian dan komunikasi (awareness and communication)
2.
Kebijakan, standar dan prosedur (polices, standard and procedures)
3.
Perangkat bantu dan otomatisasi (tools and automation)
4.
Keterampilan dan keahlian (skills and expertise)
18
5.
Pertanggungjawaban
external
dan
internal
(responsibility
and
accountability)
6.
Penetapan tujuan dan pengukuran (goal setting and measurement)
Pendefinisian model kematangan suatu proses TI mengacu pada kerangka
kerja COBIT 4.1 yang secara umum dapat dijabarkan pada Tabel 6.
Tabel 6 Tingkat kematangan secara umum dalam COBIT 4.1
Level
0
Tidak Ada
1
Awal/Ad-Hoc
2
Berulang tapi
Intuitif
3
Proses Terdefinisi
4
Terkelola dan
Terukur
5
Optimis
Kriteria Kematangan
Organisasi bahkan tidak mengetahui bahwa terdapat
permasalahan yang harus diatasi
Tidak terdapat proses standar, namun menggunakan
pendekatan ad hoc yang cenderung diperlakukan
secara individu atau per kasus
Proses dikembangkan ke dalam tahapan di mana
prosedur yang serupa diikuti oleh pihak-pihak yang
berbeda untuk pekerjaan yang sama
Prosedur distandarisasi dan didokumentasikan
kemudian dikomunikasikan melalui pelatihan
Manajemen mengawasi dan mengukur kepatuhan
terhadap prosedur dan mengambil tindakan jika
proses tidak dapat dikerjakan secara efektif
Proses telah dipilih ke dalam tingkat praktik yang
baik, berdasarkan hasil dari perbaikan berkelanjutan
dan permodelan kematangan dengan organisasi lain
Beberapa tujuan pengukuran kematangan adalah untuk:
Menumbuhkan kepedulian (awareness).
Melakukan identifikasi kelemahan (weakness).
Melakukan identifikasi kebutuhan perbaikan (improvement).
Sub Domain Monitor dan Evaluasi 4 (ME4)
ME4 membahas proses TI tentang penyediaan tata kelola TI. Membangun
kerangka kerja tata kelola TI yang efektif termasuk mendefinisikan organisasi
struktur, proses, kepemimpinan, peran dan tanggung jawab untuk memastikan
bahwa investasi TI selaras dan disampaikan sesuai dengan strategi dan tujuan
organisasi. Proses ini menyediakan tata kelola TI untuk TI yang memenuhi
kebutuhan bisnis serta mengintegrasikan tata kelola TI dengan tujuan tata kelola
organisasi dan mematuhi undang-undang, peraturan dan kontrak dengan berfokus
19
pada pembuatan laporan dewan pada strategi TI, kinerja dan risiko, dan
menanggapi ketentuan tata sejalan dengan arah papan dicapai dengan:
Membangun kerangka kerja tata kelola TI diintegrasikan ke dalam tata
kelola perusahaan
Mendapatkan jaminan independen terhadap status tata kelola TI dan terukur
Frekuensi pelaporan papan di IT kepada para pemangku kepentingan
(termasuk kematangan)
Frekuensi pelaporan dari IT ke dewan (termasuk kematangan)
Frekuensi tinjauan independen kepatuhan TI.
Sub domain yang menjadi kontrol dari proses ME4, antara lain adalah:
a.
Sub
Domain
Perencanaaan
dan
Pengorganisasian
4
(PO4)
yaitu
Mendefinisikan Proses TI, Organisasi dan Hubungan.
- PO4.1 (Kerangka Proses Informasi Teknologi)
Menentukan kerangka proses TI untuk menjalankan rencana strategi TI.
Kerangka proses ini meliputi hubungan dan struktur proses TI (misalnya,
untuk mengelola kesenjangan dan kondisi tumpang tindihnya proses),
kepemilikan, kedewasan, pengukuran kinerja, peningkatan, kesesuaian,
target kualitas, dan berbagai rencana untuk mencapainya.
Kerangka ini harus memberikan integrasi di antara berbagai proses yang
spesifik TI, pengelolaan portofolio perusahaan, proses bisnis, dan proses
perubahan bisnis.
Kerangka proses TI ini harus diintegrasikan ke dalam sistem pengelolaan
kualitas (QMS) dan kerangka kontrol internal.
- PO4.2 (Komite Strategi TI)
Membentuk komite strategi TI pada level dewan pengurus. Komite ini
harus memastikan bahwa tata kelola TI, sebagai bagian dari tata kelola
perusahaan, diarahkan secara memadai; menyarankan arah strategi; dan
meninjau investasi utama atas nama seluruh dewan pengurus.
- PO4.3 (Komite Pengarahan TI)
Membentuk komite pengarahan TI (atau yang setara) yang disusun dari
pengelolaan eksekutif, bisnis, dan TI untuk:
20
Menentukan prioritas program investasi yang memungkinkan TI
sesuai dengan strategi dan prioritas bisnis perusahaan
Melacak status proyek dan memecahkan konflik sumber daya
Memantau level layanan dan peningkatan layanan
- PO4.4 (Penempatan Organisasi Fungsi TI)
Menempatkan fungsi TI dalam struktur organisasi keseluruhan dengan
kesatuan model bisnis pada pentingnya TI dalam perusahaan, terutama
kekritisannya terhadap strategi binis dan tingkat ketergantungan
operasional pada TI. Bagis laporan pada CIO harus sepadan dengan
pentingnya TI dalam perusahaan.
- PO4.5 (Struktur Organisasi TI)
Membentuk struktur organisasi TI internal dan eksternal yang
mencerminkan keperluan bisnis. Selain itu, menempatkan proses dalam
posisi yang tepat untuk meninjau struktur organisasi TI secara berkala,
guna menyesuaikan persyaratan penentuan staf dan strategi penentuan
sumber untuk memenuhi tujuan bisnis yang diharapkan dan mengubah
kondisi saat ini.
- PO4.6 (Pembentukan Peran dan Tanggung Jawab)
Membentuk dan mengkomunikasikan peran dan tanggung jawab untuk
staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf
TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk
memenuhi kebutuhan organisasi.
- PO4.7 (Tanggung Jawab untuk Jaminan Kualitas TI)
Menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas
(QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai,
kontrol, dan keahlian komunikasi. Memastikan bahwa penempatan
organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi
persyaratan organisasi.
- PO4.8 (Tanggung Jawab atas Risiko, Keamanan, dan Kesesuaian)
Menanamkan kepemilikan dan tanggung jawab atas risiko terkait TI
dalam bisnis pada level senior yang sesuai. Menentukan dan menetapkan
kritik peran untuk mengelola risiko TI, termasuk tanggung jawab spesifik
21
untuk keamanan informasi, keamanan fisik, dan kesesuaian. Membentuk
tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan
untuk menangani masalah dalam lingkup organisasi.
Tanggung jawab pengelolaan keamanan tambahan mungkin perlu
ditetapkan pada tingkat sistem spesifik untuk menangani masalah
keamanan yang terkait. Memperoleh pengarahan dari manajemen senior
tentang risiko TI dan persetujuan atas setiap risiko TI yang masih ada.
- PO4.9 (Kepemilikan Data dan Sistem)
Menyediakan
bisnis
dengan
prosedur
dan
peralatan,
yang
memungkinkannya untuk mengarahkan tanggung jawabnya untuk
kepemilikan data dan sistem informasi. Pemilik harus membuat
keputusan tentang informasi klasifikasi dan sistem, dan melindunginya
sesuai klasifikasinya.
- PO4.10 (Pengawasan)
Menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk
memastikan bahwa peran dan tanggung jawab dijalankan dengan benar,
untuk menilai apakah semua personel memiliki wewenang dan sumber
daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan
untuk meninjau KPI (Indikator Kinerja Penting) secara umum.
- PO4.11 (Pemisahan Tugas)
Menerapkan divisi peran dan tanggung jawab yang dapat mengurangi
kemungkinan kondisi di mana proses penting hanya ditangani oleh
seorang personel. Memastikan bahwa personel hanya menjalankan tugas
yang diwenangkan terkait dengan pekerjaan dan posisinya.
- PO4.12 (Penentuan Staf TI)
Mengevaluasi persyaratan penentuan staf pada basis reguler atau atas
perubahan mayor pada bisnis, lingkungan operasional atau TI untuk
memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk
mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi.
- PO4.13 (Personel Penting TI)
22
Menentukan dan mengidentifikasi personel TI penting (misalnya,
personel pengganti/cadangan), dan meminimalkan ketergantungan pada
satu personel yang menjalankan fungsi pekerjaan penting.
- PO4.14 (Kebijakan dan Prosedur untuk Staf Kontrak)
Memastikan bahwa konsultan dan personel kontrak yang mendukung
fungsi TI memahami dan memenuhi kebijakan organisasi untuk
melindungi aset informasi organisasi sehingga mereka harus memenuhi
persyaratan kontrak yang telah disetujui.
- PO4.15 (Hubungan)
Membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan
antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI,
seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing,
penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat,
manajemen alih daya dan terpusat (offsite).
b.
Sub Domain Perencanaaan dan Pengorganisasian 5 (PO5) yaitu Mengelola
Investasi TI
- PO5.1 (Kerangka Proses Manajemen Keuangan)
Membentuk dan menjaga kerangka proses keuangan untuk mengelola
investasi dan biaya aset TI dan layanan melalui portofolio dari investasi
yang dimungkinkan TI, hal bisnis, dan anggaran TI.
- PO5.2 (Prioritisasi dalam Anggaran TI)
Menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi
sumber daya TI untuk pengoperasian, proyek, dan perawatan guna
memaksimalkan kontribusi TI untuk optimisasi pengembalian pada
portofolio perusahaan atas program investasi yang dimungkinkan TI dan
layanan serta aset TI lainnya.
- PO5.3 (Penentuan Anggaran TI)
Membentuk dan menerapkan praktik untuk mempersiapkan anggaran
yang mencerminkan prioritas yang dibentuk oleh portofolio perusahaan
dari program investasi yang dimungkinkan TI, dan meliputi biaya
operasional dan perawatan infrastruktur yang terus berlanjut. Praktik
harus mendukung pengembangan anggaran TI seluruhnya serta
23
pengembangan anggaran untuk program masing-masing, dengan
penekanan tertentu pada komponen TI dari program-program tersebut.
Praktik harus memungkinkan tinjauan yang terus berlanjut, perbaikan,
dan persetujuan keseluruhan anggaran dan anggaran untuk program
masing-masing.
- PO5.4 (Manajemen Biaya)
Menerapkan proses manajemen yang membandingkan biaya aktual
terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Di mana
terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat
waktu dan pengaruh dari penyimpangan ini pada program harus dinilai.
Bersama dengan sponsor bisnis dari program tersebut, tindakan
perbaikan yang tepat harus diambil, jika perlu, status bisnis program
harus diperbarui.
- PO5.5 (Manajemen Manfaat)
Menerapkan proses untuk memantau manfaat dari penyediaan dan
pemeliharaan kapabilitas TI yang sesuai. Kontribusi TI atas bisnis, baik
sebagai komponen dari program investasi yang dimungkinkan TI, atau
sebagai bagian dari dukungan operasional harus diidentifikasi dan
didokumentasikan dalam status bisnis, disetujui, dipantau, dan dilaporkan.
Laporan harus ditinjau, dan di mana ada kesempatan kesempatan untuk
meningkatkan kontribusi TI, tindakan yang sesuai harus ditentukan dan
diambil. Di mana perubahan dalam kontribusi TI berdampak pada
program, status program harus diperbarui.
c.
Sub Domain Perencanaaan dan Pengorganisasian 9 (PO9) yaitu Mengakses
dan Mengelola Risiko TI
- PO9.1 (Kerangka Proses Manajemen Risiko TI)
Membentuk kerangka proses manajemen risiko TI yang selaras dengan
kerangka proses manajemen risiko organisasi (perusahaan).
- PO9.2 (Membentuk Konteks Risiko)
Membentuk konteks di mana kerangka proses penilaian risiko diterapkan
untuk memastikan hasil yang sesuai. Ini harus meliputi menentukan
24
konte
KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI
MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
SEKOLAH PASCASARJANA
INSTITUT PERTANIAN BOGOR
BOGOR
2014
PERNYATAAN MENGENAI TUGAS AKHIR DAN
SUMBER INFORMASI SERTA PELIMPAHAN HAK CIPTA*
Dengan ini saya menyatakan bahwa tugas akhir berjudul Analisis Tingkat
Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI
menggunakan Framework COBIT 4.1 adalah benar karya saya dengan arahan dari
komisi pembimbing dan belum diajukan dalam bentuk apa pun kepada perguruan
tinggi mana pun. Sumber informasi yang berasal atau dikutip dari karya yang
diterbitkan maupun tidak diterbitkan dari penulis lain telah disebutkan dalam teks
dan dicantumkan dalam Daftar Pustaka di bagian akhir tugas akhir ini.
Dengan ini saya melimpahkan hak cipta dari karya tulis saya kepada Institut
Pertanian Bogor.
Bogor, Agustus 2014
Rima Octavia
G652100045
ABSTRACT
RIMA OCTAVIA. Analysis Maturity Level of Provision Information Technology
Governance in PDII-LIPI Using Framework COBIT 4.1. Supervised by
ENDANG PURNAMA GIRI and BLASIUS SUDARSONO.
Centre for Scientific Documentation and Information – Indonesian
Institute of Science (PDII-LIPI) PDII-LIPI began developing its business
purposes towards digital library. To support these purposes it is necessary to use
IT governance. PDII-LIPI haven’t any specific IT governance. COBIT is one of
the international standard for IT governance. COBIT is used in this study is
COBIT 4.1 because it can measure the organization its not uses IT governance.
The results of the calculation of the maturity level of to provided IT governance in
PDII-LIPI based on framework COBIT 4.1 shows that PDII-LIPI already at level
3 (Defined Process). This is consistent with the actual conditions in PDII-LIPI.
COBIT 4.1 is considered quite capable, reliable and easy to implement in PDIILIPI as not only as IT governance, but also as a tool for management to formulate
policies and IT audit.
Keywords: IT governance, framework COBIT 4.1, maturity level.
RINGKASAN
RIMA OCTAVIA. Analisis Tingkat Kematangan Penyediaan Tata Kelola
Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1.
Dibimbing oleh ENDANG PURNAMA GIRI dan BLASIUS SUDARSONO.
Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan
Indonesia (PDII-LIPI) mulai mengembangkan tujuan bisnisnya ke arah
perpustakaan digital. Untuk mendukung tujuan bisnis ini perlu untuk
menggunakan tata kelola TI. PDII-LIPI belum mempunyai tata kelola TI
tersendiri. COBIT merupakan salah satu standar internasional untuk tata kelola TI.
COBIT yang digunakan dalam penelitian ini adalah COBIT 4.1 karena dapat
mengukur organisasi yang belum menggunakan tata kelola TI.
Kerangka kerja COBIT 4.1 membagi tahapan tata kelola TI ke dalam
empat domain yaitu perencanaan dan pengorganisasian (PO), pengadaan dan
implementasi (AI), pengantaran dan dukungan (DS), serta monitor dan evaluasi
(ME). Kerangka kerja COBIT 4.1 berorientasi pada proses maka keseluruhan
domain tersebut memiliki beberapa proses, domain PO memiliki 10 proses,
domain AI memiliki 7 proses, domain DS memiliki 13 proses, dan domain ME
memiliki 4 proses.
Analisis tingkat kematangan penyediaan tata kelola TI atau ME4,
menggunakan beberapa proses pada kerangka kerja COBIT 4.1 sebagai proses
kontrolnya, yaitu PO4, PO5, PO9, ME2, dan ME3. Hasil perhitungan tingkat
kematangan untuk menyediakan tata kelola TI di PDII-LIPI berdasarkan kerangka
kerja COBIT 4.1 didapatkan berdasarkan proses kontrol yaitu PO4, PO5, PO9,
ME2, dan ME3 menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses
Terdefinisi). Berdasarkan demografi responden dalam hal ini pada struktural yang
masih menjabat saat ini, hasil tingkat kematangan penyediaan tata kelola TI di
PDII-LIPI juga menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses
Terdefini). Hal tersebut sesuai dengan kondisi pengelolaan TI di PDII-LIPI saat
ini. Tingkat kematangan yang diinginkan oleh struktural adalah 4 (Terkelola dan
Terukur) maka dari gap yang ada direkomendasikan untuk melakukan beberapa
perbaikan dan menambah beberapa kekurangan agar tingkat kematangan yang
diinginkan tercapai.
COBIT 4.1 dianggap cukup mampu, dapat diandalkan dan mudah
diimplementasikan dalam PDII-LIPI tidak hanya sebagai tata kelola TI, tetapi juga
sebagai alat bagi manajemen untuk merumuskan kebijakan dan audit TI.
Kata kunci: tata kelola TI, kerangka kerja COBIT 4.1, tingkat kematangan
© Hak Cipta Milik IPB, Tahun 2014
Hak Cipta Dilindungi Undang-Undang
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan
atau menyebutkan sumbernya. Pengutipan hanya untuk kepentingan pendidikan,
penelitian, penulisan karya ilmiah, penyusunan laporan, penulisan kritik, atau
tinjauan suatu masalah; dan pengutipan tersebut tidak merugikan kepentingan
IPB
Dilarang mengumumkan dan memperbanyak sebagian atau seluruh karya tulis ini
dalam bentuk apa pun tanpa izin IPB
ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA
KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI
MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
Tugas Akhir
sebagai salah satu syarat untuk memperoleh gelar
Magister Profesional
pada
Program Studi Magister Teknologi Informasi untuk Perpustakaan
SEKOLAH PASCASARJANA
INSTITUT PERTANIAN BOGOR
BOGOR
2014
Penguji Luar Komisi : Firman Ardiansyah, SKom, Msi
Judul Tesis : Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi
Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1
Nama
: Rima Octavia
NIM
: G652 100045
Disetujui oleh
Komisi Pembimbing
Endang Purnama Giri, SKom, MKom
Ketua
Blasius Sudarsono, MLS
Anggota
Diketahui oleh
Ketua Program Studi
Magister Teknologi Informasi
untuk Perpustakaan
Dekan Sekolah Pascasarjana
Aziz Kustiyo, SSi, MKom
Dr. Ir. Dahrul Syah, MSc Agr
Tanggal Ujian:
30 Agustus 2014
Tanggal Lulus:
PRAKATA
Puji dan syukur penulis panjatkan kepada Allah subhanahu wa ta’ala atas
segala karunia-Nya sehingga karya ilmiah ini berhasil diselesaikan. Tema yang
dipilih dalam penelitian yang dilaksanakan sejak bulan Januari 2014 ini ialah tata
kelola TI, dengan judul Analisis Tingkat Kematangan Penyediaan Tata Kelola
Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1.
Terima kasih penulis ucapkan kepada Bapak Endang Purnama Giri, SKom,
MKom dan Bapak Blasius Sudarsono, MLS selaku pembimbing yang telah
banyak memberi saran. Di samping itu, penghargaan penulis sampaikan kepada
Kementerian Riset dan Teknologi selaku pemberi beasiswa sehingga penulis bisa
melaksanakan tugas belajar pada Program Studi Magister Teknologi Informasi
untuk Perpustakaan. Penulis juga mengucapkan banyak terima kasih kepada Ibu
Ir. Sri Hartinah, MSi selaku Kepala Pusat PDII-LIPI serta rekan-rekan kerja di
PDII-LIPI yang telah membantu selama pengumpulan data. Ungkapan terima
kasih juga disampaikan kepada papa dan mama, bapak dan ibu mertua, suami,
anak, seluruh keluarga, sabahat dan teman-teman MTP khususnya angkatan 2010,
sera semua yang telah memberikan doa, kasih sayang, dan dukungan penuh
selama menyelesaikan penelitian hingga menyusun tulisan.
Semoga karya ilmiah ini bermanfaat.
Bogor, Agustus 2014
Rima Octavia
RIWAYAT HIDUP
Penulis dilahirkan di Jakarta pada tanggal 9 Oktober 1976 sebagai anak
bungsu dari pasangan H. Anwardi Mawardi dan Hj. Yusra. Pendidikan diploma
ditempuh di Program Studi Teknik Grafika, Politeknik Universitas Indonesia,
Depok, lulus pada tahun 1998. Pada tahun 2002 penulis menamatkan pendidikan
sarjana yang ditempuh di Universitas Sahid, Jakarta dengan Program Studi Teknik
Industri. Kesempatan untuk melanjutkan ke program magister pada program studi
Magister Teknologi Informasi untuk Perpustakaan pada Institut Pertanian Bogor
diperoleh pada tahun 2010. Beasiswa pendidikan pascasarjana diperoleh dari
Kementerian Riset dan Teknologi Republik Indonesia.
Penulis bekerja sebagai Pengolah Naskah dan Desain di Pusat Dokumentasi
dan Informasi Ilmiah LIPI sejak tahun 2006 dan ditempatkan di Jakarta. Penulis
bertanggung jawab terhadap pengolahan naskah dan desain produk-produk PDIILIPI.
DAFTAR ISI
DAFTAR TABEL
viii
DAFTAR GAMBAR
viii
DAFTAR LAMPIRAN
ix
1 PENDAHULUAN
Latar Belakang
Perumusan Masalah
Tujuan Penelitian
Manfaat Penelitian
Ruang Lingkup Penelitian
1
1
3
3
3
4
2 TINJAUAN PUSTAKA
Teknologi Informasi
Tata Kelola Teknologi Informasi
COBIT
Profil Organisasi PDII-LIPI
5
5
6
9
29
3 METODOLOGI
Metode Penelitian
Tahapan Penelitian
Tahapan Analisis
Pengolahan Hasil Kuesioner
Evaluasi
33
33
33
35
36
37
4 HASIL DAN PEMBAHASAN
Profil Responden
Karakteristik Demografi Responden
Pengolahan Data Kuesioner
Evaluasi Tata Kelola TI
38
38
38
42
51
5 SIMPULAN DAN SARAN
Simpulan
Saran
55
55
55
DAFTAR PUSTAKA
56
LAMPIRAN
57
DAFTAR TABEL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Proses TI dalam domain perencanaan dan pengorganisasian
Proses TI dalam domain pengadaan dan implementasi
Proses TI dalam domain penyampaian layanan dan dukungan
Proses TI dalam domain monitor dan evaluasi
Kriteria kontrol informasi dari COBIT 4.1
Tingkat kematangan secara umum dalam COBIT 4.1
Tingkat kematangan ME4
Representasi tingkat kematangan COBIT
Jumlah jawaban responden untuk setiap modul dari sub domain PO4
Jumlah jawaban responden untuk setiap modul dari sub domain PO5
Jumlah jawaban responden untuk setiap modul dari sub domain PO9
Jumlah jawaban responden untuk setiap modul dari sub domain ME2
Jumlah jawaban responden untuk setiap modul dari sub domain ME3
Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3
Tingkat kematangan berdasarkan demografi responden
13
13
14
14
15
18
26
37
42
43
45
46
48
49
50
DAFTAR GAMBAR
1
2
3
4
5
6
7
8
9
10
11
12
Proses tata kelola TI
Kubus COBIT
Kerangka kerja COBIT 4.1 secara keseluruhan
Hubungan domain-domain dalam COBIT 4.1
Diagram alur penelitian
Sebaran responden berdasarkan usia
Sebaran responden berdasarkan jenis kelamin
Sebaran responden berdasarkan tingkat pendidikan
Sebaran responden berdasarkan jabatan
Sebaran responden berdasarkan masa kerja
Sebaran responden berdasarkan keaktifannya di PDII-LIPI
Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol
proses ME4
8
11
12
15
34
39
39
40
40
41
41
52
DAFTAR LAMPIRAN
1 Kuesioner tingkat kematangan tata kelola di PDII-LIPI
2 Data relasi responden mengenai TI
3 Data hasil identitas responden
4 Data modul sub domain PO4
5 Data modul sub domain PO5
6 Data modul sub domain PO9
7 Data modul sub domain ME2
8 Data modul sub domain ME3
57
63
64
65
67
68
69
70
1 PENDAHULUAN
Latar Belakang
Teknologi Informasi (TI) mempengaruhi hampir semua aspek kehidupan
manusia, salah satunya adalah perpustakaan. Perkembangannya yang sangat cepat
menuntut perpustakaan untuk melakukan terobosan dan perubahan agar dapat
mengoptimalkan penggunaan TI. Perpustakaan pada era TI menciptakan
perubahan konsep perpustakaan konvensional menjadi perpustakaan digital,
membuat akses informasi perpustakaan dapat dilakukan secara virtual tanpa perlu
datang ke perpustakaan. Dengan demikian, perpustakaan menjadi pusat informasi
yang lebih proaktif mencari pembacanya dan memberikan layanan-layanan yang
lebih cepat serta up to date.
Khusus di bidang Ilmu Perpustakaan dan Informasi, Sulistyo (1993)
menyatakan bahwa TI adalah teknologi yang digunakan untuk menyimpan,
mengolah, menghasilkan dan menyebarluaskan informasi. Penggunaan bantuan TI
pada proses pengelolaan perpustakaan disebut otomasi perpustakaan. Otomasi
perpustakaan (library automation) adalah pemanfaatan TI untuk kegiatan-kegiatan
perpustakaan meliputi: pengadaan, pengolahan, penyimpanan, dan penyebarluasan
informasi. Selain itu, otomasi perpustakaan mengubah sistem perpustakaan
manual menjadi sistem perpustakaan terkomputerisasi. Penggunaan TI saat ini
telah mengalami perubahan yang sangat besar dari sekedar alat bantu menjadi
komponen proses bisnis dalam perpustakaan.
Lin et al. (2000) menyatakan bahwa organisasi yang menggunakan TI perlu
melakukan tata kelola agar TI dapat memberikan manfaat yang maksimal.
Pengelolaan TI dapat digambarkan sebagai pengelolaan piranti lunak dan piranti
keras yang diharapkan dapat mengembangkan dan meningkatkan keuntungan
sistem informasi serta menyumbang manfaat jangka panjang bagi organisasi.
Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan
Indonesia (PDII-LIPI) sebagai lembaga pemerintahan yang bergerak pada bidang
jasa perpustakaan telah menyadari pentingnya penggunaan TI pada perpustakaan.
PDII-LIPI menerapkan TI pertama kali dalam bentuk off-line dengan
menggunakan perangkat lunak format MARC (machine readible cataloguing)
2
yaitu format cantuman bibliografi yang terbaca mesin (komputer) pada tahun
1983 sehingga PDII-LIPI diakui sebagai perpustakaan pertama di Indonesia yang
menerapkan penggunaan TI. PDII-LIPI mulai mengubah sistemnya menjadi online, yaitu TI berbasis internet sejak era 2000-an. PDII-LIPI berusaha menjadi
sebuah perpustakaan yang tidak hanya melakukan layanan peminjaman buku,
referensi, penelusuran, dan lain-lain yang terbatas pada aktivitas lokal, tetapi
menjadi sebuah perpustakaan yang bisa di akses dari manapun, kapanpun, dan
oleh siapapun. Oleh karena itu PDII-LIPI melakukan pengembangan perpustakaan
ke
arah
perpustakaan
digital
(http://elib.pdii.lipi.go.id/).
Wijaya
(2007)
menyatakan bahwa penerapan TI untuk mendukung e-goverment merupakan
upaya pemerintah mengadopsi TI dalam rangka meningkatkan kualitas pelayanan
publik.
PDII-LIPI telah berusaha menjawab tantangan era TI dengan terus
mengembangkan TI pada perpustakaan, memperbaiki infrastruktur, dan
meningkatkan kualitas sumber daya manusia (SDM). Meskipun Kementerian
Komunikasi dan Informatika RI (2007), memberikan panduan tata kelola TI yaitu
berdasarkan
Peraturan
Menteri
41/PER/MEN.KOMINFO/11/2007
Komunikasi
tentang
dan
Panduan
Informatika
Umum
Tata
No.
Kelola
Teknologi Informasi dan Komunikasi Nasional, namun tetap diperlukan tata
kelola TI yang lebih spesifik untuk PDII-LIPI karena TI telah menjadi proses
bisnis di PDII-LIPI agar TI bisa berkontribusi maksimal pada penyelenggaraan
digital library (perpustakaan digital).
IT Governance Institute (2007) menyatakan bahwa untuk menjamin
ketersediaan sumber daya dalam organisasi diperlukan mekanisme pengendalian
internal sehingga tugas pokok dan fungsi (tupoksi) organisasi dapat tercapai.
Mekanisme pengendalian internal mencakup dua lingkungan yaitu lingkungan
aktivitas organisasi yang disebut tata kelola organisasi (enterprise governance)
serta lingkungan pengelolaan dan pengolahan data menjadi informasi untuk
menunjang proses pengambilan keputusan organisasi yang disebut tata kelola TI
(IT Governance).
Penerapan TI di perpustakaan akan dapat dilakukan dengan baik apabila
ditunjang dengan suatu tata kelola TI mulai dari perencanaan sampai
3
implementasinya. Pemilihan tata kelola COBIT dikarenakan COBIT adalah
standar international untuk tata kelola TI dan COBIT diarahkan lebih luas
digunakan di bidang manajemen, sehingga tidak hanya berperan sebagai standar
tata kelola TI tetapi dapat juga digunakan sebagai alat bantu bagi manajemen
dalam merumuskan kebijakan-kebijakan strategis. COBIT dilengkapi kerangka
kerja (framework) untuk audit TI dan lebih mudah dipakai serta diterapkan dalam
organisasi. COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat bagian
yaitu plan and organize (perencanaan dan pengorganisasian), acquire and
implement (pengadaan dan implementasi), deliver and support (pengantaran dan
dukungan), serta monitor and evaluate (monitor dan evaluasi). COBIT yang
digunakan dalam kajian ini adalah COBIT 4.1 karena dapat mengukur organisasi
yang belum menggunakan tata kelola TI dan difokuskan pada domain monitor dan
evaluasi (ME) terutama yang membahas tentang menyediakan tata kelola TI.
Perumusan Masalah
Berdasarkan masalah dan fakta yang terurai pada latar belakang, maka
penyusun merumuskan masalah yang tercakup dalam penelitian ini sebagai
berikut:
1.
Bagaimana kondisi pengelolaan TI yang sedang berjalan?
2.
Apakah dengan framework (kerangka kerja) COBIT 4.1 akan ditemukan
mengapa tata kelola TI diperlukan?
Tujuan Penelitian
1.
Mempelajari kondisi pengelolaan TI.
2.
Menentukan maturity level (tingkat kematangan) penyediaan tata kelola TI
berdasarkan kerangka kerja COBIT 4.1.
Manfaat Penelitian
Manfaat yang diharapkan dari hasil penelitian ini adalah:
1.
Dapat ditemukannya penyimpangan dalam pengelolaan TI di PDII-LIPI dari
hasil tingkat kematangan penyediaan tata kelola TI berdasarkan kerangka
kerja COBIT 4.1.
4
2.
Membantu manajemen dalam pengambilan keputusan untuk kebijakan TI
untuk memperbaiki penyimpangan yang ditemukan di PDII-LIPI hingga
selanjutnya mampu mendukung pencapaian tujuan bisnis.
Ruang Lingkup Penelitian
1.
Penelitian dilakukan pada Januari-Juni 2014 dan hanya dilakukan di PDIILIPI, Jakarta.
2.
Untuk mendapatkan rekomendasi dan saran atas hasil evaluasi tersebut,
digunakan domain monitor dan evaluasi (ME) terutama sub domain
mengenai penyediaan tata kelola yang terdapat dalam kerangka kerja
COBIT 4.1.
5
2 TINJAUAN PUSTAKA
Teknologi Informasi
TI adalah penggabungan antara teknologi komputer dengan telekomunikasi.
Cakupan dari TI itu sendiri adalah telekomunikasi, komputer yang di dalamnya
termasuk bentuk mikro (contohnya yaitu perlindungan data, sistem pakar,
komunikasi suara dengan bantuan komputer), jaringan digital (contohnya antara
lain adanya surat elektronik, sistem informasi, jaringan informasi), serta audio dan
video, termasuk sistem komunikasi optik (contohnya video conference, video-teks,
dan lain-lain).
Fungsi utama TI pada perpustakaan adalah untuk mengatur informasi (inhouse information) serta mengusahakannya agar dapat ditemukembalikan. Selain
itu, TI memungkinkan kita untuk mengakses pangkalan data (database) luar
(ekstern), yaitu database dari lembaga-lembaga lain, di berbagai belahan dunia.
Fungsi lain dari TI adalah meringankan beban kerja, efisiensi dan menghemat
waktu,
meningkatkan
jasa
perpustakaan,
dokumentasi,
dan
informasi
(perpusdokinfo), serta membangun jaringan kerja dan kerjasama.
Terdapat lima komponen dasar dari TI, antara lain hardware (perangkat
keras), software (perangkat lunak), brainware (SDM), dataware (data), dan
netware (jaringan). Ada beberapa alasan mengapa TI perlu untuk dikembangkan
yaitu untuk meningkatkan advantage (kegunaan), mengembangkan produktivitas
dan kinerja, memfasilitasi sarana baru dalam pengelolaan dan pengorganisasian,
dan mengembangkan bisnis baru.
Aplikasi TI yang tercakup dalam ruang lingkup suatu sistem informasi
perpustakaan antara lain adalah library housekeeping (pengelolaan perpustakaan),
information retrieval (temu kembali informasi/penelusuran informasi), general
purpose software (perangkat lunak untuk berbagai macam keperluan), library
networking (jaringan kerjasama perpustakaan).
6
Tata Kelola Teknologi Informasi
Pengertian Tata Kelola Teknologi Informasi
Weill et al. (2004) mendefinisikan tata kelola TI sebagai suatu bagian
integral dari tata kelola organisasi yang terdiri atas kepemimpinan, struktur dan
proses organisasional yang memastikan bahwa organisasi TI berlanjut serta
meningkatkan tujuan dan strategi organisasi. Tata kelola TI memungkinkan
perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya
sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan
keuntungan kompetitif (ITGI 2007).
Tata kelola TI merupakan satu kesatuan dari tata kelola organisasi melalui
peningkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang
berhubungan. Tata kelola TI menyediakan struktur yang menghubungkan proses
TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan. Lebih jauh
lagi tata kelola TI menggabungkan good (best) practice dari perencanaan dan
pengorganisasian TI, pembangunan dan pengimplemantasian, penyampaian
layanan dan dukungan, serta memonitor kinerja TI untuk memastikan kalau
informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis
perusahaan. Tata kelola TI memungkinkan perusahaan untuk memperoleh
keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari
peluang dan keuntungan kompetitif yang dimiliki.
Pembangunan sistem pengendalian intern yang dapat diandalkan, sangat
berkaitan dengan tata kelola TI, yaitu dalam hal pemilihan dan pengembangan TI
yang memadai. Lemahnya pemilihan dan pengembangan TI akan menghasilkan
sistem informasi (SI) yang tidak andal. Lemahnya SI tidak memungkinkan
terjadinya warning sign (deteksi dini) atas kesalahan pengelolaan TI.
Peranan tata kelola TI merupakan hal yang sangat penting, dalam konteks
organisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barang
yang langka/baru lagi. Penggunaan TI di berbagai industri jasa tidak dapat
dihindarkan dan telah mengubah sifat dari penyampaian jasa, yang memaksa
pekerja dan konsumen untuk lebih berinteraksi dengan teknologi yang dapat
7
menghemat waktu, ruang dan jarak tempuh atas data dan informasi dalam
penyampaian layanan yang dapat memuaskan konsumen.
Sayangnya, kesadaran atas pemilihan dan pengembangan IT yang andal,
lambat disadari oleh organisasi. Organisasi banyak yang tidak mempunyai visi
atau misi ke depan yang berkaitan dengan pemilihan dan pengembangan TI.
Kesadaran tata kelola baru akan terasa ketika persaingan makin besar. Organisasi
yang terlambat menyadari pentingnya tata kelola TI sementara proses bisnis
mereka adalah TI dapat kalah bahkan mati dalam persaingan. Kegagalan
pengembangan TI dapat meningkatkan keluhan dan tututan konsumen serta
tingginya risiko operasional.
Kesadaran pemilihan dan pengembangan TI terletak pada top managemen
karena mereka penentu strategi bisnis. Hal ini melibatkan pengadaan IT yang
relatif mahal yang seringkali tidak sesuai dengan kaidah good corporate
governance. Bukan rahasia lagi kalau korupsi sudah membudaya sehingga markup pembelian atau membeli barang yang bermutu rendah dengan harga mahal
menjadi praktik biasa dengan komisi masuk kantung pribadi. Barang TI lalu
menjadi beban perusahaan yang dapat menimbulkan IT Failure lalu menimbulkan
frustasi dan tingginya tingkat risiko operasional dan risiko reputasi.
Organisasi yang mengedepankan tata kelola akan memilih perangkat TI
yang berkualitas sehingga menghasilkan sistem informasi manajemen (MIS) yang
handal dan mendukung pengembangan bisnisnya. Sebagaimana disampaikan oleh
Damianides (2005) sebagai berikut.
"The prominent role of IT in creating business value has
accelerated the establishment of the concept of IT Governance as
ahigh priority for boards of directors and executive management. IT
Governance practices need to focus on ensuring that the expectations
of IT are met. An effective IT Governance program will help
organizations understand the issues and ensure that IT can sustain
operations, and help enable companies to use IT for competitive
advantage."
Dengan kata lain, memang tata kelola TI awalnya berada di tangan direksi,
komisaris atau pemilik yang mau tahu perubahan/percepatan TI dan mempunyai
8
komitmen dalam pemilihan/pengembangan TI. Dalam hal ini, peran Chief
Information Officer (CIO) saat ini menjadi penting karena membantu manajemen
untuk melihat apa yang dibutuhkan organisasi agar dapat menyesuaikan dengan
kebutuhan/tuntutan pasar (competitive advantage). Peran pegawai juga penting,
apakah mereka mau menyesuaikan dengan "perubahan" yang berkaitan
perkembangan TI atau tidak. Jadi, diperlukan sikap inovatif, ketekunan dan
keinginan untuk belajar. Perubahan TI dapat menyebabkan perubahan prosedur
kerja yang dapat menimbulkan frustrasi. Oleh karena itu, tata kelola TI juga
berkaitan dengan pengembangan SDM yang berkualitas.
Proses Tata Kelola Teknologi Informasi
Sebagai suatu proses, sistem tata kelola TI dapat dilihat dari peran dan
fungsi tiap komponen yang membentuk struktur tata kelola TI. Proses tata kelola
TI dapat kita lihat pada Gambar 1.
Proses Perancangan Tata Kelola TI
Proses Keputusan TI
Mekanisme Penyelarasan Strategi Bisnis dan TI
Mekanisme Implementasi Keputusan TI
Mekanisme Pengarahan Perilaku Pengguna
Mekanisme Pengawasan
Mekanisme Evaluasi Kinerja TI
Gambar 1 Proses tata kelola TI
9
COBIT
Pengertian COBIT
Menurut Gondodiyoto (2007), COBIT adalah sekumpulan dokumentasi best
practices untuk tata kelola TI yang dapat membantu auditor, pengguna (user), dan
manajemen, dan juga untuk menjembatani kesenjangan (gap) antara resiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis TI.
COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan
karena itu business process owners dan manajer, termasuk juga auditor dan
pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya.
COBIT adalah merupakan kerangka kerja “a set of best practices” bagi IT
management (pengelolaan TI). COBIT disusun oleh Information Technology
Governance Institute (ITGI) bagian dari Information System Audit and Control
Association (ISACA), tepatnya oleh Information Systems Audit and Control
Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada
tahun 1996, sementara versi on-line pertama kali dikeluarkan tahun 2003 pada
edisi ke tiga. Versi COBIT terakhir saat ini adalah COBIT 5. Menurut ITGI
(2007), pada COBIT 4.1 diuraikan good practices, domain-domain dan proses
kerangka kerja TI yang ada. Selain itu juga menjelaskan masalah process and
activity (pengelolaan proses TI dan bentuk-bentuk kegiatan) dan mempunyai
struktur yang sangat logis.
COBIT dikembangkan sebagai suatu generally applicable and accepted
standard for good Information Technology security and control practices. Istilah
“generally applicable and accepted” digunakan secara eksplisit dalam pengertian
yang sama seperti Generally Accepted Accounting Principles (GAAP). Sementara
itu, “good practices” mencerminkan konsensus antar para ahli di seluruh dunia.
COBIT dapat digunakan sebagai tools tata kelola TI, dan juga membantu
perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT
dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpangsiuran dalam penerapan teknologi.
COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat
membantu dalam mengindetifikasi IT control issues. COBIT berguna bagi para
pengguna karena memperoleh keyakinan atas keandalan sistem aplikasi yang
10
digunakan. Sementara itu, para manager memperoleh manfaat berupa kemudahan
dalam pengambilan keputusan investasi di bidang TI serta infrastrukturnya,
menyusun strategi rencana TI, menentukan arsitektur informasi, dan keputusan
atas procurement (pengadaan/pembelian) mesin. Disamping itu, dengan
keterandalan SI yang ada pada organisasi diharapkan berbagai keputusan bisnis
dapat didasarkan atas informasi yang ada.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai
tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT dapat
dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI organisasi kita,
atau objek khusus di lingkungan TI. Selain dapat digunakan oleh auditor, COBIT
dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI
dan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama
yang sangat membantu dalam penerapan tata kelola TI di perusahaan.
COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan
tata kelola TI pada suatu organisasi. COBIT mempertemukan dan menjembatani
kebutuhan manajemen dari gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis TI, serta menyediakan referensi best business practices
yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis organisasi dan
memaparkannya dalam struktur aktifitas-aktifitas logis yang dapat di kelola serta
dikendalikan secara efektif.
COBIT mendukung manajemen dalam mengoptimalkan investasi TI melalui
ukuran-ukuran dan hasil pengukuran yang akan memberikan sinyal bahaya bila
suatu kesalahan atau resiko akan/atau sedang terjadi. Manajemen perusahaan
harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik.
Itu artinya, sistem dapat mendukung proses bisnis perusahaan yang secara jelas
menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan
dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.
Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk
pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian,
keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan
informasi (Gambar 2).
11
Gambar 2 Kubus COBIT
Sumber : ITGI (2007).
COBIT mengintegrasikan praktik-praktik yang baik dan menyediakan
kerangka kerja untuk tata kelola TI yang membantu pemahaman dan pengelolaan
resiko serta memperoleh keuntungan terkait dengan TI.
Untuk memahami kerangka kerja COBIT, harus diketahui karakteristik
utama bagaimana kerangka kerja ini disusun dan prinsip yang mendasarinya.
Karakteristik utama COBIT adalah orientasi pada proses, fokus pada bisnis,
berbasis kontrol, dan dikendalikan oleh pengukuran. Sementara itu, prinsip dasar
COBIT adalah memberikan informasi yang diperlukan bagi organisasi guna
mencapai tujuannya. Organisasi perlu mengelola dan mengendalikan sumber daya
TI dengan menggunakan sekumpulan proses-proses yang terstruktur untuk
memberikan layanan informasi yang diperlukan.
Kerangka Kerja COBIT 4.1
Kerangka kerja COBIT 4.1 berorientasi pada control objectives (proses)
yang terdiri atas 4 high-level control objectives (tujuan pengendalian tingkattinggi). Gambar 3 memperlihatkan kerangka kerja COBIT 4.1 secara keseluruhan.
12
Gambar 3 Kerangka kerja COBIT 4.1 secara keseluruhan
Sumber: ITGI (2007).
Kerangka kerja tersebut tercermin dalam 4 domain sebagai berikut.
1.
Perencanaan dan Pengorganisasian (PO)
Domain perencanaan dan pengorganisasian mencakup penggunaan TI dan
dapat digunakan dalam sebuah organisasi untuk membantu organisasi mencapai
tujuan dan sasaran. Selain itu, domain ini juga menyoroti organisasi dan
infrastruktur TI untuk mengambil dan mencapai hasil yang optimal dan yang
13
paling menghasilkan keuntungan dari penggunaan TI. Tabel 1 berisi proses TI
dalam domain perencanaan dan pengorganisasian sebanyak 10 proses.
Tabel 1 Proses TI dalam domain perencanaan dan pengorganisasian
PO1
Mendefinisikan Rencana dann Arah Strategis TI
PO2
Mendefinisikan Arsitektur Informasi
PO3
Menentukan Arah Teknologi
PO4
Mendefinisikan Proses TI, Organisasi dan Hubungan
PO5
Mengelola Investasi TI
PO6
Mengkomunikasikan Tujuan dan Arah Manajemen
PO7
Mengelola Sumber Daya Manusia TI
PO8
Mengelola Kualitas
PO9
Menilai dan Mengelola Resiko TI
PO10 Mengelola Proyek
2.
Pengadaan dan Implementasi (AI)
Domain
pengadaan
dan
implementasi
mencakup
mengidentifikasi
persyaratan TI, memperoleh teknologi, dan menerapkannya dalam organisasi saat
ini, yaitu proses bisnis. Domain ini juga alat pengembangan rencana pemeliharaan
bahwa organisasi harus mengadopsi untuk memperpanjang kehidupan sebuah
sistem TI dan komponennya. Tabel 2 berisi proses TI dalam domain pengadaan
dan implementasi sebanyak 7 proses.
Tabel 2 Proses TI dalam domain pengadaan dan implementasi
AI1 Mendefinisikan Solusi Otomasi
AI2 Mengadakan dan Memelihara Piranti Lunak Aplikasi
AI3 Mengadakan dan Memelihara Infrastruktur Teknologi
AI4 Memungkinkan Operasi dan Penggunaan
AI5 Mengadakan Sumber Daya TI
AI6 Mengelola Perubahan
AI7 Menginstal dan Mengakreditasi Solusi dan Perubahan
3.
Penyampaian Layanan dan Dukungan (DS)
Domain penyampaian layanan dan dukungan berfokus pada domain
pengiriman aspek TI. Domain ini meliputi area-area lingkup TI seperti eksekusi
aplikasi di dalam sistem TI dan hasil proses TI, serta dukungan yang
memungkinkan proses yang efektif dan efisien dalam pelaksanaan sistem TI.
Mendukung proses ini termasuk masalah keamanan dan pelatihan. Tabel 3 berisi
proses TI dalam domain penyampaian layanan dan dukungan sebanyak 13 proses.
14
Tabel 3 Proses TI dalam domain penyampaian layanan dan dukungan
DS1
Mendefinisikan dan Mengelola Tingkat Layanan
DS2
Mengelola Layanan Pihak Ketiga
DS3
Mengelola Kinerja dan Kapasitas
DS4
Memastikan Layanan Berkesinambungan
DS5
Memastikan Keamanan Sistem
DS6
Mengidentifikasikan dan Mengalokasikan Biaya
DS7
Mendidik dan Melatih Pengguna
DS8
Mengelola Meja Layanan dan Insiden
DS9
Mengelola Konfigurasi
DS10 Mengelola Masalah
DS11 Mengelola Data
DS12 Mengelola Lingkungan Fisik
DS13 Mengelola Pengoperasian
4.
Monitor dan Evaluasi (ME)
Domain monitor dan evaluasi berurusan dengan strategi organisasi dalam
menilai kebutuhan organisasi. Domain ini juga melihat apakah sistem TI yang
sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang
diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu
independen penilaian terhadap efektivitas sistem TI dalam kemampuan untuk
memenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditor
internal dan eksternal. Tabel 4 berisi proses TI dalam domain monitor dan
evaluasi sebanyak 4 proses.
Tabel 4 Proses TI dalam domain monitor dan evaluasi
ME1 Mengawasi dan Mengevaluasi Kinerja TI
ME2 Mengawasi dan Mengevaluasi Pengendalian Internal
ME3 Memastikan Kepatuhan dengan Kebutuhan Eksternal
ME4 Menyediakan Tata Kelola TI
Domain-domain pada COBIT 4.1 dapat dilihat hubungannya satu dengan
yang lainnya pada Gambar 4.
15
Gambar 4 Hubungan domain-domain dalam COBIT 4.1
Sumber : ITGI (2007).
Fokus pada bisnis, menunjukkan bahwa COBIT 4.1 dirancang bukan hanya
untuk dikerjakan oleh penyedia layanan TI, pengguna atau auditor, melainkan
juga menyediakan panduan yang lengkap untuk manajemen dan pemilik proses
bisnis. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Kerangka
kerja COBIT 4.1 membahas isu utama mengenai bagaimana mengelola dan
mengendalikan informasi serta membantu memastikan keselarasan sumber daya
TI dengan kebutuhan atau tujuan bisnis. Tabel 5 menjelaskan beberapa kriteria
kontrol informasi dari COBIT 4.1.
Tabel 5 Kriteria kontrol informasi dari COBIT 4.1
Untuk memperoleh informasi yang relevan dan
berhubungan dengan proses bisnis sperti penyampaian
Efektivitas
informasi dengan benar, konsisten dapat dipercaya dan
tepat waktu
Memfokuskan pada ketentuan informasi melalui
Efesiensi
penggunaan sumber daya yang optimal
Memfokuskan proteksi terhadap informasi yang penting
Kerahasian
dari orang yang tidak memiliki hak otorisasi
Berhubungan dengan keakuratan dan kelengkapan
informasi sebagai kebenaran yang sesuai dengan
Integritas
harapan dan nilai bisnis
Berhubungan dengan informasi yang tersedia ketika
diperlukan dalam proses bisnis sekarang dan yang akan
Ketersediaan
datang
Sesuai menurut hukum, peraturan dan rencana perjanjian
Kepatuhan
untuk proses bisnis
Berhubungan dengan ketentuan kecocokan informasi
untuk manajemen mengoperasikan entitas dan mengatur
Keakuratan
pelatihan keuangan dan kelengkapan laporan
Informasi
pertanggungjawaban
16
Antara sasaran bisnis dan sasaran TI (business goals and IT goals) serta
kriteria informasi terdapat hubungan yang menunjukkan bahwa sasaran bisnis
yang diberikan (yang dikelompokkan menjadi empat perspektif IT balanced
scoredcard) terkait dengan sasaran TI yang sesuai dan kriteria informasi yang
diperlukan. Pencapaian kebutuhan bisnis didukung oleh sumber daya TI yang
diidentifikasi dan didefinisikan sebagai berikut:
Aplikasi, yaitu sistem user yang diotomatisasi dan prosedur manual yang
memproses informasi.
Informasi, yaitu data dalam semua bentuknya, dimasukkan, diproses, dan
dikeluarkan dari sistem informasi dalam bentuk apapun untuk keperluan
bisnis.
Infrastruktur, yaitu teknologi dan fasilitas (perangkat keras, sistem operasi,
sistem manajemen database, jaringan, multimedia, dan sebagainya, serta
lingkungan
penempatan
dan
pendukungnya)
yang
memungkinkan
pemrosesan aplikasi.
Manusia, yaitu orang yang diperlukan untuk merencanakan, mengorganisir,
mendapatkan, menerapkan, menyampaikan, mendukung, memonitor, serta
mengevaluasi layanan dan sistem informasi.
COBIT 4.1 berbasis kontrol, didefinisikan sebagai kebijakan, prosedur,
praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang
dapat diterima bahwa tujuan bisnis akan dicapai dan kejadian yang tidak
diharapkan dapat dicegah atau diketahui dan diperbaiki. Sementara itu, tujuan
kontrol TI merupakan pernyataan mengenai maksud atau hasil yang diharapkan
dengan menerapkan prosedur kontrol dalam aktivtias TI tertentu. Tujuan kontrol
dalam COBIT 4.1 merupakan kebutuhan minimal untuk kontrol yang efektif dari
setiap proses TI. Agar dapat mencapai tata kelola TI yang efektif, kontrol perlu
diimplementasikan dalam suatu kerangka kerja kontrol yang didefinisikan untuk
semua proses TI.
Kerangka kerja kontrol dalam COBIT 4.1, memberikan kaitan yang jelas
antara kebutuhan tata kelola TI, proses TI, dan kontrol TI, karena tujuan kendali
diorganisasikan menurut proses TI. Setiap proses TI yang terdapat dalam COBIT
17
4.1 mempunyai tujuan kendali tingkat tinggi dan sejumlah tujuan kendali detail.
Secara keseluruhan ini merupakan karakteristik proses yang dikelola dengan baik.
COBIT 4.1 dikendalikan oleh pengukuran. Pemahaman terhadap status sistem TI,
diperlukan bagi organisasi, agar dapat memutuskan tingkat manajemen dan
kontrol yang harus diberikan. Dengan demikian organisasi perlu mengetahui apa
yang harus diukur dan bagaimana pengukuran dilakukan, sehingga dapat
diperoleh status kinerjanya. Selanjutnya pengetahuan ini akan membantu upaya
peningkatan yang perlu dilakukan.
Maturity Model (Model Kematangan)
Model kematangan untuk pengelolaan dan kontrol pada proses TI
didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri
dari level tidak ada (0) hingga optimis (5). Model kematangan dimaksudkan untuk
mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas
peningkatan. Model kematangan dirancang sebagai profil proses TI, sehingga
organisasi dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan
mendatang. Pengunaan model kematangan yang dikembangkan untuk setiap 34
proses TI yang terdapat pada seluruh domain-domain COBIT 4.1, memungkinkan
manajemen mengidentifikasi:
Kinerja sesungguhnya organisasi, dimana kondisi organisasi saat ini.
Kondisi sekarang dari organisasi sejenis sebagai perbandingan.
Target peningkatan organisasi, kondisi yang diinginkan organisasi.
Jalur pertumbuhan yang diperlukan anatara “as-is” dan “to-be”.
Masing-masing dari ke-34 proses TI tersebut mempunyai model
kematangan yang telah didefinisikan dengan pemberian skala pengukuran
bertingkat dari 0 (tidak ada) hingga 5 (optimis). Model kematangan yang
dibangun berawal dari generic qualitative model, prinsip dari atribut berikut
ditambahkan dengan cara bertingkat :
1.
Kepedulian dan komunikasi (awareness and communication)
2.
Kebijakan, standar dan prosedur (polices, standard and procedures)
3.
Perangkat bantu dan otomatisasi (tools and automation)
4.
Keterampilan dan keahlian (skills and expertise)
18
5.
Pertanggungjawaban
external
dan
internal
(responsibility
and
accountability)
6.
Penetapan tujuan dan pengukuran (goal setting and measurement)
Pendefinisian model kematangan suatu proses TI mengacu pada kerangka
kerja COBIT 4.1 yang secara umum dapat dijabarkan pada Tabel 6.
Tabel 6 Tingkat kematangan secara umum dalam COBIT 4.1
Level
0
Tidak Ada
1
Awal/Ad-Hoc
2
Berulang tapi
Intuitif
3
Proses Terdefinisi
4
Terkelola dan
Terukur
5
Optimis
Kriteria Kematangan
Organisasi bahkan tidak mengetahui bahwa terdapat
permasalahan yang harus diatasi
Tidak terdapat proses standar, namun menggunakan
pendekatan ad hoc yang cenderung diperlakukan
secara individu atau per kasus
Proses dikembangkan ke dalam tahapan di mana
prosedur yang serupa diikuti oleh pihak-pihak yang
berbeda untuk pekerjaan yang sama
Prosedur distandarisasi dan didokumentasikan
kemudian dikomunikasikan melalui pelatihan
Manajemen mengawasi dan mengukur kepatuhan
terhadap prosedur dan mengambil tindakan jika
proses tidak dapat dikerjakan secara efektif
Proses telah dipilih ke dalam tingkat praktik yang
baik, berdasarkan hasil dari perbaikan berkelanjutan
dan permodelan kematangan dengan organisasi lain
Beberapa tujuan pengukuran kematangan adalah untuk:
Menumbuhkan kepedulian (awareness).
Melakukan identifikasi kelemahan (weakness).
Melakukan identifikasi kebutuhan perbaikan (improvement).
Sub Domain Monitor dan Evaluasi 4 (ME4)
ME4 membahas proses TI tentang penyediaan tata kelola TI. Membangun
kerangka kerja tata kelola TI yang efektif termasuk mendefinisikan organisasi
struktur, proses, kepemimpinan, peran dan tanggung jawab untuk memastikan
bahwa investasi TI selaras dan disampaikan sesuai dengan strategi dan tujuan
organisasi. Proses ini menyediakan tata kelola TI untuk TI yang memenuhi
kebutuhan bisnis serta mengintegrasikan tata kelola TI dengan tujuan tata kelola
organisasi dan mematuhi undang-undang, peraturan dan kontrak dengan berfokus
19
pada pembuatan laporan dewan pada strategi TI, kinerja dan risiko, dan
menanggapi ketentuan tata sejalan dengan arah papan dicapai dengan:
Membangun kerangka kerja tata kelola TI diintegrasikan ke dalam tata
kelola perusahaan
Mendapatkan jaminan independen terhadap status tata kelola TI dan terukur
Frekuensi pelaporan papan di IT kepada para pemangku kepentingan
(termasuk kematangan)
Frekuensi pelaporan dari IT ke dewan (termasuk kematangan)
Frekuensi tinjauan independen kepatuhan TI.
Sub domain yang menjadi kontrol dari proses ME4, antara lain adalah:
a.
Sub
Domain
Perencanaaan
dan
Pengorganisasian
4
(PO4)
yaitu
Mendefinisikan Proses TI, Organisasi dan Hubungan.
- PO4.1 (Kerangka Proses Informasi Teknologi)
Menentukan kerangka proses TI untuk menjalankan rencana strategi TI.
Kerangka proses ini meliputi hubungan dan struktur proses TI (misalnya,
untuk mengelola kesenjangan dan kondisi tumpang tindihnya proses),
kepemilikan, kedewasan, pengukuran kinerja, peningkatan, kesesuaian,
target kualitas, dan berbagai rencana untuk mencapainya.
Kerangka ini harus memberikan integrasi di antara berbagai proses yang
spesifik TI, pengelolaan portofolio perusahaan, proses bisnis, dan proses
perubahan bisnis.
Kerangka proses TI ini harus diintegrasikan ke dalam sistem pengelolaan
kualitas (QMS) dan kerangka kontrol internal.
- PO4.2 (Komite Strategi TI)
Membentuk komite strategi TI pada level dewan pengurus. Komite ini
harus memastikan bahwa tata kelola TI, sebagai bagian dari tata kelola
perusahaan, diarahkan secara memadai; menyarankan arah strategi; dan
meninjau investasi utama atas nama seluruh dewan pengurus.
- PO4.3 (Komite Pengarahan TI)
Membentuk komite pengarahan TI (atau yang setara) yang disusun dari
pengelolaan eksekutif, bisnis, dan TI untuk:
20
Menentukan prioritas program investasi yang memungkinkan TI
sesuai dengan strategi dan prioritas bisnis perusahaan
Melacak status proyek dan memecahkan konflik sumber daya
Memantau level layanan dan peningkatan layanan
- PO4.4 (Penempatan Organisasi Fungsi TI)
Menempatkan fungsi TI dalam struktur organisasi keseluruhan dengan
kesatuan model bisnis pada pentingnya TI dalam perusahaan, terutama
kekritisannya terhadap strategi binis dan tingkat ketergantungan
operasional pada TI. Bagis laporan pada CIO harus sepadan dengan
pentingnya TI dalam perusahaan.
- PO4.5 (Struktur Organisasi TI)
Membentuk struktur organisasi TI internal dan eksternal yang
mencerminkan keperluan bisnis. Selain itu, menempatkan proses dalam
posisi yang tepat untuk meninjau struktur organisasi TI secara berkala,
guna menyesuaikan persyaratan penentuan staf dan strategi penentuan
sumber untuk memenuhi tujuan bisnis yang diharapkan dan mengubah
kondisi saat ini.
- PO4.6 (Pembentukan Peran dan Tanggung Jawab)
Membentuk dan mengkomunikasikan peran dan tanggung jawab untuk
staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf
TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk
memenuhi kebutuhan organisasi.
- PO4.7 (Tanggung Jawab untuk Jaminan Kualitas TI)
Menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas
(QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai,
kontrol, dan keahlian komunikasi. Memastikan bahwa penempatan
organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi
persyaratan organisasi.
- PO4.8 (Tanggung Jawab atas Risiko, Keamanan, dan Kesesuaian)
Menanamkan kepemilikan dan tanggung jawab atas risiko terkait TI
dalam bisnis pada level senior yang sesuai. Menentukan dan menetapkan
kritik peran untuk mengelola risiko TI, termasuk tanggung jawab spesifik
21
untuk keamanan informasi, keamanan fisik, dan kesesuaian. Membentuk
tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan
untuk menangani masalah dalam lingkup organisasi.
Tanggung jawab pengelolaan keamanan tambahan mungkin perlu
ditetapkan pada tingkat sistem spesifik untuk menangani masalah
keamanan yang terkait. Memperoleh pengarahan dari manajemen senior
tentang risiko TI dan persetujuan atas setiap risiko TI yang masih ada.
- PO4.9 (Kepemilikan Data dan Sistem)
Menyediakan
bisnis
dengan
prosedur
dan
peralatan,
yang
memungkinkannya untuk mengarahkan tanggung jawabnya untuk
kepemilikan data dan sistem informasi. Pemilik harus membuat
keputusan tentang informasi klasifikasi dan sistem, dan melindunginya
sesuai klasifikasinya.
- PO4.10 (Pengawasan)
Menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk
memastikan bahwa peran dan tanggung jawab dijalankan dengan benar,
untuk menilai apakah semua personel memiliki wewenang dan sumber
daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan
untuk meninjau KPI (Indikator Kinerja Penting) secara umum.
- PO4.11 (Pemisahan Tugas)
Menerapkan divisi peran dan tanggung jawab yang dapat mengurangi
kemungkinan kondisi di mana proses penting hanya ditangani oleh
seorang personel. Memastikan bahwa personel hanya menjalankan tugas
yang diwenangkan terkait dengan pekerjaan dan posisinya.
- PO4.12 (Penentuan Staf TI)
Mengevaluasi persyaratan penentuan staf pada basis reguler atau atas
perubahan mayor pada bisnis, lingkungan operasional atau TI untuk
memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk
mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi.
- PO4.13 (Personel Penting TI)
22
Menentukan dan mengidentifikasi personel TI penting (misalnya,
personel pengganti/cadangan), dan meminimalkan ketergantungan pada
satu personel yang menjalankan fungsi pekerjaan penting.
- PO4.14 (Kebijakan dan Prosedur untuk Staf Kontrak)
Memastikan bahwa konsultan dan personel kontrak yang mendukung
fungsi TI memahami dan memenuhi kebijakan organisasi untuk
melindungi aset informasi organisasi sehingga mereka harus memenuhi
persyaratan kontrak yang telah disetujui.
- PO4.15 (Hubungan)
Membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan
antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI,
seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing,
penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat,
manajemen alih daya dan terpusat (offsite).
b.
Sub Domain Perencanaaan dan Pengorganisasian 5 (PO5) yaitu Mengelola
Investasi TI
- PO5.1 (Kerangka Proses Manajemen Keuangan)
Membentuk dan menjaga kerangka proses keuangan untuk mengelola
investasi dan biaya aset TI dan layanan melalui portofolio dari investasi
yang dimungkinkan TI, hal bisnis, dan anggaran TI.
- PO5.2 (Prioritisasi dalam Anggaran TI)
Menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi
sumber daya TI untuk pengoperasian, proyek, dan perawatan guna
memaksimalkan kontribusi TI untuk optimisasi pengembalian pada
portofolio perusahaan atas program investasi yang dimungkinkan TI dan
layanan serta aset TI lainnya.
- PO5.3 (Penentuan Anggaran TI)
Membentuk dan menerapkan praktik untuk mempersiapkan anggaran
yang mencerminkan prioritas yang dibentuk oleh portofolio perusahaan
dari program investasi yang dimungkinkan TI, dan meliputi biaya
operasional dan perawatan infrastruktur yang terus berlanjut. Praktik
harus mendukung pengembangan anggaran TI seluruhnya serta
23
pengembangan anggaran untuk program masing-masing, dengan
penekanan tertentu pada komponen TI dari program-program tersebut.
Praktik harus memungkinkan tinjauan yang terus berlanjut, perbaikan,
dan persetujuan keseluruhan anggaran dan anggaran untuk program
masing-masing.
- PO5.4 (Manajemen Biaya)
Menerapkan proses manajemen yang membandingkan biaya aktual
terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Di mana
terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat
waktu dan pengaruh dari penyimpangan ini pada program harus dinilai.
Bersama dengan sponsor bisnis dari program tersebut, tindakan
perbaikan yang tepat harus diambil, jika perlu, status bisnis program
harus diperbarui.
- PO5.5 (Manajemen Manfaat)
Menerapkan proses untuk memantau manfaat dari penyediaan dan
pemeliharaan kapabilitas TI yang sesuai. Kontribusi TI atas bisnis, baik
sebagai komponen dari program investasi yang dimungkinkan TI, atau
sebagai bagian dari dukungan operasional harus diidentifikasi dan
didokumentasikan dalam status bisnis, disetujui, dipantau, dan dilaporkan.
Laporan harus ditinjau, dan di mana ada kesempatan kesempatan untuk
meningkatkan kontribusi TI, tindakan yang sesuai harus ditentukan dan
diambil. Di mana perubahan dalam kontribusi TI berdampak pada
program, status program harus diperbarui.
c.
Sub Domain Perencanaaan dan Pengorganisasian 9 (PO9) yaitu Mengakses
dan Mengelola Risiko TI
- PO9.1 (Kerangka Proses Manajemen Risiko TI)
Membentuk kerangka proses manajemen risiko TI yang selaras dengan
kerangka proses manajemen risiko organisasi (perusahaan).
- PO9.2 (Membentuk Konteks Risiko)
Membentuk konteks di mana kerangka proses penilaian risiko diterapkan
untuk memastikan hasil yang sesuai. Ini harus meliputi menentukan
24
konte