28
BAB IV FRAMEWORK PENYUSUNAN TATA KELOLA TI Framework penyusunan tata kelola TI ditujukan untuk memberikan arahan yang jelas dan terarah bagi Pemerintah dalam pembuatan dokumen tata kelola TI sehingga dokumen yang dihasilkan sesuai dengan definisi tata kelola menurut COBIT. Seperti telah disampaikan bahwa dari pembahasan sebelumnya bahwa dalam penelitian ini COBIT telah ditetapkan bahwa acuan tata kelola TI untuk pemerintahan. Terdapat 4 fase penerapan Tata Kelola, yaitu fase identify needs (mengidentifikasi kebutuhan), envision solution (meramalkan solusi), plan solution (merencanakan solusi), dan implement solution (menerapkan solusi). Keempat fase tersebut merupakan road map yang harus dilalui untuk menerapkan Tata Kelola TI (Gambar III.1). Pada perancangan tata kelola ini penulis membatasi hanya sampai pada tahan ketiga yaitu plan solution (merencanakan solusi)
Gambar IV.1. Road Map IT Governance Implementation Guide (ITGI, 2003).
29
Dengan memperhatikan masukan dari IT Governance Implementation Guide (ITGI, 2003) tentang road map implementasi tata kelola TI dan memasukkan tahapan untuk mengkaji kondisi pemerintahan kabupaten, maka dihasilkan framework penyusunan tata kelola TI untuk pemerintahan sebagaimana diperlihatkan pada gambar III.2.
Menumbuhkan Kesadaran Manajemen
Identifikasi Kondisi
Pengukuran nilai
Pemilihan proses TI
TI Kabupaten
dan resiko
kritikal
Target kematangan Analisis
Pengukuran tingkat
kesenjangan
kematangan Kematangan saat ini
Perbaikan kepemimpinan dan struktur Pembuatan
Dokumen tata
dokumen tata kelola
kelola Perbaikan proses
Gambar IV. 2 Framework Penyusunan Tata Kelola TI Pemerintahan
Sebagaimana terlihat pada gambar di atas, framework penyusunan tata kelola TI terdiri dari 8 (delapan) langkah utama. Dengan menggunakan
30 framework ini diharapkan tata kelola TI yang dihasilkan dapat sesuai dengan kebutuhan Kabupaten karena terdapat langkah yang dengan jelas mengharuskan adanya kajian terhadap kondisi TI (langkah 2) dan juga melakukan identifikasi dan pemetaan proses TI
dengan proses TI COBIT (langkah 3). Berikut
disampaikan penjelasan dari masing-masing tahapan yang ada di dalam framework penyusunan di atas. IV.1 Langkah 1: Menumbuhkan Kesadaran Manajemen Tanpa dukungan dari pihak manajemen organisasi, keberhasilan program tata kelola TI sangat sulit diraih. Diperlukan komitmen dan keterlibatan mulai dari awal penyusunan tata kelola untuk mendapatkan dukungan yang dibutuhkan. Untuk itu maka langkah pertama yang perlu dilakukan adalah membangkitkan kepedulian dari pihak manajemen (Management Awareness) tentang pentingnya Tata Kelola TI bagi organisasi. Metoda Metoda yang dapat digunakan untuk membangkitkan kesadaran dan kepedulian atas tata kelola TI ini antara lain dengan mengadakan seminar sehari tentang Tata Kelola TI. Peserta seminar adalah para Pimpinan yaitu: 1.
Bupati
2.
Sekretaris Daerah
3.
Kepala Dinas/Kantor/Badan
4.
Kepala Bagian
Materi Materi yang diberikan antara lain: 1.
Latar belakang dan kegunaan Tata Kelola TI bagi Instansi Pemerintah
2.
Cakupan tata kelola TI di Kabupaten Ngawi.
3.
Pemahaman dasar mengenai COBIT sebagai acuan framework untuk tata kelola TI di Instansi pemerintah
31 IV.2 Langkah 2: Identifikasi Kondisi TI Setelah manajemen memiliki kesadaran tentang pentingnya tata kelola TI bagi kebupaten yang dipimpinnya maka langkah selanjutnya adalah melakukan identifikasi kondisi TI di tersebut. Kondisi TI ada yang bersifat umum dan mencakup semua (seperti regulasi yang dikeluarkan oleh Pemerintah Pusat terkait TI yang harus dipatuhi oleh semua ) serta kondisi TI yang spesifik bagi masingmasing sesuai dengan kebutuhannya. Kedua hal ini perlu mendapatkan perhatian dalam penyusunan tata kelola TI. Kondisi yang perlu diidentifikasi adalah yang terkait kepemimpinan, struktur organisasi dan proses TI. Metoda Untuk identifikasi kondisi TI metoda yang dapat digunakan adalah: 1. Wawancara terhadap para pimpinan . Wawancara merupakan metoda yang cukup efektif dalam melakukan pengukuran dimana dengan wawancara dapat diketahui dengan cukup jelas kondisi dan permasalahan yang dihadapi oleh masing-masing unit organisasi di dalam . Kendala utama yang mungkin dihadapi adalah adanya birokrasi yang mengharuskan tim survei dibekali dengan surat pengantar. Kemungkinan masalah yang timbul dari hal ini adalah terbitnya surat pengantar dapat memakan waktu yang cukup lama sehingga mengganggu kelancaran proses pengukuran dengan metoda ini. Salah satu solusi untuk masalah ini adalah sambil menunggu terbitnya surat pengantar terbit tim survei tetap berusaha melakukan wawancara kepada para pimpinan melalui jalinan kontak yang informal.
2. Pengumpulan dan kajian terhadap dokumen-dokumen terkait visi dan misi, rencana strategis, peraturan-peraturan organisasi, tupoksi dan tata kelola TI . Daftar dokumen yang perlu dikumpulkan serta hasilnya perlu dirangkum dalam sebuah daftar seperti diperlihatkan pada contoh berikut ini.
32 Tabel IV.1. Contoh Daftar Dokumen Yang Perlu Dikumpulkan NO. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
NAMA DOKUMEN Renstra Dokumen Tupoksi Setiap institusi di dalam Dokumen Proses bisnis Utama yang berlaku Dokumen terkait kebutuhan fungsional kunci dari proses bisnis utama Dokumen teknis sistem aplikasi utama Dokumen tingkat layanan Dokumen arsitektur, topologi, kapasitas dan kondisi infrastruktur TI eksisting Dokumen Tupoksi Pengelola TI Dokumen komposisi dan kompetensi SDM TI eksisting Dokumen program tata kelola TI
ADA
TIDAK
Seperti telah dijelaskan di atas bahwa terdapat kondisi yang bersifat umum dan berlaku untuk semua
karena terkait dengan regulasi yang dikeluarkan oleh
Pemerintah Pusat dan harus dipatuhi oleh semua maupun kondisi yang bersifat spesifik dan hanya berlaku pada yang bersangkutan sesuai kebutuhan masingmasing . Salah satu contoh regulasi yang dikeluarkan oleh pemerintahan yang berlaku bagi semua
adalah Peraturan Menteri Komunikasi dan Informatika
Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional. Dalam Peraturan Menteri tersebut terdapat beberapa hal terkait kepemimpinan, struktur organisasi, dan proses TI di Pemerintahan yang perlu dikaji dan menjadi bahan pertimbangan dalam penyusunan tata kelola TI . Sedangkan contoh untuk regulasi yang dikeluarkan oleh Menteri dari
yang
bersangkutan dan hanya berlaku bagi tersebut adalah peraturan tentang pengelola TI . Peraturan Menteri ini perlu dikaji untuk mengetahui siapa yang ditunjuk sebagai pengelola TI dan apa wewenangnya. Dari tahap ini diperoleh hasil kajian dokumen terkait tata kelola TI yang berhasil dikumpulkan dan hasil wawancara tentang kepemimpinan, struktur dan proses TI.
33 IV.3 Langkah 3: Identifikasi dan Pemetaan Proses TI terhadap Proses TI COBIT Pada langkah sebelumnya telah diidentifikasi kondisi pengelolaan TI. Dari hasil tersebut maka dapat diidentifikasi proses-proses TI yang ada. Pada langkah ini proses-proses TI tersebut dipetakan ke proses-proses TI yang didefinisikan dalam COBIT. Pemetaan dilakukan untuk mengidentifikasi kaitan yang jelas antara proses-proses yang ada termasuk yang dipersyaratkan harus ada oleh regulasi dengan prosesproses TI dalam COBIT. Dengan pemetaan ini maka dapat diuji pula apakah semua proses TI yang terjadi di dalam organisasi memang terwakili oleh COBIT atau tidak, kemudian dapat diketahui pula hubungan antara keduanya. Dengan demikian kaitan antara proses TI dalam COBIT dengan proses TI di Departemen yang mencerminkan kebutuhan departemen menjadi jelas sehingga tata kelola TI yang dihasilkan nantinya dapat sesuai dengan kebutuhan dan kondisi spesifik dari organisasi yang bersangkutan. IV.4 Langkah 4: Pengukuran Nilai Dan Risiko TI Langkah berikutnya adalah mengukur nilai dan risiko TI yang dimiliki. Pengukuran dilakukan untuk mengetahui nilai proses TI yang mencerminkan tingkat kepentingan terhadap sebuah proses TI. Selain itu pengukuran dilakukan juga untuk mengetahui profil risiko yang ditimbulkan oleh setiap proses TI. Yang dimaksud dengan proses TI di sini adalah proses TI yang didefinisikan di dalam COBIT. Metoda Untuk melaksanakan pengukuran dapat digunakan metoda wawancara terhadap para pimpinan . Terdapat dua perangkat bantu yang dapat digunkan pengukuran nilai dan risiko TI ini yaitu: 1. Perangkat untuk mengukur nilai proses TI 2. Perangkat untuk mengukur risiko TI
34 Pengukuran nilai TI Pengukuran nilai TI dilakukan dengan cara menanyakan tentang pentingnya setiap proses TI yang ada dalam COBIT kepada Pimpinan . Seperti terlihat pada Tabel Pengukuran Nilai TI, kolom “Nilai Proses” diisi berdasarkan jawaban Pimpinan terhadap pertanyaan: “Seberapa pentingkah peran proses bagi ?”.
Penilaian
untuk kolom “Nilai Proses” dapat dilihat pada tabel di bawah ini. Tabel IV. 2 Penilaian untuk Nilai TI Nilai
Keterangan
5
Sangat Penting
4
Penting
3
Cukup Penting
2
Tidak Penting
1
Sama Sekali Tidak Penting
Tabel IV. 3 Pengukuran Nilai TI Proses COBIT
Nilai Proses
Plan and Organise PO1 Mendefinisikan Rencana TI Strategis PO2 Mendefinisikan arsitektur informasi PO3 Menentukan arahan teknologi PO4 Mendefinisikan proses, organisasi dan hubungan TI PO5 Manajemen investasi TI PO6 Mengomunikasikan tujuan dan arahan manajemen PO7 Manajemen sumber daya manusia TI PO8 Manajemen Mutu PO9 Manajemen risiko PO10 Manajemen proyek Acquire and Implement AI1 Mengidentifikasi solusi yang terotamatisasi AI2 Melakukan pengadaan dan pemeliharaan perangkat lunak aplikasi
35
Proses COBIT
Nilai Proses
AI3 Melakukan pengadaan dan pemeliharaan infrastruktur teknologi AI4 Memungkinkan operasi dan penggunaan AI5 Melakukan pengadaan sumber daya TI AI6 Manajemen Perubahan AI7 Memasang dan menggunakan solusi dan melaksanakan perubahan Deliver and Support DS1 Manajemen tingkat layanan DS2 Manajemen layanan pihak ketiga DS3 Manajemen kinerja dan kapasitas DS4 Memastikan keberlangsungan layanan DS5 Memastikan keamanan sistem DS6 Mengidentifikasi dan mengalokasikan biaya DS7 Mendidik dan melatih pengguna DS8 Manajemen Service Desk dan insiden DS9 Manajemen konfigurasi DS10 Manajemen masalah. DS11 Manajemen Data DS12 Manajemen lingkungan fisik DS13 Manajemen operasi Monitor and Evaluate ME1 Memonitor dan mengevaluasi kinerja TI ME2 Memonitor dan mengevaluasi kontrol internal ME3 Memastikan pemenuhan terhadap regulasi ME4 Memberikan tata kelola TI
Pengukuran risiko TI Penerapan TI pada sebuah organisasi tentunya memiliki risiko TI tersendiri. Risiko ini dapat dikurangi dampaknya dengan melakukan kontrol-kontrol tertentu. Oleh karena itu untuk pengukuran risiko TI dapat dilakukan dengan memeriksa keberadaan kontrol untuk setiap proses TI tersebut. Menurut COBIT, kontrol
36 dapat berupa kebijakan, prosedur, praktik dan struktur organisasi yang dapat menjamin bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dihindari atau dideteksi.
Untuk mengukur risiko TI maka perangkat bantu di seperti ditunjukkan pada tabel III.4 dapat digunakan. Kontrol kunci pada tabel tersebut diambil dari kontrol yang didefinisikan oleh COBIT untuk setiap proses TI. Sebagai contoh untuk PO1 Mendefinisikan Rencana TI Strategis (Define a Strategic IT Plan), COBIT mendefinisikan kontrolnya sebagai berikut: •
Engaging with business and senior management in aligning IT strategic planning with current and future business needs.
•
Understanding current IT capabilities.
•
Providing for a prioritization scheme for the business objectives that quantifies the business requirements. Dengan demikian maka kontrol kunci untuk PO1 tersebut adalah:
•
Keselarasan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan yang akan datang dibicarakan dengan manajemen bisnis dan senior
•
Memahami kemampuan TI saat ini
•
Memberikan skema prioritas untuk tujuan bisnis yang mengkuanfikasi kebutuhan bisnis.
Kontrol kunci tersebut kemudian diukur dengan menanyakan kepada para pimpinan apakah sudah ada atau belum, didokumentasikan atau tidak. Tabel IV.4 memperlihatkan contoh untuk 4 proses TI yaitu PO1, PO2, dan PO3.
37 Tabel IV. 4 Pengukuran Risiko
1.00 0.75
PO1
Keselarasan
Mendefinisikan strategis
perencanaan TI
dengan
Rencana
TI kebutuhan bisnis saat ini
Strategis
dan yang akan datang dibicarakan
dengan
manajemen
bisnis
dan
senior Memahami kemampuan TI saat ini Memberikan
skema
prioritas
tujuan
untuk
bisnis
yang
mengkuantifikasi kebutuhan bisnis PO2
Memastikan
keakuratan
Mendefinisikan arsitektur informasi dan arsitektur
model data
informasi
Menetapkan
kepemilikan
data Mengelompokan informasi
0.50 0.25 0.00
Per Proses
Risiko
Per Aktivitas
Tidak yakin
Proses
Seluruhanya, Didokumentasikan
Kontrol Kunci
Seluruhnya, Ada yang tidak didokumentasikan
COBIT dan
Sebagian, Tidak didokumentasikan
Domain
Sebagian, Didokumentasikan
Analisis Kontrol Kunci
38
1.00 0.75 dengan skema
menggunakan pengelompokkan
yang disetujui PO3
Membentuk sebuah forum
Menentukan
untuk memandu arsitektur
arahan
dan
teknologi
pemenuhan
memverifikasi
Membangun teknis
rencana infrastruktur
seimbang terhadap biaya, risiko dan kebutuhan Mendefinisikan teknis berdasarkan kebutuhan informasi
standar
infrastruktur pada arsitektur
0.50 0.25 0.00
Per Proses
Risiko
Per Aktivitas
Tidak yakin
Proses
Seluruhanya, Didokumentasikan
Kontrol Kunci
Seluruhnya, Ada yang tidak didokumentasikan
COBIT dan
Sebagian, Tidak didokumentasikan
Domain
Sebagian, Didokumentasikan
Analisis Kontrol Kunci
39 Untuk kepentingan analisis keberadaan kontrol kunci tersebut dikategorikan dan diberi nilai sebagaimana ditunjukkan pada tabel IV.5.
Tabel IV. 5 Nilai Untuk Analisis Kontrol Kunci Jawaban
Nilai
Semua kontrol ada dan didokumentasikan
0.00
Semua kontrol ada tetapi ada yang belum didokumentasikan
0.25
Sebagian kontrol ada dan sudah didokumentasikan
0.50
Sebagian kontrol ada tetapi belum didokumentasikan
0.75
Tidak yakin dengan adanya kontrol
1.00
Selanjutnya pengisian tabel tersebut mengikuti aturan sebagai berikut: a. Kolom “Analisis Kontrol Kunci” diisi dengan hasil penilaian keberadaan kontrol untuk setiap proses TI seperti dijelaskan sebelumnya. b. Kolom “Risiko – Per Aktivitas” diisi dengan jumlah nilai analisis kontrol kunci untuk setiap kontrol kunci dari proses TI tertentu. c. Kolom “Risiko – Per Proses” diisi dengan rata-rata nilai analisis kontrol kunci untuk setiap proses TI. Dengan menggunakan tabel IV.4 maka dapat kita lihat bahwa sebuah proses TI memiliki nilai risiko yang tinggi bilamana kontrol kunci untuk proses tersebut tidak atau belum dilaksanakan secara sempurna oleh organisasi. IV.5 Langkah 5: Pemilihan Proses TI Yang Kritikal Langkah berikutnya adalah memilih proses TI yang kritikal. Perbaikan tata kelola TI akan diprioritaskan pada proses-proses TI yang kritikal ini. Proses-proses TI kritikal tersebut memiliki kriteria sebagai berikut: a. Proses TI tersebut dinilai penting bagi kepentingan , hal ini ditunjukkan dengan nilai pada kolom “Nilai Proses” pada tabel. b. Proses TI tersebut dinilai memiliki tingkat risiko yang cukup tinggi akibat kurangnya kontrol yang memadai terhadap risiko TI.
40
Pemilihan proses TI yang kritikal ini dapat dilakukan dengan mempertimbangkan hasil dari tahap sebelumnya yaitu dengan mengalikan nilai pentingnya sebuah proses TI bagi dengan risiko dari proses TI tersebut. Perkalian ini menghasilkan sebuah nilai yang merupakan status risiko dari setiap proses TI bagi organisasi tersebut.
Tabel IV. 6 Tabel Pengukuran Nilai dan Risiko TI
Proses
Domain COBIT dan
Kontrol Kunci
Proses
PO1
Keselarasan
Mendefinisikan
perencanaan strategis
Rencana
TI TI dengan kebutuhan
Strategis
bisnis saat ini dan yang
akan
dibicarakan
datang dengan
manajemen bisnis dan senior Memahami kemampuan TI saat ini Memberikan
skema
prioritas untuk tujuan bisnis
yang
mengkuantifikasi kebutuhan bisnis PO2
Memastikan
Mendefinisikan
keakuratan
arsitektur
Per Proses
Nilai
Per Aktivitas
Risiko Status Profil
41
Proses
Domain COBIT dan
Per Aktivitas
Nilai
Kontrol Kunci
Proses
arsitektur
informasi dan model
informasi
data Menetapkan kepemilikan data Mengelompokan informasi
dengan
menggunakan
skema
pengelompokkan yang disetujui PO3
Membentuk
sebuah
Menentukan
forum untuk memandu
arahan teknologi
arsitektur
dan
memverifikasi pemenuhan Membangun teknis
infrastruktur
seimbang biaya,
rencana
terhadap risiko
dan
kebutuhan Mendefinisikan standar
teknis
infrastruktur berdasarkan kebutuhan informasi
pada arsitektur
Per Proses
Risiko Status Profil
42
Nilai status yang dihasilkan kemudian dikelompokkan dalam 3 kategori sebagai berikut: a. Kategori “Rendah” untuk nilai 0 sampai lebih kecil atau sama dengan 1,666 b. Kategori “Sedang” untuk nilai yang lebih besar dari 1,666 dan lebih kecil dari atau sama dengan 3,333 c. Kategori “Tinggi” untuk nilai yang lebih besar dari 3,333
Penilaian ini dilakukan untuk semua proses TI dan diisikan dalam kolom “Profil” seperti ditunjukkan pada tabel III.6 di atas. Proses TI yang kritikal tentunya proses TI yang memiliki nilai profil “Sedang” dan/atau “Tinggi”. Tentunya setiap dapat menentukan sendiri apakah proses TI kritikal adalah proses dengan profil “Sedang” dan “Tinggi” atau hanya yang memiliki profil “Tinggi” saja. IV.6 Langkah 6: Pengukuran Tingkat Kematangan Setelah menentukan proses TI yang kritikal bagi maka tahap berikutnya adalah mengukur tingkat kematangan dari proses-proses TI tersebut. Tingkat kematangan proses TI perlu diukur untuk mengetahui kondisi kematangan dari proses TI saat ini dan mengidentifikasi kemungkinan perbaikannya. Untuk itu terdapat dua hal yang perlu dilakukan yaitu: 1. Mengukur tingkat kematangan saat ini dari proses-proses TI yang kritikal. 2. Menetapkan tingkat kematangan yang menjadi target pencapaian guna memperbaiki tingkat kematangan saat ini.
Metoda Metoda pengukuran yang dapat dipakai adalah wawancara terhadap pimpinan . Kematangan dapat dihitung dengan menggunakan alat bantu seperti diperlihatkan pada tabel di bawah ini. Alat bantu tersebut menggunakan model kematangan proses TI dimana terdapat 5 (lima) tingkatan yaitu: a. Tingkat 1 Initial/Ad Hoc
43 b. Tingkat 2 Repeatable but Intuitive c. Tingkat 3 Defined Process d. Tingkat 4 Managed and Measurable e. Tingkat 5 Optimised
Setiap tingkat kematangan memiliki pernyataan yang diturunkan dari persyaratan tingkat kematangan yang didefinisikan oleh COBIT. Sebagai contoh untuk PO1 tingkat kematangan 1 memiliki persyaratan sebagai berikut
“The need for IT strategic planning is known by IT management. IT planning is performed on an as-needed basis in response to a specific business requirement. IT strategic planning is occasionally discussed at IT management meetings. The alignment of business requirements, applications and technology takes place reactively rather than by an organisationwide strategy. The strategic risk position is identified informally on a project-by-project basis.“
Dari persyaratan di atas maka dapat diturunkan pernyataan untuk tingkat kematangan 1 PO1 adalah sebagai berikut: •
Kebutuhan perencanaan strategis TI diketahui oleh manajemen TI
•
Terdapat perencanaan TI paling sedikit berdasarkan kebutuhan untuk memenuhi persyaratan bisnis tertentu.
•
Perencanaan strategis TI
didiskusikan pada pertemuan manajemen TI
(meskipun mungkin belum rutin dilakukan). •
Terdapat keselarasan antara kebutuhan bisnis, aplikasi dan teknologi (meskipun mungkin masih reaktif dan bukan berdasarkan strategi organisasi).
•
Posisi risiko yang strategis diidentifikasi (meskipun mungkin masih secara informil per proyek).
Untuk mengetahui kematangan sebuah proses TI secara komprehensif, maka pemenuhan sebuah proses terhadap persyaratan setiap tingkat kematangan yang
44 ditetapkan dalam model kematangan COBIT perlu diukur. Hal ini dikarenakan sebuah proses meskipun belum memenuhi secara sempurna persyaratan sebuah tingkat kematangan namun mungkin sudah memenuhi sebagian dari persyaratan tersebut dan hal ini tentu saja perlu mendapatkan apresiasi dan penilaian. Sebagai contoh untuk mengukur tingkat kematangan proses TI PO1 Mendefinisikan Rencana TI Strategis (Define a strategic IT plan) maka perlu diukur pemenuhan dari proses TI yang terjadi di sebuah organisasi dengan persyaratan dalam setiap tingkat kematangan di dalam COBIT mulai dari tingkat 1 sampai 5 sebagai berikut.
1
Kebutuhan perencanaan strategis TI diketahui oleh manajemen TI
2
Terdapat
perencanaan
berdasarkan
TI
kebutuhan
paling
untuk
sedikit
memenuhi
persyaratan bisnis tertentu. 3
Perencanaan strategis TI
didiskusikan pada
pertemuan manajemen TI (meskipun mungkin belum rutin dilakukan). 4
Terdapat keselarasan antara kebutuhan bisnis, aplikasi dan teknologi (meskipun mungkin masih reaktif
dan
bukan
berdasarkan
strategi
organisasi). 5
Posisi
risiko
yang
strategis
diidentifikasi
(meskipun mungkin masih secara informil per
0.66
1.00
Nilai
Sangat setuju
0.33
tertentu
0.00
Setuju sampai tingkat
Pernyataan
Agak setuju
No.
Tidak setuju sama sekali
Tingkat Kematangan: 1
45
Nilai
Sangat setuju
tertentu
Setuju sampai tingkat
Pernyataan
Agak setuju
No.
Tidak setuju sama sekali
proyek). Pemenuhan
1
0.66
1.00
Perencanaan strategis TI dibicarakan dengan manajemen bisnis berdasarkan kebutuhan
2
Pembaharuan (meskipun
rencana mungkin
TI
dilaksanakan
masih
berdasarkan
permintaan manajemen) 3
Adanya mekanisme pengambilan keputusan yang
strategis
(meskipun
mungkin
masih
dikendalikan per proyek dan belum konsisten dengan strategi organisasi keseluruhan) 4
Risiko dan manfaat pengguna untuk keputusankeputusan strategis yang utama diidentifikasi (meskipun mungkin masih bersifat intuitif) Pemenuhan
Tingkat Kematangan: 3
Nilai
Sangat setuju
0.33
tertentu
0.00
Setuju sampai tingkat
Pernyataan
Agak setuju
No.
Tidak setuju sama sekali
Tingkat Kematangan: 2
46
1
0.66
1.00
Terdapat kebijakan mengenai kapan dan bagaimana melakukan perencanaan strategis TI
2
Perencanaan strategis TI mengikuti pendekatan terstruktur, didokumentasikan dan diketahui semua staf
3
Proses perencanaan TI cukup baik guna memastikan bahwa perencanaan yang tepat memungkinkan untuk dilakukan
4
Sudah dilakukan penilaian atas pelaksanaan proses perencanaan
TI
(meskipun
mungkin
masih
diserahkan kepada para manajer dan belum terdapat prosedur untuk itu). 5
Strategi TI keseluruhan mencakup batasan yang konsisten tentang risiko yang dapat diambil oleh organisasi baik risiko sebagai innovator ataupun follower.
6
Strategi finansial, teknis dan sumber daya manusia TI semakin mempengaruhi pengadaan produk dan teknologi baru
7
Perencanaan
strategis
TI
didiskusikan
pada
pertemuan manajemen bisnis Pemenuhan
Nilai pemenuhan dari setiap tingkat kematangan kemudian dikalikan dengan bobot yang menunjukkan kontribusi dari masing-masing tingkat kematangan bagi
Nilai
Sangat setuju
0.33
tertentu
0.00
Setuju sampai tingkat
Pernyataan
Agak setuju
No.
Tidak setuju sama sekali
47 tingkat kematangan keseluruhan proses TI. Penentuan bobot diserahkan kepada masing-masing
berdasarkan pertimbangan tingkat kepentingan atau tingkat
kesulitan pencapaian dari masing-masing tingkat kematangan bagi tingkat kepentingan keseluruhan.
Sebagai contoh bila sebuah menganggap semua tingkat kematangan memberikan kontribusi yang sama bagi tingkat kematangan keseluruhan sebuah proses maka bobot setiap tingkat kematangan dapat diberi nilai 1.00. Namun bila tersebut menganggap tingkat kematangan yang tinggi memerlukan usaha yang lebih besar dan juga pencapaiannya memberikan dampak yang lebih besar pula maka tentunya bobot yang lebih besar dapat diberikan untuk tingkat kematangan yang lebih tinggi sebagaimana diperlihatkan pada contoh di bawah ini. Hasil perkalian setiap tingkat kematangan ini kemudian dijumlahkan untuk menghasilkan nilai tingkat kematangan dari proses TI tersebut.
Tingkat Pemenuhan Bobot 1 2 3 4
0.34 0.66 1.00 1.33
5
1.67 Tingkat Kematangan
Nilai
Selain pengukuran tingkat kematangan proses TI saat ini, perlu juga ditetapkan target tingkat kematangan yang ingin dicapai oleh yang bersangkutan. Tingkat kematangan yang menjadi target dapat ditetapkan oleh pimpinan
dengan
mempertimbangkan: •
Kondisi kematangan proses TI saat ini.
•
Kemampuan dari tersebut untuk mencapainya.
•
Tingkat urgensi dan kebutuhan organisasi atas proses TI tersebut termasuk yang disebabkan oleh regulasi.
48 IV.7 Langkah 7: Analisis Kesenjangan Dari hasil pengukuran tingkat kematangan proses-proses TI saat ini dan target tingkat kematangan yang telah ditetapkan maka dapat diketahui kesenjangan kondisi di antara keduanya. Target tingkat kematangan dapat dijadikan masukan untuk menentukan persyaratan dari setiap proses TI yang diharapkan dapat dicapai di masa yang akan datang. Sebagai contoh misalnya target tingkat kematangan adalah 3.00 maka tentunya setiap proses TI harus berusaha memenuhi persyaratan kematangan proses TI yang ada di tingkat 4 supaya nilai tingkat kematangan minimal 3.00 tersebut dapat dicapai. IV.8 Langkah 8: Pembuatan Dokumen Tata Kelola TI Dengan memperhatikan hasil yang terlah didapat sebelumnya antara lain tentang kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI. Dokumen tata kelola TI berisi kebijakan, standard, dan/atau prosedur menyangkut: 1. Perbaikan kepemimpinan dan struktur tata kelola TI Dalam menyusun kebijakan, standard, dan/atau prosedur terkait kepemimpinan dan struktur tata kelola TI, terdapat beberapa hal yang perlu dipertimbangkan diantaranya: •
Struktur organisasi TI saat ini dan dibandingkan dengan praktik-praktik terbaik untuk organisasi TI. Praktik-praktik terbaik ini antara lain praktik terbaik mengenai: o Struktur Komite Strategi TI dan Komite Pengarah TI sebagaimana diperlihatkan dalam Board Briefing on IT Governance (ITGI, 2003). o Struktur organisasi TI o Pemilahan tugas (segregation of duties) dalam pengelolaan TI.
•
Regulasi pemerintahan pusat dan tentang kepemimpinan dan struktur tata kelola TI. Contoh regulasi yang perlu mendapatkan perhatian adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional.
49
2. Perbaikan proses tata kelola TI Hal-hal yang perlu diperhatikan terkait hal ini antara lain: •
Proses-proses TI yang harus ada berdasarkan baik berdasarkan regulasi yang berlaku bagi
(antara lain Peraturan Menteri Komunikasi dan
Informatika Nomor 41 Tahun 2007) maupun untuk memenuhi kebutuhan spesifik dari
yang bersangkutan (dengan berdasarkan hasil pemilihan
proses TI yang kritikal). •
Target tingkat kematangan dari proses-proses TI. Persyaratan dari target tingkat kematangan dapat menjadi masukan yang berharga untuk penyusunan kebijakan, standard dan/atau prosedur terkait proses tata kelola TI ini.
Kebijakan yang dibuat dapat mengikuti format seperti ditampilkan dalam tabel berikut ini. Tabel IV.7 Format Kebijakan Nomor Kebijakan/Standard/Prosedur Ranah (optional) Nama Kebijakan/Standard/Prosedur Pernyataan Penjelasan Pernyataan Hubungan
dengan
Prosedur/
Kebijakan/Standard Tanggal berlaku Efektif
4.4 Template Dokumen Tata Kelola TI Pemerintahan Sesuai batasan masalah penelitian ini, maka template dokumen tata kelola TI yang diberikan sebatas kerangka dokumennya. Template dokumen Tata Kelola TI untuk memiliki kerangka sebagai berikut:
50 Ringkasan Eksekutif Berisi ringkasan tentang informasi yang dapat diperoleh dari Dokumen Tata Kelola TI ini. Isinya antara lain tentang alasan dan manfaat tata kelola TI bagi dan penanggung jawabnya. Disebutkan juga bahwa dokumen ini terdiri dari kebijakan, standard dan prosedur yang terkait dengan kepemimpinan, struktur dan proses tata kelola TI.
Pertimbangan-pertimbangan yang digunakan dalam menyusun dokumen tata kelola juga disebutkan dan jumlah kebijakan yang ada dalam dokumen perlu juga disampaikan di bagian ini.
1. PENDAHULUAN 1. Tujuan Dokumen ini berisi penjelasan tentang kebijakan, standard dan prosedur terkait tata kelola TI untuk , yang menjadi panduan dalam menjalankan tata kelola TI di lingkungan . 2. Cakupan dan Batasan Dokumen Tata Kelola TI dibuat berdasarkan hasil kajian dan pengukuran nilai serta risiko TI dan difokuskan pada proses-proses TI yang dinilai memiliki risiko menengah dan tinggi.
Daftar proses-proses TI yang dianggap kritikal di adalah: No.
Nama Proses
Dokumen ini berisi kebijakan untuk proses-proses tersebut berdasarkan kebutuhannya.
Kebijakan
merupakan
pernyataan
umum
yang
mengungkapkan persyaratan dan harapan dari pihak manajemen puncak. 2. RUJUKAN Dokumen, standard, praktik-praktik terbaik dan regulasi yang dijadikan acuan dalam pembuatan dokumen tata kelola ini adalah:
51 No.
NAMA DOKUMEN
3. LINGKUP TATA KELOLA TI 3.1. Dasar penyusunan Dokumen ini disusun berdasarkan hasil pengukuran nilai dan risiko TI terhadap proses-proses yang ada di dalam COBIT dengan mempertimbangkan kondisi yang ada di .
Pemilihan dilakukan terhadap proses-proses yang memiliki profil risiko “sedang” dan “tinggi”. Berikut hasil lengkap dari pengukuran yang dilakukan.
Proses
Profil
Proses 1
Rendah/Sedang/Tinggi
Proses 2
Rendah/Sedang/Tinggi
Proses 3
Rendah/Sedang/Tinggi
Proses 4
Rendah/Sedang/Tinggi
Proses 5
Rendah/Sedang/Tinggi
3.2. Sistematika Dokumen Penulisan Dokumen mengikuti sistematika sebagai berikut: Kepemimpinan dan Struktur Tata Kelola •
Kebijakan Kepemimpinan dan Struktur
•
Standard Kepemimpinan dan Struktur
•
Prosedur Kepemimpinan dan Struktur
Proses Tata Kelola •
Kebijakan Proses
52 •
Standard Proses
•
Prosedur Proses
Standard dan prosedur hanya dibuat bila memang dibutuhkan untuk menjalankan sebuah kebijakan.
3.3. Penomoran Standard penomoran digunakan dalam penulisan dokumen tata kelola TI ini untuk memudahkan pencarian dan pengelompokkan. Berikut penjelasan dari penomoran tersebut Contoh penomoran: TKTI.A.BB Penjelasan: TKTI = Tata Kelola IT, sama untuk semua A
= 1 untuk kelompok kepemimpinan dan struktur 2 untuk kelompok proses
B
= nomor urut kebijakan/standard/prosedur
4. KEPEMIMPINAN DAN STRUKTUR TATA KELOLA Berisi kebijakan, standard dan prosedur terkait kepemimpinan dan struktur tata kelola TI di
yang diperlukan untuk memberikan kepemimpinan dan
struktur organisasi yang dibutuhkan dalam menjalankan tata kelola TI di pemerintahan.
4.1. Kebijakan Kepemimpinan dan Struktur 4.1.1. Kebijakan 1 Kode Tentang Pernyataan Penjelasan Pernyataan Hubungan dengan
53 Standard/Prosedur Tanggal
berlaku
Efektif
5. PROSES TATA KELOLA Proses-proses tata kelola TI meliputi proses-proses TI yang kritikal yang digolongkan
dalam
kelompok
proses
perencanaan,
manajemen
belanja/investasi, realisasi, pengoperasian dan pemeliharaan sistem.
5.1. Kebijakan Proses 5.1.1. Kebijakan 1 Nomor Kebijakan Ranah Nama Kebijakan Pernyataan Penjelasan Pernyataan Hubungan dengan Prosedur/Standard