ANALISIS DAN EVALUASI TATA KELOLA IT PADA PT FIF DENGAN STANDAR COBIT 5

ANALISIS DAN EVALUASI TATA KELOLA IT PADA PT FIF DENGAN STANDAR COBIT 5 Alvin Universitas Bina Nusantara, Jl. Kebon Pala II no 20, DKI Jakarta, 081808343436, [email protected]

Wongso Soekamto Universitas Bina Nusantara, Jl. Tebet Timur Dalam IX D/19, DKI Jakarta, 081806919868, [email protected]

Riny Harsono Universitas Bina Nusantara, Gading Serpong Sek. 6 Jl. Kelapa Hibrida Utara II, Tangerang, 08988880978, [email protected]

Win Ce, S.Kom.,MM Universitas Bina Nusantara

ABSTRACT

The purpose of this evaluation, is to know the capability level on FIF Firm IT department, to analyze the difference between their target capability level with their current capability level, and to help the company in creating an international standard of IT Governance. The Methodology used for the evaluation is COBIT 5 framework which is used to measure the company capability level. The achieved results are that the company capability level is at level 2(managed process) with 2,38 as their exact value and the company has 0,62 gap from their targeted capability level which is 3,00. The conclusion from this thesis are that FIF Firm already have a good enough capability level value because at level 2 the performed process are already implemented and managed and the work product process are already being ran, controlled and managed appropriately, and just with increasing the company SOP for processes which did not already have it and to increase the level of processes that is on level 0 to level 1, the company will get the target they want to achieve, also to reach the IT governance with international standard it will be better if the company tidy up overall of their IT Governance and sustain it. Keywords Analysis, Evaluation, IT Governance, FIF Firm, Cobit 5 Standard

ABSTRAK

TUJUAN PENULISAN, ialah untuk mengetahui capability level pada departemen IT PT FIF, menganalisis perbedaan antara target pencapaian capability level dengan capability level perusahaan saat ini, dan membantu perusahaan dalam menciptakan tata kelola IT berstandar internasional. METODOLOGI yang digunakan adalah kerangka Kerja COBIT 5 untuk mengukur tingkat capability perusahaan. HASIL YANG DICAPAI bahwa capability level perusahaan saat ini berada pada level 2 (managed process) dengan nilai sebesar 2,38 dan perusahaan memiliki gap sebesar 0,62 dari target capability level perusahaan yaitu 3,00. SIMPULAN dari laporan tugas akhir ini bahwa PT FIF sudah memiliki capability level yang cukup baik karena pada level 2 performa proses telah diimplementasi dan dikelola serta work products proses telah dijalankan, dikontrol, dan dikelola dengan tepat, dan dengan menambahkan SOP untuk proses-proses yang belum memilikinya dan menaikkan proses yang saat ini berada pada level 0 menjadi level 1, perusahaan akan dapat mencapai target yang diinginkan, serta untuk mencapai tata kelola IT yang sesuai dengan standar internasional sebaiknya perusahaan merapikan tata kelola IT secara menyeluruh dan berkelanjutan. (AL, WS, RH) Kata Kunci Analisis, Evaluasi, Tata Kelola IT, PT FIF, Standar COBIT 5.

PENDAHULUAN Saat ini teknologi informasi menjadi bagian yang signifikan bagi perusahaan. Teknologi informasi berperan dalam mendukung tujuan bisnis perusahaan dengan menyediakan wadah informasi dan komunikasi yang cepat, mudah, dan akurat, meningkatkan efektifitas dan efisiensi proses bisnis, mendukung pengambilan keputusan, serta mendukung inovasi perusahaan untuk berkembang. Untuk dapat menjaga fungsi IT agar mampu memberikan peluang strategis bagi bisnis perusahaan, dibutuhkan sebuah tata kelola IT yang baik. Tata kelola atau governance berfungsi untuk memastikan bahwa kebutuhan, kondisi, dan pilihan stakeholder dievaluasi agar sesuai dengan tujuan perusahaan, menetapkan prioritas dalam pengambilan keputusan, dan memonitor kinerja berdasarkan tujuan dan arahan. Salah satu praktik tata kelola IT yang dapat dilakukan oleh perusahaan adalah dengan melakukan evaluasi teknologi informasi atau sistem informasi. Evaluasi bertujuan untuk menilai, memonitor, dan memastikan bahwa sistem informasi perusahaan dapat mengelola integritas data dengan baik dan mampu beroperasi secara efektif sesuai dengan tujuan perusahaan dan tujuan IT perusahaan. PT FIF adalah salah satu perusahaan keuangan terkemuka yang memiliki jangkauan jaringan yang luas. PT FIF mengelola kredit motor Honda yang merupakan pemimpin pasar dalam bisnis kendaraan bermotor roda dua di seluruh provinsi Indonesia. Pada tahun 2011, departemen Information Technology PT FIF merumuskan IT Blueprint, di mana salah satu rencana yang akan direalisasikan pada tahun 2012 adalah mengimplementasi COBIT. COBIT (Control Objectives for Information and related Technology) merupakan sebuah kerangka kerja IT yang diterbitkan oleh ISACA (Information System Audit and Control Association). COBIT dapat membantu perusahaan dalam menciptakan nilai IT yang optimal dengan mewujudkan keseimbangan antara manfaat yang diharapkan dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT didasarkan pada lima prinsip utama dalam tata kelola dan manajemen IT perusahaan, yaitu: 1. menemukan kebutuhan stakeholder, 2. mencakup end-to-end perusahaan, 3. menerapkan kerangka tunggal yang terintegrasi, 4. memungkinkannya pendekatan holistik, dan 5. memisahkan tata kelola dari manajemen.

Versi terbaru dari COBIT adalah COBIT 5. Jurnal yang berjudul ISACA Issues COBIT 5 Governance Framework mengemukakan bahwa, “COBIT 5 menyediakan prinsip-prinsip, praktek-praktek, alat-alat analisis, dan model yang diterima secara global dan dirancang untuk membantu memaksimalkan kepercayaan pimpinan bisnis dan TI mengenai nilai dari informasi dan aset teknologi perusahaan. Pembaruan ini merupakan hasil dari inisiatif selama empat tahun yang didasari oleh tugas global dan telah ditinjau oleh lebih dari 95 ahli di seluruh dunia. Besarnya peminat akan COBIT 5 telah menunjukkan angka yang tinggi. Informasi adalah mata uang pada abad ke-21, dan COBIT membantu perusahaan secara efektif dalam mengatur dan mengelola aset penting tersebut"(Kessinger, 2012:1). Keunggulan COBIT 5 diungkapkan pula oleh Alastair Walker, et all (2012:159) yang mengemukakan bahwa mereka telah mengidentifikasi beberapa tantangan yang dihadapi COBIT Maturity Model dan menawarkan model penilaian alternatif. Mereka telah mendemonstrasikan bahwa ternyata alternatif model penilaian berdasarkan ISO/IEC 15504 yaitu COBIT 5 memiliki kriteria penilaian yang lebih akurat, konsisten, dan objektif. Oleh karena itu mereka menyatakan bahwa model penilaian berdasarkan ISO 15504 lebih superior. Dengan adanya dukungan dari pihak perusahaan dan berdasarkan acuan jurnal mengenai COBIT 5 yang membuktikan bahwa COBIT 5 mampu menjadi metode evaluasi IT yang tepat untuk mengetahui apakah PT FIF telah melakukan pengelolaan IT yang baik dan COBIT 5 mampu membantu PT FIF dalam merapikan tata kelola IT yang sesuai standar dan kebijakan dalam menjalankan operasi bisnis yang efektif dan efisien, serta memenuhi kebutuhan bisnis perusahaan, maka dilakukanlah analisis dan evaluasi terhadap tata kelola IT pada PT FIF dengan menggunakan standar COBIT 5. Ruang lingkup yang dibahas adalah 28 proses COBIT yang termasuk di dalam perspektif internal berdasarkan pemetaan COBIT 5 Process terhadap IT-related Goal pada departemen IT PT FIF ditambah dengan 1 proses yang termasuk dalam perspektif financial yang diminta oleh pihak perusahaan. Berikut adalah daftar 29 proses yang dievaluasi: EDM03 – Ensure Risk Optimisation, EDM04 – Ensure Resource Optimisation, APO01 – Manage the IT Management Framework , APO03 - Manage Enterprise Architecture, APO04 – Manage Innovation, APO05 – Manage Portfolio, APO06 – Manage Budget and Costs (permintaan perusahaan), APO07 Manage Human Resource, APO08 - Manage Relationships, APO09 – Manage IT Service Agreements, APO10 - Manage Suppliers, APO11 – Manage Quality, APO12 - Manage Risk, APO13 - Manage Security, BAI01 - Manage Programmes and Project, BAI02 - Manage Requirements Definition, BAI04 Manage Availability & Capacity, BAI05 – Manage Organizational Change Enablement, BAI06 - Manage Changes, BAI07 – Manage Change Acceptance and Transitioning, BAI08 - Manage Knowledge, BAI09 Manage Assets, BAI10 – Manage Configuration, DSS01 - Manage Operations, DSS03 – Manage Problems, DSS04 – Manage Continuity, DSS05 – Manage Security Services, MEA01 – Monitor, Evaluate, and Assess Performance and Conformance, MEA02 – Monitor, Evaluate, and Assess the System of Internal Control Tujuan-tujuan yang dapat diperoleh dari evaluasi ini adalah: 1 Mengetahui capability level pada departemen Information Technology PT FIF saat ini berdasarkan COBIT process capability model. 2 Menganalisis perbedaan antara target pencapaian capability level perusahaan dengan capability level perusahaan saat ini serta memberikan saran dan rekomendasi yang membangun di masa mendatang. 3 Membantu perusahaan dalam menciptakan tata kelola IT yang sesuai dengan standar internasional.

1 2 3

Adapun manfaat-manfaat yang dapat diperoleh dari evaluasi ini adalah: Mampu mengetahui dan meningkatkan kompetensi IT PT FIF. Mampu meningkatkan capability level perusahaan ke level yang lebih baik. Mampu memperbaiki dan menciptakan tata kelola IT yang efektif dan efisien sesuai standar internasional.

METODE PENELITIAN Metodologi yang digunakan dalam laporan tugas akhir ini adalah Kerangka kerja COBIT 5. Metode ini digunakan sebagai acuan dalam melakukan evaluasi tata kelola teknologi informasi dan untuk mengukur capability level pada PT FIF.

HASIL DAN BAHASAN

Gambar 1 Grafik Pencapaian Capability Level COBIT Process

Target capability level untuk seluruh proses yang dievaluasi pada PT FIF adalah 3,00. Target ini ditetapkan berdasarkan hasil wawancara dengan IT Planning & Governance Officer selaku penanggung jawab pengelolaan IT di dalam perusahaan. Untuk dapat mempermudah pembaca dalam mengetahui seberapa besar gap yang ada antara target capability level perusahaan dengan capability level yang telah dicapai perusahaan saat ini, informasi tersebut dapat dilihat pada tabel di bawah ini.

Level 0:

Tabel 1 Daftar Proses COBIT di Level 0 Nama Proses

Target Level

Level Saat Ini

Gap

EDM03 – Ensure Risk Optimisation

3

0

3

No 1

Level 1:

Tabel 2 Daftar Proses COBIT di Level 1 Nama Proses

Target Level

Level Saat Ini

Gap

APO12 - Manage Risk

3

1

2

No 1

Level 2:

Tabel 3 Daftar Proses COBIT di Level 2 Nama Proses

Target Level

Level Saat Ini

Gap

1

EDM04 – Ensure Resource Optimisation

3

2

1

2

APO01 – Manage the Management Framework for IT

3

2

1

3

APO03-Manage Enterprise Architecture

3

2

1

4

APO04 – Manage Innovation

3

2

1

5

APO05 – Manage Portfolio

3

2

1

6

APO06 – Manage Budget and Costs

3

2

1

7

APO07 - Manage Human Resources

3

2

1

8

APO09 - Manage Service Agreements

3

2

1

9

APO10 - Manage

3

2

1

No

Suppliers 10

APO11 – Manage Quality

3

2

1

11

APO13 - Manage Security

3

2

1

12

BAI01 – Manage Programme and Projects

3

2

1

13

BAI05 – Manage Organizational Change Enablement

3

2

1

14

BAI08 – Manage Knowledge

3

2

1

15

BAI10 – Manage Configuration

3

2

1

16

MEA01 – Monitor, Evaluate, and Assess Performance and Conformance

3

2

1

17

MEA02 – Monitor, Evaluate and Assess the System of Internal Control

3

2

1

Level 3:

Tabel 4 Daftar Proses COBIT di Level 3 Nama Proses

Target Level

Level Saat Ini

Gap

1

APO08-Manage Relationships

3

3

0

2

BAI02 – Manage Requirements Definition

3

3

0

3

BAI04 – Manage

3

3

0

No

Availability and Capacity 4

BAI09 – Manage Assets

3

3

0

5

DSS01 – Manage Operations

3

3

0

6

DSS03 – Manage Problems

3

3

0

7

DSS04 – Manage Continuity

3

3

0

8

DSS05 – Manage Security Services

3

3

0

Level 4: Tidak ada proses COBIT yang dievaluasi pada PT FIF yang memperoleh pencapaian capability level 4. Level 5: Tabel 5 Daftar Proses COBIT di Level 5 Nama Proses

Target Level

Level Saat Ini

Gap

1

BAI06 – Manage Changes

3

5

0

2

BAI07 – Manage Change Acceptance and Transitioning

3

5

0

No

Berdasarkan data hasil penilaian capability level masing-masing proses, maka dilakukanlah perhitungan untuk mengetahui besarnya rata-rata capability level yang telah dicapai oleh departemen IT PT FIF. Perhitungan dilakukan dengan rumus rata-rata sebagai berikut: Cara menghitung Capability Level Capability Level = (0*y0) + (1*y1) + …+ (5*y5) z Keterangan: y-n (y0...y5) = jumlah proses yang berada dilevel n z = jumlah proses yang dievaluasi Berdasarkan data pencapaian level masing-masing proses, maka perhitungan rata-rata capability level adalah sebagai berikut: Capability Level = (0*1) + (1*1) + (2*17) + (3*8) + (4*0) + (5*2) 29 Capability Level = 2,379 = 2,38

Dari hasil perhitungan, maka dapat disimpulkan bahwa capability level pada departemen IT PT FIF saat ini berada di level 2,38 dan memiliki gap sebesar 0,62 untuk mencapai level 3,00 yang menjadi target capability level perusahaan. Terdapat dua alternatif pilihan yang dapat dilakukan oleh perusahaan, yaitu: 1. Apabila kebutuhan perusahaan adalah pencapaian rating, maka yang diprioritaskan adalah melaksanakan quick win untuk meningkatkan rating seperti berikut ini. Quick Win Dalam upaya mencapai target capability level perusahaan, disarankan perusahaan membuat SOP demi tercapainya persyaratan level 3 untuk proses-proses: a. Ensure Resource Optimization b. Manage the Management Framwork for IT c. Manage EA d. Manage Innovation, Manage Portfolio e. Manage Budget and Costs, Manage Human Resources f. Manage Service Agreements g. Manage Suppliers h. Manage Quality i. Manage Security j. Manage Programme and Projects k. Manage Organizational Change Enablement l. Manage Knowledge m. Manage Configuration n. Monitor, Evaluate, and Assess Performance and Conformance o. Monitor, Evaluate and Assess the System of Internal Control, lalu untuk proses yang saat ini berada di level 0, dalam hal ini proses Ensure Risk Optimization (EDM03) dilengkapi output-output yang harus ada untuk mencapai level 1 yaitu : a. Pada poin EDM03.01-Evaluate Risk Management disarankan pada perusahaan untuk segera dibuatkan Risk Appetite Guidance untuk memenuhi persyaratan EDM03.01 b. Pada poin EDM03.02-Direct Risk Management disarankan pada perusahaan untuk segera dibuatkan policy untuk Risk Management c. Pada poin EDM03.03-Monitor Risk Management disarankan pada perusahaan agar segera dibuatkan tindakan remedial jika terjadi deviasi oleh risk management dan laporan masalah yang ada pada risk management terhadap pemegang kepentingan. 2. Apabila kebutuhan perusahaan adalah merapikan keseluruhan tata kelola IT, maka prioritas dapat dipilih sesuai goals yang ada di perusahaan dan dimulai dari proses yang memiliki dampak besar bagi perusahaan. Perusahaan sebaiknya memperbaiki tata kelola IT dimulai dengan melengkapi semua output yang belum dicapai pada level 1, selanjutnya perusahaan dapat berfokus pada proses-proses yang berada di level 2 saat ini dan melakukan perbaikan untuk mencapai level 3, kemudian diikuti dengan peningkatan proses yang saat ini telah mencapai level 3 agar dapat memperoleh level selanjutnya.

SIMPULAN DAN SARAN Simpulan dari laporan tugas akhir ini adalah: 1 Hasil evaluasi menunjukan bahwa departemen IT PT FIF berada pada level 2 (managed process), dengan nilai sebesar 2,38. Saat ini terdapat 1 proses pada Level 0, 1 proses pada Level 1, 17 proses pada Level 2, 8 proses pada Level 3, 0 proses pada Level 4, dan 2 proses pada Level 5. Pengelolaan IT di dalam PT FIF sudah dilakukan dengan cukup baik, karena pada level 2 performa proses telah dikelola yang mencakup perencanaan, monitoring, dan penyesuaian. Work products-nya dijalankan, dikontrol, dikelola dengan tepat yang mencakup pengukuran pengelolaan performa proses (performance management) dan pengukuran hasil dari proses yang dilaksanakan (work product management). 2 Berdasarkan hasil perhitungan, capability level PT FIF saat ini adalah 2,38 sedangkan target capability level PT FIF adalah 3,00, maka terdapat gap sebesar 0,62. Untuk mencapai target capability level yang diharapkan oleh perusahaan, perusahaan dapat menutup gap tersebut dengan membuat guidelines berupa SOP dengan konten yang sesuai dengan panduan dari

COBIT 5 untuk seluruh proses yang belum memiliki SOP dan meningkatkan proses yang saat ini berada di level 0 untuk naik ke level 1 yaitu proses mengenai pengelolaan batas toleransi risiko. 3 Agar dapat menciptakan tata kelola IT yang sesuai dengan standar internasional, maka sebaiknya perusahaan merapikan tata kelola IT secara menyeluruh dan berkelanjutan. Proses ini dapat diawali dengan fokus pada pencapaian level 1 bertahap sampai mencapai level 5, yaitu dengan cara melengkapi semua output proses yang belum dicapai pada level 1, selanjutnya perusahaan dapat berfokus pada proses-proses yang berada di level 2 saat ini dan melakukan perbaikan untuk mencapai level 3, kemudian apabila dirasa perlu, boleh diikuti dengan peningkatan proses yang saat ini telah mencapai level 3 agar dapat memperoleh level selanjutnya hingga proses tersebut mencapai level 5. Adapun saran-saran yang perlu dipertimbangkan untuk meningkatkan pengelolaan teknologi informasi yang ada di dalam perusahaan adalah: 1 PT FIF disarankan untuk memberikan perhatian secara khusus dalam hal pengelolaan risiko, agar segala hal yang dapat memicu terjadinya problem dapat dihindari dan dicegah sedini mungkin. 2 PT FIF disarankan untuk membuat SOP untuk seluruh proses yang dimiliki sesuai dengan ketentuan COBIT. 3 PT FIF disarankan untuk mengikuti quick win jika fokus hanya ingin mencapai target level 3,00 dalam standar COBIT dan mendapatkan sertifikatnya, atau melakukannya secara menyeluruh jika ingin memperbaiki keseluruhan IT governance yang baik berdasarkan standar COBIT.

REFERENSI Aksoy, P., & DeNardis, L. (2008). Information Technology in Theory. Canada: Course Technology Brand, K., & Boonen, H. (2007). IT Governance based on CobiT 4.1 - A management Guide. Zaltbommel: Van Haren Publishing Grembergen, W.V., & Haes, S.D. (2009). Enterprise Governance of Information Technology. USA: Springer Hall, J.A. (2007). Audit Teknologi Informasi dan Assurance. (edisi-2), Dewi Fitriasari(ed.), & Deny Arnos Kwary(ed.). Jakarta: Penerbit Salemba Empat ISACA. (2012). COBIT 5 A Business Framework for the Governance and Management of Enterprise IT. USA: ISACA. ISACA. (2012). COBIT 5 Enabling Processes. USA: ISACA. ISACA. (2012). COBIT 5 Implementation. USA: ISACA. ISACA. (2011). COBIT Process Assessment Model (PAM) Using COBIT 4.1. USA: ISACA. ISACA. (2011). COBIT Self-Assessment Guide: Using COBIT 4.1. USA: ISACA. ISACA. (2011). ISACA issues COBIT process assessment model. Technology & Business Journal, , 325. Kessinger, Kristen. (2012). ISACA Issues COBIT 5 Governance Framework. Targeted News Service, , 1. Leon, A. (2007). Enterprise Resource Planning. (edisi-2). New Delhi: Tata McGraw-Hill Satzinger, J.W., Jackson, R. B., & Burd, S.D. (2010). Systems Analysis & Design in a changing world. (edisi-5). USA: Course Technology. Srivastava, D., & Batra, A. (2010). ERP Systems. New Delhi: I.K. International Publishing House

Stair, R.M., & Reynolds, G., & Reynolds, G.W. (2008). Fundamentals of Information System. (edisi-5). Stamford : Cengage Learning. Walker, A., McBride, T., Basson, G., & Oakley, R. (2012). ISO/IEC 15504 Measurement Applied To COBIT Process Maturity. Benchmarking: An International Journal, 19(2), 159-176. Williams, B.K., & Sawyer, S.C. (2007). Using Information Technology : Pengenalan Praktis Dunia Komputer dan Komunikasi. (edisi-7). Yogyakarta : ANDI.

RIWAYAT PENULIS 1. Alvin Tempat & Tanggal Lahir : Jakarta, 14 April 1991 Pendidikan terakhir : S1 di Universitas Bina Nusantara dalam bidang Sistem Informasi lulus tahun 2013 2. Wongso Soekamto Tempat & Tanggal Lahir : Jakarta, 11 Oktober 1991 Pendidikan terakhir : S1 di Universitas Bina Nusantara dalam bidang Sistem Informasi lulus tahun 2013 3. Riny Harsono Tempat & Tanggal Lahir : Rangkasbitung, 3 April 1991 Pendidikan terakhir : S1 di Universitas Bina Nusantara dalam bidang Sistem Informasi lulus tahun 2013