ANALISIS TATA KELOLA SISTEM INFORMASI MANAJEMEN TERPADU ( SIMPADU ) PNPM MANDIRI MENGGUNAKAN KERANGKA KERJA COBIT (Studi Kasus : PNPM Mandiri Kecamatan Sukaresik)
Irvan Sagita Sanjaya, Nurul Hiron, Aldy Putra Aldya Email :
[email protected] Teknik Informatika Universitas Siliwangi Tasikmalaya Abstract Information technology (IT) has a very important role in an organization to support the business functions within the organization. If the use of IT has gone well and can integrate well, IT is able to boost the performance of organizations. To that end, IT management needs to be utilized properly. In practice, IT management also requires monitoring and evaluation that aims to monitor, evaluate and ensure compliance in terms of objective standards approach. PNPM Mandiri as an element of the government organization responsible for implementing IT to support the realization of the objectives and achieve goals through better use of IT. IT Management in the District of PNPM Mandiri Sukaresik require evaluation, assessing the level of capability and make recommendations to the management of IT that do not meet the standards. Evaluation standards used COBIT 5 is a domain Monitor, Evaluate, and Assess (MEA) which focuses on monitoring, assessment and regulatory compliance of all IT systems run by PNPM Mandiri District of Sukaresik well maintained. COBIT 5 is a framework that has a range of a wide spectrum of IT processes and more detailed to fit the PNPM Mandiri, which use complex IT in the development of E-Government.). IT management weaknesses in PNPM Mandiri is the lack of formalization of rules and procedures for IT governance. So given the recommendation to reduce the gap between the current level of ability of the target to be achieved. Keywords: IT management, COBIT 5, the level of ability, domain MEA Abstrak Teknologi informasi (TI) memiliki peran yang sangat penting di dalam suatu organisasi untuk mendukung fungsi bisnis di dalam organisasi tersebut. Jika pemanfaatannya TI sudah berjalan dengan baik dan mampu berintegrasi dengan baik, maka TI mampu mendorong untuk terjadinya peningkatan kinerja di dalam organisasi. Untuk itu, dibutuhkan manajemen TI agar dapat dimanfaatkan dengan baik. Dalam pelaksanaanya, manajemen TI juga membutuhkan monitoring dan evaluasi yang bertujuan untuk memantau, mengevaluasi dan memastikan pemenuhannya ditinjau dari pendekatan objektif dari suatu standar. PNPM Mandiri sebagai organisasi unsur pelaksana pemerintah yang mengimplementasikan TI untuk mendukung merealisasikan sasaran dan mencapai tujuan melalui pemanfaatan TI yang baik. Manajemen TI di PNPM Mandiri Kecamatan Sukaresik memerlukan evaluasi, menilai tingkat kapabilitas dan menyusun rekomendasi terhadap manajemen TI yang belum memenuhi standar. Standar evaluasi yang digunakan adalah COBIT 5 domain Monitor, Evaluate and Assess (MEA) yang berfokus pada pengawasan, penilaian dan kepatuhan regulasi dari keseluruhan sistem TI yang dijalankan oleh PNPM Mandiri Kecamatan Sukaresik tetap terjaga dengan baik. COBIT 5 merupakan framework yang memiliki range spektrum proses TI yang luas dan lebih mendetail sehingga sesuai dengan PNPM Mandiri Kecamatan Sukaresik yang menggunakan TI yang kompleks dalam pengembangan E-Government. Kelemahan tata kelola TI di PNPM Mandiri Kecamatan Sukaresik adalah kurangnya formalisasi aturan dan prosedur manajemen TI. Sehingga diberikan rekomendasi untuk dapat mengurangi gap antara level kapabilitas sekarang terhadap target yang ingin dicapai. Kata kunci: manajemen TI, COBIT 5, level kapabilitas, domain MEA I.
Pendahuluan
Pengelolaan teknologi informasi (TI) yang baik dalam sebuah organisasi dapat meningkatkan efektivitas dan efisiensi kerja. Manfaat lain yang diperoleh adalah untuk integrasi kerja yang baik, membantu organisasi dalam memperoleh informasi yang kompetitif, menyajikan informasi dalam bentuk yang berguna serta untuk mengirim informasi ke pihak lain ataupun ke lokasi lain. Bidang pemerintahan kini sudah mulai merasakan keuntungan yang diperoleh dengan memanfaatkan bantuan TI. Studi kasus dalam tugas akhir ini adalah penerapan sistem informasi manajemen terpadu di PNPM Mandiri sebagai salah satu tindak lanjut dari kebijakan Pemerintah dalam mewujudkan Clean and Good Government. Untuk mewujudkan hal tersebut, Pemerintah merasa perlu adanya acuan tata kelola yang efektif. Terkait masalah yang ada, dibutuhkan proses pemantauan yang konsisten pada sistem tata kelola agar masalah dapat secepatnya diketahui dan diperbaiki. Dalam penelitian ini, pemantauan dan evaluasi tata kelola sistem informasi di
PNPM Mandiri Kecamatan Sukaresik dilakukan menggunakan framework COBIT versi 5, karena standar COBIT memiliki gambaran yang paling detail mengenai strategi dan pengaturan proses TI yang mendukung strategi binis. Sesuai dengan permasalahan yang akan dibahas, domain yang khusus digunakan dari COBIT versi 5 adalah MEA (Monitor, Evaluate, and Assess) sebagai acuan. Domain MEA fokus pada area manajemen dan proses pengawasan bagaimana sebuah TI dikelola pada organisasi, untuk memastikan desain dan kontrol mematuhi regulasi, serta monitoring berkaitan dengan penilaian independen berkaitan efektivitas sistem TI. Dari pemantauan dan evaluasi sistem tata kelola ini, diharapkan nantinya menghasilkan rekomendasi perbaikan tata kelola sehingga tujuan dari sistem ini dapat tercapai. Batasan masalah pada penelitian ini adalah : 1. Studi kasus dilakukan pada layanan sistem informasi PNPM Mandiri Kecamatan Sukresik.
1
2.
3.
4. 5.
Pembahasan menggunakan kerangka kerja COBIT 5 dan dibatasi hanya pada domain Pengawasan, Evaluasi, dan Penilaian ( Monitor, Evaluate, and Assess (MEA) ) Agar tetap terarah dan tidak menyimpang dari rencana sebelumnya. Pertimbangan pemilihan domain MEA ini mengingat permasalahan tersebut berkaitan dengan pengawasan, evaluasi, dan penilaian pelayanan yang perlu diberikan terhadap pengguna dari sistem informasi dan kebutuhan dari pihak institusi pada saat ini. Mengukur tingkat kapabilitas atau tingkat kemampuan tata kelola teknologi informasi pada PNPM Mandiri Kecamatan Sukresik. Analisis ini belum dilakukan terhadap enterprise secara menyeluruh.
Tujuan yang ingin dicapai pada penelitian ini adalah : 1. Memahami pelaksanaan tata kelola TI sistem informasi menggunakan kerangka kerja COBIT 5 di PNPM Mandiri Kecamatan Sukresik. 2. Memahami bagaimana pengawasan tata kelola TI sistem informasi PNPM Mandiri Kecamatan Sukaresik dengan kerangka kerja COBIT 5. 3. Memahami bagaimana evaluasi tata kelola TI sistem informasi PNPM Mandiri Kecamatan Sukaresik dengan kerangka kerja COBIT 5. 4. Memahami bagaimana penilaian tata kelola TI sistem informasi PNPM Mandiri Kecamatan Sukaresik dengan kerangka kerja COBIT 5. 5. Memberikan solusi cara perbaikan tata kelola TI sistem informasi menggunakan kerangka kerja COBIT 5 di PNPM Mandiri Kecamatan Sukresik. Manfaat yang diharapkan pada penelitian ini adalah : 1. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif di PNPM Mandiri Kecamatan Sukresik. 2. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi informasi di PNPM Mandiri Kecamatan Sukresik. 3. Mengoptimalkan biaya dari layanan dan teknologi TI PNPM Mandiri Kecamatan Sukresik. 4. Menjadikan tata kelola di PNPM Mandiri Kecamatan Sukresik sebagai referensi oleh PNPM daerah lain. 5. Membantu memberikan rekomendasi kepada kinerja TI yang sedang berjalan saat ini dan berguna untuk pedoman atau referensi evaluasi kinerja TI yang sudah diimplementasikan. Sebagai referensi bagi mahasiswa jurusan teknik informatika yang sedang mengikuti mata kuliah tata kelola. II. A.
Landasan Teori
Tata Kelola Teknologi Informasi Tata kelola TI adalah kapasitas organisasi sebagai tanggung jawab direksi, manajemen eksekutif, dan manajemen teknologi informasi untuk mengendalikan rumusan dan implementasi strategi SI/TI untuk memastikan selarasnya sumber daya SI/TI dengan bisnis organisasi. Grembergen menekankan pengertian tata kelola TI pada bagaimana organisasi memandang, mengelola dan mengoptimalkan sumber daya SI/TI yang dimilikinya dalam mendukung tujuan organisasi. (Wim Van Grembergen, 2004).
B.
Sistem Informasi Menurut Krismiaji (2002; 12) Sistem Informasi adalah cara-cara yang diorganisasi untuk mengumpulakn, memasukkan, mengolah, dan menyimpan data dan cara-cara yang diorganisasi untuk menyimpan, mengelola, mengendalikan dan melaporkan informasi sedemikian rupa sehingga sebuah organisasi dapat mencapai tujuan yang telah ditetapkan. C.
COBIT COBIT (Control Objectives for Information and related Technology) adalah suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya. COBIT merupakan suatu cara untuk menerapkan tata kelola TI. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang Teknologi Informasi, dirancang untuk memudahkan tahapan-tahapan audit bagi auditor. (Campbell, 2005:27). D.
COBIT 5 COBIT 5 adalah sebuah versi pembaharuan yang menyatukan cara berpikir yang mutakhir di dalam teknikteknik dan tata kelola TI perusahaan. Menyediakan prinsipprinsip, praktek-praktek, alat-alat analisa yang telah diterima secara umum untuk meningkatkan kepercayaan dan nilai sistem-sistem informasi. E.
5 Prinsip COBIT 5 Memenuhi keinginan pemangku kepentingan. Mencakup Enterprise End-to-end Menerapkan Single Framework yang Terpadu Mengaktifkan tata Pendekatanyang menyeluruh Memisahkan Tata Kelola dari Manajemen
1. 2. 3. 4. 5. F.
7 enabler pada COBIT 5 1. Prinsip, kebijakan dan kerangka kerja adalah kendaraan untuk menerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk sehari-hari manajemen. 2. Proses menggambarkan set terorganisir praktek dan kegiatan untuk mencapai tujuan tertentu dan menghasilkan set output dalam mendukung pencapaian keseluruhan TI-tujuan yang terkait. 3. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam suatu perusahaan. 4. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan manajemen.
2
5.
6.
7.
Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan diatur, tetapi pada tingkat operasional, informasi sangat sering produk utama dari perusahaan itu sendiri. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan aplikasi yang menyediakan perusahaan dengan pengolahan informasi teknologi dan jasa Manusia, keterampilan dan kompetensi yang diperlukan untuk berhasil menyelesaikan semua kegiatan, dan untuk membuat keputusan yang benar dan mengambil tindakan korektif.
G.
Domain Monitor, Evaluate and Assess Fokus domain MEA pada COBIT 5 yaitu pada area manajemen yaitu proses penilaian kebutuhan perusahaan dan sistem yang sedang berjalan masih memenuhi atau tidak, memastikan desain dan kontrol mematuhi regulasi, serta monitoring berkaitan dengan penilaian independen berkaitan efektivitas serta kemampuan untuk memenuhi bisnis objektif oleh penilai independen. Domain MEA terdiri dari 3 control objective, antara lain (ISACA, 2012): Kriteria untuk menentukan PA1.1 process performance (kinerja proses ) 1. MEA01 – Monitor, Evaluate, and Assess Performance and Conformance Mengumpulkan, memvalidasi dan mengevaluasi bisnis, IT dan tujuan proses dan metrik. Memantau bahwa proses berkinerja terhadap kinerja dan kesesuaian tujuan dan metrik persetujuan dan memberikan pelaporan yang sistematis dan tepat waktu. a. MEA01.01 Membangun pendekatan pemantauan. b. MEA01.02 kinerja dan pencapaian target c. MEA01.03 Mengumpulkan data yang sesuai dengan kinerja proses d. MEA01.04 Analisa dan melaporkan kinerja e. MEA01.05 adanya evaluasi kinerja proses 2. MEA02 – Monitor, Evaluate, and Assess the System of the Internal Control Terus memantau dan mengevaluasi lingkungan pengendalian, termasuk penilaian diri dan ulasan jaminan independen.Memungkinkan manajemen untuk mengidentifikasi kekurangan kontrol dan inefisiensi dan untuk memulai tindakan perbaikan.Merencanakan, mengatur dan menjaga standar untuk kegiatan penilaian pengendalian internal dan jaminan. a. MEA02.01 proses, sumber daya dan persyaratan sistem pengendalian internal yang berkaitan dengan perusahaan b. MEA02.02 Semua jaminan internal yang direncanakan dan dilaksanakan secara efektif c. MEA02.03 Jaminan independen bahwa sistem pengendalian internal beroperasi dan di sediakan secara efektif. d. MEA02.04 Pengendalian internal dilaksanakan dan kekurangan diidentifikasi dan dilaporkan 3. MEA03 – Monitor, Evaluate, and Assess Compliance with External Requirements Menilai bahwa proses TI dan proses bisnis IT yang didukung telah sesuai dengan undang-undang, peraturan dan persyaratan kontrak. Memperoleh keyakinan bahwa persyaratan telah diidentifikasi dan dipenuhi, dan
mengintegrasikan IT compliance dengan kepatuhan perusahaan secara keseluruhan. a. MEA03.01 Mengidentifikasi persyaratan kepatuhan eksternal b. MEA03.02 Mengoptimalkan menanggapi kebutuhan eksternal c. MEA03.03 melaporkan pengendalian eksternal d. MEA03.04 jaminan yang diperoleh dari pengendalian eksternal H. Asesmen Capability Maturity Model COBIT 5 ISO/IEC 15504-4 mengidentifikasi asesmen proses sebagai sebuah aktivitas yang dapat dijalankan baik sebagai bagian sebuah inisiatif perbaikan proses atau sebagai bagian pendekatan penentuan kapabilitas. Tujuan dari perbaikan proses adalah untuk secara berkelanjutan memperbaiki efektivitas dan efisiensi enterprise. Tujuan dari penentuan kapabilitas proses adalah untuk mengidentifikasi kekuatan, kelemahan, dan risiko dari proses yang dipilih sehubungan dengan persyaratan tertentu khususnya melalui proses yang digunakan dan keselaran terhadap kebutuhan bisnis. III. Metodologi A. Metode Penelitian Metode penelitian yang akan dilakukan bersifat kualitatif karena data penelitian berupa deskriktif atau pengumpulan data fakta yang terdapat di tempat penelitian yang mengacu kepada kerangka kerja COBIT 5, data hasil penelitian akan dinilai berdasarkan tingkat kapabilitas atau tingkat kemampuan sebuah organisasi pada domain Pengawasan, Evaluasi, dan Penilaian ( Monitor, Evaluate, and Assess (MEA) ).
Gambar 1. Kerangka kerja Penelitian B. Pengumpulan Data COBIT 5 terdapat panduan mengenai kegiatan yang penting untuk dilakukan berkaitan dengan proses pengawasan dan evaluasi kinerja IT organisasi. Oleh karena itu, alat pengumpulan data dikembangkan berdasarkan indikatorindikator kegiatan yang terdapat pada Control Objectives Monitor, Evaluate, and Assess IT (MEA). Data utama dikumpulkan dengan melakukan audit yang dilengkapi dengan wawancara, serta dokumen tertulis. C.
Analisa Data Data yang telah selesai diolah kemudian dianalisis. Analisis pemecahan masalah dilakukan terhadap domain MEA (Monitor, Evaluate, and Assess) yang memiliki nilai
3
parameter dengan level capability berdasarkan kerangka kerja COBIT 5. Analisa data dilakukan melalui empat tahapan analisa, yaitu : 1. Penentuan komponen TI 2. Audit Tata kelola TI 3. Identifikasi tingkat kepentingan proses TI 4. Pengukuran tingkat kapabilitas atau tingkat kemampuan. D.
Asesmen Capability Maturity Mengidentifikasi asesmen proses sebagai sebuah aktivitas yang dapat dijalankan baik sebagai bagian sebuah inisiatif perbaikan proses atau sebagai bagian pendekatan penentuan kapabilitas. Tujuan dari penentuan kapabilitas proses adalah untuk mengidentifikasi kekuatan, kelemahan, dan risiko dari proses yang dipilih sehubungan dengan persyaratan tertentu khususnya melalui proses yang digunakan dan keselaran terhadap kebutuhan bisnis.
Gambar 2 Proses Atribut Peringkat dan Tingkat Kemampuan ( sumber : Sumber www.isaca.org/cobit ) 3. Menentukan proses kemampuan yang dipilih Langkah pertama dalam penilaian setiap proses adalah untuk menentukan apakah proses yang sebenarnya sedang dilakukan dan mencapai hasil tersebut. a. Menentukan kapabilitas level MEA01
IV. Hasil Dan Pembahasan A. Pengumpulan Data Pengumpulan data dilakukan dengan menyebarkan melakukan obsevasi, wawancara dan audit (pengumpulan barang bukti dan fakta) di PNPM Mandiri Kecamatan Sukaresik yang bertujuan untuk mengetahui kondisi tata kelola TI di tempat penelitian. B.
Pembahasan Model capability merupakan alat ukur untuk mengetahui kondisi proses TI pada PNPM Mandiri Kecamatan Sukaresik. Kegiatan pengukuran ini akan menghasilkan penilaian tentang kondisi sekarang dari proses monitor, evaluate dan assess (MEA), terdiri dari monitor, evaluate, and access (MEA01), monitor, evaluate, and access (MEA02), Monitor, Evaluate, and Access (MEA03). Pada pengukuran Capability model ini digunakan pengambilan data melalui salah satu metode asesmen yang disarankan oleh COBIT 5 adalah dengan melakukan audit (mengumpulkan barang bukti dan fakta ) pada unit kerja TI yang kesehariannya mengoprasikan secara langsung dan mengetahui masalah yang berkaitan dengan proses terpilih.
b. Menentukan kapabilitas level MEA02
1.
Penentuan Lingkup Penentuan lingkup dilakukan untuk memudahkan dalam penentuan proses, mengetahui target yang akan dicapai. Table 2 Penentuan lingkup
2.
Menentukan kapabilitas level 1 – 5 Pencapaian diberikan tingkat kemampuan proses memerlukan atribut untuk tingkat yang telah sepenuhnya atau sebagian besar dicapai dan atribut untuk semua tingkat yang lebih rendah untuk menjadi sepenuhnya dicapai
4
c. Menentukan kapabilitas level MEA03
Untuk mencapai level target yang ingin dicapai yaitu level 1 Performace Proces dengan pencapaian F ( Fully Achieved ), maka proses yang telah dilaksanakan bahkan belum terlaksana pada level 1 harus dilaksanakan dan dikembangkan menuju PA 1.1 dengan pencapaian F ( Fully Achieved ). B. Analisis Gap MEA02 Berdasarkan kondisi hasil kapabilitas pada MEA02, diperoleh capability level untuk proses MEA02 adalah level 1 yaitu Performace Proces dengan pencapaian L (Largely Achieved). Target yang ingin dicapai adalah level 1 yaitu Performace Proces dengan pencapaian F ( Fully Achieved ). Untuk mencapai level target yang ingin dicapai yaitu level 1 Performace Proces dengan pencapaian F ( Fully Achieved ), maka proses yang telah dilaksanakan bahkan belum terlaksana pada level 1 harus dilaksanakan dan dikembangkan menuju PA 1.1 dengan pencapaian F ( Fully Achieved ).
4. Mencatat dan Menyimpulkan level Kapabilitas Setelah dilakukan evaluasi dengan menggunakan form assessment pada manajemen monitoring dan evaluasi TI di PNPM Mandiri Kecamatan Sukaresik, maka didapatkan temuan-temuan evaluasi berupa kondisi existing yang menunjukkan bagaimana capability level saat ini pada proses domain MEA01 hingga MEA03. Kemudian akan dilakukan analisis gap dari kondisi existing terhadap target yang ingin dicapai. Table 3 Tingkat kematangan
C. Analisis Gap MEA03 Berdasarkan kondisi hasil kapabilitas pada MEA03, diperoleh capability level untuk proses MEA03 adalah level 1 yaitu Performace Proces dengan pencapaian L (Largely Achieved). Target yang ingin dicapai adalah level 1 yaitu Performace Proces dengan pencapaian F ( Fully Achieved ). Untuk mencapai level target yang ingin dicapai yaitu level 1 Performace Proces dengan pencapaian F ( Fully Achieved ), maka proses yang telah dilaksanakan bahkan belum terlaksana pada level 1 harus dilaksanakan dan dikembangkan menuju PA 1.1 dengan pencapaian F ( Fully Achieved ). 6. Mengembangkan Rencana Peningkatan Aksi Berdasarkan penilaian, pertimbangan harus diberikan untuk pengembangan rencana aksi untuk perbaikan proses. Salah satu pilihan bisa untuk memulai rencana perbaikan awal berdasarkan penilaian. Hal ini bisa mengatasi daerah penting tertinggi dengan tujuan bisnis perusahaan dan fokus pada daerah dengan kesenjangan antara 'saat' dan 'target' tingkat kemampuan proses.
Table 4 Ringkasan Penilaian
5. Analisis Gap Table 5 Gap Tingkat Kapabilitas atau Tingkat Kemampuan
A. Analisis Gap MEA01 Berdasarkan kondisi hasil kapabilitas pada MEA01, diperoleh capability level untuk proses MEA01 adalah level 1 yaitu Performace Proces dengan pencapaian L (Largely Achieved). Target yang ingin dicapai adalah level 1 yaitu Performace Proces dengan pencapaian F ( Fully Achieved ).
A. Kondisi existing MEA01 Berdasarkan hasil penilaian, proses MEA01 memperoleh tingkat pencapaian L (Largely Achieved) dengan capability level 80%. Sehingga kapabilitas proses MEA01 berada pada level 1(Performace Proces). Berikut adalah daftar base practice dan work product yang belum optimal dan bahkan tidak dilakukan pada proses MEA01 untuk penilaian pada level 1 : a. Base practice 1. Menyetujui siklus hidup manajemen dan proses kontrol perubahan untuk monitoring dan pelaporan. Termasuk kesempatan untuk melakukan peningkatan pada pelaporan 2. Menyetujui tujuan proses kinerja (contoh: kesesuaian, kinjera, nilai, resiko), dan data bukti 3. Menentukan dan mereview secara berkala tujuan stakeholder untuk mengidentifikasi berbagai item yang ada secara signifikan 4. Membagikan laporan kepada stakeholder secara berkala . b. Work product
5
1. 2. 3. 4.
Kumpulan data hasil monitoring kinerja proses Laporan hasil analisa kinerja proses Laporan hasil evaluasi kinerja proses Laporan tindakan yang dilakukan untuk meningkatkan kinerja proses.
B. Kondisi existing MEA02 Berdasarkan hasil penilaian, proses MEA02 memperoleh tingkat pencapaian L (Largely Achieved) pada PA 1.1 dengan capability level 75%. Sehingga kapabilitas proses MEA02 berada pada level 1 (Performed Proces). Berikut adalah daftar base practice yang belum ada dan work product yang belum optimal dan bahkan tidak dilakukan pada proses MEA02 untuk penilaian pada level 1 : a. Base practice 1. Mengidentifikasi batasan sistem internal kontrol ( contoh: mempertimbangkan bagaimana organisasi mengambil pengembangan kontrol internal TI 2. Memahami resiko pada sasaran organisasi ( contoh : memahami kondisi yang ada atau terjadi sebagai tolak ukur pengembangan internal kontrol. b. Work product 1. Laporan dan dokumen hasil monitoring kontrol internal 2. Laporan dan dokumen hasil evaluasi internal kontrol 3. Laporan identifikasi internal kontrol C. Kondisi existing MEA03 Berdasarkan hasil penilaian, proses MEA03 memperoleh tingkat pencapaian L (Largely Achieved) pada PA 1.1 dengan capability level 75%. Sehingga kapabilitas proses MEA03 berada pada level 1 (Performed Proces). Berikut adalah daftar base practice dan work product yang belum optimal dan bahkan tidak dilakukan pada proses MEA03 untuk penilaian pada level 1 : a. Base practice 1. Menempatkan tanggung jawab untuk mengidentifikasi dan monitoring berbagai perubahan mengenai control eksternal terhadap penggunaan operasi sumberdaya TI pada perusahaan 2. Mengidentifikasi batasan eksternal kontrol ( contoh : mempertimbangkan bagaimana organisasi mempertimbangkan isu-isu yang berkaitan dengan eksternal kontrol. 3. Mengalamatkan gap kepatuhan dalam kebijakan, standar dan prosedur dengan tepat waktu 4. Secara berkala mengevaluasi bisnis dan proses TI dan kegiatan untuk memastikan kepatuhan terhadap persyaratan hukum peraturan dan kontrak yang berlaku 5. Mengintegrasikan pelaporan mengenai persyaratan hukum peraturan dan kontrak pada tingkat perusahaan yang melibatkan semua unit bisnis 6. Menempatkan tanggung jawab untuk mengidentifikasi dan monitoring berbagai perubahan legal mengenai kontrol eksternal terhadap penggunaan operasi sumberdaya TI pada perusahaan. 7. Jika diperlukan, mendapatkan pernyataan dari pihak penyedia layanan TI di tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku b. Work Product 1. Laporan dari ketidakpatuhan
isu-isu
dan
akar
penyebab
2. 3. 4. 5. 6.
Laporan konfirmasi ketidakpatuhan Laporan dari hasil kebutuhan eksternal kontrol Laporan hasil evaluasi pengendalian eksternal kontrol Laporan dan dokumen hasil identifikasi kesenjangan Dokumen jaminan pengendalian eksternal kontrol
V. Kesimpulan dan Saran A. Kesimpulan Berdasarkan hasil penelitian yang telah dilakukan dapat diambil kesimpulan sebagai berikut : 1. Dari hasil evaluasi capability level pada area domain MEA (Monitoring, Evaluate, Assess), PNPM Mandiri Kecamatan Sukaresik berada pada level 1 (performed Proces) dengan pencapaian L (Largely Achieved) dari kesuluruhan proses MEA. 2. Menurut capability level masing-masing proses, ditentukan level target masing-masing proses yaitu level 1 dengan pencapaian L (Largely Achieved ) capability level PNPM Mandiri Kecamatan Sukaresik saat dinilai, sehingga target capability level yang ingin dicapai adalah level 1(managed process) dengan pencapaian F ( Fully Achieved ) untuk masing-masing proses MEA, maka base practice dan work product yang belum dilaksanakan dan dikembangkan menuju pencapaian F ( Fully Achieved ) harus dilaksanakan dan di optimalkan. 3. Untuk mengurangi gap antara capability level saat ini dan capability level yang ingin dicapai, maka PNPM Mandiri Kecamatan Sukaresik harus memenuhi PA1.1, agar capability level saat ini yang berada pada level 1 dapat naik ke level 2. Sejalan dengan itu, PNPM Mandiri Kecamatan Sukaresik dalam implementasi system informasi semakin mendekati tujuan. B. Saran Berdasarkan penelitian yang telah dilakukan dapat diberikan beberapa saran sebagai berikut : 1. Mengimplementasikan rekomendasi perbaikan untuk meningkatkan capability level pada area MEA di PNPM Mandiri Kecamatan Sukaresik. 2. Melakukan penilaian, pemantauan dan evaluasi terhadap proses TI secara keseluruhan dan secara berkala, sehingga dapat diperbaiki segera mungkin jika terdapat ketidaksesuaian. 3. Dalam penelitian ini hanya menggunakan area domain MEA (Monitoring, Evaluate, Assess). Penelitian selanjutnya dapat menggunakan area domain yang ada kaitannya sesuai dengan kebutuhan tata kelola. 4. Dalam penelitian ini menggunakan framework COBIT 5 sebagai penelitian. Penelitian selanjutnya dapat menggunakan framework lain seperti IT Infrastructure Library, ISO 17799, ISO 27000, dan ISO/IEC 38500 sebagai perbandingan. DAFTAR PUSTAKA http://www.isaca.org/COBIT/ , diakses pada tanggal 8 Oktober 2014 ISACA. 2013. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. http://www.isaca.org/Education/OnlineLearning/Pages/A-COBIT-5-Overview.aspx, diakses pada tanggal 12 Oktober 2014.
6
ISACA. 2012. COBIT 5: A Business Framework for Governance & Management IT. , diakses pada tanggal 12 Oktober 2014 ISACA. 2012. COBIT 5: Enabling Processes. diakses pada tanggal 13 Oktober 2014 IT Governance Institute, 2012, COBIT 5, USA. IT
Governance. 1 Nopember 2013. http://www.itgovernance.co.uk. diakses pada tanggal 13 Oktober 2014
http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1sekarang-cobit-5-apa-bedanya.html diakses pada tanggal 20 Oktober 2014 Meidyanto, Riky (2009, Juni 19). Audit Sistem Informasi dengan Menggunakan COBIT (Control Objectives For Information And Related Technology). Retrieved November 27, 2012, from Moh. Nazir, (1983), Metode Penelitian, Jakarta : Ghalia Indonesia McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia. Terjemahan Teguh,H. Prenhallindo, Jakarta. audit sistem informasi dengan menggunakan cobit (control objectives for information and related technology) http://www.krikkrikx.blog.binusian.org/files/2009/ 06/untuk-blog221.doc diakses pada tanggal 28 Oktober 2014 simpadu-pnpm.bappenas.go.id/ diakses pada tanggal 5 Oktober 2014 Tim Pengendali (2007).Pengertian dan definisi PNPM Mandiri Pedesaan” from http://pembelajaranpendidikan.blogspot.com/2012/05/pengertian-dandefinisi-pnpm mandiri.html diakses pada tanggal 7 Oktober 2014 Wibowo, M. P. (2008, Agustus 9). Analisis Tingkat Kematangan (Maturity Level) Pengawasan dan Evaluasi Kinerja Teknologi Informasi Otomasi Perpustakaan dengan COBIT (Control Objective For Information And Related Technology): Studi Kasus Di Perpustakaan Universitas Indonesia. Retrieved November 27, 2012, from http://sangprabu.multiply.com: http://sangprabu.multiply.com/journal/item/27 diakses pada tanggal 8 November 2014
7