Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia)

Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia) Suryawan Sudibyo, Machmudin Eka Prasetya Program Studi S1 Akuntansi Reguler Fakultas Ekonomi Universitas Indonesia Email: [email protected]

Abstrak Skripsi ini membahas tentang penilaian tata kelola teknologi informasi pada PT Kereta Api Indonesia (persero) yang berdasarkan pada kerangka kerja COBIT khususnya pengukuran maturity level. Hal ini dilakukan karena tata kelola teknologi dibutuhkan untuk memastikan bahwa investasi teknologi informasi yang dilakukan oleh perusahaan dapat membantu dan selaras dengan tujuan bisnis perusahaan. Berdasarkan hasil pemetaan tujuan bisnis PT Kereta Api Indonesia (persero) dengan tujuan bisnis COBIT terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. PT Kereta Api Indonesia (persero) memiliki 4 proses pada level Managed and Measurable, 11 proses pada level defined, 13 proses pada level repeatable but intuitive dan 2 proses level pada level ad-hoc Kata Kunci: COBIT 4.1, Tata Kelola Teknologi Informasi, maturity level

Evaluation of Information Technology Governance Based on COBIT Framework (Study Case on PT Kereta Api Indonesia) Abstract This paper discusses about the assessment of information technology governance on PT Kereta Api Indonesia (persero) based on COBIT framework and specifically with maturity level models. Evaluation of IT governance is needed to make sure that the investment made by organization is aligned with their business goals. Mapping of PT Kereta Api Indonesia’s business goals with COBIT’s business goals identified 30 IT Process and 183 Control Objectives. PT Kereta Api Indonesia has 4 process at level managed and measurable, 11 process at level defined, 13 process at level repeatable but intuitive and 2 process at level ad-hoc Keywords: COBIT 4.1, IT Governance, maturity level

Pendahuluan Teknologi Informasi (TI) berkembang pesat seiring dengan berkembangnya ilmu pengetahuan khususnya dalam bidang teknologi. Perkembangan yang pesat ini menjadikan penerapan teknologi informasi pada berbagai organisasi menjadi sebuah hal yang vital dan penting. Penerapan teknologi informasi dipandang sebagai sebuah sarana dalam meningkatkan efisiensi dan efektivitas kinerja organisasi yang dapat membantu organisasi dalam menjalani persaingan. Walau begitu penerapan teknologi informasi merupakan sebuah kegiatan yang meliputi banyak faktor seperti biaya, waktu dan fungsi, melihat hal tersebut maka penerapan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

teknologi harus dilakukan secara berhati-hati agar dapat mencapai tujuannya dan berfungsi secara optimal. Peranan teknologi informasi yang signifikan ini membuat manajemen perusahaan untuk lebih fokus dalam mengelola penggunaan teknologi informasi. Hal ini dikarenakan dalam implementasi teknologi informasi terdapat berbagai kemungkinan buruk yang mungkin terjadi seperti kerugian bisnis, kerusakan reputasi, melemahkan kemampuan kompetisi perusahaan, teknologi yang digunakan sudah usang dan kebocoran data (ITGI, 2003). Hal-hal tersebut mendorong perusahaan agar lebih fokus dalam mengambil kebijakan-kebijakan yang berhubungan dengan teknologi informasi perusahaan. Oleh karena itu dalam mengelola teknologi informasi perusahaan dapat menerapkan IT Governance agar pengelolaan teknologi informasi dapat lebih efektif. Dalam penelitiannya Lunardi

et al. (2013) menemukan bahwa perusahaan yang menerapkan IT Governance

meningkat performanya khususnya pada profitabilitas perusahaan. IT Governance adalah sebuah bagian integral dari Corporate Governance yang terdiri dari kepemimpinan, struktur organisasi serta proses untuk memastikan bahwa tujuan perusahaan tercapai dari penerapan teknologi informasi (ITGI, 2003). Dalam penerapannya tata kelola teknologi informasi dapat menggunakan framework COBIT, yakni sebuah framework yang dikeluarkan oleh Information Technology Governance Institute (ITGI). Framework ini dapat mengarahkan perusahaan agar penerapan teknologi informasi yang dilakukan mencapai tujuannya. Penelitian ini mengangkat kasus pada PT KAI (Persero) Tbk dimana saat ini Perusahaan ini sedang dalam tahap untuk menerapkan Tata Kelola TI dalam berbagai bagian perusahaan. Walau penerapan dan pengembangan teknologi informasi terus dilakukan oleh PT KAI hal ini belum dapat menjamin bahwa dalam pelaksanaannya penerapan ini dapat memberikan value dan memenuhi objektif perusahaan oleh karena itu penulis ingin melakukan pengukuran pengelolaan teknologi informasi menggunakan framework COBiT 4.1 pada perusahaan. Tujuan penelitian ini adalah mengidentifikasi praktik tata kelola teknologi informasi pada PT KAI, mengukur kinerja tata kelola teknologi informasi berdasarkan maturity model berdasarkan COBIT, memperkenalkan kerangka kerja COBIT kepada manajemen mengenai proses dan kerangkanya, agar perusahaan memiliki gambaran yang lebih jelas mengenai kontrol dan audit TI.

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

Tinjauan Teoritis Menurut ITGI (2003) tata kelola teknologi informasi adalah “IT governance is the responsibility of the board of directors and executive management. IT is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization’s TI sustains and extends the organization’s strategies and objectives.” Dari uraian tersebut tata kelola teknologi informasi adalah sebuah tanggung jawab direksi dan manajemen yang merupakan sebuah bagian integral dari tata kelola perusahaan (corporate governance), tata kelola teknologi informasi terdiri dari kepemimpinan, struktur organisasi serta proses yang berguna untuk menjamin pelaksanaan dan pengelolaan teknologi informasi sesuai dengan strategi dan tujuan perusahaan. Sedangkan menurut Van Grembergen (2002) “IT Governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT.” Dari uraian tersebut tata kelola teknologi informasi adalah sebuah bentuk kapasitas organisasi yang dilakukan oleh direksi, manajemen dan divisi teknologi informasi untuk mengontrol, memformulasi dan melaksanakan strategi teknologi informasi yang dapat menggabungkan bisnis dan teknologi informasi secara utuh. Menurut Weill and Ross (2004) tata kelola teknologi adalah: “Specifying the decision rights and accountability framework to encourage desirable behavior in using IT.” Dari pengertian tersebut tata kelola teknologi informasi merupakan penetapan hak pengambilan keputusan dan framework akuntabilitas agar tercapainya penerapan teknologi informasi yang sesuai dengan keinganan. Menurut Luftman (1996) tata kelola teknologi adalah: “IT governance is the selection and use of relationships such as strategic alliances or joint ventures to obtain key IT competencies. This is analogous to business governance, which involves make- vs.-buy choices in business strategy. Such choices cover a complex array of interfirm relationships, such as strategic alliances, joint ventures, marketing exchange, and technology licensing.” Dari pengertian tersebut tata kelola teknologi informasi dapat dianalogikan seperti tata kelola perusahaan yang berfokus pada kompetensi teknologi informasi yang melibatkan berbagai pilihan dalam strategi bisnis. Pilihan tersebut meliputi berbagai hubungan yang kompleks seperti strategic alliances, joint ventures dan lisensi teknologi.

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

Dari berbagai definisi yang ada dapat disimpulkan bahwa tata kelola teknologi menekankan pada hubungan antara strategi teknologi informasi dan kebijakan strategis perusahaan agar tercapai keselarasan selain itu tata kelola teknologi informasi mendorong keterlibatan peran direksi dan pihak-pihak yang bertanggung jawab dalam penerapan kebijakan teknologi informasi. Control Objectives for Information and Related Technology (COBIT) adalah sebuah framework yang berfokus pada tata kelola teknologi informasi dan di buat oleh ISACA, sebuah badan internasional yang berfokus pada tata kelola teknologi informasi dan merupakan afiliasi dari IFAC (International Federation of Accountants). COBIT berguna sebagai sebuah alat yang dapat membantu manajer dalam mengelola celah antara persyaratan kontrol, masalah teknikal dan risiko bisnis. COBIT memberikan panduan yang jelas mengenai praktik dan kebijakan yang baik dalam seluruh domain dan kerangka proses serta menyajikan aktivitas dalam bentuk yang terstruktur dan terarah. COBIT lebih fokus terhadap kontrol bukan kepada eksekusi. Hal ini akan membantu optimisasi dari investasi teknologi informasi, memastikan penyampaian servis dan menyajikan sebuah pengukuran untuk dapat menilai apakah segala implementasi teknologi informasi berjalan sesuai harapan atau tidak. COBIT mendefinisikan aktivitas ke dalam model proses yang dibagi ke dalam 4 domain yang dibagi berdasarkan tanggung jawab perencanaan, pembuatan, pelaksanan dan pengukuran, keempat domain ini adalah: Perencanaan dan Pengorganisasian (Plan and Organise) Domain ini meliputi strategi dan taktik serta memperhatikan identifikasi cara agar teknologi informasi dapat memberikan kontribusi sebaik-baiknya terhadap pencapaian tujuan bisnis. Realisasi dari strategi harus direncanakan, dikomunikasikan dan dikelola dalam berbagai sudut pandang Pengadaan dan implementasi (Acquire and Implement) Untuk dapat merealisasikan strategi TI, solusi TI harus dapat diidentifikasi, dikembangkan atau didapatkan serta harus diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, pemeliharaan dari sistem yang sudah ada juga termasuk kedalam domain ini untuk memastikan bahwa solusi yang ada terus memenuhi tujuan bisnis.

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

Penyampaian Layanan dan Dukungan (Deliver and Support) Domain ini memperhatikan penyampaian sesungguhnya dari layanan yang diperlukan dan mencakup mencakup penyediaan layanan, manajemen keamanan dan kelangsungan, dukungan layanan pada pengguna, manajemen data dan fasilitas operasional. Monitor dan Evaluasi (Monitor and Evaluate) Domain ini berfokus pada penilaian dari seluruh proses TI berdasarkan dari kualitas dan kepatuhan terhadap persyaratan kontrol. Domain ini membahas masalah performa, pengawasan internal kontrol, kepatuhan peraturan dan tata kelola Profil Perusahaan PT Kereta Api Indonesia (Persero) adalah Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa pengangkutan kereta api. Pelayanan yang diberikan oleh PT KAI meliputi jasa angkutan penumpang dan barang serta jasa non-angkutan berupa penyewaan asset seperti hotel dan bangunan. PT KAI dimiliki seluruhnya oleh pemerintah PT KAI mulai fokus mengembangkan sistem teknologi informasi perusahaan pada tahun 2010, PT KAI melakukan transformasi secara besar-besaran di bidang TI dan dituangkan dalam master plan pengembangan TI 2011-2015. Pada tahun 2011 PT. Kereta Api Indonesia (KAI) (Persero) meluncurkan sebuah aplikasi yang bisa memonitoring seluruh jaringan dan infrastruktur IT milik PT. KAI yang terintegrasi dengan Network Operation Center (NOC). Aplikasi yang diberi nama MONALISA ini, bisa melihat secara langsung dan komprehensif seluruh jaringan dan infrastruktur yang berada di Daerah Operasi (Daop) dan Divisi Regional (Divre) serta Kantor Pusat PT. KAI. Sehingga jika terdapat gangguan, NOC bisa dengan segera dilakukan perbaikan. Dalam aplikasi ini, bisa semakin mudah untuk melihat sejauh mana penggunaan berbagai infrastruktur jaringan IT, yang sebelumnya pemeriksaan dilakukan secara manual. Monalisa sendiri merupakan singkatan dari “Monitoring Aplikasi Infrastuktur dan Service Level Agreement (SLA). Selain itu pada tahun 2011 juga PT Kereta Api Indonesia juga mulai menerapkan Enterprise Resource Planning yakni SAP. Modul yang digunakan mulai tahun 2011 antara lain adalah Finance and Controlling (FICO) dan Human Resource (HR). Selain itu pada tahun 2011 PT KAI juga meluncurkan sistem penjualan tiket berbasis online yang bernama Rail Ticket

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

System (RTS) guna memperlancar dan mempermudah proses penjualan tiket kepada enduser. Pada tahun 2012 selanjutnya PT KAI menerapkan beberapa modul SAP lainnya yakni Material Management (MM), Plant Maintenance (PM), Payroll dan Case Management. Setalah itu di tahun 2013 ini PT KAI berencana menerapkan modul Sales & Distribution, perluasan cakupan Plant Maintenance dan Fund Management. PT KAI juga menggunakan smartsheet sebagai tools dalam melaksanakan proyek yang ada. Di tahun 2013 ini juga PT KAI sedang melakukan sertifikasi dibagian IT Security yakni ISO 27002. PT KAI bekerja sama dengan consulting security dalam rangka sertifikasi tersebut. Metodologi Penelitian Penelitian ini akan mendeskripsikan penerapan tata kelola teknologi informasi pada PT KAI menggunakan pendekatan studi kasus yang bersifat evaluatif. Uma dan Roger (2010) mendefinisikan studi kasus sebagai sebuah analisis kontekstual secara mendalam mengenai suatu situasi,studi kasus bersifat kualitatif secara umum dan berguna untuk mengaplikasikan solusi, memahami beberapa fenomena dan menghasilkan teori lanjutan untuk pengetesan empiris. Pendekatan studi kasus ini menghasilkan sebuah analisa yang utuh mengenai sebuah objek yang berdasarkan kerangka analisis tertentu Desain penelitian yang akan dilakukan adalah seperti yang tergambar dalam gambar 1 Iden%fikasi   Business  Goals  

Iden%fikasi  IT   Goals  

Iden%fikasi  IT   Process  

Iden%fikasi   control-­‐objec5ves  

Pengukuran   maturity  level  

Gambar 1: Tahapan Penelitan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

Tahapan pertama adalah mengidentifikasi tujuan bisnis perusahaan yang di sepadankan dengan tujuan bisnis COBIT. Tujuan bisnis PT KAI dapat dilihat dari Rencana Jangka Panjang Perusahaan yang kemudian ditranslasi kedalam tujuan bisnis COBIT. Tahapan kedua pada tahap ini dilakukan COBIT business goals to IT goals mapping, peneliti mengidentifikasi tujuan dari pengembangan TI berdasarkan tujuan bisnis perusahaan yang sebelumnya telah ditentukan. Hasilnya adalah IT Goals yang harus dipenuhi oleh perusahaan Tahapan ketiga pada tahap ini dilakukan COBIT IT Goals to IT process mapping, peneliti mengidentifikasi IT Process berdasarkan IT Goals yang sebelumnya sudah ditentukan. Hasilnya adalah IT Process yang harus dipenuhi oleh perusahaan Tahapan keempat pada tahapan ini di identifikasi control-objectives dari setiap IT process yang sudah berhasil diidentifikasi sebelumnya. Untuk setiap IT process terdapat detailed control-objectives yang berbeda-beda Tahapan kelima pada tahap terakhir dari penelitian ini adalah pengukuran maturity level, sesuai dengan maturity model berdasarkan COBIT 4.1. Pada tiap level, terdapat daftar pernyataan yang dapat digunakan sebagai pengukuran untuk menilai sejauh mana proses yang berlangsung dalam perusahaan telah memenuhi pernyataan tersebut. Secara umum penilaian maturity level adalah sebagai berikut: •

Level 0: non-existent. Sama sekali belum ada proses yang dapat diidentifikasi. Perusahaan belum menyadari adanya masalah yang dapat dibahas

•

Level 1: initial/ad-hoc. Terdapat bukti bahwa perusahaan sudah menyadari adanya masalah dan perlunya pembahasan masalah. Walaupun begitu belum ada proses yang terstandar dan cenderung menggunakan pendekatan individual untuk setiap kasus. Secara umum pendekatan perusahaan belum terorganisir

•

Level 2: repeatable but intuitive. Proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. •

Level 3: defined process. Prosedur telah distandardisasi dan didokumentasikan serta dikomunikasikan melalui pelatihan. Terdapat keharusan bahwa setiap proses harus diikuti, walaupun begitu penyimpangan terhadap prosedur sulit dideteksi. Prosedur yang ada hanyalah formalisasi dari praktik yang ada.

•

Level 4: managed and measurable. Manajemen memonitor dan mengukur kepatuhan terhadap prosedur dan mengambil langkah bila proses dianggap tidak bekerja secara efektif. Otomatisasi dan alat bantu digunakan secara terbatas dan terpisah.

•

Level 5: optimized. Proses sudah sampai pada tahapan best-practice. Melalui peningkatan yang terus menerus. TI digunakan secara terintegrasi dan mengotomatisasi alur kerja, menyediakan alat untuk meningkatkan kualitas serta efektifitas dan pada akhirnya membuat perusahaan lebih mudah dalam beradaptasi

Hasil Penelitian Berikut ini akan dirangkum tabel mengenai penilaian tingkat kematangan pada tiap IT process pada PT KAI: Tabel 1 Pengukuran Maturity Level di PT KAI

Plan and Organize PO1

Define a strategic IT plan.

4

PO2

Define the information architecture

1

PO3

Determine technological direction

2

PO4

Define the IT processes, 8rganization 2 and relationships

PO5

Manage the IT investment

PO6

Communicate management aims and 3

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

2

direction PO7

Manage IT human resources

3

PO8

Manage quality

3

PO9

Assess and manage IT risks

1

PO10

Manage projects

1

Rata-rata PO

2,2

Acquire and Implement AI1

Identify automated solutions

AI2

Acquire

4

and

maintain

application 3

and

maintain

technology 2

AI4

Enable operation and use

3

AI5

Procure IT resources

3

AI6

Manage changes

2

AI7

Install and accredit solutions and 2

software AI3

Acquire

infrastructure

changes Rata-rata AI

2,7

Deliver and Support DS1

Define and manage service levels

4

DS2

Manage third-party services

3

DS3

Manage performance and capacity

3

DS4

Ensure continuous service

2

DS5

Ensure systems security

4

DS6

Identify and allocate costs

2

DS7

Educate and train users

3

DS8

Manage service desk and incidents

2

DS9

Manage the configuration

1

DS10

Manage problems

2

DS13

Manage operations

3

Rata-rata DS

2,6

Monitor and Evaluation ME1

Monitor and evaluate IT performance

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

3

ME4

Provide IT governance

2

Rata-rata ME

2,5

Rata-rata Seluruh Domain

2.51

Maturity levels PT KAI secara keseluruhan berada pada tingkatan Repeatable but intuitive seperti terlihat pada tabel 4.16 yakni bernilai 2,51, dimana proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. Pembahasan Penentuan tingkat kematangan (maturity level) dilakukan untuk mengukur sejauh mana perusahaan telah memenuhi standard pengelolaan teknologi informasi pada perusahaan. Selain itu pengukuran tingkat kematangan juga penting untuk mengetahui dan mengidentifikasi proses yang perlu diprioritaskan untuk meningkatkan kualitas tata kelola teknologi informasi yang ada. Pengukuran maturity level COBIT tidak memiliki standard metodologi baku (Andrea P, 2003) dan menurut ITGI pengukuran tidak ditujukan sebagai sebuah pengukuran yang presisi dan terstandard sehingga pengukuran dilakukan berdasarkan closest-fit. Pengukuran maturity level dalam penelitian ini akan dikelompokan sesuai dengan tiap-tiap proses TI yang ada. Tabel 2: Analisis Domain COBIT

IT Process

Analisis

PO1 Define a strategic IT plan.

PT KAI sudah terdapat IT Master Plan yang berisikan tentang rencana kerja dan investasi strategis pengembangan TI untuk jangka panjang selama 5 tahun dan untuk jangka pendek dibuat untuk kurun waktu kurang dari 1 tahun

PO2

Define

the

information PT

KAI

belum

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

terdapat

model

IT Process

Analisis

architecture

arsitektur informasi terstandard yang digunakan.

PO3 Determine technological direction

Manajemen PT KAI telah merancang arah

pengembangan

teknologi

perusahaan. Hal ini ditandai dengan rencana

penambahan

modul

ERP

perusahaan, peningkatan infrastruktur TI perusahaan dan berbagai sertifikasi ISO dalam bidang teknologi informasi PO4

Define

the

IT

processes, PT KAI telah memiliki pembagian

organisation and relationships

tugas yang jelas pada divisi TI hal ini di tuangkan dalam tugas pokok inti divisi TI. Selain itu keamanan informasi sudah dilakukan dengan melakukan encryption serta cryptographic pada informasi perusahaan

PO5 Manage the IT investment

Pada

PT

KAI

manajemen

telah

menentukan prioritas investasi TI yang sesuai dengan budget perusahaan selain itu penetapan budget untuk investasi TI telah dilakukan oleh dewan direksi untuk setiap tahunnya. Perencanaan penggunaan dana investasi TI ini dituangkan dalam IT Master Plan perusahaan PO6 Communicate management aims Manajemen PT KAI telah secara aktif and direction

mengomunikasikan penerapan TI antara dewan direksi dan divisi TI. Hal ini dilakukan melalui rapat koordinasi dan evaluasi yang rutin dilakukan baik secara horizontal maupun vertical.

PO7 Manage IT human resources

Pada PT KAI terdapat pendekatan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

IT Process

Analisis strategis untuk merekrut dan mengelola IT personnel. Rencana training resmi telah

ditetapkan

Program

untuk

rotasi

ditetapkan

SDM

karyawan dalam

TI.

sudah rangka

pengembangan skill manajemen dan teknik. PO8 Manage quality

Pada

PT

KAI

manajemen

telah

menerapkan ISO 9001 yang mengatur tentang quality management system terhadap berbagai divisi dan sarana pada perusahaan. Hal ini menunjukan bahwa manajemen telah menyadarinya sebuah kebutuhan atas kualitas mutu PO9 Assess and manage IT risks

Pada PT KAI, manajemen khususnya divisi TI belum memiliki pengukuran risiko yang terdokumentasi dan formal

PO10 Manage projects

Pada PT KAI sudah terdapat gambaran dan rencana mengenai pengembangan TI pada perusahaan yang tergambarkan dalam Master Plan IT. Walau begitu dalam

manajemen

terdapat perusahaan

kerangka masih

pendekatan

proyek

belum

kerja

formal,

menggunakan

tradisional

dalam

menjalankan proyek AI1 Identify automated solutions

Pada PT KAI rencana pembelian atau pembuatan mengenai proyek TI sudah dilakukan tahapan perencanaan oleh business

process

owner

terkait.

Rencana ini mencakup mengenai biaya, waktu dan spesifikasi proyek yang

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

IT Process

Analisis diinginkan

AI2 Acquire and maintain application Pada software

PT

memutuskan

KAI

saat

untuk

perusahaan

membuat

atau

membeli sebuah aplikasi atau perangkat TI maka persyaratan dan spesifikasi diberikan oleh tim BPO. Spesifikasi dan

persyaratan

ini

akan

dikonsultasikan dengan divisi TI dan ditranslasikan kedalam sebuah solusi yang terenacana AI3 Acquire and maintain technology PT KAI sudah melakukan perawatan infrastructure

dan

perencanaan

infrastruktur

pemeliharaan

secara

berkala.

Pada

datacenter perusahaan setiap minggu sistem akan di switch ke back-up system untuk dirotasi dan memastikan bahwa sistem cadangan bekerja AI4 Enable operation and use

Pada PT KAI dalam memastikan penerapan sebuah sistem atau aplikasi baru agar dapat digunakan oleh enduser divisi TI melakukan pelatihan kepada para pengguna.

AI5 Procure IT resources

Pada PT KAI pengadaan kebijakan dan prosedur akuisisi TI telah ditetapkan, didokumentasikan

dan

dikomunikasikan.

Kebijakan

dan

prosedur akuisisi TI di PT KAI mengacu perusahaan Manajemen

kepada

proses

secara TI

bisnis

keseluruhan.

mengkomunikasikan

kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI.

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

IT Process

Analisis

AI6 Manage changes

Pada

PT

KAI

dokumentasi

sudah

terdapat

formal

mengenai

perubahan yang berkaitan dengan TI yang

mencakup

prosedur,

proses,

kebijakan dan sistem. Perubahan sistem yang

besar

misalnya

pada

saat

penerapan ERP SAP dilakukan sesuai dengan standard sistem terkait yang mencakup persiapan proyek, business blueprint hingga persiapan go live. AI7 Install and accredit solutions and Hal ini tidak dapat dibahas lebih lanjut changes

karena pada pengujian dan pengetesan sebuah sistem yang mempengaruhi operasi

secara

menyerahkana

besar

perusahaan

sepenuhnya

test

environment dan test procedure kepada pihak

eksternal

dan

vendor

yang

menyediakan jasa pengadaan sistem DS1 Define and manage service levels

Pada PT KAI untuk berbagai pelayanan TI yang terkait dengan pihak eksternal maupun

internal,

manajemen

menentukan batasan SLA minimum yakni kehandalan (reliability) 99,9% . untuk pihak eksternal manajemen TI melakukan penilaian performa setiap bulan

untuk

memastikan

tingkat

operasional memenuhi SLA yang telah ditentukan DS2 Manage third-party services

Pada PT KAI untuk pelayanan yang disediakan oleh pihak ketiga seperti RTS, jaringan dan sebagainya sudah memiliki

dokumentasi

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

SLA

dalam

IT Process

Analisis bentuk perjanjian formal. Perjanjian mengenai SLA ini mengatur hal-hal penting seperti kehandalan minimum mengenai layanan, penalty bila target tidak tercapai dan berbagai hal lainnya.

DS3 Manage performance and capacity

Pada PT KAI penentuan kapasitas dan perfoma

pada

diselaraskan

bidang

TI

dengan

sudah

peramalan

kebutuhan bisnis. Hal ini sesuai dengan manajemen stratejik perusahaan yang disudah mempertimbangkan berbagai asumsi

makro

dan

perkembangan

bisnis. Pembuatan IT Master Plan sudah diseleraskan dengan manajemen stratejik perusahaan DS4 Ensure continuous service

PT KAI sudah memiliki beberapa IT Continuity

Plan

untuk

beberapa

infrastruktur vital seperti datacenter yang memiliki 2 offsite back up storage yang terletak di Jakarta dan BSD. DS5 Ensure systems security

Pada

PT

KAI

melakukan

perusahaan

berbagai

telah

langkah

pengamanan informasi. Hal ini dapat dilihat

dari

penerapan

pembatasan

akses pengguna yang dibagi menjadi 3 level,

penggunaan

firewall

pada

datacenter perusahaan, encryption pada server mail hingga pengadopsian ISO 27001

mengenai

standardisasi

keamanan informasi sesuai dengan standard internasional DS6 Identify and allocate costs

Pada PT KAI sudah terdapat ketentuan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

IT Process

Analisis dan

dokumentasi

mengenai

biaya

teknologi informasi, Alokasi biaya TI perusahaan

disesuaikan

dengan

kebutuhan bisnis dan pelaksanaannya harus

sesuai

dengan

yang

telah

direncanakan DS7 Educate and train users

Pada PT KAI manajemen TI telah melakukan pelatihan baik terhadap internal divisi TI dan kepada end-user agar pengoperasian sistem berjalan efektif.

PT

KAI

sudah

memiliki

dokumentasi dan perencanaan formal mengenai pelatihan dan pendidikan pengguna, selain itu PT KAI juga rutin melakukan sertifikasi bagi personnel TI DS8 Manage service desk and incidents

Pada PT KAI sudah terdapat help desk untuk membantu pengguna akhir jika terdapat permasalahan dalam sistem. Sudah terdapat SOP dan dokumentasi lainnya

yang

membantu

dan

mengarahkan tugas help desk dalam menghadapi

beberapa

permasalahan

umum DS9 Manage the configuration

PT KAI belum memilik manajemen konfigurasi

secara

formal

dan

terdokumentasi. DS10 Manage problems

Pada

PT

KAI

permasalahan

diidentifikasi apakah terjadi karena kesalahan pengguna atau kesalahan sistem

oleh

help

desk.

Apabila

kesalahan sistem terjadi terkait dengan aplikasi

yang

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

disediakan

eksternal

IT Process

Analisis vendor maka penyelesaian masalah menggunakan bantuan vendor

DS13 Manage operations

Pada

PT

KAI

sudah

melakukan

beberapa manajemen terkait operasi seperti pengawasan infrastruktur TI, pengukuran kehandalan dan pemenuhan SLA, pembakuan dan dokumentasi SOP terkait operasi serta perawatan terhadap infrastruktur. ME1

Monitor

and

Evaluate

performance

IT Pada

PT

KAI

sudah

melakukan

pengawasan dan pengukuran kinerja untuk beberapa pelayanan TI. Tingkat SLA berbagai infrastruktur TI di awasi oleh

sistem

terintegrasi,

evaluasi

personil dilakukan sesuai dengan KPI dan sudah dikembangkan pendekatan balance scorecard untuk pengukuran kinerja ME4 Provide IT Governance

Salah satu tujuan PT KAI adalah penerapan tata kelola perusahaan yang termasuk

didalamnya

tata

kelola

teknologi informasi. Hal ini terlihat dengan pembentukan komite audit di tahun 2012, pembentukan IT Steering Committee dan perubahan struktur organisasi stratejik

perusahaan. perusahaan

Perencanaan juga

sudah

dituangkan kedalam RJPP perusahaan dan pendekatan BSC sudah digunakan untuk memetakan tujuan perusahaan beserta KPI

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

Kesimpulan dan Saran Berdasarkan analisisn dan evaluasi yang sudah dilakukan di BAB 4 maka kesimpulan yang dapat diambil adalah: a) Penerapan tata kelola teknologi informasi pada PT KAI berdasarkan pada pengukuran tingkat kematangan berada pada level 2,55 berada pada tingkatan Repeatable but intuitive, dimana proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. b) Berdasarkan hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada PT KAI terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. IT Process dan Control Objectives yang teridentifikasi ini harus diperhatikan perusahaan dalam menjalankan tata kelola teknologi informasi. c) Di PT KAI terdapat 4 proses pada level Managed and Measurable, 11 proses pada level defined, 11 proses pada level repeatable but intuitive dan 4 proses level pada level ad-hoc. Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi perusahaan, manajemen dapat berfokus pada proses TI yang masih rendah (berada pada level ad-hoc dan repeatable but intuitive). Saran bagi perusahaan antara lain: a) Perusahaan sebaiknya menerapkan cost management pada perusahaan. Hal ini untuk memudahkan perusahaan dalam melacak dan mengidentifasi biaya baik pada level operasional maupun pada saat pelaksanaan proyek perusahaan. Hal ini dapat membantu efektifitas perusahaan terutama dalam faktor biaya serta membantu kontrol yang lebih baik terhadap biaya. b) Perusahaan dapat mengadopsi kerangka kerja mengenai information architecture yang sudah sesuai standard internasional seperti misalnya adalah TOGAF, Zachman Framework dan SAP-EAF. Dalam hal ini pilihan terbaik perusahaan adalah mengintegrasikan

information

architecture

SAP-EAF

karena

perusahaan

menggunakan ERP SAP. c) Perusahaan sebaiknya mengadopsi project management yang lebih modern untuk mempermudah pengawasan dan evaluasi proyek. Hal ini dapat mengefisensikan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

perusahaan dalam langkah perencanaa, budgeting hingga langkah pelaksanaan dan evaluasi. d) Membuat architecture board atau IT strategy committee pada manajemen perusahaan untuk membantu proses tata kelola teknologi informasi pada perusahaan. e) Membuat sebuah lingkungan tes internal untuk menguji penerapan sebuah sistem TI yang akan digunakan. f) Membuat dan mengomunikasikan perihal risk appetite pada perusahaan hingga ke semua level manajemen untuk memastikan bahwa seluruh karyawan menyadari tingkat risiko perusahaan. Kepustakaan Applegate, L. M., Austin, R. D., & Soule, D. L. (2009). Corporate Information Strategy and Management. International Edition: McGraw Hill. Grembergen, W. V. (2004). Strategies for Information Technology Governance. London: Idea Group Publishing. IT Governance Institute. (2003). Board Briefing on IT Governance. Rolling Meadow: ITGI. IT Governance Institute. (2007). COBIT 4.1: Framework, Control Objectives, Management Guideline and Maturity Model. Rolling Meadow: ITGI. IT Governance Institute. (2007). IT Assurance Guide: Need for IT Governance and Assurance and IT Assurance Approach. Rolling Meadow: ITGI. Kesumawardhani, D. R. (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi Kasus di PT Timah (persero) Tbk). Skripsi Fakultas Ekonomi Universitas Indonesia. Luftman, J. (1996). Competing in the Information Age - Strategic Alignment in Practice. Oxford University Press. Lunardi, G. L., Becker, J. L., Macada, A. C., & Dolci, P. C. (2013). The Impact of Adopting IT Governance on Financial Performance: an Empirical Analysis among Brazilian Firms. International Journal of Accounting Information Systems . PT Kereta Api Indonesia (persero). (2011). Laporan Tahunan 2011.

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

Ramadhanti, D. (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT Framework 4.1 (Studi Kasus pada PT Indonesia Power). Tesis Fakultas Ekonomi Universitas Indonesia. Ross, J. W., & Weill, P. D. (2004). IT Governance: How Top Performer Manage IT Decision Right for Superior Result. Harvard Business Press. Sekaran, U. (2010). Research Method for Business. USA: John Wiley and Sons. Simonsson, M., & Johnson, P. (2005). Defining IT Governance - a Consolidation of Literature. Stockholm: Department of Industrial Information and Control Systems.

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013