BAB I PENDAHULUAN
Bab ini menjelaskan tentang latar belakang, permasalahan penelitian, tujuan dan manfaat penelitian, pembatasan penelitian serta sistematika penulisan. 1.1. Latar Belakang Teknologi Informasi Komunikasi (TIK) saat ini menjadi teknologi yang banyak diterapkan oleh hampir seluruh organisasi dan diharapkan akan dapat membantu pencapaian tujuan suatu organisasi. Pemanfaatan TIK telah memberikan solusi dan keuntungan melalui peluang-peluang sebagai bentuk dari peran strategis TIK dalam pencapaian visi dan misi organisasi. Peluang-peluang diciptakan dari optimalisasi sumber daya TIK pada area sumber daya perusahaan yang meliputi data, sistem aplikasi, infrastuktur dan sumber daya manusia. Ada dua cara penggunaan kekuatan pertahanan negara yaitu pertahanan menggunakan kekuatan militer dan nirmiliter. Guna mendukung pelaksanaan tugas pokok Kementerian Pertahanan dalam mempertahankan kedaulatan NKRI perlu data dan informasi yang memuat aspek ideologi, politik, ekonomi, sosial budaya dan pertahanan keamanan untuk disiapkan menjadi kekuatan pertahanan yang komprehensif. Pada era globalisasi dan informasi seperti saat ini, sistem pengelolaan data dan informasi yang mudah diakses menjadi suatu kebutuhan. Data dan informasi yang memuat aspek tersebut diatas merupakan data dan informasi yang sangat dibutuhkan dalam rangka merumuskan kebijakan pertahanan negara yang harus disiapkan secara komprehensif, sistematis, cepat dan akurat. Dengan demikian perlu membangun dan mengembangkan sistem informasi pertahanan negara yang dapat digunakan bagi pengambilan keputusan dan perumusan kebijakan pertahanan negara. PUSDATIN (Pusat Data dan informasi) sebagai pembina fungsi IT di lingkungan Kementerian Pertahanan mempunyai visi yaitu:"Menuju masyarakat dan komunitas pertahanan negara yang berpengetahuan melalui data dan informasi.".Guna mewujudkan visi tersebut, Pusdatin Kemhan melaksanakan misi
1
2
yaitu:"Mewujudkan pusdatin sebagai pusat keunggulan bidang telematika pertahanan negara." Tata kelola atau governance berfungsi untuk memastikan bahwa kebutuhan,kondisi, dan pilihan stakeholder dievaluasi agar sesuai dengan tujuan organisasi,menetapkan prioritas dalam pengambilan keputusan, dan memonitor kinerjaberdasarkan tujuan dan arahan. Salah satu praktik tata kelola TIK yang dapat dilakukanoleh organisasi adalah dengan melakukan evaluasi Teknologi Informasi dan Komunikasi atau sisteminformasi. Evaluasi bertujuan untuk menilai, memonitor, dan memastikan bahwasistem informasi perusahaan dapat mengelola integritas data dengan baik dan mampuberoperasi secara efektif sesuai dengan tujuan perusahaan dan tujuan TIK organisasi. Jika melihat kondisi saat ini pada Kementerian Pertahanan terdapat permasalahan mendasar yang membuat tata kelola TI kurang berpengaruh terhadap kinerja TI organisasi. Masalah sumber daya manusia yang memiliki pendidikan formal di bidang TI sangat kurang padahal Pusdatin merupakan pengelola data dan sarana informatika di Kementerian Pertahanan. Pelatihan tenaga TI juga tidak terencana dengan baik. Hal ini dapat dilihat pada kegiatan pendidikan dan pelatihan pegawai di Kementerian Pertahanan yang dilakukan oleh Pusdiklat khususnya pada bidang TI berfokus pada diklat e-Office dan pembuatan website yang diadakan setahun sekali. Infrastruktur TI yang kurang memadai dan handal. Kejadian website Kemhan yang di-hack menunjukkan bahwa sistemnya belum reliable. Hal ini akan berpengaruh terhadap kualitas layanan Kementerian Pertahanan kepada stakeholder-nya. Kemudian bandwitdh yang tidak sesuai dengan kebutuhan dimana bandwitdh yang disewa oleh Kementerian Pertahanan kepada service provider tidak dimaksimalkan sehingga kapasitas yang besar hanya digunakan untuk hal-hal yang sederhana sehingga akibatnya terjadi ketidakefisienan dalam penggunaan anggaran. Selain itu, juga ada permasalahan koneksi jaringan yang lambat dan mati di beberapa satker serta banyaknya infrastruktur yang kurang terawat dan tidak dapat berfungsi. Hal ini disebabkan oleh sumber daya manusia tersebut tidak diberikan pelatihan ketika terjadi pembelian infrastruktur tersebut.
3
Selanjutnya juga terdapat masalah teknis berupa data yang tidak terintegrasi karena setiap satker memiliki data masing-masing dan dikelola secara mandiri misalnya aplikasi simak BMN, Simpeg, Materiil, dll. Apabila ada satker atau pihak eksternal organisasi membutuhkan data satker yang lain akan sulit didapatkan karena prosedur yang lama dan panjang sehingga hal ini dapat mengganggu proses bisnis organisasi dalam pelayanan TI kepada stakeholder. Kemudian, pengembangan aplikasi yang kurang terorganisir dimana setiap satuan kerja memiliki aplikasi yang dibangun sendiri tanpa koordinasi dengan Pusdatin baik itu aplikasi yang dikembangkan oleh pihak ketiga maupun yang swakelola. Pengembangan aplikasi yang kurang teroganisir ini mengakibatkan tools pengembangan aplikasi memiliki platform dan aplikasi database berbeda, ada yang berbasis open source dan proprietary software. Bahkan pelayanan informasi tentang layanan kemhan kepada pengguna kurang maksimal disebabkan oleh infrastruktur yang kurang handal. Masalah kebijakan tata kelola TI dan IT Master Plan yang belum dimaksimalkan di Kementerian Pertahanan. Kedua kebijakan ini merupakan suatu acuan penting dalam membuat keputusan investasi TI secara tepat guna dengan mempertimbangkan kepentingan organisasi secara keseluruhan. Selain permasalahan diatas, pegawai sebagai pengguna layanan TI seringkali mengeluhkan akan lambatnya penyelesaian permasalahan terkait dengan infrastruktur TI di Kementerian Pertahanan, sebagai contoh sering terjadinya gangguan layanan email Kemhan karena server email Kemhan mengalami kerusakan, lambatnya perbaikan masalah jaringan, ataupun dalam perbaikan dan penyediaan PC/laptop. .Kemudian, Pemanfaatan aplikasi SI/TI di Kemhan juga masih rendah. Misalnya rendahnya tingkat penggunaan beberapa aplikasi seperti Sisfohanneg, email kemhan maupun website kemhan.go.id seperti terlihat pada grafik berikut :
4
60% 50% 40% Sisfohanneg
30%
Email Website
20% 10% 0% 2013
2014
2015
2016
Hal ini disebabkan oleh belum adanya kebijakanyang berfungsi sebagai payung hukum yang mendukung penggunaan sisteminformasi. Belum adanya kebijakan dan prosedur penggunaan sistem informasitersebut selain disebabkan oleh belum adanya manajemen layanan SI/TI, jugadisebabkan oleh kurangnya perhatian dan dukungan dari para pejabat terhadappenggunaan SI/TI.Berdasarkan permasalahan diatas maka penulis melakukan penelitian di Kementerian Pertahanan dalam hal ini PUSDATIN untuk membahas evaluasi layanan TI di Kementerian Pertahanan berdasarkan COBIT 5 dan ITIL V3 2011 1.2. Rumusan Masalah Berdasarkan pengamatan latar belakang, penelitian ini dilakukan untuk memberikan solusi dari permasalahan yang ada dan menjawab pertanyaan penelitian (Research Question) : “Sejauh mana tingkat kapabilitas layanan data dan informasi di PUSDATIN Kementerian Pertahanan dan rekomendasi perbaikan apa saja yang dapat diberikan?” 1.3. Tujuan Penelitian Tujuan penelitian ini adalah melakukan evaluasi layanan TI di Pusdatin Kemhan danmemberikan rekomendasi aktivitas untuk memperbaiki layanan TI tersebutberdasarkan kerangka kerja COBIT 5 dan ITIL V3 2011.
5
1.4. Manfaat Penelitiaan Manfaat dari penelitian ini antara lain 1. DapatMembantu manajemen organisasi yang bersangkutan untuk dapat melakukan perbaikan-perbaikan dalam penerapan proses tata kelola teknologi informasi. 2. Memberikan masukan kepada manajemen TI organisasi dalam menyusun KPI (Key Performance Indicator) sebagai indikator keberhasilan berdasarkan COBIT 5. 3. Memberikan masukan mengenai kebijakan dan prosedur yang dapat dilakukan di organisasi terkait sasaran utama organisasi.
1.5. Ruang Lingkup Penelitian Agar pembahasan pada tesis ini terfokus pada masalah yang akan penulis bahas, maka penulis memberikan batasan-batasan mengenai pembahasan yang ada, antara lain: 1. Evaluasi
kinerja
tata
kelola
TIKdilakukan
PusdatinKemhan,sebagai pembina fungsi TIKmerupakansebuah Satker dibawahSekretariat Jenderal Kemhanyangbertanggungjawab terhadapperancangan,pembangunan,pengelolaanSistemInformasidi Kementerian Pertahanan. 2. Metodologi yang diterapkan pada penelitian ini menggunakan kerangka kerja COBIT 5 dan ITIL V3 2011serta penulis membatasi pembahasan pada evaluasi layanan TI di Kementerian Pertahanan. 3. Penilaian level capability proses-proses TI di COBIT 5 gap analysis antara kondisi sekarang dengan kondisi masa depan, prioritasi proses-proses TI di COBIT 5 dalam meningkatkan layanan TI, dan penentuan KPI dalam perbaikan layanan TI di masa mendatang. 1.6. Sistematika Penulisan Adapun sistematika penulisan penelitian ini adalah sebagai berikut:
6
BAB I Pendahuluan Bab ini menjelaskan tentang latar belakang masalah, perumusan masalah, batasan masalah, tujuan dan manfaat penelitian, dan sistematika penulisan.
BAB II Landasan Teori Bab ini menjelaskan teori-teori yang berkaitan dengan penelitian, mencakup pengertian tata kelola TI, tujuan tata kelola TI, perbandingan dengan kerangka kerja lainnya, kerangka kerja ITIL V3 2011 dan COBIT 5, serta penelitian sebelumnya
BAB III Metodologi Penelitian Bab ini menjelaskan tentang langkah-langkah penelitian yang terangkum dalam pendekatan kualitatif dengan metode studi kasus termasuk alur berfikir yang terdiri dari tahapan-tahapan aktivitas.
BAB IVHasil Pengukuran dan Pembahasan Bab ini berisi uraian hasil pemilihan proses-proses COBIT 5 yang relevan, hasil penilaian tingkat kapabilitas proses saat ini dan penyusunan target tingkat kapabilitas proses, hasil analisis kesenjangan (gap analysis) tingkat kapabilitas proses, hasil penyusunan prioritas perbaikan proses, pemetaan proses COBIT 5 ke ITIL V3 2011, serta penyusunan rekomendasi aktivitas proses.
BAB VKesimpulan dan Saran Bab ini membahas mengenai kesimpulan dari penelitian dan saran penulis untuk penelitian selanjutnya dan untuk organisasi terkait.
BAB II
7
LANDASAN TEORI
Bab ini dibahas mengenai teori-teori yang berkaitan dengan tata kelola teknologi informasi, ITIL V3 2011, COBIT 5 serta beberapa penelitian sebelumnya. 2.1
Pengertian IT Governance
IT Governance Institute (ITGI) mendefinisikan tata kelola TI sebagai tanggungjawab eksekutif dan dewan direktur, dan terdiri atas kepemimpinan, struktur organisasi serta proses-proses yang memastikan TI perusahaan mendukung dan memperluas obyektif dan strategi organisasi. Tujuan tata kelola TI adalah agar dapat mengarahkan upaya TI. sehingga memastikan performa TI sesuai dengan pemenuhan obyektif berikut: TI selaras dengan perusahaan dan realisasi keuntungan yang dijanjikan. Penggunaan TI memungkinkan perusahaan mengeksploitasi peluang dan memaksimalkan manfaat. Penggunaan sumber daya TI yang bertanggung jawab. Manajemen yang tepat akan resiko yang terkait TI. Ada beberapa definisi tata kelola TI (IT Governance) menurut sumber yang berbeda. a) Menurut (Brown & Grant, 2005); Tata Kelola TI menerangkan tanggung jawab untuk fungsi-fungsi TI. b) Menurut (Luftman & Luftman, 2000); Tata Kelola TI adalah suatu tingkat dimana kekuasaan untuk membuat keputusan TI didefinisikan dan dibagi ke seluruh manajemen, dan pada prosesnya manajer baik TI maupun organisasi bisnis melakukannya dengan prioritas TI dan alokasi sumber daya TI. c) (Sambamurthy & Zmud, 1999); Tata Kelola TI mengacu pada suatu pola kekuasaan untuk kegiatan inti TI. d) (Haes & Grembergen, 2004) Tata Kelola TI adalah suatu kapasitas organisasi oleh pimpinan, manajemen eksekutif dan manajemen TI untuk mengontrol formulasi dan implementasi strategi TI serta menjamin peleburan bisnis dan TI. 7
8
e) (Wilkin & Cerpa, 2012) Tata Kelola TI merupakan suatu struktur atau arsitektur
yang
saling
berhubungan
(dan
pola
kekuasaan
yang
berhubungan), diimplementasikan untuk menyempurnakan kegiatan TI yang sangat penting dengan sukses dalam merespons lingkungan perusahaan dan strategi yang sangat penting. f) (National Computing Centre, 2005) Tata Kelola TI adalah tanggungjawab pimpinan direktur dan manajemen eksekutif. Merupakan bagian integral tata kelola perusahaan dan terdiri dari kepemimpinan dan struktur organisasi serta proses-proses yang menjamin bahwa organisasi TI dapat mendukung dan memperluas sasaran serta strategi organisasi. g) (Weill, Ross, No, & No, 2004) Tata Kelola TI adalah suatu keputusan penting mengenai kerangka kerja akuntabilitas untuk meningkatkan kemauan dalam menggunakan TI.
2.2. Pentingnya Tata Kelola Informasi Pemanfaatan teknologi informasi menjadi kebutuhan yang sangat mendasar di dalam sebuah organisasi, karena dengan adanya teknologi informasi dapat meningkatkan efektifitas, efisiensi dan transparansi. Selain itu, teknologi informasi juga berperan dalam mendukung strategi bisnis organisasi. Suatu tata kelola sesungguhnya membahas mengenai bagaimana mengubah kebiasaan dalam pengambilan keputusan oleh karena itu pengambilan keputusan harus mengacu kepada prinsip-prinsip dari tata kelola TI diantaranya: 1. Citra yang bersih. a) Organisasi yang bersih. b) Kebijakan yang jelas dan standar. c) Komunikasi yang kuat. d) Strategi yang jelas. 2. Pemeriksaan secara independen dan peningkatan yang berkelanjutan. 3. Proaktif melakukan perubahan manajemen jika manajemen tidak berjalan dengan baik. 4. Bertanggung jawab dan penanganan bisnis operasi yang bersih.
9
a) Organisasi yang terpercaya. b) Efektif dalam penggunaan TI. c) Bertanggung jawab terhadap pengelolaan aset. 5. Proses yang akurat.
2.3. Fokus Area Tata Kelola TI Menurut Information Technology Governance Institute (ITGI, 2011), terdapat 5 area yang penting diperhatikan dalam tata kelola TI yaitu keselarasan strategi bisnis dan strategi TI, penyampaian nilai TI, manajemen resiko, pengukuran kinerja dan manajemen sumber daya TI. Setiap area ini mempunyai standar pengaturan yang diuraikan dalam panduan COBIT (Control Objectives for Information and Technology). Ada beberapa permasalahan pokok yang menentukan arah tata kelola TI, yaitu : a. Strategic Allignment, penerapan TI harus mendukung pencapaian misi perusahaan. Strategi TI harus benar-benar mendukung strategi bisnis organisasi. b. Value Delivery, penerapan TI harus memberikan nilai tambah bagi pencapaian misi organisasi. c. Risk Management, penerapan TI harus disertai dengan identifikasi terhadap resiko-resiko TI, sehingga dapat mengatasi dampak yang ditimbulkan olehnya. Resiko penerapan TI dapat berupa virus, penyalahgunaan hak akses, kesalahan/kerusakan sistem, kerusakan sistem pendukung dan lain-lain. d. Resource Management, penerapan TI harus didukung sumber daya yang memadai dan penggunaan sumber daya yang optimal. e. Performance Measurement, penerapan TI harus diukur dan dievaluasi secara berkala, untuk memastikan bahwa investasi dan kinerja TI sesuai dengan kebutuhan bisnis perusahaan.
10
Gambar 2.1 Fokus Area tata kelola TI (ITGI, 2011)
Tata kelola TI memiliki tugas yang menjadi tanggung jawab utama dalam pengelolaannya, yaitu : 1. Memastikan bahwa kepentingan stakeholder telah diikutsertakan dalam penyusunan strategi perusahaan. 2. Memberikan arahan kepada proses-proses yang menerapkan strategi perusahaan. 3. Memastikan proses-proses tersebut menghasilkan keluaran yang terukur. 4. Memastikan adanya informasi mengenai hasil yang diperoleh dan cara pengukurannya. 5. Memastikan bahwa hasil dari pelaksanaan strategi perusahaan telah sesuai dengan harapan perusahaan. 2.4. Tata Kelola Informasi Pada Instansi Pemerintah Manfaat penerapan tata kelola teknologi informasi pada instansi-instansi pemerintah dapat dilihat dari 3 perspektif (Kementerian Komunikasi dan Informatika RI, 2007) , yaitu : 1. Nasional a) Koordinasi dan integrasi Rencana TI Nasional b) Mendapatkan standar rujukan kualitas penyelenggaraan TI di seluruh institusi pemerintahan
11
c) Memudahkan monitoring dan evaluasi penyelenggaraan TI di seluruh institusi pemerintahan 2. Institusional a) Mendapatkan batasan dan panduan sesuai dengan best practice dalam penyelenggaraan TI-nya dilingkungan masing-masing b) Mengoptimalkan ketercapaian value dari penyelenggaraan TI di lingkungan kerjanya masing-masing: internal manajemen & pelayanan publik 3. Publik a)
Mendapatkan kualitas pelayanan publik yang lebih baik
b)
Transparansi kriteria batasan penyelenggaraan TI oleh institusi pemerintah, sehingga dapat melakukan fungsi.
2.5. Kerangka dan Komponen dalam Tata Kelola IT Tiga komponen dalam kerangka kerja IT Governance berdasarkan riset CISR meliputi: (Weill and Woodham, 2002) 1. “What” atau keputusan TI apa yang diambil atau bagaimana TI dipergunakan dalam organisasi. Keputusan-keputusan tersebut, yang disebut sebagai domain TI, antara lain meliputi bidang-bidang: a) IT principles atau prinsip pemanfaatan atau peran TI yang mencerminkan esensi mengenai arah perusahaan serta bagaimana TI akan dipergunakan b) IT Infrastructure Strategy, adalah strategi dalam hal membangun pondasi kapabilitas TI, yang terdiri dari layanan-layanan TI yang standard an dibagi-pakai oleh seluruh organisasi serta dikoordinir secara terpusat (misalnya jaringan, helpdesk, data yang dapat dibagi-pakai dan sebagainya) c) IT Architecture, merupakan sekumpulan kebijakan-kebijakan serta pilihan-pilihan teknis yang terintegrasi untuk memandu organisasi dalam memenuhi kebutuhan bisnis.Business Application, atau aplikasi bisnis yang perlu diadakan dan dikembangkan.
12
d) Investment & Prioritization, merupakan keputusan mengenai jumlah serta alokasi biaya investasi TI, termasuk pengajuan proposal proyek, justifikasi teknis, persetujuan serta akuntabilitas 2. “Who” atau siapa yang memiliki otoritas atau bertanggung jawab dalam pengambilan keputusan-keputusan penting TI, serta peran stakeholder TI di dalamnya. Beberapa pola dasar atau IT Governance archetype yang menyangkut pengambilan keputusan TI, antara lain: a) Business Monarchy, dimana keputusan diambil oleh individu, grup atau komite yang terdiri dari eksekutif bisnis senior (pada tingkat CXO atau Chief Executive Officer, Chief Operation Officer, Chief Finance Officer dan sebagainya) b) IT Monarchy, dimana keputusan diambil oleh individu TI atau grup eksekutif TI. c) Feudal, dimana keputusan diambil oleh pimpinan unit bisnis, pemilik proses-proses penting atau delegasi nya. d) IT Duopoly, dimana keputusan diambil oleh eksekutif TI beserta suatu grup lain (seperti seorang CXO atau pimpinan unit bisnis) e) Federal, dimana keputusan diambil secara bersama-sama oleh eksekutif tingkat CXO dan sedikitnya satu grup bisnis lain (dapat termasuk eksekutif TI) f) Anarchy,
dimana
keputusan
diambil
oleh
masing-masing
pengguna. 3. “How” atau bagaimana cara atau mekanisme pengambilan keputusan. Berbagai mekanisme yang dipakai, dapat dikelompokkan berdasarkan struktur pengambilan keputusan (seperti executive comitee,IT council dll), proses penyelarasan atau alignment processes (seperti project tracking, service level agreement dll) dan pendekatan komunikasi (seperti senior management announcement,intranet,dll). IT Governance dalam suatu organisasi, yang dalam hal ini merupakan suatu pengaturan yang sifatnya ‘Top Level’, merupakan kombinasi antara ketiga komponen di atas.
13
2.6. Enterprise Governance IT Definisi dari interprise governance bergantung kepada tipe organisasi. Kata enterprise governance menunjukkan bahwa konsep tata kelola tidak hanya diaplikasikan pada perusahaan besar tapi juga dalam BUMN dan instansi pemerintah. Berikut diantaranya (International Federation of Accountant ;CIMA,2004) a) Definisi berdasarkan batas organisasi. Definisi ini menganggap enterprise governance dipandang dari single company terlalu sempit b) Definisi berdasarkan pemangku kepentingan (stakeholder) c) Definisi yang dikembangkan oleh IS Audit and Control Foundation mendefinisikan enterprise Governance sebagai “suatu bentuk tanggung jawab dan praktek-praktek yang dilakukan oleh dewan dan management eksekutif, dengan tujuan memberikan arah strategis, memastikan bahwa tujuan tercapai, memastikan bahwa resiko dikelola secara tepat dan memferivikasi
bahwa
sumber
daya
organisasi
digunakan
bertanggunga jawab”
Framework
Gambar 2.2 Enterprise Governance Framework Sumber :CIMA Discusion Paper 2004
secara
14
Pada gambar diatas menggambarkan jangkauan Enterprise Governance yang merupakan kerangka akuntabilitas seluruh organisasi yang terdiri dari dua dimensi, yaitu : 1. Conformance and Corporate Governance Dimensi ini cenderung mengambil pandangan bersejarah dan mencakup isu-isu Corporate Governance, seperti : a) Peran ketua dan CIO b) Peran dan komposisi dewan direksi c) Dewan komite d) Jaminan pengendalian e) Management resiko dan kepatuhan 2. Performance atau bisnis governance Dimensi ini cenderung mengambil pandangan kedepan. Dimensi ini berpusat pada strategi dan penciptaan nilai. Fkusnya dapat membantu dewan direksi untuk : a) Membuat keputusan strategis b) Memenuhi pemenuhan resiko dan kunci kinerja c) Mengidentifikasi hal-hal kritis pada kebutuhan untuk membuat keputusan. Enterprise Governance merupakan kumpulan dari komponen managerial, managemen dari managemen standar yang lebih tinggi dari disiplin organisasi. Gambar dibawah ini akan menjelaskan konsep visualisasi dari konsep ini. Para eksekutif harus memanage,mengkoordinasikan dan memonitor semua komponen managerial supaya struktur yang kompleks dan proses kerja dapat bekerja secara sinergis dan tidak konflk satu sama lain. Enterprise governance mencakup area diatas level eksekutif karena ini mencakup detail yang diperlukan senior management untuk memadukan efektifitas operasional dengan arahan strategis.
15
Gambar 2.3 Enterprise Governance Arsitektur Sumber : (Stacey Hamaker, 2005)
IT dalam Enterprise Governance Industri IT dalam 5 sampai 10 tahun terakhir telah mengalami perubahan dari pembuat hardware dan software menjadi penyedia jasa. Peran IT saat ini lebih menuju kearah struktur pendukung informasi ( sebagai peran penting dari Enterprise Governance ). Informasi yang jelas, mudah diakses adalah hal yang penting bagi dewan direksi dan eksekutif senior. Oleh karena itu informasi yang reliable dan akurat, internal dan eksternal merupakan hal yang penting dalam pengambilan keputusan.The US Sarbanes-Oxley Act dan peraturan lainnya telah meningkatkan tekanan terhadap para eksekutif dan dewan direksi untuk melihat kembali dan memverifikasi informasi yang disediakan oleh para manager. Oleh karena itu informasi dari dalam organisasi haruslah akurat, komprehensif, aman dan jelas.
16
Position Enterprise Governance vs IT Governance Tata kelola dari fungsi IT , seperti fungsi yang lain dari perusahaan ( misal kauangan dan sumber daya manusia) , secara langsung berhubungan dengan Enterprise Governance. Oleh karena itu mendefinisikan enterprise governance dan memahami hubungan dan saling ketergantungan antara enterprise dan IT governance merupakan kondisi yang mutlak diperlukan dalam implementasi IT Governance yang efektif.The Caractered Institute of Management Accountants (CIMA) merujuk pada
IT Governance Institute), mendefinisikan Enterprise
Governance sebagai berikut : “Suatu bentuk tanggung jawab dan praktek-praktek yang dilakukan oleh dewan dan management eksekutif dengan tujuan memberikan arah strategis, memastikan bahwa tujuan tercapai, memastikan bahwa resiko dikelola secara tepat dan memverifikasi bahwa sumber daya organisasi digunakan secara bertanggung jawab”. Ada
dua
jenis
dimensi
dari
enterprise
governance
comformance
(keseuaian/kepatuhan) dan performance (kinerja) yang perlu diseimbangkan. Untuk lebih jelasnya dapat dilihat pada gambar berikut:
Gambar2.4 Enterprise Governance Framework Sumber : (Bob Sandrino-Arndt,2008)
17
a) Dimensi Conformance (kepatuhan) disebut juga corporate governance meliputi isu penting seperti misalnya struktur tata kelola dan akuntabilitas. Hal ini berfokus pada kepatuhan dan kesesuaian sambil memastikan aspek legal terpenuhi. b) Dimensi kinerja disebut juga bisnis governance meliputi aspek seperti definis strategi dan penciptaan nilai. Fokusnya adalah membantu dewan direksi untuk membuat keputusan strategis dan memahami keinginan organisasi untuk mengambil resiko dan kunci pendorong kinerjanya. Setelah itu Enterprise Governance membuat sebuah kerangka yang umum dipakai dalam tata kelola perusahaan dan fungsi-fungsinya (termasuk IT). Sebagai sebuah bagian yang terintegerasi dari kerangka kerja enterprise governance , tata kelola dari fungsi IT tidak bisa dipisahkan dari fungsi enterprise yang lain (misal : keuangan, akunting, marketing). Oleh karena itu , IT Governace harus merefleksikan prinsip-prinsip tata kelola IT yang lebih luas dengan tetap berfokus pada management dan penggunaan IT dalam mencapai tujuan bersama. 2.7. Framework IT Governance Hasil survei ITGI tentang framework yang sering dijadikan acuan oleh institusi untuk membangun tata kelola IT-nya di antaranya adalah: 1. COBIT 2. IT Infrastructure Library 3. ISO 17799 4. ISO 27000 5. ISO/IEC 38500 6. Australian Standart 8015 Penulis hanya membahas salah satu dari framework tersebut untuk perbandingan dengan framework yang penulis gunakan untuk mengevaluasi layanan IT pada Pusdatin Kemhan, yaitu ISO/IEC 38500. ISO (International Organization for Standardization) dan IEC (International Electrotechnical Commission) membuat sistem khusus untuk melakukan standarisasi berskala internasional. ISO/IEC 38500 ini sendiri pertama kali dibuat oleh Standards Australia (dikenal dengan nama AS8015:2005) dan kemudian diadopsi oleh Joint
18
Technical Committee ISO/IEC JTC 1. Tujuan dari adanya ISO 38500 ini adalah untuk menyediakan sebuah framework dasar bagi pimpinan untuk melakukan evaluasi, pengarahan dan monitoring terhadap pemanfaatan TI dalam organisasi. Kebanyakan organisasi menggunakan TI sebagai tool bisnis yang sangat fundamental dan hanya sedikit dari organisasi tersebut yang bisa bekerja secara efektif tanpa TI. TI juga menjadi faktor yang siginifikan bagi masa depan business plan organisasi. Terkadang, keuntungan dari investasi di bidang TI tidak tercapai sepenuhnya dan bahkan bisa merugikan organisasi secara signifikan. Penyebab adanya kerugian tersebut antara lain: terlalu fokus pada aspek teknis, finansial dan penjadwalan aktivitas TI dibanding memikirkan konteks bisnis penggunaan TI secara keseluruhan. Standar ini menyediakan sebuah framework dalam rangka menciptakan tata kelola Teknologi Informasi yang efektif, untuk membantu mereka yang berada pada level tertinggi dalam organisasi untuk memenuhi dan memahami aspek legal, peraturan dan kewajiban etis berkaitan dengan pemanfaatan TI. Framework tersebut terdiri atas definisi, prinsip dan sebuah model. Standar ini juga telah disesuaikan dengan definisi dari Corporate Governance yang telah dipublikasi dalam bentuk Report of Committee on the Financial Aspects of Corporate Governance (the Cadbury Project) pada tahun 1992. The Cadbury Report juga menyediakan definisi dasar Corporate Governance yang termaktub pada OECD Principles of Corporate Governance pada tahun 1999 (direvisi tahun 2004). Pengguna dari standar ini diharapkan bisa membiasakan diri untuk familiar dengan Cadbury Project dan juga OECD Principles of Corporate Governance.Tata kelola (governance) berbeda dengan manajemen, dan untuk mencegah terjadinya kebingungan di kalangan pengguna, 2 konsep tersebut – tata kelola dan manajemen – didefinisikan dengan jelas dalam standar ini. Standar ini juga diperuntukkan untuk memberikan informasi dan pedoman
bagi
sesiapa
saja
yang
terlibat
dalam
perancangan
dan
pengimplementasian sistem manajemen kebijakan, proses dan struktur yang mendukung tata kelola. 1. Scope Standar ISO/IEC 38500 menyediakan suatu pedoman dasar bagi pimpinan organisasi (termasuk pemilik, pemegang saham, direktur, partner, senior eksekutif
19
dll) untuk memanfaatkan teknologi informasi secara efektif, efisien dan bisa diterima
di
dalam
organisasi
tsb.
Standar ini digunakan pada bagian tata kelola proses manajemen (dan pengambilan keputusan) yang berkaitan erat dengan layanan informasi dan komunikasi yang digunakan oleh organisasi tersebut. Proses ini bisa dikendalikan oleh pihak spesialis TI dari dalam maupun luar organisasi, ataupun oleh unit-unit bisnis yang ada di dalam organisasi. Standar ini juga menyediakan pedoman bagi pihak-pihak yang membantu pimpinan, seperti: a) senior manager b) bagian monitoring sumber daya dalam organisasi c) teknisi atau spesialis bisnis dari eksternal, seperti bagian akuntansi, hukum, spesialis, retail association ataupun bagian profesional. d) vendor perangkat keras, perangkat lunak, komunikasi ataupun produk TI lainnya e) penyedia layanan internal dan eksternal (termasuk konsultan) f) auditor TI
2. Application Standar ini bisa digunakan oleh semua organisasi, termasuk perusahaan publik maupun swasta, pemerintahan ataupun organisasi nirlaba. Standar ini bisa digunakan oleh semua organisasi dengan berbagai macam bentuk mulai dari yang ecek-ecek sampai perusahaan multinasional, tanpa melihat mereka menggunakan TI secara luas ataupun tidak. 3. Objectives Tujuan dari standar ISO 38500 adalah untuk mengimplementasikan pemanfaatan IT yang bersifat efektif, efisien dan mudah digunakan di semua organisasi dengan cara: a) meyakinkan pihak stakeholder (seperti konsumen, pemegang saham dan karyawan) bahwa dengan mengikuti standar ini mereka akan memiliki rasa percaya diri dalam melakukan tata kelola TI dalam organisasi.
20
b) memberikan informasi dan pedoman bagi pimpinan dalam mengatur pemanfaatan TI dalam organisasinya. c) menyediakan landasan untuk melakukan evaluasi obyektif terhadap tata kelola TI.
2.8. ITIL ITIL (Information Technology Infrastructure Library) adalah kerangka kerja umum yang menggambarkan best practice untuk IT Service Management (ITSM). ITIL menyediakan panduan bagi penyedia layanan (Service Provider) dalam mendukung penyediaan kualitas layanan TI dan proses, fungsi serta kapabilitas lainnya yang di perlukan. ITIL telah digunakan oleh ratusan organisasi di seluruh dunia dan menawarkan panduan best practice yang berlaku umum untuk semua organisasi yang menyediakan layanan. ITIL bukanlah suatu standar yang harus diikuti, melaikan panduan yang harus dibaca dan dipatuhi serta digunakan untuk menciptakan nilai bagi penyedia layanan dan juga pelanggannya (Cabinet Office, 2011). ITIL juga menyediakan “wrapping” layanan dan fokus pada pengukuran dan perbaikan secara terus menerus terhadap kualitas layanan TI yang diberikan, baik dari perspektif bisnis maupun perspektif pelanggan (Cartlidge, Hanna, Rudd, Ivor, & Stuart, 2007). Manfaat penerapan ITIL untuk organisasi anatara lain : 1. Meningkatkan kepuasan pengguna dan pelanggan terhadap layanan TI; 2. Meningkatkan ketersediaan layanan (service availability) yang secara langsung berdampak pada meningkatnya keuntungan dan pendapatan bisnis; 3. Penghematan keuangan dari berkurangnya pekerjaan berulang (rework), kehilangan waktu, serta peningkatan manajemen dan penggunaan sumber daya; 4. Mempercepat waktu peluncuran produk dan layanan baru ke pasar; 5. Pengambilan keputusan yang lebih baik dan mengurangi risiko.
ITIL dikeluarkan antara tahun 1989 dan 1995 oleh HMSO (Her Majesty’s Stationery
Office)
di
Inggris
atas
nama
Badan
Pusat
Komunikasi
21
danTelekomunikasi (Central Commnunication and Telecommunication Agency, CCTA) yang kemudian dimasukkan dalam Kantor Pemerintah Perdagangan (Office of Governance Commerce, OGC). Sejak tahun 2010 OGC telah menjadi bagian dari Efficiency and Reform Group (ERG) dalam Cabinet Office Pemerintahan Inggris. Awalnya ITIL hanya digunakan secara terbatas di Inggris Raya dan Belanda. Versi awal ITIL terdiri dari 31 buku yang mencakup seluruh aspek penyediaan layanan TI. Versi awal ITIL kemudian direvisi menjadi ITIL V2 yang terdiri dari tujuh buku yang lebih erat hubungannya dan lebih konsisten. ITIL V2 dipublikasikan antara tahun 2000 dan 2004 sebagai suatu kumpulan buku revisi yang dikonsolidasi dalam suatu kerangka kerja menyeuruh. Tahun 2007, ITIL V2 digantikan menjadi ITIL V3 yang terdiri dari lima buku utama yang mencakup service lifecycle dan satu buku Official Introduction. Pada tahun 2011, ITIL V3 diperbaiki dan disempurnakan lagi menjadi ITIL V3 2011. Perbaikan ini bukan merupakan versi baru ITIL, melainkan hanya perbaikan beberapa nama proses dan definisi proses. ITIL V3 2011 mendefinisikan proses dan fungsi secara eksplisit dibandingkan ITIL V3 2007 (Platform, Assessment, Platform, & Assessment,
2014).
Kerangka
kerja
ITIL
menyediakan
struktur
yang
menerangkan layanan TI dalam bentuk siklus hidup (lifecycle). Pembuatan struktur dalam bentuk lifecycle ini untuk mempermudah pemahamaan tahapan proses dan fungsi TI yang ada dalam ITIL.
2.8.1. ITIL V3 2011 Service Lifecycle ITIL V3 2011 membagi layanan dalam lima service lifecycle yakni Service Strategy, Service Design, Service Transition, Service Operation dan Continual Service Improvement. Kelima tahapan service lifecycle tersebut, seperti terlihat pada Gambar 2.2 menggunakan desain „hub-and-spoke’ dimana Service Strategy sebagai „hub
dan Service Design, Service Transition dan Service Operation
sebagai tahapan Service Lifecycle yang terus bergulir atau „spokes’. Sementara Continual Service Improvement mengelilingi dan mendukung semua tahapan service lifecycle(Cabinet Office, 2011).
22
Gambar 2.5 ITIL V3 Service Lifecycle Sumber : (Cabinet Office, 2011) Berikut penjelasan dari lima silo Service Lifecycle, yaitu Service Strategy, Service Design, Service Trasition, Service Operation, dan Continual Service Improvement. Siapa saja yang berperan dalam silo tersebut (people), langkah apa saja yang dilakukan untuk mewujudkan tujuan (process) dan apa yang dihasilkan dari proses tersebut (product).
Service Strategy Strategi layanan berkaitan dengan analisis strategis, perencanaan, posisi, dan implementasi berkaitan dengan layanan model TI, strategi, dan tujuan. Hal ini memberikan pedoman dalam meningkatkan kemampuan manajemen layanan yang secara efektif memberikan nilai kepada pelanggan dan memberikan gambaran nilai bagi penyedia layanan. Orang-orang berikut, proses-proses dan produk yang digabungkan untuk membuat unit operasi fungsional TI.
a) People 1. Manajer Layanan Definisi 2. Manajer Layanan Riset 3. Manajer Analisis Keuangan 4. Manajer Layanan Marketing
23
5. Manajer Layanan Forecast b) Process 1. Manajemen Portofolio 2. Manajemen Keuangan 3. Manajemen Permintaan c) Product 1. Layanan Permintaan dan Alat Perencanaan 2. Layanan Pengetahuan dan Alat Manajemen Konfigurasi
Service Design Layanan Desain menerjemahkan rencana strategis dan tujuan juga menciptakan desain dan spesifikasi untuk dieksekusi melalui transisi layanan dan operasi. a) People 1. Manajer Teknik Keamanan 2. Manajer Teknik Desktop 3. Manajer Teknik Jaringan 4. Manajer Teknik Sistem, Server dan Penyimpanan 5. Manajer Teknik Aplikasi b) Process 1. Manajemen Layanan Katalog 2. Service Level Management 3. Manajemen Kapasitas 4. Manajemen Kontinuitas 5. Manajemen Keamanan Informasi 6. Manajemen Pemasok c) Product 1. Alat Layanan Katalog 2. Alat Manajemen Tingkat Layanan 3. Alat Kapasitas Perencanaan 4. Alat Layanan Pemodelan 5. Layanan Pengetahuan dan Alat Manajemen Konfigurasi.
24
Service Transition Layanan Transisi memberikan panduan pada desain layanan dan implementasi, memastikan bahwa layanan memberikan strategi yang diinginkan dan dapat dioperasikan dan dipelihara secara efektif. a) People 1. Manajer Aset Keamanan 2. Manajer Aset Desktop 3. Manajer Aset Jaringan 4. Manajer Aset Sistem, Server dan Penyimpanan 5. Manajer Aset Aplikasi. b) Process 1. Manajemen Transisi dan Dukungan 2. Manajemen Perubahan 3. Aset dan Manajemen Konfigurasi 4. Manajemen Validasi 5. Manajemen Evaluasi 6. Manajemen Pengetahuan. c) Product 1. Alat Manajemen Aset 2. Alat Penyedia Layanan 3. Alat Penggerak Otomasi Pencatat Tugas 4. Layanan Pengetahuan dan Alat Manajemen Konfigurasi
Service Operation Layanan Operasi memberikan panduan tentang pengelolaan layanan dari hari ke hari. Hal ini juga memberikan panduan untuk mendukung operasi melalui model baru dan arsitektur, seperti layanan bersama, komputasi utilitas, layanan web, dan mobile commerce. a) People 1. Manajer Operasi Keamanan 2. Manajer Operasional Desktop 3. Manajer Operasi Jaringan
25
4. Manajer Operasi Sistem, Server dan Penyimpanan 5. Manajer Opersional Aplikasi b) Process 1. Manajemen Kejadian 2. Manajemen Insiden 3. Manajemen Masalah 4. Manajemen Pemenuhan 5. Manajemen Akses 6. Manajemen Fungsi Bagian Layanan 7. Manajemen Fungsi Operasi Layanan 8. Manajemen Fungsi Operasi Teknis 9. Manajemen Fungsi Operasi Aplikasi c) Product 1. Bagian Layanan dengan Alat Manajemen Insiden 2. Alat Manajemen Masalah 3. Alat Manajemen Kejadian 4. Alat Penggerak Otomasi Pencatat Pemecahaan Masalah Teknologi 5. Alat Penggerak Otomasi Pencatat Pemecahaan Masalah Aplikasi 6. Layanan Pengetahuan dan Alat Manajemen Konfigurasi
Continual Service Improvement Peningkatan
Layanan
Terus-menerus
memberikan
pedoman
pengukuran kinerja pelayanan melalui service life cycle, menunjukan perbaikan dalam kualitas layanan, efisiensi operasional dan kelangsungan bisnis. 1. People 1. Manajer Pengukuran Layanan 2. Manajer Pengukuran Kualitas 3. Manajer Pengukuran Kepatuhan 4. Manajer Pengukuran Keamanan 5. Manajer Pengukuran Sumber Daya 2. Process
26
1. IT Governance Management (menggunakan COBIT best practices) 2. IT Resource Management (menggunakan metode PMI) 3. IT Quality Management (menggunakan metode Six Sigma) 4. IT Security Management (menggunakan standar ISO) 3. Product 1. Manajemen Kepatuhan dan Alat Pengukuran 2. Layanan
Pengetahuan
dan
Alat
Manajemen
KonfigurasiMemanfaatkan lima domain TI sebagai silo tujuan, bahwa perusahaan bisa cepat unggul dalam operasional TI yang bagus dengan membangun tiga kemampuan dalam bisnis / keselarasan model TI.
2.8.2. ITIL Service Strategy Daur hidup ini digambarkan terletak ditengah Service Lifecycle dan fokus dalam memastikan bahwa strategi yang dibuat terdefinisi, terpelihara, dan terimplementasi. Fokus ini memungkinkan pembuatan keputusan praktis berdasarkan pengertian yang jelas pada layanan yang ditawarkan, dengan tujuan utama meningkatkan kehidupan ekonomis dari semua layanan. Sehingga Service Strategy bertujuan untuk memastikan unit-unit perusahaan sebagai pendukung bisnis dalam sebuah posisi untuk menangani biaya dan risiko yang terkait dengan portofolio layanan mereka dan mereka siap untuk menjalankan perbaikan. Untuk mencapai tujuan itu maka terdapat prosesproses utama yang harus dipenuhi dalam ITIL. Proses-proses tersebut adalah: 3.1. Strategy Management for IT Services 3.2. Service Portofolio Management 3.3. Financial Management for IT Services 3.4. Demand Management 3.5. Business Relationship Management
27
2.8.3. ITIL Service Design Service Design dalam service lifecycle adalah untuk membantu organisasi dalam merancang suatu layanan TI agar dapat efektif sehingga diharapkan kelak nantinya hanya ada sedikit perbaikan yang harus dilakukan selama
siklus
hidup
berlangsung.
Namun
demikian
perbaikan
berkesinambungan harus tetap menjadi bagian tak terpisahkan dalam semua aktifitas Service Design untuk memastikan bahwa solusi dan desain menjadi lebih efektif dari waktu ke waktu serta mampu mengidentifikasi tren perubahan bisnis yang menawarkan peluang perbaikan. Service Design menyediakan panduan untuk desain layanan TI yang tepat dan inovatif sehingga dapat memenuhi bisnis saat ini dan masa yang akan datang. Pada tahapan Service Design dimulai dari persiapan kebutuhan bisnis baru atau perubahan kebutuhan bisnis dan diakhiri oleh pengembangan solusi layanan. Daur hidup ini berfungsi untuk mendesain layanan TI yang baru. Cakupan dari daur hidup ini adalah selain mendesain layanan baru, juga mengubah dan memperbaiki layanan yang sudah ada. Proses desain yang dilakukan meliputi arsitektur, proses, kebijakan dan dokumentasi untuk memenuhi kebutuhan bisnis saat ini dan yang akan datang, sesuai dengan persetujuan bersama. Proses-proses utama yang ada di dalam daur hidup ini adalah sebagai berikut: 1. Design Coordination 2. Service Catalogue Management 3. Service Level Management 4. Availability Management 5. Capacity Management 6. IT Service Continuity Management 7. Information Security Management 8. Supplier Management
2.8.4. ITIL Service Transistion Daur hidup ini berfungsi untuk memberikan layanan yang dibutuhkan oleh bisnis ke dalam fungsi operasional. Hal ini dicapai dengan menerima
28
Service Design Package dari tahapan Service Design dan memberikannya padatahapan Operational. Ketika keadaan, asumsi, atau kebutuhan bisnis berubah sejak tahap desain, maka perubahan perlu dilakukan di tahapan ini agar layanan yang dibutuhkan tetap bisa disampaikan. Proses-proses utama yang ada di dalam daur hidup ini adalah sebagai berikut: 1. Transition Planning and Support 2. Change Management 3. Service Asset and Configuration Management 4. Release and Deployment Management 5. Service Validation and Testing 6. Change Evaluation 7. Knowledge Management
2.8.5. ITIL Service Operation Daur hidup ini bertujuan untuk memberikan layanan pada tingkatan yang disetujui kepada pengguna dan pelanggan. Ia juga berfungsi untuk mengelola aplikasi, teknologi, dan infrastruktur yang mendukung penyampaian layanan. Hanya dalam tahapan inilah layanan dapat memberikan nilai yang sebenarnya kepada bisnis dan menjadi tanggung jawab staf pada tahapan ini agar hal ini tercapai. Proses-proses utama yang ada di dalam daur hidup ini adalah sebagai berikut: 1. Event Management 2. Incident Management 3. Request Fulfilment 4. Problem Management 5. Access Management
2.8.6. ITIL Continual Service Improvement Daur hidup ini berhubungan dengan pengelolaan nilai untuk pelanggan melalui evaluasi dan perbaikan yang terus-menerus terhadap kualitas layanan dan kematangan keseluruhan dari daur hidup layanan ITSM dan semua proses di
29
bawahnya. Ia menggabungkan prinsip, praktek, dan metode dari manajemen kualitas, prosesChange Management, dan perbaikan kapabilitas. Dimanamereka bekerja bersama-sama memperbaiki setiap tahapan dalam daur hidup layanan, beserta layanan, proses, aktifitas, dan teknologi yang terkait saat ini.
2.9. COBIT 5 IT Governance Institute pada tahun 2012 mengeluarkan kerangka kerja tata kelola TI yaitu COBIT 5. Kerangka Kerja TI COBIT 5 menyediakan kerangka kerja yang komprehensif yang membantu perusahaan dalam mencapai tujuan mereka terkait dengan tata kelola dan pengelolaan perusahaan IT. 2.9.1. Penjelasan COBIT 5 Secara sederhana COBIT 5 dapat membantu perusahaan dalam menciptakan nilai yang optimal dari TI dengan mempertahankan keseimbangan antara manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT 5 memungkinkan TI untuk dapat dikelola secara holistik untuk seluruh perusahaan dan mendukung bisnis dari awal sampai akhir. COBIT 5 adalah kerangka kerja yang bersifat generik dan berguna untuk perusahaan dari semua ukuran, baik komersial atau perusahaan yang bergerak di sektor publik (ITGI, 2011). COBIT 5 memiliki 5 Prinsip dasar untuk tata kelola dan manajemen TI dari perusahaan. 5 prinsip tersebut adalah (ITGI, 2011):
30
Gambar 2.6 Lima Prinsip COBIT 5 Sumber : COBIT Steering Commite and the ITGI, 2011, p.13
Prinsip 1 : Memenuhi Kebutuhan Pemangku Kepentingan (Stakeholders Needs). Perusahaan terbentuk untuk membuat nilai bagi pemangku kepentingan dengan cara mengelola sebuah keseimbangan antara manfaat dan optimisasi risiko serta penggunaan sumber daya. Setiap perusahaan memiliki tujuan yang berbeda, untuk menanggulangi itu kerangka kerja COBIT 5 dapat disesuaikan dengan keadaan pada perusahaan. Prinsip 2 : Mendukung Perusahaan dari Ujung ke Ujung (Covering the Enterprise End to end) COBIT 5 mengintegrasikan tata kelola TI pada perusahaan ke dalam tata kelola perusahaan serta mendukung semua fungsi dan proses yang terdapat didalam perusahaan. COBIT 5 tidak hanya berfokus pada fungsi TI, tetapi membuat semua informasi yang berhubungan dengan teknologi sebagai sebuah aset perusahaan. Prinsip 3 : Menerapkan Kerangka Kerja yang Terintegrasi (Applying a Single, Integration Framework) Banyak keterkaitan standar TI dan best practices yang masing-masing memberikan bimbingan pada subset dari aktivitas TI. COBIT 5 sejalan dengan standar lain yang relevan dan kerangka kerja pada level yang lebih tinggi, sehingga dapat berfungsi sebagai kerangka kerja yang menyeluruh untuk tata kelola dan manajemen perusahaan TI.
31
Prinsip 4 : Mengaktifkan Pendekatan Holistik (Enabling a Holistic Approach) Tata kelola dan manajemen yang efektif dan efisien dari TI pada perusahaan membutuhkan sebuah pendekatan holistik. COBIT 5 mendefinisikan satu set enabler untuk mendukung pelaksanaan tata kelola yang komprehensif dan sistem manajemen untuk TI pada perusahaan. Enabler didefinisikan secara luas sebagai sesuatu yang dapat membantu untuk mencapai tujuan perusahaan.COBIT 5 mendefinisikan 7 kategori enabler, adalah sebagai berikut : 1. Prinsip, Peraturan dan Kerangka Kerja 2. Proses 3. Struktur Organisasi 4. Budaya, Etika, dan Perilaku 5. Informasi 6. Layanan, Infrastruktur dan Aplikasi 7. Sumber Daya Manusia, Kemampuan dan Kompetensi Prinsip 5 : Memisahkan Tata Kelola dari Manajemen (Separating From Management) Kerangka kerja COBIT 5 menjelaskan perbedaan antara tata kelola dan manajemen. Kedua disiplin ini mencakup berbagai jenis kegiatan, struktur organisasi serta melayani dengan tujuan yang berbeda. Perbedaan utama antara tata kelola dan manajemen pada COBIT 5 adalah:
1. Tata Kelola (Governance) Tata kelola memastikan kebutuhan pemangku kepentingan, kondisi dan pilihan telah dievaluasi untuk menentukan keseimbangan, tujuan perusahaan yang akan dicapai, mengatur arah melalui prioritas dan membuat keputusan serta memonitor prestasi dan pemenuhannya cocok dengan arah dan tujuan perusahaan.
2. Manajemen Manajemen
merencanakan,
membangun,
menjalankan
dan
memonitor aktivitas dalam keselarasan antara arah yang telah ditentukan
32
oleh tata kelola untuk mencapai tujuan perusahaan. Penggunaan COBIT 5 memiliki beberapa manfaat bagi perusahaan yang menggunakannya, diantaranya adalah (ITGI, 2011): 1. Dapat meningkatkan penciptaan nilai melalui teknologi informasi pada perusahaan. 2. Meningkatkan kepuasan pengguna bisnis dengan layanan TI, TI dinilai sebagai kunci enabler bagi bisnis. 3. Meningkatkan pemenuhan bisnis dengan hukum yang relevan, regulasi dan peraturan pada perusahaan. 4. Fungsi TI menjadi lebih fokus kepada bisnis 5. Meningkatkan kontribusi dari pengguna COBIT 5 kepada perusahaan. 2.9.2. Area Domain dan Proses COBIT 5 COBIT 5 memiliki 2 area aktivitas utama, 6 domain, 37 proses, 210 prosess practice dan 1112 aktivitas. Gambar area domain dan proses-proses tata kelola dan manajemen TI organisasi pada COBIT 5 terlihat pada Gambar 2.7.
Gambar 2.7 Area Domain dan Area Proses COBIT 5 Sumber : (Isaca, 2013)
33
Dua aktivitas utama yakni area Governance dan Management. Area Governance memiliki satu domain yakni EDM (Evaluate, Direct, Monitor) dengan 5 (lima) proses. Setiap proses memiliki beberapa proses process practice atau governance practice. Sedangkan area management (PBRM) terdiri dari 4 (empat) domain yakni APO (Align,Plan and Organise), BAI (Build, Acqure and Implement), DSS (Deliver, Service and Support) dan MEA (Monitor,Evaluate and Assess) dengan total 32 proses. Setiap proses memilikibeberapa practice atau management process. Berikut 37 proses yan ada pada COBIT 5 : 1. Domain EDM (Evaluate, Direct, Monitor), terdiri dari 5 (lima) proses; 2. Domain APO (Align, Plan and Organise), terdiri dari 13 (tiga belas) Proses; 3. Domain BAI (Build, Acquire and Implement), terdiri dari 10 (sepuluh) proses; 4. Domain DSS (Delivery, Service and Support), terdiri dari 6 (enam) proses; 5. Domain MEA (Monitor, Evaluate and Assess), terdiri dari 3 (tiga) proses. A. Evaluate, Direct dan Monitor (EDM) Kegiatan tata kelola ini memastikan bahwa tujuan perusahaan tercapai dengan mengevaluasi kebutuhan, kondisi, dan pilihan dari para stakholder; menentukan arah melalui prioritasi dan pembuatan keputusan; dan pengawasan performa, pemenuhan, dan kemajuan terhadap tujuan dan arah yang telah disetujui. Di bawah ini adalah daftar proses-proses yang ada dalam domain EDM: 1. EDM01: Ensure Governance Framework Setting and Maintenance 2. EDM02: Ensure Benefits Delivery 3. EDM03: Ensure Risk Optimisation 4. EDM04: Ensure Resource Optimisation 5. EDM05: Ensure Stakeholder Transparency
B. Align, Plan dan Organise (APO) Domain ini mencakup penggunaan TI dan bagaimana ia bisa digunakan sebaik-baiknya dalam perusahaan untuk mencapai tujuan perusahaan. Ia juga menyoroti infrastruktur dan organisasi TI dalam
34
mencapai tujuan dan manfaat yang optimal dari penggunaan TI. Prosesproses yang ada dalam domain ini adalah: 1. APO01: Manage the IT Management Framework 2. APO02: Manage Strategy 3. APO03: Manage Entreprise Architecture 4. APO04: Manage Innovation 5. APO05: Manage Portfolio 6. APO06: Manage Budget and Costs 7. APO07: Manage Human Relations 8. APO08: Manage Relationships 9. APO09: Manage Service Agreements 10. APO10: Manage Suppliers 11. APO11: Manage Quality 12. APO12: Manage Risk 13. APO13: Manage Security C. Build, Acquire dan Implement (BAI) Domain
ini
mencakup
proses
identifikasi
kebutuhan
TI,
memperoleh teknologi tersebut, dan mengimplementasikannya ke dalam proses bisnis perusahaan. Berikut adalah semua proses untuk domain BAI: 1. BAI01: Manage Programs and Projects 2. BAI02: Manage Requirements Definition 3. BAI03: Manage Solutions Identification and Build 4. BAI04: Manage Availability and Capacity 5. BAI05: Manage Organisational Change Enablement 6. BAI06: Manage Changes 7. BAI07: Manage Changes Acceptance and Transitioning 8. BAI08: Manage Knowledge 9. BAI09: Manage Assets 10. BAI10: Manage Configuration
D. Deliver, Service dan Support (DSS)
35
Domain ini berfokus pada aspek penyampaian TI. Ia mencakup area seperti eksekusi aplikasi dalam sistem TI dan hasilnya. Ia juga mendukung proses-proses yang memungkinkan eksekusi yang efektif dan efisien pada sistem TI tersebut. Proses-proses pada domain DSS adalah: 1. DSS01: Manage Operations 2. DSS02: Manage Service Requests and Incidents 3. DSS03: Manage Problems 4. DSS04: Manage Continuity 5. DSS05: Manage Security Services 6. DSS06: Manage Business Process Controls
E. Monitor, Evaluate dan Assess (MEA) Domain ini menangani strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah sistem TI sekarang masih dapat memenuhinya. Domain Monitoring juga mencakup isu terhadap penilaian independen pada keefektifan sistem TI dalam kemampuannya memenuhi tujuan bisnis dan proses kontrol perusahaan oleh auditor internal maupun eksternal. Proses-proses berikut merupakan bagian dari domain MEA: 1. MEA01:
Monitor,
Evaluate
and
Assess
Performance
and
Conformance 2. MEA02: Monitor, Evaluate and Asses the System of Internal Control 3. MEA03: Evaluate and Assess Compliance with External Requirements
2.9.3. Model Kematangan Proses (Process Capability Model) Model kematangan proses adalah suatu pemodelan dalam COBIT 5 yang digunakan untuk mengetahui tingkat kematangan proses TI dalam perusahaan. Model kematangan proses dapat digunakan untuk menilai kondisi saat ini (as-is) dari proses-proses TI pada suatu perusahaan dan juga dapat digunakan untuk mengetahui keadaan yang diinginkan (to-be) yang kemudian bisa dikalkulasi kesenjangan (gap) yang ada pada dua keadaan tersebut. Hingga akhirnya bisa
36
dilakukan perbaikan dari kesenjangan yang ada. Model kematangan proses ini bisa digambarkan seperti pada Gambar 2.5.
Gambar 2.8 Model Kematangan Proses COBIT 5 Sumber: (Isaca, 2013) Terlihat bahwa adanya 6 tingkatan kematangan pada COBIT 5. Di dalamnya juga terdapat tingkat 0 yang berarti praktek-praktek yang dilakukan tidak memenuhi tujuan dari proses tersebut. Tingkatan-tingkatan tersebut adalah: 1. Level 0: Incomplete Process Pada tingkatan ini, proses tidak diimplementasikan atau gagal dalam pencapaian tujuan proses tersebut. Di tingkatan ini, terdapat sedikit bahkan tidak ada bukti akan pencapaian yang sistematis dari tujuan proses. 2. Level 1: Performed Process Pada tingkatan ini, proses yang diimplementasikan mencapai tujuannya. 3. Level 2: Managed Process Pada tingkatan ini, proses yang dijalankan telah diimplementasikan dalam sebuah manajemen yang baik (terencana, diawasi, dan sesuai). Dimana keluarannya (work product) telah mapan, terkontrol, dan terpelihara.
37
4. Level 3: Establised Process Pada tingkatan ini, proses yang dikelola sebelumnya telah dijalankan menggunakan proses yang terdefinisikan sehingga mampu mencapai manfaat dari proses tersebut. 5. Level 4: Predictable Process Pada tingkatan ini, proses yang didefinisikan saat ini dioperasikan pada batasan yang telah ditentukan untuk mendapatkan manfaat yang diinginkan. 6. Level 5: Optimising Process Pada tingkatan ini, proses yang diprediksikan sebelumnya telah diperbaiki secara terus-menerus untuk memenuhi tujuan bisnis yang telah ditentukan dan relevan. Setiap tingkatan diatas hanya bisa dicapai jika telah mencapai tingkatan dibawahnya secara keseluruhan. Contohnya, tingkat kapabilitas tiga hanya bisa dicapai jika perusahaan telah memenuhi semua proses yang ada pada tingkat dua dan satu. Sehingga bisa disimpulkan bahwa tingkat atas mencakup semua proses yang ada pada tingkat dibawahnya. Untuk mengetahui tingkat kematangan proses-proses TI pada perusahaan maka diadakan perhitungan menggunakan skala berdasarkan standar ISO/IEC 15504. Skala tersebut terdiri dari berikut: a. N (Not Achieved). Skala ini berarti bahwa sedikit bahkan tidak ada bukti dari pencapaian dari atribut yang didefinisikan dalam proses yang dinilai. Skala ini mempunyai pencapaian sebesar 0% hingga 15%. b. P (Partially Achieved). Pada skala ini terdapat usaha atau pencapaian dari atribut yang didefinisikan dari proses yang dinilai. Namun beberapa aspek dari pencapaian atribut tidak bisa diprediksikan. Skala ini mempunyai pencapaian sebesar 15% hingga 50%. c. L (Largely Achieved). Pada skala ini terdapat bukti akan usaha sistematis dan pencapaian signifikan dari atribut yang didefinisikan dari proses yang dinilai.Beberapa kelemahan pada atribut dari proses yang
38
dinilai bisa terlihat disini. Skala ini mempunyai pencapaian sebesar 50% hingga 85%. d. F (Fully Achieved). Pada skala ini terdapat bukti akan usaha yang komplit dan sistematis, juga pencapaian penuh terhadap atribut dari yang proses yang dinilai. Tidak terlihat kelemahan yang signifikan pada atribut dari proses yang dinilai disini. Skala ini mempunyai pencapaian sebesar 85% hingga 100%. Dari penilaian diatas maka bisa terlihat kondisi saat ini (as-is) dari perusahaan. Sehingga bisa dilakukan penilaian kesenjangan (gap analysis) atas perbedaan saat ini dengan kondisi yang diinginkan (to-be). Penilaian kesenjangan inilah yang nantinya berupa perbaikan-perbaikan terhadap proses-proses TI di perusahaan.
2.9.4. Siklus Implementasi (Implementation Lifecycle) Menurut (Isaca, 2013), penerapan pendekatan implementation lifecycle merupakan suatu metode yang disediakan bagi organisasi untuk mengatasi kompleksitas dan tantangan tertentu yang dihadapi dalam menerapkan tata kelola TI organisasi. Pada siklus tersebut ada tiga komponen yang saling berkaitan. Inti siklus tata kelola TI organisasi adalah bagaimana perubahan bisa dilakukan dengan mengacu pada aspek perilaku dan budaya yang diperlukan dalam implementasi atau perbaikan serta pengelolaan program. Gambar tujuh tahap siklus implementasi di bawah ini menunjukkan bahwa proses penerapan tata kelola TI organisasi bukan merupakan kegiatan yang cukup dilakukan sekali. Tata kelola TI organisasi merupakan proses penerapan dan perbaikan yang terus berlanjut dan menjadi bagian dari proses bisnis organisasi meskipun masaprogramnya telah berakhir.
39
Gambar 2.9 Tujuh Tahap Siklus Implementasi Sumber : (Isaca, 2013)
Siklus penerapan tata kelola TI organisasi memiliki tujuh tahap sebagai berikut: a. Tahap 1: What Are the Drivers? Tahap ini mengidentifikasi kondisi-kondisi tertentu yang menjadi penggerak diperlukannya perubahan saat ini dan menciptakan keinginan bagi executive management untuk berubah. Kondisi penggerak perubahan tersebut bisa berasal dari kejadian, kondisi atau isu-isu baik internal maupun eksternal yang menjadi pendorong bagi perubahan. b. Tahap 2: Where Are We Now? Tahap ini menyelaraskan sasaran yang terkait TI dengan strategi dan risikoorganisasi, serta menentukan prioritas tujuan organisasi, tujan dan proses-prosesterkait TI yang paling penting. COBIT 5 menyediakan pemetaan tujuan organisasiterhadap tujuan-tujuan yang berkaitan dengan TI dan proses-proses TI untukmembantu dalam melakukan pemilihan. Selanjutnya, tujuan organisasi dan TItersebut diidentifikasi proses-proses
40
pentingnya kemudian diukur tingkatkapabilitasnya untuk mengetahui bagian-bagian yang belum ada atau harusditingkatkan. Tingkat kapabilitas tersebut diperoleh melalui mekanisme penilaiankapabilitas proses.
c. Tahap 3: Where Do We Want To Be? Tahap 3 ini menetapkan target untuk perbaikan yang diikuti dengan gap analysisuntuk mengidentifikasi potensi solusi. Solusi tersebut bisa berupa quick winmaupun solusi jangka panjang. Oleh karena itu penentuan prioritas harusdilakukan untuk menentukan proyek-proyek yang mudah dicapai dan memberikanmanfaat yang terbesar. Sedangkan kegiatan yang sifatnya jangka panjang harusdipecah menjadi bagian-bagian yang lebih mudah dikelola.
d. Tahap 4: What Needs To Be Done? Pada tahap 4 ini dilakukan perencanaan yang memungkinkan dan solusisolusipraktis dengan mendefinisikan proyek-proyek yang didukung dengan businesscase yang telah dijustifikasi dan mengembangkan rencana perubahan untukimplementasi. Suatu business case yang dikembangkan dengan baik akanmembantu memastikan manfaat proyek terindentifikasi dan termonitor secaraterus menerus. e. Tahap 5: How Do We Get There? Tahap 5 ini merinci solusi-solusi yang telah diusulkan untuk diimplementasikanmenjadi penerapan yang harus dilakukan sehari-hari. Selain itu pada tahap inidilakukan penyusunan ukuran dan sistem pemantauan untuk memastikankeselarasan strategi organisasi tercapai dan kinerja dapat diukur. Keberhasilannyamemerlukan komitmen, kesadaran, komunikasi, dan pemahaman top managementserta rasa memiliki dari pengelola bisnis dan TI. f. Tahap 6: Did We Get There? Tahap 6 ini fokus pada transisi berkelanjutan dari penerapan tata kelola danmanajemen
menjadi
operasional
organisasi
dan
pemantauan
41
pencapaian perbaikanmenggunakan pengukuran terhadap kinerja dan manfaat yang diharapkan.
g. Tahap 7: How Do We Keep the Momentum Going? Pada tahap ini dilakukan peninjauan ulang terhadap keberhasilan keseluruhaninisiatif,
mengidentifikasi
kebutuhan
tata
kelola
atau
manajemen selanjutnya sertamengusahakan kembali kebutuhan perbaikan yang terus menerus.
2.10.
Perbandingan Cobit 5 dan ITIL V3 2011
Untuk menentukan penggunaan kerangka kerja dan panduan pada penelitian ini, maka dilakukan perbandingan antara kerangka kerja COBIT 5 dan ITIL V3 2011. Hasil perbandingan tersebut dapat dilihat pada Tabel ... berikut ini: Tabel 2. 1. Perbandingan COBIT 5 dan ITIL V3 2011 No
Faktor Pembanding
Cobit 5
1 2 3 4 5 6 7 8 9 10 11 12
Struktur dan peran Proses Mekanisme Governance proses Management proses Ketersediaan panduan implementasi Ketersediaan aktifitas setiap proses Ketersediaan metode dan teknik tiap proses Ukuran kerja / indikator keberhasilan Pertimbangan pengunaan teknologi Model dan panduan untuk assesment Pemetaan Permasalahan dengan proses-proses terkait
Ya Ya Ya Ya Ya Ya Ya Tidak Ya Tidak Ya ya
ITIL V3 2011 Ya Ya Ya Tidak Ya Ya Ya Ya Tidak Ya Tidak Tidak
Dari Tabel 2.1 perbandingan di atas, terlihat bahwa masing-masing kerangka kerja dan panduan memiliki kelebihan dan kekurangan masing-masing. Berdasarkan perbandingan tersebut, perancangan tata kelola TI pada penelitian ini akan dilakukan dengan menggunakan kerangka kerja COBIT 5 dan ITIL V3 2011. COBIT 5 digunakan untuk memetakan permasalahan dengan proses-proses terkait,
memperoleh
proses-proses
yang
berkaitan
dengan
tata
kelola
(governance), serta melakukan assessment untuk menilai kondisi implementasi saat ini. Di samping COBIT 5, ITIL V3 2011 juga akan digunakan untuk
42
mendaapatkan pannduan yang rinci terkaait proses-prroses yang akan diperrbaiki termassuk metode, teknik, dan penggunaann teknologi.
2.11.
Hubungan n Kerangka a Kerja COB BIT 5 dengaan ITIL V3 2011 Hubungan antara kerangka kerjaa COBIT 5 dan ITIL V3 2011 saling
melengkapi satu sama lain, IT T Governancce Institute (IITGI) selakuu organisasi yang mengeeluarkan stanndar untuk COBIT C 5m membuat sebuuah pemetaaan antara CO OBIT 5 dan ITIL V3 20011. Keterhu ubungan CO OBIT 5 denggan kerangkka kerja ITIL L V3 2011 dapat d dijelasskan pada Gaambar 2.10.
Gambar 2.10Hubunga 2 an antara Keerangka Kerjja ITIL V3 22011 dan CO OBIT 5 Sumber : COBIT Steeering Comm mittee and th he ITIGI, 20012, p.61.
men strategii dan Contiinual Selain itu,, COBIT 5 mengarahkkan manajem Servicce Improvement (CSI), daalam hal sebbagai berikutt : (Cabinet Office, O 20111). 1. Model kem matangan dalam COBIT 5 dapat diggunakan untuuk benchmarrking dan mendo orong perubaahan. d sejalann dengan tujjuan bisnis terhadap TII dan 2. Tujuan dann metriks dapat digunakan untuk memb buat dashbooard manajem men TI. main Monito or, Evaluatee and Acquiire (MEA) dalam COB BIT 5 3. Proses dom mendefinissikan prosess yang dibuttuhkan untuk k menilai kinerja TI, koontrol TI dan kep patuhan terhaadap peraturran.
43
Ketika COBIT 5 dibandingkan dengan ITIL V3 2011 maka ditemukan fakta bahwa kedua kerangka kerja tersebut saling berkorespondensi satu sama lain. COBIT 5 berfokus pada apa (what) yang harus dilakukan oleh organisasi untuk memastikan tata kelola yang baik dari semua proses TI yang terkait, termasuk proses pengelolaan pelayanan informasi. COBIT 5 memberikan bimbingan, struktur dan tools untuk mencapai tingkatan yang diinginkan sehingga kinerja dari setiap proses-proses TI dapat memenuhi kebutuhan organisasi. Sedangkan ITIL menyediakan praktik terbaik yang dapat menjelaskan bagaimana (how) merencanakan, merancang dan mengimplementasikan kemampuan pengelolaan layanan secara efektif. Sehingga secara singkat dapat dikatakan bahwa COBIT 5 membantu mengarahkan apa (what) yang harus dikerjakan, dan ITIL memberikan panduan bagaimana (how) untuk mencapai peningkatan yang didukung oleh control objectives dan praktek dari COBIT 5. Pada penelitian ini penulis menggunakan COBIT 5 dan ITIL V3 2011 sebagai kerangka kerja terpilih guna menganalisis tingkat kapabilitas kinerja layananan TI di PUSDATIN Kementerian Pertahanan beserta peyusunan saran perbaikannya. Kerangka kerja ini dapat diimplementasikan di seluruh jenis organisasi, yang termasuk organisasi pemerintahan dengan mempertimbangkan studi kasus yang dilakukan penulis. Pemilihan kerangka kerja disesuaikan dengan kriteria-kriteria mana yang diperlukan oleh organisasi. Pemilihan kerangka kerja COBIT 5 ini karena merupakan kerangka kerja bisnis untuk tata kelola dan dapat digunakan untuk membantu pihak manajemen dalam mengelola TI sehingga dapat mengevaluasi layanan TI organisasi secara berkelanjutan, sedangkan pemilihan ITIL V3 2011 ini karena merupakan best practices dalam mengelola layanana TI.
2.12.
Penelitian Yang Relevan Pada bagian ini diuraikan beberapa penelitian terkait tata kelola TI dan
evaluasilayanan TI yang pernah dilakukan sebelumnya.
44
2.12.1. An Aproach To design Services Key Performance Indicator Using Cobit 5 and ITIL V3 Penelitian yang dilakukan oleh Retno Ayu Widiyaningrum, Kudang B Sminar, Husniteja Sukmana tahun 2015 ini dilakukan dengan latar belakang permasalahan penurunan kinerja layanan TI merupakan salah satu indikasi terjadinya masalah dalam pengelolaan TI. Penelitian ini menggunakan kerangka kerja COBIT 5 dan ITIL V3, kerangka kerja tersebut digunakan karena memberikan panduan best practice yang berlaku umum untuk semua organisasi yang menyediakan layanan TI, fokus kepada berbagai control objectives terkait proses-proses TI, bersifat umum dan berguna untuk semua jenis ukuran perusahaan, baik komersial atau perusahaan yang bergerak di sektor publik. Hasil yang diharapkan dari penelitian ini adalah analisis tingkat layanan TI yang dapat meningkatkan kinerja layanan TI di IT departemen Institut Pertanian Bogor. Peningkatan kinerja layanan TI dilakukan dengan memberikan rekomendasi prioritasi perbaikan tingkat kapabilitas proses berdasarkan prinsip nilai kesenjangan (gap value) dan upaya (effort) dari jumlah aktivitas tiap proses. Panduan pembuatan KPI (Key Performance Indicator) berdasarkan metrik tiap process goal.
2.12.2. Evaluasi dan Rekomendasi Perbaikan Layanan TI Badan Pengatur Hilir Minyak dan Gas Bumi Berdasarkan Kerangka Kerja Cobit 5 dan ITIL V3 2011 Penelitian yang dilakukan oleh Galuh Setio Anjani tahun 2014 dilakukan dengan latar belakang permasalahan BPH Migas memiliki keterbatasan jumlah pegawai sehingga memerlukan dukungan Sistem Informasi dan TI (SI/TI) untuk melaksanakan tugas dan fungsi BPH Migas. Saat ini implementasi SI/TI belum mampu mendukung pelaksanaan tugas dan fungsi BPH Migas seperti yang diharapkan. Hal tersebut akibat berbagai permasalahan dalam layanan TI antara lain rendahnya persentase sistem informasi yang aktif dan bisa diakses serta kurangnya pemanfaatan aplikasi
45
SI/TI yang sudah ada. Untuk mengatasi berbagai permasalahan dalam layanan TI tersebut, pada penelitian ini penulis melakukan evaluasi layanan TI di BPH Migas dan memberikan rekomendasi untuk perbaikan layanan TI tersebut. Metodologi dalam penelitian ini mengikuti kerangka kerja COBIT 5 yang diawali dengan identifikasi permasalahan dan memetakannya terhadap prosesproses di COBIT 5 yang sesuai. Selanjutnya dilakukan assessment terhadap proses-proses tersebut untuk mengetahui tingkat kapabilitas proses saat ini dan juga dilakukan penentuan target tingkat kapabilitas proses yang diinginkan. Analisis kesenjangan tingkat kapabilitas proses saat ini dan yang ditargetkan dilakukan untuk mengetahui sejauh mana perbaikan harus dilakukan terhadap proses-proses tersebut. Rekomendasi perbaikan proses-proses tersebut disusun berdasarkan kerangka kerja COBIT 5 dan ITIL V3 2011. Hasil penelitian ini berupa penilaian dan penentuan target tingkat kapabilitas 14 proses COBIT 5 yang relevan dengan permasalahan layanan TI di BPH Migas serta rekomendasi aktivitas untuk perbaikan layanan TI.
2.12.3. Information Technology Governance Frameworks : Overview of nformation Technology Infrastructure Library (ITIL) Information Approaches. Penelitian
yang
dilakukan
oleh
SaidSebaaoui,
Mohammed
Lamrini,Laila ElAbbaditahun 2015 dilakukan dengan tujuan untuk membuat gambaran pendekatan implementasi ITIL. Dimulai dengan tinjauan pustaka dan berbagai literatur, penelitian ini menyoroti poin-poin yang kuat serta keterbatasan dari berbagai pendekatan yang dilakukan dalam implementasi IT Governance framework. Penulis melakukan analisa lebih dalam dengan melakukan penelitian studi kasus implementasi ITIL pada sampel sebuah perusahaan dengan berfokus pada manfaat dari pelaksanaan, keterbatasanketerbatan dan rekomendasi yang diberikan dari implementasi ITIL kemudian penulis membandingkan dengan hasil implementasi framework ITIL pada beberapa perusahaan yang berbeda. Metode yang digunakan adalah dengan membagi 2 cara pendekatan dalam implementasi ITIL yaitu pendekatan secara
46
akademik dan pendekatan proposal dari para ahli. Hasil penelitian menunjukkan bahwa dalam implementasi framework ITIL dapat dilakukan dengan pendekatan berdasarkan manfaat bagi perusahaan tersebut. 2.12.4. Evaluasi Layanan TI di Kementerian Komunikasi dan Informatika Berdasarkan ITIL V3 2011 dan Cobit 5
Penelitian yang dilakukan oleh Puti Adelia Elvina pada tahun 2013 ini dilakukandengan latar belakang banyaknya permasalahan yang dihadapi oleh Kementerian Kominfo terkait tata kelola TI yaitu terkait SDM, infrastruktur, data yang tidak terintegrasi serta kebijakan tata kelola TI dan IT Master Plan yang belum ada di Kementerian Kominfo. Selain itu terdapat permasalahan lambatnya penyelesaian permasalahan terkait infrastruktur TI. Oleh karena itu perlu adanya evaluasi layanan TI, penilaian capability level proses-proses TI di COBIT 5 dan gap analysis-nya, penentuan prioritas proses perbaikan, dan rekomendasi KPI untuk perbaikan layanan TI. Tahapan pada penelitian yang dilakukan oleh Elvina (2013) tersebut setelah dilakukan pengumpulan data dilakukan pemetaan ITIL V3 2011 dengan COBIT 5. Selanjutnya proses-proses dalam service lifecycle dalam ITIL V3 2011 tersebut dianalisis. Pada proses-proses TI COBIT 5, dilakukan pemilihan dan penilaian capability level, gap analysis serta prioritasi proses. Pada bagian akhir ditentukan KPI proses-proses TI COBIT 5 tersebut. Output pada penelitian ini adalah evaluasi capability level proses, prioritasi proses, dan rekomendasi KPI proses-proses TI di COBIT 5. 2.13.
Perbandingan Penelitian yang Relevan Perbandingan antara penelitian-penelitian yang telah dilakukan sebelumnya dengan penelitian yang dilakukan oleh penulis dapat dilihat pada Tabel 2.1 Dari tabel tersebut dapat dilihat bahwa dibandingkan dengan penelitian yang dilakukan oleh Retno Ayu Widiyaningrum, Kudang B Sminar, Husniteja Sukmana (2015), penelitian yang dilakukan oleh penulis ini memiliki persamaan pada kerangka kerja yang digunakan yaitu COBIT 5 dan dipetakan dengan ITIL V3, namun terdapat perbedaan pada metode yang
47
digunakan, yaitu penelitian tersebut menggunakan metode dengan membagi 2 tahapan diantaranya menggunakan Cobit 5 untuk mendapatkan indikator kinerja dan proses validasi indikator kinerja untuk menjadi kinerja utama. Terhadap penelitian yang dilakukan oleh Galuh Setio Anjani (2014), penelitian yang dilakukan oleh penulis ini memiliki persamaan pada kerangka kerja yang digunakan yaitu COBIT 5 dan ITIL V3 2011. Di samping itu, terdapat juga beberapa persamaan tahapan proses, yaitu proses pemetaan ITIL V3 2011 dengan COBIT 5, penilaian capability level, serta gap analysis. Namun dalam metodologi, proses-proses tersebut berbeda urutannya. Pada penelitian ini, proses-proses COBIT 5 tersebut dipilih berdasarkan relevansinya dengan permasalahan, baru selanjutnya dipetakan ke ITIL V3 2011. Pada penelitian yang dilakukan Galuh, komponen-komponen ITIL V3 2011 dipilih terlebih dahulu baru kemudian dilakukan pemetaan dengan COBIT 5. Proses-proses, fungsi, dan aktivitas ITIL V3 2011 hasil pemetaan tersebut menjadi masukan dalam penyusunan rekomendasi perbaikan. Sedangkan pada penelitian yang dilakukan SaidSebaaoui, Mohammed Lamrini,Laila ElAbbadi (2015), terdapat perbedaan pada tujuan penelitian yang dilakukan oleh penulis. Pada penelitian ini hanya berfokus pada implementasi ITIL untuk mengetahui pendekatan yang paling efektif dalam implementasikan framework ITIL. Terhadap penelitian yang dilakukan oleh Elvina (2013), penelitian yang dilakukan oleh penulis ini memiliki persamaan pada kerangka kerja yang digunakan yaitu COBIT 5 dan ITIL V3 2011. Di samping itu, terdapat juga beberapa persamaan tahapan proses, yaitu proses pemetaan ITIL V3 2011 dengan COBIT 5, penilaian capability level, serta gap analysis. Namun dalam metodologi, proses-proses tersebut berbeda urutannya. Pada penelitian Elvina, komponen-komponen ITIL V3 2011 dipilih terlebih dahulu baru kemudian dilakukan pemetaan dengan COBIT 5. Pada penelitian yang dilakukan penulis, proses-proses COBIT 5tersebut dipilih berdasarkan relevansinya dengan permasalahan, baru selanjutnya dipetakan ke ITIL V3 2011. Proses-proses, fungsi, dan aktivitas ITIL V3 2011 hasil pemetaan tersebut menjadi masukan dalam penyusunan rekomendasi perbaikan.
48
Berdasarkan penjelasan diatas, dapat dilihat pada Tabel 2.1 di bawah ini yang mendeskripsikan penelitian sebelumnya dan penelitian yang penulis lakukan.
Tabel 2.1. Perbedaan Penelitian Sebelumnya dengan Penelitian Penulis
PENELITIAN SEJENIS YANG PERNAH DILAKUKAN PERBEDAAN
Retno Ayu
Galuh Setyo
Said
Elvina
Widiyaningrum,
Anjani
Sebaaoui,
(2013)
Kudang B Sminar,
(2014)
Mohammed
Husniteja Sukmana
Lamrini,Lai
(2015)
la El Abbadi
FIRMAN (2016)
(2015) Metode
Cobit 5 dan ITIL V3
Cobit 5 dan
2011
Objek
Institut Pertanian
Penelitian
Bogor
ITIL V3
Cobit 5 dan ITIL
ITIL V3
2011 dan
V3 2011
2011
Cobit 5
BPH Migas
ITIL
Perusahaan
Kementerian
Pusat Data dan
Swasta
Komunikasi
Informasi Kemhan
Maroco
dan informatika
Sektor Industri
Sektor Pendidikan
Sektor
Swasta
Publik Jenis Organisasi
Universitas Negeri
BUMN
Sektor
Sektor Publik
Publik Perusahaan
Kementerian
Kementerian
49
Jurnal dan Edisi
International Journal
Tesis
International
of Information
Journal of
Technology and
Advanced
Business
Research in
Management
Computer
Vol.35 No.1
Science and
Tesis
Tesis
Software Engineering Volume 5, Issue 6 ,June 2015 Hasil Akhir
Peningkatan kinerja
Penilaian dan
Merekomend
evaluasi
Evaluasi Layanan
layanan TI dan
penentuan
asikan
capability
TI dan rekomendasi
panduan pembuatan
target tingkat
pendekatan
level proses,
untuk perbaikan
KPI
kapabilitas
terbaik
prioritasi
layanan TI
14 proses
dalam
proses, dan
COBIT 5 dan implementasi rekomendasi
ITIL
rekomendasi KPI proses-
perbaikan
proses TI di
layanan TI
COBIT 5
50
BAB III
51
METODOLOGI PENELITIAN Bab ini menjelaskan tentang langkah-langkah penelitian yang terangkum beserta dengan pendekatan-pendekatannya.
3.1. Tahapan Penelitian Merupakan tahapan-tahapan yang digunakan dalam melakukan suatu penelitian. Dalam metodologi harus menggambarkan keterkaitan setiap tahapan-tahapan sehingga kegiatan penelitian menjadi lebih terarah dan sistematis. Tahapan penelitian yang akan dilakukan dalam penelitian ini ditunjukkan gambar 3.1.
Gambar 3.1. Tahapan Penelitian
3.1.1 Merumuskan masalah dan topik penelitian Pada tahapan ini ditentukan permasalahan yang diangkat dalam penelitian. Beberapa permasalahan 51 TI yang muncul memerlukan waktu
52
yang lama dalam penyelesaiannya. Hal ini menyebabkan adanya keluhan dan ketidakpuasan pegawai atas layanan TI yang diberikan oleh PUSDATIN Kemhan. Oleh karena itu, pendekatan yang dilakukan dalam penelitian ini adalah melakukan evaluasi layanan TI berdasarkan Kerangka Kerja ITIL V3 2011 dan COBIT 5 agar dilakukan perbaikan layanan TI di masa mendatang sehingga harapannya kepuasan pegawai di Kementerian Pertahanan menjadi meningkat. 3.1.2 Melakukan Studi Literatur dan Membuat Kerangka Teori dan Metodologi Penelitian Studi literatur adalah mencari referensi teori yang relevan dengan kasus atau permasalahan yang ditemukan dalam organisasi. Tinjauan literatur penelitian dilakukan untuk mempelajari berbagai teori yang berhubungan dengan kerangka pemecahan permasalahan yang diperoleh dari dokumen-dokumen yang terkait dengan penelitian. Dokumendokumen tersebut antara lain adalah dokumentasi tentang Tata Kelola TI, dokumentasi tentang Kerangka Kerja ITIL V3 2011 dan COBIT 5. Dalam penelitian ini juga terdapat kajian mengenai penelitian sebelumnya yang terkait dengan tema penelitian penulis. 3.1.3 Melakukan Pengumpulan Data Data yang digunakan dalam penelitian ini diperoleh dari hasil wawancara di lapangan dan tinjauan langsung di lokasi. Metode penelitian ini adalah studi kasus untuk mendukung hasil analisa dalam membuat evaluasi layanan TI. Dengan adanya evaluasi layanan TI ini diharapkan organisasi dapat mengambil keputusan yang lebih baik untuk perbaikan layanan TI di masa yang akan datang. Studi
kepustakaan
digunakan
untuk
mencari
data
yang
berhubungan dengan penelitian ini. Umumnya sumber dari penulisan ini berasal dari literatur internet dan didukung oleh buku-buku yang terkait. Jenis dan sumber data pada penelitian ini adalah a) data primer yang digunakan untuk penulisan studi kasus ini adalah wawancara dengan
53
pejabat dan pegawai di Pusdatin
Kemhan untuk mengevaluasilayanan
TI dan b) data sekunder yang digunakan untuk penelitian ini diambil dari dokumen organisasi, situs internet, dan media massa. Data sekunder yang diambil meliputi data tentang Renstra Kementerian Pertahanan, Laporan tahunan maupun Permenhan tentang Struktur dan Tata Cara Organisasi Kementerian Pertahanan. 3.1.4 Pemilihan Proses Berdasarkan Masalah yang Relevan Dalam tahapan ini dilakukan pemilihan proses-proses COBIT 5 yang relevan. Melalui tujuh tahapan siklus implementasi (seven phases of the implementation life cycle), COBIT 5 telah menyediakan panduan penerapan proses-proses COBIT 5 yang diawali dengan permasalahan (pain points) yang dihadapi oleh organisasi. Berdasarkan tahap pertama (phase 1 – what are thedrivers) panduan tersebut, masing-masing pain points tersebut dipetakan denganbeberapa proses COBIT 5 yang relevan. Masing-masing permasalahan atau painpoints diperoleh dari data kondisi layanan TI di Kementerian Pertahanan saat ini. 3.1.5 Penilaian Level Capability Proses-proses TI di Cobit 5 Sesuai dengan tahap kedua (phase 2 – where are we now) panduan implementasiCOBIT 5, setelah proses-proses COBIT 5 yang relevan telah dipilih, makadilakukan penilaian tingkat kapabilitas proses-proses tersebut saat ini. Penilaiandilakukan berdasarkan COBIT 5 process assessment model dan COBIT 5 selfassessment guide. Hasilnya adalah tingkat kapabilitas proses-proses saat ini. 3.1.6 Penyusunan Target Level Capability Proses Selanjutnya sesuai dengan tahap ketiga (phase 3 – where do we want to be)panduan implementasi COBIT 5, dilakukan penentuan target tingkat kapabilitasproses-proses COBIT 5 terpilih yang diinginkan. Untuk menentukan target tingkatkapabilitas tersebut, maka dilakukan wawancara dengan pihak-pihak terkait di Kementerian Pertahanan. Hasilnya adalah target tingkat kapabilitas proses-proses COBIT 5terpilih yang diinginkan.
54
3.1.7 GAP Analysis Level Capability Proses Setelah diketahui tingkat kapabilitas proses-proses saat ini dan target tingkatkapabilitas proses yang diinginkan, kemudian dilakukan analisis kesenjangan. 3.1.8 Penetapan Strategi Pencapaian Kapabilitas Setelah mengetahui kesenjangan antara kondisi saat ini dengan target maka dilakukan penetapan strategi pencapaian kapabilitas. Perencanaan ini lebih berfokus untuk meningkatkan kapabilitas yang rendah ke kapabilitas selanjutnya 3.1.9 Pemetaan Proses Cobit 5 ke ITIL V3 2011 Menurut (Haes & Grembergen, 2004) COBIT dapat diterapkan melalui penggunaan
ITIL.
ITIL tersebut
akan
melengkapi
dan
menyediakan rincian proses. COBIT menyediakan panduan apa yang harus dilakukan dan ITIL menjelaskan rincian bagaimana melakukannya. Oleh karena itu pada penelitian ini dilakukan pemetaan proses-proses COBIT 5 yang relevan tersebut dengan ITIL V3 2011. Dengan demikian didapatkan hasil panduan rincian proses, fungsi, dan aktivitas yang harus dilakukan, RACI chart atau pihak-pihak yang terlibat dan bertanggung jawab dalam proses perbaikan, serta critical success factor (CSF) atau indikator keberhasilan (KPI) tiap-tiap aktivitas proses perbaikan tersebut. 3.1.10 Penyusunan Rekomendasi Aktivitas. Berdasarkan hasil analisis kesenjangan tingkat kapabilitas proses saat ini dan yang ditargetkan serta panduan proses, fungsi, aktivitas yang harus dilakukan, dan KPI berdasarkan COBIT 5 dan ITIL V3 2011, dilakukan penyusunan rekomendasi aktivitas untuk perbaikan layanan TI di Kementerian Pertahanan. 3.1.11 Rekomendasi Ukuran Keberhasilan Proses (KPI) Ukuran keberhasilan proses atau yang sering disebut KPI (key performace Indicator) pada tahap ini akan disusun. Tujuannya adalah
55
untuk mengetahui sejauh mana tingkat keberhasilan proses yang sudah dilakukan perbaikan. Dengan adanya KPI tersebut kinerja dapat diukur beserta dengan indeks keberhasilanya. 3.1.12 Kesimpulan dan Saran Analisa telah dilakukan, maka akan didapatkan sebuah kesimpulan yang seharusnya dapat menjawab pertanyaan penelitian. Saran penelitian lebih ditujukan kepada peneliti berikutnya dengan mempertimbangkan ruang lingkup penelitian.
3.2. Metodologi Dari identifikasi permasalahan yang dihadapi organisasi dan berbagai refrensi yang telah dikumpulkan dibuat suatu metodologi penelitian seperti terlihat pada Gambar 3.2.
Permasalahan
Proses-Proses Cobit: EDM,APO,B AI,DSS dan MEA
Pemilihan Proses Berdasarkan Pengukuran
Pengukuran Target Tingkat Kapabilitas P C bit
Tingkat
Tingkat Kapabilitas Proses Target
GAP/Kesenjang
56
Gambar 3.2 Metodologi Penelitian
3.2.1 Cobit 5 Siklus Implementasi (Implementation Lifecyle)
57
Gambar 3.3Tujuh Tahap Siklus Implementasi Sumber : (Isaca, 2013)
3.2.2 ITIL V3 2011 Service Lifecycle.
Gambar 3.4 ITIL V3 Service LifecycleSumber :(Cabinet Office, 2011)
58
3.3. Tinjauan Objek Penjelasan profil organisasi tersebut meliputi tugas dan fungsi, visi dan misi, struktur organisasi, serta sekilas tentang kebijakan dan pengelolaan TI di Kementerian Pertahanan yang dilakukan di Pusdatin Kemhan.
3.3.1 Tugas, Fungsi, Visi, dan Misi Kementerian Pertahanan RI Kementerian Pertahanan selanjutnya disebut Kemhan, adalah unsur pelaksanapemerintah dipimpin oleh Menteri Pertahanan yang selanjutnya disebut Menhan yang berkedudukan berada di bawah dan bertanggungjawab kepada Presiden. Visi Kementerian Pertahanan adalah “Terwujudnya Indonesia yang berdaulat, Mandiridan berkepribadian berlandaskan gotong royong” dan Misi Kementerian Pertahanan. 1. Mewujudkan
keamanan
nasional
yang
mampu
menjaga
kedaulatan wilayah, menopang kemandirian ekonomi dengan mengamankan
sumberdaya
maritim,
dan
mencerminkan
kepribadian Indonesia sebagai negara kepulauan. 2. Mewujudkan
masyarakat
maju,
berkesinambungan
dan
demokratis berlandaskan negara hukum. 3. Mewujudkan politik luar negeri bebas-aktif dan memperkuat jati diri sebagai negara maritim. 4. Mewujudkan kualitas hidup manusia Indonesia yang tinggi, maju dan sejahtera. 5. Mewujudkan bangsa yang berdaya-saing. 6. Mewujudkan Indonesia menjadi negara maritim yang mandiri, maju, kuat dan berbasiskan kepentingan nasional. 7. Mewujudkan masyarakat yang berkepribadian dalam kebudayaan. Dalam mewujudkan visi dan misinya Kementerian pertahanan mempunyai tugas menyelenggarakan urusan di bidang pertahanan dalam pemerintahan untuk membantu Presiden dalam menyelenggarakan pemerintahan negara. Dalam melaksanakan tugas sebagaimana dimaksud dalam pasal 3, Kemhan menyelenggarakan fungsi :
59
a. perumusan, penetapan, dan pelaksanaan kebijakan di bidang pertahanan; b. pengelolaan
barang
milik/kekayaan
negara
menjadi
tanggungjawab Kementerian Pertahanan; c. pengawasan atas pelaksanaan tugas di lingkungan Kementerian Pertahanan, dan; d. pelaksanaan kegiatan teknis dari pusat sampai ke daerah.
3.3.2 Struktur Organisasi Kementerian Pertahanan RI Berikut adalah struktur organisasi Kementerian Pertahanan :
Gambar 3.5 Struktur Organisasi Kementerian Pertahanan R
60
3.3.3 Tugas Fungsi, visi dan Misi Pusdatin Kemhan Pusat Data dan Informasi Kementerian Pertahanan biasa disingkat Pusdatin Kemhan adalah unsur pelaksana tugas tertentu di bawah Kementerian Pertahanan. Pusdatin Kemhan mempunyai visi yaitu: "Menuju
masyarakat
dan
komunitas
pertahanan
negara
yang
berpengatahuan melalui data dan informasi.". Guna mewujudkan visi tersebut, Pusdatin Kemhan melaksanakan misi yaitu:"Mewujudkan pusdatin sebagai pusat keunggulan bidang telematika pertahanan negara." Pusdatin Kemhan memiliki tugas melaksanakan pembinaan, pengembangan, dan standardisasi teknis serta evaluasi kebijakan di bidang sistem informasi dan persandian serta teknologi informasi dilingkungan Kementerian Pertahanan. Adapun fungsi Pusdatin Kemhan adalah: 1. Penyiapan rumusan kebijakan dan standardisasi teknis di bidang pengembangan sistem informasi dan persandian serta teknologi informasi Kementerian; 2. Penyusunan standar, norma, pedoman, kriteria dan prosedur di bidang pengembangan sistem informasi dan persandian serta teknologi informasi Kementerian; 3. Pelaksanaan dan evaluasi pengembangan sistem informasi dan persandian serta teknologi informasi Kementerian; 4. Pemberian pelayanan sistem komputer dan sistem komunikasi data serta sistem persandian Kementerian; 5. Pengelolaan data dan informasi serta dokumentasi dan kepustakaan Pusat; 6. Pembinaan
keahlian
pranata
komputer
dan
persandian
Kementerian;
3.3.4 Ringkasan Sejarah Pusat Data dan Informasi Kementerian Pertahanan
Seiring dengan tuntutan tugas, Dephankam/ABRI sebagai Bhayangkara Negara, pernah merasakan, betapa lama dan sulitnya
61
mendapatkan Data dan Informasi secara cepat, tepat dan akurat, karena terbatasnya
peralatan
dan
sumber
daya
manusia.
Menyadari
perkembangan situasi negara, dan penataan organisasi pada saat itu, memberikan kesadaran kepada pimpinan Dephankam/ABRI, mengenai perlunya pembentukan lembaga baru, berupa Pusat Pengumpulan dan Pengolahan Data (Puspullahta), sebagai awal permulaan timbulnya pemikiran, untuk mengembangkan Sistem Informasi Administrasi, dan Sistem
Informasi
Operasi
secara
terpadu,
di
lingkungan
Dephankam/ABRI, yang dilaksanakan secara elektronis, sehingga seluruh kegiatan administrasi dan operasi, dapat dikendalikan secara terpusat. Seiring perkembangan Pusdatin Kemhan telah banyak mengalami perubahan nama. Berikut adalah perkembangan organisasi dan perubahan nama Pusdatin Kemhan sejak tahun 1967 s/d tahun 2010 hingga akhirnya ditetapkan menjadi Pusdatin Kemhan : 1. Data Processing Center Hankam 2. Puspullahta Hankam (1975 - 1982) 3. Puspullahta Hankam (1982 - 1984) 4. Biro Pullahta Hankam (1984 - 1990) 5. Pusdatin Dephan (2000 - 2010) 6. Pusdatin Kemhan (2010 – sekarang) Setelah dikeluarkannya Keputusan Menhankam/Pangab No. Kep/34/IX/1975 tanggal 30 September 1975, tentang Organisasi dan Prosedur Puspullahta Hankam, yang selanjutnya pada tanggal 2 Oktober 1975, Menhankam/Pangab Jenderal TNI M. Panggabean, Meresmikan Puspullahta, dan hingga saat ini, diperingati sebagai hari jadi Pusat Data dan Informasi Kementerian Pertahanan.
3.3.5 Struktur Organisasi Pusdatin Kemhan Sejak reformasi bergulir pada tahun 1998, maka sebagian lembaga dan instansi pemerintah mengalami perubahan yang cukup besar. Demikian pula organisasi di lingkungan Dephankam dan Mabes
62
ABRI juga mengalami perubahan. Perubahan tersebut antara lain pisahnya Polri dari struktur organisasi Mabes TNI serta terpisahnya Dephan dan Mabes TNI. Berkaitan dengan perubahan struktur tersebut, dimana Dephan harus menyesuaikan dengan struktur Departemen sipil lainnya, maka berdampak kepada perubahan nama Pusinfolahta menjadi Pusdatin (Pusat Data dan Informasi), yang merupakan nama pemberian (given) dari Menpan RI. Validasi organisasi Pusinfolahta menjadi Pusdatin telah berdampak terhadap perampingan organisasi, baik secara struktur maupun pengurangan personil, sehingga semula anggota Pusinfolahta berjumlah 200 orang, kini menjadi 130 orang, dari sejumlah tersebut komposisi personil militer hanya 14 orang sedangkan PNS merupakan bagian terbesar. Perubahan nama tersebut telah ditandai dengan keluarnya Keputusan Menhan Nomor : Kep/19/M/XII/2000, tanggal 29 Desember 2000. Tahun 2010 Kementerian Pertahanan melakukan Perubahan nama dan Organisasi yang semula bernama Departemen Pertahanan berubah menjadi Kementerian Pertahanan, demikian pula dengan Pusdatin Dephan menjadi Pusdatin Kemhan. Perubahan nama dan Organisasi tersebut ditandai dengan keluarnya Peraturan Menteri Pertahanan Nomor 16 Tahun 2010 yang diundangkan di Jakarta pada tanggal 27 September 2010 dengan struktur sebagai berikut : Struktur organisasiPusdatin Kemhan seperti yang terlihat pada gambar 3.6
63
Gambar 3.6 Struktur Organisasi Pusdatin Kemhan
3.3.6 Kedudukan, Tugas dan Fungsi Bagian Tata Usaha Bagian Tata Usaha selanjutnya disebut Bagian TU dipimpin oleh Kepala Bagian Tata Usaha disebut Kabag TU mempunyai tugas melaksanakan perencanaan program dan anggaran, evaluasi dan laporan, kepegawaian, ketatausahaan serta kerumahtanggan, dokumentasi serta kepustakaan, penataan kelembagaan dan tatalaksana Pusat. Dalam melaksanakan tugas sebagaimana dimaksud, Bagian TU menyelenggarakan fungsi : 1. penyiapan bahan perencanaan, pelaksanaan dan pengendalian program kerja dan anggaran Pusat;
64
2. penyiapan bahan evaluasi dan laporan pelaksanaan program kerja serta laporan kinerja Pusat; 3. penataan kelembagaan dan ketatalaksanaan Pusat; 4. penyiapan bahan pembinaan kepegawaian, pengelolaan keuangan, materiil,
sarana
dan
prasarana,
pengelolaan
ketatausahaan,
kerumahtanggaan, dokumentasi dan perpustakaan Pusat; dan 5. penyiapan bahan administrasi pembinaan sumber daya manusia pranata komputer dan persandian.
3.3.7 Kedudukan, Tugas dan Fungsi Bidang Pengembangan Sistem Informasi Pertahanan Bidang Pengembangan Sistem Informasi Pertahanan selanjutnya disbut
Bidang
Pengembangan
Bangsisinfohan Sistem
dipimpin
Informasi
oleh
Kepala
Bidang
Pertahanan
disebut
Kabid
Bangsisinfohan mempunyai tugas melaksanakan penyiapan bahan kebijakan teknis dan standarisasi di bidang pembinaan dan pengembangan sistem informasi pertahanan serta website 1. penyiapan bahan perumusan dan pelaksanaan kebijakan teknis di bidang pembinaan dan pengembangan sistem informasi pertahanan; 2. penyiapan bahan penyusunan standar, norma, pedoman, kriteria dan prosedur di bidang pembinaan dan pengembangan sistem aplikasi, pengumpulan dan pengolahan data serta sistem komunikasi data dan website pertahanan; 3. Pelaksanaan
dan
evaluasi
kebijakan
dibidang
pembinaan
dan
pengembangan sistem aplikasi, pengumpulan dan pengolahan data serta sistem komunikasi data dan website pertahanan; dan 4. Pelaksanaan bimbingan, supervise teknis dan perijinan di bidang pembinaan dan pengembangan sistem aplikasi, pengumpulan dan pengolahandata serta sistem komunikasi data dan website pertahanan.
65
3.3.8 Kedudukan Tugas dan Fungsi Bidang Dukungan Operasional Bidang Dukungan Operasional selanjutnya disebut Bidang Dukops dipimpin oleh Kepala Bidang Dukungan Operasional disebut Kabid Dukops mempunyai tugas melaksanakan penyiapan bahan perumusan dan pelaksanaan kebijakan teknis dan standarisasi di bidang pengoperasian, penginstalasian dan pemeliharaan sistem komputer, sistem komunikasi data serta sistem informasi pertahanan 1. penyiapan bahan perumusan dan pelaksanaan kebijakan teknis di bidang dukungan operasional sistem komputer, sistem komunikasi data dan sistem informasi pertahanan; 2. penyiapan bahan penyusunan standar, norma, pedoman, kriteria dan prosedur di bidang pengoperasian, pengistalasian dan pemeliharaan sistem komputer, sistem komunikasi data dan sistem infrormasi pertahanan; 3. Pelaksanaan
dan
evaluasi
kebijakan
dibidang
pengoperasian,
penginstalasian dan pemeliharaan sistem komputer, komunikasi data dan sistem informasi pertahanan; dan 4. pelaksanaan bimbingan, supervisi teknis dan perijinan di bidang pengoperasian, penginstalasian dan pemeliharaan sistem komputer, komunikasi data dan sistem informasi pertahanan
3.3.9 Kedudukan Tugas dan Fungsi Bidang Informasi dan Persandian Bidang Informasi dan Persandian selanjutnya disebut Bidang Infosan dipimpin oleh Kepala Bidang Informasi dan Persandian disebut Kabid Infosan mempunyai tugas melaksanakan penyiapan bahan perumusan dan pelaksanaan kebijakan teknis dan standarisasi di bidang Pengamanan Informasi dan persandian pertahanan 1. penyiapan bahan perumusan dan pelaksanaan kebijakan teknis di bidang pengamanan informasi dan sistem persandian pertahanan ; 2. penyiapan bahan penyusunan standar, norma, pedoman, kriteria dan prosedur di bidang pemgamanan informasi, sistem persandian, dan operasional persandian;
66
3. Pelaksanaan dan evaluasi kebijakan dibidang pengamanan informasi sistem persandian, dan operasional persandian; dan 4. Pelaksanaan bimbingan, supervise teknis dan perijinan di bidang pengamanan informasi, sistem persandian, dan operasional persandian
3.3.10 Kedudukan Tugas dan Fungsi Kelompok Jabatan Fungsional 1. Kelompok Jabatan Fungsional terdiri dari jabatan fungsional umum dan jabatan fungsional tertentu. 2. Jabatan Fungsional Tertentu terbagi dalam berbagai kelompok jabatan fungsional sedangkan masing-masing kelompok terdiri dari Jabatan Fungsional Ahli dan Terampil. 3. Jabatan Fungsional Umum adalah jabatan pelaksana. 4. Jabatan Fungsional diatur tersendiri dengan peraturan Menteri Pertahanan. 5. Jenjang Jabatan Fungsional sebagaimana diatur berdasarkan peraturan perundang-undangan yang berlaku
67
BAB IV HASIL PENELITIAN DAN PEMBAHASAN
Bab ini berisi uraian hasil pemilihan proses-proses COBIT 5 yang relevan, hasil penilaian tingkat kapabilitas proses saat ini dan penyusunan target tingkat kapabilitas proses, hasil analisis kesenjangan (gap analysis) tingkat kapabilitas proses, hasil penyusunan prioritas perbaikan proses, pemetaan proses COBIT 5 ke ITIL V3 2011, serta penyusunan rekomendasi aktivitas proses. 4.1. Pemilihan Proses-Proses COBIT 5 yang Relevan Menurut (Isaca, 2013), COBIT 5 Implementation menyediakan panduan untuk mengimplementasikan tata kelola TI berdasarkan continual improvement life cycle yang harus disesuaikan dengan kebutuhan organisasi. Siklus tersebut terdiri dari tujuh tahapan. Tahap pertama adalah mengidentifikasi penyebab diperlukannya perubahan dalam tata kelola TI. Permasalahan-permasalahan saat ini (current pain points) dapat menjadi dasar untuk perubahan. Pada penelitian ini, permasalahan-permasalahan dalam implementasi SI/TI di Pusdatin Kementerian Pertahanan yang menjadi dasar diperlukannya perubahan dalam tata kelola TI diperoleh berdasarkan hasil wawancara. Selain hasil wawancara, permasalahan juga diperoleh berdasarkan hasil analisis terhadap data inventarisasi sistem informasi yang telah dikumpulkan. Selanjutnya permasalahan permasalahan yang terjadi dalam implementasi SI/TI di Kementerian Pertahanan dapat disajikan pada Tabel 4.1.
Tabel 4.1 Proses Relevansi Masalah
NO
Process
Relevansi Masalah
Evaluate, Direct and Monitor (EDM) 1 EDM01 Ensure Governance Framework Setting and Maintenance EDM02 Ensure Benefits Delivery 2 3
-
EDM03 Ensure Risk Optimisation
-
67
Permasalahan
68
4 5
EDM04 Ensure Optimisation EDM05 Ensure Transparency
Resource
-
Stakeholder
-
Align, Plan and Organise (APO) 1
APO01 Manage the IT Management Framework
2 3
APO02 Manage Strategy
APO03
Manage
-
Enterprise Architecture 4
APO04 Manage Innovation
5
APO05 Manage Portfolio
6
APO06 Manage Budget and Costs
7
APO07 Manage Human Resources
-
Ya
Latar
belakang
pendidikan
dan
kemampuan sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi.
8
APO08 Manage Relationships
-
9
APO09 Manage Service Agreements
Ya
Buruknya
pengelolaan
data
dan
informasi 10
APO10 Manage Suppliers
-
11
APO11 Manage Quality
-
12
APO12 Manage Risk
-
13
APO13 Manage Security
Ya
Keamanan data dan informasi belum diperhatikan dengan baik.
Build, Acquire and Implement (BAI) 1
BAI01 Manage Programmes and Projects
69
2
BAI02
Manage
Requirements Ya
Latar
Definition
belakang
pendidikan
dan
kemampuan sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi dan buruknya pengelolaan data dan informasi
3
BAI03
Manage
Solutions -
Identification and Build 4
BAI04
Manage
Availability
and Ya
Buruknya
Capacity
pengelolaan
data
dan
informasi (Besarnya data, duplikasi data dan lambatnya ketersediaan data)
5
BAI05
Manage
Organisational -
Change Enablement 6
NO
BAI06 Manage Changes
Process
-
Relevansi
Permasalahan
Masalah
8
BAI07 Manage Change Acceptance and Transitioning BAI08 Manage Knowledge
9
BAI09 Manage Assets
10
BAI10 Manage Configuration
Ya
Buruknya pengelolaan data dan informasi (Konfigurasi tidak lengkap dan tidak akurat)
Deliver, Service and Support (DSS) DSS01 Manage Operations 1
Ya
Buruknya pengelolaan layanan data dan informasi Buruknya pengelolaan layanan data dan informasi serta keamanan data dan informasi belum diperhatikan dengan baik. Buruknya pengelolaan layanan data dan informasi Buruknya pengelolaan layanan data dan informasi
7
Ya
Latar belakang pendidikan dan kemampuan sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi
-
2
DSS02 Manage Service Requests and Incidents
Ya
3
DSS03 Manage Problems
Ya
4
DSS04 Manage Continuity
Ya
70
5
DSS05 Manage Security Services
DSS06 Manage Business Process Controls Monitor, Evaluate and Assess (MEA) MEA01 Monitor, Evaluate and Assess 1 Performance and Conformance MEA02 Monitor, Evaluate and Assess 2 the System of Internal Control MEA03 Monitor, Evaluate and Assess 3 Compliance with External Requirements 6
-
-
Dari Tabel 4.1 terlihat ada sebelas proses COBIT 5 yang relevan dengan permasalahan organisasi. Tabel.4.2 Rangkuman relevansi masalah dengan sebelas domain Cobit 5 No 1
2
3
4
5
6
7
Permasalahan Latar belakang pendidikan dan kemampuan sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi Buruknya pengelolaan data dan informasi Keamanan data dan informasi belum diperhatikan dengan baik Latar belakang pendidikan dan kemampuan sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi dan buruknya pengelolaan data dan informasi Buruknya pengelolaan data dan informasi (Besarnya data, duplikasi data dan lambatnya ketersediaan data) Latar belakang pendidikan dan kemampuan sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi Buruknya pengelolaan data dan informasi (Konfigurasi tidak lengkap dan tidak akurat)
Proses Domain APO07 Manage Human Resources
Tujuan Proses Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan perusahaan
APO09 Manage Service Agreements APO13 Manage Security
Memastikan bahwa layanan TI dan tingkat layanan memenuhi kebutuhan perusahaan saat ini dan masa depan Menjaga dampak dari terjadinya insiden keamanan informasi
BAI02 Manage Requirements Definition
Menciptakan solusi yang optimal, layanan dan memenuhi kebutuhan perusahaan dan minimalisasi risiko.
BAI04 Manage Availability and Capacity
Menjaga ketersediaan layanan, manajemen sumber daya yang efisien dan optimisasi kinerja system melalui prediksi kinerja masa depan dan kebutuhan kapasitas. Menyediakan pengetahuan yang dibutuhkan untuk membantu seluruh pegawai dalam kegiatan pekerjaan mereka dan untuk pengambilan keputusan serta dapat mendorong pengingaktan produktifitas. Meberikan informasi yang memadai tentang asset layanan agar layanan dapat dikelola secara efektif, menilai dampak dari perubahan dan menagani insiden yang terjadi pada layanan.
BAI08 Manage Knowledge
BAI10 Manage Configuration
71
8 9
10
11
Buruknya pengelolaan layanan data dan informasi Buruknya pengelolaan layanan data dan informasi serta keamanan data dan informasi belum diperhatikan dengan baik. Buruknya pengelolaan layanan data dan informasi
DSS01 Manage Operations DSS02 Manage Service Requests and Incidents
Mencapai hasil layanan oprasional TI seperti yang direncanakan. Mencapai peningkatan produktifitas dan minimalisasi gangguan melalui solusi yang cepat terhadap permintaan pengguna dan insiden yang terjadi.
DSS03 Manage Problems
Buruknya pengelolaan layanan data dan informasi
DSS04 Manage Continuity
Meningkatkan ketersediaan, memperbaiki tingkat layanan, mengurangi biaya dan meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah dari permasalahan operasional. Melanjutkan operasi bisnis kritis dan menjaga ketersediannya informasi pada tingkat yang dapat diterima oleh perusahaan apabila terjadi gangguan yang cukup signifikan
Berikut ini adalah uraian atau penejelasan dari pemetaan proses COBIT 5 terhadap permasahan yang dihadapi oleh organisasi:
1. APO 07 - Manage Human Resources Permasalahan latar belakang pendidikan, pelatihan dan jumlah pegawai dapat memberikan dampak negatif terhadap keseluruhan proses organisasi sehingga, pemecahan masalah terhadap sumber daya manusia selayaknya dapat diatasi dan dicarikan solusi terbaik. 2. APO 09 - Manage Service Agreements Permasalahan buruknya pengelolaan data dan informasi menjadi perhatian dalam area perbaikan yang dapat dilakukan. Proses ini berfokus pada bagaiaman cara menyelaraskan antara layanan data dan informasi saat ini dengan tingkat layanan kebutuhan dan harapan dari organisasi. Proses peyelarasan tersebut dari proses identifikasi, spesifikasi, perancangan, perjanjian hingga monitoring layanan data dan informasi organisasi. 3. APO 13 - Manage Security Permasalahan keamanan sudah selayaknya dioperasikan dan dimonitor sebagai upaya lanjutan dalam menjaga data dan informasi organisasi. Bocornya informasi organisasi dapat memberikan masalah besar bagi organisasi. Tindakan pengelolaan keamanan diharapkan dapat mengurangi permasalahan akibat kecerobohan pihak internal dan eksternal organisasi.
72
4. BAI 02 - Manage Requirements Definition Mengidentifikasi kebutuhan akan sumber daya manusia, tingkat pelayanan dan perbaikan yang sebaiknya dilakukan belum dilakukan. Kebutuhan tidak terukur dan tidak adanya perbaikan. Proses ini bertujuan untuk mengelola pendefinisian kebutuhan untuk menciptakan solusi yang layak dan optimal bagi organisasi. 5. BAI 04 - Manage Availability and Capacity Pengelolaan terhadap tingkat ketersediaan (availability) dan kapasitas (capacity) diharapkan dapat mengatasi permasalahan besarnya data, duplikasi data dan lambatnya ketersediaan data. Tindakan korektif serta penerapan prosedur dapat memberikan hasil cepat terhadap gangguan layanan. 6. BAI08 - Manage Knowledge Sumber daya manusia saat ini belum mampu memenuhi kebutuhan organisasi sehingga pengelolaan pengetahuan perlu dikelola lebih mendalam sehingga dapat menjadi solusi bagi organisasi. 7. BAI 10 - Manage Configuration Pengelolaan konfigurasi diharapkan dapat memberikan pemecahan masalah terhadap hilangnya data maupun kerangkapan data dan informasi. Memberikan informasi mengenai asset layanan sehingga layanan dapat dikelola dan secara efektif melakukan perubahan yang diperlukan. 8. DSS 01 - Manage Operations Pengelolaan operasional diharapkan dapat mengatasi permasalahan oprasional terkait data dan informasi dan menerapkan prosedur oprasional yang dapat dipatuhi oleh organisasi terkait. 9. DSS 02 - Manage Service Requests and Incidents Pengelolaan dan analisis terhadap insiden diharapkan dapat meminimalisir dampak yang ditimbulkan serta dapat menjadi masukan bagi organisasi untuk memperbaiki kinerja layanannya baik dari sisi aplikasi, proses bisnis, infrastruktur serta layanannya. 10. DSS 03 - Manage Problems
73
Pengelolaan terhadap permasalahan yang terjadi diharapkan dapat diatasi dengan mendeteksi, mendiagnosis, mengklasifikasikan , memprioritaskan, memperbaiki dan memulihkan permasalahan secara cepat sesuai dengan prosedur penanggulangan gangguan yang ada. 11. DSS 04 - Manage Continuity Pengelolaan permasalahan
secara
berkelanjutan
terhadap
diharapkan
banyaknya
dapat
mengatasi
permasalahan.
Dengan
adanyapenyediaan dan pengujian secara berkala proses perbaikan dapat dilakukan secara berkelanjutan
Table 4.2 menjelaskan mengenai deskripsi dan tujuan proses-proses pada COBIT 5 yang diperoleh dari dokumen COBIT 5 : Enabling Processes (Isaca, 2013). Tabel 4.3 Deskripsi dan Tujuan Proses
Ketersediaan Informasi dan Data Kode
Deskripsi Proses
Tujuan Proses
Manage Human Resource Menyediakan pendekatan yang terstruktur untuk memastikan bahwa penataan, penempatan, hak keputusan dan keterampilan sumber daya manusia dilakukan secara optimal. Ini termasuk dalam mengkomunikasikan peran dan tanggung jawab yang ditetapkan, rencana untuk belajar dan perkembangan, dan ekspektasi kinerja, didukung dengan orang-orang yang kompeten dan motivasi Manage Service Agreements Menyelaraskan antara layanan IT-enabled dan tingkat layanan dengan kebutuhan dan ekspektasi perusahaan, termasuk identifikasi, spesifikasi, desain, publishing, perjanjian, dan monitoring layanan TI, tingkat layanan dan indicator kinerja. Deskripsi Proses
Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan perusahaan
Proses APO07
APO09
Kode
Memastikan bahwa layanan TI dan tingkat layanan memenuhi kebutuhan perusahaan saat ini dan masa depan Tujuan Proses
Proses APO13
Manage Security Menentukan pengoprasian dan Menjaga dampak dari memonitor system manajemen keamanan terjadinya insiden informasi organisasi. keamanan informasi
74
BAI 02
BAI04
BAI08
BAI10
Kode
Manage Requirements Definition Mengidentifikasi solusi dan menganalisis kebutuhan sebelum pengambilalihan atau pembuatan solusi untuk memastikan bahwa solusi tersebut sesuai dengan kebutuhan strategis perusahaan yang mencakup proses bisnis, aplikasi, informasi/data, infrastruktur dan layanan. Bekoordinasi dengan stakeholder terkait untuk me-review pilihan-pilihan yang layak termasuk biaya dan manfaat relative, analisi risiko, dan persetujuan kebutuhan dan solusi yang disusulkan Manage Availability and Capacity Menyeimbangkan antara kebutuhan saat ini dan kebutuhan masa depan dalam hal ketersediaan, kinerja dan kapasitas dengan menyediakan layanan berbasis cost-effective. Termasuk penilaian kapabilitas saat ini, prediksi kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian resiko untuk perencanaan dan implementasi aktivitas dalam memenuhi kebutuhan yang telah diidentifikasi sebelumnya. Manage Knowledge Menjaga ketersediaan pengtahuan yang relevan, pengetahuam saat ini, pengetahuan yang divalidasi dan handal untuk membantu semua kegiatan proses dan dapat juga digunakan untuk pengambilan keputusan. Perencanaan untuk identifikasi, pengumpulan, pengorganisasian, pemeliharaan, penggunaan sampai pengetahuan tersebut tidak digunakan lagi
Manage Configuration Mendefinisikan dan memelihara hubungan antara key resources dengan kemampuan yang dibuthkan untuk memberikan layanan IT – enabled, termasuk mengumpulkan informasi konfigurasi, menetapkan baseline, verifikasi dan audit informasi konfigurasi, dan memperbarui repository konfigurasi.
Deskripsi Proses
Menciptakan solusi yang optimal, layanan dan memenuhi kebutuhan perusahaan dan minimalisasi risiko.
Menjaga ketersediaan layanan, manajemen sumber daya yang efisien dan optimisasi kinerja system melalui prediksi kinerja masa depan dan kebutuhan kapasitas.
Menyediakan pengetahuan yang dibutuhkan untuk membantu seluruh pegawai dalam kegiatan pekerjaan mereka dan untuk pengambilan keputusan serta dapat mendorong pengingaktan produktifitas. Meberikan informasi yang memadai tentang asset layanan agar layanan dapat dikelola secara efektif, menilai dampak dari perubahan dan menagani insiden yang terjadi pada layanan. Tujuan Proses
Proses DSS01
Manage Operation Mengkoordinasikan dan Mencapai hasil melaksanakan aktivitas dan prosedur oprasional layanan oprasional TI yang dibutuhkan untuk memberikan layanan TI seperti yang
75
internal maupun alih daya, termasuk pelaksanaan direncanakan. SOP yang telah ditetapkan serta aktivitas monitoring yang diperlukan
DSS02
Manage Service Requests and Incidents Memberikan respon yang cepat dan efektif terhadap permintaa pengguna dan resolusi semua jenis insiden. Memulihkan layanan, mencatat dan memenuhi permintaan pengguna serta mencatat insiden, mengivestigasi, menentukan, mengeskalasai dan mengatasi insiden.
DSS03
Manage Problems Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebabnya dan memberikan solusi yang cepat untuk mencegah insiden berulang. Memberikan rekomendasi untuk perbaikan.
DSS04
Manage Continuity Membuat dan memelihara rencana terhadap kontinuitas bisnis dan TI dalam merespon insiden dan gangguan agar dapat melanjutkan proses oprasi dan kebutuhan layanan TI serta memeliara availability atas informasi pada level yang diterima oleh organisasi.
Mencapai peningkatan produktifitas dan minimalisasi gangguan melalui solusi yang cepat terhadap permintaan pengguna dan insiden yang terjadi. Meningkatkan ketersediaan, memperbaiki tingkat layanan, mengurangi biaya dan meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah dari permasalahan operasional. Melanjutkan operasi bisnis kritis dan menjaga ketersediannya informasi pada tingkat yang dapat diterima oleh perusahaan apabila terjadi gangguan yang cukup signifikan
4.2. Pengukuran Tingkat Kapabilitas Cobit 5 Setelah proses area yang relevan telah didapatkan beserta dengan definisi setiap proses, maka dapat dilanjutkan dengan mengukur tingkat kapabilitas kesebelas proses area tersebut. Kriteria setiap tingkatan kapabilitas proses dinyatakan kedalam enam kategori yang didefinisikan pada Tabel 4.4.
76
Tabel 4.4 Kriteria Tingkat Kapabilitas Proses
Kriteria Tingkat Kapabilitas Tingkat 0 (Incomplete) 1 (Performed) 2 (Managed)
3(Estabilished)
4 (Predictable)
5 (Optimizing)
Kriteria Proses tidak diimplementasikan atau tidak ada upaya untuk mencapai tujuan proses Proses yang diimplementasikan (implemented process) mencapai tujuan proses Proses yang dilakukan (performed process) diimplementasikan secara terkelola (direncanakan, dimonitor dan disesuaikan) dengan hasil proses yang dibangun, dikontrol dan dijaga secara tepat. Proses yang dikelola (managed process) diimplementasikan dengan proses-proses baku yang telah ditetapkan untuk mencapai hasil proses. Proses yang dibangun (established process) dioperasikan dalam batasan yang ditentukan untuk menjamin konsistensi pencapaian hasil proses. Proses yang dapat diprediksikan (predictable process) senantiasa disempurnakan untuk mendukung tujuan organisasi saat ini dan masa depan.
Pengukuran kapabilitas kondisi organisasi saat ini dilakukan melalui proses kuisioner. Sasaran dari kuisioner tersebut adalah tigabelas pemimpin atau pejabat terkait tata kelola di Pusat Data dan Informasi (Pusdatin), Kementerian Pertahanan, diantaranya adalah : 1. Kepala Pusat data dan Informasi Pertahanan 2. Kepala Bidang Pengembangan Sistem Informasi Pertahanan 3. Kepala Bidang Dukungan Operasional 4. Kepala Bidang Informasi dan Persandian 5. Kepala Sub. Bidang Sistem Aplikasi 6. Kepala Sub. Bidang Pengumpulan dan Pengolahan Data 7. Kepala Sub. Bidang Sistem Komunikasi Data 8. Kepala Sub. Bidang Pemeliharaan Sistem Komputer 9. Kepala Sub. Bidang Pemeliharaan Sistem Komunikasi Data 10. Kepala Sub. Bidang Operasional Sistem Informasi 11. Kepala Sub. Bidang Pengamanan Informasi 12. Kepala Sub. Bidang Sistem Persandian 13. Kepala Sub. Bidang Operasional Persandian
77
Tabulasi pengukuran kapabilitas organisasi pada setiap proses yang relevan sesuai dengan permasalahan organisasi dapat dilihat pada Tabel 4.4.
Tabel 4.5 Tabulasi Kuisioner "Kondisi Saat ini"
Kuisioner Kapabilitas Proses “Kondisi saat ini” Proses
1 2 3 4 5 6 7 8 9 10
APO07 Manage Human Resource APO09 Manage Service Agreements APO13 Manage Security BAI02 Manage Requirement Definiton BAI04 Manage Availability and Capacity BAI08 Manage Knowledge BAI10 Manage Configuration DSS01 Manage Operation DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity
11
12
13
Hasil
3 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 2 1
2 2
2 1
2 2
2 2
2,1 1,4
2 2 2 3 2 2 2 2 2 2 2 2 1 1 1 1 1 1
2 1
2 2
2 2
2 2
2,1 1,5
3 3 2 2 2 3 2 2 2
3
2
1
1
2,2
2 2 1 2
2 2 1 1
2 3 1 1
1 2 1 1
1 1 2 2
2 2 2 1
1,8 2,1 1,3 1,2
2 1 1 2 1 1 1 1 1 1 1 1 2 1 1 1 1 1
1 2
1 2
1 1
2 1
1,2 1,2
2 2 2 1
2 2 2 1
2 3 1 1
2 2 1 1
2 2 1 1
2 2 1 1
2 2 1 1
Nilai kapabilitas yang didapat kemudian, dikategorikan kedalam level kapabilitas yang dapat dilihat pada Table 4.6. Tabel 4.6 Nilai dan Level Kapabilitas "Kondisi Saat ini"
Nilai dan Tingkat Kapabilitas Area Proses APO07 Manage Human Resource APO09 Manage Service Agreements APO13 Manage Security BAI02 Manage Requirement Definiton BAI04 Manage Availability and Capacity BAI08 Manage Knowledge BAI10 Manage Configuration DSS01 Manage Operation DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity
Nilai Kapabilitas
Level Kapabilitas
2,1 1,4 2,1 1,5 2,2 1,8 2,1 1,3 1,2
2.0 1.0 2.0 1.0 2.0 1.0 2.0 1.0 1.0
1,2 1,2
1.0 1.0
78
Rangkuman hasil penilaian tingkat kapabilitas kondisi saat ini kepada kesebelas proses COBIT 5 yang relevan dapat terlihat pada Tabel 4.7.
Tabel 4.7 Hasil Penilaian Tingkat Kapabilitas Proses “Kondisi Saat ini”
Process Assesment Result Area Process
Process Capability
Tingkat
Level
Capabilitas
0
1
2
APO07 Manage Human Resource
3 4
5 Managed
*
APO09 Manage Service Agreements
Performed
*
APO13 Manage Security
Managed
*
BAI02 Manage Requirement Definiton
*
Performed
BAI04 Manage Availability and Capacity
Managed
*
BAI08 Manage Knowledge
Managed
*
BAI10 Manage Configuration
Performed
*
DSS01 Manage Operation
*
Performed
DSS02 Manage Service Requests and Incidents
*
Performed
DSS03 Manage Problems
*
Performed
DSS04 Manage Continuity
*
Performed
4.3. Penentuan Target Tingkat Kapabilitas COBIT 5 Proses berikutnya adalah menentukan target atau suatu ukuran yang ingin dicapai oleh organisasi dalam jangka waktu tertentu. Metode penetapan target dapat dilakukan dengan beberapa cara namun pada penelitian ini target ditentukan dengan teknik kuisioner berdasarkan harapan dari ketigabelas pejabat atau pimpinan terkait tata kelola informasi. Kuisoner dalam menentukan target tingkat kapabilitas telah dilakukan. Berikut adalah rangkuman hasil dari kuisioner berdasarkan kriteria tingkat kapabilias proses yang ada pada Table 4.8.
Tabel 4.8 Tabulasi Kuisioner “Target”
Kuisioner Kapabilitas Proses “Target” Proses APO07 Manage Human
1
2
3
4
5
6
7
8
9
10
11
12
13
Hasil
4
4
4
4
4
4
4
4
4
4
4
4
4
4.0
79
Resource APO09 Manage Service Agreements APO13 Manage Security BAI02 Manage Requirement Definiton BAI04 Manage Availability and Capacity BAI08 Manage Knowledge BAI10 Manage Configuration DSS01 Manage Operation DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity
4
3
3
4
3
3
3
3
3
4
4
3
4
3.4
4 4
5 3
4 4
5 4
4 3
4 3
4 3
4 3
4 3
5 3
4 4
4 3
4 4
4.2 3.4
5
5
4
4
4
4
4
4
4
4
4
4
5
4.2
5 3 4 4
4 3 4 4
5 3 4 4
4 4 4 4
4 3 3 3
4 3 3 3
4 3 3 3
4 3 3 3
4 4 3 3
4 4 3 4
4 3 3 4
5 4 3 4
4 4 4 4
4.2 3.4 3.4 3.6
4 3
3 3
3 4
4 4
3 3
3 3
3 3
3 3
3 3
4 3
4 4
4 3
3 3
3.4 3.2
Nilai kapabilitas yang didapat kemudian, dikategorikan kedalam level kapabilitas yang dapat dilihat pada table 4.9 . Tabel 4.9 Nilai Kapabilitas dan Level Kapabilitas "Target"
Nilai dan Tingkat Kapabilitas Area Proses
Nilai Kapabilitas
Level Kapabilitas
APO07 Manage Human Resource 4.0 4.0 APO09 Manage Service Agreements 3.4 3.0 APO13 Manage Security 4.2 4.0 BAI02 Manage Requirement Definiton 3.4 3.0 BAI04 Manage Availability and Capacity 4.2 4.0 BAI08 Manage Knowledge 4.2 4.0 BAI10 Manage Configuration 3.4 3.0 DSS01 Manage Operation 3.4 3.0 DSS02 Manage Service Requests and 3.6 3.0 Incidents DSS03 Manage Problems 3.4 3.0 DSS04 Manage Continuity 3.2 3.0 Rangkuman hasil penilaian tingkat kapabilitas target pada seluruh proses COBIT 5
yang relevan dapat terlihat pada Tabel 4.10.
Tabel 4.10 Hasil Penilaian Tingkat Kapabilitas Proses “Target"
Process Assesment Result Area Process
Process Capability
Tingkat
Level
Capabilitas
0 APO07 Manage Human Resource
1
2
3 4 *
5 Predictable
80
APO09 Manage Service Agreements APO13 Manage Security BAI02 Manage Requirement Definiton
Established
* *
Predictable Established
*
BAI04 Manage Availability and Capacity
*
Predictable
BAI08 Manage Knowledge
*
Predictable
BAI10 Manage Configuration
*
Established
DSS01 Manage Operation
*
Established
DSS02 Manage Service Requests and Incidents
*
Established
DSS03 Manage Problems
*
Established
DSS04 Manage Continuity
*
Established
4.4. Analisis Kesenjangan (Gap Analysis) Analisis kesenjangan (Gap Analysis) dilakukan untuk mengetahui sejauh mana kesenjangan terjadi antara kondisi saat ini dengan kondisi yang diharapkan serta upaya apa saja yang kiranya dapat dilakukan untuk meminimalisir kesenjangantersebut. Kesenjangan (Gap) didapatkan melalui perbandingan antara tingkat kapabilitas tata kelola di Pusdatin, Kementerian Pertahanan pada kondisi saat ini dengan tingkat kapabilitas target yang ingin dicapai. Dengan bantuan spider chart atau radar chart seperti Gambar 5.1, terlihat dengan jelas kesenjangan setiap proses berdasarkan katagori sasaran organisasi.
81
4 3.5 3 2.5 2 1.5 1 0.5 0
Saat ini Target
Gambar 4.1 Radar Chart Gap Analysis Tingkat Kapabilitas
Gambaran kesenjangan tingkat kapabilitas prose-proses COBIT 5 saat ini dengan yang ditagetkan juga dapat dilihat dalam bentuk bar chart seperti terlihat pada Gambar 4.2
DSS04 Manage Continuity DSS03 Manage Problems DSS01 Manage Operation BAI10 Manage Configuration BAI08 Manage Knowledge BAI04 Manage Availability and Capacity BAI02 Manage Requirement Definiton
Target Saat Ini
APO13 Manage Security APO09 Manage Service Agreements APO07 Manage Human Resource 0
1
2
3
Gambar 4.2 Bar Chart Analysis Tingkat Kapabilitas
4
5
82
4.5. Penetapan Strategi Pencapaian Kapabilitas Setelah mengetahui akan adanya kesenjangan pada setiap proses-proses TI COBIT 5 menurut sasarannya maka penetapan strategi pencapaian kapabilitas diperlukan sebagai bahan pertimbangan dalam penelitian ini. Berikut adalah strategi yang menjadi perhatian dalam menentukan pencapaian kapabilitas : 1. Perbaikan dilakukan secara bertahap sesuai dengan skala prioritas dimana atribut dengan nilai kapabilitas yang lebih rendah, mendapat prioritas lebih tinggi untuk dilakukan perbaikan. 2. Mengacu pada butir pertama diatas maka, area proses dengan tingkat kapabiilitas kondisi saat ini adalah 1, mendapat prioritas utama untuk dilakukan langkah perbaikan hingga mencapai tingkat kapabilitas 2 terlebih dahulu. Beberapa area proses yang dimaksud berturut-turut adalah APO09,BAI02, BAI10, DSS01, DSS02 DSS03 dan DSS04. 3. Kondisi dimana tercapainya keseimbangan tingkat kapabilitas maka seluruh area proses berada pada tingkat 2 saat ini. Secara bersamaan (seluruh area proses) dilakukan langkah perbaikan menuju pada kondisi tingkat kapabilitas target, yaitu kapabilitas tingkat 3. 4. Seluruh area proses saat ini berada pada tingkat kapabilitas 3, maka beberapa area proses yang ditargetkan berada di tingkat 4 dapat dinaikkan setelahnya, yaitu area proses APO07, APO13, BAI04 dan BAI08. Beberapa tindakan, dalam kelompok pencapaian tingkat kapabilitas 2 , yang perlu dilakukan dalam rangka perbaikan dapat dilihat pada table 4.11.
Tabel 4.11 Pencapaian Tingkat Kapabilitas 2
Pencapaian Tingkat Kapabilitas 2 No
Area Proses
Tindakan Perbaikan
1.
APO09 Manage Service Agreement
2.
BAI02 Manage Requirement Definiton
Melakukan pengelolaan terhadap ketersediaan layanan dan kebutuhan organisasi Mengkomunikasikan kebutuhan organisasi terhadap layanan. Mencari solusi dan menganalisis setiap kebutuhan organisasi. Mengkomunikasikan risiko yang mungkin terjadi didalam organisasi. Mengkoordinasikan solusi kepada stakeholder mengenai layanan.
83
3.
BAI10 Manage Configuration
4.
DSS01 Manage Operation
5.
DSS02 Manage Service Requests and Incidents
6.
DSS03 Manage Problems
7.
DSS04 Manage Continuity
Memelihara hubungan antara sumber daya dengan kemampuan yang dibutuhkan. Mengumpulkan informasi konfigurasi yang dibutuhkan organisasi. Mengkoordinasikan dan melaksanakan aktivitas oprasional yang dibutuhkan oleh organisasi Menetapkan tujuan dari setiap tindakan operasional Memberikan pemahaman yang tepat terhadap tindakan oprasional pengelolaan data dan informasi. Mencari solusi yang cepat dan efektif terhadap insiden. Melakukan pengelolaan terhadap permintaan layanan Mengelola permasalahan yang datang dengan mengkomunikasikan segala kemungkinan yang terjadi Meningkatkan ketersediaan layanan, memperbaiki tingkat layanan pasca permasalahan Memelihara kontinuitas bisnis Memelihara ketersediaan informasi
Beberapa tindakan, dalam kelompok pencapaian tingkat kapabilitas 3 , yang perlu dilakukan dalam rangka perbaikan dapat dilihat pada table 4.12.
Tabel 4.12 Pencapaian Tingkat Kapabilitas 3
Pencapaian Tingkat Kapabilitas 3 No
Area Proses
Tindakan Perbaikan
1.
APO07 Manage Human Resource
Melakukan identifikasi kebutuhan keterampilan dalam mengelola data dan mendokumentasikan secara lengkap. Melaksanakan pelatihan formal bagi pegawai yang bersinggungan dengan pengelolaan data, seperti : - Pemahaman pada hal-hal yang berkaitan dengen pengelolaan data termaksuk backup dan restore. - Penerapan prosedur - Penggunaan tools
2.
APO09 Manage Service Agreements
3.
APO13 Manage Security
4.
BAI02 Manage Requirement Definiton
Menetapkan pelaksanaan yang bertanggung jawab dalam menjalankan penyelarasan antara layanan IT dan kebutuhan organisasi. Melakukan pendefinisian kebutuhan organisasi, tingkat layanan, perjanjian yang berhubungan dengan spesifikasi layanan. Penyimpanan dan kearsipan data SLA Menetapkan kepemilikan data, permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Melakukan pengawasan terkait dengan pelaksanaan Penetapan prosedur Mendefinisikan dan mendokumentasikan insiden yang telah terjadi dan langkah-langkah perbaikannya. Menetapkan tujuan dari setiap kebutuhan Melakukan pendefinisian dan pendokumentasian terhadap pengambilan keputusan. Melakukan pendefinisian dan pendokumentasian prosesur kebutuhan aplikasi, informasi/ data, infrastruktur dan layanan.
84
5.
6.
BAI04 Manage Availability and Capacity BAI08 Manage Knowledge
7.
BAI10 Manage Configuration
8.
DSS01 Manage Operation
9.
DSS02 Manage Service Requests and Incidents
10
DSS03 Manage Problems
11.
DSS04 Manage Continuity
Mendefinisikan dan menyeimbangkan kebutuhan saat ini dengan kebutuhan masa depan dalam ketersediaan kinerja dan kapsitas layanan. Menetapkan prosedur standar Melakuakn identifikasi kebutuhan keterampilan dalam pengelolaan data dan mendokumentasikan pengetahuan organsisasi. Mensosialisasikan pengetahuan kepada pegawai terkait. Melakukan pendefinisian dan dokumentasi akan informasi konfigurasi yang telah dikumpulkan, menetapkan baseline dan verifikasi. Menetapkan dampak dari perubahan dan managani insiden yang terjadi pada layanan. Penanganan insiden di dokumentasikan sehingga apabila terjadi kembali penanganan mudah dilakukan. Menyusun dan mendefinisikan dokumen oprastional pengelolaan data dan informasi Menetapkan kepemilikan data, permasalahan integritas dan pihak-pihak yang bertanggung jawab. Memulihkan layanan, mencatat dan memenuhi permintaan pengguna. Mendokumentasikan insiden, menginvestigasi, menentukan, mengeskalasi dan mengatasi insiden. Mengkomunikasikan prosedur terkait insiden Melakukan pendefinisian terhadap risiko insiden beserta dampaknya. Mengidentifikasikan masalah dan akar penyebabnya dan memberikan resolusi yang cepat untuk mencegah insiden berulang. Membuat dan memelihara rencana terhadap kontinuitas bisnis dan TI dalam merepon adanya insiden dan gangguan Memelihara ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan
Beberapa tindakan, dalam kelompok pencapaian tingkat kapabilitas 4 , yang perlu dilakukan dalam rangka perbaikan dapat dilihat pada table 4.13.
Tabel 4.13 Pencapaian Tingkat Kapabilitas 4
Pencapaian Tingkat Kapabilitas 4 No
Area Proses
Tindakan Perbaikan
1.
APO07 Manage Human Resource
Melakukan update secara rutin kebutuhan kompetensi dalam pengelolaan data dan informasi untuk mendapatkan keahlian dan sertifikasi.
85
2.
APO13 Manage Security
Mendefinisikan tanggung jawab dan kepemilikan dalam pengelolaan data secara jelas. Mengkomunikasikan keseluruh organisasi atas tanggung jawab kepemilikan dan pengelolaan data. Melakukan evaluasi secara rutin dan sertifikasi
3.
BAI04 Manage Availability and Capacity
4.
BAI08 Manage Knowledge
Mengevaluasi secara berkelanjutan Mengunakan alat bantu dan otomatisasi untuk pengawasan prosesnya. Melakukan komunikasi secara berkelanjutan. Menjalankan pengawasan dengan menggunakan proses yang sudah terdefinisi. Mejalankan pelatian dan knowledge sharing bagi staff pengelolaan data yang dilakukan sesuai dengan rencana organisasi. Menggunakan perangkat bantu. Melakukan evaluasi terhadap aktivitas rencana pelatihan.
4.6. Pemetaan Proses ITIL V3 2011 dengan COBIT 5 Proses pemetaan yang dilakukan antara COBIT 5 dan ITIL V3 2011 berasal dari panduan COBIT 5: Enabling Process pada bagian related guidance di setiap proses COBIT 5. Selain itu, proses pemetaan juga diperoleh dari pemetaan yang telah dilakukan oleh Glenfis AG – sebuah perusahaan consulting dan training di Swiss yang bergerak dalam bidang Service Management dan IT Governance. Glenfis AG adalah perusahaan yang pertama kali memetakan ITIL V3 2011 dengan COBIT 5 dibawah lisensi Cabinet Office. Kombinasi dari kedua proses framework tersebut, dapat dilakukan karena COBIT 5 hanya menyediakan cara untuk mengukur dan menilai tingkat kapabilitas proses, sedangkan ITIL dapat memberikan best practice beserta pendekatanpendekatan oprational secara mendetail. Semua proses COBIT 5 dengan 5 domain diantaranya domain EDM (Evaluate, Direct dan Monitor), DSS ( Deliver, Service dan Support) , BAI (Build, Acquire dan Implement), MEA (Monitor, Evaluate dan Assess) dan APO ( Align, Plan dan Organise) yang berhubungan dengan proses pada ITIL V3 2011 akan diberikan tanda silang (x) seperti pada Gambar 4.4 berikut ini.
86
Gambar 4.4 Pemetaan ITIL Edition 2011 dengan COBIT 5 Sumber : Cabinet Office (Glenfis AG)
Kelima domain tercakup di dalam pemetaan COBIT 5 dan ITIL V3 2011 tersebut. Hasil pemetaan seluruh service lifecycle ITIL V3 2011 dengan COBIT 5 menghasilkan 31 proses COBIT 5 dan 26 proses ITIL V3 2011 seperti pada Tabel 4.14. Tabel 4.14 Pemetaan Proses COBIT 5 terhadap ITIL V3 2011
No. 1. 2.
Mapping of COBIT 5 to ITIL V3 2011 COBIT 5 Process ITIL V3 2011 Process, Fungction (F) and Activity (a) EDM02 Ensure Benefits SS 4.2 Service portofolio management Delivery EDM04 Ensure Resource SS 4.4 Demand management Optimisation
87
3.
5.
EDM05 Ensure Stakeholder Transparency APO01 Manage the IT Management Framework APO02 Manage Strategy
6.
APO05 Manage Portfolio
7.
APO06 Manage Budget and Costs APO07 Manage Human Resources APO08 Manage Relationships
4.
8. 9.
10.
11. 12. 13. 14. 15. 16. 17. 18. 19.
20. 21. 22. 23.
SS 4.5 Business relationship management CSI 4.1 The seven-step Improvement Process SS 4.1 Strategy management for IT Services SS 4.2 Service portfolio management SD 4.2 Service catalogue management SS 4.3 Financial management for IT services SD 4.5 Capacity management
SS 4.4 Demand management SS 4.5 Business relationship management APO09 Manage Service SS 4.2 Service portfolio management Agreements SS 4.4 Demand management SD 4.2 Service catalogue management SD 4.3 Service level management CSI 5.7 Service reporting (a) APO10 Manage Suppliers SD 4.8 Supplier management APO11 Manage Quality CSI 4.1 The seven-step Improvement Process APO12 Manage Risk SD 4.7 Information security management APO13 Manage Security SD 4.7 Information security management BAI01 Manage Programmes and SD 4.1 Design coordination Projects BAI02 Manage Requirements SD 4.3 Service level management Definition BAI04 Manage Availability and SD 4.4 Availability management Capacity SD 4.5 Capacity management BAI06 Manage Changes ST 4.2 Change management BAI07 Manage Change SD 4.1 Design coordination Acceptance and Transitioning ST 4.1 Transition planning and support ST 4.4 Release and deployment management ST 4.5 Service validation and testing ST 4.6 Change evaluation BAI08 Manage Knowledge ST 4.7 Knowledge management BAI09 Manage Assets ST 4.3 Service asset and configuration management BAI10 Manage Configuration ST 4.3 Service asset and configuration management DSS01 Manage Operations SO 4.1 Event management SO 6.2.1.3 IT Operations management
88
(f) 24. 25. 26. 27. 28. 29.
30.
31.
DSS02 Manage Service Requests and Incidents DSS03 Manage Problems DSS04 Manage Continuity DSS05 Manage Security Services DSS06 Manage Business Process Controls MEA01 Monitor, Evaluate and Assess Performance and Conformance MEA02 Monitor, Evaluate and Assess the System of Internal Control MEA03 Monitor, Evaluate and Assess Compliance with External Requirements
SO 4.2 Incident management SO 4.3 Request fulfillment SO 4.4 Problem management SD 4.6 IT Service vontinuity management (ITSCM) SD 4.7 Information security management SO 4.5 Acess management CSI 5.7 Service measurement (a) CSI 5.7 Service reporting (a) CSI 4.1 The Seven-step Improvement Process CSI 4.1 The Seven-step Improvement Process
Hasil pemetaan diatas (31 proses area COBIT 5) tersebut kemudian dipilih kembali berdasarkan sebelas proses area COBIT 5 yang telah disesuaikan dengan pemasalahan organisasi. Pemilihan proses COBIT 5 yang relevan terlihat pada tabel 4.15.
Tabel 4.15 Proses COBIT 5 Relevansi terhadap ITIL V3 2011
No. 1. 2.
3. 4. 5.
Mapping of COBIT 5 to ITIL V3 2011 COBIT 5 Process ITIL V3 2011 Process, Fungction (F) and Activity (a) APO07 Manage Human SD 4.5 Capacity management Resources APO09 Manage Service SS 4.2 Service portfolio management Agreements SS 4.4 Demand management SD 4.2 Service catalogue management SD 4.3 Service level management CSI 5.7 Service reporting (a) APO13 Manage Security SD 4.7 Information security management BAI02 Manage Requirements SD 4.3 Service level management Definition BAI04 Manage Availability and SD 4.4 Availability management Capacity SD 4.5 Capacity management
89
6.
BAI08 Manage Knowledge
ST 4.7 Knowledge management
7.
BAI10 Manage Configuration
ST 4.3 Service asset and configuration management
8.
DSS01 Manage Operations
9. 10.
DSS02 Manage Service Requests and Incidents DSS03 Manage Problems
SO 4.1 Event management SO 6.2.1.3 IT Operations management (f) SO 4.2 Incident management SO 4.3 Request fulfillment SO 4.4 Problem management
11.
DSS04 Manage Continuity
SD 4.6 IT Service vontinuity management (ITSCM)
4.7. Cobit 5 dan ITIL V3 2011 pada evaluasi layanan IT Pusdatin Kemhan Berdasarkan literatur mengenai perbandingan Cobit 5 dan ITIL 2011 V3, terlihat bahwa masing-masing kerangka kerja dan panduan memiliki kelebihan dan kekurangan masing-masing. Berdasarkan perbandingan tersebut, rekomendasi perbaikan tata kelola TI pada penelitian ini akan dilakukan dengan menggunakan kerangka kerja COBIT 5 dan ITIL V3 2011, seperti terlihat pada tabel berikut. Tabel 4.16 Cobit 5 vs ITIL pada Evaluasi Iayanan IT Pusdatin Kemhan
No 1 2 3 4 5 6 7 8 9
Proses Pemilihan Proses Domain Cobit Berdasarkan Permasalahan yang relevan Penilaian Level Capability Proses-proses TI Penyusunan Target Level Capability Proses GAP Analisis Level Capability Proses Penetapan Strategi Pencapaian Kapabilitas Pemetaan Proses Cobit 5 ke ITIL V3 2011 Rekomendasi Kebijakan Rekomendasi Prosedur Rekomendasi Ukuran Keberhasilan Proses (KPI)
Ya
Cobit 5
ITIL V3 2011 Tidak
Ya Ya Ya Ya Ya Tidak Tidak Tidak
Tidak Tidak Tidak Tidak Ya Ya Ya Ya
Perbandingan tingkat kapabilitas layanan IT dilingkungan Pusdatin Kementerian Pertahanan dengan Kementerian yang lain dapat dilihat pada tabel berikut ini. Tabel 4.17 Perbandingan Kapabilitas Layanan IT
90
PERBANDINGAN TINGKAT KAPABILITAS PUSDATIN KEMHAN DENGAN KEMENTERIAN LAIN PERBEDAAN
PUSDATIN KEMHAN
KEMENKOMINFO
Metode
Cobit 5 dan ITIL V3 2011
ITIL V3 2011 dan Cobit 5
Jenis Organisasi
Kementerian
Kementerian
Level Capability
Level Capability di tingkat 1
Level Capability di tingkat 1
saat ini Cobit 5
(performed) pada proses area
(performed) pada proses area
APO09, BAI02, BAI10, DSS01,
APO09,APO02,APO08,BAI04,BAI
DSS02, DSS03, DSS04 dan
06,BAI07,BAI09, BAI10, DSS04,
tingkat 2 (managed) pada proses
DSS05,DSS06 DSS03, DSS04 dan
area APO07, APO13,
tingkat 2 (managed) pada proses
BAI04,BAI08.
area APO06, APO09, BAI01,BAI08, DSS01, DSS02, DSS03.
Level Capability
Proses-proses area harapan atau
Proses-proses area harapan atau
Target
target rata-rata berada di tingkat
target rata-rata berada di tingkat 4
3 (Estabilished) pada proses area
(Estabilished) pada proses area
APO09, BAI02, BAI10, DSS01,
APO09,APO02,APO08,BAI04,BAI
DSS02, DSS03, DSS04 dan
06,BAI07,BAI09, BAI10, DSS04,
tingkat 4 (Predictable) pada
DSS05,DSS06 DSS03, DSS04 dan
proses area APO07, APO13,
tingkat 5 (Predictable) pada proses
BAI04,BAI08.
area APO06, APO09, BAI01,BAI08, DSS01, DSS02, DSS03.
Rekomendasi
1. Usulan Prosedur
1. Usulan KPI
yang diberikan
2. Usulan Kebijakan
2. Usulan Prioritas Aktivitas
3. Usulan KPI Hasil Akhir
Evaluasi Layanan TI dan
evaluasi capability level proses,
rekomendasi untuk perbaikan
prioritasi proses, dan rekomendasi
layanan TI
KPI proses-proses TI di COBIT 5
4.8. Rekomendasi yang diusulkan Dengan mempertimbangkan tindakan perbaikan yang kiranya perlu dilakukan sehingga proses kapabilitas yang diharapkan dapat tercapai, seperti
91
dituangkan pada Table 4.11, Tabel 4.12 dan Tabel 4.13, maka sebagai perancangan solusi dapat dilakukan pendefinisian lebih lanjut mengenai model tata kelola teknologi informasi dalam pengelolaan informasi. Model tata kelola tersebut diwujudkan dalam penyusunan rekomendasi kebijakan organisasi dalam pengelolaan informasi dan prosedur utama dalam mengelola informasi yang diperlukan untuk petunjuk pelaksanaan praktis untuk dilaksanakan dilapangan. Petunjuk praktis tersebut diadopsi dari ITIL V3 2011 dan contoh penyusunan kebijakan dan prosedur menurut (Kridanto Surendro, 2009).
4.8.1 Rekomendasi Kebijakan Rekomendasi kebijakan tata kelola yang disusun dalam penulisan ini ditujukan sebagai masukan kepada stakeholder terkait. Lebih lanjut mengenai kebijakan tersebut dapat dilihat Sebagai Berikut.:
Kebijakan Tata Kelola Teknologi Informasi Pengelolaan Ketersedian Data dan Informasi Tujuan (1) Memenuhi kebutuhan organisasi untuk dapat mengoptimalkan penggunaan data dan informasi dengan memastikan bahwa data yang dibutuhkan selalu tersedia. (2) Melakukan pengelolaan data dan informasi secara efektif untuk dapat memastikan integritas dan reliabilitas data dan informasi organisasi. (3) Melindungi data dan informasi sensitive organisasi sebagai suatu asset yang berharga. (4) Mengantisipasi perkembangan akan kebutuhan pengelolaan data dan informasi,
untuk
dapat
secara
konsisten
menyelaraskan
dengan
perkembangan kebutuhan organisasi. (5) Menjamin proses pengelolaan data sesuai dengan hukum yang berlaku.
Ruang Lingkup
92
Berhubung dengan perlunya koordinasi yang intensif dalam Tata Kelola Teknologi Informasi dalam pengelolaan ketersedian data dan informasi di organisasi, yang melingkup bidang kegiatan : (1) Pembentukan kelompok kerja secara khusus menangani permasalahan dalam pengelolaan data. (2) Pendefinisian, pemeliharaan dan implementasi prosedur yang diperlukan dalam proses pengelolaan data. (3) Pengembangan kompetensi peran dalam pengelolaan data. (4) Penggunaan perangkat bantu untuk mengotomasikan prosedur pengelolaan data. (5) Pendefinisian peran dan tanggungjawab dalam pengelolaan data. (6) Pengawasan dalam pengelolaan data, yang dilakukan dengan penetapan tujuan dan melakukan pengukuran.
Kelompok
Kerja
Pengelolaan
Ketersediaan
Data
dan
Informasi
Keanggotaan Anggota Kelompok Kerja Pengelolaan Data dapat terdiri dari : (1) Manajer Bidang Sumber Daya Manusia dan Organisasi. (2) Manajer Bidang Kesekretariatan Hukum dan adminitrasi. (3) Staf Ahli Auditor Internal. (4) Kepala Pusat data dan Informasi Pertahanan (5) Perorangan yang ditunjuk karena mempunyai kapasitas dan kemampuan.
Tugas Tugas Kelompok Kerja Pengelolaan Data dan Informasi, adalah : (1) Memberikan pertimbangan kepada negara, pimpinan tertinggi organisasi, sehubungan dengan penetapan kebijakan, standard dan prosedur yang diperlukan pada Tata Kelola teknologi informasi dan pengelolaan data dan informasi. (2) Membantu dalam melakukan pengelolaan data dan informasisecara efektif untuk dapat memastikan integritas serta reliabilitas data dan informasi organisasi .
93
(3) Membantu memastikan dukungan layanan data pada terselenggaranya operasional layanan teknologi informasi pada proses bisnis utama organisasi. (4) Memperoleh solusi bersama atas berbagai permasalahan dan melakukan evaluasi terhadap pelaksanaan pengelolaan data dan informasi selama ini. (5) Melakukan komunikasi dan sosialisasi secara efektif dan intensif tentang kebutuhan pengelolaan data dan informasi untuk memenuhi kebutuhan bisnis. (6) Melakukan sosialisasi secara efektif dan intensif, sehingga komitmen menajemen untuk membenahi system pengelolaan data dan informasi secara menyeluruh terkait dengan peningkatan layanan pelanggan, dapat dipahami secara luas di seluruh jajaran internal perusahaan. (7) Membutuhkan kesadaran dan kepedulian kepada seluruh jajaran internal organisasi bahwa tata kelola dalam proses pengelolaan data dan informasi merupakan hal yang penting dan perlu untuk dilakukan secara tepat. (8) Melakukan evaluasi secara periodik terhadap pelaksaan tata kelola teknologi informasi dalam proses pengelolaan data, untuk selanjutnya dapat ditentukan tindakan perbaikan yang diperlukan. (9) Melakukan pendefinisian, implementasi, dan pemeliharaan atas beberapa kebijakan dalam Tata Kelola Teknologi Informasi dalam Pengelolaan data, yang meliputi : prosedur, alat bantu, peran dan tanggungjawab, kompetensi dan pengukuran. Pertemuan (1) Kelompok Kerja Pengelolaan Data dan Informasi menyelenggarakan pertemuan sekurangnya sekali dalam kurun waktu 2 (dua) bulan.
Prosedur (1) Pendefinisian dan penyempurnaan prosedur utama yang diperlukan dalam pengeolaan data dan informasi, dengan mempertimbangkan Critical Success Factor (CSF) dalam proses pengelolaan data dan informasi, yang meliputi
94
a. Prosedur backup dan restore data dan informasi. b. Prosedur penyimpanan data dan informasi. c. Prosedur penghapusan data dan informasi. (2) Pendefinisian dan penyempurnaan prosedur tersebut dilakukan dengan mempertimbangkan hasil kajian konsep best-practice dalam pengelolaan data dan informsi, kebutuhan kedepan untuk meningkatkan kualitas layanan teknologi informasi dan kemampuan sumber daya tekologi informasi perusahaan. (3) Prosedur yang telah ditetapkan dipanta pelaksanaannya dan di review secara berkala untuk disesuaikan dengan kondisi dan kebutuhan perusahaan yang senantiasa berkembang.
Alat Bantu (1) Mengunakan alat bantu terkini untuk melakukan otomasi langkah-langkah yang telah didefinisikan dalam prosedur pengelolaan data dan informasi, sesuai dengan rencana standarisasi penggunaan perangkat bantu yang telah ditetapkan dalam rencana strategis teknologi informasi organisasi
Kompetensi (1) Melakukan assessment terhadap sumber daya manusia (SDM) teknologi informasi yang terkait dengan peran dalam proses pengelolaan data dan informasi untuk mengetahui tingkat kompetisi yang telah dimiliki dan yang diharapkan sesuai dengan kebutuhan, untuk selanjutkan dilakukan analisis untuk dapat menentukan perencanaan pelatihan. (2) Mendefinisikan secara rinci kebutuhan kompetensi yang diperlukan untuk dapat melakukan peran dalam proses pengelolaan data dan informasi secara efektif. Secara berkala kebutuhan tersebut dievaluasi dan disesuaikan dengan perkembangan kebutuhan pengelolaan data dan informasi. (3) Melakukan perencanaan kebutuhan kompetensi SDM teknologi informasi, diterapkan system pembinaan karir yang jelas terkait prasyarat kompetensi
95
yang diperlukan secara konsisten mengikuti program pelatihan formal sesuai dengan roadmap kompetensi yang ditetapkan. (4) Menyelanggarakan pelatihan formal dan knowledge sharing bagi para pelaksana peran dalam pengelolaan data dan informasi yang dilakukan sesuai dengan rencana pelatihan, dengan materi sebagai berikut : a. Pemahaman pada hal-hal yang berkaitan dengan pengelolaan data dan informasi, untuk menambah wawsan yang sangat menunjang peningkatan kompetensinya. b. Penerapan prosedur dalam pengelolaan data dan infomasi. c. Penggunaan
perangkat
bantu
yang
dimanfaatkan
dalam
pengelolaan data dan informasi. (5) Melakukan evaluasi dan monitoring terhadap efektivitas terhadap pelaksaan pelatihan secara keseluruhan, sebagai upaya perbaikan kualitas pelatihan secara berkelanjutan. (6) Dalam rangka pemenuhan kebutuhan kompetensi terutama untuk dapat menangani peran-peran dalam proses pengelolaan data dan informasi, dengan mempertimbangkan keterbatasan secara kuantitas staff teknologi informasi dan hasil analisis biaya dan manfaat yang diperlukan, maka dapat dilakukan rekruitment ataupun outsoucing.
Peran dan Tanggungjawab (1) Pemilihan secraa jelas peran-peran dalam proses pengelolaan data dan informasi yang didefinisikan dalam Bagan Susunan Jabatan (BSJ) perusahaan, disertai pula dengan pendefinisian diskripsi tugas yang jelas (job decription) (2) Tanggungjawab dan kepemilikan yang melekat pada peran-peran dalam manajemen data dan informasi sudah didefisinikan secara formal, untuk penunjukan terhadap perorangan ditetapkan melalui Surat Keputusan (SK) dari pimpinan perusahaan.
96
(3) Mengembangkan budaya untuk memberikan kepada staff teknologi informasi yang telah menjalankan peran dalam pengelolaan data dengan baik sebagai suatu cara pendekatan dalam memotivasi kerja. (4) Bila peran-peran dalam manajemen data dilakukan secara outsourcing, maka harus ada kejelasan tentang tugas, tanggungjawab dan tingkat kinerja yang harus dipenuhi oleh pihak outsourcing, yang harus di nyatakan secara jelas dalam perjanjian kerjasama.
Pengukuran (1) Mendefinisikan Indicator Pencapaian Kinerja (KPI) yang diperlukan untuk dapat memberikan indikasi keberhasilan pada pencapaian tujuan dalam rangkaian proses pengelolaaan data dan informasi. (2) Melakukan kesempatan dengan menetapkan target tingkat kinerja secara kuantitatif dari beberapa indicator yang telah didefinisikan dalam KPI. (3) Melakukan pengawasan terhadap proses pengelolaan data dan informasi dengan melakukan pengukuran secara berkelanjutan terhadap indicator yang telah ditetapkan dalam KPI, dan membandingkan realisasi hasil pengukuran dengan target tingkat kinerja. (4) Terkait dengan realisasi hasil pengukuran yang tidak memenuhi target tingkat kinerja (non-performed), akan segera dilakukan langkah-langkah perbaikan dan penyempurnaan yang diperlukan.
4.8.2 Rekomendasi Prosedur
Rekomendasi prosedur tata kelola yang disusun dalam penulisan ini ditujukan sebagai masukan kepada stakeholder terkait. Lebih lanjut mengenai prosedur tersebut dapat dilihat sebagai Berikut :.
97
Prosedur Ketersediaan Data dan Informasi Prosedur dalam Pengelolaan Data dan Informasi Tujuan (1) Untuk memastikan bahwa perusahaan mempunyai backup data dan informasi secara keseluruhan, yang memadai dan aman yang dapat digunakan untuk proses pemulihan (recovery) secara lengkap dalam kondisi dan darurat ataupun pemulihan parsial, atas permintaan dari pemilik data.
Ruang Lingkup (1) Backup/restore dan pengujiannya. (2) Penyimpanan data dan informasi. (3) Media library. (4) Penghapusan data dan informasi. (5) Pengamanan terhadap data dan informasi. Pengaturan Bisnis yang dapat diterapkan (1) Perlunya
ditetapkan
strategi
backup
yang
dilakukan
dengan
mempertimbangkan kebutuhan bisnis dan continuity plan, yang meliputi full backup dan incremental backup. (2) Penjadwalan kegiatan backup secara periodik (harian , mingguan, atau bulanan), ditetapkan dengan mempertimbangkan kebutuhan bisnis yang tertuang dalam tingkat mutu layanan yang telah ditetapkan terkait dengan layanan pelanggan, tingkat perubahan data, dan kapabilitas operator backup. (3) Melakukan kegiatan backup data dan informasi yang diakukan secara periodik sesuai dengan penjadwalan yang telah ditetapkan sesuai dengan strategi backup yang telah ditetapkan maupun atas permintaan tertentu dari pemilik data. (4) Media
backup
yang
digunakan
mempertimbangkan
kapasitas
penyimpanan, metode akses, ketahanan media dan kepraktisan dalam penyimpanan, sehingga untuk memenuhi hal tersebut digunakan media : DLT tape, CD-R/RW atau DVD-R/RW.
98
(5) Aktivitas backup dilakukan dengan penggunaan alat bantu yang merupakan standard yang telah ditetapkan perusahaan, untuk secara khusus menangani backup. (6) Pengujian restorasi terhadap media backup dilakukan secara periodik disesuaikan dengan keputusan bisnis dan tingkat resiko terhadap keberadaan objek data, untuk dapat memastikan bahwa media backup dapat dibaca serta data dan informasi yang tersimpan memenuhi criteria integritas. (7) Melakukan pencatatan terhadap frekuensi pengujian backup media, untuk dapat memastikan media backup data dibaca dan memenuhi criteria integritas data. Frekuensi pengujian terhadap media backup merupakan indicator kinerja dalam proses pengelolaan datadan informasi (KPI). (8) Restorasi data dilakukan sesuai dengan permintaan (via trouble ticket) dari pemilik data. (9) Melakukan pencatatan terhadap waktu yang diperlukan pada setiap kegiatan restorasi data dan informasi secara lengkap, untuk dilakukan perhitungan rata-rata waktu restorasi. Rata-rata waktu untuk restorasi data merupakan indicator kinerja dalam proses pengelolaan data dan informasi (KPI). (10) Tanggung jawab dalam melakukan kegiatan backup dan restore secara formal definitive dilakukan oleh staff teknologi informasi yang berperan sebagai backup operator. (11) Pengaturan lokasi penyimpanan tehadap media backup ditentukan dengan mempertimbangkan kebutuhan penarikan data dan informasi (data retrieval), efektifitas biaya, integritas yang berkelanjutan dan kebutuhan keamanan terhadap berbagai bentuk ancaman baik akibat bencana alam maupun gangguan yang lainnya. (12) Dengan pertimbangan tersebut, untuk mereduksi tingkat risiko maka lokasi penyimpanan backup media dilakukan secara dual location, yaitu di lokasi onsite dan offsite.
99
(13) Pengaturan periode penyimpanan atau retensi data ditentukan sedemikian rupa dengan mempertimbangkan beberapa hal, meliputi nilai data, masa manfaat data dan kebutuhan legal. (14) Memelihara secara sistematis inventori terhadap media dan menjamin dan penggunaan dan integritas dari media yang disimpan. (15) Melakukan evakuasi secara periodik dengan melakukan rekonsiliasi antara actual dan yang tercatat untuk ditindaklanjuti bila ditemui adanya kejanggalan. (16) Identifikasi ekternal sesuai dengan standard, terhadap semua media penyimpanan dan melakukan pengendalian pergerakan fisik media untuk mendukung akuntabilitas (17) Tanggung jawab dalam manajemen media library secara formal definitive dilakukan oleh staf teknologi informasi yang berperan sebagai media librarian (18) Kegiatan
penghapusan
data
dan
informasi
dilakukan
dengan
mempertimbangkan pengaturan terhadap retensi data dan keamanan data, yang memastikan bahwa objek data yang telah dilakukan penghapusan tidak dapat lagi diakses oleh pihak yang tidak berhak. (19) Memastikan perlindungan yang memadai terhadap objek data yang sedang dalam pengiriman (transmission and transport) dari akses pihak yang tidak berhak (unauthorised access), modifikasi dan salah alamat. (20) Permasalahan teknis yang timbul dalam proses pengelolaan data dilaporkan oleh backup operator maupun librarian kepada supervisor untuk dapat dilakukan langkah-langkah perbaikan yang diperlukan. (21) Selanjutnya supervisor memberikan laporan kinerja proses pengelolaan data secara periodik kepada Deputi Manajer teknologi Informasi.
Proses (1) Proses pengelolaan data dan informasi meliputi beberapa proses utama yang diperlukan, yang meliputi: backup, pengujian, dan restorasi .
100
4.9. Rekomendasi Ukuran Keberhasilan Proses (KPI) Setelah dilakukan proses pengukuran terhadap proses-proses COBIT 5 yang telah dipilih berdasarkan permasalahannya, kemudian ditetapkan penetapan strategi pencapaian kapabilitas. Proses berikutnya adalah dikembangkannya strategi ke dalam rancangan rekomendasi aktivitas, sehingga penting untuk menentukan KPI sebagai langkah berikutnya. KPI (Key Performance Indicator) adalah alat ukur bagi pencapaian atau keberhasilan dari proses-proses. Daftar KPI yang dapat dihasilkan dari sebelas area proses dapat dilihat pada Tabel 4.16.
Tabel 4.18 KPI (Key Perpormance Indicator) Usulan
Nama Proses APO07 Manage Human Resource
APO09 Manage Service Agreements
APO13 Manage Security
KPI Jumlah dari definisi layanan dan catalog layanan
Ukuran Angka
Target Maksimal
Tingkat kepuasan eksekutif terhadap pengambilan keputusan manajemen Jumlah keputusan yang tidak dapat diselesaikan dalam struktur manajemen dan meningkat ke struktur pemerintahan Persentase pergantian pegawai Durasi rata-rata lowongan Persentase lowongan TI Jumlah proses bisnis tanpa service agreements Persentase layanan TI yang terpenuhi oleh service agreement Persentase pelanggan yang puas terhadap layanan yang diberikan sesuai dengan kesepakatan Jumlah dari tingkat pelanggan layanan
Skala
Maksimal
Angka
Minimal
Persentase Waktu Persentase Angka
Minimal Minimal Maksimal Minimal
Persentase
Maksimal
Persentase
Maksimal
Angka, Skala Persentase
Minimal
Persentase Angka
Maksimal Maksimal
Angka
Minimal
Skala
Maksimal
Angka
Minimal
Persentase layanan yang dimonitor tingkat layanannya Persentase target layanan terpenuhi Jumlah key security yang jelas terdefinisi Jumlah kejadian (insiden) yang berkaitan dengan keamanan Tingkat kepuasan stekholders terhadap rencana keamanan perusahaan Jumlah solusi keamanan yang menyimpang dari rencana
Maksimal
101
Jumlah solusi keamanan yang menyimpang dari arsitektur organisasi Jumlah layanan yang dikonfirmasi sehingga sejalan dengan rencana keamanan Jumlah insiden keamanan yang disebabkan oleh ketidak patuhan terhadap rencana keamanan Jumlah solusi kemanan yang dapat dikembangkan APO07 Manage Human Resource
APO09 Manage Service Agreements
APO13 Manage Security
BAI02 Manage Requirement Definition
Jumlah dari definisi layanan dan catalog layanan Tingkat kepuasan eksekutif terhadap pengambilan keputusan manajemen Jumlah keputusan yang tidak dapat diselesaikan dalam struktur manajemen dan meningkat ke struktur pemerintahan Persentase pergantian pegawai Durasi rata-rata lowongan Persentase lowongan TI Jumlah proses bisnis tanpa service agreements Persentase layanan TI yang terpenuhi oleh service agreement Persentase pelanggan yang puas terhadap layanan yang diberikan sesuai dengan kesepakatan Jumlah dari tingkat pelanggan layanan Persentase layanan yang dimonitor tingkat layanannya Persentase target layanan terpenuhi Jumlah key security yang jelas terdefinisi Jumlah kejadian (insiden) yang berkaitan dengan keamanan Tingkat kepuasan stekholders terhadap rencana keamanan perusahaan Jumlah solusi keamanan yang menyimpang dari rencana Jumlah solusi keamanan yang menyimpang dari arsitektur organisasi Jumlah layanan yang dikonfirmasi sehingga sejalan dengan rencana keamanan Jumlah insiden keamanan yang disebabkan oleh ketidak patuhan terhadap rencana keamanan Jumlah solusi kemanan yang dapat dikembangkan Persentase dari pendefinisan kembali kebutuhan karena ketidak selarasanya dengan kebutuhan dan ekspektasi
Angka
Minimal
Angka
Maksimal
Angka
Minimal
Angka
Maksimal
Angka
Maksimal
Skala
Maksimal
Angka
Minimal
Persentase Waktu Persentase Angka
Minimal Minimal Maksimal Minimal
Persentase
Maksimal
Persentase
Maksimal
Angka, Skala Persentase
Minimal
Persentase Angka Angka
Maksimal Maksimal Minimal
Skala
Maksimal
Angka
Minimal
Angka
Minimal
Angka
Maksimal
Angka
Minimal
Angka
Maksimal
Persentase
Minimal
Maksimal
102
BAI04 Manage Availability and Capacity
BAI08 Manage Knowledge
BAI10 Manage Configuration
DSS01 Manage Operation
DSS02 Manage Service Reuests and Incidents
organsasi Tingkat kepuasan stakeholder terhadap kebutuhan Persentase dari kebutuhan dapat terpenuhi dengan solusi yang diusulkan Jumlah insiden tidak teridentifikasi sebagai risiko Persentase risiko kegagalan dapat dikurangi Persentase sasaran business case tercapai dengan solusi yang diusulkan Persentase ketidak setujuan stakeholder terhadap solusi terkait business case Jumlah upgrade kapasitas, performace atau availability yang tidak direncanakan Jumlah transaction peaks yang melampaui target performace Jumlah insiden terkait availability Jumlah kejadian dimana kepasitas terpakai melebihi ambang batasan yang direncanakan Jumlah dan persentase masalah-masalah terkait availability, performance dan kapasitas yang tidak terselesaikan Persentase cakupan kategori informasi Banyaknya informasi yang dapat dikelompokan Persentase informasi yang sudah dikategorisasi telah divalidasi Persentase pengetahuan yang telah tersedia digunakan secara actual Jumlah pengguna yang dilatih dalam menggunakadan berbagai pengetahuan Tingkat kepuasan pelanggan Persentase repository pengetahuan yang digunakan Frekuensi pembaharuan dilakukan Jumlah penyimpangan antara konfigurasi di repository dengan konfigurasi terpasang Jumlah ketidak sesuaian karena informasi konfigurasi yang tidak lengkap atau hilang. Jumlah prosedur oprasi yang tidak standar telah dieksekusi Jumlah insiden yang disebabkan oleh masalah operational Rasio kejadian dibandingkan dengan jumlah insiden Persentase kejadian oprasional kritikal terdeteksi oleh system deteksi oromatis Jumlah dan persentase insiden yang menyebabkan gangguan terhadap proses
Skala
Maksimal
Persentase
Maksimal
Angka
Minimal
Persentase
Maksimal
Persentase
Maksimal
Persentase
Minimal
Angka
Minimal
Angka
Maksimal
Angka Angka
Minimal Minimal
Angka, Persentase
Minimal
Persentase Angka
Maksimal Maksimal
Persentase
Maksimal
Persentase
Maksimal
Angka
Maksimal
Skala Persentase
Maksimal Maksimal
Waktu Angka
Maksimal Minimal
Angka
Minimal
Angka
Minimal
Angka
Minimal
Angka
Maksimal
Persentase
Maksimal
Angka, Persentase
Minimal
103
DSS03 Manage Problems
DSS04 Manage Continuity
bisnis kritikal Waktu rata-rata antara insiden (MTBI) yang sesuai denga layanan TI Persentase insiden dapat diselesaikan dalam waktu yang telah disepakati atau yang dapat diterima Tingkat kepuasan pengguna terhadap penentuan permintaan layanan Waktu yang diperlukan untuk menangani setiap jenis permintaan layanan Pengurangan jumlah insiden berulang yang disebabkan oleh masalah yang belum dapat terselesaikan Persentase insiden besar yang menjadi masalah telah dicatat Persentase setiap masalah dapat diselesaikan Persentase masalah tercatat sebagai bagian dari aktivitas proactive problem management Jumlah masalah yang dapat diselesaikan dengan akar penyebab yang telah ditemukan Persentase layanan TI memenuhi kebutuhan uptime Persentase keberhasilan dan waktu pemulihan dari backup atau alternative media copies Persentase media backup ditransfer dan disimpan secara aman Jumlah system bisnis kritikal tidak mencakup dalam perencanaan Jumlah pelatihan dan pengujian yang telah mencapai sasaran pemulihan Frekuensi pengujian Persentase kesepakatan perbaikan telah tercermin dalam perencanaan Persentase masalah-masalah yang teridentifikasi selanjutnya dibahs dalam perencanaan Persentase stakeholder internal dan eksternal yang telah mendapatkan pelatihan Persentase masalah-masalah yang teridentifikasi selanjutnya dibahas dalam materi pelatihan
Waktu
Minimal
Persentase
Maksimal
Skala
Maksimal
Angka
Minimal
Angka
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Angka
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Angka
Minimal
Angka
Maksimal
Waktu Persentase
Maksimal Maksimal
Persentase
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Pada Tabel 4.16 dapat dilihat KPI dari setiap proses area COBIT 5. Namun, tidak semua KPI diatas dapat digunakan oleh organisasi, sehingga harus dilakukan proses seleksi terhadap kesesuaian dengan konteks organisasi. Metode yang
104
digunakan dalam pemilih KPI adalah dengan melalui proses wawancara kepada ketiga Pejabat terkait Tata Kelola (PTK) terhadap kesesuaian sasaran strategis organisasi, diantaranya : PTK1. Kepala Bidang Pengembangan Sistem Informasi Pertahanan PTK2. Kepala Bidang Dukungan Operasional PTK3. Kepala Bidang Pengembangan Informasi dan Persandian Tujuan dilakukannya penyesuaian tersebut adalah agar kinerja organisasi dapat terukur dan mendapatkan ukuran yang tepat, selain itu perbaikan yang dilakukan dapat sesuai dengan permasalahan dan fokus akan sasaran maupun tujuan organisasi. Berikut adalah tujuan, fungsi atau Sasaran Strategis (SS) dari PUSDATIN Kementerian Pertahanan, yaitu: SS1. Perencanaan, koordinasi, pembinaan dan pengembangan dalam basis data; SS2. Perencanaan, koordinasi, pembinaan dan pengembangan dalam pelayanan data; SS3.Perencanaan,
koordinasi,
pembinaan,
pelayanan
dan
pengembangan
teknologi informasi. Berdasarkan tiga sasaran strategis diatas, maka pemilihan KPI yang sesuai dengan organisasi terlihat pada Tabel 4.17. Tabel 4.19 KPI (Key Performance Indicator) Sasaran Strategis
KPI (Key Performance Indicator) Nama Proses
KPI
Sumber
APO07 Manage Human Resource
Jumlah dari definisi layanan dan katalog layanan Tingkat kepuasan eksekutif terhadap pengambilan keputusan manajemen Jumlah keputusan yang tidak dapat diselesaikan dalam struktur manajemen dan meningkat ke struktur pemerintahan Persentase pergantian pegawai Durasi rata-rata lowongan Persentase lowongan TI Jumlah proses bisnis tanpa service agreements
PTK1, PTK2, PTK3 PTK2
Tidak
-
Tidak
PTK3 PTK3
Tidak Tidak Tidak Tidak
PTK2, PTK3
Ya
PTK1, PTK2, PTK3
Ya
APO09 Manage Service Agreements
Persentase layanan TI yang terpenuhi oleh service agreement Persentase pelanggan yang puas terhadap layanan yang diberikan sesuai dengan
Relevan si Ya
105
kesepakatan Jumlah dari tingkat pelanggan layanan Persentase layanan yang dimonitor tingkat layanannya Persentase target layanan terpenuhi APO13 Manage Security
BAI02 Manage Requirement Definition
BAI04 Manage Availability and Capacity
Jumlah key security yang jelas terdefinisi Jumlah kejadian (insiden) yang berkaitan dengan keamanan Tingkat kepuasan pemangku kepentingan terhadap rencana keamanan perusahaan Jumlah solusi keamanan yang menyimpang dari rencana Jumlah solusi keamanan yang menyimpang dari arsitektur organisasi Jumlah layanan yang dikonfirmasi sehingga sejalan dengan rencana keamanan Jumlah insiden keamanan yang disebabkan oleh ketidak patuhan terhadap rencana keamanan Jumlah solusi kemanan yang dapat dikembangkan Persentase dari pendefinisan kembali kebutuhan karena ketidak selarasanya dengan kebutuhan dan ekspektasi organsasi Tingkat kepuasan stakeholder terhadap kebutuhan Persentase dari kebutuhan dapat terpenuhi dengan solusi yang diusulkan Jumlah insiden tidak teridentifikasi sebagai risiko Persentase risiko kegagalan dapat dikurangi Persentase sasaran business case tercapai dengan solusi yang diusulkan Persentase ketidak setujuan stakeholder terhadap solusi terkait business case Jumlah upgrade kapasitas, performace atau availability yang tidak direncanakan Jumlah transaction peaks yang melampaui target performace Jumlah insiden terkait availability Jumlah kejadian dimana kepasitas terpakai melebihi ambang batasan yang direncanakan Jumlah dan persentase masalah-masalah terkait availability, performance dan kapasitas
PTK1, PTK2, PTK3 PTK2, PTK3
Ya
PTK1, PTK2, PTK3 PTK3 PTK2, PTK3
Ya Tidak Ya
PTK2, PTK3
Ya
PTK1, PTK3
Ya
PTK1, PTK3
Ya
-
Tidak
PTK1, PTK2, PTK3
Ya
PTK1, PTK2, PTK3 PTK1, PTK2
Ya
PTK1, PTK2, PTK3 -
Ya Tidak
PTK1, PTK2
Ya
PTK2, PTK3 -
Ya Tidak
-
Tidak
PTK1, PTK3
Ya
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2, PTK3
Ya
Ya
Ya
Ya Ya Ya
106
BAI08 Manage Knowledge
yang tidak terselesaikan Persentase cakupan kategori informasi Banyaknya informasi yang dapat dikelompokan Persentase informasi yang sudah dikategorisasi telah divalidasi Persentase pengetahuan yang telah tersedia digunakan secara actual Jumlah pengguna yang dilatih dalam menggunakadan berbagai pengetahuan Tingkat kepuasan pelanggan Persentase repository pengetahuan yang digunakan Frekuensi pembaharuan dilakukan
BAI10 Manage Configuration DSS01 Manage Operation
DSS02 Manage Service Reuests and Incidents
DSS03 Manage Problems
Jumlah penyimpangan antara konfigurasi di repository dengan konfigurasi terpasang Jumlah ketidak sesuaian karena informasi konfigurasi yang tidak lengkap atau hilang. Jumlah prosedur oprasi yang tidak standar telah dieksekusi Jumlah insiden yang disebabkan oleh masalah operational Rasio kejadian dibandingkan dengan jumlah insiden Persentase kejadian oprasional kritikal terdeteksi oleh system deteksi oromatis
PTK1, PTK2 PTK1
Ya Tidak
PTK1
Tidak
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2
Ya Ya Ya Ya
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2
Ya
Ya
PTK1, PTK3
Ya
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK3
Ya
Ya
Ya Tidak
Jumlah dan persentase insiden yang menyebabkan gangguan terhadap proses bisnis kritikal Waktu rata-rata antara insiden (MTBI) yang sesuai denga layanan TI Persentase insiden dapat diselesaikan dalam waktu yang telah disepakati atau yang dapat diterima Tingkat kepuasan pengguna terhadap penentuan permintaan layanan Waktu yang diperlukan untuk menangani setiap jenis permintaan layanan Pengurangan jumlah insiden berulang yang disebabkan oleh masalah yang belum dapat terselesaikan Persentase insiden besar yang menjadi masalah telah dicatat Persentase setiap masalah dapat diselesaikan Persentase masalah tercatat sebagai bagian dari aktivitas proactive problem management
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK2, PTK3
Ya
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK2, PTK3
Ya
PTK1, PTK2, PTK3 PTK2, PTK3 PTK1, PTK2, PTK3
Ya
Jumlah masalah yang dapat diselesaikan dengan akar penyebab yang telah ditemukan
PTK1, PTK2, PTK3
Ya
Ya Ya
Ya Ya
Ya Ya
107
DSS04 Manage Continuity
Persentase layanan TI memenuhi kebutuhan uptime Persentase keberhasilan dan waktu pemulihan dari backup atau alternative media copies Persentase media backup ditransfer dan disimpan secara aman Jumlah system bisnis kritikal tidak mencakup dalam perencanaan Jumlah pelatihan dan pengujian yang telah mencapai sasaran pemulihan Frekuensi pengujian Persentase kesepakatan perbaikan telah tercermin dalam perencanaan Persentase masalah-masalah yang teridentifikasi selanjutnya dibahas dalam perencanaan
Persentase stakeholder internal dan eksternal yang telah mendapatkan pelatihan Persentase masalah-masalah yang teridentifikasi selanjutnya dibahas dalam materi pelatihan
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2
Ya Ya
PTK2, PTK3
Ya
PTK1, PTK3
Ya
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3 PTK1, PTK2, PTK3
Ya
PTK1, PTK2, PTK3 PTK1, PTK2, PTK3
Ya
Ya
Ya Ya
Ya
Setelah dilakukan proses wawancara kepada pejabat terkait tata kelola terhadap ke tiga sasaran strategis organisasi (SS), maka didapatkan 53 KPI yang relevan dengan organisasi. KPI yang relevan dapat dilihat pada Tabel 4.18.
Tabel 4.20 KPI (Key Perpormance Indicator) Relevan
Nama Proses APO07 Manage Human Resource APO09 Manage Service Agreements
APO13 Manage
KPI (Key Performance Indicator) KPI Ukuran Jumlah dari definisi layanan dan catalog Angka layanan
Target Maksimal
Persentase layanan TI yang terpenuhi oleh service agreement
Persentase
Maksimal
Persentase pelanggan yang puas terhadap layanan yang diberikan sesuai dengan kesepakatan Jumlah dari tingkat pelanggan layanan
Persentase
Maksimal
Angka, Skala Persentase
Minimal
Persentase Angka
Maksimal Minimal
Persentase layanan yang dimonitor tingkat layanannya Persentase target layanan terpenuhi Jumlah kejadian (insiden) yang berkaitan dengan keamanan
Maksimal
108
Security
BAI02 Manage Requirement Definition
BAI04 Manage Availability and Capacity
BAI08 Manage Knowledge
BAI10 Manage Configuration DSS01 Manage Operation
Tingkat kepuasan stekholders terhadap rencana keamanan perusahaan Jumlah solusi keamanan yang menyimpang dari rencana Jumlah solusi keamanan yang menyimpang dari arsitektur organisasi Jumlah insiden keamanan yang disebabkan oleh ketidak patuhan terhadap rencana keamanan Jumlah solusi kemanan yang dapat dikembangkan Tingkat kepuasan stakeholder terhadap kebutuhan
Skala
Maksimal
Angka
Minimal
Angka
Minimal
Angka
Minimal
Angka
Maksimal
Skala
Maksimal
Persentase dari kebutuhan dapat terpenuhi dengan solusi yang diusulkan Jumlah insiden tidak teridentifikasi sebagai risiko Persentase risiko kegagalan dapat dikurangi Jumlah upgrade kapasitas, performace atau availability yang tidak direncanakan
Persentase
Maksimal
Angka
Minimal
Persentase Angka
Minimal
Jumlah transaction peaks yang melampaui target performace Jumlah insiden terkait availability Jumlah kejadian dimana kepasitas terpakai melebihi ambang batasan yang direncanakan Jumlah dan persentase masalah-masalah terkait availability, performance dan kapasitas yang tidak terselesaikan Persentase cakupan kategori informasi
Angka
Maksimal
Angka Angka
Minimal Minimal
Angka, Persentase
Minimal
Persentase
Maksimal
Persentase
Maksimal
Angka
Maksimal
Skala Persentase
Maksimal Maksimal
Waktu Angka
Maksimal Minimal
Angka
Minimal
Angka
Minimal
Angka
Minimal
Persentase pengetahuan yang telah tersedia digunakan secara actual Jumlah pengguna yang dilatih dalam menggunakadan berbagai pengetahuan Tingkat kepuasan pelanggan Persentase repository pengetahuan yang digunakan Frekuensi pembaharuan dilakukan Jumlah penyimpangan antara konfigurasi di repository dengan konfigurasi terpasang Jumlah ketidak sesuaian karena informasi konfigurasi yang tidak lengkap atau hilang. Jumlah prosedur oprasi yang tidak standar telah dieksekusi Jumlah insiden yang disebabkan oleh masalah operational
109
DSS02 Manage Service Reuests and Incidents
DSS03 Manage Problems
DSS04 Manage Continuity
Rasio kejadian dibandingkan dengan jumlah insiden
Angka
Maksimal
Jumlah dan persentase insiden yang menyebabkan gangguan terhadap proses bisnis kritikal Waktu rata-rata antara insiden (MTBI) yang sesuai denga layanan TI Persentase insiden dapat diselesaikan dalam waktu yang telah disepakati atau yang dapat diterima Tingkat kepuasan pengguna terhadap penentuan permintaan layanan Waktu yang diperlukan untuk menangani setiap jenis permintaan layanan Pengurangan jumlah insiden berulang yang disebabkan oleh masalah yang belum dapat terselesaikan Persentase insiden besar yang menjadi masalah telah dicatat Persentase setiap masalah dapat diselesaikan Persentase masalah tercatat sebagai bagian dari aktivitas proactive problem management Jumlah masalah yang dapat diselesaikan dengan akar penyebab yang telah ditemukan Persentase layanan TI memenuhi kebutuhan uptime Persentase keberhasilan dan waktu pemulihan dari backup atau alternative media copies Persentase media backup ditransfer dan disimpan secara aman Jumlah system bisnis kritikal tidak mencakup dalam perencanaan Jumlah pelatihan dan pengujian yang telah mencapai sasaran pemulihan Frekuensi pengujian Persentase kesepakatan perbaikan telah tercermin dalam perencanaan Persentase masalah-masalah yang teridentifikasi selanjutnya dibahs dalam perencanaan Persentase stakeholder internal dan eksternal yang telah mendapatkan pelatihan Persentase masalah-masalah yang teridentifikasi selanjutnya dibahas dalam materi pelatihan
Angka, Persentase
Minimal
Waktu
Minimal
Persentase
Maksimal
Skala
Maksimal
Angka
Minimal
Angka
Maksimal
Persentase
Maksimal
Persentase Persentase
Maksimal Maksimal
Angka
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Persentase
Maksimal
Angka
Minimal
Angka
Maksimal
Waktu Persentase
Maksimal Maksimal
Persentase
Maksimal
Persentase
Maksimal
Persentase
Maksimal
110
111
BAB V KESIMPULAN DAN SARAN
Bab ini membahas mengenai kesimpulan dari penelitian dan saran penulis untuk penelitian selanjutnya dan untuk organisasi terkait. 5.1. Kesimpulan Berikut hasil analisis penelitian yang dilakukan pada bab 4, dapat ditarik kesimpulan sebagai berikut : 1. Proses-proses area yang diukur tingkat kapabilitas saat ini rata-rata berada di tingkat 1 (performed) pada proses area APO09, BAI02, BAI10, DSS01, DSS02, DSS03, DSS04 dan tingkat 2 (managed) pada proses area APO07, APO13, BAI04,BAI08. 2. Proses-proses area harapan atau target rata-rata berada di tingkat 3 (Estabilished) pada proses area APO09, BAI02, BAI10, DSS01, DSS02, DSS03, DSS04 dan tingkat 4 (Predictable) pada proses area APO07, APO13, BAI04,BAI08. 3. Pembuatan strategi pencapaian kapabilitas perbaikan dilakukan secara bertahap dengan meningkatkan proses area dengan level paling terkecil terlebih dahulu. 4. Pada penelitian ini upaya perbaikan proses dan pencapaian tujuan proses di berikan melalui rekomendasi aktivitas berupa kebijakan dan prosedur pengelolaan data dan informasi 5. KPI (Key Performance Indicator) sebagai indikator keberhasilan proses diperoleh dari dokumen COBIT 5 yang kemudian dilakukan pemilihan KPI yang relevan terhadap tiga sasaran strategis organisasi (SS). Proses pemilihan KPI yang relevan menghasilkan 53 KPI dari 66 KPI yang diperoleh dari dokumen COBIT 5. Hasil akhir dari KPI tersebut dapat dilihat pada bab 5 analisis.
111
112
5.2. Saran Dari hasil penelitian ini, saran yang dapat diberikan oleh penulis untuk Pusdatin Kemhan: 1. Dari hasil pengukuran tingkat kapabilitas pada Pusdatin Kementerian Pertahanan
disarankan
agar
Pusdatin
Kemhan
dapat
melakukan
optimalisasi dalam peningkatan kapabilitas SDM dengan cara memberikan pelatihan yang komprehensif baik teknis maupun non teknis untuk menunjang pelayanan yang maksimal. 2. Infrastruktur, koneksi jaringan, peralatan pendukung baik hardware maupun software harus lebih ditingkatkan kembali agar dapat memberikan pelayanan IT yang maksimal di lingkungan Kementerian Pertahanan. Untuk penelitian selanjutnya diharapkan dapat melakukan pengukuran tingkat kapabilitas secara menyeluruh di kementerian Pertahanan. 3. Pengukuran tingkat kapabilitas dari proses proses TI COBIT 5 menggunakan atribut yang sifatnya generic. Untuk pengembangan selanjutnya dapat dilakukan dengan menggunakan pertanyaan-pertanyaan yang lebih spesifik.
113
DAFTAR PUSTAKA Brown, A. E., & Grant, G. G. (2005). Framing the Frameworks : a Review of It Governance Research, 15, 696–712. Cabinet Office, H. (2011). Government Construction Strategy. Construction, 96(May), 43. http://doi.org/Vol 19 Cartlidge, A., Hanna, A., Rudd, C., Ivor, M., & Stuart, R. (2007). An introductory overview of ITIL V3. The UK Chapter of the itSMF. http://doi.org/10.1080/13642818708208530 Haes, S. De, & Grembergen, W. Van. (2004). IT Governance and its Mechanisms. Information Systems Control …, 1–14. Retrieved from http://pdf.aminer.org/000/245/098/introduction_to_the_minitrack_it_governa nce_and_its_mechanisms.pdf Isaca. (2013). COBIT: A Business Framework for the Governance and Management of Enterprise IT, 1–94. ITGI. (2011). Global Status Report on the Governance of Enterprise It ( GEIt )— 2011. Governance An International Journal Of Policy And Administration, 70. Retrieved from http://www.isaca.org/KnowledgeCenter/Research/Documents/Global-Status-Report-GEIT-10Jan2011Research.pdf Kementerian Komunikasi dan Informatika RI. (2007). Peraturan Menteri Komunikasi dan Informatika Republik Indonesia Nomor 41/Per/M.Kominfo/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Luftman, J., & Luftman, J. (2000). December 2000 ASSESSING BUSINESS-IT ALIGNMENT MATURITY ASSESSING BUSINESS-IT ALIGNMENT MATURITY, 4(December), 1–51. National Computing Centre. (2005). A Best Practice guide for decision makers in IT THE UK ’ S LEADING PROVIDER OF EXPERT SERVICES FOR IT PROFESSIONALS. Retrieved from https://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-ofEnterprise-IT/Prepare-for-the-Exam/StudyMaterials/Documents/Developing-a-Successful-Governance-Strategy.pdf 113
114
Platform, G., Assessment, C., Platform, G., & Assessment, C. (2014). PinkVERIFY TM 2011 ITSM Tool Assessment Criteria Service Asset & Configuration Management ( SACM ) PinkVERIFY TM 2011 ITSM Tool Assessment Criteria Service Asset & Configuration Management ( SACM ), 1–6. Sambamurthy, V., & Zmud, R. W. (1999). Arrangements for Information Technology Governance: A Theory of Multiple Contingencies. Management Information Systems Quarterly, 23(2), 261–290. http://doi.org/10.2307/249754 Sebaaoui, S., Lamrini, M., & Abbadi, L. El. (2015). Information Technology Governance Frameworks : Overview of Information Technology Infrastructure Library ( ITIL ) Implementation Approaches. Advanced Research in Computer Science and Software Engineering, 5(6), 142–150. Retrieved from http://www.ijarcsse.com/docs/papers/Volume_5/6_June2015/V5I6-0603.pdf Weill, P., Ross, J. W., No, C. W. P., & No, S. W. P. (2004). CENTER FOR INFORMATION SYSTEMS of Management Massachusetts Institute of Technology Massachusetts IT Governance on One Page Peter Weill Research Article : a completed research article drawing on one or more CISR research projects that presents management f. Group, 18. Retrieved from http://papers.ssrn.com/sol3/papers.cfm?abstract_id=664612 Widiyaningrum, R. A., Sminar, K. B., & Sukmana, H. (2015). an Approach To Design Services Key Performance, 35(1), 18–24. Wilkin, C. L., & Cerpa, N. (2012). Strategic Information Systems Planning : An Empirical Evaluation of Its Dimensions. Journal of Technology Management & Innovation, 7(2), 52–62. http://doi.org/10.4067/S071827242012000200005 (Kementerian Komunikasi dan Informatika RI, 2007)(ITGI, 2011)(Isaca, 2013)(Cabinet Office, 2011)(Sambamurthy & Zmud, 1999)(Weill, Ross, No, & No, 2004)(Weill et al., 2004)(Luftman & Luftman, 2000)(Haes & Grembergen, 2004)(Cartlidge, Hanna, Rudd, Ivor, & Stuart, 2007)(Brown & Grant, 2005)(Wilkin & Cerpa, 2012)(National Computing Centre, 2005)(Platform, Assessment, Platform, & Assessment, 2014)(Sebaaoui, Lamrini, & Abbadi, 2015)(Widiyaningrum, Sminar, & Sukmana, 2015)
