PERANCANGAN FRAMEWORK PENYUSUNAN TATA KELOLA TEKNOLOGI INFORMASI UNTUK PEMERINTAHAN Kurnia, Suhardi Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung
[email protected],
[email protected] Kata kunci: Tata kelola TI, Tata kelola TI untuk pemerintah, COBIT, AS8015, ISO 38500, framework penyusunan tata kelola TI
Abstrak Dengan semakin tingginya pemakaian Teknologi Informasi (TI) oleh Pemerintah Indonesia maka diperlukan sebuah mekanisme penataan (governance) yang dapat memastikan investasi TI yang dilakukan dapat benar-benar mendukung tercapainya tujuan Pemerintah. Tata kelola TI (IT governance) merupakan sebuah konsep yang dapat menjamin TI sebuah organisasi mendukung dan memungkinkan ketercapaian strategi dan obyektif dari organisasi tersebut. Adapun salah satu kerangka kerja (framework) yang banyak diadopsi untuk tata kelola TI ini adalah Control Objectives for Information and related Technology (COBIT).
1. Pendahuluan Investasi pemerintah dalam bidang teknologi informasi semakin lama semakin meningkat. Kebutuhan tata kelola TI dengan sendirinya semakin mendesak untuk menjamin bahwa terdapat manajemen yang baik dan memadai dalam mengelola TI. Cakupan tata kelola meliputi manajemen sumber daya TI, manajemen risiko terkait TI, dan manajemen kinerja TI. Penyusunan dan penerapan tata kelola TI yang tepat pada gilirannya dapat menghasilkan nilai (value delivery) dan sesuai dengan tujuan dari Pemerintah (business alignment).
Pada paper ini diusulkan sebuah framework yang dapat digunakan dalam penyusunan tata kelola TI bagi pemerintahan tingkat departemen. Dasar perancangan yang digunakan adalah COBIT dan perangkat pendukungnya dengan mempertimbangkan kondisi dan regulasi pemerintahan yang berlaku bagi departemen khususnya yang terkait dengan TI. Penentuan COBIT sebagai acuan framework tata kelola TI untuk pemerintah dilakukan melalui pengkajian terhadap beberapa pilihan standard/framework tata kelola TI yaitu COBIT, AS 8015 dan ISO 38500.
Saat ini telah terdapat beberapa standard/framework untuk tata kelola TI yang dapat dipakai, namun framework untuk penyusunan tata kelola TI sebagai panduan bagi institusi pemerintahan tingkat departemen di Indonesia sampai saat ini belum tersedia. Penyusunan tata kelola TI merupakan suatu usaha yang difokuskan pada perbaikan tata kelola terhadap proses-proses TI yang kritikal di sebuah departemen. Dengan adanya framework penyusunan tata kelola TI ini diharapkan setiap Departemen mengetahui tahapan-tahapan yang harus dilakukan dalam menyusun tata kelola TI sehingga setiap insiatif atau program penyusunan tata kelola TI dapat memenuhi harapan pemerintah dan mendukung penyelenggaran pemerintahan yang baik (good governance) di bidang teknologi informasi.
Framework penyusunan tata kelola TI yang dihasilkan terdiri dari beberapa tahapan yang penting untuk dilakukan guna menghasilkan tata kelola TI yang baik dan memadai bagi sebuah departemen. Framework penyusunan tersebut juga meliputi kajian terhadap kondisi TI di departemen yang bersangkutan sehingga tata kelola TI yang dihasilkan diharapkan dapat csesuai dengan kebutuhan dari departemen tersebut. Contoh penerapan framework diberikan untuk menunjukkan bahwa framework tersebut memang benar-benar dapat digunakan oleh sebuah departemen.
1.Definisi Tata Kelola TI menurut COBIT, AS8015 dan ISO/IEC 38500 Sebelum merancang framework penyusunan tata kelola TI, perlu ditetapkan dahulu definisi tata kelola TI tersebut yang akan menjadi acuan bagi pemerintahan. Untuk keperluan tersebut maka dilakukan pengkajian terhadap beberapa standard terkait tata kelola teknologi informasi seperti COBIT, AS8015 dan ISO/IEC 38500. Pengkajian yang dilakukan difokuskan pada definisi, isi, framework, 1
template dokumen dan cara pengukuran tata kelola TI berdasarkan standard/framework tersebut. COBIT (Control Objectives for Information and related Technology) merupakan salah satu framework tata kelola TI yang banyak diadopsi. COBIT dipublikasikan oleh IT Governance Institute (ITGI) dan pada saat ini sudah sampai pada COBIT versi 4.1. COBIT mendefinisikan obyektif kontrol untuk 34 proses TI yang dibagi ke dalam 4 ranah (domain) yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) dan Monitor and Evaluate (ME). AS 8015 merupakan standard Australia tentang tata kelola TIK korporat (Corporate Governance of ICT). Standard ini ditujukan untuk menjadi pedoman bagi Direksi untuk penggunaan TI dan pengelolaan risiko TI. Dengan mengikuti standard ini diharapkan organisasi akan mendapatkan imbalan yang terbaik dari investasi yang dilakukannya dalam bidang TI. Standard ini terdiri dari sebuah model seperti diperlihatkan pada gambar di bawah dan 6 (enam) prinsip yaitu: • Penyusunan peran dan tanggung jawab TIK yang jelas (establish clearly understood responsibilities for ICT) • Perencanaan TIK yang sesuai dengan tujuan organisasi (plan ICT to best support the organization) • Pengadaan TIK sesuai dengan aturan yang berlaku (acquire ICT validly) • Penyelenggaraan TIK yang baik dan memadai dapat tersedia pada saat dibutuhkan (ensure that ICT performs well, whenever required) • Penyelenggaraan TIK sesuai dengan aturan yang berlaku (ensure ICT conforms with formal rules) • Penyelenggaraan TIK mempertimbangkan faktor-faktor sumber daya manusia (ensure ICT use respects human factors)
Gambar 1. Model Tata Kelola TIK Korporat berdasarkan AS8015:2005 ISO/IEC 38500 adalah standard internasional tata kelola korporasi untuk teknologi informasi (Corporate Governance of Information Technology) yang dikembangkan oleh komite teknis ISO/IEC JTC 1. Standard internasional ini yang bertujuan untuk memberikan sebuah kerangka (framework) tentang prinsip-prinsip yang dapat digunakan dewan direksi dan pihak-pihak yang membantu dewan direksi seperti manajer senior untuk mengevaluasi, mengarahkan dan memonitor penggunaan teknologi informasi bagi perusahaan/organisasinya. Standard ISO/IEC 38500:2008 dikembangkan berdasarkan standar AS8015:2005 dan berisi definisi, prinsip dan sebuah model. Isi dari standar internasional ini tidak begitu berbeda dari standar induknya (AS8015:2005) dimana berisi enam prinsip tata kelola korporasi TI dan sebuah model. 2.Pembuatan framework 2.1Memilih standard/framework tata kelola TI yang akan digunakan bagi pemerintahan Hal ini sangat penting dilakukan karena framework penyusunan yang akan dibuat ditujukan untuk menghasilkan tata kelola TI yang memenuhi ketentuan dalam standard/framework tersebut. Tanpa mengetahui standard/framework tata kelola TI maka framework penyusunan yang dibuat tidak memiliki tujuan pencapaian yang jelas. 2.2 Identifikasi perangkat pendukung untuk penerapan standard/framework tata kelola TI yang telah dipilih Langkah selanjutnya adalah identifikasi perangkat pendukung untuk penerapan standard/framework yang telah dipilih pada langkah sebelumnya. Framework penyusunan yang dibuat perlu 2
mempertimbangkan perangkat penerapan yang telah ada ini.
menunjukkan adanya kajian terhadap kondisi organisasi. Selain itu proses-proses TI yang menjadi rujukan adalah proses-proses TI dalam COBIT tanpa memperhatikan proses-proses TI yang terjadi di organisasi tersebut.
pendukung
2.3 Menyertakan kajian tentang kondisi Pemerintahan di tingkat departemen terkait tata kelola TI Framework penyusunan tata kelola TI yang dibuat harus mengandung tahapan yang mengkaji kondisi yang ada di pemerintahan tingkat departemen. Hal ini penting agar tata kelola TI yang dihasilkan memang sesuai dengan kebutuhan dan kondisi dari departemen yang bersangkutan.
3.2 Menyertakan kajian kondisi Pemerintahan Framework penyusunan yang dibuat perlu menyertakan tahapan untuk melakukan kajian terhadap kondisi pemerintahan khususnya tingkat departemen. Kajian ini sangat penting untuk dilakukan agar tata kelola TI yang dihasilkan nantinya memang benar-benar telah mempertimbangkan kondisi dan kebutuhan pemerintahan khususnya di tingkat departemen.
2.4 Membuat framework penyusunan tata kelola TI Framework penyusunan tata kelola TI dibuat dengan mempertimbangkan standard/framework tata kelola TI yang dipilih dan perangkat pendukung penerapannya. Framework penyusunan ini juga harus mengandung tahapan untuk mengkaji kondisi pemerintahan yang ada. Dengan ketiga hal tersebut framework penyusunan tata kelola TI dibuat.
3.3 Framework Penyusunan Tata Kelola TI Pemerintahan Framework penyusunan tata kelola TI ditujukan untuk memberikan arahan yang jelas dan terarah bagi Pemerintah dalam pembuatan dokumen tata kelola TI sehingga dokumen yang dihasilkan sesuai dengan definisi tata kelola menurut COBIT. Seperti telah disampaikan bahwa dari pembahasan sebelumnya bahwa dalam penelitian ini COBIT telah ditetapkan bahwa acuan tata kelola TI untuk pemerintahan. Dengan memperhatikan masukan dari IT Governance Implementation Guide tentang road map implementasi tata kelola TI dan memasukkan tahapan untuk mengkaji kondisi pemerintahan tingkat departemen, maka dihasilkan framework penyusunan tata kelola TI untuk pemerintahan sebagaimana diperlihatkan pada gambar 2.
3.Memberikan contoh penerapan Tahap terakhir adalah memberikan contoh penerapan framework penyusunan tata kelola TI Pemerintahan di sebuah departemen.
3.Pembuatan Framework 3.1Pemilihan Standard/Framework Tata Kelola TI dan Identifikasi Perangkat Pendukung Penerapannya Tahap terakhir adalah memberikan contoh penerapan framework penyusunan tata kelola TI Pemerintahan di sebuah departemen. Pilihan yang diuji adalah COBIT, AS 8015:2005 dan ISO/IEC 38500:2008. Dari ketiga standard/framework tersebut COBIT paling tepat untuk dijadikan acuan dalam pembuatan framework penyusunan tata kelola TI dengan pertimbangan COBIT memiliki keunggulan dibandingkan dengan AS 8015 dan ISO 38500 antara lain dari segi kelengkapan dimana prosesproses TI dalam COBIT mencakup semua prinsip tata kelola TI yang ada dalam AS 8015 maupun ISO 38500.
Gambar 2. Framework Penyusunan Tata Kelola TI Pemerintahan
Perangkat pendukung yang dapat digunakan untuk menerapkan COBIT adalah IT Governance Implementation Guide. Dalam perangkat pendukung tersebut terdapat road map untuk implementasi tata kelola TI, namun tidak
3.3.1 Langkah 1: Menumbuhkan Kesadaran Manajemen 3
Proses TI Pemerintahan Proses TI P.1 Proses TI P.2 Proses TI P.3
Tanpa dukungan dari pihak manajemen organisasi, keberhasilan program tata kelola TI sangat sulit diraih. Diperlukan komitmen dan keterlibatan mulai dari awal penyusunan tata kelola untuk mendapatkan dukungan yang dibutuhkan. Untuk itu maka langkah pertama yang perlu dilakukan adalah membangkitkan kepedulian dari pihak manajemen (Management Awareness) tentang pentingnya Tata Kelola TI bagi Departemen.
3.3.4 Langkah 4: Pengukuran Nilai Dan Risiko TI Langkah berikutnya adalah mengukur nilai dan risiko TI yang dimiliki departemen. Pengukuran dilakukan untuk mengetahui nilai proses TI yang mencerminkan tingkat kepentingan departemen terhadap sebuah proses TI. Selain itu pengukuran dilakukan juga untuk mengetahui profil risiko yang ditimbulkan oleh setiap proses TI. Yang dimaksud dengan proses TI di sini adalah proses TI yang didefinisikan di dalam COBIT.
3.3.2 Langkah 2: Identifikasi Kondisi TI Departemen Setelah manajemen memiliki kesadaran tentang pentingnya tata kelola TI bagi departmen yang dipimpinnya maka langkah selanjutnya adalah melakukan identifikasi kondisi TI di departemen tersebut. Kondisi TI departemen ada yang bersifat umum dan mencakup semua departemen (seperti regulasi yang dikeluarkan oleh Pemerintah Pusat terkait TI yang harus dipatuhi oleh semua departemen) serta kondisi TI yang spesifik bagi masing-masing departemen sesuai dengan kebutuhannya. Kedua hal ini perlu mendapatkan perhatian dalam penyusunan tata kelola TI. Kondisi departemen yang perlu diidentifikasi adalah yang terkait kepemimpinan, struktur organisasi dan proses TI di departemen.
3.3.5 Langkah 5: Pemilihan Proses TI Yang Kritikal Langkah berikutnya adalah memilih proses TI yang kritikal bagi departemen. Perbaikan tata kelola TI akan diprioritaskan pada proses-proses TI yang kritikal ini. Proses-proses TI kritikal tersebut memiliki kriteria sebagai berikut: • Proses TI tersebut dinilai penting bagi kepentingan Departemen. • Proses TI tersebut dinilai memiliki tingkat risiko yang cukup tinggi akibat kurangnya kontrol yang memadai terhadap risiko TI. Pemilihan proses TI yang kritikal ini dapat dilakukan dengan mempertimbangkan hasil dari tahap sebelumnya yaitu dengan mengalikan nilai pentingnya sebuah proses TI bagi Departemen dengan risiko dari proses TI tersebut. Perkalian ini menghasilkan sebuah nilai yang merupakan status risiko dari setiap proses TI bagi organisasi tersebut. Nilai status yang dihasilkan kemudian dikelompokkan dalam 3 kategori sebagai berikut: • Kategori “Rendah” untuk nilai 0 sampai lebih kecil atau sama dengan 1,666 • Kategori “Sedang” untuk nilai yang lebih besar dari 1,666 dan lebih kecil dari atau sama dengan 3,333 • Kategori “Tinggi” untuk nilai yang lebih besar dari 3,333
3.3.3 Langkah 3: Identifikasi dan Pemetaan Proses TI Departemen terhadap Proses TI COBIT Pada langkah sebelumnya telah diidentifikasi kondisi Departemen XYZ. Dari hasil tersebut maka dapat diidentifikasi proses-proses TI yang ada di sebuah departemen. Pada langkah ini proses-proses TI tersebut dipetakan ke proses-proses TI yang didefinisikan dalam COBIT. Pemetaan dilakukan untuk mengidentifikasi kaitan yang jelas antara proses-proses yang ada di Departemen termasuk yang dipersyaratkan harus ada oleh regulasi dengan proses-proses TI dalam COBIT. Dengan pemetaan ini maka dapat diuji pula apakah semua proses TI yang terjadi di Departemen memang terwakili oleh COBIT atau tidak, kemudian dapat diketahui pula hubungan antara keduanya. Dengan demikian kaitan antara proses TI dalam COBIT dengan proses TI di Departemen yang mencerminkan kebutuhan departemen menjadi jelas sehingga tata kelola TI yang dihasilkan nantinya dapat sesuai dengan kebutuhan dan kondisi spesifik dari departemen yang bersangkutan. Pemetaan dapat dilakukan dengan menggunakan format seperti ditunjukkan oleh tabel di bawah ini.
Proses TI yang kritikal tentunya proses TI yang memiliki nilai profil “Sedang” dan/atau “Tinggi”. Tentunya setiap departemen dapat menentukan sendiri apakah proses TI kritikal adalah proses dengan profil “Sedang” dan “Tinggi” atau hanya yang memiliki profil “Tinggi” saja. 3.3.6 Langkah Kematangan
Tabel 1. Pemetaan Proses TI Departemen dengan Proses TI COBIT 4
Proses COBIT Proses TI C.1 Proses TI C.2 Proses TI C.3
6:
Pengukuran
Tingkat
•
Setelah menentukan proses TI yang kritikal bagi Departemen maka tahap berikutnya adalah mengukur tingkat kematangan dari proses-proses TI tersebut. Tingkat kematangan proses TI perlu diukur untuk mengetahui kondisi kematangan dari proses TI saat ini dan mengidentifikasi kemungkinan perbaikannya. Untuk itu terdapat dua hal yang perlu dilakukan yaitu: • Mengukur tingkat kematangan saat ini dari proses-proses TI yang kritikal. • Menetapkan tingkat kematangan yang menjadi target pencapaian guna memperbaiki tingkat kematangan saat ini.
2.
3.3.7 Langkah 7: Analisis Kesenjangan Dari hasil pengukuran tingkat kematangan prosesproses TI saat ini dan target tingkat kematangan yang telah ditetapkan maka dapat diketahui kesenjangan kondisi di antara keduanya. Target tingkat kematangan dapat dijadikan masukan untuk menentukan persyaratan dari setiap proses TI yang diharapkan dapat dicapai di masa yang akan datang. Sebagai contoh misalnya target tingkat kematangan adalah 3.00 maka tentunya setiap proses TI harus berusaha memenuhi persyaratan kematangan proses TI yang ada di tingkat 4 supaya nilai tingkat kematangan minimal 3.00 tersebut dapat dicapai. 3.3.8 Langkah 8: Pembuatan Dokumen Tata Kelola TI Dengan memperhatikan hasil yang terlah didapat sebelumnya antara lain tentang kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI. Dokumen tata kelola TI berisi kebijakan, standard, dan/atau prosedur menyangkut: 1. Perbaikan kepemimpinan dan struktur tata kelola TI Dalam menyusun kebijakan, standard, dan/atau prosedur terkait kepemimpinan dan struktur tata kelola TI, terdapat beberapa hal yang perlu dipertimbangkan diantaranya: • Struktur organisasi TI saat ini dan dibandingkan dengan praktik-praktik terbaik untuk organisasi TI. Praktik-praktik terbaik ini antara lain praktik terbaik mengenai: o Struktur Komite Strategi TI dan Komite Pengarah TI sebagaimana diperlihatkan dalam Board Briefing on IT Governance. o Struktur organisasi TI o Pemilahan tugas (segregation of duties) dalam pengelolaan TI.
Tabel 2. Format Kebijakan/Standard/Prosedur Nomor Kebijakan/Standard/Prosedur Ranah (optional) Nama Kebijakan/Standard/Prosedur Pernyataan Penjelasan Pernyataan Hubungan dengan Prosedur/ Kebijakan/Standard Tanggal berlaku Efektif
3. Contoh Penerapan Framework penyusunan tata kelola TI pemerintahan yang diusulka harus dapat diterapkan dalam penyusunan tata kelola TI di Departemen yang ada di Pemerintahan Republik Indonesia. Sebagai contoh, framework yang diusulkan diterapkan pada sebuah departemen di pemerintahan yaitu Departemen XYZ yang ingin menyusun tata kelola teknologi informasinya. Dari tahap identifikasi kondisi TI departemen dimana dilakukan pengumpulan dan pengkajian dokumen 5
Regulasi pemerintahan pusat dan departemen tentang kepemimpinan dan struktur tata kelola TI. Contoh regulasi yang perlu mendapatkan perhatian adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional. Perbaikan proses tata kelola TI Hal-hal yang perlu diperhatikan terkait hal ini antara lain: • Proses-proses TI yang harus ada berdasarkan baik berdasarkan regulasi yang berlaku bagi departemen (antara lain Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007) maupun untuk memenuhi kebutuhan spesifik dari departemen yang bersangkutan (dengan berdasarkan hasil pemilihan proses TI yang kritikal). • Target tingkat kematangan dari prosesproses TI. Persyaratan dari target tingkat kematangan dapat menjadi masukan yang berharga untuk penyusunan kebijakan, standard dan/atau prosedur terkait proses tata kelola TI ini. Kebijakan, standard dan prosedur yang dibuat dapat mengikuti format seperti ditampilkan dalam tabel berikut ini.
Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang panduan umum tata kelola teknologi informasi dan komunikasi nasional menyebutkan bahwa terdapat 6 (enam) kelompok proses tata kelola yang perlu ada dalam sebuah departemen yaitu Perencanaan Sistem, Manajemen Belanja/Investasi, Realisasi Sistem, Pengoperasian Sistem dan Pemantauan dan Evaluasi.
terkait tata kelola TI Departemen XYZ serta melakukan wawancara terhadap para pimpinannya ditemukan bahwa: • Struktur organisasi Departemen XYZ sebagian sudah ada dan terdokumentasi dalam bentuk Keputusan Menteri Departemen XYZ. • Sebagian peran dan tanggung jawab di Departemen XYZ sudah ada dan terdokumentasi dalam bentuk Keputusan Menteri Departemen XYZ • Satuan Kerja Pengelola TI di lingkungan Departemen XYZ adalah Pusat B yang ada di Departemen XYZ dan ditetapkan dalam Keputusan Menteri Departemen XYZ.
Dari hasil wawancara yang dilakukan terhadap para pimpinan Departemen XYZ antara lain menghasilkan kesimpulan bahwa: • Pengelola TI di masing-masing unit organisasi pada Departemen XYZ pada umumnya sudah ada tetapi bukan merupakan jabatan struktural dan belum memiliki peran, tanggung jawab dan wewenang yang jelas. • Terdapat kebutuhan yang mendesak untuk pembentukan pengelola TI dengan tugas, tanggung jawab dan wewenang yang jelas di setiap unit di Departemen XYZ. • Belum adanya prosedur untuk mengelola sumber daya TI dan memonitor kinerja layanan TI • Aplikasi TI yang sudah dibuat ada yang tidak digunakan karena pengguna tidak dapat menguasai cara penggunaannya dan aplikasi tersebut tidak dipelihara. • Sumber daya manusia (SDM) pengelola TI tidak memiliki kompetensi yang memadai.
Struktur organisasi Pusat B yang ada saat ini masih belum mencerminkan struktur yang mendukung pelaksanaan tugas-tugas pengelolaan TI sehingga perlu diperbaiki. Sebagai contoh, di Pusat B belum ada penanggung jawab keandalan dan keamanan jaringan LAN departemen atau pengelolaan penanggulangan akibat bencana pada TI yang telah menjadi tanggung jawab Pusat B sesuai dengan Keputusan Menteri Departemen XYZ. Dari hasil kajian dan wawancara diketahui pula bahwa struktur organisasi Pusat B ini tidak dapat diubah dengan mudah dan cepat karena pengubahan struktur hanya dapat dilakukan dengan menerbitkan Peraturan Menteri tentang organisasi dan tugas Pusat B dan hal ini memakan waktu yang cukup lama.
Dari temuan-temuan ini maka kemudian diidentifikasi beberapa proses TI yang dianggap kritikal bagi Departemen XYZ yang dipilih dari proses-proses TI yang memiliki profil risiko “Sedang” dan “Tinggi” sebagaimana diperlihatkan pada tabel berikut.
Untuk ini dapat diberikan solusi jangka pendek dengan menerbitkan SK tentang penugasan pengelolaan TI misalnya dengan memperbaharui SK Kepala Pusat B pada tahun 2007. Namun untuk jangka panjang perlu diterbitkan Peraturan Menteri sebagaimana disebutkan di atas.
Tabel 3. Profil Risiko Departemen XYZ Domain COBIT dan Proses
Selain itu dapat diidentifikasi bahwa yang menjadi Satuan Kerja Pemilik Proses Bisnis Di Departemen XYZ adalah semua satuan kerja yang ada di Departemen XYZ seperti Direktorat Jenderal, Inspektorat Jenderal, Sekretariat Jenderal, Badan dan Pusat-Pusat di Departemen XYZ. Proses TI yang ada di Departemen XYZ antara lain meliputi perencanaan, pendanaan, pengadaan, pemeliharaan, dukungan pelayanan TI serta penanggulangan bencana dan pengelolaan risiko operasional. Selain itu, sebagai salah satu departemen di Pemerintahan, maka Departemen XYZ perlu tunduk kepada regulasi yang berlaku seperti Peraturan
PO1 Mendefinisikan Rencana TI Strategis
Tinggi
PO2 Mendefinisikan arsitektur informasi
Tinggi
PO3 Menentukan arahan teknologi
Sedang
PO4 Mendefinisikan proses, organisasi dan
Sedang
hubungan TI PO5 Manajemen investasi TI
Sedang
PO6 Mengomunikasikan tujuan dan arahan
Sedang
manajemen
6
Profil
Domain COBIT dan Proses
Profil
PO7 Manajemen sumber daya manusia TI
Tinggi
PO8 Manajemen Mutu
Sedang
PO9 Manajemen risiko
Sedang
AI1 Mengidentifikasi solusi yang terotamatisasi
Sedang
AI2 Melakukan pengadaan dan pemeliharaan
Tinggi
menginginkan target tingkat kematangan minimal 2.00. Untuk menjamin tercapainya hal tersebut maka masing-masing proses TI yang kritikal harus memenuhi kriteria sebagaimana ditetapkan pada tingkat kematangan 3. Sebagai contoh untuk PO1 Mendefinisikan Rencana TI Strategis maka proses TI harus memiliki kriteria tingkat kematangan 3 sebagaimana diperlihatkan pada tabel di bawah ini.
perangkat lunak aplikasi AI Melakukan pengadaan dan pemeliharaan
Tabel 4. Kondisi Proses TI PO1 Mendefinisikan Rencana TI Strategis tingkat kematangan 3
Tinggi
infrastruktur teknologi AI4 Memungkinkan operasi dan penggunaan
Sedang
AI6
Tinggi
AI7
Manajemen Perubahan Memasang dan menggunakan solusi dan
No. 1
Pernyataan Terdapat kebijakan mengenai kapan dan bagaimana melakukan perencanaan strategis TI
Tinggi 2
melaksanakan perubahan
Perencanaan strategis TI mengikuti pendekatan terstruktur, didokumentasikan dan diketahui semua staf
DS1
Manajemen tingkat layanan
Tinggi
DS2
Manajemen layanan pihak ketiga
Tinggi
DS3
Manajemen kinerja dan kapasitas
Sedang
DS4
Memastikan keberlangsungan layanan
Tinggi
DS5
Memastikan keamanan sistem
Tinggi
3
Proses perencanaan TI cukup baik guna memastikan bahwa perencanaan yang tepat memungkinkan untuk dilakukan
4
Sudah dilakukan penilaian atas pelaksanaan proses perencanaan TI.
5
Strategi TI keseluruhan mencakup batasan yang konsisten
DS6 Mengidentifikasi dan mengalokasikan biaya
Sedang
DS7 Mendidik dan melatih pengguna
Sedang
DS8
Manajemen Service Desk dan insiden
Sedang
DS9
Manajemen konfigurasi
Sedang
semakin mempengaruhi pengadaan produk dan teknologi
DS10 Manajemen masalah
Sedang
baru.
DS11 Manajemen Data
Tinggi
tentang risiko yang dapat diambil oleh organisasi baik risiko sebagai innovator ataupun follower. 6
7
Strategi finansial, teknis dan sumber daya manusia TI
Perencanaan strategis TI didiskusikan pada pertemuan manajemen bisnis.
ME1 Memonitor dan mengevaluasi kinerja TI
Sedang
ME2 Memonitor dan mengevaluasi kontrol internal
Sedang
ME3 Memastikan pemenuhan terhadap regulasi
Sedang
ME4 Memberikan Tata Kelola TI
Sedang
Berdasarkan hasil-hasil yang telah didapat sebelumnya yaitu hasil kajian kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI yang berisi kebijakan, standard, dan/atau prosedur. Untuk Departemen XYZ antara lain perlu dibuat kebijakan, standard, dan/atau prosedur untuk: Penetapan Chief Information Officer (CIO) Pembentukan Komite Strategi TI Departemen XYZ Pembentukan Komite Pengarah TI Departemen XYZ Perbaikan Struktur Satuan Kerja Pengelola TI Departemen XYZ
Untuk menentukkan langkah atau inisiatif apa yang perlu dilakukan guna memperbaiki tata kelola TIZ di Departemen XYZ maka perlu dilakukan pengukuran kematangan tata kelola saat ini. Pada contoh di Departemen XYZ tingkat kematangan saat ini masih dibawah 1.00 sehingga cukup realistis target tingkat kematangannya adalah 1.00 atau maksimal 2.00. Namun pada contoh ini, Departemen XYZ 7
5.
6.
7. Gambar 3. Usulan Perbaikan Struktur Satuan Kerja Pengelola TI Departemen XYZ Selain struktur, penugasan sumber daya manusia untuk setiap jabatan dalam TI perlu memperhatikan kaidah pemilahan tugas (segregation of duties) sehingga dapat menjamin keamanan data akibat konflik kepentingan. Sebagai contoh pegawai yang ditugaskan sebagai Application Programmer tidak boleh merangkap sebagai Help Desk and Support Manager karena dapat memungkinkan perubahan pada aplikasi tanpa kontrol atau prosedur otorisasi yang benar.
Daftar Pustaka [1] DETIKNAS, Panduan umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional, Versi 1. Jakarta: Departemen Komunikasi dan Informatika Republik Indonesia, 2007. [2] ISACA, CISA Review Manual 2008. IL, 2007. [3] ISO/IEC, International Standard, ISO/IEC 38500, Corporate Governance of Information Technology. Switzerland: ISO Copyright Office, 2008. [4] ITGI. Board briefing on IT Governance (2nd ed.). www.itgi.org, 2003. [5] ITGI. IT Governance Implementation Guide, 2003, www.itgi.org, 2003. [6] ITGI, COBIT 4.1. www.itgi.org, 2007. [7] ITGI, “Introductory COBIT Presentation: Overview of IT Governance and the COBIT Framework,” www.itgi.org, 2007. [8] ITGI, IT Governance Implementation Guide: using COBIT. www.itgi.org, 2007. [9] ITGI, “IT Governance Implementation Templates,” www.itgi.org, 2007. [10] ITGI, “IT Governance Global Status Report – 2008,” www.itgi.org, 2008. [11] Mark Moore, Creating Public Value: Strategic Management in Government. MA: Harvard University Press, 1995. [12] Peter Weill and Jeanne W. Ross, IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Massachusetts: Harvard Business School Press, 2004. [13] Standards Australia. Australian Standard: Corporate Governance of Information and Communication Technology (first published as AS 8015 – 2005). Sydney: Standards Australia, 2005.
4. Kesimpulan Dari penelitian yang dilakukan dapat disimpulkan bahwa: 1. Framework yang diusulkan dalam penelitian ini dapat diterapkan oleh sebuah departemen untuk menyusun tata kelola TI yang baik dan sesuai dengan kebutuhan departemen tersebut. 2. Kondisi dan regulasi yang mengikat sebuah departemen perlu dikaji dan diukur kematangannya sehingga tata kelola TI yang disusun sesuai dengan kebutuhan departemen tersebut. 3. Model kematangan tata kelola dari COBIT dapat digunakan untuk mengukur kematangan penerapan tata kelola TI di Departemen saat ini dan target kematangan yang diinginkan sehingga dapat direkomendasikan langkah-langkah perbaikan tata kelola TI. 4. Perbaikan struktur organisasi TI di Departemen yang menghendaki pengubahan struktur organisasi biasanya tidak semudah dan secepat di sektor swasta karena harus ada peraturan dahulu yang mengatur hal tersebut. Untuk itu maka solusi yang dapat ditawarkan adalah dengan menerbitkan Surat Keputusan (SK) tentang penugasan jabatan fungsional pengelolaan TI. Namun demikian, untuk jangka panjang perlu 8
diterbitkan Peraturan Menteri dari Departemen terkait tentang tugas dan fungsi organisasi TI di Departemen yang berisi struktur organisasi TI baru yang mendukung pengelolaan TI. Tata kelola TI sebuah departemen berbeda dengan departemen lainnya tergantung kepada kondisi dan regulasi yang mengikat departemen tersebut. Kepemimpinan, struktur dan proses merupakan fokus utama yang harus diperhatikan dalam penyusunan tata kelola TI. Perbaikan tata kelola TI perlu dilakukan antara lain dengan membuat kebijakan, standard dan prosedur terkait kepemimpinan, struktur, dan proses tata kelola TI.
[14] Wim Van Grembergen and Steven De Haes, Implementing Information Technology Governance: Models, Practices, and Cases. New York: IGI Publishing, 2008.
9
THE DESIGN OF INFORMATION TECHNOLOGY GOVERNANCE DEVELOPMENT FRAMEWORK FOR THE GOVERNMENT Kurnia, Suhardi Information Technology Magister Program Institut Technology Bandung
[email protected],
[email protected] that there is a good and adequate management in managing IT. The scope of IT governance include management of IT resources, IT-related risk and IT performance. The appropriate establishment and implementation of IT governance might deliver the values for the government (value delivery) and in accordance with the objectives of the Government (business alignment).
Abstract With the intense usage of Information Technology (IT) by The Government of Republic Indonesia required a mechanism for governance, which can ensure that IT investments can support the achievement of the government’s objectives. IT governance is a concept that can ensure the organisation’s IT support the achievement of the organisation’s strategies and objectives. A framework of IT governance that is largely adopted is the Control Objectives for Information and related Technology (COBIT).
Currently, there are already some standards/framework for IT governance that can be used, but the framework that is needed to build the IT governance itself as a guide for department-level in Indonesian Government is not currently available. The establishment of IT governance is an effort that is focused on the improvement of the governance of IT processes that are critical for a department.
This research objective is to design a framework that can be used in the development of IT governance for the government at departement level. The design based on COBIT and its supporting tools by considering the conditions and regulations that apply to departments that are related to IT. The decision of COBIT used as a reference framework for IT governance for the government is made through the assessment and study of some of IT governance standard/framework that is COBIT, AS 8015 and ISO 38500.
1.IT Governance Definition according to COBIT, AS8015 and ISO/IEC 38500 Before designing the IT governance developing framework, the definition of IT governance that will be the reference for the government should be defined. For this purpose, the study of some standard related to information technology governance such as COBIT, AS8015 and ISO / IEC 38500 should be done. The focus of the study is on the definition, content, framework, document template and how to measure the IT governance based on those standards / frameworks.
The resulted development framework of IT governance consists of several stages that are important to do in order to produce a good and suitable IT governance for a department. The development framework of IT governance covers the assessment of IT condition at a department, therefore the resulted IT Governance is expected to suit the requirement of the department. Examples are given to the implementation of the framework to indicate that this framework is actually can be used by a departement.
COBIT (Control Objectives for Information and related Technology) is one of the most adopted IT governance framework. COBIT is published by IT Governance Institute (ITGI) and the current version is COBIT 4.1. COBIT defines control objectives for the 34 IT processes that are divided into 4 domain, namely Plan and Organise (PO), Acquire and implement (AI), Deliver and Support (DS) and Monitor and Evaluate (ME). AS 8015 is the Australian standard on Corporate Governance of ICT. This standard is intended to be guidelines for the Board of Directors for the use of IT and IT risk management. By following this standard an organization is expected to gain the return on its investment on IT. This standard consists of a model (as shown by Figure 1) and six principles as follows:
Keywords: IT Governance, IT Governance for the government, COBIT, AS8015, ISO 38500, Development Framework of IT Governance
1. Introduction Government investment in information technology nowadays is more signifant and intense. The needs of IT governance by itself increasingly urgent to ensure 1
• • • • • •
Governance standard/framework, the development framework to be made does not have a clear goal to achieve.
Establish clearly understood responsibilities for ICT Plan ICT to best support the organization acquire ICT validly Ensure that ICT performs well, whenever required Ensure ICT conforms with formal rules Ensure ICT use respects human factors)
2.2 Identify supporting tools the implementation of the chosen IT governance standard/framework The next step is to identify support tools for the implementation of IT Governance standard/framework that has been selected in the previous step. The development framework should consider the existing supporting tools for the implementation of the chosen standard/framework. 2.3 Include the study of the government (department) conditions related to IT governance The development framework to be made should include the study of the government condition especially at department level. This is important so that IT governance to be produced is consistent with the needs and conditions of the departmet. 2.4 Create the development framework of IT governance The IT governance development framework is made by considering the the chosesn IT governance standard/framework as well as its supporting tools. The development framework should also contain the stages to examine the existing conditions of the government at department level. With these factors in mind the development framework is made.
Figure 1. ICT Corporate Governance Model based on AS8015:2005 ISO/IEC 38500 is the international standard for Corporate Governance of Information Technology developed by Technical Committee ISO / IEC JTC 1. This international standard which aims to provide a framework on the principles that can be used by the board of directors and related parties to assist the board of directors, such as senior managers to evaluate, direct and monitor the use of information technology for the organization. Standard ISO / IEC 38500:2008 was developed based on the standard AS8015:2005 and includes definitions, principles and a model. The contents of this international standard is not so different from the parent standard (AS8015:2005) which contains six principles of corporate governance and a model of IT.
3. Implementation example of the development framework Last stage is to give examples of the implementation of the development framework in a department in Indonesia.
3.The making framework
the
development
The making of the development framework follows the steps as explained above. This part shows how the steps is conducted to build a development framework. 3.1The selection of IT Governance Standard/Framework and Identification of its supporting tools
2. Framework Development Framework development is made by conducting and considering the following steps. 2.1 Choose IT governance standard/framework for government This is very important because the development framework to be made should meet the requirements stated by the chosen IT Governance standard/framework. Without knowing the IT
Last stage is to give examples of the application of the development framework to build the IT governance in a Government at department level.
2
of
departments have conditions that are common and include all departments (such as regulations issued by the Central Government related to IT should be obeyed by all departments) and IT-specific conditions for each department in accordance with their needs. Both need to get this attention in IT governance. Conditions departments that need to be identified are those that related to leadership, organizational structures and processes in the IT department.
The standards/frameworks that is examined are COBIT, AS 8015:2005 and ISO / IEC 38500:2008. From the these standards/frameworks, COBIT is most appropriate to be the reference of IT governance with the consideration that COBIT is ore complete advantage dominant compared to the AS8015 and ISO 38500 and covers all the principles of IT governance stated in AS8015 and ISO 38500. Supporting tools that can be used to implement COBIT is the IT Governance Implementation Guide which contain a roadmap for implementation of IT governance. The roadmap itself does not indicate the study of department condition. In addition, the IT processes is based on COBIT regardless of real processes that occur in the IT organization.
3.3.3 Step 3: Identify and map the IT Department Processes to COBIT IT Processes The previous step has identified the condition of the Department of XYZ. From the results it can be identified processes in the IT department. At this step processes are mapped to the IT processes that is defined in COBIT. Mapping is done to identify a clear linkage between the processes of the Department including that required by regulation with the process stated in COBIT. With this mapping it can also test whether all the processes that occur in the IT Department was represented by COBIT or not, and can also note the relationship between the two. Thus the relationship between the processes in the COBIT IT processes with the IT Department, which reflects the department’s needs to be clear so that IT governance can be produced according to the specific needs and conditions of the department. Mapping can be done by using the format as indicated by the table below.
3.2 Include the study of the condition of Government Development framework to be made needs to include the stages of the study of department conditions. This study is very important to do so that IT governance is has to considered the conditions and needs of the department 3.3 IT Governance Development Framework for Government The development Framework of IT governance is aimed at providing a clear direction and effective for the Government in making the document IT governance so that the documents produced in accordance with the definition of governance according to COBIT. With attention to input from the IT Governance Implementation Guide on road map implementation of IT governance and includes the stage of the study of department conditions, the resulting development framework is consisted of the following stages:
Table 1. Process mapping IT Department Processes to COBIT IT Processes IT Processes in Departement COBIT IT Processes Process TI P.1 Process TI C.1 Process TI P.2 Process TI C.2 Process TI P.3 Process TI C.3
3.3.1 Step 1: Raise Management Awareness Without support from the top level management of the organization, the success of IT governance program is very difficult to achieve. Necessary commitment and involvement should be started right from the initial preparation of the program. Therefore, it is the first step to do is raise awareness of the management (Management Awareness) on the importance of IT Governance Department.
3.3.4 Step 4: Measuring IT Value and Risk The next step is to measure the value and risks of the IT department. Measurements performed to determine the value of IT processes that reflect the level of interest of a department of IT processes. In addition, measurements are also conducted to determine the profile of risk incurred by each IT process. The process of IT here is that IT processes defined in COBIT.
3.3.2 Step 2: Identify the IT Department Condition After management has awareness of the importance of governance for the IT Department then the next step is to identify conditions of the IT department. IT
3.3.5 Step 5: Select the critical IT processes The next step is to select a process critical for the IT department. IT governance improvements will be prioritized on the processes that IT is critical. Processes critical IT has the following criteria: 3
and analysis of gaps in the document can be made an IT governance. IT governance document contains policies, standards, and / or procedures regarding: 1. Improvement of leadership and governance structure of the IT In preparing the policy, standard, and / or procedures related to leadership and governance structure of TI, there are some things to consider are: • The current structure of IT organization compared with the best practices for IT organizations. Best practices are best practices on: o Structure Committee and the IT Strategy Committee IT Committee, as shown in the Board Briefing on IT Governance. o Structure of IT organization o Segregation of duties in the management of IT. • Regulation and central government departments about the leadership and governance structure of TI. Sample regulations that need to get attention are the Regulation of Minister Communication and Information Number 41 Year 2007 Guidelines on Public Governance of Information Technology and National Communications. 2. Improvements to IT governance process Things that need to be related to this case are: o Processes that IT should be based on both based on regulations that apply to the department (among others Regulation of Minister Communication and Information number 41 in 2007) and to meet the specific needs of the department concerned (with the election results based on the critical IT processes). o Target level of maturity of IT processes. Requirements of the target level of maturity can be a valuable input for the preparation of policies, standards and / or procedures related to IT governance process is.
•
The process of IT is considered important for the interests of the Ministry. • The process of IT is considered to have a high risk high enough due to lack of adequate control of the IT risk. The selection process is critical that IT can be done by considering the results of the previous stage by multiplying the value of the importance of a process for the IT Department with the risk of IT in the process. Multiplication produces a value which is the risk status of each process for the IT organization. Value of the resulting status and grouped in 3 categories as follows: • Category "Low" value to 0 and less than or equal to 1666 • Category "Medium" for a value greater than 1666 and less than or equal to 3333 • A "High" for a value greater than 3333 The process of critical IT processes that IT has value profile "Medium" and / or "High". Of course, each department can determine whether the process itself is a critical IT process with the profile "Medium" and "High" or a profile that has only "High" only. 3.3.6 Step 6: Maturity Level Measurement After determining the critical IT processes for the Ministry then the next stage is the maturity level of processes in IT. IT process maturity level should be measured to know the condition of maturity of IT processes at this time and identify possible improvement. For that there are two things that need to be done, namely: • Measure level of maturity at this time of the process-a critical IT process. • Define the level of maturity which is the target level of achievement in order to improve the maturity at this time. 3.3.7 Step 7: Gap analysis From the results of the measurement processmaturity level of IT process at this time and the target level of maturity that you have set the conditions can be gaps between them. Target maturity level can be used to determine entry requirements of each IT process is expected to be achieved in the future. As an example such as the target maturity level of the course is 3.00 each process IT must strive to meet the requirements of IT process maturity in the level 4 so that the value of a minimum level of maturity can be reached 3.00.
3. Implementation examples For example, the proposed framework is applied to a government department in the Ministry of XYZ that you want to compile the information technology governance.
3.3.8 Step 8: Develop IT Governance Documents By considering the results obtained previously, among others, on condition the government at this time, regulation, the maturity level of measurement
The identification of conditions where the IT department made the collection of documents and
4
Invesstment, Realizzation System, Operating System S and Monitoring M andd Evaluation.
related goovernance IT Department of XYZ andd conducted interviews of the t leadership found that: • Structuure of the organization o iss part of thee Deparrtment of XYZ and have docuumented in thee form of a Decreee of the Miinister of thee Deparrtment of XYZ. • Some of the roles and responsiibilities in thee Deparrtment of XYZ X and have h alreadyy docum mented in the form of a Decree D of thee Ministter of the Depaartment of XYZ Z • The IT T Unit of the Department of o XYZ in thee enviroonment B is central in the Department D off XYZ and a set in the Decree D of the Minister M of thee Deparrtment of XYZ.
From m the results off the interview ws conducted for f the leadeers of the Depaartment of XYZ Z, among otheers, the conclusion that: • IT I manager in i each organnization unit in i the D Department off XYZ, in general, but there iss not a p position and not have a structural role, r responsibilities s and authoritiees clearly. • There T is an urggent need for the establishm ment of I managers with IT w the tasks, responsibilitiees and a authority clearrly in every unnit in the Deparrtment o XYZ. of • Not N to the proccedures for maanaging IT resoources a monitor peerformance of IT and I services • IT I applicationss that have beeen made whichh have n been used because users can not controol how not i use and appplication is not maintained. its • Human H resourcces (HR) IT managers m do noot have s sufficient comppetence.
structure is currrently still nott Center B organizational o reflect the structure that supports the im mplementationn of the taskks so that the management m off IT should be. For exampple, in B there is no central responsible andd reliable wiireless network k security deppartment or thee managemeent of disaster due to the IT T that was thee responsibillity of the Central B in accorrdance with thee Decree of the t Minister off the Departmeent of XYZ.
In thhe example in the Department of XYZ maaturity levell at this time under u 1.00, soo still quite reealistic targeet level kemataangannya is a maximum m of 1.00 1 or 2.00.. However, in this example,, the Departm ment of XYZ Z wanted targett maturity levell of at least 2.000.
From the results of the studies and innterviews alsoo note that thhe organization nal structure off central B cann not be chhanged easily y and quicklyy because thee conversionn structure caan only be done d with thee Minister isssued a regulatiion on organization and taskss of central B and this takees a very long time. t
Baseed on the resuults of which have been obbtained beforre the results of the study of o conditions at a this time,, regulation, thhe maturity level of measurrement and analysis of the gap cann be made an a IT goveernance docuument that contains poolicies, standdards, and / or procedures. Foor the Departm ment of XYZ Z will need too be made, am mong other poolicies, standdards, and / or procedures p forr: • The T Chief Infoormation Officeer (CIO) • The T IT Strateggy Committee of o the Departm ment of X XYZ • The T Committeee Committeee IT Departmeent of X XYZ • Repair R IT Department D X XYZ Organizaational S Strucuture
To this cann be given shorrt-term solutionn to the issue a decree onn the manageement of IT such as thee assignment with renewed d SK B Head Center C in 2007. But for the long-term need to be reguulations as thee Minister mentioned m abov ve. In additionn, can be identtified that the Unit U Owner off Business Process P in the Department of XYZ is all a work in thhe Department of XYZ as thhe Directorate-General, Inspectorate General, thee Secretariat-A and Cen nters at the Minnistry of XYZ.. General, Agency The processs of IT in the Department of XYZ, amongg others, inclludes the plann ning, financingg, procurement, maintenancce, IT supp port services and disasterr managemeent and risk maanagement operrations. In additioon, as one of o the departtments in thee Governmennt, the Departtment of XYZ Z will need too comply to the regulations applicable reegulations suchh mmunication annd Informationn as the Minnistry of Com Number 41 4 Year 200 07 guideliness on generall governancee of inform mation and communication c n technologyy there is a natiional state thatt 6 (six) groupss of the govvernance the need to have a department inn the Planniing System, Expenditure E M Management / 5
[3] ISO/IEC, International Standard, ISO/IEC 38500, Corporate Governance of Information Technology. Switzerland: ISO Copyright Office, 2008. [4] ITGI. Board briefing on IT Governance (2nd ed.). www.itgi.org, 2003. [5] ITGI. IT Governance Implementation Guide, 2003, www.itgi.org, 2003. [6] ITGI, COBIT 4.1. www.itgi.org, 2007. [7] ITGI, “Introductory COBIT Presentation: Overview of IT Governance and the COBIT Framework,” www.itgi.org, 2007. [8] ITGI, IT Governance Implementation Guide: using COBIT. www.itgi.org, 2007. [9] ITGI, “IT Governance Implementation Templates,” www.itgi.org, 2007. [10] ITGI, “IT Governance Global Status Report – 2008,” www.itgi.org, 2008. [11] Mark Moore, Creating Public Value: Strategic Management in Government. MA: Harvard University Press, 1995. [12] Peter Weill and Jeanne W. Ross, IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Massachusetts: Harvard Business School Press, 2004. [13] Standards Australia. Australian Standard: Corporate Governance of Information and Communication Technology (first published as AS 8015 – 2005). Sydney: Standards Australia, 2005. [14] Wim Van Grembergen and Steven De Haes, Implementing Information Technology Governance: Models, Practices, and Cases. New York: IGI Publishing, 2008.
Figure 2. The Improvement IT Department organizational structure of Departement XYZ proposed In addition to the structure, the assignment of human resources for each position in the IT need to pay attention to the segregation of duties principle so that it can guarantee the security of data due to a conflict of interest. For example employees who are assigned as Application Programmer can not at the same time functioned as a Help Desk officer or Support Manager because it could enable a change in applications without the proper authorization procedures.
4. Conclusion From this research can be concluded that: 1. Framework proposed in this research can be applied by a department to set up its IT governance that will fulfill and in accordance with the needs of the department. 2. Conditions and regulations that affect department need to be identified and measured so that the resulted IT governance is in accordance with the needs of the department. 3. IT Governance maturity model from COBIT can be used to measure the maturity of the implementation of IT Governance in a Department 4. Improvements that need a change in the organizational structure of IT Department are usually not as easy and as fast as in the private sector. Therefore the solutions that can be offered is to issue a decree (SK) by the chief of each division in the department to conduct the IT function. 5. IT governance of each department might likely to be different from each other because the conditions and regulations of each department is different. 6. Leadership, structure and process are the main focus in IT governance. 7. Improvements to IT governance needs to be done by creating policies, standards and procedures related to leadership, structure, process of IT governance.
References [1] DETIKNAS, Panduan umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional, Versi 1. Jakarta: Departemen Komunikasi dan Informatika Republik Indonesia, 2007. [2] ISACA, CISA Review Manual 2008. IL, 2007.
6
