ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR BOGOR 2014
PERNYATAAN MENGENAI TUGAS AKHIR DAN SUMBER INFORMASI SERTA PELIMPAHAN HAK CIPTA* Dengan ini saya menyatakan bahwa tugas akhir berjudul Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI menggunakan Framework COBIT 4.1 adalah benar karya saya dengan arahan dari komisi pembimbing dan belum diajukan dalam bentuk apa pun kepada perguruan tinggi mana pun. Sumber informasi yang berasal atau dikutip dari karya yang diterbitkan maupun tidak diterbitkan dari penulis lain telah disebutkan dalam teks dan dicantumkan dalam Daftar Pustaka di bagian akhir tugas akhir ini. Dengan ini saya melimpahkan hak cipta dari karya tulis saya kepada Institut Pertanian Bogor. Bogor, Agustus 2014 Rima Octavia G652100045
ABSTRACT RIMA OCTAVIA. Analysis Maturity Level of Provision Information Technology Governance in PDII-LIPI Using Framework COBIT 4.1. Supervised by ENDANG PURNAMA GIRI and BLASIUS SUDARSONO. Centre for Scientific Documentation and Information – Indonesian Institute of Science (PDII-LIPI) PDII-LIPI began developing its business purposes towards digital library. To support these purposes it is necessary to use IT governance. PDII-LIPI haven’t any specific IT governance. COBIT is one of the international standard for IT governance. COBIT is used in this study is COBIT 4.1 because it can measure the organization its not uses IT governance. The results of the calculation of the maturity level of to provided IT governance in PDII-LIPI based on framework COBIT 4.1 shows that PDII-LIPI already at level 3 (Defined Process). This is consistent with the actual conditions in PDII-LIPI. COBIT 4.1 is considered quite capable, reliable and easy to implement in PDIILIPI as not only as IT governance, but also as a tool for management to formulate policies and IT audit. Keywords: IT governance, framework COBIT 4.1, maturity level.
RINGKASAN RIMA OCTAVIA. Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1. Dibimbing oleh ENDANG PURNAMA GIRI dan BLASIUS SUDARSONO. Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan Indonesia (PDII-LIPI) mulai mengembangkan tujuan bisnisnya ke arah perpustakaan digital. Untuk mendukung tujuan bisnis ini perlu untuk menggunakan tata kelola TI. PDII-LIPI belum mempunyai tata kelola TI tersendiri. COBIT merupakan salah satu standar internasional untuk tata kelola TI. COBIT yang digunakan dalam penelitian ini adalah COBIT 4.1 karena dapat mengukur organisasi yang belum menggunakan tata kelola TI. Kerangka kerja COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat domain yaitu perencanaan dan pengorganisasian (PO), pengadaan dan implementasi (AI), pengantaran dan dukungan (DS), serta monitor dan evaluasi (ME). Kerangka kerja COBIT 4.1 berorientasi pada proses maka keseluruhan domain tersebut memiliki beberapa proses, domain PO memiliki 10 proses, domain AI memiliki 7 proses, domain DS memiliki 13 proses, dan domain ME memiliki 4 proses. Analisis tingkat kematangan penyediaan tata kelola TI atau ME4, menggunakan beberapa proses pada kerangka kerja COBIT 4.1 sebagai proses kontrolnya, yaitu PO4, PO5, PO9, ME2, dan ME3. Hasil perhitungan tingkat kematangan untuk menyediakan tata kelola TI di PDII-LIPI berdasarkan kerangka kerja COBIT 4.1 didapatkan berdasarkan proses kontrol yaitu PO4, PO5, PO9, ME2, dan ME3 menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses Terdefinisi). Berdasarkan demografi responden dalam hal ini pada struktural yang masih menjabat saat ini, hasil tingkat kematangan penyediaan tata kelola TI di PDII-LIPI juga menunjukkan bahwa PDII-LIPI berada pada level 3 (Proses Terdefini). Hal tersebut sesuai dengan kondisi pengelolaan TI di PDII-LIPI saat ini. Tingkat kematangan yang diinginkan oleh struktural adalah 4 (Terkelola dan Terukur) maka dari gap yang ada direkomendasikan untuk melakukan beberapa perbaikan dan menambah beberapa kekurangan agar tingkat kematangan yang diinginkan tercapai. COBIT 4.1 dianggap cukup mampu, dapat diandalkan dan mudah diimplementasikan dalam PDII-LIPI tidak hanya sebagai tata kelola TI, tetapi juga sebagai alat bagi manajemen untuk merumuskan kebijakan dan audit TI. Kata kunci: tata kelola TI, kerangka kerja COBIT 4.1, tingkat kematangan
© Hak Cipta Milik IPB, Tahun 2014 Hak Cipta Dilindungi Undang-Undang Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan atau menyebutkan sumbernya. Pengutipan hanya untuk kepentingan pendidikan, penelitian, penulisan karya ilmiah, penyusunan laporan, penulisan kritik, atau tinjauan suatu masalah; dan pengutipan tersebut tidak merugikan kepentingan IPB Dilarang mengumumkan dan memperbanyak sebagian atau seluruh karya tulis ini dalam bentuk apa pun tanpa izin IPB
ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI MENGGUNAKAN FRAMEWORK COBIT 4.1
RIMA OCTAVIA
Tugas Akhir sebagai salah satu syarat untuk memperoleh gelar Magister Profesional pada Program Studi Magister Teknologi Informasi untuk Perpustakaan
SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR BOGOR 2014
Penguji Luar Komisi : Firman Ardiansyah, SKom, Msi
Judul Tesis : Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1 Nama : Rima Octavia NIM : G652 100045
Disetujui oleh Komisi Pembimbing
Endang Purnama Giri, SKom, MKom Ketua
Blasius Sudarsono, MLS Anggota
Diketahui oleh
Ketua Program Studi Magister Teknologi Informasi untuk Perpustakaan
Dekan Sekolah Pascasarjana
Aziz Kustiyo, SSi, MKom
Dr. Ir. Dahrul Syah, MSc Agr
Tanggal Ujian: 30 Agustus 2014
Tanggal Lulus:
PRAKATA Puji dan syukur penulis panjatkan kepada Allah subhanahu wa ta’ala atas segala karunia-Nya sehingga karya ilmiah ini berhasil diselesaikan. Tema yang dipilih dalam penelitian yang dilaksanakan sejak bulan Januari 2014 ini ialah tata kelola TI, dengan judul Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1. Terima kasih penulis ucapkan kepada Bapak Endang Purnama Giri, SKom, MKom dan Bapak Blasius Sudarsono, MLS selaku pembimbing yang telah banyak memberi saran. Di samping itu, penghargaan penulis sampaikan kepada Kementerian Riset dan Teknologi selaku pemberi beasiswa sehingga penulis bisa melaksanakan tugas belajar pada Program Studi Magister Teknologi Informasi untuk Perpustakaan. Penulis juga mengucapkan banyak terima kasih kepada Ibu Ir. Sri Hartinah, MSi selaku Kepala Pusat PDII-LIPI serta rekan-rekan kerja di PDII-LIPI yang telah membantu selama pengumpulan data. Ungkapan terima kasih juga disampaikan kepada papa dan mama, bapak dan ibu mertua, suami, anak, seluruh keluarga, sabahat dan teman-teman MTP khususnya angkatan 2010, sera semua yang telah memberikan doa, kasih sayang, dan dukungan penuh selama menyelesaikan penelitian hingga menyusun tulisan. Semoga karya ilmiah ini bermanfaat.
Bogor, Agustus 2014 Rima Octavia
RIWAYAT HIDUP Penulis dilahirkan di Jakarta pada tanggal 9 Oktober 1976 sebagai anak bungsu dari pasangan H. Anwardi Mawardi dan Hj. Yusra. Pendidikan diploma ditempuh di Program Studi Teknik Grafika, Politeknik Universitas Indonesia, Depok, lulus pada tahun 1998. Pada tahun 2002 penulis menamatkan pendidikan sarjana yang ditempuh di Universitas Sahid, Jakarta dengan Program Studi Teknik Industri. Kesempatan untuk melanjutkan ke program magister pada program studi Magister Teknologi Informasi untuk Perpustakaan pada Institut Pertanian Bogor diperoleh pada tahun 2010. Beasiswa pendidikan pascasarjana diperoleh dari Kementerian Riset dan Teknologi Republik Indonesia. Penulis bekerja sebagai Pengolah Naskah dan Desain di Pusat Dokumentasi dan Informasi Ilmiah LIPI sejak tahun 2006 dan ditempatkan di Jakarta. Penulis bertanggung jawab terhadap pengolahan naskah dan desain produk-produk PDIILIPI.
DAFTAR ISI DAFTAR TABEL
viii
DAFTAR GAMBAR
viii
DAFTAR LAMPIRAN
ix
1 PENDAHULUAN Latar Belakang Perumusan Masalah Tujuan Penelitian Manfaat Penelitian Ruang Lingkup Penelitian
1 1 3 3 3 4
2 TINJAUAN PUSTAKA Teknologi Informasi Tata Kelola Teknologi Informasi COBIT Profil Organisasi PDII-LIPI
5 5 6 9 29
3 METODOLOGI Metode Penelitian Tahapan Penelitian Tahapan Analisis Pengolahan Hasil Kuesioner Evaluasi
33 33 33 35 36 37
4 HASIL DAN PEMBAHASAN Profil Responden Karakteristik Demografi Responden Pengolahan Data Kuesioner Evaluasi Tata Kelola TI
38 38 38 42 51
5 SIMPULAN DAN SARAN Simpulan Saran
55 55 55
DAFTAR PUSTAKA
56
LAMPIRAN
57
DAFTAR TABEL 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Proses TI dalam domain perencanaan dan pengorganisasian Proses TI dalam domain pengadaan dan implementasi Proses TI dalam domain penyampaian layanan dan dukungan Proses TI dalam domain monitor dan evaluasi Kriteria kontrol informasi dari COBIT 4.1 Tingkat kematangan secara umum dalam COBIT 4.1 Tingkat kematangan ME4 Representasi tingkat kematangan COBIT Jumlah jawaban responden untuk setiap modul dari sub domain PO4 Jumlah jawaban responden untuk setiap modul dari sub domain PO5 Jumlah jawaban responden untuk setiap modul dari sub domain PO9 Jumlah jawaban responden untuk setiap modul dari sub domain ME2 Jumlah jawaban responden untuk setiap modul dari sub domain ME3 Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3 Tingkat kematangan berdasarkan demografi responden
13 13 14 14 15 18 26 37 42 43 45 46 48 49 50
DAFTAR GAMBAR 1 2 3 4 5 6 7 8 9 10 11 12
Proses tata kelola TI Kubus COBIT Kerangka kerja COBIT 4.1 secara keseluruhan Hubungan domain-domain dalam COBIT 4.1 Diagram alur penelitian Sebaran responden berdasarkan usia Sebaran responden berdasarkan jenis kelamin Sebaran responden berdasarkan tingkat pendidikan Sebaran responden berdasarkan jabatan Sebaran responden berdasarkan masa kerja Sebaran responden berdasarkan keaktifannya di PDII-LIPI Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol proses ME4
8 11 12 15 34 39 39 40 40 41 41 52
DAFTAR LAMPIRAN 1 2 3 4 5 6 7 8
Kuesioner tingkat kematangan tata kelola di PDII-LIPI Data relasi responden mengenai TI Data hasil identitas responden Data modul sub domain PO4 Data modul sub domain PO5 Data modul sub domain PO9 Data modul sub domain ME2 Data modul sub domain ME3
57 63 64 65 67 68 69 70
1 PENDAHULUAN Latar Belakang Teknologi Informasi (TI) mempengaruhi hampir semua aspek kehidupan manusia, salah satunya adalah perpustakaan. Perkembangannya yang sangat cepat menuntut perpustakaan untuk melakukan terobosan dan perubahan agar dapat mengoptimalkan penggunaan TI. Perpustakaan pada era TI menciptakan perubahan konsep perpustakaan konvensional menjadi perpustakaan digital, membuat akses informasi perpustakaan dapat dilakukan secara virtual tanpa perlu datang ke perpustakaan. Dengan demikian, perpustakaan menjadi pusat informasi yang lebih proaktif mencari pembacanya dan memberikan layanan-layanan yang lebih cepat serta up to date. Khusus di bidang Ilmu Perpustakaan dan Informasi, Sulistyo (1993) menyatakan bahwa TI adalah teknologi yang digunakan untuk menyimpan, mengolah, menghasilkan dan menyebarluaskan informasi. Penggunaan bantuan TI pada proses pengelolaan perpustakaan disebut otomasi perpustakaan. Otomasi perpustakaan (library automation) adalah pemanfaatan TI untuk kegiatan-kegiatan perpustakaan meliputi: pengadaan, pengolahan, penyimpanan, dan penyebarluasan informasi. Selain itu, otomasi perpustakaan mengubah sistem perpustakaan manual menjadi sistem perpustakaan terkomputerisasi. Penggunaan TI saat ini telah mengalami perubahan yang sangat besar dari sekedar alat bantu menjadi komponen proses bisnis dalam perpustakaan. Lin et al. (2000) menyatakan bahwa organisasi yang menggunakan TI perlu melakukan tata kelola agar TI dapat memberikan manfaat yang maksimal. Pengelolaan TI dapat digambarkan sebagai pengelolaan piranti lunak dan piranti keras yang diharapkan dapat mengembangkan dan meningkatkan keuntungan sistem informasi serta menyumbang manfaat jangka panjang bagi organisasi. Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu Pengetahuan Indonesia (PDII-LIPI) sebagai lembaga pemerintahan yang bergerak pada bidang jasa perpustakaan telah menyadari pentingnya penggunaan TI pada perpustakaan. PDII-LIPI menerapkan TI pertama kali dalam bentuk off-line dengan menggunakan perangkat lunak format MARC (machine readible cataloguing)
2 yaitu format cantuman bibliografi yang terbaca mesin (komputer) pada tahun 1983 sehingga PDII-LIPI diakui sebagai perpustakaan pertama di Indonesia yang menerapkan penggunaan TI. PDII-LIPI mulai mengubah sistemnya menjadi online, yaitu TI berbasis internet sejak era 2000-an. PDII-LIPI berusaha menjadi sebuah perpustakaan yang tidak hanya melakukan layanan peminjaman buku, referensi, penelusuran, dan lain-lain yang terbatas pada aktivitas lokal, tetapi menjadi sebuah perpustakaan yang bisa di akses dari manapun, kapanpun, dan oleh siapapun. Oleh karena itu PDII-LIPI melakukan pengembangan perpustakaan ke
arah
perpustakaan
digital
(http://elib.pdii.lipi.go.id/).
Wijaya
(2007)
menyatakan bahwa penerapan TI untuk mendukung e-goverment merupakan upaya pemerintah mengadopsi TI dalam rangka meningkatkan kualitas pelayanan publik. PDII-LIPI telah berusaha menjawab tantangan era TI dengan terus mengembangkan TI pada perpustakaan, memperbaiki infrastruktur, dan meningkatkan kualitas sumber daya manusia (SDM). Meskipun Kementerian Komunikasi dan Informatika RI (2007), memberikan panduan tata kelola TI yaitu berdasarkan
Peraturan
Menteri
41/PER/MEN.KOMINFO/11/2007
Komunikasi tentang
dan
Panduan
Informatika
Umum
Tata
No. Kelola
Teknologi Informasi dan Komunikasi Nasional, namun tetap diperlukan tata kelola TI yang lebih spesifik untuk PDII-LIPI karena TI telah menjadi proses bisnis di PDII-LIPI agar TI bisa berkontribusi maksimal pada penyelenggaraan digital library (perpustakaan digital). IT Governance Institute (2007) menyatakan bahwa untuk menjamin ketersediaan sumber daya dalam organisasi diperlukan mekanisme pengendalian internal sehingga tugas pokok dan fungsi (tupoksi) organisasi dapat tercapai. Mekanisme pengendalian internal mencakup dua lingkungan yaitu lingkungan aktivitas organisasi yang disebut tata kelola organisasi (enterprise governance) serta lingkungan pengelolaan dan pengolahan data menjadi informasi untuk menunjang proses pengambilan keputusan organisasi yang disebut tata kelola TI (IT Governance). Penerapan TI di perpustakaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu tata kelola TI mulai dari perencanaan sampai
3 implementasinya. Pemilihan tata kelola COBIT dikarenakan COBIT adalah standar international untuk tata kelola TI dan COBIT diarahkan lebih luas digunakan di bidang manajemen, sehingga tidak hanya berperan sebagai standar tata kelola TI tetapi dapat juga digunakan sebagai alat bantu bagi manajemen dalam merumuskan kebijakan-kebijakan strategis. COBIT dilengkapi kerangka kerja (framework) untuk audit TI dan lebih mudah dipakai serta diterapkan dalam organisasi. COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat bagian yaitu plan and organize (perencanaan dan pengorganisasian), acquire and implement (pengadaan dan implementasi), deliver and support (pengantaran dan dukungan), serta monitor and evaluate (monitor dan evaluasi). COBIT yang digunakan dalam kajian ini adalah COBIT 4.1 karena dapat mengukur organisasi yang belum menggunakan tata kelola TI dan difokuskan pada domain monitor dan evaluasi (ME) terutama yang membahas tentang menyediakan tata kelola TI. Perumusan Masalah Berdasarkan masalah dan fakta yang terurai pada latar belakang, maka penyusun merumuskan masalah yang tercakup dalam penelitian ini sebagai berikut: 1.
Bagaimana kondisi pengelolaan TI yang sedang berjalan?
2.
Apakah dengan framework (kerangka kerja) COBIT 4.1 akan ditemukan mengapa tata kelola TI diperlukan? Tujuan Penelitian
1.
Mempelajari kondisi pengelolaan TI.
2.
Menentukan maturity level (tingkat kematangan) penyediaan tata kelola TI berdasarkan kerangka kerja COBIT 4.1. Manfaat Penelitian Manfaat yang diharapkan dari hasil penelitian ini adalah:
1.
Dapat ditemukannya penyimpangan dalam pengelolaan TI di PDII-LIPI dari hasil tingkat kematangan penyediaan tata kelola TI berdasarkan kerangka kerja COBIT 4.1.
4 2.
Membantu manajemen dalam pengambilan keputusan untuk kebijakan TI untuk memperbaiki penyimpangan yang ditemukan di PDII-LIPI hingga selanjutnya mampu mendukung pencapaian tujuan bisnis.
Ruang Lingkup Penelitian 1.
Penelitian dilakukan pada Januari-Juni 2014 dan hanya dilakukan di PDIILIPI, Jakarta.
2.
Untuk mendapatkan rekomendasi dan saran atas hasil evaluasi tersebut, digunakan domain monitor dan evaluasi (ME) terutama sub domain mengenai penyediaan tata kelola yang terdapat dalam kerangka kerja COBIT 4.1.
5
2 TINJAUAN PUSTAKA Teknologi Informasi TI adalah penggabungan antara teknologi komputer dengan telekomunikasi. Cakupan dari TI itu sendiri adalah telekomunikasi, komputer yang di dalamnya termasuk bentuk mikro (contohnya yaitu perlindungan data, sistem pakar, komunikasi suara dengan bantuan komputer), jaringan digital (contohnya antara lain adanya surat elektronik, sistem informasi, jaringan informasi), serta audio dan video, termasuk sistem komunikasi optik (contohnya video conference, video-teks, dan lain-lain). Fungsi utama TI pada perpustakaan adalah untuk mengatur informasi (inhouse information) serta mengusahakannya agar dapat ditemukembalikan. Selain itu, TI memungkinkan kita untuk mengakses pangkalan data (database) luar (ekstern), yaitu database dari lembaga-lembaga lain, di berbagai belahan dunia. Fungsi lain dari TI adalah meringankan beban kerja, efisiensi dan menghemat waktu,
meningkatkan
jasa
perpustakaan,
dokumentasi,
dan
informasi
(perpusdokinfo), serta membangun jaringan kerja dan kerjasama. Terdapat lima komponen dasar dari TI, antara lain hardware (perangkat keras), software (perangkat lunak), brainware (SDM), dataware (data), dan netware (jaringan). Ada beberapa alasan mengapa TI perlu untuk dikembangkan yaitu untuk meningkatkan advantage (kegunaan), mengembangkan produktivitas dan kinerja, memfasilitasi sarana baru dalam pengelolaan dan pengorganisasian, dan mengembangkan bisnis baru. Aplikasi TI yang tercakup dalam ruang lingkup suatu sistem informasi perpustakaan antara lain adalah library housekeeping (pengelolaan perpustakaan), information retrieval (temu kembali informasi/penelusuran informasi), general purpose software (perangkat lunak untuk berbagai macam keperluan), library networking (jaringan kerjasama perpustakaan).
6
Tata Kelola Teknologi Informasi Pengertian Tata Kelola Teknologi Informasi Weill et al. (2004) mendefinisikan tata kelola TI sebagai suatu bagian integral dari tata kelola organisasi yang terdiri atas kepemimpinan, struktur dan proses organisasional yang memastikan bahwa organisasi TI berlanjut serta meningkatkan tujuan dan strategi organisasi. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan keuntungan kompetitif (ITGI 2007). Tata kelola TI merupakan satu kesatuan dari tata kelola organisasi melalui peningkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan. Lebih jauh lagi tata kelola TI menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, penyampaian layanan dan dukungan, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan. Tata kelola TI memungkinkan perusahaan untuk memperoleh keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari peluang dan keuntungan kompetitif yang dimiliki. Pembangunan sistem pengendalian intern yang dapat diandalkan, sangat berkaitan dengan tata kelola TI, yaitu dalam hal pemilihan dan pengembangan TI yang memadai. Lemahnya pemilihan dan pengembangan TI akan menghasilkan sistem informasi (SI) yang tidak andal. Lemahnya SI tidak memungkinkan terjadinya warning sign (deteksi dini) atas kesalahan pengelolaan TI. Peranan tata kelola TI merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barang yang langka/baru lagi. Penggunaan TI di berbagai industri jasa tidak dapat dihindarkan dan telah mengubah sifat dari penyampaian jasa, yang memaksa pekerja dan konsumen untuk lebih berinteraksi dengan teknologi yang dapat
7 menghemat waktu, ruang dan jarak tempuh atas data dan informasi dalam penyampaian layanan yang dapat memuaskan konsumen. Sayangnya, kesadaran atas pemilihan dan pengembangan IT yang andal, lambat disadari oleh organisasi. Organisasi banyak yang tidak mempunyai visi atau misi ke depan yang berkaitan dengan pemilihan dan pengembangan TI. Kesadaran tata kelola baru akan terasa ketika persaingan makin besar. Organisasi yang terlambat menyadari pentingnya tata kelola TI sementara proses bisnis mereka adalah TI dapat kalah bahkan mati dalam persaingan. Kegagalan pengembangan TI dapat meningkatkan keluhan dan tututan konsumen serta tingginya risiko operasional. Kesadaran pemilihan dan pengembangan TI terletak pada top managemen karena mereka penentu strategi bisnis. Hal ini melibatkan pengadaan IT yang relatif mahal yang seringkali tidak sesuai dengan kaidah good corporate governance. Bukan rahasia lagi kalau korupsi sudah membudaya sehingga markup pembelian atau membeli barang yang bermutu rendah dengan harga mahal menjadi praktik biasa dengan komisi masuk kantung pribadi. Barang TI lalu menjadi beban perusahaan yang dapat menimbulkan IT Failure lalu menimbulkan frustasi dan tingginya tingkat risiko operasional dan risiko reputasi. Organisasi yang mengedepankan tata kelola akan memilih perangkat TI yang berkualitas sehingga menghasilkan sistem informasi manajemen (MIS) yang handal dan mendukung pengembangan bisnisnya. Sebagaimana disampaikan oleh Damianides (2005) sebagai berikut. "The prominent role of IT in creating business value has accelerated the establishment of the concept of IT Governance as ahigh priority for boards of directors and executive management. IT Governance practices need to focus on ensuring that the expectations of IT are met. An effective IT Governance program will help organizations understand the issues and ensure that IT can sustain operations, and help enable companies to use IT for competitive advantage." Dengan kata lain, memang tata kelola TI awalnya berada di tangan direksi, komisaris atau pemilik yang mau tahu perubahan/percepatan TI dan mempunyai
8 komitmen dalam pemilihan/pengembangan TI. Dalam hal ini, peran Chief Information Officer (CIO) saat ini menjadi penting karena membantu manajemen untuk melihat apa yang dibutuhkan organisasi agar dapat menyesuaikan dengan kebutuhan/tuntutan pasar (competitive advantage). Peran pegawai juga penting, apakah mereka mau menyesuaikan dengan "perubahan" yang berkaitan perkembangan TI atau tidak. Jadi, diperlukan sikap inovatif, ketekunan dan keinginan untuk belajar. Perubahan TI dapat menyebabkan perubahan prosedur kerja yang dapat menimbulkan frustrasi. Oleh karena itu, tata kelola TI juga berkaitan dengan pengembangan SDM yang berkualitas. Proses Tata Kelola Teknologi Informasi Sebagai suatu proses, sistem tata kelola TI dapat dilihat dari peran dan fungsi tiap komponen yang membentuk struktur tata kelola TI. Proses tata kelola TI dapat kita lihat pada Gambar 1.
Proses Perancangan Tata Kelola TI Proses Keputusan TI Mekanisme Penyelarasan Strategi Bisnis dan TI
Mekanisme Implementasi Keputusan TI Mekanisme Pengarahan Perilaku Pengguna Mekanisme Pengawasan Mekanisme Evaluasi Kinerja TI
Gambar 1 Proses tata kelola TI
9 COBIT Pengertian COBIT Menurut Gondodiyoto (2007), COBIT adalah sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, pengguna (user), dan manajemen, dan juga untuk menjembatani kesenjangan (gap) antara resiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis TI. COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya. COBIT adalah merupakan kerangka kerja “a set of best practices” bagi IT management (pengelolaan TI). COBIT disusun oleh Information Technology Governance Institute (ITGI) bagian dari Information System Audit and Control Association (ISACA), tepatnya oleh Information Systems Audit and Control Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, sementara versi on-line pertama kali dikeluarkan tahun 2003 pada edisi ke tiga. Versi COBIT terakhir saat ini adalah COBIT 5. Menurut ITGI (2007), pada COBIT 4.1 diuraikan good practices, domain-domain dan proses kerangka kerja TI yang ada. Selain itu juga menjelaskan masalah process and activity (pengelolaan proses TI dan bentuk-bentuk kegiatan) dan mempunyai struktur yang sangat logis. COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology security and control practices. Istilah “generally applicable and accepted” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Sementara itu, “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai tools tata kelola TI, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpangsiuran dalam penerapan teknologi. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam mengindetifikasi IT control issues. COBIT berguna bagi para pengguna karena memperoleh keyakinan atas keandalan sistem aplikasi yang
10 digunakan. Sementara itu, para manager memperoleh manfaat berupa kemudahan dalam pengambilan keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategi rencana TI, menentukan arsitektur informasi, dan keputusan atas procurement (pengadaan/pembelian) mesin. Disamping itu, dengan keterandalan SI yang ada pada organisasi diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada. Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI organisasi kita, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan tata kelola TI di perusahaan. COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan tata kelola TI pada suatu organisasi. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis organisasi dan memaparkannya dalam struktur aktifitas-aktifitas logis yang dapat di kelola serta dikendalikan secara efektif. COBIT mendukung manajemen dalam mengoptimalkan investasi TI melalui ukuran-ukuran dan hasil pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan/atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik. Itu artinya, sistem dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian, keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi (Gambar 2).
11
Gambar 2 Kubus COBIT Sumber : ITGI (2007). COBIT mengintegrasikan praktik-praktik yang baik dan menyediakan kerangka kerja untuk tata kelola TI yang membantu pemahaman dan pengelolaan resiko serta memperoleh keuntungan terkait dengan TI. Untuk memahami kerangka kerja COBIT, harus diketahui karakteristik utama bagaimana kerangka kerja ini disusun dan prinsip yang mendasarinya. Karakteristik utama COBIT adalah orientasi pada proses, fokus pada bisnis, berbasis kontrol, dan dikendalikan oleh pengukuran. Sementara itu, prinsip dasar COBIT adalah memberikan informasi yang diperlukan bagi organisasi guna mencapai tujuannya. Organisasi perlu mengelola dan mengendalikan sumber daya TI dengan menggunakan sekumpulan proses-proses yang terstruktur untuk memberikan layanan informasi yang diperlukan. Kerangka Kerja COBIT 4.1 Kerangka kerja COBIT 4.1 berorientasi pada control objectives (proses) yang terdiri atas 4 high-level control objectives (tujuan pengendalian tingkattinggi). Gambar 3 memperlihatkan kerangka kerja COBIT 4.1 secara keseluruhan.
12
Gambar 3 Kerangka kerja COBIT 4.1 secara keseluruhan Sumber: ITGI (2007). Kerangka kerja tersebut tercermin dalam 4 domain sebagai berikut. 1.
Perencanaan dan Pengorganisasian (PO) Domain perencanaan dan pengorganisasian mencakup penggunaan TI dan
dapat digunakan dalam sebuah organisasi untuk membantu organisasi mencapai tujuan dan sasaran. Selain itu, domain ini juga menyoroti organisasi dan infrastruktur TI untuk mengambil dan mencapai hasil yang optimal dan yang
13 paling menghasilkan keuntungan dari penggunaan TI. Tabel 1 berisi proses TI dalam domain perencanaan dan pengorganisasian sebanyak 10 proses. Tabel 1 Proses TI dalam domain perencanaan dan pengorganisasian PO1 Mendefinisikan Rencana dann Arah Strategis TI PO2 Mendefinisikan Arsitektur Informasi PO3 Menentukan Arah Teknologi PO4 Mendefinisikan Proses TI, Organisasi dan Hubungan PO5 Mengelola Investasi TI PO6 Mengkomunikasikan Tujuan dan Arah Manajemen PO7 Mengelola Sumber Daya Manusia TI PO8 Mengelola Kualitas PO9 Menilai dan Mengelola Resiko TI PO10 Mengelola Proyek 2.
Pengadaan dan Implementasi (AI) Domain
pengadaan
dan
implementasi
mencakup
mengidentifikasi
persyaratan TI, memperoleh teknologi, dan menerapkannya dalam organisasi saat ini, yaitu proses bisnis. Domain ini juga alat pengembangan rencana pemeliharaan bahwa organisasi harus mengadopsi untuk memperpanjang kehidupan sebuah sistem TI dan komponennya. Tabel 2 berisi proses TI dalam domain pengadaan dan implementasi sebanyak 7 proses. Tabel 2 Proses TI dalam domain pengadaan dan implementasi AI1 Mendefinisikan Solusi Otomasi AI2 Mengadakan dan Memelihara Piranti Lunak Aplikasi AI3 Mengadakan dan Memelihara Infrastruktur Teknologi AI4 Memungkinkan Operasi dan Penggunaan AI5 Mengadakan Sumber Daya TI AI6 Mengelola Perubahan AI7 Menginstal dan Mengakreditasi Solusi dan Perubahan 3.
Penyampaian Layanan dan Dukungan (DS) Domain penyampaian layanan dan dukungan berfokus pada domain
pengiriman aspek TI. Domain ini meliputi area-area lingkup TI seperti eksekusi aplikasi di dalam sistem TI dan hasil proses TI, serta dukungan yang memungkinkan proses yang efektif dan efisien dalam pelaksanaan sistem TI. Mendukung proses ini termasuk masalah keamanan dan pelatihan. Tabel 3 berisi proses TI dalam domain penyampaian layanan dan dukungan sebanyak 13 proses.
14 Tabel 3 Proses TI dalam domain penyampaian layanan dan dukungan DS1 Mendefinisikan dan Mengelola Tingkat Layanan DS2 Mengelola Layanan Pihak Ketiga DS3 Mengelola Kinerja dan Kapasitas DS4 Memastikan Layanan Berkesinambungan DS5 Memastikan Keamanan Sistem DS6 Mengidentifikasikan dan Mengalokasikan Biaya DS7 Mendidik dan Melatih Pengguna DS8 Mengelola Meja Layanan dan Insiden DS9 Mengelola Konfigurasi DS10 Mengelola Masalah DS11 Mengelola Data DS12 Mengelola Lingkungan Fisik DS13 Mengelola Pengoperasian 4.
Monitor dan Evaluasi (ME) Domain monitor dan evaluasi berurusan dengan strategi organisasi dalam
menilai kebutuhan organisasi. Domain ini juga melihat apakah sistem TI yang sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu independen penilaian terhadap efektivitas sistem TI dalam kemampuan untuk memenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditor internal dan eksternal. Tabel 4 berisi proses TI dalam domain monitor dan evaluasi sebanyak 4 proses. Tabel 4 Proses TI dalam domain monitor dan evaluasi ME1 Mengawasi dan Mengevaluasi Kinerja TI ME2 Mengawasi dan Mengevaluasi Pengendalian Internal ME3 Memastikan Kepatuhan dengan Kebutuhan Eksternal ME4 Menyediakan Tata Kelola TI Domain-domain pada COBIT 4.1 dapat dilihat hubungannya satu dengan yang lainnya pada Gambar 4.
15
Gambar 4 Hubungan domain-domain dalam COBIT 4.1 Sumber : ITGI (2007). Fokus pada bisnis, menunjukkan bahwa COBIT 4.1 dirancang bukan hanya untuk dikerjakan oleh penyedia layanan TI, pengguna atau auditor, melainkan juga menyediakan panduan yang lengkap untuk manajemen dan pemilik proses bisnis. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Kerangka kerja COBIT 4.1 membahas isu utama mengenai bagaimana mengelola dan mengendalikan informasi serta membantu memastikan keselarasan sumber daya TI dengan kebutuhan atau tujuan bisnis. Tabel 5 menjelaskan beberapa kriteria kontrol informasi dari COBIT 4.1. Tabel 5 Kriteria kontrol informasi dari COBIT 4.1 Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis sperti penyampaian Efektivitas informasi dengan benar, konsisten dapat dipercaya dan tepat waktu Memfokuskan pada ketentuan informasi melalui Efesiensi penggunaan sumber daya yang optimal Memfokuskan proteksi terhadap informasi yang penting Kerahasian dari orang yang tidak memiliki hak otorisasi Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan Integritas harapan dan nilai bisnis Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan Ketersediaan datang Sesuai menurut hukum, peraturan dan rencana perjanjian Kepatuhan untuk proses bisnis Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur Keakuratan pelatihan keuangan dan kelengkapan laporan Informasi pertanggungjawaban
16
Antara sasaran bisnis dan sasaran TI (business goals and IT goals) serta kriteria informasi terdapat hubungan yang menunjukkan bahwa sasaran bisnis yang diberikan (yang dikelompokkan menjadi empat perspektif IT balanced scoredcard) terkait dengan sasaran TI yang sesuai dan kriteria informasi yang diperlukan. Pencapaian kebutuhan bisnis didukung oleh sumber daya TI yang diidentifikasi dan didefinisikan sebagai berikut:
Aplikasi, yaitu sistem user yang diotomatisasi dan prosedur manual yang memproses informasi.
Informasi, yaitu data dalam semua bentuknya, dimasukkan, diproses, dan dikeluarkan dari sistem informasi dalam bentuk apapun untuk keperluan bisnis.
Infrastruktur, yaitu teknologi dan fasilitas (perangkat keras, sistem operasi, sistem manajemen database, jaringan, multimedia, dan sebagainya, serta lingkungan
penempatan
dan
pendukungnya)
yang
memungkinkan
pemrosesan aplikasi.
Manusia, yaitu orang yang diperlukan untuk merencanakan, mengorganisir, mendapatkan, menerapkan, menyampaikan, mendukung, memonitor, serta mengevaluasi layanan dan sistem informasi. COBIT 4.1 berbasis kontrol, didefinisikan sebagai kebijakan, prosedur,
praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang dapat diterima bahwa tujuan bisnis akan dicapai dan kejadian yang tidak diharapkan dapat dicegah atau diketahui dan diperbaiki. Sementara itu, tujuan kontrol TI merupakan pernyataan mengenai maksud atau hasil yang diharapkan dengan menerapkan prosedur kontrol dalam aktivtias TI tertentu. Tujuan kontrol dalam COBIT 4.1 merupakan kebutuhan minimal untuk kontrol yang efektif dari setiap proses TI. Agar dapat mencapai tata kelola TI yang efektif, kontrol perlu diimplementasikan dalam suatu kerangka kerja kontrol yang didefinisikan untuk semua proses TI. Kerangka kerja kontrol dalam COBIT 4.1, memberikan kaitan yang jelas antara kebutuhan tata kelola TI, proses TI, dan kontrol TI, karena tujuan kendali diorganisasikan menurut proses TI. Setiap proses TI yang terdapat dalam COBIT
17 4.1 mempunyai tujuan kendali tingkat tinggi dan sejumlah tujuan kendali detail. Secara keseluruhan ini merupakan karakteristik proses yang dikelola dengan baik. COBIT 4.1 dikendalikan oleh pengukuran. Pemahaman terhadap status sistem TI, diperlukan bagi organisasi, agar dapat memutuskan tingkat manajemen dan kontrol yang harus diberikan. Dengan demikian organisasi perlu mengetahui apa yang harus diukur dan bagaimana pengukuran dilakukan, sehingga dapat diperoleh status kinerjanya. Selanjutnya pengetahuan ini akan membantu upaya peningkatan yang perlu dilakukan.
Maturity Model (Model Kematangan) Model kematangan untuk pengelolaan dan kontrol pada proses TI didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri dari level tidak ada (0) hingga optimis (5). Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Model kematangan dirancang sebagai profil proses TI, sehingga organisasi dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan mendatang. Pengunaan model kematangan yang dikembangkan untuk setiap 34 proses TI yang terdapat pada seluruh domain-domain COBIT 4.1, memungkinkan manajemen mengidentifikasi:
Kinerja sesungguhnya organisasi, dimana kondisi organisasi saat ini.
Kondisi sekarang dari organisasi sejenis sebagai perbandingan.
Target peningkatan organisasi, kondisi yang diinginkan organisasi.
Jalur pertumbuhan yang diperlukan anatara “as-is” dan “to-be”. Masing-masing dari ke-34 proses TI tersebut mempunyai model
kematangan yang telah didefinisikan dengan pemberian skala pengukuran bertingkat dari 0 (tidak ada) hingga 5 (optimis). Model kematangan yang dibangun berawal dari generic qualitative model, prinsip dari atribut berikut ditambahkan dengan cara bertingkat : 1.
Kepedulian dan komunikasi (awareness and communication)
2.
Kebijakan, standar dan prosedur (polices, standard and procedures)
3.
Perangkat bantu dan otomatisasi (tools and automation)
4.
Keterampilan dan keahlian (skills and expertise)
18 5.
Pertanggungjawaban
external
dan
internal
(responsibility
and
accountability) 6.
Penetapan tujuan dan pengukuran (goal setting and measurement) Pendefinisian model kematangan suatu proses TI mengacu pada kerangka
kerja COBIT 4.1 yang secara umum dapat dijabarkan pada Tabel 6. Tabel 6 Tingkat kematangan secara umum dalam COBIT 4.1 Level 0
Tidak Ada
1
Awal/Ad-Hoc
2
Berulang tapi Intuitif
3
Proses Terdefinisi
4
Terkelola dan Terukur
5
Optimis
Kriteria Kematangan Organisasi bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi Tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus Proses dikembangkan ke dalam tahapan di mana prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan Manajemen mengawasi dan mengukur kepatuhan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif Proses telah dipilih ke dalam tingkat praktik yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kematangan dengan organisasi lain
Beberapa tujuan pengukuran kematangan adalah untuk:
Menumbuhkan kepedulian (awareness).
Melakukan identifikasi kelemahan (weakness).
Melakukan identifikasi kebutuhan perbaikan (improvement).
Sub Domain Monitor dan Evaluasi 4 (ME4) ME4 membahas proses TI tentang penyediaan tata kelola TI. Membangun kerangka kerja tata kelola TI yang efektif termasuk mendefinisikan organisasi struktur, proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa investasi TI selaras dan disampaikan sesuai dengan strategi dan tujuan organisasi. Proses ini menyediakan tata kelola TI untuk TI yang memenuhi kebutuhan bisnis serta mengintegrasikan tata kelola TI dengan tujuan tata kelola organisasi dan mematuhi undang-undang, peraturan dan kontrak dengan berfokus
19 pada pembuatan laporan dewan pada strategi TI, kinerja dan risiko, dan menanggapi ketentuan tata sejalan dengan arah papan dicapai dengan:
Membangun kerangka kerja tata kelola TI diintegrasikan ke dalam tata kelola perusahaan
Mendapatkan jaminan independen terhadap status tata kelola TI dan terukur
Frekuensi pelaporan papan di IT kepada para pemangku kepentingan (termasuk kematangan)
Frekuensi pelaporan dari IT ke dewan (termasuk kematangan)
Frekuensi tinjauan independen kepatuhan TI. Sub domain yang menjadi kontrol dari proses ME4, antara lain adalah:
a.
Sub
Domain
Perencanaaan
dan
Pengorganisasian
4
(PO4)
yaitu
Mendefinisikan Proses TI, Organisasi dan Hubungan. - PO4.1 (Kerangka Proses Informasi Teknologi) Menentukan kerangka proses TI untuk menjalankan rencana strategi TI. Kerangka proses ini meliputi hubungan dan struktur proses TI (misalnya, untuk mengelola kesenjangan dan kondisi tumpang tindihnya proses), kepemilikan, kedewasan, pengukuran kinerja, peningkatan, kesesuaian, target kualitas, dan berbagai rencana untuk mencapainya. Kerangka ini harus memberikan integrasi di antara berbagai proses yang spesifik TI, pengelolaan portofolio perusahaan, proses bisnis, dan proses perubahan bisnis. Kerangka proses TI ini harus diintegrasikan ke dalam sistem pengelolaan kualitas (QMS) dan kerangka kontrol internal. - PO4.2 (Komite Strategi TI) Membentuk komite strategi TI pada level dewan pengurus. Komite ini harus memastikan bahwa tata kelola TI, sebagai bagian dari tata kelola perusahaan, diarahkan secara memadai; menyarankan arah strategi; dan meninjau investasi utama atas nama seluruh dewan pengurus. - PO4.3 (Komite Pengarahan TI) Membentuk komite pengarahan TI (atau yang setara) yang disusun dari pengelolaan eksekutif, bisnis, dan TI untuk:
20 Menentukan prioritas program investasi yang memungkinkan TI sesuai dengan strategi dan prioritas bisnis perusahaan Melacak status proyek dan memecahkan konflik sumber daya Memantau level layanan dan peningkatan layanan - PO4.4 (Penempatan Organisasi Fungsi TI) Menempatkan fungsi TI dalam struktur organisasi keseluruhan dengan kesatuan model bisnis pada pentingnya TI dalam perusahaan, terutama kekritisannya terhadap strategi binis dan tingkat ketergantungan operasional pada TI. Bagis laporan pada CIO harus sepadan dengan pentingnya TI dalam perusahaan. - PO4.5 (Struktur Organisasi TI) Membentuk struktur organisasi TI internal dan eksternal yang mencerminkan keperluan bisnis. Selain itu, menempatkan proses dalam posisi yang tepat untuk meninjau struktur organisasi TI secara berkala, guna menyesuaikan persyaratan penentuan staf dan strategi penentuan sumber untuk memenuhi tujuan bisnis yang diharapkan dan mengubah kondisi saat ini. - PO4.6 (Pembentukan Peran dan Tanggung Jawab) Membentuk dan mengkomunikasikan peran dan tanggung jawab untuk staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk memenuhi kebutuhan organisasi. - PO4.7 (Tanggung Jawab untuk Jaminan Kualitas TI) Menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas (QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. Memastikan bahwa penempatan organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi persyaratan organisasi. - PO4.8 (Tanggung Jawab atas Risiko, Keamanan, dan Kesesuaian) Menanamkan kepemilikan dan tanggung jawab atas risiko terkait TI dalam bisnis pada level senior yang sesuai. Menentukan dan menetapkan kritik peran untuk mengelola risiko TI, termasuk tanggung jawab spesifik
21 untuk keamanan informasi, keamanan fisik, dan kesesuaian. Membentuk tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan untuk menangani masalah dalam lingkup organisasi. Tanggung jawab pengelolaan keamanan tambahan mungkin perlu ditetapkan pada tingkat sistem spesifik untuk menangani masalah keamanan yang terkait. Memperoleh pengarahan dari manajemen senior tentang risiko TI dan persetujuan atas setiap risiko TI yang masih ada. - PO4.9 (Kepemilikan Data dan Sistem) Menyediakan
bisnis
dengan
prosedur
dan
peralatan,
yang
memungkinkannya untuk mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi. Pemilik harus membuat keputusan tentang informasi klasifikasi dan sistem, dan melindunginya sesuai klasifikasinya. - PO4.10 (Pengawasan) Menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan untuk meninjau KPI (Indikator Kinerja Penting) secara umum. - PO4.11 (Pemisahan Tugas) Menerapkan divisi peran dan tanggung jawab yang dapat mengurangi kemungkinan kondisi di mana proses penting hanya ditangani oleh seorang personel. Memastikan bahwa personel hanya menjalankan tugas yang diwenangkan terkait dengan pekerjaan dan posisinya. - PO4.12 (Penentuan Staf TI) Mengevaluasi persyaratan penentuan staf pada basis reguler atau atas perubahan mayor pada bisnis, lingkungan operasional atau TI untuk memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi. - PO4.13 (Personel Penting TI)
22 Menentukan dan mengidentifikasi personel TI penting (misalnya, personel pengganti/cadangan), dan meminimalkan ketergantungan pada satu personel yang menjalankan fungsi pekerjaan penting. - PO4.14 (Kebijakan dan Prosedur untuk Staf Kontrak) Memastikan bahwa konsultan dan personel kontrak yang mendukung fungsi TI memahami dan memenuhi kebijakan organisasi untuk melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui. - PO4.15 (Hubungan) Membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat (offsite). b.
Sub Domain Perencanaaan dan Pengorganisasian 5 (PO5) yaitu Mengelola Investasi TI - PO5.1 (Kerangka Proses Manajemen Keuangan) Membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI. - PO5.2 (Prioritisasi dalam Anggaran TI) Menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna memaksimalkan kontribusi TI untuk optimisasi pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya. - PO5.3 (Penentuan Anggaran TI) Membentuk dan menerapkan praktik untuk mempersiapkan anggaran yang mencerminkan prioritas yang dibentuk oleh portofolio perusahaan dari program investasi yang dimungkinkan TI, dan meliputi biaya operasional dan perawatan infrastruktur yang terus berlanjut. Praktik harus mendukung pengembangan anggaran TI seluruhnya serta
23 pengembangan anggaran untuk program masing-masing, dengan penekanan tertentu pada komponen TI dari program-program tersebut. Praktik harus memungkinkan tinjauan yang terus berlanjut, perbaikan, dan persetujuan keseluruhan anggaran dan anggaran untuk program masing-masing. - PO5.4 (Manajemen Biaya) Menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Di mana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. Bersama dengan sponsor bisnis dari program tersebut, tindakan perbaikan yang tepat harus diambil, jika perlu, status bisnis program harus diperbarui. - PO5.5 (Manajemen Manfaat) Menerapkan proses untuk memantau manfaat dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai. Kontribusi TI atas bisnis, baik sebagai komponen dari program investasi yang dimungkinkan TI, atau sebagai bagian dari dukungan operasional harus diidentifikasi dan didokumentasikan dalam status bisnis, disetujui, dipantau, dan dilaporkan. Laporan harus ditinjau, dan di mana ada kesempatan kesempatan untuk meningkatkan kontribusi TI, tindakan yang sesuai harus ditentukan dan diambil. Di mana perubahan dalam kontribusi TI berdampak pada program, status program harus diperbarui. c.
Sub Domain Perencanaaan dan Pengorganisasian 9 (PO9) yaitu Mengakses dan Mengelola Risiko TI - PO9.1 (Kerangka Proses Manajemen Risiko TI) Membentuk kerangka proses manajemen risiko TI yang selaras dengan kerangka proses manajemen risiko organisasi (perusahaan). - PO9.2 (Membentuk Konteks Risiko) Membentuk konteks di mana kerangka proses penilaian risiko diterapkan untuk memastikan hasil yang sesuai. Ini harus meliputi menentukan
24 konteks internal dan eksternal dari setiap penilaian risiko, sasaran penilaian, dan kriteria terhadap risiko yang dievaluasi. - PO9.3 (Identifikasi Peristiwa) Mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang berlaku) dengan dampak negatif potensial pada sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, SDM, dan aspek operasional. Menentukan sifat dampak dan menjaga informasi ini. Mencatat dan menjaga risiko yang relevan dalam registri risiko. - PO9.4 (Penilaian Risiko) Menilai pada basis berulang, kemungkinan dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara terpisah, berdasarkan kategori dan pada basis portofolio. - PO9.5 (Respons Risiko) Membangun dan menjaga proses respons risiko yang dirancang untuk memastikan bahwa kontrol yang efektif biaya mengurangi pemaparan terhadap risiko pada basis yang berkesinambungan. Proses respons risiko harus mengidentifikasi strategi risiko seperti penghindaran, pengurangan, pembagian, atau penerimaan; menentukan tanggung jawab yang terkait; dan mempertimbangkan tingkat toleransi risiko. - PO9.6 (Pemeliharaan dan Pemantauan atas Rencana Tindakan Risiko) Memprioritaskan dan merencanakan aktivitas kontrol pada semua tingkatan
untuk
menerapkan
respons
risiko
yang
diidentifikasi
sebagaimana diperlukan, mencakup identifikasi atas biaya, manfaat, dan tanggung jawab untuk pelaksanaan. Memperoleh persetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risiko residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh. Memantau pelaksanaan rencana, dan laporan pada setiap penyimpangan kepada manajemen senior.
25 d.
Sub Domain Monitor dan Evaluasi 2 (ME2) yaitu Memantau dan Mengevaluasi Kontrol Internal - ME2.1 (Memantau Kerangka Proses Kontrol Internal) Pemantauan yang berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi. - ME2.2 (Tinjauan Pengawasan) Memantau dan mengevaluasi efisiensi dan efektivitas dari kontrol tinjauan manajerial TI internal. - ME2.3 (Pengecualian Kontrol) Mengidentifikasi
pengecualian
mengidentifikasi
penyebab
kontrol,
akar
dan
yang
menganalisis
mendasari.
serta
Memperluas
pengecualian kontrol dan laporan kepada pemegang saham selayaknya. Mengganti tindakan korektif yang perlu. - ME2.4 (Mengontrol Penilaian Diri) Mengevaluasi kelengkapan dan efektivitas dari kontrol manajemen atas proses TI, kebijakan, dan kontrak melalui program penilaian diri yang berkesinambungan. - ME2.5 (Jaminan Kontrol Internal) Memperoleh, jika diperlukan, jaminan lebih lanjut atas kelengkapan dan efektivitas kontrol internal melalui tinjauan pihak ketiga. - ME2.6 (Kontrol Internal pada Pihak Ketiga) Menilai status dari kontrol internal penyedia layanan. Mengonfirmasikan penyedia layanan eksternal sesuai dengan persyaratan hukum dan peraturan serta kewajiban sesuai kontrak. - ME2.7 (Tindakan Perbaikan) Mengidentifikasi,
memulai,
melacak,
dan
menerapkan
tindakan
perbaikan yang muncul dari penilaian kontrol dan pelaporan. e.
Sub Domain Monitor dan Evaluasi 3 (ME3) yaitu Memastikan Kesesuaian dengan Persyaratan Eksternal - ME3.1 (Identifikasi Persyaratan Kesesuaian Hukum Eksternal, Peraturan, dan Kontraktual)
26 Mengidentifikasi, pada basis yang berkesinambungan, hukum setempat dan internasional, pengaturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI. - ME3.2 (Optimisasi Respons dari Persyaratan Eksternal) Meninjau dan menyesuikan kebijakan, standar, prosedur, dan metodologi TI untuk memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan. - ME3.3 (Evaluasi dari Kesesuaian dengan Persyaratan Eksternal) Mengonfirmasikan kebijakan, standar, prosedur, dan metodologi TI dengan persyaratan hukum dan pengaturan. - ME3.4 (Jaminan Positif atas Kesesuaian) Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu. - ME3.5 (Pelaporan Terintegrasi) Mengintegrasikan pelaporan TI pada persyaratan hukum, pengaturan, dan kontraktual dengan output yang serupa dari fungsi bisnis lainnya.
Model kematangan pada ME4 secara khusus dapat di lihat dari Tabel 7. Tabel 7 Tingkat kematangan ME4 Level
0
Tidak Ada
1
Awal/Ad-Hoc
Kriteria Kematangan Adanya ketidaklengkapan dari setiap proses tata kelola TI dikenali. Organisasi bahkan tidak menyadari bahwa ada masalah yang harus ditangani; oleh karena itu, tidak ada komunikasi tentang masalah ini Pengakuan bahwa isu-isu tata kelola TI ada dan perlu ditangani. Ada ad hoc pendekatan yang dikenakan pada individu atau kasus-per-kasus. Pendekatan manajemen adalah reaktif, dan hanya ada
27
2
Berulang tapi Intuitif
3
Proses Terdefinisi
4
Terkelola dan Terukur
sporadis, komunikasi tidak konsisten pada isu-isu dan pendekatan untuk mengatasinya. Manajemen hanya memiliki indikasi perkiraan bagaimana TI memberikan kontribusi terhadap kinerja bisnis. Manajemen hanya reaktif menanggapi sebuah insiden yang telah menyebabkan beberapa kerugian atau rasa malu bagi organisasi. Ada kesadaran akan masalah tata kelola TI. Kegiatan tata kelola TI dan indikator kinerja, yang meliputi perencanaan TI, pengiriman dan proses pemantauan, sedang dalam pengembangan. Proses TI yang dipilih diidentifikasi untuk perbaikan berdasarkan keputusan individu. Manajemen mengidentifikasi pengukuran tata kelola TI dasar dan metode penilaian dan teknik; namun, proses ini tidak diadopsi di seluruh organisasi. Komunikasi pada standar tata kelola dan tanggung jawab diserahkan kepada individu. Individu mendorong proses tata kelola dalam berbagai proyek TI dan proses. Proses, alat dan metrik untuk mengukur tata kelola TI yang terbatas dan tidak boleh digunakan untuk kapasitas penuh mereka karena kurangnya keahlian dalam fungsi mereka. Pentingnya dan kebutuhan tata kelola TI dipahami oleh manajemen dan dikomunikasikan kepada organisasi. Satu set dasar indikator tata kelola TI dikembangkan di mana hubungan antara ukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan. Prosedur adalah standar dan didokumentasikan. Manajemen mengkomunikasikan prosedur standar, serta mengadakan pelatihan. Alat diidentifikasi untuk membantu mengawasi tata kelola TI. Dashboard didefinisikan sebagai bagian dari IT scorecard bisnis seimbang. Namun, diserahkan kepada individu untuk mendapatkan pelatihan, mengikuti standar dan menerapkannya. Proses dapat dimonitor, namun bila terjadu penyimpangan, sebagian besar ditindaklanjuti oleh inisiatif individu. Hal tersebut memungkinkan untuk tidak terdeteksi oleh manajemen. Ada pemahaman penuh masalah tata kelola TI di semua tingkatan. Ada pemahaman yang jelas tentang siapa pelanggan, dan tanggung jawab didefinisikan dan dipantau
28
5
Optimis
melalui service level agreement (SLA). Tanggung jawab jelas dan kepemilikan proses didirikan. Proses dan tata kelola TI yang selaras dengan dan diintegrasikan ke dalam bisnis dan strategi TI. Peningkatan proses-proses TI didasarkan terutama pada pemahaman kuantitatif, dan adalah mungkin untuk memantau dan mengukur kepatuhan dengan prosedur dan metrik proses. Semua pemangku kepentingan proses sadar akan risiko, pentingnya, dan peluang TI yang dapat ditawarkan. Manajemen mendefinisikan toleransi di mana proses harus beroperasi. Ada terbatas, terutama taktis penggunaan teknologi, berdasarkan teknik kematangan dan ditetapkan alat standar. Tata kelola TI telah diintegrasikan ke dalam perencanaan dan dipantau proses strategis dan operasional. Indikator kinerja atas semua kegiatan pengelolaan TI telah didata dan dilacak, yang mengarah ke perbaikan keseluruh bagian organisasi. Secara keseluruhan akuntabilitas kinerja proses kunci jelas, dan manajemen dihargai berdasarkan ukuran kinerja kunci. Ada pemahaman lanjutan dan memandang ke depan isu tata kelola TI dan solusi. Pelatihan dan komunikasi didukung oleh konsep dan teknik terdepan. Proses diperhalus ke tingkat praktik industri yang baik, berdasarkan hasil perbaikan terus-menerus dan pemodelan kematangan dengan organisasi lain. Pelaksanaan kebijakan TI mengarah ke organisasi, orang dan proses yang cepat untuk beradaptasi dan mendukung sepenuhnya peraturan tata kelola TI. Semua masalah dan penyimpangan yang menganalisis akar penyebab masalah, dan tindakan yang efisien yang layak diidentifikasi dan dimulai. TI digunakan secara luas, terintegrasi dan dioptimalkan untuk mengotomatisasi alur kerja dan menyediakan alat-alat untuk meningkatkan kualitas dan efektivitas. Risiko dan imbalan dari proses TI didefinisikan, seimbang dan dikomunikasikan di seluruh organisasi. Ahli eksternal mengembangkan dan menggunakan tolok ukur untuk bimbingan. Pemantauan, penilaian diri dan komunikasi tentang
29 harapan tata kelola yang meresap dalam organisasi, dan ada penggunaan optimal teknologi untuk mendukung pengukuran, analisis, komunikasi dan pelatihan. Tata kelola organisasi dan tata kelola TI secara strategis terkait, memanfaatkan teknologi dan SDM dan keuangan untuk meningkatkan keunggulan kompetitif perusahaan. Kegiatan tata kelola TI yang terintegrasi dengan proses tata kelola organisasi.
Profil Organisasi PDII-LIPI Visi dan Misi PDII-LIPI PDII adalah salah satu unit kerja setingkat eselon II di bawah naungan LIPI. Sudarsono (2007) menyatakan pada perkembangan selanjutnya, setiap instansi pemerintah di tingkat eselon II diwajibkan mempunyai rencana strategis. Visi, misi, tujuan dan sasaran perlu secara tegas dirumuskan untuk membuat rencana kerja lima tahunan dan rencana kerja tahunan. Sebagaimana tercantum dalam Rencana Strategis PDII (2015-2019), visi PDII adalah menjadi repositori nasional bidang sains dan teknologi di Indonesia. Untuk mewujudkan visi tersebut, misi PDII adalah membangun dan mengembangkan sistem repositori nasional bidang sains dan teknologi di Indonesia, menyediakan layanan informasi bidang sains dan teknologi kepada pemangku kepentingan, melaksanakan penelitian bidang dokumentasi dan informasi, melakukan pengelolaan pengetahuan, membangun kerjasama nasional dan internasional, serta melakukan penguatan kelembagaan (PDII-LIPI 2014). Tujuan dan Sasaran Implementatif PDII-LIPI Untuk dapat mewujudkan visi dan misi di atas, PDII-LIPI mempunyai tujuan dan sasaran implementatif sebagai berikut: a)
Tujuan dan Sasaran Umum 1) Membangun dan mengembangkan repositori literatur di bidang sains dan teknologi di Indonesia, dengan merencanakan dan melaksanakan program:
30 (a)
Pengembangan pangkalan data jurnal ilmiah Indonesia (Indonesian Scientific Journal Database).
(b)
Pengembangan indeks sitasi sains Indonesia (Indonesian Science Citation Index).
(c)
Pengembangan koleksi Indonesiana dan literatur kelabu.
(d)
Melakukan preservasi dokumen ilmiah.
2) Memberikan pelayanan informasi bidang sains dan teknologi kepada masyarakat ilmiah dengan merencanakan dan melaksanakan program sebagai berikut: (a)
Pembinaan terhadap pengelola unit dokumentasi dan informasi di lingkungan LIPI.
(b)
Pengemasan dan diseminasi informasi (Scientific Information Repackaging and Dissemination).
(c)
Literasi informasi ilmiah (Scientific Information Literacy).
(d)
Konsultasi masalah informasi terkini bidang sains dan teknologi.
3) Melaksanakan penelitian bidang dokumentasi dan informasi dengan merencanakan dan melaksanakan studi kebijakan, tren dan isu sains aktual, untuk: (a)
Memberikan solusi kepada masyarakat terhadap persoalan dokumentasi dan informasi.
(b)
Memberikan rekomendasi kepada pembuat kebijakan terkait dengan bidang dokumentasi dan informasi.
4) Pengelolaan pengetahuan
b)
(a)
Melakukan pengelolaan pengetahuan di lingkungan LIPI.
(b)
Melakukan kajian pengelolaan pengetahuan di lingkungan LIPI.
(c)
Membangun sistem pengelolaan pengetahuan.
Tujuan dan Sasaran Khusus 1) Membangun dan mengembangkan repositori literatur di bidang sains dan teknologi di Indonesia dengan merencanakan dan melaksanakan program: (a)
Membangun indeks sitasi sains Indonesia (Indonesia Sciences Citation Index).
31 (b)
Membangun sistem repositori literatur kelabu (Grey Literature Repository System).
2) Memberikan pelayanan informasi bidang sains dan teknologi kepada masyarakat ilmiah dengan merencanakan dan melaksanakan program: (a)
Pembuatan dan diseminasi kemas ulang informasi (Scientific Information Repackaging)
(b)
Pengembangan sistem sarana akses e-library yang ada di PDIILIPI, yang berisi jurnal ilmiah Indonesia ISJD (Indonesian Scientific Journal Database), karya ilmiah Indonesia (Indonesian Science & Technology Digital Library), buku elektronik, multimedia, dan direktori pakar.
3) Melaksanakan penelitian informasi sains dan teknologi, dengan merencanakan dan melaksanakan program Studi kebijakan tren dan isu sains aktual, untuk: (a)
Memberikan solusi kepada masyarakat ilmiah terhadap persoalan informasi sains dan teknologi.
(b)
Memberikan rekomendasi kepada pembuat kebijakan terkait dengan kebijakan sains di bidang dokumentasi dan informasi.
Tugas Pokok dan Fungsi PDII-LIPI Berdasarkan Keputusan Kepala LIPI Nomor 1151/M/2001 tentang Organisasi dan Tata Kerja LIPI, khususnya pada pasal 325 disebutkan bahwa PDII mempunyai
tugas melaksanakan penyiapan perumusan kebijakan,
penyusunan pedoman, pemberian bimbingan teknis, penyusunan rencana dan program, pelaksaan penelitian, pelayanan serta evaluasi dan penyusunan laporan (LIPI 2001). Selanjutnya pada pasal 326 disebutkan bahwa menyelenggarakan fungsi sebagai berikut: a.
Penyiapan bahan perumusan kebijakan di bidang dokumentasi dan informasi ilmiah.
b.
Penyusunan pedoman, pemberian bimbingan teknis, pelaksanaan dan pelayanan di bidang dokumentasi dan informasi ilmiah.
32 c.
Penyusunan rencana, program, serta pelaksanaan penelitian di bidang dokumentasi dan informasi ilmiah.
d.
Pengelolaan sarana teknis dokumentasi dan informasi ilmiah.
e.
Evaluasi dan penyusunan laporan penelitian dan pelayanan dokumentasi dan informasi ilmiah.
f.
Pelaksanaan urusan tata usaha. Untuk menjalankan fungsinya, berdasarkan Surat Keputusan Menteri
Pendayagunaan Aparatur Negara No 138/M.PAN/5/2001 tanggal 31 Mei 2001 tentang restrukturisasi dan Surat Keputusan Kepala LIPI No. 1151/M/2001 tanggal 5 Juni 2001 tentang organisasi dan tata kerja LIPI, bentuk Struktur Organisasi PDII terdiri atas Bidang Dokumentasi, Bidang Informasi, Bidang Pengembangan Sistem Pengelolaan Dokinfo, Bidang Sarana Teknis, Bagian Tata Usaha, dan Kelompok Jabatan Fungsional (Kementerian Pendayagunaan Aparatur Negara RI, 2001).
33
3 METODOLOGI Metode Penelitian Metode penelitian yang digunakan dalam penelitian ini adalah studi kasus (case study). Menurut Hasibuan (2007), studi kasus adalah penelitian yang memusatkan perhatian pada suatu kasus tertentu dengan menggunakan individu atau kelompok sebagai bahan studinya. Penelitian difokuskan untuk menggali dan mengumpulkan data secara mendalam terhadap TI dan tata kelolanya di PDIILIPI untuk menjawab permasalahan yang sedang terjadi. Oleh karena itu, bisa dikatakan bahwa penelitian ini bersifat deskriptif dan eksploratif. Teknik pengumpulan data yang digunakan adalah penelitian survei, penelitian lapangan dan kepustakaan. Penelitian survei dilakukan dengan menggunakan kuesioner untuk memperoleh data kuantitatif. Sementara itu, penelitian lapangan dilakukan dengan menggunakan metode wawancara dan observasi. Survei dan wawancara mengacu kepada pedoman survei (kuesioner tertutup) dan pedoman wawancara tidak terstruktur, sebagai metode pengumpulan data yang primer. Survei dan wawancara dilakukan terhadap responden/informan struktural sebagai pihak membuat dan pengambil keputusan di lokasi penelitian, dianggap mewakili kelompok-kelompok yang berkaitan dengan permasalahan penelitian. Sementara itu, kegiatan observasi akan dilakukan dengan cara observasipartisipan dengan membuat catatan/dokumentasi. Teknik pengumpulan data sekunder dilakukan melalui kajian kepustakaan berbasis literatur dan jurnal elektronik. Tahapan Penelitian Pelaksanaan penelitian ini dibagi dalam beberapa tahapan sebagaimana ditunjukkan dalam Gambar 5.
34 Mulai Mulai
Studi Studi Literatur Literatur
Pengumpulan Pengumpulan Data Data
Data Real TI Data Real TI Di PDII-LIPI Di PDII-LIPI
Hasil Kuesioner Hasil Kuesioner PO4, PO5, PO9, ME2, ME3 PO4, PO5, PO9, ME2, ME3
No
Analisis Indeks Kematangan Analisis Indeks Kematangan PO4, PO5, PO9, Me2, ME3 PO4, PO5, PO9, Me2, ME3
Evaluasi Evaluasi Tingkat Kematangan ME4 Tingkat Kematangan ME4
Yes
Berkesesuaian Berkesesuaian
GAP GAP
Rekomendasi Rekomendasi
Tingkat Kematangan Tingkat Kematangan yang diinginkan yang diinginkan Manajemen Manajemen
Selesai Selesai
Gambar 5 Diagram alur penelitian Studi Literatur Proses penelitian diawali dengan studi literatur secara intensif untuk mengetahui pengelolaan TI di PDII-LIPI, mempelajari konsep COBIT 4.1 serta teori-teori yang relevan. Referensi diperoleh dari berbagai sumber seperti buku, jurnal, artikel, laporan penelitian, dan juga situs-situs di internet.
35 Pengumpulan Data Pengumpulan data dilakukan dengan penyebaran kuesioner dan wawancara. Teknik wawancara yang akan digunakan adalah wawancara tidak terstruktur atau wawancara mendalam (in-depth interviewing). Wawancara dilakukan dengan pertanyaan yang bersifat terbuka (open-ended), dan mengarah pada kedalaman informasi, serta dilakukan dengan cara yang tidak secara formal terstruktur, guna menggali pandangan informan tentang banyak hal yang sangat bermanfaat untuk menjadi dasar bagi penggalian informasinya secara lebih jauh, lengkap dan mendalam (Sutopo 2006). Responden pada penelitian ini adalah informan atau nara sumber yang dapat memberikan informasi yang dibutuhkan oleh peneliti. Metode pemilihan informan yang dipakai adalah purposive sampling, yakni pemilihan berdasarkan pertimbangan
tertentu,
dengan
kecenderungan
untuk
memilih
informan
berdasarkan posisi dengan akses tertentu yang dianggap memiliki informasi yang berkaitan dengan permasalahan secara mendalam dan dapat dipercaya untuk menjadi sumber data yang valid (Sutopo 2006). Kuesioner dan wawancara dilakukan kepada para pejabat struktural yang pernah atau sedang menjabat di PDII-LIPI dari kurun waktu 2001 hingga 2014 serta para Kepala Pusat PDII-LIPI yang pernah atau sedang menjabat di PDIILIPI. Pemilihan responden adalah karena mereka merepresentasikan informan di level eksekutif.
Tahapan Analisis Data yang dihasilkan melalui survei merupakan data yang dikembangkan dengan merujuk pada kerangka kerja COBIT 4.1. Kuesioner tertutup dikembangkan berdasarkan kontrol proses penyediaan tata kelola TI. Surendro (2009) mengemukakan bahwa data yang diperoleh mengenai tingkat kematangan akan diidentifikasi sebagai kondisi pengelolaan TI pada saat ini. Kondisi ini menggambarkan adanya gap antara tingkat kematangan saat ini (current maturity level/CML) dengan tingkat kematangan yang diharapkan (expected maturity level/EML). Selanjutnya gap ini akan menjadi acuan dalam penyusunan strategi perbaikan.
36 Analisi Deskriptif Analisis deskriptif adalah perangkat analisis yang digunakan untuk menguraikan bagaimana realita berdasarkan fakta yang ada melalui data kuesioner yang diisi responden. Hasil analisis ini dijabarkan dengan persentase dan digambarkan melalui grafik untuk mempermudah dalam memahami informasi dengan cepat.
Kuesioner Penulis melakukan pengambilan data dengan meminta responden mengisi kuesioner. Setiap pernyataan yang terdapat di dalam kuesioner penulis mengacu kepada kontrol objektif modul yang terdapat di dalam domain PO dan ME terutama pada sub-sub domain PO4, PO5, PO9, ME2, dan ME3 dari kerangka kerja COBIT 4.1. Kuesioner penelitian ini dapat dilihat pada Lampiran 1, responden diminta untuk memberikan pendapatnya mengenai pengelolaan TI di PDII-LIPI, selama responden berkerja dan menjabat sebagai struktural di PDIILIPI dalam bentuk skala sikap. Dalam hal ini, skala Likert yang digunakan ada dalam 5 tingkatan bobot yang terdiri dari Sangat Tidak Sejutu (STS) dengan bobot 1, Tidak Setuju (TS) dengan bobot 2, Tidak Tahu (TT) dengan bobot 0, Setuju (S) dengan bobot 4, dan Sangat Setuju (SS) dengan bobot 5.
Pengolahan Hasil Kuesioner Perhitungan Indeks Kematangan Indeks kematangan diperoleh dengan menjumlahkan semua jawaban responden dikalikan bobot skala, lalu dibagi dengan jumlah soal kemudian dibagi dengan jumlah responden, seperti berikut ini:
37 Representasi Indeks Kematangan Setelah dilakukan penghitungan indeks kematangan, maka akan didapat tingkat kematangan untuk masing-masing sub domain yaitu PO4, PO5, PO9, ME2, dan ME3 dengan mengacu kepada Tabel 8. Tabel 8 Representasi tingkat kematangan COBIT Indeks Kematangan 0,00 - 0,50 0,51 - 1,50 1,51 - 2,50 2,51 – 3,50 3,51 – 4,50 4,51 – 5,00
Tingkat Kematangan 0 - Tidak Ada 1 - Awal/Ad-Hoc 2 - Berulang tapi Intuitif 3 - Proses Terdefinisi 4 - Terkelola dan Terukur 5 - Optimis
Evaluasi Tahapan ini melihat apakah kerangka kerja COBIT 4.1 dapat melihat kondisi pengelolaan TI di PDII-LIPI saat ini. Hasil tingkat kematangan penyediaan tata kelola (ME4) yang di dapat dijadikan referensi untuk masukan pembentukan tata kelola TI di PDII-LIPI dengan mengemukakan kondisi sebenarnya dan masukan atas penyimpangan-penyimpangan yang ditemui.
38
4 HASIL DAN PEMBAHASAN Profil Responden Dalam penelitian ini responden yang digunakan adalah pejabat struktural yang pernah dan atau sedang menjabat di PDII-LIPI antara tahun 2001-2014 dan seluruh
kepala
pusat
PDII-LIPI
yang
pernah
dan
sedang
menjabat,
keseluruhannya berjumlah 31 responden. Responden adalah pihak-pihak yang bertanggung jawab dalam merancang dan membuat kebijakan internal di PDIILIPI. Berdasarkan hasil screening responden menunjukkan bahwa 100% responden menyatakan bahwa mereka semua mengetahui mengenai TI, walau dalam kesehariannya beberapa dari mereka masih menggunakan TI secara tidak langsung. 70,69% menyatakan bahwa saat menjabat, responden pernah melakukan keputusan strategis dalam pemakaian TI di PDII-LIPI. 83,9% yang mengetahui tentang tata kelola TI, 93,5% yang menyadari tentang pentingnya tata kelola TI, dan 80,6% menyatakan bahwa ada tata kelola TI di PDII-LIPI, serta 83,9% responden memiliki kepentingan bila diadakan tata kelola TI (Lampiran 2).
Karakteristik Demografi Responden Karakteristik demografi responden yang digunakan dalam penelitian ini dibagi dalam lima kriteria yaitu tingkat usia, jenis kelamin, tingkat pendidikan, jabatan dan lamanya bekerja. Dari kelima kriteria tersebut dapat dilihat kelompok demografi yang dominan (Lampiran 3). Usia Responden Secara umum, tingkat usia dikelompokkan menjadi tiga kelompok besar yaitu: (1) kelompok generasi muda (25-35 tahun) sebanyak 3 responden, (2) kelompok dewasa (35-45 tahun) sebanyak 5 responden, dan (3) kelompok paruh baya/usia lanjut (> 45 tahun) sebanyak 23 responden. Kebanyakan responden berada pada kelompok paruh baya/usia lanjut yaitu sekitar 74% (Gambar 6).
39 Sebaran Usia Responden 23 25 20 15 10
5
3 5 0 Muda
Dewasa
Paruh Baya
Gambar 6 Sebaran responden berdasarkan usia Jenis Kelamin Mayoritas responden berjenis kelamin perempuan, sebanyak 16 responden (52%) sedangkan sisanya sebanyak 15 responden (48%) berjenis kelamin laki-laki. Hal ini menunjukkan bahwa responden perempuan lebih banyak menjadi struktural yang pernah dan atau sedang menjabat di PDII-LIPI (Gambar 7). Sebaran Jenis Kelamin Responden
16
15
Laki-laki Perempuan
Gambar 7 Sebaran responden berdasarkan jenis kelamin Tingkat Pendidikan Dari 31 responden, terdapat sebanyak 15 responden memiliki tingkat pendidikan S1/Sarjana, sebanyak 13 responden memiliki tingkat pendidikan S2/Magister, dan yang memiliki tingkat pendidikan S3/Doktor sebanyak 3 responden (Gambar 8). Kondisi ini menunjukkan bahwa kondisi struktural di PDII-LIPI yang pernah dan atau sedang menjabat banyak di tingkat pendidikan S1/Sarjana yaitu 49%, meskipun pada tingkat pendidikan S2/Magister juga
40 hampir menyamainya yaitu 42%, namun terlihat masih sangat minim pada tingkat pendidikan S3/Doktor hanya sekitar 9%. Sebaran Tingkat Pendidikan Responden 15 15
13
10 5 3 0 Sarjana
Magister
Doktor
Gambar 8 Sebaran responden berdasarkan tingkat pendidikan Jabatan Responden Dari Gambar 9, sebagian responden pernah menjabat lebih dari 1 kali jabatan, bahkan 2 responden pernah menjabat sebanyak 5 jabatan di PDII-LIPI baik itu sebagai Kepala Pusat, Kepala Bidang/Bagian ataupun Kepala Sub Bidang/Bagian. 11 responden pernah menjabat sebanyak 2 kali dan 5 responden sebanyak 3 kali, namun yang pernah menjabat sebanyak 1 kali tetap menduduki peringat teratas yaitu 13 responden atau sekitar 42%. Sebaran Jabatan Responden 14
13 11
12 10 8
5
6 4
2
2 0 1 Kali
2 Kali
3 Kali
5 Kali
Gambar 9 Sebaran responden berdasarkan jabatan
41 Lama Bekerja Responden rata-rata telah bekerja di PDII-LIPI selama > 20 tahun ada sebanyak 23 responden (74%). 2 responden (7%) dengan masa kerja antara 11-20 tahun dan 6 responden (19%) dengan masa kerja 6-10 tahun (Gambar 10). Sebaran Masa Kerja Responden 4.3 4.5 4 3.5 3 2.5 2 1.5 1 0.5 0
3.5 2.5
6-10 tahun
11-20 tahun
>20 tahun
Gambar 10 Sebaran responden berdasarkan masa kerja Responden yang masih menjabat sebagai struktural sebanyak 9 responden (29%), 16 responden (52%) tidak menjabat lagi sebagai struktural namun masih aktif bekerja di PDII-LIPI, dan 6 responden (19%) sudah pensiun (Gambar 11). Sebaran Keaktifan Responden di PDII-LIPI 16 16 14 12 10
9
8
6
6 4 2 0
Struktural
Aktif
Pensiun
Gambar 11 Sebaran responden berdasarkan keaktifannya di PDII-LIPI
42 Pengolahan Data Kuesioner Sub Domain Perencanaan dan Pengorganisasian 4 (PO4) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiap modul untuk sub domain PO4 (menetapkan proses TI, organisasi dan hubungan) tampak pada Tabel 9. Tabel 9 Jumlah jawaban responden untuk setiap modul dari sub domain PO4 Jumlah Soal Bobot (19) 5 (SS) 4 (S) 0 (TT) 2 (TS) 1 (STS) PO4.1 13 12 1 4 1 PO4.2 5 14 6 6 0 PO4.3 7 13 4 5 2 PO4.4 15 13 0 3 0 PO4.5 8 15 2 6 0 PO4.6 10 14 2 4 1 PO4.7 6 21 1 2 1 PO4.8 7 15 4 4 1 PO4.9 5 15 6 4 1 PO4.10 2 19 3 6 1 PO4.11 7 17 3 3 1 PO4.12 10 11 6 4 0 PO4.13 6 15 8 2 0 PO4.14 10 15 2 3 1 PO4.15 10 11 4 6 0 PO4.16 10 13 3 4 1 PO4.17 5 15 2 7 2 PO4.18 4 17 6 3 1 PO4.19 4 15 5 6 1 Total 144 280 68 82 15 Score 720 1120 0 164 15 Indeks 3,42 Tingkat Kematangan 3 Evaluasi Data Modul Sub Domain PO4 Analisis dari data pada Tabel 9 dapat diambil kesimpulan bahwa sebanyak 47,53% responden menyatakan “Setuju” dan sebanyak 24,44% responden menyatakan “Sangat Setuju” pada 19 soal yang tersedia untuk sub domain PO4 (Lampiran 4). Indeks kematangan terendah berada pada soal 2 (PDII membentuk komite strategi TI pada struktural organisasi) dan soal 19 (PDII membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit
43 bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat (offsite)) yaitu 3. Sedangkan indeks kematangan tertinggi berada pada soal 4 (PDII menempatkan fungsi TI dalam struktur organisasi keseluruhan karena pentingnya TI di PDII) yaitu 4,29.
Tingkat Kematangan Sub Domain PO4 Berdasarkan Tabel 9 nilai indeks kematangan pada sub domain PO4, dapat diketahui indeks kematangan diidentifikasikan berada pada nilai 3,42. Dengan merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domain PO4 untuk menetapkan proses TI, organisasi dan hubungan dengan menggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu: 1.
Peran dan tanggung jawab organisasi TI dan pihak ketiga ada.
2.
Organisasi TI dikembangkan, didokumentasikan, dikomunikasikan dan diselaraskan dengan strategi TI.
3.
Lingkungan pengendalian internal didefinisikan.
4.
Ada formalisasi hubungan dengan pihak lain, termasuk komite pengarah, audit internal dan manajemen vendor.
5.
Organisasi TI secara fungsional lengkap.
6.
Ada definisi fungsi yang akan dilakukan oleh personal TI dan mereka yang akan dilakukan oleh pengguna.
7.
Pentingnya kebutuhan staf TI dan keahlian didefinisikan dan memuaskan.
8.
Ada definisi formal hubungan dengan pengguna dan pihak ketiga.
9.
Pembagian peran dan tanggung jawab didefinisikan dan diimplementasikan.
Sub Domain Perencanaan dan Pengorganisasian 5 (PO5) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiap modul untuk sub domain PO5 (mengelola investasi TI) tampak pada Tabel 10. Tabel 10 Jumlah jawaban responden untuk setiap modul dari sub domain PO5 Jumlah Soal Bobot (5) 5 (SS) 4 (S) 0 (TT) 2 (TS) 1 (STS) PO5.1 7 13 6 4 1 PO5.2 6 16 3 5 1 PO5.3 7 14 5 4 1
44 PO5.4 PO5.5 Total Score Indeks Tingkat Kematangan
6 6 32 160
16 19 78 312
6 2 22 0 3,30 3
2 3 18 36
1 1 5 5
Evaluasi Data Modul Sub Domain PO5 Analisis dari data pada Tabel 10 dapat diambil kesimpulan bahwa sebanyak 50,32% responden menyatakan “Setuju” dan sebanyak 20,64% responden menyatakan “Sangat Setuju” pada 5 soal yang tersedia untuk sub domain PO5 (Lampiran 5). Indeks kematangan terendah berada pada soal 1 (PDII membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI) yaitu 3,09. Sedangkan indeks kematangan tertinggi berada pada soal 5 (PDII menerapkan proses untuk memantau manfaat dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai) yaitu 3,64.
Tingkat Kematangan Sub Domain PO5 Berdasarkan Tabel 10 nilai indeks kematangan pada sub domain PO5, dapat diketahui indeks kematangan diidentifikasikan berada pada nilai 3,30. Dengan merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domain PO5 untuk mengelola investasi TI dengan menggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu: 1.
Kebijakan dan proses untuk investasi dan penganggaran didefinisikan, didokumentasikan dan dikomunikasikan, dan mencakup isu-isu bisnis dan teknologi.
2.
Anggaran TI sejalan dengan strategi bisnis TI dan rencana TI.
3.
Proses
seleksi
penganggaran
dan
investasi
IT
diformalkan,
didokumentasikan dan dikomunikasikan. 4.
Pelatihan formal diadakan tetapi masih didasarkan pada inisiatif individu.
5.
Persetujuan resmi dari pilihan investasi TI dan anggaran berlangsung.
45 6.
Anggota staf TI memiliki keahlian dan keterampilan yang diperlukan untuk mengembangkan anggaran TI dan merekomendasikan investasi TI yang tepat.
Sub Domain Perencanaan dan Pengorganisasian 9 (PO9) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiap modul untuk sub domain PO9 (menilai dan mengelola resiko TI) tampak pada Tabel 11. Tabel 11 Jumlah jawaban responden untuk setiap modul dari sub domain PO9 Jumlah Soal Bobot (10) 5 (SS) 4 (S) 0 (TT) 2 (TS) 1 (STS) PO9.1 5 10 8 7 1 PO9.2 4 12 8 6 1 PO9.3 4 16 5 5 1 PO9.4 3 18 5 5 0 PO9.5 2 17 6 4 2 PO9.6 2 11 10 6 2 PO9.7 4 9 10 7 1 PO9.8 4 14 8 3 2 PO9.9 3 10 13 3 2 PO9.10 7 19 1 4 0 Total 38 136 74 50 16 Score 190 544 0 100 16 Indeks 2,74 Tingkat Kematangan 3 Evaluasi Data Modul Sub Domain PO9 Analisis dari data pada Tabel 11 dapat diambil kesimpulan bahwa sebanyak 43,31% responden menyatakan “Setuju” dan sebanyak 23,56% responden menyatakan “Tidak Tahu” pada 10 soal yang tersedia untuk sub domain PO9 (Lampiran 6). Indeks kematangan terendah berada pada soal 9 (PDII memperoleh persetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risiko residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh) yaitu 2,03. Sedangkan indeks kematangan tertinggi berada pada soal 10 (PDII memantau pelaksanaan rencana, dan laporan pada setiap penyimpangan kepada manajemen senior) yaitu 3,83.
46 Tingkat Kematangan Sub Domain PO9 Berdasarkan Tabel 11 nilai indeks kematangan pada sub domain PO9, dapat diketahui indeks kematangan diidentifikasikan berada pada nilai 2,74. Dengan merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domain PO9 untuk menilai dan mengelola resiko TI dengan menggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu: 1.
Sebuah kebijakan manajemen risiko organisasi secara luas dapat mendefinisikan kapan dan bagaimana melakukan penilaian risiko.
2.
Manajemen risiko mengikuti proses didefinisikan yang didokumentasikan.
3.
Pelatihan manajemen risiko tersedia bagi semua anggota staf.
4.
Keputusan untuk mengikuti proses manajemen risiko dan menerima pelatihan diserahkan kepada kebijaksanaan individu.
5.
Metodologi untuk penilaian risiko meyakinkan dan jelas serta dapat mengidentifikasikan risiko utama dalam bisnis.
6.
Sebuah proses untuk mengurangi risiko utama biasanya dilembagakan setelah risiko diidentifikasi.
7.
Deskripsi pekerjaan mempertimbangkan tanggung jawab manajemen risiko.
Sub Domain Monitor dan Evaluasi 2 (ME2) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiap modul untuk sub domain ME2 (memantau dan mengevaluasi pengendalian internal) tampak pada Tabel 12. Tabel 12 Jumlah jawaban responden untuk setiap modul dari sub domain ME2 Jumlah Soal Bobot (7) 5 (SS) 4 (S) 0 (TT) 2 (TS) 1 (STS) ME2.1 8 21 0 2 0 ME2.2 8 20 1 2 0 ME2.3 6 13 8 4 0 ME2.4 2 18 6 4 1 ME2.5 4 15 6 5 1 ME2.6 7 19 3 2 0 ME2.7 8 20 2 1 0 Total 43 126 26 20 2 Score 215 504 0 40 2 Indeks 3,50 Tingkat Kematangan 3
47 Evaluasi Data Modul Sub Domain ME2 Analisis dari data pada Tabel 12 dapat diambil kesimpulan bahwa sebanyak 58,06% responden menyatakan “Setuju” dan sebanyak 19,81% responden menyatakan “Sangat Setuju” pada 7 soal yang tersedia untuk sub domain ME2 (Lampiran 7). Indeks kematangan terendah berada pada soal 3 (PDII mengidentifikasi pengecualian kontrol, dan menganalisis serta mengidentifikasi penyebab akar yang mendasari) yaitu 2,90. Sedangkan indeks kematangan tertinggi berada pada soal 1 (PDII melakukan pemantauan yang berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi) yaitu 4,12.
Tingkat Kematangan Sub Domain ME2 Berdasarkan Tabel 12 nilai indeks kematangan pada sub domain ME2, dapat diketahui indeks kematangan diidentifikasikan berada pada nilai 3,50. Dengan merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domain ME2 untuk memantau dan mengevaluasi pengendalian internal dengan menggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu: 1.
Mendukung manajemen dan lembaga monitoring pengendalian internal.
2.
Kebijakan dan prosedur yang dikembangkan untuk menilai dan melaporkan kegiatan pemantauan pengendalian intern.
3.
Program pendidikan dan pelatihan untuk pemantauan pengendalian intern didefinisikan.
4.
Proses didefinisikan untuk penilaian diri dan ulasan jaminan pengendalian internal, dengan peran untuk manajer bisnis dan TI yang bertanggung jawab.
5.
Alat sedang digunakan tetapi belum tentu terintegrasi ke dalam semua proses.
6.
Kebijakan penilaian risiko proses TI yang digunakan dalam kerangka kontrol dikembangkan secara khusus untuk organisasi TI. Pada proses tertentu, risiko dan langkah kebijakan terdefinisikan.
48 Sub Domain Monitor dan Evaluasi 3 (ME3) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiap modul untuk sub domain ME3 (pastikan kepatuhan dengan persyaratan eksternal) tampak pada Tabel 13. Tabel 13 Jumlah jawaban responden untuk setiap modul dari sub domain ME3 Jumlah Soal Bobot (5) 5 (SS) 4 (S) 0 (TT) 2 (TS) 1 (STS) ME3.1 3 17 6 4 1 ME3.2 4 19 4 2 2 ME3.3 5 17 7 2 0 ME3.4 2 15 8 4 1 ME3.5 3 15 8 4 1 Total 17 82 35 15 6 Score 85 328 0 30 6 Indeks 2,89 Tingkat Kematangan 3 Evaluasi Data Modul Sub Domain ME3 Analisis dari data pada Tabel 13 dapat diambil kesimpulan bahwa sebanyak 52,90% responden menyatakan “Setuju” dan sebanyak 22,58% responden menyatakan “Tidak Tahu” pada 5 soal yang tersedia untuk sub domain ME3 (Lampiran 8). Indeks kematangan terendah berada pada soal 4 (PDII memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu) yaitu 2,38. Sedangkan indeks kematangan tertinggi berada pada soal 2 (PDII meninjau dan menyesuaikan kebijakan, standar, prosedur, dan metodologi TI untuk memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan) yaitu 3,29.
Tingkat Kematangan Domain ME3 Berdasarkan Tabel 13 nilai indeks kematangan pada sub domain ME3, dapat diketahui indeks kematangan diidentifikasikan berada pada nilai 2,89. Dengan
49 merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domain ME3
untuk
pastikan
kepatuhan
dengan
persyaratan
eksternal
dengan
menggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu: 1.
Kebijakan, rencana dan prosedur dikembangkan, didokumentasikan dan dikomunikasikan untuk memastikan kepatuhan terhadap peraturan dan kewajiban kontrak dan hukum, tetapi beberapa mungkin tidak selalu diikuti, dan beberapa mungkin dari tanggal atau tidak praktis untuk menerapkan.
2.
Ada sedikit pemantauan yang dilakukan dan ada persyaratan kepatuhan yang belum ditangani.
3.
Pelatihan diberikan dalam persyaratan hukum dan peraturan eksternal yang mempengaruhi organisasi dan proses kepatuhan didefinisikan.
4.
Standard kontrak dan proses hukum ada untuk meminimalkan risiko yang terkait dengan kewajiban kontrak.
Hasil Evaluasi Tingkat Kematangan Sub Domain ME4 Secara umum pengelolaan TI di PDII-LIPI saat ini dapat dilihat dari perhitungan tingkat kematangan pada sub-sub domain PO4, PO5, PO9, ME2, dan ME3 akan merepresentatifkan tingkat kematangan pada sub domain ME4 yaitu domain yang mengatur tentang penyediaan tata kelola TI. Selengkapnya hasil perhitungan tersebut dapat dilihat pada Tabel 14. Tabel 14 Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3 Domain
Indeks Kematangan
Tingkat Kematangan
PO4
3,42
3
PO5
3,30
3
PO9
2,74
3
ME2
3,50
3
ME3
2,89
3
ME4
3,17
3
Dari Tabel 14 dapat dilihat, bahwa pada sub-sub domain yang menjadi kontrol
proses
untuk
sub
domain
ME4
menunjukkan
bahwa
tingkat
kematangannya berada pada nilai 3,17. Nilai ME4 didapatkan dengan menjumlah
50 nilai indeks kematangan PO4, PO5, PO9, ME2, dan ME3 kemudiaan dibagi dengan 5. Dengan merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domain ME4 untuk penyediaan tata kelola TI dengan menggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu: 1.
Pentingnya dan kebutuhan tata kelola TI dipahami oleh manajemen dan dikomunikasikan kepada organisasi.
2.
Satu set dasar indikator tata kelola TI dikembangkan di mana hubungan antara
ukuran
hasil
dan
indikator
kinerja
yang
ditetapkan
dan
didokumentasikan. 3.
Prosedur adalah standar dan didokumentasikan.
4.
Manajemen berkomunikasi prosedur standar, dan pelatihan dilakukan.
5.
Alat diidentifikasi untuk membantu mengawasi tata kelola TI.
6.
Papan instrumen didefinisikan sebagai bagian dari kartu catatan TI agar bisnis seimbang.
7.
Namun, diserahkan kepada individu untuk mendapatkan pelatihan, mengikuti standar dan menerapkannya.
8.
Proses dapat dimonitor, namun penyimpangan, sementara sebagian besar sedang ditindaklanjuti oleh inisiatif individu, tidak mungkin untuk dideteksi oleh manajemen.
Hasil Evaluasi Tingkat Kematangan Berdasarkan Demografi Responden Berdasarkan demografi responden, maka tingkat kematangan untuk PO4, PO5, PO9, ME2, ME3 dan ME4 adalah seperti pada Tabel 15. Tabel 15 Tingkat kematangan berdasarkan demografi responden Indeks Kematangan Umur
Jenis Kelamin Pendidikan Terakhir Jabatan
25-35 tahun 36-45 tahun >45 tahun Laki-laki Perempuan Sarjana Magister Doktor Kepala Pusat
PO4
PO5
PO9
ME2
ME3
ME4
3 3 3 3 3 3 3 4 3
2 4 3 4 3 4 3 4 4
2 3 3 3 2 3 3 3 3
3 4 4 4 3 4 3 4 4
2 3 3 3 2 3 3 4 3
3 3 3 3 3 3 3 4 3
51 Kepala Bid./Bag. Kepala Sub Bid./Bag. Banyak 5x Menjabat Jabatan 3x Menjabat 2x Menjabat 1x Menjabat Lamanya 6-10 tahun Bekarja 11-20 tahun >20 tahun Struktural Aktif
4 3 4 3 4 3 3 3 3 3
4 3 4 3 4 3 3 4 3 3
3 3 4 2 3 3 3 3 3 3
4 4 4 4 4 3 3 4 4 3
3 3 3 3 3 3 2 4 3 3
3 3 4 3 3 3 3 4 3 3
Dapat dilihat bahwa tingkat kematangan untuk ME4 pada berdasarkan demografi responden berada pada level 3 (Proses Terdefinisi), walaupun pada responden dengan jenjang pendidikan terakhir doktor, responden yang telah menjabat sebanyak 5 kali, dan responden yang telah bekerja di PDII-LIPI selama 11-20 tahun memberikan jawaban dengan tingkat kematangan untuk ME4 berada pada level 4 (Terkelola dan Terukur). Namun yang penting untuk dilihat, bahwa struktural yang saat ini menjabat, hasil tingkat kematangannya berada pada level 3 (Proses Terdefinisi). Evaluasi Tata Kelola TI Acuan perencanaan tata kelola di PDII-LIPI dengan menggunakan kerangka kerja COBIT 4.1 adalah tingkat kematangan. Tingkat kematangan yang diharapkan oleh struktural adalah pada level 4 (Terkelola dan Terukur). Ternyata hasil perhitungan tata kelola di PDII-LIPI, CML berada di bawah EML. CML terendah dalam sub domain PO9 (menilai dan mengelola resiko TI) yaitu yang berada pada level 2,74. Sementara itu CML yang tertinggi dalam sub domain ME2 (memantau dan mengevaluasi pengendalian internal) yaitu yang berada pada level 3,50. Berdasarkan Gambar 12 dapat dilihat hasil tingkat kematangan tata kelola TI di PDII-LIPI, tingkat kematangan saat ini dianggap berada pada kisaran level 3 (Proses Terdefinisi).
52 PO4 5 4 3 2
ME3
PO5
1 0
ME2
PO9
Gambar 12 Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol proses ME4
Kondisi pengelolaan TI saat ini di PDII-LIPI adalah: 1.
Manajemen (Pejabat Struktural) di PDII-LIPI sudah menyadari akan kebutuhan serta pentingnya tata kelola TI. Saat ini PDII-LIPI hanya mengikuti peraturan-peraturan ditetapkan pemerintah khususnya LIPI. Tata kelola yang digunakan hanyalah panduan umum tata kelola TI nasional yang dibuat oleh Kementerian Komunikasi dan Informatika RI namun belum dikomunikasikan.
2.
Sudah adanya pengukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan, hal ini terlihat dari sudah adanya pelaporan kinerja melalui form SKP (sasaran kinerja pegawai) yang mencakup pencapaian dan penilaian kinerja per bulan setiap tahunnya.
3.
Prosedur atau standar yang didokumentasikan diwujudkan dengan adanya SOP (Standard Operating Procedure) pada setiap bidang ataupun bagian di PDII-LIPI. Selain itu PDII-LIPI juga telah direkomendasikan untuk mendapatkan sertifikasi ISO 9001:2008, Sistem Manajemen Mutu dengan ruang lingkup layanan perpustakaan dan layanan ISSN.
4.
Individu telah mendapatkan pelatihan, namun bersifat insidential. Artinya pelatihan tidak direncanakan, hanya berdasarkan undangan atau kebutuhan yang tiba-tiba. Selama Januari-Juni 2014 terdapat 30 karyawan yang
53 melakukan 37 macam pelatihan baik dalam ataupun luar negeri yang diikuti secara individual ataupun bersama. 5.
Proses dapat dimonitor, namun bila terjadi penyimpangan sebagian besar sedang ditindaklanjuti oleh inisiatif individu per bidang/bagian, tidak mungkin untuk dideteksi oleh manajemen. Dapat dilihat bahwa PDII-LIPI memang membutuhkan tata kelola TI
tersendiri agar PDII-LIPI dapat mencapai EML hingga tercapainya tujuan bisnis dengan makin meminimalkan penyimpangan. Tingkat kematangan yang dijadikan acuan berdasarkan kerangka kerja COBIT 4.1 mampu membaca kondisi pengelolaan TI di PDII-LIPI saat ini, maka tata kelola COBIT 4.1 dirasa cukup mampu, handal dan mudah diterapkankan pada PDII-LIPI karena bukan hanya sebagai tata kelola, tapi juga sebagai alat bantu bagi manajemen untuk merumuskan kebijakan-kebijakan selain itu juga dapat sebagai audit TI. Untuk dapat mencapai EML maka PDII-LIPI harus mulai melakukan: 1.
Ada pemahaman penuh masalah tata kelola IT di semua tingkatan.
2.
Ada pemahaman yang jelas tentang siapa pelanggan (user), dan tanggung jawab didefinisikan dan dipantau melalui service level agreement (SLA).
3.
Tanggung jawab jelas dan kepemilikan proses didirikan.
4.
Proses TI dan tata kelola TI yang selaras dengan dan diintegrasikan ke dalam bisnis dan strategi TI.
5.
Peningkatan IT proses-proses didasarkan terutama pada pemahaman kuantitatif, dan adalah mungkin untuk memantau dan mengukur kepatuhan dengan prosedur dan metrik proses.
6.
Semua pemangku kepentingan proses sadar akan risiko, pentingnya, dan peluang TI yang dapat ditawarkan.
7.
Manajemen mendefinisikan toleransi di mana proses harus beroperasi. Ada terbatas, terutama taktis penggunaan teknologi, berdasarkan teknik kematangan dan ditetapkan alat standar.
8.
Tata kelola IT diintegrasikan ke dalam perencanaan dan dipantau proses strategis dan operasional.
9.
Indikator kinerja atas semua kegiatan pengelolaan TI telah didata dan dilacak, yang mengarah ke perbaikan ke seluruh bagian organisasi.
54 10. Secara keseluruhan akuntabilitas kinerja proses kunci jelas, dan manajemen dihargai berdasarkan ukuran kinerja kunci. Perbaikan mendasar yang perlu dilakukan oleh struktural PDII-LIPI pada pengelolaan TI, antara lain adalah: 1.
Manajemen mulai membuat tata kelola TI spesifik berdasarkan kerangka kerja tertentu dan mengkomunikasikannya kepada seluruh staf.
2.
Pelaporan kinerja melalui form SKP (sasaran kinerja pegawai) yang ada semakin benar-benar dijadikan pedoman bagi SDM untuk meningkatkan kinerjanya. Budaya kerja SDM semakin ditingkatkan.
3.
Prosedur atau standar yang didokumentasikan, dikomunikasikan kepada seluruh staf dan menjadi pedoman baku.
4.
Manajemen mulai merencanakan pelatihan-pelatihan untuk peningkatan SDM sesuai dengan tujuan bisnis organisasi.
5.
Manajemen harus mampu dapat dimonitor dan menindaklanjuti bila terjadi penyimpangan.
55
5 SIMPULAN DAN SARAN Simpulan Dari hasil penelitian diperoleh simpulan, proses PO4, PO5, PO9, ME2, dan ME3 yang merupakan kontrol proses bagi ME4 yaitu proses untuk penyediaan tata kelola pada PDII-LIPI berada pada tingkat kematangan 3 (Proses Terdefinisi), artinya PDII-LIPI telah memahami pentingnya tata kelola TI, terdapat prosedur yang merupakan standar dan didokumentasikan, telah ada pelatihan-pelatihan untuk meningkatkan SDM. Manajemen hanya menyediakan prosedur dan dukungan pelatihan. Pelatihan dan penerapan standar diserahkan pada masingmasing individu, bukan ditetapkan oleh manajemen. Proses telah dimonitor namun bila terjadi penyimpangan akan ditindaklanjuti oleh inisiatif individu bukan dideteksi oleh manajemen. PDII-LIPI belum mempunyai tata kelola tersendiri dengan kerangka kerja tertentu. Sesuai dengan fakta dan hasil kuesioner yang bersesuaian, maka dapat diambil kesimpulan bahwa pada pengelolaan TI di PDII-LIPI sudah ada tata kelola TI namun tata kelola TI yang dipakai adalah tata kelola TI yang diatur secara nasional berdasarkan Peraturan Menteri Komunikasi dan Informatika No. 41/PER/MEN.KOMINFO/11/2007
tentang
Panduan
Umum
Tata
Kelola
Teknologi Informasi dan Komunikasi Nasional. Tingkat kematangan ME4 (penyediaan tata kelola TI) yang dijadikan acuan berdasarkan kerangka kerja COBIT 4.1 mampu membaca kondisi pengelolaan TI di PDII-LIPI saat ini.
Saran Untuk memingkatkan tujuan bisnis PDII-LIPI maka penggunaan tata kelola COBIT 4.1 untuk PDII-LIPI harus mulai dibuat dan dikembangkan lebih lanjut dengan memperhatikan hasil tingkat kematangan ME4 yang diperoleh. Tata kelola COBIT 4.1 dirasa cukup mampu, handal dan mudah diterapkankan pada PDIILIPI karena bukan hanya sebagai tata kelola, tapi juga sebagai alat bantu bagi manajemen untuk merumuskan kebijakan-kebijakan selain itu juga dapat sebagai audit TI.
56
DAFTAR PUSTAKA Damianides M. 2005. Sarbanes-Oxley And It Governance: New Guidance On It Control And Compliance. Information Systems Management. Academic Research Library. Gondodiyoto S. 2007. Audit Sistem Informasi + Pendekatan COBIT. Jakarta: Mitra Wacana Media Hasibuan Z A. 2007. Metodologi Penelitian Pada Bidang Ilmu Komputer dan Teknologi Informasi. Jakarta: Fakultas Ilmu Komputer, Universitas Indonesia. IT Governance Institute. 2007. COBIT 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. IT Governance Institute. [Online]. http://www.itgi.org. (diakses tanggal 9 Maret 2010) Lembaga Ilmu Pengetahuan Indonesia. 2001. Surat Keputusan Kepala LIPI Nomor 1151/M/2001 tentang Organisasi dan Tata Kerja LIPI. Jakarta. Indonesia: Lembaga Ilmu Pengetahuan Indonesia. Lin C, Pervan G, McDermit, D. 2000. A Survey of IS/IT Investment Evaluation Practices in Australia: Some Preliminary Results. Curtin University Departmental Working Paper 20680. [Online]. http://espace.library.curtin. edu.au/R?func=dbin-jumpfull&local_base= gen01-era02&object_id=20680. (diakses tanggal 9 Maret 2010) Kementerian Komunikasi dan Informatika RI. 2007. Peraturan Menteri Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta. Indonesia: Kementerian Komunikasi dan Informatika RI. Kementerian Pendayagunaan Aparatur Negara RI. 2001. Surat Keputusan Menteri Pendayagunaan Aparatur Negara No 138/M.PAN/5/2001tertanggal 31 Mei 2001 tentang Restrukturisasi. Jakarta, Indonesia: Kementerian Pendayagunaan Aparatur Negara RI. Pusat Dokumentasi dan Informasi Ilmiah. 2014. Rencana Implementatif Pusat Dokumentasi dan Informasi Ilmiah Lembaga Ilmu Pengetahuan Indonesia Tahun 2015-2019. Jakarta, Indonesia: PDII-LIPI. Sudarsono B. 2007. Menyongsong Fajar Baru, Merancang Masa Depan. Jakarta, Indonesia: LIPI Press. Sulistyo Basuki. 1993. Pengantar Ilmu Perpustakaan. Jakarta: Gramedia Pustaka Utama. Surendro K. 2009. Implementasi Tatakelola Teknologi Informasi. Bandung, Indonesia: Penerbit Informatika. Sutopo H. 2006. Metodologi Penelitian Kualitatif. Surakarta: Universitas Sebelas Maret. Wijaya S W. 2007. Budaya organisasi dan efektifitas penerapan egovernment. in Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007). Yogyakarta. Weill P, Ross J. 2004. IT govermance: how top performers manage IT decision right for superior results. Boston: Harvard Business School Press.
57
LAMPIRAN Lampiran 1 Kuesioner tingkat kematangan tata kelola di PDII-LIPI Kuesioner Pemetaan Tingkat Kematangan Tata Kelola TI Pusat Dokumentasi dan Informasi Ilmiah Bapak/Ibu responden yang terhormat, saya Rima Octavia adalah mahasiswa Magister Profesional dengan Program Studi Teknologi Informasi untuk Perpustakaan Institut Pertanian Bogor yang akan melakukan penelitian mengenai tata kelola teknologi informasi (TI) untuk melihat kebutuhan akan tata kelola TI di Pusat Dokumentasi dan Informasi Ilmiah (PDII) dengan menggunakan acuan COBIT (Control Objectives for Information and Related Technology). Penelitian ini merupakan bagian dari penyusunan Tesis. Hasil penelitian ini diharapkan dapat menjadi masukan bagi pengambilan kebijakan TI di PDII tentang bagaimana sebaiknya tata kelola TI khususnya dalam mendukung kinerja PDII maka kuesioner ini diperuntukkan untuk para struktural yang sedang/pernah menjabat dari tahun 2000 sampai sekarang. Untuk itu mohon kesediaan Bapak/Ibu untuk mengisi kuesioner selengkap-lengkapnya sesuai dengan keadaan sebenarnya. BAGIAN I. IDENTITAS RESPONDEN Berilah tanda cek (√) pada kotak yang sesuai dengan pilihan Anda 1. Nama 2. Umur □ 25-35 tahun □ 36-45 tahun 3. Jenis Kelamin □ Laki-laki □ Perempuan 4. Pendidikan Terakhir □ Sarjana □ Magister 5. Jabatan yang Pernah Jabatan Dipegang 1. 2. 3. 4. 5. 6. Lamanya Bekerja □ 6-10 tahun □ 11-20 tahun
□ >45 tahun □ Doktor Periode
□ >20 tahun
BAGIAN II. RELASI RESPONDEN Pada pertanyaan-pertanyaan dibawah ini, anda hanya diperkenankan menjawab salah satu diantara jawaban “YA” atau “TIDAK” dengan memberi tanda cek (√). Kode Pertanyaan Ya Tidak R.1 Apakah responden tahu mengetahui tentang TI? Apakah dalam sehari-hari responden menggunakan R.2 langsung TI pada pekerjaannya? Apakah dalam bekerja sehari-hari responden tidak R.3 berinteraksi langsung dengan TI, namun menggunakan
58
R.4 R.5 R.6 R.7 R.8 R.9 R.10 R.11
data hasil olah TI? Apakah selama menjabat responden menggunakan langsung TI pada pekerjaannya? Apakah selama menjabat responden tidak berinteraksi langsung dengan TI, namun menggunakan data hasil olah TI? Apakah responden menggunakan TI untuk menghasilkan keputusan strategis saat menjabat? Apakah responden pernah melakukan keputusan strategis dalam penggunaan TI saat menjabat? Apakah responden mengetahui tentang tata kelola TI? Apakah responden menyadari pentingnya tata kelola TI? Apakah ada tata kelola TI di PDII LIPI? Apakah responden memiliki kepentingan bila diadakan tata kelola TI?
BAGIAN III. KUESIONER ME4 (PENGADAAN TATAKELOLA TI) Isilah seluruh pertanyaan dengan memberi tanda cek (√) pada kotak yang telah disediakan sesuai dengan pendapat Anda dengan ketentuan sebagai berikut: “Sangat Setuju (SS)”, “Setuju (S)”, “Tidak Tahu (TT)”, “Tidak Setuju (TS)”, “Sangat Tidak Setuju (STS)”. PO4. Menetapkan Proses TI, Organisasi dan Hubungan Pertanyaan 1 2 3
4 5
6
7
PDII menentukan kerangka proses TI untuk menjalankan rencana strategi TI. PDII membentuk komite strategi TI pada struktural organisasi. PDII membentuk komite pengarahan TI (atau yang setara) yang disusun dari pengelolaan eksekutif, bisnis, dan TI. PDII menempatkan fungsi TI dalam struktur organisasi keseluruhan karena pentingnya TI di PDII. PDII membentuk struktur organisasi internal dan eksternal TI yang mencerminkan kebutuhan PDII. PDII meninjau secara periodik struktur organisasi TI untuk menyesuaikan kebutuhan staf dan strategi penentuan sumber untuk memenuhi tujuan PDII yang diharapkan dan mengubah kondisi saat ini. PDII membentuk dan mengkomunikasikan peran dan tanggung jawab untuk staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf TI dan pengguna akhir, tanggung jawab, dan
SS
Bobot S TT TS STS
59
8
9
10
11
12
13
14
15
16
17
18
akuntabilitas untuk memenuhi kebutuhan PDII. PDII menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas (QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. PDII memastikan bahwa penempatan organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi persyaratan organisasi. PDII menanamkan kepemilikan dan tanggung jawab atas risiko terkait TI dalam bisnis pada level senior yang sesuai. PDII menentukan dan menetapkan kritik peran untuk mengelola risiko TI, termasuk tanggung jawab spesifik untuk keamanan informasi, keamanan fisik, dan kesesuaian. PDII membentuk tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan untuk menangani masalah dalam lingkup organisasi. PDII menyediakan bisnis dengan prosedur dan peralatan, yang memungkinkannya untuk mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi. PDII menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan untuk meninjau KPI (Indikator Kinerja Penting) secara umum. PDII menerapkan divisi peran dan tanggung jawab yang dapat mengurangi kemungkinan kondisi di mana proses penting hanya ditangani oleh seorang personel. PDII mengevaluasi persyaratan penentuan staf pada basis reguler atau atas perubahan mayor pada bisnis, lingkungan operasional atau TI untuk memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi. PDII telah menentukan dan mengidentifikasi personel TI penting (misalnya, personel pengganti/cadangan), dan meminimalkan ketergantungan hanya pada satu personel yang menjalankan fungsi pekerjaan penting. PDII memastikan bahwa konsultan dan personel kontrak yang mendukung fungsi TI memahami dan memenuhi kebijakan organisasi untuk
60
19
melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui. PDII membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat.
PO5. Mengelola Investasi TI Pertanyaan
1
2
3
4
5
SS
Bobot S TT TS STS
SS
Bobot S TT TS STS
PDII membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI. PDII menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna memaksimalkan kontribusi TI untuk optimisasi pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya. PDII membentuk dan menerapkan praktik untuk mempersiapkan anggaran yang mencerminkan prioritas yang dibentuk oleh portofolio perusahaan dari program investasi yang dimungkinkan TI, dan meliputi biaya operasional dan perawatan infrastruktur yang terus berlanjut. PDII menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Dimana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. PDII menerapkan proses untuk memantau manfaat dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai.
PO9. Menilai dan Mengelola Risiko TI Pertanyaan 1
PDII membentuk kerangka proses manajemen
61
2
3
4 5 6
7
8
9
10
risiko TI yang selaras dengan kerangka proses manajemen risiko PDII. PDII membentuk konteks di mana kerangka proses penilaian risiko diterapkan untuk memastikan hasil yang sesuai. PDII mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang berlaku) dengan dampak negatif potensial pada sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, sumber daya manusia, dan aspek operasional. PDII menentukan sifat dampak dan menjaga informasi ini. PDII Mencatat dan menjaga risiko yang relevan dalam registri risiko. PDII menilai pada basis berulang, kemungkinan dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. PDII membangun dan menjaga proses respons risiko yang dirancang untuk memastikan bahwa kontrol yang efektif biaya mengurangi pemaparan terhadap risiko pada basis yang berkesinambungan. PDII memprioritaskan dan merencanakan aktivitas kontrol pada semua level untuk menerapkan respons risiko yang diidentifikasi sebagaimana diperlukan, mencakup identifikasi atas biaya, manfaat, dan tanggung jawab untuk pelaksanaan. PDII memperoleh persetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risiko residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh. PDII memantau pelaksanaan rencana, dan laporan pada setiap penyimpangan kepada manajemen senior.
ME2. Memantau dan Mengevaluasi Pengendalian Internal Pertanyaan
1
2
PDII melakukan pemantauan yang berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi. PDII memantau dan mengevaluasi efisiensi dan efektivitas dari kontrol tinjauan manajerial TI internal.
SS
Bobot S TT TS STS
62 3
4
5
6
7
PDII mengidentifikasi pengecualian kontrol, dan menganalisis serta mengidentifikasi penyebab akar yang mendasari. PDII Mengevaluasi kelengkapan dan efektivitas dari kontrol manajemen atas proses TI, kebijakan, dan kontrak melalui program penilaian diri yang berkesinambungan. PDII memperoleh, jika diperlukan, jaminan lebih lanjut atas kelengkapan dan efektivitas kontrol internal melalui tinjauan pihak ketiga. PDII Menilai status dari kontrol internal penyedia layanan. Mengonfirmasikan penyedia layanan eksternal sesuai dengan persyaratan hokum dan peraturan serta kewajiban sesuai kontrak. PDII mengidentifikasi, memulai, melacak, dan menerapkan tindakan perbaikan yang muncul dari penilaian kontrol dan pelaporan.
ME3. Pastikan Kepatuhan dengan Persyaratan Eksternal Bobot Pertanyaan SS S PDII mengidentifikasi, pada basis yang berkesinambungan, hukum setempat dan 1 internasional, pengaturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI. PDII meninjau dan menyesuaikan kebijakan, 2 standar, prosedur, dan metodologi TI untuk memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan. PDII Mengonfirmasikan kebijakan, standar, 3 prosedur, dan metodologi TI dengan persyaratan hukum dan pengaturan. PDII Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan 4 pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu. PDII mengintegrasikan pelaporan TI pada 5 persyaratan hukum, pengaturan, dan kontraktual dengan output yang serupa dari fungsi bisnis lainnya.
TT TS STS
63 Lampiran 2 Data relasi responden mengenai TI Kode Pertanyaan Ya Tidak R.1 Apakah responden mengetahui tentang TI? 31 0 Apakah dalam sehari-hari responden menggunakan R.2 30 1 langsung TI pada pekerjaannya? Apakah dalam bekerja sehari-hari responden tidak R.3 berinteraksi langsung dengan TI, namun menggunakan data 9 22 hasil olah TI? Apakah selama menjabat responden menggunakan langsung R.4 29 2 TI pada pekerjaannya? Apakah selama menjabat responden tidak berinteraksi R.5 langsung dengan TI, namun menggunakan data hasil olah 7 24 TI? Apakah responden menggunakan TI untuk menghasilkan R.6 23 8 keputusan strategis saat menjabat? Apakah responden pernah melakukan keputusan strategis R.7 22 9 dalam penggunaan TI saat menjabat? R.8 Apakah responden mengetahui tentang tatakelola TI? 26 5 R.9 Apakah responden menyadari pentingnya tatakelola TI? 29 2 R.10 Apakah ada tatakelola TI di PDII LIPI? 25 6 Apakah responden memiliki kepentingan bila diadakan R.11 26 5 tatakelola TI?
64 Lampiran 3 Data hasil identitas responden 1. 2. 3. 4.
Nama Umur Jenis Kelamin Pendidikan Terakhir
5. Jabatan yang Pernah Dipegang
6. Lamanya Bekerja
□ 25-35 tahun (3) □ 36-45 tahun (5) □ >45 tahun (23) □ Laki-laki (15) □ Perempuan (16) □ Sarjana (15) Jabatan 1. 2. 3. 4. 5. □ 6-10 tahun (6)
□ Magister (13)
□ Doktor (3) Periode
□ 11-20 tahun (2) □ >20 tahun (23)
65 Lampiran 4 Data modul sub domain PO4 PO4. Menetapkan Proses TI, Organisasi dan Hubungan Pertanyaan 1 2 3
4 5
6
7
8
9
10
11
12
13
PDII menentukan kerangka proses TI untuk menjalankan rencana strategi TI. PDII membentuk komite strategi TI pada struktural organisasi. PDII membentuk komite pengarahan TI (atau yang setara) yang disusun dari pengelolaan eksekutif, bisnis, dan TI. PDII menempatkan fungsi TI dalam struktur organisasi keseluruhan karena pentingnya TI di PDII. PDII membentuk struktur organisasi internal dan eksternal TI yang mencerminkan kebutuhan PDII. PDII meninjau secara periodik struktur organisasi TI untuk menyesuaikan kebutuhan staf dan strategi penentuan sumber untuk memenuhi tujuan PDII yang diharapkan dan mengubah kondisi saat ini. PDII membentuk dan mengkomunikasikan peran dan tanggung jawab untuk staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk memenuhi kebutuhan PDII. PDII menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas (QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. PDII memastikan bahwa penempatan organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi persyaratan organisasi. PDII menanamkan kepemilikan dan tanggung jawab atas risiko terkait TI dalam bisnis pada level senior yang sesuai. PDII menentukan dan menetapkan kritik peran untuk mengelola risiko TI, termasuk tanggung jawab spesifik untuk keamanan informasi, keamanan fisik, dan kesesuaian. PDII membentuk tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan untuk menangani masalah dalam lingkup organisasi. PDII menyediakan bisnis dengan prosedur dan peralatan, yang memungkinkannya untuk mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi.
Bobot TT TS STS
SS
S
13
12
1
4
1
5
14
6
6
0
7
13
4
5
2
15
13
0
3
0
8
15
2
6
0
10
14
2
4
1
6
21
1
2
1
7
15
4
4
1
5
15
6
4
1
2
19
3
6
1
7
17
3
3
1
10
11
6
4
0
6
15
8
2
0
66
14
15
16
17
18
19
PDII menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan untuk meninjau KPI (Indikator Kinerja Penting) secara umum. PDII menerapkan divisi peran dan tanggung jawab yang dapat mengurangi kemungkinan kondisi di mana proses penting hanya ditangani oleh seorang personel. PDII mengevaluasi persyaratan penentuan staf pada basis reguler atau atas perubahan mayor pada bisnis, lingkungan operasional atau TI untuk memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi. PDII telah menentukan dan mengidentifikasi personel TI penting (misalnya, personel pengganti/cadangan), dan meminimalkan ketergantungan hanya pada satu personel yang menjalankan fungsi pekerjaan penting. PDII memastikan bahwa konsultan dan personel kontrak yang mendukung fungsi TI memahami dan memenuhi kebijakan organisasi untuk melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui. PDII membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat.
10
15
2
3
1
10
11
4
6
0
10
13
3
4
1
5
15
2
7
2
4
17
6
3
1
4
15
5
6
1
67 Lampiran 5 Data modul sub domain PO5 PO5. Mengelola Investasi TI Pertanyaan
1
2
3
4
5
PDII membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI. PDII menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna memaksimalkan kontribusi TI untuk optimisasi pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya. PDII membentuk dan menerapkan praktik untuk mempersiapkan anggaran yang mencerminkan prioritas yang dibentuk oleh portofolio perusahaan dari program investasi yang dimungkinkan TI, dan meliputi biaya operasional dan perawatan infrastruktur yang terus berlanjut. PDII menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Dimana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. PDII menerapkan proses untuk memantau manfaat dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai.
SS
Bobot S TT TS STS
7
13
6
4
1
6
16
3
5
1
7
14
5
4
1
6
16
6
2
1
6
19
2
3
1
68 Lampiran 6 Data modul sub domain PO9 PO9. Menilai dan Mengelola Risiko TI Pertanyaan 1
2
3
4 5 6
7
8
9
10
PDII membentuk kerangka proses manajemen risiko TI yang selaras dengan kerangka proses manajemen risiko PDII. PDII membentuk konteks di mana kerangka proses penilaian risiko diterapkan untuk memastikan hasil yang sesuai. PDII mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang berlaku) dengan dampak negatif potensial pada sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, sumber daya manusia, dan aspek operasional. PDII menentukan sifat dampak dan menjaga informasi ini. PDII Mencatat dan menjaga risiko yang relevan dalam registri risiko. PDII menilai pada basis berulang, kemungkinan dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. PDII membangun dan menjaga proses respons risiko yang dirancang untuk memastikan bahwa kontrol yang efektif biaya mengurangi pemaparan terhadap risiko pada basis yang berkesinambungan. PDII memprioritaskan dan merencanakan aktivitas kontrol pada semua level untuk menerapkan respons risiko yang diidentifikasi sebagaimana diperlukan, mencakup identifikasi atas biaya, manfaat, dan tanggung jawab untuk pelaksanaan. PDII memperoleh persetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risiko residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh. PDII memantau pelaksanaan rencana, dan laporan pada setiap penyimpangan kepada manajemen senior.
Bobot TT TS STS
SS
S
5
10
8
7
1
4
12
8
6
1
4
16
5
5
1
3
18
5
5
0
2
17
6
4
2
2
11
10
6
2
4
9
10
7
1
4
14
8
3
2
3
10
13
3
2
7
19
1
4
0
69 Lampiran 7 Data modul sub domain ME2 ME2. Memantau dan Mengevaluasi Pengendalian Internal Pertanyaan
1
2
3
4
5
6
7
PDII melakukan pemantauan yang berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi. PDII memantau dan mengevaluasi efisiensi dan efektivitas dari kontrol tinjauan manajerial TI internal. PDII mengidentifikasi pengecualian kontrol, dan menganalisis serta mengidentifikasi penyebab akar yang mendasari. PDII Mengevaluasi kelengkapan dan efektivitas dari kontrol manajemen atas proses TI, kebijakan, dan kontrak melalui program penilaian diri yang berkesinambungan. PDII memperoleh, jika diperlukan, jaminan lebih lanjut atas kelengkapan dan efektivitas kontrol internal melalui tinjauan pihak ketiga. PDII Menilai status dari kontrol internal penyedia layanan. Mengonfirmasikan penyedia layanan eksternal sesuai dengan persyaratan hokum dan peraturan serta kewajiban sesuai kontrak. PDII mengidentifikasi, memulai, melacak, dan menerapkan tindakan perbaikan yang muncul dari penilaian kontrol dan pelaporan.
Bobot TT TS STS
SS
S
8
21
0
2
0
8
20
1
2
0
6
13
8
4
0
2
18
6
4
1
4
15
6
5
1
7
19
3
2
0
8
20
2
1
0
70 Lampiran 8 Data modul sub domain ME3 ME3. Pastikan Kepatuhan dengan Persyaratan Eksternal Bobot Pertanyaan SS S TT TS STS PDII mengidentifikasi, pada basis yang berkesinambungan, hukum setempat dan 1 internasional, pengaturan, dan persyaratan 3 17 6 4 1 eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI. PDII meninjau dan menyesuaikan kebijakan, 2 standar, prosedur, dan metodologi TI untuk 4 19 4 2 2 memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan. PDII Mengonfirmasikan kebijakan, standar, 3 prosedur, dan metodologi TI dengan persyaratan 5 17 7 2 0 hukum dan pengaturan. PDII Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan 4 pengaturan atau kontraktual, dengan 2 15 8 4 1 mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu. PDII mengintegrasikan pelaporan TI pada 5 persyaratan hukum, pengaturan, dan kontraktual 3 15 8 4 1 dengan output yang serupa dari fungsi bisnis lainnya.