Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia) Suryawan Sudibyo, Machmudin Eka Prasetya Program Studi S1 Akuntansi Reguler Fakultas Ekonomi Universitas Indonesia Email:
[email protected]
Abstrak Skripsi ini membahas tentang penilaian tata kelola teknologi informasi pada PT Kereta Api Indonesia (persero) yang berdasarkan pada kerangka kerja COBIT khususnya pengukuran maturity level. Hal ini dilakukan karena tata kelola teknologi dibutuhkan untuk memastikan bahwa investasi teknologi informasi yang dilakukan oleh perusahaan dapat membantu dan selaras dengan tujuan bisnis perusahaan. Berdasarkan hasil pemetaan tujuan bisnis PT Kereta Api Indonesia (persero) dengan tujuan bisnis COBIT terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. PT Kereta Api Indonesia (persero) memiliki 4 proses pada level Managed and Measurable, 11 proses pada level defined, 13 proses pada level repeatable but intuitive dan 2 proses level pada level ad-hoc Kata Kunci: COBIT 4.1, Tata Kelola Teknologi Informasi, maturity level
Evaluation of Information Technology Governance Based on COBIT Framework (Study Case on PT Kereta Api Indonesia) Abstract This paper discusses about the assessment of information technology governance on PT Kereta Api Indonesia (persero) based on COBIT framework and specifically with maturity level models. Evaluation of IT governance is needed to make sure that the investment made by organization is aligned with their business goals. Mapping of PT Kereta Api Indonesia’s business goals with COBIT’s business goals identified 30 IT Process and 183 Control Objectives. PT Kereta Api Indonesia has 4 process at level managed and measurable, 11 process at level defined, 13 process at level repeatable but intuitive and 2 process at level ad-hoc Keywords: COBIT 4.1, IT Governance, maturity level
Pendahuluan Teknologi Informasi (TI) berkembang pesat seiring dengan berkembangnya ilmu pengetahuan khususnya dalam bidang teknologi. Perkembangan yang pesat ini menjadikan penerapan teknologi informasi pada berbagai organisasi menjadi sebuah hal yang vital dan penting. Penerapan teknologi informasi dipandang sebagai sebuah sarana dalam meningkatkan efisiensi dan efektivitas kinerja organisasi yang dapat membantu organisasi dalam menjalani persaingan. Walau begitu penerapan teknologi informasi merupakan sebuah kegiatan yang meliputi banyak faktor seperti biaya, waktu dan fungsi, melihat hal tersebut maka penerapan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
teknologi harus dilakukan secara berhati-hati agar dapat mencapai tujuannya dan berfungsi secara optimal. Peranan teknologi informasi yang signifikan ini membuat manajemen perusahaan untuk lebih fokus dalam mengelola penggunaan teknologi informasi. Hal ini dikarenakan dalam implementasi teknologi informasi terdapat berbagai kemungkinan buruk yang mungkin terjadi seperti kerugian bisnis, kerusakan reputasi, melemahkan kemampuan kompetisi perusahaan, teknologi yang digunakan sudah usang dan kebocoran data (ITGI, 2003). Hal-hal tersebut mendorong perusahaan agar lebih fokus dalam mengambil kebijakan-kebijakan yang berhubungan dengan teknologi informasi perusahaan. Oleh karena itu dalam mengelola teknologi informasi perusahaan dapat menerapkan IT Governance agar pengelolaan teknologi informasi dapat lebih efektif. Dalam penelitiannya Lunardi
et al. (2013) menemukan bahwa perusahaan yang menerapkan IT Governance
meningkat performanya khususnya pada profitabilitas perusahaan. IT Governance adalah sebuah bagian integral dari Corporate Governance yang terdiri dari kepemimpinan, struktur organisasi serta proses untuk memastikan bahwa tujuan perusahaan tercapai dari penerapan teknologi informasi (ITGI, 2003). Dalam penerapannya tata kelola teknologi informasi dapat menggunakan framework COBIT, yakni sebuah framework yang dikeluarkan oleh Information Technology Governance Institute (ITGI). Framework ini dapat mengarahkan perusahaan agar penerapan teknologi informasi yang dilakukan mencapai tujuannya. Penelitian ini mengangkat kasus pada PT KAI (Persero) Tbk dimana saat ini Perusahaan ini sedang dalam tahap untuk menerapkan Tata Kelola TI dalam berbagai bagian perusahaan. Walau penerapan dan pengembangan teknologi informasi terus dilakukan oleh PT KAI hal ini belum dapat menjamin bahwa dalam pelaksanaannya penerapan ini dapat memberikan value dan memenuhi objektif perusahaan oleh karena itu penulis ingin melakukan pengukuran pengelolaan teknologi informasi menggunakan framework COBiT 4.1 pada perusahaan. Tujuan penelitian ini adalah mengidentifikasi praktik tata kelola teknologi informasi pada PT KAI, mengukur kinerja tata kelola teknologi informasi berdasarkan maturity model berdasarkan COBIT, memperkenalkan kerangka kerja COBIT kepada manajemen mengenai proses dan kerangkanya, agar perusahaan memiliki gambaran yang lebih jelas mengenai kontrol dan audit TI.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Tinjauan Teoritis Menurut ITGI (2003) tata kelola teknologi informasi adalah “IT governance is the responsibility of the board of directors and executive management. IT is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization’s TI sustains and extends the organization’s strategies and objectives.” Dari uraian tersebut tata kelola teknologi informasi adalah sebuah tanggung jawab direksi dan manajemen yang merupakan sebuah bagian integral dari tata kelola perusahaan (corporate governance), tata kelola teknologi informasi terdiri dari kepemimpinan, struktur organisasi serta proses yang berguna untuk menjamin pelaksanaan dan pengelolaan teknologi informasi sesuai dengan strategi dan tujuan perusahaan. Sedangkan menurut Van Grembergen (2002) “IT Governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT.” Dari uraian tersebut tata kelola teknologi informasi adalah sebuah bentuk kapasitas organisasi yang dilakukan oleh direksi, manajemen dan divisi teknologi informasi untuk mengontrol, memformulasi dan melaksanakan strategi teknologi informasi yang dapat menggabungkan bisnis dan teknologi informasi secara utuh. Menurut Weill and Ross (2004) tata kelola teknologi adalah: “Specifying the decision rights and accountability framework to encourage desirable behavior in using IT.” Dari pengertian tersebut tata kelola teknologi informasi merupakan penetapan hak pengambilan keputusan dan framework akuntabilitas agar tercapainya penerapan teknologi informasi yang sesuai dengan keinganan. Menurut Luftman (1996) tata kelola teknologi adalah: “IT governance is the selection and use of relationships such as strategic alliances or joint ventures to obtain key IT competencies. This is analogous to business governance, which involves make- vs.-buy choices in business strategy. Such choices cover a complex array of interfirm relationships, such as strategic alliances, joint ventures, marketing exchange, and technology licensing.” Dari pengertian tersebut tata kelola teknologi informasi dapat dianalogikan seperti tata kelola perusahaan yang berfokus pada kompetensi teknologi informasi yang melibatkan berbagai pilihan dalam strategi bisnis. Pilihan tersebut meliputi berbagai hubungan yang kompleks seperti strategic alliances, joint ventures dan lisensi teknologi.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Dari berbagai definisi yang ada dapat disimpulkan bahwa tata kelola teknologi menekankan pada hubungan antara strategi teknologi informasi dan kebijakan strategis perusahaan agar tercapai keselarasan selain itu tata kelola teknologi informasi mendorong keterlibatan peran direksi dan pihak-pihak yang bertanggung jawab dalam penerapan kebijakan teknologi informasi. Control Objectives for Information and Related Technology (COBIT) adalah sebuah framework yang berfokus pada tata kelola teknologi informasi dan di buat oleh ISACA, sebuah badan internasional yang berfokus pada tata kelola teknologi informasi dan merupakan afiliasi dari IFAC (International Federation of Accountants). COBIT berguna sebagai sebuah alat yang dapat membantu manajer dalam mengelola celah antara persyaratan kontrol, masalah teknikal dan risiko bisnis. COBIT memberikan panduan yang jelas mengenai praktik dan kebijakan yang baik dalam seluruh domain dan kerangka proses serta menyajikan aktivitas dalam bentuk yang terstruktur dan terarah. COBIT lebih fokus terhadap kontrol bukan kepada eksekusi. Hal ini akan membantu optimisasi dari investasi teknologi informasi, memastikan penyampaian servis dan menyajikan sebuah pengukuran untuk dapat menilai apakah segala implementasi teknologi informasi berjalan sesuai harapan atau tidak. COBIT mendefinisikan aktivitas ke dalam model proses yang dibagi ke dalam 4 domain yang dibagi berdasarkan tanggung jawab perencanaan, pembuatan, pelaksanan dan pengukuran, keempat domain ini adalah: Perencanaan dan Pengorganisasian (Plan and Organise) Domain ini meliputi strategi dan taktik serta memperhatikan identifikasi cara agar teknologi informasi dapat memberikan kontribusi sebaik-baiknya terhadap pencapaian tujuan bisnis. Realisasi dari strategi harus direncanakan, dikomunikasikan dan dikelola dalam berbagai sudut pandang Pengadaan dan implementasi (Acquire and Implement) Untuk dapat merealisasikan strategi TI, solusi TI harus dapat diidentifikasi, dikembangkan atau didapatkan serta harus diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, pemeliharaan dari sistem yang sudah ada juga termasuk kedalam domain ini untuk memastikan bahwa solusi yang ada terus memenuhi tujuan bisnis.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Penyampaian Layanan dan Dukungan (Deliver and Support) Domain ini memperhatikan penyampaian sesungguhnya dari layanan yang diperlukan dan mencakup mencakup penyediaan layanan, manajemen keamanan dan kelangsungan, dukungan layanan pada pengguna, manajemen data dan fasilitas operasional. Monitor dan Evaluasi (Monitor and Evaluate) Domain ini berfokus pada penilaian dari seluruh proses TI berdasarkan dari kualitas dan kepatuhan terhadap persyaratan kontrol. Domain ini membahas masalah performa, pengawasan internal kontrol, kepatuhan peraturan dan tata kelola Profil Perusahaan PT Kereta Api Indonesia (Persero) adalah Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa pengangkutan kereta api. Pelayanan yang diberikan oleh PT KAI meliputi jasa angkutan penumpang dan barang serta jasa non-angkutan berupa penyewaan asset seperti hotel dan bangunan. PT KAI dimiliki seluruhnya oleh pemerintah PT KAI mulai fokus mengembangkan sistem teknologi informasi perusahaan pada tahun 2010, PT KAI melakukan transformasi secara besar-besaran di bidang TI dan dituangkan dalam master plan pengembangan TI 2011-2015. Pada tahun 2011 PT. Kereta Api Indonesia (KAI) (Persero) meluncurkan sebuah aplikasi yang bisa memonitoring seluruh jaringan dan infrastruktur IT milik PT. KAI yang terintegrasi dengan Network Operation Center (NOC). Aplikasi yang diberi nama MONALISA ini, bisa melihat secara langsung dan komprehensif seluruh jaringan dan infrastruktur yang berada di Daerah Operasi (Daop) dan Divisi Regional (Divre) serta Kantor Pusat PT. KAI. Sehingga jika terdapat gangguan, NOC bisa dengan segera dilakukan perbaikan. Dalam aplikasi ini, bisa semakin mudah untuk melihat sejauh mana penggunaan berbagai infrastruktur jaringan IT, yang sebelumnya pemeriksaan dilakukan secara manual. Monalisa sendiri merupakan singkatan dari “Monitoring Aplikasi Infrastuktur dan Service Level Agreement (SLA). Selain itu pada tahun 2011 juga PT Kereta Api Indonesia juga mulai menerapkan Enterprise Resource Planning yakni SAP. Modul yang digunakan mulai tahun 2011 antara lain adalah Finance and Controlling (FICO) dan Human Resource (HR). Selain itu pada tahun 2011 PT KAI juga meluncurkan sistem penjualan tiket berbasis online yang bernama Rail Ticket
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
System (RTS) guna memperlancar dan mempermudah proses penjualan tiket kepada enduser. Pada tahun 2012 selanjutnya PT KAI menerapkan beberapa modul SAP lainnya yakni Material Management (MM), Plant Maintenance (PM), Payroll dan Case Management. Setalah itu di tahun 2013 ini PT KAI berencana menerapkan modul Sales & Distribution, perluasan cakupan Plant Maintenance dan Fund Management. PT KAI juga menggunakan smartsheet sebagai tools dalam melaksanakan proyek yang ada. Di tahun 2013 ini juga PT KAI sedang melakukan sertifikasi dibagian IT Security yakni ISO 27002. PT KAI bekerja sama dengan consulting security dalam rangka sertifikasi tersebut. Metodologi Penelitian Penelitian ini akan mendeskripsikan penerapan tata kelola teknologi informasi pada PT KAI menggunakan pendekatan studi kasus yang bersifat evaluatif. Uma dan Roger (2010) mendefinisikan studi kasus sebagai sebuah analisis kontekstual secara mendalam mengenai suatu situasi,studi kasus bersifat kualitatif secara umum dan berguna untuk mengaplikasikan solusi, memahami beberapa fenomena dan menghasilkan teori lanjutan untuk pengetesan empiris. Pendekatan studi kasus ini menghasilkan sebuah analisa yang utuh mengenai sebuah objek yang berdasarkan kerangka analisis tertentu Desain penelitian yang akan dilakukan adalah seperti yang tergambar dalam gambar 1 Iden%fikasi Business Goals
Iden%fikasi IT Goals
Iden%fikasi IT Process
Iden%fikasi control-‐objec5ves
Pengukuran maturity level
Gambar 1: Tahapan Penelitan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Tahapan pertama adalah mengidentifikasi tujuan bisnis perusahaan yang di sepadankan dengan tujuan bisnis COBIT. Tujuan bisnis PT KAI dapat dilihat dari Rencana Jangka Panjang Perusahaan yang kemudian ditranslasi kedalam tujuan bisnis COBIT. Tahapan kedua pada tahap ini dilakukan COBIT business goals to IT goals mapping, peneliti mengidentifikasi tujuan dari pengembangan TI berdasarkan tujuan bisnis perusahaan yang sebelumnya telah ditentukan. Hasilnya adalah IT Goals yang harus dipenuhi oleh perusahaan Tahapan ketiga pada tahap ini dilakukan COBIT IT Goals to IT process mapping, peneliti mengidentifikasi IT Process berdasarkan IT Goals yang sebelumnya sudah ditentukan. Hasilnya adalah IT Process yang harus dipenuhi oleh perusahaan Tahapan keempat pada tahapan ini di identifikasi control-objectives dari setiap IT process yang sudah berhasil diidentifikasi sebelumnya. Untuk setiap IT process terdapat detailed control-objectives yang berbeda-beda Tahapan kelima pada tahap terakhir dari penelitian ini adalah pengukuran maturity level, sesuai dengan maturity model berdasarkan COBIT 4.1. Pada tiap level, terdapat daftar pernyataan yang dapat digunakan sebagai pengukuran untuk menilai sejauh mana proses yang berlangsung dalam perusahaan telah memenuhi pernyataan tersebut. Secara umum penilaian maturity level adalah sebagai berikut: •
Level 0: non-existent. Sama sekali belum ada proses yang dapat diidentifikasi. Perusahaan belum menyadari adanya masalah yang dapat dibahas
•
Level 1: initial/ad-hoc. Terdapat bukti bahwa perusahaan sudah menyadari adanya masalah dan perlunya pembahasan masalah. Walaupun begitu belum ada proses yang terstandar dan cenderung menggunakan pendekatan individual untuk setiap kasus. Secara umum pendekatan perusahaan belum terorganisir
•
Level 2: repeatable but intuitive. Proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. •
Level 3: defined process. Prosedur telah distandardisasi dan didokumentasikan serta dikomunikasikan melalui pelatihan. Terdapat keharusan bahwa setiap proses harus diikuti, walaupun begitu penyimpangan terhadap prosedur sulit dideteksi. Prosedur yang ada hanyalah formalisasi dari praktik yang ada.
•
Level 4: managed and measurable. Manajemen memonitor dan mengukur kepatuhan terhadap prosedur dan mengambil langkah bila proses dianggap tidak bekerja secara efektif. Otomatisasi dan alat bantu digunakan secara terbatas dan terpisah.
•
Level 5: optimized. Proses sudah sampai pada tahapan best-practice. Melalui peningkatan yang terus menerus. TI digunakan secara terintegrasi dan mengotomatisasi alur kerja, menyediakan alat untuk meningkatkan kualitas serta efektifitas dan pada akhirnya membuat perusahaan lebih mudah dalam beradaptasi
Hasil Penelitian Berikut ini akan dirangkum tabel mengenai penilaian tingkat kematangan pada tiap IT process pada PT KAI: Tabel 1 Pengukuran Maturity Level di PT KAI
Plan and Organize PO1
Define a strategic IT plan.
4
PO2
Define the information architecture
1
PO3
Determine technological direction
2
PO4
Define the IT processes, 8rganization 2 and relationships
PO5
Manage the IT investment
PO6
Communicate management aims and 3
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
2
direction PO7
Manage IT human resources
3
PO8
Manage quality
3
PO9
Assess and manage IT risks
1
PO10
Manage projects
1
Rata-rata PO
2,2
Acquire and Implement AI1
Identify automated solutions
AI2
Acquire
4
and
maintain
application 3
and
maintain
technology 2
AI4
Enable operation and use
3
AI5
Procure IT resources
3
AI6
Manage changes
2
AI7
Install and accredit solutions and 2
software AI3
Acquire
infrastructure
changes Rata-rata AI
2,7
Deliver and Support DS1
Define and manage service levels
4
DS2
Manage third-party services
3
DS3
Manage performance and capacity
3
DS4
Ensure continuous service
2
DS5
Ensure systems security
4
DS6
Identify and allocate costs
2
DS7
Educate and train users
3
DS8
Manage service desk and incidents
2
DS9
Manage the configuration
1
DS10
Manage problems
2
DS13
Manage operations
3
Rata-rata DS
2,6
Monitor and Evaluation ME1
Monitor and evaluate IT performance
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
3
ME4
Provide IT governance
2
Rata-rata ME
2,5
Rata-rata Seluruh Domain
2.51
Maturity levels PT KAI secara keseluruhan berada pada tingkatan Repeatable but intuitive seperti terlihat pada tabel 4.16 yakni bernilai 2,51, dimana proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. Pembahasan Penentuan tingkat kematangan (maturity level) dilakukan untuk mengukur sejauh mana perusahaan telah memenuhi standard pengelolaan teknologi informasi pada perusahaan. Selain itu pengukuran tingkat kematangan juga penting untuk mengetahui dan mengidentifikasi proses yang perlu diprioritaskan untuk meningkatkan kualitas tata kelola teknologi informasi yang ada. Pengukuran maturity level COBIT tidak memiliki standard metodologi baku (Andrea P, 2003) dan menurut ITGI pengukuran tidak ditujukan sebagai sebuah pengukuran yang presisi dan terstandard sehingga pengukuran dilakukan berdasarkan closest-fit. Pengukuran maturity level dalam penelitian ini akan dikelompokan sesuai dengan tiap-tiap proses TI yang ada. Tabel 2: Analisis Domain COBIT
IT Process
Analisis
PO1 Define a strategic IT plan.
PT KAI sudah terdapat IT Master Plan yang berisikan tentang rencana kerja dan investasi strategis pengembangan TI untuk jangka panjang selama 5 tahun dan untuk jangka pendek dibuat untuk kurun waktu kurang dari 1 tahun
PO2
Define
the
information PT
KAI
belum
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
terdapat
model
IT Process
Analisis
architecture
arsitektur informasi terstandard yang digunakan.
PO3 Determine technological direction
Manajemen PT KAI telah merancang arah
pengembangan
teknologi
perusahaan. Hal ini ditandai dengan rencana
penambahan
modul
ERP
perusahaan, peningkatan infrastruktur TI perusahaan dan berbagai sertifikasi ISO dalam bidang teknologi informasi PO4
Define
the
IT
processes, PT KAI telah memiliki pembagian
organisation and relationships
tugas yang jelas pada divisi TI hal ini di tuangkan dalam tugas pokok inti divisi TI. Selain itu keamanan informasi sudah dilakukan dengan melakukan encryption serta cryptographic pada informasi perusahaan
PO5 Manage the IT investment
Pada
PT
KAI
manajemen
telah
menentukan prioritas investasi TI yang sesuai dengan budget perusahaan selain itu penetapan budget untuk investasi TI telah dilakukan oleh dewan direksi untuk setiap tahunnya. Perencanaan penggunaan dana investasi TI ini dituangkan dalam IT Master Plan perusahaan PO6 Communicate management aims Manajemen PT KAI telah secara aktif and direction
mengomunikasikan penerapan TI antara dewan direksi dan divisi TI. Hal ini dilakukan melalui rapat koordinasi dan evaluasi yang rutin dilakukan baik secara horizontal maupun vertical.
PO7 Manage IT human resources
Pada PT KAI terdapat pendekatan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process
Analisis strategis untuk merekrut dan mengelola IT personnel. Rencana training resmi telah
ditetapkan
Program
untuk
rotasi
ditetapkan
SDM
karyawan dalam
TI.
sudah rangka
pengembangan skill manajemen dan teknik. PO8 Manage quality
Pada
PT
KAI
manajemen
telah
menerapkan ISO 9001 yang mengatur tentang quality management system terhadap berbagai divisi dan sarana pada perusahaan. Hal ini menunjukan bahwa manajemen telah menyadarinya sebuah kebutuhan atas kualitas mutu PO9 Assess and manage IT risks
Pada PT KAI, manajemen khususnya divisi TI belum memiliki pengukuran risiko yang terdokumentasi dan formal
PO10 Manage projects
Pada PT KAI sudah terdapat gambaran dan rencana mengenai pengembangan TI pada perusahaan yang tergambarkan dalam Master Plan IT. Walau begitu dalam
manajemen
terdapat perusahaan
kerangka masih
pendekatan
proyek
belum
kerja
formal,
menggunakan
tradisional
dalam
menjalankan proyek AI1 Identify automated solutions
Pada PT KAI rencana pembelian atau pembuatan mengenai proyek TI sudah dilakukan tahapan perencanaan oleh business
process
owner
terkait.
Rencana ini mencakup mengenai biaya, waktu dan spesifikasi proyek yang
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process
Analisis diinginkan
AI2 Acquire and maintain application Pada software
PT
memutuskan
KAI
saat
untuk
perusahaan
membuat
atau
membeli sebuah aplikasi atau perangkat TI maka persyaratan dan spesifikasi diberikan oleh tim BPO. Spesifikasi dan
persyaratan
ini
akan
dikonsultasikan dengan divisi TI dan ditranslasikan kedalam sebuah solusi yang terenacana AI3 Acquire and maintain technology PT KAI sudah melakukan perawatan infrastructure
dan
perencanaan
infrastruktur
pemeliharaan
secara
berkala.
Pada
datacenter perusahaan setiap minggu sistem akan di switch ke back-up system untuk dirotasi dan memastikan bahwa sistem cadangan bekerja AI4 Enable operation and use
Pada PT KAI dalam memastikan penerapan sebuah sistem atau aplikasi baru agar dapat digunakan oleh enduser divisi TI melakukan pelatihan kepada para pengguna.
AI5 Procure IT resources
Pada PT KAI pengadaan kebijakan dan prosedur akuisisi TI telah ditetapkan, didokumentasikan
dan
dikomunikasikan.
Kebijakan
dan
prosedur akuisisi TI di PT KAI mengacu perusahaan Manajemen
kepada
proses
secara TI
bisnis
keseluruhan.
mengkomunikasikan
kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process
Analisis
AI6 Manage changes
Pada
PT
KAI
dokumentasi
sudah
terdapat
formal
mengenai
perubahan yang berkaitan dengan TI yang
mencakup
prosedur,
proses,
kebijakan dan sistem. Perubahan sistem yang
besar
misalnya
pada
saat
penerapan ERP SAP dilakukan sesuai dengan standard sistem terkait yang mencakup persiapan proyek, business blueprint hingga persiapan go live. AI7 Install and accredit solutions and Hal ini tidak dapat dibahas lebih lanjut changes
karena pada pengujian dan pengetesan sebuah sistem yang mempengaruhi operasi
secara
menyerahkana
besar
perusahaan
sepenuhnya
test
environment dan test procedure kepada pihak
eksternal
dan
vendor
yang
menyediakan jasa pengadaan sistem DS1 Define and manage service levels
Pada PT KAI untuk berbagai pelayanan TI yang terkait dengan pihak eksternal maupun
internal,
manajemen
menentukan batasan SLA minimum yakni kehandalan (reliability) 99,9% . untuk pihak eksternal manajemen TI melakukan penilaian performa setiap bulan
untuk
memastikan
tingkat
operasional memenuhi SLA yang telah ditentukan DS2 Manage third-party services
Pada PT KAI untuk pelayanan yang disediakan oleh pihak ketiga seperti RTS, jaringan dan sebagainya sudah memiliki
dokumentasi
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
SLA
dalam
IT Process
Analisis bentuk perjanjian formal. Perjanjian mengenai SLA ini mengatur hal-hal penting seperti kehandalan minimum mengenai layanan, penalty bila target tidak tercapai dan berbagai hal lainnya.
DS3 Manage performance and capacity
Pada PT KAI penentuan kapasitas dan perfoma
pada
diselaraskan
bidang
TI
dengan
sudah
peramalan
kebutuhan bisnis. Hal ini sesuai dengan manajemen stratejik perusahaan yang disudah mempertimbangkan berbagai asumsi
makro
dan
perkembangan
bisnis. Pembuatan IT Master Plan sudah diseleraskan dengan manajemen stratejik perusahaan DS4 Ensure continuous service
PT KAI sudah memiliki beberapa IT Continuity
Plan
untuk
beberapa
infrastruktur vital seperti datacenter yang memiliki 2 offsite back up storage yang terletak di Jakarta dan BSD. DS5 Ensure systems security
Pada
PT
KAI
melakukan
perusahaan
berbagai
telah
langkah
pengamanan informasi. Hal ini dapat dilihat
dari
penerapan
pembatasan
akses pengguna yang dibagi menjadi 3 level,
penggunaan
firewall
pada
datacenter perusahaan, encryption pada server mail hingga pengadopsian ISO 27001
mengenai
standardisasi
keamanan informasi sesuai dengan standard internasional DS6 Identify and allocate costs
Pada PT KAI sudah terdapat ketentuan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process
Analisis dan
dokumentasi
mengenai
biaya
teknologi informasi, Alokasi biaya TI perusahaan
disesuaikan
dengan
kebutuhan bisnis dan pelaksanaannya harus
sesuai
dengan
yang
telah
direncanakan DS7 Educate and train users
Pada PT KAI manajemen TI telah melakukan pelatihan baik terhadap internal divisi TI dan kepada end-user agar pengoperasian sistem berjalan efektif.
PT
KAI
sudah
memiliki
dokumentasi dan perencanaan formal mengenai pelatihan dan pendidikan pengguna, selain itu PT KAI juga rutin melakukan sertifikasi bagi personnel TI DS8 Manage service desk and incidents
Pada PT KAI sudah terdapat help desk untuk membantu pengguna akhir jika terdapat permasalahan dalam sistem. Sudah terdapat SOP dan dokumentasi lainnya
yang
membantu
dan
mengarahkan tugas help desk dalam menghadapi
beberapa
permasalahan
umum DS9 Manage the configuration
PT KAI belum memilik manajemen konfigurasi
secara
formal
dan
terdokumentasi. DS10 Manage problems
Pada
PT
KAI
permasalahan
diidentifikasi apakah terjadi karena kesalahan pengguna atau kesalahan sistem
oleh
help
desk.
Apabila
kesalahan sistem terjadi terkait dengan aplikasi
yang
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
disediakan
eksternal
IT Process
Analisis vendor maka penyelesaian masalah menggunakan bantuan vendor
DS13 Manage operations
Pada
PT
KAI
sudah
melakukan
beberapa manajemen terkait operasi seperti pengawasan infrastruktur TI, pengukuran kehandalan dan pemenuhan SLA, pembakuan dan dokumentasi SOP terkait operasi serta perawatan terhadap infrastruktur. ME1
Monitor
and
Evaluate
performance
IT Pada
PT
KAI
sudah
melakukan
pengawasan dan pengukuran kinerja untuk beberapa pelayanan TI. Tingkat SLA berbagai infrastruktur TI di awasi oleh
sistem
terintegrasi,
evaluasi
personil dilakukan sesuai dengan KPI dan sudah dikembangkan pendekatan balance scorecard untuk pengukuran kinerja ME4 Provide IT Governance
Salah satu tujuan PT KAI adalah penerapan tata kelola perusahaan yang termasuk
didalamnya
tata
kelola
teknologi informasi. Hal ini terlihat dengan pembentukan komite audit di tahun 2012, pembentukan IT Steering Committee dan perubahan struktur organisasi stratejik
perusahaan. perusahaan
Perencanaan juga
sudah
dituangkan kedalam RJPP perusahaan dan pendekatan BSC sudah digunakan untuk memetakan tujuan perusahaan beserta KPI
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Kesimpulan dan Saran Berdasarkan analisisn dan evaluasi yang sudah dilakukan di BAB 4 maka kesimpulan yang dapat diambil adalah: a) Penerapan tata kelola teknologi informasi pada PT KAI berdasarkan pada pengukuran tingkat kematangan berada pada level 2,55 berada pada tingkatan Repeatable but intuitive, dimana proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. b) Berdasarkan hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada PT KAI terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. IT Process dan Control Objectives yang teridentifikasi ini harus diperhatikan perusahaan dalam menjalankan tata kelola teknologi informasi. c) Di PT KAI terdapat 4 proses pada level Managed and Measurable, 11 proses pada level defined, 11 proses pada level repeatable but intuitive dan 4 proses level pada level ad-hoc. Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi perusahaan, manajemen dapat berfokus pada proses TI yang masih rendah (berada pada level ad-hoc dan repeatable but intuitive). Saran bagi perusahaan antara lain: a) Perusahaan sebaiknya menerapkan cost management pada perusahaan. Hal ini untuk memudahkan perusahaan dalam melacak dan mengidentifasi biaya baik pada level operasional maupun pada saat pelaksanaan proyek perusahaan. Hal ini dapat membantu efektifitas perusahaan terutama dalam faktor biaya serta membantu kontrol yang lebih baik terhadap biaya. b) Perusahaan dapat mengadopsi kerangka kerja mengenai information architecture yang sudah sesuai standard internasional seperti misalnya adalah TOGAF, Zachman Framework dan SAP-EAF. Dalam hal ini pilihan terbaik perusahaan adalah mengintegrasikan
information
architecture
SAP-EAF
karena
perusahaan
menggunakan ERP SAP. c) Perusahaan sebaiknya mengadopsi project management yang lebih modern untuk mempermudah pengawasan dan evaluasi proyek. Hal ini dapat mengefisensikan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
perusahaan dalam langkah perencanaa, budgeting hingga langkah pelaksanaan dan evaluasi. d) Membuat architecture board atau IT strategy committee pada manajemen perusahaan untuk membantu proses tata kelola teknologi informasi pada perusahaan. e) Membuat sebuah lingkungan tes internal untuk menguji penerapan sebuah sistem TI yang akan digunakan. f) Membuat dan mengomunikasikan perihal risk appetite pada perusahaan hingga ke semua level manajemen untuk memastikan bahwa seluruh karyawan menyadari tingkat risiko perusahaan. Kepustakaan Applegate, L. M., Austin, R. D., & Soule, D. L. (2009). Corporate Information Strategy and Management. International Edition: McGraw Hill. Grembergen, W. V. (2004). Strategies for Information Technology Governance. London: Idea Group Publishing. IT Governance Institute. (2003). Board Briefing on IT Governance. Rolling Meadow: ITGI. IT Governance Institute. (2007). COBIT 4.1: Framework, Control Objectives, Management Guideline and Maturity Model. Rolling Meadow: ITGI. IT Governance Institute. (2007). IT Assurance Guide: Need for IT Governance and Assurance and IT Assurance Approach. Rolling Meadow: ITGI. Kesumawardhani, D. R. (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi Kasus di PT Timah (persero) Tbk). Skripsi Fakultas Ekonomi Universitas Indonesia. Luftman, J. (1996). Competing in the Information Age - Strategic Alignment in Practice. Oxford University Press. Lunardi, G. L., Becker, J. L., Macada, A. C., & Dolci, P. C. (2013). The Impact of Adopting IT Governance on Financial Performance: an Empirical Analysis among Brazilian Firms. International Journal of Accounting Information Systems . PT Kereta Api Indonesia (persero). (2011). Laporan Tahunan 2011.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Ramadhanti, D. (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT Framework 4.1 (Studi Kasus pada PT Indonesia Power). Tesis Fakultas Ekonomi Universitas Indonesia. Ross, J. W., & Weill, P. D. (2004). IT Governance: How Top Performer Manage IT Decision Right for Superior Result. Harvard Business Press. Sekaran, U. (2010). Research Method for Business. USA: John Wiley and Sons. Simonsson, M., & Johnson, P. (2005). Defining IT Governance - a Consolidation of Literature. Stockholm: Department of Industrial Information and Control Systems.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013