TESIS – MM2403
PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI LUKMAN HADI DWI PURNOMO NRP 9108205809 Dosen Pembimbing Ir. Aris Tjahyanto, M.Kom PROGRAM STUDI MAGISTER MANAJEMEN TEKNOLOGI Bidang Keahlian Manajemen Teknologi Informasi Program Pascasarjana Institut Teknologi Sepuluh Nopember Surabaya 2010
PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI Tesis disusun untuk memenuhi salah satu syarat memperoleh gelar Magister Manajemen Teknologi (M.MT) di Institut Teknologi Sepuluh Nopember Oleh: Lukman Hadi Dwi Purnomo NRP : 9108205809 Tanggal Ujian: 16 April 2010 Periode Wisuda: September 2010 Disetujui oleh:
(Pembimbing)
1. Ir. Aris Tjahyanto, M.Kom. NIP: 131 933 299
(Penguji) 2. Daniel O. Siahaan, S.Kom., PD.Eng. NIP: 132 318 029
(Penguji) 3. Fajar Baskoro, S.Kom., MT. NIP: 132 230 429 Mengetahui Direktur Program Pasca Sarjana
Prof. Ir. Suparno, MSIE., Ph.D.
i
[halaman ini sengaja dibiarkan kosong]
ii
PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI Nama Mahasiswa NRP Pembimbing
: Lukman Hadi Dwi Purnomo : 9108205809 : Ir. Aris Tjahyanto, M.Kom
ABSTRAK Penerapan Teknologi Informasi pada sebuah organisasi memerlukan sumber daya yang besar tidak hanya finansial, juga waktu dan energi. Resiko terjadinya kegagalan juga tidak bisa dikatakan kecil. Namun di samping itu, penerapan Teknologi Informasi juga memberikan peluang-peluang untuk peningkatkan produktifitas organisasi yang sudah berjalan. Badan Pemeriksa Keuangan – Republik Indonesia (BPK-RI) adalah lembaga negara yang bertugas memeriksa pengelolaan dan tanggung jawab keuangan negara. Untuk dapat mewujudkan visi dan misinya, TI memberikan kontribusinya dengan menjalankan peran strategis yang dirumuskan dalam Rencana Strategis TI BPK-RI. Salah satu kebutuhan bisnis yang penting adalah mengelola TI sehingga dapat memiliki kapabilitas dan ketersediaan yang mencukupi, sehingga dapat menjadi medium komunikasi bagi para stakeholdernya. Untuk itu diperlukan panduan yang dapat menjadi acuan dalam mengelola ketersediaan layanan TI. Dari hasil penelitian, diketahui bahwa proses-proses TI yang terkait dengan ketersediaan layanan TI yaitu DS3 (Manage Performance and Capacity) dan DS4 (Ensure Continuous Service) sebagian besar berada pada tingkat kedewasaan 2 (Repeatable but Intuitive). Sedangkan manajemen mengharapkan bahwa sebagian besar atribut pada proses-proses tersebut minimal berada pada tingkat kedewasaan 4 (Managed and Measurable). Untuk mengatasi kesenjangan tersebut, pada penelitian ini disusun rekomendasi-rekomendasi yang bertujuan untuk meningkatkan kematangan sesuai yang diharapkan. Rekomendasi juga dilengkapi dengan outcome measure dan performance indicator serta draft kebijakan yang dapat menjadi panduan dalam mengelola ketersediaan layanan TI berdasarkan kerangka kerja COBIT. Kata Kunci: COBIT, ketersediaan layanan, tata kelola TI
iii
[halaman ini sengaja dibiarkan kosong]
iv
MODELLING OF IT SERVICE AVAILIBILITY GOVERNANCE USING COBIT FRAMEWORK AT BPK-RI By : Lukman Hadi Dwi Purnomo Student Identity Number : 9108205809 Supervisor : Ir. Aris Tjahyanto, M.Kom
ABSTRACT The implementation of Information Technology in an organisation requires not only high financial resources, but also time and energy. The risk of being failed is considerably not small. But in addition, the application of Information Technology also provides opportunities for enhancing the productivity of an organization that has been running. Audit Board of The Republic of Indonesia (BPK-RI) is a state institution that is in charge of examining the state financial management and responsibility. To be able to achieve its vision and mission, IT contributed to the strategic role that is defined in the IT Strategic Plan of BPK-RI. One of the critical business needs is to manage IT in a way that having sufficient capability and availability, so it can be a medium of communication for its stakeholders. This requires the guide which can be a reference for managing IT service availability. From the research, it is known that most IT processes associated with the availability of IT services DS3 (Manage Performance and Capacity) and DS4 (Ensure Continuous Service) is at maturity level 2 (Repeatable but Intuitive). While management expects that most of the attributes of these processes is at a minimum maturity level 4 (Managed and Measurable). To overcome these gaps, in this study developed recommendations aimed to increase maturity level as expected. Recommendations are also equipped with a outcomes measures and performance indicators and the policies draft that can be a guide in managing the availability of IT services based on the COBIT framework. Kata Kunci: COBIT, service availibility, IT governance
v
[halaman ini sengaja dibiarkan kosong]
vi
KATA PENGANTAR Alhamdulillahi rabbil 'alamin, puji dan syukur penulis sampaikan kepada Allah SWT, karena berkat rahmat-nya penulis dapat menyelesaikan penelitian ini. Pada kesempatan ini penulis ingin menyampaikan terima kasih kepada semua pihak yang telah memberikan bantuan dan dukungan yang sangat berarti hingga terselesaikannya tesis ini. 1. Istriku Denok Sri Pamulatsih dan anakku Yasira Kinasih Purnomo. Kalianlah sumber energi dan inspirasi yang tiada pernah habis. 2. Orang tuaku Bapak Suwarno dan Ibu Mudjiatin, mertuaku Bapak Boiman (alm) dan Ibu Soeliyah atas segala dukungan dan doanya. 3. Kakak-kakakku dan adik-adikku beserta semua keponakan yang lucu-lucu. 4. Badan Pemeriksa Keuangan – RI yang telah memberikan kesempatan kepada penulis untuk menempuh pendidikan di MMT-ITS. 5. Bapak Ir. Aris Tjahyanto, M.Kom., sebagai dosen pembimbing; Bapak Daniel O. Siahaan, S.Kom., PD.Eng. dan Bapak Fajar Baskoro, S.Kom., MT. sebagai dosen penguji yang telah memberikan bimbingan dan masukan untuk penelitian ini. 6. Ibu Prof. Dr. Yulinah Trihadiningrum, M.App.Sc., Bapak Prof. Dr. Ir. Udisubakti Ciptomulyono, M.Eng.Sc. dan seluruh civitas MMT-ITS. 7. Teman-teman mahasiswa beasiswa BPK MMT-ITS atas kekompakan dan kerja samanya. 8. Dan semua pihak yang telah membantu penulis yang tidak dapat penulis sebutkan satu persatu Tak ada gading yang tak retak, masih banyak kekurangan dan kelemahan dalam penelitian ini. Kritik dan saran yang membangun penulis harapkan demi kemajuan ilmu pengetahuan dan teknologi. Surabaya, April 2010 Lukman Hadi Dwi Purnomo
vii
[halaman ini sengaja dibiarkan kosong]
viii
DAFTAR ISI
Lembar Pengesahan ..................................................................................................i ABSTRAK .............................................................................................................. iii ABSTRACT ............................................................................................................. v KATA PENGANTAR ........................................................................................... vii DAFTAR ISI ........................................................................................................... ix DAFTAR GAMBAR ............................................................................................ xiii DAFTAR TABEL .................................................................................................. xv BAB 1 ..................................................................................................................... 1 1.1. Latar Belakang.......................................................................................... 1 1.2. Perumusan Masalah .................................................................................. 5 1.3. Tujuan Penelitian ...................................................................................... 5 1.4. Manfaat Penelitian .................................................................................... 5 1.5. Batasan Masalah ....................................................................................... 6 BAB 2 ..................................................................................................................... 7 2.1. Pengelolaan Teknologi Informasi di BPK-RI .......................................... 7 2.1.1.
Sistem Aplikasi ................................................................................. 8
2.1.2.
Infrastruktur .................................................................................... 10
2.2. Definisi Teknologi Informasi ................................................................. 11 2.3. Definisi Layanan .................................................................................... 12 2.3.1.
Daur Pengelolaan Layanan ............................................................. 13
2.3.2.
Service Design ................................................................................ 14
2.3.3.
Availibility Management ................................................................ 14
2.4. Pengertian Tata Kelola Teknologi Informasi ......................................... 15 2.4.1.
Domain Tata Kelola Teknologi Informasi ...................................... 17
2.4.2.
Standar Tata Kelola Teknologi Informasi ....................................... 18
2.5. Framework COBIT ................................................................................. 19 2.5.1.
Business Focused ............................................................................ 21
2.5.2.
Process Oriented.............................................................................. 24
2.5.3.
Control Based .................................................................................. 26
2.5.4.
Measurement Driven ....................................................................... 27 ix
2.6. Tahapan Penerapan Tata Kelola TI Menggunakan COBIT ................... 30 2.7. Pemetaan Ketersediaan Layanan ke dalam Proses COBIT .................... 32 BAB 3 .................................................................................................................... 37 3.1. Kajian Pustaka ........................................................................................ 39 3.1.1.
Pengumpulan Data Organisasi ........................................................ 39
3.1.2.
Studi Pustaka ................................................................................... 39
3.2. Penentuan Proses TI ................................................................................ 40 3.3. Pencarian Data ........................................................................................ 41 3.3.1.
Wawancara ...................................................................................... 41
3.3.2.
Kuisioner ......................................................................................... 41
3.4. Analisa Kondisi ....................................................................................... 43 3.4.1.
Reliabilitas dan Validitas Data ........................................................ 44
3.4.2.
Pembobotan Data ............................................................................. 45
3.5. Analisa Gap ............................................................................................. 45 3.6. Analisa Model Tata Kelola TI Terkait Ketersediaan Layanan ............... 46 3.7. Penyusunan Laporan ............................................................................... 46 BAB 4 .................................................................................................................... 47 4.1. Wawancara .............................................................................................. 47 4.2. Kuisioner ................................................................................................. 47 4.2.1.
Pelaksanaan Survey Kuisioner ............................................................ 55
4.2.2.
Reliabilitas dan Validitas Data ............................................................ 57
4.3. Penghitungan Tingkat Kematangan ........................................................ 66 4.4. Analisa Kondisi Saat Ini ......................................................................... 68 4.4.1.
Analisa Kondisi Saat Ini pada Proses DS3 ......................................... 68
4.4.2.
Analisa Kondisi Saat Ini pada Proses DS4 ......................................... 69
4.5. Analisa Kondisi yang Diharapkan .......................................................... 70 4.5.1.
Analisa Kondisi yang Diharapkan pada Proses DS3 .......................... 71
4.5.2.
Analisa Kondisi yang Diharapkan pada Proses DS4 .......................... 73
4.6. Analisa Gap ............................................................................................. 74 4.7. Rekomendasi Perbaikan .......................................................................... 75 4.7.1.
Pencapaian Tingkat Kematangan 2 ..................................................... 75
4.7.2.
Pencapaian Tingkat Kematangan 3 ..................................................... 76
4.7.3.
Pencapaian Tingkat Kematangan 4 ..................................................... 78
x
4.7.4.
Pencapaian Tingkat Kematangan 5..................................................... 81
4.8. Indikator Kinerja dan Indikator Pencapaian ........................................... 82 4.9. Perancangan Tata Kelola Ketersediaan Layanan ................................... 87 4.9.1.
Rencana Aksi ...................................................................................... 91
4.9.2.
Kebijakan Pengelolaan Ketersediaan Layanan TI .............................. 95
4.10.
Verifikasi Model Tata Kelola ........................................................... 105
BAB 5 ................................................................................................................. 109 5.1. Kesimpulan ........................................................................................... 109 5.2. Saran ..................................................................................................... 110 DAFTAR PUSTAKA ......................................................................................... 111
xi
[halaman ini sengaja dibiarkan kosong]
xii
DAFTAR GAMBAR Gambar 1.1
Sistem Teknologi Informasi di BPK-RI ..............................
4
Gambar 2.1
Struktur Organisasi Biro Teknologi Informasi BPK-RI ......
7
Gambar 2.2
Application Portfolio Matrix ................................................
8
Gambar 2.3
Skema WAN BPK-RI ..........................................................
11
Gambar 2.4
Arsitektur Teknologi Informasi ...........................................
12
Gambar 2.5
ITIL Lifecycle ......................................................................
13
Gambar 2.6
IT Governance Focus Area ..................................................
17
Gambar 2.7
The Cobit Cube ....................................................................
20
Gambar 2.8
Kerangka Kerja COBIT .......................................................
21
Gambar 2.9
Prinsip Dasar COBIT ...........................................................
22
Gambar 2.10
Hubungan antara 4 Domain dalam COBIT .......................... 24
Gambar 2.11
Model Kendali dalam COBIT .............................................. 26
Gambar 2.12
Model Kematangan dalam COBIT ......................................
27
Gambar 2.13
Fase Penerapan Tata Kelola TI Menurut COBIT ................
30
Gambar 3.1
Alur Diagram Tahapan Penelitian ........................................ 38
Gambar 3.2
Hubungan Empat Proses TI terkait Ketersediaan Layanan .
Gambar 4.1
Diagram Boxplot Pembatasan 1,5 IQR pada Proses DS3 .... 59
Gambar 4.2
Diagram Boxplot Pembatasan 1,5 IQR pada Proses DS4 .... 59
Gambar 4.3
Representasi Tingkat Kematangan pada Proses DS3 ..........
67
Gambar 4.4
Representasi Tingkat Kematangan pada Proses DS4 ..........
67
Gambar 4.5
Goals and Metrics pada proses DS3 ....................................
83
Gambar 4.6
Goals and Metrics pada proses DS4 ....................................
84
Gambar 4.7
Hubungan Goal and Metrics dengan Tujuan Bisnis ............
88
xiii
40
[halaman ini sengaja dibiarkan kosong]
xiv
DAFTAR TABEL Tabel 2.1
Daftar Aplikasi di BPK-RI .......................................................
9
Tabel 2.2
Daftar proses TI dalam COBIT ................................................
24
Tabel 2.3
Tingkat Kedewasaan Umum dalam COBIT .............................
28
Tabel 2.4
Pemetaan Tujuan IT COBIT Terkait Ketersediaan Layanan ke dalam Proses TI ........................................................................
32
Mapping ITIL ke dalam COBIT untuk Pengelolaan Ketersediaan Layanan ...............................................................
34
Tabel 3.1
Daftar Responden Sesuai Tabel RACI .....................................
43
Tabel 3.2
Pembobotan Tingkat Kematangan ............................................
45
Tabel 4.1
Deskripsi Pernyataan Tingkat Kematangan Proses DS3 ..........
48
Tabel 4.2
Deskripsi Pernyataan Tingkat Kematangan Proses DS4 ..........
50
Tabel 4.3
Distribusi Responden Kuisioner DS3 .......................................
55
Tabel 4.4
Distribusi Responden Kuisioner DS4 .......................................
55
Tabel 4.5
Distribusi Jawaban Responden pada Proses DS3 .....................
56
Tabel 4.6
Distribusi Jawaban Responden pada Proses DS4 .....................
57
Tabel 4.7
Batas 1,5 IQR DS3 ...................................................................
57
Tabel 4.8
Batas 1,5 IQR DS4 ...................................................................
58
Tabel 4.9
Hasil Penghitungan Nilai Cronbach’s Alpha ............................
62
Tabel 4.10
Hasil Penghitungan Korelasi Pearson DS3 ..............................
65
Tabel 4.11
Hasil Penghitungan Korelasi Pearson DS4 ..............................
65
Tabel 4.12
Nilai Kematangan DS3 .............................................................
66
Tabel 4.13
Nilai Kematangan DS4 .............................................................
66
Tabel 4.14
Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 2 Untuk Atribut GSM pada Proses DS4 ..............
75
Tabel 2.5
xv
Tabel 4.15
Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS3 ...............................................
76
Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS4 ...............................................
77
Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS3 ...............................................
78
Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS4 ...............................................
80
Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 5 untuk atribut SE pada Proses DS3 ....................
81
Tabel 4.20
Goal and Metrics untuk Ketersediaan Layanan ........................
84
Tabel 4.21
Jadwal Pelaksanaan Rencana Aksi ...........................................
94
Tabel 4.22
Perbandingan Definisi Tata Kelola Teknologi Informasi ......... 105
Tabel 4.23
Validasi Elemen Tata Kelola Teknologi Informasi .................. 106
Tabel 4.16 Tabel 4.17 Tabel 4.18 Tabel 4.19
xvi
BAB 1 PENDAHULUAN
1.1. Latar Belakang Penerapan Teknologi Informasi pada sebuah organisasi memerlukan sumber daya yang besar tidak hanya finansial, tetapi juga waktu dan energi. Resiko terjadinya kegagalan juga tidak bisa dikatakan kecil. Namun di samping itu, penerapan Teknologi Informasi juga memberikan peluang-peluang untuk peningkatkan produktifitas organisasi yang sudah berjalan. Walaupun penerapan Teknologi Informasi tidak selalu identik dengan pertumbuhan perusahaan, namun penerapannya dapat mendukung organisasi untuk tetap dapat bertahan di tengah persaingan. Permasalahan
pengelolaan
TI
telah
mengalami
peralihan
dari
permasalahan teknologi menjadi permasalahan manajemen dan pengelolaan. Hal tersebut dipicu oleh meningkatnya ketergantungan perusahaan akan kebutuhan di bidang TI. Teknologi Informasi harus dikelola seperti halnya mengelola aset-aset perusahaan yang lain. Keberhasilan pengelolaan TI sangat bergantung kepada keselarasan antara tujuan pengelolaan TI dengan tujuan organisasi. Pengelolaan TI dalam organisasi dilakukan dengan memastikan bahwa penggunaan Teknologi Informasi dapat mendukung tujuan bisnis organisasi, menggunakan sumber daya secara optimal dan mengelola resiko secara tepat. Pada dasarnya pengelolaan Teknologi Informasi berkaitan dengan dua hal yaitu adanya nilai tambah bagi organisasi yang menerapkan Teknologi Informasi dan penanganan resiko-resiko terkait penerapan Teknologi Informasi. Badan Pemeriksa Keuangan – Republik Indonesia (BPK-RI) adalah lembaga negara yang bertugas memeriksa pengelolaan dan tanggung jawab keuangan negara. BPK-RI berkedudukan di Ibu Kota Negara dan memiliki perwakilan di setiap propinsi. Visi BPK-RI adalah menjadi lembaga pemeriksa keuangan negara yang bebas, mandiri dan profesional serta berperan aktif dalam mewujudkan tata kelola keuangan negara yang akuntable dan transparan.
1
Sedangkan misi BPK-RI adalah memeriksa pengelolaan dan tanggung jawab keuangan negara dalam rangka mendorong terwujudnya akuntabilitas dan transparansi keuangan negara, serta berperan aktif dalam mewujudkan pemerintahan yang baik, bersih dan transparan. Dari visi dan misi tersebut dapat terlihat sejumlah konteks dimana Teknologi Informasi harus memberikan peranan strategisnya, yaitu (BPK-RI, 2006b): 1. BPK sebagai institusi audit keuangan kenegaraan/nasional mengandung arti bahwa Teknologi Informasi berskala nasional yang dimiliki BPK harus memiliki kapabilitas seperti halnya Teknologi Informasi yang dimiliki oleh lembaga sejenis BPK di negara lain. 2. BPK harus berperan aktif, bukan reaktif. Hal ini berarti bahwa BPK dalam melakukan pekerjaannya harus mampu melakukan interaksi penuh dengan seluruh stakeholder-nya. Pada konteks ini, Teknologi Informasi harus mampu menjadi medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi. 3. BPK harus mendorong terwujudnya akuntabilitas dan transparansi keuangan negara. Teknologi Informasi harus dapat memberikan prinsip-prinsip tata kelola tersebut memalui pola pengambilan, penyimpanan, pengorganisasian, pemilihan dan pendistribusian data, informasi dan pengetahuan yang berada dalam posesi BPK. Dari uraian pencapaian peranan strategis Teknologi Informasi di atas, BPK mengembangkan Teknologi Informasi yang dikelompokkan ke dalam tiga kelompok fungsi, yaitu: 1. Teknologi sebagai alat bantu dalam mengelola sejumlah besar data, informasi dan pengetahuan yang dimiliki BPK. 2. Teknologi informasi sebagai alat bantu dalam proses pengambilan keputusan. 3. Teknologi
informasi
sebagai
alat
bantu
untuk
memudahkan/mendukung proses aktifitas audit sehari–hari,
2
termasuk di dalamnya kebutuhan untuk melakukan komunikasi dan koordinasi. Selanjutnya, tiga fungsi di atas diterjemahkan ke dalam sistem layanan Teknologi Informasi menjadi dua kelompok besar, yaitu Sistem Internal dan Sistem Eksternal. Sistem
Internal
merupakan
sistem
yang
menghubungkan
semua
stakeholder internal yang ada di dalam organisasi BPK, termasuk para mitra kerjanya. Dengan kata lain para pimpinan, auditor, kepala divisi, kepala biro, manajer, penyelia, adminitrator, maupun staf serta mitra kerja dari departemen– departemen atau institusi–institusi lainnya terhubung dalam sebuah jejaring sistem teknologi informasi. Sistem Eksternal merupakan sistem yang menghubungkan BPK-RI dengan semua stakeholder eksternal seperti para wakil rakyat di DPR, DPRD, dan DPD, pemerintah, institusi yang menjadi obyek diaudit, lembaga–lembaga internasional, publik, komunitas, LSM dan institusi–institusi terkait lainnya. Stakeholder utama BPK-RI adalah DPR sebagai pemberi mandat pemeriksaan pengelolaan dan tanggung jawab keuangan negara. Stakeholder yang lain adalah DPD, DPRD dan masyarakat pada umumnya sebagai pengguna hasil pemeriksaan BPK-RI. Stakeholder yang lain adalah pemerintah sebagai pihak yang menjadi obyek pemeriksaan keuangan oleh BPK-RI. Sedangkan untuk lingkup TI, selain stakeholder di atas juga ditambah dengan dengan manajemen dan staff BPK-RI sebagai pelaksana dan pengguna layanan TI.
3
Gambar 1.1 : Sistem Teknologi Informasi di BPK-RI (BPK-RI, 2006b) Sistem di atas dibentuk oleh beberapa macam komponen yang saling bekerja sama sehinga bisa menghasilkan layanan yang dibutuhkan. Komponenkomponen tersebut adalah Perangkat keras, Perangkat Lunak, Infrastruktur Telekomunikasi, Sistem Basis Data dan Sumber Daya Manusia (BPK-RI, 2006b). Agar Teknologi Informasi memiliki kapabilitas seperti halnya teknologi informasi yang digunakan oleh lembaga sejenis BPK di luar negeri, maka Teknologi Informasi harus dikelola menggunakan standar yang berlaku secara internasional. Bisnis mensyaratkan bahwa layanan harus tersedia pada saat dibutuhkan serta memenuhi atau melampaui kebutuhan bisnis. Jika TI gagal memenuhi ketersediaan layanan pada saat yang dibutuhkan, maka artinya TI gagal memberikan nilai tambah terhadap bisnis. Untuk bisa mendapatkan tingkat ketersediaan yang memadahi diperlukan adanya suatu tata kelola yang memberikan perhatian terhadap semua isu terkait ketersediaan layanan, meliputi layanan beserta sumber dayanya, yang memastikan bahwa target ketersediaan layanan pada semua sistem dapat terukur dan tercapai. Tujuan pengelolaan ketersediaan layanan ini adalah memberikan kepastian bahwa tingkat ketersedian layanan yang diberikan untuk semua layanan dapat memenuhi atau melebihi kebutuhan bisnis yang disepakati, baik untuk saat ini ataupun saat yang akan datang (OGC, 2007b).
4
Paparan di atas memunculkan nilai penting kebutuhan bagi BPK-RI akan adanya suatu kerangka Tata Kelola TI terkait ketersediaan layanan yang sesuai standar karena sampai dengan saat ini BPK belum memiliki panduan Tata Kelola Ketersediaan Layanan. Berdasarkan hal tersebut maka dalam penelitian ini akan dirancang sebuah model pengelolaan TI untuk BPK-RI dengan menggunakan kerangka kerja Control Objectives for Information and Related Technology (COBIT). COBIT merupakan sebuah model framework tata kelola yang representatif
dan
menyeluruh,
yang
mencakup
masalah
perencanaan,
implementasi, operasional dan pengawasan terhadap seluruh proses TI. Hasil dari rancangan ini diharapkan dapat menjadi acuan dalam melakukan pengelolaan layanan di BPK-RI untuk mendukung tujuan dan strategi bisnisnya.
1.2. Perumusan Masalah Permasalahan yang akan dicoba untuk dijawab dalam penelitian ini adalah: 1. Bagaimana tingkat kedewasaan proses TI saat ini dan yang diharapkan
di
Badan
Pemeriksa
Keuangan
yang
terkait
ketersediaan layanan? 2. Bagaimanakah menyusun Tata Kelola proses TI yang terkait dengan ketersediaan layanan agar bisa mengatasi gap tingkat kedewasaan sehingga layanan TI dapat tersedia sesuai dengan kebutuhan bisnis?
1.3. Tujuan Penelitian Penelitian ini bertujuan untuk menghasilkan rancangan tata kelola ketersediaan layanan untuk BPK-RI dengan menggunakan kerangka COBIT.
1.4. Manfaat Penelitian 1. Melakukan
assessment
terhadap
kondisi
dan
kebutuhan
pengelolaan TI khususnya mengenai ketersediaan layanan. 2. Memberikan rekomendasi mengenai aktifitas beserta control objective yang harus diselenggarakan dan dipertahankan serta 5
rekomendasi lain bagi dukungan tata kelola ketersediaan layanan yang sesuai standar.
1.5. Batasan Masalah Batasan permasalahan pada penelitian ini adalah sebagai berikut: 1. Penyusunan Model Tata Kelola Teknologi Informasi ini difokuskan kepada aspek Pengelolaan TI yang dikhususkan pada Ketersediaan Layanan. 2. Penyusunan model disusun didasarkan pada kesenjangan antara proses TI saat ini dengan proses TI yang diharapkan. 3. Layanan yang dimaksud adalah aplikasi-aplikasi yang meliputi aplikasi pada Sistem Internal dan Eksternal sesuai dengan yang tercantum dalam Rencana Strategis Teknologi Informasi BPK-RI.
6
BAB 2 KAJIAN PUSTAKA DAN DASAR TEORI
2.1. Pengelolaan Teknologi Informasi di BPK-RI Pengelolaan Teknologi Informasi di lingkungan Badan Pemeriksa Keuangan ditangani oleh Biro Teknologi Informasi (RO-TI). RO-TI adalah unit kerja setingkat eselon II yang kedudukannya berada di bawah dan bertanggung jawab kepada Sekretaris Jenderal.
Gambar 2.1: Struktur Organisasi Biro Teknologi Informasi BPK-RI Biro TI mempunyai tugas melaksanakan pengelolaan sistem dan teknologi informasi di lingkungan BPK. Untuk melaksanakan tugas di atas, Biro TI menyelenggarakan fungsi: 1. Perumusan dan pengevaluasian rencana aksi Biro TI dengan mengidentifikasi indikataor kinerja utama berdasarkan rencana implementasi rencana strategis BPK; 2. Perumusan rencana kegiatan Biro TI berdasarkan rencana aksi, serta tugas dan fungsi Biro TI; 3. Penyiapan perumusan kebijakan di bidang sistem dan teknologi informasi;
7
4. Pelaksanaan kebijakan sistem dan teknologi informasi di bidang pengembangan sistem aplikasi komputer, serta pengelolaan infrastruktur dan dukungan teknologi informasi; 5. Pelaksanaan kegiatan lain yang ditugaskan oleh Sekretaris Jenderal; 6. Pelaporan hasil kegiatan secara berkala kepada Sekretaris Jenderal.
2.1.1. Sistem Aplikasi Peppard mengelompokkan aplikasi ke dalam sebuah Portfolio Matrix berdasarkan sumbangan potensial terhadap pencapaian tujuan bisnis di masa yang akan datang dan tingkat ketergantungan bisnis dalam mencapai kinerja bisnis secara keseluruhan. Portofolio Peppard ini merupakan turunan dari matrik serupa yang dibuat oleh McFarlan 1983.
Gambar 2.2: Application Portfolio Matrix (Peppard, 2002) 1. Strategic: Aplikasi yang kritis dalam mendukung strategi bisnis di masa depan. 2. High Potential: Aplikasi yang mungkin menjadi penting dalam meraih kesuksesan organisasi di masa depan. 3. Key Operational: Aplikasi yang saat ini digunakan oleh organisasi untuk meraih kesuksesan.
8
4. Support: Aplikasi yang memberi nilai tambah namun tidak terlalu kritis untuk kesuksesan organisasi. Berdasarkan matrik di atas, maka aplikasi-aplikasi yang ada di BPK-RI dapat dikelompokkan sebagai berikut: Tabel 2.1: Daftar Aplikasi di BPK-RI Nama
Keterangan
Portofolio
Aplikasi SMP
PMP Tahun 2008
Strategic
SDA
Pengelolaan Data Sumber Daya Alam
High Potential
PIP 2.0 *
PIP 1.0 + Management Report + Arsip High Potential Elektronik + Kinerja Individu + SiTUB + SHD
RRC *
Informasi
Publik
mengenai
data-data High Potential
terkait pemeriksaan sektor public SAAD
Akses data realisasi APBN yang terdapat High Potential di DJPerbendaharaan secara online
SMP
Itama PMP Tahun 2008 (Domain Itama)
High Potential
(SIMPEL) * Dashboard
Visualisasi Data Bidang Pemeriksaan dan High Potential
BPK-RI *
Kepegawaian
DEP
Pengelolaan Database Entitas Pemeriksaan High Potential BPK-RI
bpk.go.id
Web Eksternal BPK
High Potential
PIP 1.0
Informasi Kepegawaian untuk Pegawai Key Operational (Non-Transactional)
SISDM
Pengelolaan Database Kepegawaian
Key Operational
Sikad
Sistem Informasi Kerugian Negara dan Key Operational Daerah
Siska
Informasi Internal
Key Operational
MDaemon
Aplikasi Email
Key Operational
9
VOIP
Aplikasi VOIP
Key Operational
SiTUB
Pengelolaan Data Tugas Belajar
Support
SHD
Pengelolaan Hukuman Disiplin
Support
SPPD *
Pengelolaan kegiatan
penerbitan
pemeriksaan
SPPD
terkait Support
maupun
non-
pemeriksaan SI-RKSP
Pengelolaan
Rencana
Kegiatan
dan Support
Monitoring Pelaksanaan RKSP Dmed
Pengelolaan
Database
Media
Terkait Support
Kegiatan Kehumasan BPK-RI Jdih
Sistem Informasi Perundangan
Support
Simpli
Manajemen Helpdek
Support
Sumber: Biro Teknologi Informasi BPK-RI Keterangan: * masih dalam tahap pengembangan
2.1.2. Infrastruktur Untuk menyediakan berbagai layanan teknologi informasi di atas, BPK-RI menyediakan infrastruktur jaringan termasuk sebuah Data Center yang berlokasi di Kantor Pusat. Data Center ini tidak saja berisi komputer-komputer server yang menyediakan layanan teknologi informasi (file sharing, e-mail, intranet, Internet, aplikasi terpusat, backup/restore data, dll.) bagi para penggunanya, tetapi juga berisi peralatan yang berfungsi sebagai pengaman sistem informasi tersebut. Infrastruktur jaringan yang ada meliputi Local Area Network (LAN) yang berada di Kantor Pusat dan seluruh Kantor Perwakilan dan Wide Area Network (WAN) yang menghubungkan Kantor Pusat dengan seluruh Kantor Perwakilan termasuk Pusdiklat.
10
Gambar 2.3: Skema WAN BPK-RI
2.2. Definisi Teknologi Informasi Terdapat dua istilah yang sering digunakan dalam konteks pengelolaan informasi, yaitu Sistem Informasi dan Teknologi Informasi. Menurut O’Brien, Sistem Informasi adalah kombinasi yang terorganisasi antara manusia, hardware, software, jaringan komunikasi dan sumber data yang mengumpulkan, mentransformasikan dan menyebarkan data dalam sebuah organisasi. Sedangkan Teknologi Informasi adalah teknologi yang diperlukan untuk mewujudkan sistem informasi (O’Brien, 2004). Menurut Davis, Teknologi Informasi lebih menekankan pada aspek teknologi yang digunakan untuk menghasilkan suatu produk atau layanan. Sedangkan Sistem Informasi lebih menekankan pada terminologi bisnis, yaitu meliputi manusia, data, prosedur dan teknologi itu sendiri. Dua istilah tersebut sering dipertukarkan dalam penggunaannya (Davis, 1993). Definisi lain dari Teknologi Informasi adalah teknologi yang meliputi pengembangan, pemeliharaan dan penggunaan sistem komputer, software dan jaringan untuk mengelola dan mendistribusikan data (Meriam-Webster, 2010). Menurut Lucas yang dikutip oleh Djatmiko, Arsitektur Teknologi Informasi dapat digambarkan sebagai berikut (Djatmiko, 2007):
11
Gambar 2.4: Arsitektur Teknologi Informasi (Djatmiko, 2007) Teknologi Informasi terdiri atas Aplikasi yang didalamnya berupa software, hardware dan infrastruktur. Setiap komponen melibatkan teknologi, proses dan manusia, yang kesemuanya bertujuan untuk mengumpulkan, mengelola dan mendistribusikan data.
2.3. Definisi Layanan TI Layanan (service), dalam hal ini adalah layanan TI, didefinisikan sebagai penyampaian nilai (value) kepada pelanggan (customer) dengan memfasilitasi hasil (outcomes) yang ingin dicapai oleh pelanggan tanpa harus sepenuhnya menguasai biaya dan resikonya (OGC, 2007a). Pemberian nilai ini dimaksudkan untuk memberikan solusi terhadap masalah bisnis dan dukungan terhadap model, strategi dan operasi bisnis. Layanan ini bisa diperoleh berupa shared service dari pihak lain yang berupa outsourcing maupun layanan yang dikelola sendiri secara internal. Kehandalan sebuah layanan TI tidak semata-mata ditentukan oleh teknologi yang digunakan, namun lebih kepada bagaimana layanan tersebut dikelola. Penggunaan teknologi baru tidak serta merta membuat layanan tersebut memberikan dukungan maksimal terhadap bisnis. Namun teknologi tersebut harus dikelola dengan tepat agar sesuai dengan kebutuhan bisnis. Pengelolaan layanan adalah seperangkat kapabilitas khusus organisasi yang ditujukan untuk memberikan value kepada organisasi dalam bentuk layanan (OGC, 2007b).
12
2.3.1. Daur Pengelolaan Layanan TI Ada banyak metode dan best practices yang bisa menjadi panduan untuk melakukan pengelolaan layanan, salah satunya adalah ITIL yang dikeluarkan oleh Office of Government Commerce. Menurut ITIL, pengelolaan layanan pada dasarnya merupakan sebuah daur hidup (lifecycle) (OGC, 2007a). Daur hidup tersebut didefiniskan sebagai berikut:
Gambar 2.5 ITIL Lifecycle (OGC, 2007a) Sebagai pusat dari daur tersebut adalah Service Strategy, selanjutnya dari strategi tersebut dikembangkan menjadi Service Design, Service Transition dan Service Operation. Service Strategy berisikan panduan cara pandang manajemen bahwa sebuah layanan tidak hanya berupa kapabilitas organisasional tetapi juga merupkan aset strategis. Service Design adalah tahap dalam daur tersebut yang menerjemahkan Service Strategi menjadi blueprint untuk pencapaian tujuan bisnis. Service Design berisi panduan untuk mendesain dan mengembangkan layanan dan praktekpraktek pengelolaan layanan
13
Service Transition berisikan panduan untuk pengembangan dan perbaikan kapabilitas perpindahan layanan yang baru dan layanan yang mengalami perubahan ke dalam operasional layanan. Service Operation menyediakan praktek-praktek ke dalam pengelolaan operasi layanan sehari-hari. Service Operation juga meliputi panduan untuk mencapai efektifitas dan efisiensi dalam menyampaikan dan mendukung layanan agar value yang diberikan kepada pelanggan bisa maksimal. Continual Service Improvement menyediakan panduan untuk menciptakan dan memelihara value bagi pelanggan melalui desain, transisi dan operasi yang lebih baik.
2.3.2. Service Design Service Design bertujuan untuk memberikan desain layanan baru atau layanan yang mengalami perubahan untuk diperkenalkan ke dalam lingkungan operasional. Terdapat tujuh proses dalam Service Design, yaitu: 1. Pengelolaan Katalog Layanan 2. Pengelolaan Tingkat Layanan 3. Pengelolaan Kapasitas 4. Pengelolaan Ketersediaan 5. Pengelolaan Keberlanjutan Layanan TI 6. Pengelolaan Keamanan Informasi 7. Pengelolaan Pemasok
2.3.3. Availibility Management Menurut ITIL, pengelolaan ketersediaan layanan adalah aktifitas-aktivitas yang bertujuan untuk memberikan kepastian bahwa tingkat ketersedian layanan yang diberikan untuk semua layanan dapat memenuhi atau melebihi kebutuhan bisnis yang disepakati, baik untuk saat ini ataupun saat yang akan datang secara efektif. Tujuan ini dicapai dengan memberikan fokus dan pengelolaan semua isu yang terkait dengan terkait dengan ketersediaan, baik isu layanan maupun sumber
14
dayanya, serta memastikan bahwa terget ketersediaan dalam semua area dapat tercapai dan terukur. Sedangkan menurut Service Availability Forum, Ketersediaan Tinggi adalah ukuran system uptime yaitu lima angka sembilan (99,999%) atau lebih. Hal ini berarti suatu sistem atau infrastruktur TI dikatakan handal jika dapat memenuhi 99,99% uptime (SAF, 2009). Hal yang serupa juga disebutkan oleh Wikipedia, yaitu bahwa Ketersediaan Layanan adalah pengembangan dari Ketersediaan Tinggi yang berarti sebuah layanan selalu tersedia tanpa dipengaruhi oleh kegagalan hardware, software dan user (Wikipedia, 2009). Objectives dari pengelolaan ketersediaan adalah: 1. Membuat dan memelihara Rencana ketersediaan yang memadahi dan up-to-date yang mencerminkankebutuhan bisnis saat ini dan masa mendatang 2. Menyediakan panduan pada semua wilayah bisnis dan TI yang terkait dengan masalah ketersediaan 3. Memastikan bahwa ketersediaan layanan memenuhi atau melebihi target yang disetujui 4. Memberikan panduan berupa diagnosa dan resolusi terhadap insiden dan masalah terkait dengan ketersediaan 5. Memperkirakan
dampak
atas
perubahan
pada
Rencana
Ketersediaan terhadap kinerja dan kapasitas dari semua layanan dan sumberdayanya 6. Memastikan bahwa upaya pengukuran yang proaktif untuk memperbaiki ketersediaan layanan dilakukan dengan biaya yang memadahi.
2.4. Pengertian Tata Kelola Teknologi Informasi Saat ini Teknologi Informasi menjadi faktor yang sangat penting bagi keberhasilan
perusahaan,
mendapatkan
keunggulan
memberikan kompetitif
15
kesempatan-kesempatan dan
memungkinkan
untuk
peningkatan
produktifitas dan memberikan nilai tambah bagi perusahaan di masa yang akan datang (Surendro, 2009). Berdasarkan
definisinya,
Tata
Kelola
Teknologi
Informasi
(IT
Governance) adalah tanggung jawab dewan direktur dan manajemen eksekutif, yang terdiri atas kepemimpinan, struktur organisasi dan proses yang memastikan bahwa TI perusahaan mendukung dan memperluas strategi dan tujuan perusahaan (ITGI, 2007a). Peter Weill dan Jeanne W. Ross mendefinisikan IT governance sebagai aktifitas menetapkan hak pengambilan keputusan dan kerangka kerja yang dapat dipertanggungjawabkan (accountability framework) untuk mendorong perilaku pengunaan TI yang diharapkan (Weill dkk, 2004). Sedangkan International Organization for Standardization mendefinisikan Corporate Governance of IT sebagai sistem di mana penggunaan TI saat ini dan di masa yang akan datang diarahkan dan dikendalikan. Corporate Governance of IT melibatkan aktifitas evaluasi dan pengarahan penggunaan TI untuk mendukung organisasi dan pemantauan penggunaan tersebut untuk mencapai rencana. Corporate Governance of IT meliputi strategi dan kebijakan dalam menggunakan TI di dalam organisasi (ISO, 2008). IT Governance merupakan struktur hubungan dan proses untuk mngarahkan dan mengendalikan perusahaan agar bisa mencapai tujuan perusahaan dengan memberikan nilai tambah dan menyeimbangkan resiko terhadap return atas TI dan proses-prosesnya (ITGI, 2000). Tata Kelola Teknologi Informasi yang tidak efektif akan menjadi awal terjadinya hal yang tidak diinginkan, seperti (Surendro, 2009): 1. Kerugian
bisnis,
berkurangnya
reputasi
dan
melemahkan
kompetisi. 2. Tenggat waktu yang terlampaui, biaya yang melebihi anggaran, dan kualitas yang lebih rendah daripada yang dipersyaratkan. 3. Efisiensi dan proses inti peusahaan terpngaruh secara negatif oleh rendahnya kualitas penggunaan teknologi informasi. 4. Kegagalan dari inisiatif teknologi informasi untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan. 16
2.4.1. Domain Tata Kelola Teknologi Informasi Area permasalahan yang menjadi fokus utama dalam tata kelola TI antara lain adalah (ITGI, 2007a):
Gambar 2.6 : IT Governance Focus Area (ITGI, 2007a) 1. Strategic Alignment: fokus kepada memastikan hubungan antara bisnis
dan
rencana
TI;
mendefinisikan,
memelihara
dan
memvalidasi usulan rencana TI; menyelaraskan operasi TI dan operasi perusahaan. 2. Value Delivery: fokus kepada pelaksanaan rencana ke dalam siklus kegiatan; memastikan bahwa TI memberikan keuntungan yang diharapkan berdasarkan strateginya. 3. Risk Management: fokus kepada pemahaman resiko, ketaatan terhadap aturan, pengaruh resiko terhadap perusahaan dan penanaman tanggung jawab resiko kedalam organisasi. 4. Resource Management: fokus kepada optimalisasi investasi dan pengelolaan sumber daya TI meliputi aplikasi, informasi, infrastruktur dan manusia.
17
5. Performance Measurement: fokus kepada pemantauan dan pengukuran
pelaksanaan
strategi,
penyelesaian
proyek,
penggunaan sumberdaya, kinerja proses dan penyampaian layanan.
2.4.2. Standar Tata Kelola Teknologi Informasi Standar adalah suatu hal yang disepakati untuk digunakan sebagai acuan bersama sehingga tercapai kesamaan pemahaman. Beberapa pihak yang menggunakan standar yang sama maka akan memiliki kesamaan pemahaman atas suatu istilah atau kriteria. Standar bisa berlaku secara internal organisasi, nasional dan internasional Ada beberapa alasan yang menguntungkan atas penggunaan standar terutama standar internasional yang terdefinisi secara luas, yaitu (Spafford, 2003): 1. The Wheel Exists: Organisasi tidak perlu melakukan penelitian dan pengembangan ulang karena sudah ada Standar Internasional. 2. Structured: Kerangka model standar menyediakan struktur yang baik yang bisa digunakan oleh organisasi, sehingga siapapun bisa memahami hal yang sama menggunakan struktur yang standar. 3. Best Practice: Standar sudah dikembangkan dalam waktu yang lama dan dievaluasi oleh banyak pihak dan organisasi di seluruh dunia. Hal ini tentu lebih baik dibandingkan dengan pengalaman oleh sebuah organisasi tunggal. 4. Knowledge Sharing: dengan adanya standar, berbagai pihak dapat berbagi ide antar organisasi, user group, situs web, buku dan lainlain 5. Auditable: ketiadaan standar menyulitkan auditor, terutama auditor eksternal, untuk melakukan penilaian kontrol secara efektif. Dengan adanya standar, maka auditor dan manajemen memiliki kesamaan dasar untuk melakukan pengelolaan maupun audit dan pengukurannya. Pada dasarnya pengelolaan TI sangat bergantung kepada organisasi pengguna TI, karena kondisi masing-masing organisasi bisa memiliki perbedaan. Namun, dengan keuntungan penggunaan standar seperti yang disebutkan di atas, 18
maka organisasi diharapkan menggunakan model tata kelola yang sudah menjadi standar dalam bidang pengelolaan TI. Dalam pengelolaan TI ada beberapa standar dunia yang sudah umum digunakan. Masing-masing memiliki fokus pengembangan dan kelebihan masingmasing. Beberapa standar tersebut antara lain: 1. COBIT (Control Objectives for Information and Related Technology), dikembangkan oleh IT Governance Institute 2. ISO/IEC 38500:2008 Corporate Governance of Information Technology, dikembangkan oleh International Organization for Standardization 3. ITIL
(Information
dikembangkan
United
Technology Kingdom’s
Infrastructure Office
of
Library), Government
Commerce (OGC)
2.5. Framework COBIT COBIT adalah suatu standar tata kelola teknologi informasi yang dikembangkan oleh IT Governance Institute (ITGI) yang berbasis di Amerika Serikat. COBIT mengintegrasikan sejumlah best practices TI dan menyediakan kerangka kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan risiko serta memperoleh keuntungan terkait dengan TI. Implementasi COBIT dalam organisasi dapat memberikan keuntungan berupa (Surendro, 2009): 1. Penyelarasan yang lebih baik, berdasarkan pada fokus bisnis. 2. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan teknologi informasi. 3. Tanggungjawab dan kepemilikan yang jelas berdasarkan pada orientasi proses. 4. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan. 5. Berbagi pemahaman di antara pihak yang berkepentingan, didasarkan pada penggunaan bahasa yang sama.
19
6. Pemenuhan kebutuhan atau sebagai pelengkap bagi Committee of Sponsoring Organizations of the Treadway Commission (COSO) untuk lingkungan kendali teknologi informasi. Prinsip dasar framework COBIT lebih jauh dijelaskan ke dalam kubus COBIT, yang secara ringkas adalah: IT resources dikelola oleh IT process untuk mencapai
IT
goals
yang
menjawab
persyaratan
bisnis.
Gambar
2.6
menggambarkan kubus COBIT.
Gambar 2.7: The COBIT Cube (ITGI, 2007a) Di dalam kerangka kerja COBIT (seperti pada gambar 2.7), terdapat tujuh persyaratan atau kriteria informasi bisnis, yaitu: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability. COBIT kemudian menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu:, applications, information, infrastructure dan people. COBIT mendefinisikan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain, keempat domain tersebut adalah: Planning and Organization (10 proses), Acquisition and Implementation (7 proses), Delivery and Support (13 proses), dan Monitoring and Evaluation (4 proses).
20
Gambar 2.8: Kerangka Kerja COBIT (ITGI, 2007a) Framework COBIT disusun dengan karakteristik berfokus pada bisnis (business-focused), berorientasi pada proses (process-oriented), berbasis pada pengendalian (controls-based) dan terarah kepada pengukuran (measurementdriven)
2.5.1. Business Focused Orientasi bisnis adalah hal yang utama dalam COBIT. Gambar 2.8 mengilustrasikan prinsip dasar COBIT, yaitu untuk menyediakan informasi yang
21
dibutuhkan perusahaan untuk mencapai tujuannya, perusahaan perlu melakukan investasi, melakukan pengaturan dan melakukan pengendalian terhadap sumber daya TI menggunakan seperangkat proses yang terstruktur untuk menyediakan layanan yang menghasilkan informasi yang dibutuhkan perusahaan
Gambar 2.9: Prinsip Dasar COBIT (ITGI, 2007a)
2.5.1.1. Kriteria Informasi Mengelola dan mengendalikan informasi adalah aktifitas utama dalam framework COBIT yang dapat membantu keselarasan dengan kebutuhan bisnis. Untuk mendukung tujuan bisnis, informasi harus memenuhi beberapa kriteria yang dalam COBIT disebut sebagai persyaratan bisnis bagi informasi, yaitu (ITGI, 2007a): 1. Effectiveness: terkait dengan informasi yang relevan dan berhubungan dengan proses bisnis yang harus disampaikan dengan cara tepat waktu, benar, konsisten dan berguna. 2. Efficiency:
terkait
dengan
persyaratan
informasi
melalui
penggunaan sumber daya yang optimal (paling produktif dan ekonomis). 3. Confidentiality: terkait dengan perlindungan terhadap informasi sensitif dari pengungkapan yang tidak resmi.
22
4. Integrity: terkait dengan ketepatan dan kelengkapan informasi dan validitasnya sehubungan dengan nilai bisnis harapan terhadapnya. 5. Availability: terkait dengan tersedianya informasi pada saat dibutuhkan oleh proses bisnis saat ini dan saat yang akan datang. Juga terkait dengan usaha melindungi sumber daya dan kapabilitas terkait yang diperlukan. 6. Compliance: terkait dengan kepatuhan terhadap hukum, peraturan dan kesepakatan kontrak 7. Reliability: terkait dengan ketentuan informasi yang sesuai bagi manajemen untuk melaksanakan tugasnya.
2.5.1.2. Sumber Daya Teknologi Informasi Sumber daya TI di dalam COBIT dibagi menjadi 5 bagian, yaitu: 1. Applications: adalah sistem pengguna yang terotomasi dan prosedur manual yang memproses informasi 2. Information: adalah data dalam berbagai bentuk, input, diproses dan dihasilkan outputnya oleh sistem informasi dalam bentuk apapun yang digunakan oleh bisnis. 3. Infrastructure: adalah teknologi dan fasilitas (seperti hardware, sistem operasi, DBMS, jaringan, multimedia dan lingkungan yang menampung dan mendukungnya) yang memungkinkan terjadinya pemrosesan aplikasi. 4. People: adalah personel yang diperlukan untuk merencanakan, mengorganisasi, memperoleh, mengimplementasi, menyampaikan, mendukung, memantau dan mengevaluasi sistem informasi dan layanannya. Personel tersebut bisa dari internal, tenaga outsourcing atau kontrak disesuaikan dengan kebutuhan.
23
2.5.2. Process Oriented 2.5.2.1. Proses TI Seperti yang telah disebutkan di atas bahwa COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain.
Gambar 2.10: Hubungan antara 4 Domain dalam COBIT (ITGI, 2007a) Tabel 2.2: Daftar Proses TI dalam COBIT Plan and Organise (PO)
Deliver and Support
PO1 Define a strategic IT plan.
DS1 Define and manage service levels.
PO2 Define the information architecture.
DS2 Manage third-party services.
PO3 Determine technological direction.
DS3 Manage performance and capacity.
PO4 Define the IT processes, organisation and
DS4 Ensure continuous service.
relationships.
DS5 Ensure systems security.
PO5 Manage the IT investment.
DS6 Identify and allocate costs.
PO6 Communicate management aims and
DS7 Educate and train users.
direction.
DS8 Manage service desk and incidents.
PO7 Manage IT human resources.
DS9 Manage the configuration.
PO8 Manage quality.
DS10 Manage problems.
PO9 Assess and manage IT risks.
DS11 Manage data.
PO10 Manage projects.
DS12 Manage the physical environment. DS13 Manage operations.
Acquire and Implement (AI) AI1 Identify automated solutions.
Monitor and Evaluate
AI2 Acquire and maintain application
ME1 Monitor and evaluate IT performance.
software.
ME2 Monitor and evaluate internal control.
24
AI3 Acquire and maintain technology
ME3 Ensure compliance with external
infrastructure.
requirements.
AI4 Enable operation and use.
ME4 Provide IT governance.
AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.
Sumber: ITGI, 2007a 1. Plan and Organise (PO) Domain ini mencakup taktik dan strategi, serta perhatian pada identifikasi cara TI dalam memberikan kontribusi terbaiknya pada pencapaian
tujuan
bisnis.
Realisasi
visi
strategis
perlu
direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Suatu organisasi yang tepat seperti halnya infrastruktur teknologi yang tepat harus diwujudkan. 2. Acquire and Implement (AI) Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan
kedalam
proses
bisnis.
Sebagai
tambahan,
perubahan dan pemeliharaan sistem yang ada dicakup dalam domain ini untuk memastikan solusi tetap berlangsung untuk memenuhi tujuan bisnis. 3. Deliver and Support (DS) Domain ini berhubungan dengan penyampaian aktual atas layanan yang
diperlukan,
yang
mencakup
penyampaian
layanan,
manajemen keamanan dan keberlangsungan, dukungan layanan pada user, dan manajemen data dan fasilitas operasional. 4. Monitor and Evaluate (ME) Seluruh proses TI perlu dinilai secara berkala untuk kualitas dan kepatuhan terhadap persyaratan kendali. Domain ini terkait dengan pengelolaan kinerja, pemantauan internal control, pengelolaan dan kepatuhan terhadap aturan. 25
2.5.3. Control Based Tujuan Kendali TI (it control objectives) adalah kebijakan, prosedur, praktek dan struktur organisasi yang didesain untuk memberikan keyakinan yang memadahi bahwa tujuan bisnis akan tercapai dan hal yang tidak dinginkan bisa dicegah atau dideteksi dan diperbaiki. Gambar 2.10 menjelaskan mengenai model kendali pada COBIT yang bisa dijelaskan dengan analogi suhu ruangan: ketika suhu sebuah ruangan (standard) untuk sebuah sistem pemanas (process) di-set, sistem akan terus mengecek (compare) suhu di sekitar ruangan (control information) dan akan memberikan sinyal (act) kepada sistem pemanas untuk menambah atau mengurangi panas.
Gambar 2.11: Model Kendali dalam COBIT (ITGI, 2007a) Setiap proses TI memiliki beberapa control objectives yang secara umum meliputi: 1. Process Goals and Objectives 2. Process Ownership 3. Process Repeatability 4. Roles and Responsibilities 5. Policy, Plans and Procedures 6. Process Performance Improvement
26
2.5.4. Measurement Driven Setiap organisasi perlu untuk untuk mengetahui status organisasinya sejauh mana telah melakukan aktifitas dan apakah investasi yang dilakukan memadahi. Cobit memberikan panduan untuk melakukan pengukuran tersebut melalu beberapa metode.
2.5.4.1. Model Kematangan Model Kematangan (Maturity Models) adalah alat bantu yang dapat digunakan untuk melakukan benchmarking dan self-assessment oleh manajemen TI untuk menilai kematangan proses TI. Dengan Model Kematangan yang dikembangkan untuk 34 proses TI COBIT, manajemen bisa mengidentifikasikan: 1. Kinerja aktual dari perusahaan – Di mana posisi perusahaan saat ini. 2. Status industri saat ini – Perbandingan. 3. Target perbaikan bagi perusahaan – Ke mana perusahaan ingin dibawa. 4. Jalur pertumbuhan yang diperlukan antara “as-is” dan “to-be”.
Gambar 2.12: Model Kematangan dalam COBIT (ITGI, 2007a) Secara umum, tingkat kematangan proses TI dibagi menjadi 6 tingkat, mulai dari tingkat kematangan 0 sampai dengan tingkat kematangan 5.
27
Tabel 2.3: Tingkat Kedewasaan Umum dalam COBIT Level 0 Non Existent
Kriteria Kedewasaan Kekurangan yang menyeluruh terhadap proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi.
1 Initial / Ad Hoc
Terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus. Secara umum pendekatan kepada pengelolaan proses tidak terorganisasi.
2 Repeatable but Intituitive
Proses dikembangkan ke dalam tahapan dimana prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan formal atau pengkomunikasian prosedur standar dan tanggung jawab diserahkan kepada individu masing-masing.Terdapat tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga kemungkinan terjadi error sangat besar.
3 Defined
Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namaum penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah memformalkan praktek yang berjalan.
4 Managed and Measurable
Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses berada dibawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomatisasi dan perangkat digunakan dalam batasan tertentu.
5 Optimised
Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kedewasaan dengan perusahaan lain. TI digunakan sebagi cara terintegrasi untuk mengotomatisasi alur kerja,penyediaan alat untuk peningkatan kualitas dan efektifitas serta membuat perusahaan cepat beradaptasi.
Sumber: ITGI, 2007a
28
Selain keenam tingkat tersebut, Tingkat Kedewasaan disusun oleh atributatribut sebagai berikut: 1. Awareness and Communication (AC) 2. Policies, Standards and Procedures (PSP) 3. Tools and Automation (TA) 4. Skills and Expertise (SE) 5. Responsibility and Accountability (RA) 6. Goal Setting and Measurement (GSM) Pada
pembahasan
selanjutnya,
penyebutan
atribut
pada
tingkat
kedewasaan akan menggunakan singkatan-singkatan di atas.
2.5.4.2. Pengukuran Kinerja Dalam COBIT, Goal dan Metrics didefinisikan dalam tiga tingkat, yaitu: •
Pencapaian TI dan ukurannya (IT Goal and metrics), yaitu apa yang diharapkan dari Teknologi Informasi dan bagaimana mengukurnya.
•
Pencapaian Proses dan ukurannya (Process Goal and metrics), yaitu proses TI apa yang perlu dilakukan untuk mendukung tujuan TI dan bagaimana mengukurnya.
•
Pencapaian Aktifitas dan ukurannya (Activity goal and metrics), yaitu apa yang perlu ada di dalam proses untuk menghasilkan kinerja yang dinginkan dan bagaimana mengukurnya.
COBIT menggunakan 2 jenis ukuran yaitu Indikator Pencapaian (Outcome Measures) dan Indikator Kinerja (Performance Indicators). Indikator pencapaian pada tingkat yang lebih rendah menjadi indikator kinerja pada tingkatan yang lebih tinggi. •
Indikator Pencapaian menunjukkan apakah tujuan telah berhasil dicapai atau tidak. Hal ini hanya bisa diukur setelah proses selesai (after the fact), sehingga sering disebut sebagai lag indicators.
29
•
Indikator Kinerja menunjukkan apakah tujuan mungkin dicapai atau tidak. Hal ini ini bisa dikur sebelum proses selesai (before the fact), sehingga sering disebut sebaia lead indicators.
2.6. Tahapan Penerapan Tata Kelola TI Menggunakan COBIT Terdapat 5 fase penerapan Tata Kelola TI menggunakan COBIT, yaitu fase Mengidentifikasi Kebutuhan (Identify Needs), Meramalkan Solusi (Envision Solution), Merencanakan Solusi (Plan Solution), Menerapkan Solusi (Implement Solution) dan Mengoperasikan Solusi (Operationalise Solution). Kelima fase tersebut merupakan tahapan yang harus dilalui untuk menerapkan Tata Kelola TI.
Gambar 2.13: Fase Penerapan Tata Kelola TI Menurut COBIT (ITGI, 2007a) 1. Fase 1 – Mengidentifikasi Kebutuhan Fase
ini
adalah
permulaan
dari
implementasi
yang
mengindikasikan bahwa kebutuhan tata kelola TI telah diakui. Mengkonfirmasi ulang dan mengkomunikasikan kebutuhan adalah hal yang penting untuk mendefiniskan scope Teknologi Informasi.
30
2. Fase 2 – Meramalkan Solusi Fase ini terdiri dari tiga tahap. Pertama, perusahaan harus mengetahui di mana posisinya dengan cara assessment dan pengukuran kematangan. Kedua, mendefinisikan kapabilitas dan kematangan yang dikehendaki. Ketiga, melakukan analisa gap antara kedua kondisi tersebut dan diterjemahkan ke dalam inisiasi perbaikan. 3. Fase 3 – Merencanakan Solusi Fase ini berlandaskan kepada inisiasi perbaikan pada fase sebelumnya. Fase ini mengintegrasikan semua proyek individual ke dalam rencana program yang detail dan praktis untuk menyelenggarakan solusi. 4. Fase 4 – Mengimplementasikan Solusi Pada saat rencana perbaikan dijalankan, penyampaian yang sukses atas hasil bisnis yang dikehendaki diukur melalui: •
Umpan balik (feed back) dan proses pembelajaran dari review sesudah implementasi
•
Pemantauan atas perbaikan pada kinerja perusahaan dan scorecards TI
5. Fase 5 – Mengoperasionalkan Solusi Fase Mengoperasionalkan Solusi memerlukan hal-hal berikut: •
Integrasi antara Tata Kelola TI dengan Tata Kelola Perusahaan
•
Memastikan
adanya
akuntabilitas
untuk
TI
pada
keseluruhan organisasi •
Definisi struktur organisasi yang sesuai
•
Menyusun kebijakan komunikasi, standar dan proses untuk Tata Kelola TI dan kendalinya
•
Mendorong terjadinya perubahan budaya
•
Mengarahkan proses dan budaya ke arah perbaikan berkelanjutan
31
•
Menerapkan struktur pelaporan dan pemantauan yang optimal
2.7. Pemetaan Ketersediaan Layanan ke dalam Proses COBIT Seperti telah disebutkan di atas, bahwa ITIL adalah seperangkat pendekatan best practice dalam hal pengelolaan layanan yang ditujukan untuk tercapainya pengelolaan layanan TI yang efektif. Sedangkan COBIT adalah seperangkat proses TI dan control framework yang menghubungkan TI dengan persyaratan bisnis. Kedua standar ini bisa digunakan bersamaan dan saling melengkapi. Dalam COBIT, terdapat 28 tujuan bisnis yang tersebar ke dalam 34 IT Process dan dikelompokkan ke dalam empat domain. COBIT juga memberikan pemetaan tujuan-tujuan bisnis tersebut ke dalam proses-proses TI. Salah satu tujuan bisnis yang terkait dengan ketersediaan layanan adalah tujuan nomor 23, yaitu Make sure that IT services are available as required (memastikan bahwa layanan-layanan TI tersedia sesuai kebutuhan). Sedangkan pemetaan tujuan bisnis tersebut ke dalam proses TI adalah sebagai berikut: Tabel 2.4: Pemetaan Tujuan IT COBIT Terkait Ketersediaan Layanan ke dalam Proses TI IT Goals
Processes
Make sure that IT services are available as required
DS3
DS4
DS8
DS13
Sumber: ITGI, 2007a Dengan demikian, terdapat empat proses TI yang terkait dengan ketersediaan layanan, yaitu: 1. DS3 Manage Performace and Capacity 2. DS4 Ensure Continuous Service 3. DS8 Manage Service Desk and Incidents 4. DS13 Manage Operations
32
Dalam pelaksanaanya, sebuah proses memiliki input dan output. Input adalah apa yang dibutuhkan suatu proses dari proses lain, sedangkan output adalah apa yang harus dihasilkan oleh suatu proses (ITGI, 2007a). Dari dokumentasi COBIT, didapatkan hubungan keempat proses tersebut sebagai berikut (ITGI, 2007a): 1. Proses DS3 tidak memiliki ketergantungan dengan ketiga proses yang lain. 2. Proses DS4 menghasilkan output yang menjadi masukan untuk proses DS8 dan proses DS13 3. Proses DS8 membutuhkan input dari proses DS4 4. Proses DS13 membutuhkan input dari proses DS4 Sedangkan menurut ITIL, proses pengelolaan ketersediaan layanan terdiri atas dua elemen, yaitu (OGC, 2007b): 1. Reactive Activities. Apek reaktif dari pengelolaan ketersediaan layanan melibatkan aktifitas pemantauan, pengukuran, analisis dan manajemen
keseluruhan
kejadian,
insiden
masalah
terkait
hilangnya ketersediaan. Aktifitas-aktifitas tersebut pada prinsipnya terkait dengan peran-peran operasional. 2. Proactive Activities. Aspek proaktif dari pengelolaan ketersediaan layanan melibatkan aktifitas perencanaan, desain dan usaha-usaha peningkatan
ketersediaan.
Aktifitas-aktifitas
tersebut
pada
prinsipnya terkait dengan peran-peran perencanaan dan desain. ITGI, sebagai lembaga yang mengeluarkan COBIT telah memberikan panduan untuk melakukan pemetaan antara kedua standar. Tujuan pemetaan tersebut untuk membantu organisasi yang berencana untuk menerapkan standar dan panduan untuk melakukan harmonisasi inisiatif penggunaan standar-standar tersebut dan menggunakan COBIT sebagai framework untuk tata kelola TI yang lebih baik (ITGI, 2008b). Pemetaan dari ITIL ke dalam proses COBIT untuk ketersediaan layanan dapat dilihat pada Tabel 2.5 berikut: 33
Tabel 2.4: Mapping ITIL ke dalam COBIT untuk Pengelolaan Ketersediaan Layanan Proses pada ITIL Proses pada COBIT Availability management DS3.4 IT resources availability • The reactive activities of DS3.4 IT resources availability DS3.5 Monitoring and reporting availability management • The proactive activities of DS3.4 IT resources availability DS4.3 Critical IT resources availability management DS4.8 IT services recovery and resumption Sumber: ITGI, 2008b Dari pemetaan tersebut, terlihat bahwa aktifitas-aktifitas reaktif dari pengelolaan ketersediaan dipetakan kepada Control Objective DS3.4 dan DS3.4 yang merupakan control objective dari proses DS3 Manage Performance and Capacity. Sedangkan aktifitas-aktifitas proaktif dari pengelolaan ketersediaan dipetakan kepada Control Objective DS3.4 dari proses DS3; dan Control Objective DS4.3 dan DS4.8 yang merupakan Control Objective dari proses DS4 Ensure Continuous Service. Proses DS3 Manage Performance and Capacity selengkapnya memiliki lima Control Objectives berikut: DS3.1 Performace and Capacity DS3.2 Current Performance and Capacity DS3.3 Future Performance and Cpacity DS3.4 IT Resource Availability DS3.5 Monitoring and Reporting Sedangkan DS4 adalah Ensure Continuous Service selengkapnya memiliki Control Objectives berikut: DS4.1 IT Continuity Framework DS4.2 IT Continuity Plans DS4.3 Critical IT Resources
34
DS4.4 Maintenance of the IT Continuity Plan DS4.5 Testing of the IT Continuity Plan DS4.6 IT Continuity Plan Training DS4.7 Distribution of the IT Continuity Plan DS4.8 IT Services Recovery and Resumption DS4.9 Offsite Backup Storage DS4.10 Post-resumption Review
35
[halaman ini sengaja dibiarkan kosong]
36
BAB 3 METODOLOGI PENELITIAN Dalam penelitian untuk membuat model tata kelola ini, penulis menggunakan tahapan-tahapan sebagai berikut: 1. Kajian Pustaka, berupa: a. Pengumpulan Data Organisasi, berupa pencarian dokumen mengenai visi, misi, rencana strategis organisasi dan dokumen-dokumen lain yang terkait. b. Studi pustaka, berupa pencarian bahan pustaka yang sesuai untuk mendukung penelitian ini. 2. Penentuan proses TI yang terkait dengan ketersediaan layanan 3. Pencarian Data, berupa: a. Wawancara b. Kuisioner 4. Analisa Kondisi, yang terdiri atas: a. Analisa Kondisi proses TI saat ini b. Analisa Kondisi proses TI yang diharapkan 5. Analisa Gap 6. Analisa model Tata Kelola TI terkait ketersediaan layanan. 7. Penyusunan Laporan Tahapan penelitian di atas bisa digambarkan ke dalam diagram alir sebagai berikut:
37
Gambar 3.1: Alur Diagram Tahapan Penelitian
38
3.1. Kajian Pustaka Pada tahap ini, penulis melakukan pencarian dan penelaahan atas dokumen-dokumen pustaka yang terkait dengan tema penelitian.
3.1.1. Pengumpulan Data Organisasi Penulis melakukan pengumpulan bahan terkait dengan organisasi Badan Pemeriksa Keuangan – Republik Indonesia. Sumber referensi utama adalah Rencana Strategis Badan Pemeriksa Keuangan 2006-2010 dan Rencana Strategis Teknologi Informasi Badan Pemeriksa Keuangan 2006-2010. Sumber lain yang penulis gunakan surat-surat resmi dari pejabat struktural yang terkait dengan kebijakan dan pelaksanaan pengelolaan layanan Teknologi Informasi di Badan Pemeriksa Keuangan. Dari dokumen-dokumen tersebut, penulis melakukan telaahan untuk mendapatkan gambaran mengenai kondisi organisasi serta peran dan posisi Teknologi Informasi dalam mendukung organisasi mencapai tujuannya. Penulis juga akan mndapatkan gambaran mengenai proses pengelolaan layanan TI yang merupakan perwujudan dari peran dan posisi Teknologi Informasi tersebut.
3.1.2. Studi Pustaka Selanjutnya, penulis melakukan pengumpulan bahan pustaka yang menunjang tema penelitian. Sumber pustaka utama adalah buku teks COBIT Framework yang dikeluarkan oleh ISACA melaului ITGI. Beberapa paket pelengkap framework tersebut juga digunakan oleh penulis, termasuk artikelartikel dan publikasi yang ada di website ISACA. Selain itu, penulis juga menggunakan referensi pustaka yang berasal dari sumber lain yang terkait dengan tema IT governance sebagai pelengkap. Penelaahan terhadap sumber-sumber pustaka di atas membantu penulis mendapatkan kerangka berpikir yang logis dan sistematis dalam memahami konsep-konsep, standar dan pengetahuan lain yang terkait dengan IT Governance. Selain itu juga menjadi panduan penulis dalam mengidentifikasi permasalahan dan merumuskan
langkah-langkah untuk menyelesaikan permasalahan terkait
pengelolaan TI yang menjadi tema penelitian. 39
3.2. Penentuan Proses TI Pada Sub Bab 2.6 dijelaskan mengenai Pemetaan Ketersediaan Layanan ke dalam Proses COBIT. Pada bagian tersebut dijabarkan bahwatujuan TI yang terkait dengan ketersediaan layanan adalah Memastikan bahwa Layanan-layanan TI Tersedia Sesuai dengan Kebutuhan. Tujuan tersebut dipetakan ke dalam 4 proses, yaitu DS3, DS4, DS8 dan DS13. Pada Sub Bab 2.6 juga dijelaskan hubungan antara keempat proses tersebut yang dapat digambarkan dengan diagram sebagai berikut:
HUBUNGAN PROSES TI UNTUK KETERSEDIAAN LAYANAN
DS8 DS4 DS13 DS3
Gambar 3.2: Hubungan Empat Proses TI terkait Ketersediaan Layanan Dari gambar tersebut dapat disimpulkan bahwa pengelolaan proses DS8 dan DS13 membutuhkan output dari proses DS4, artinya pengelolaan proses DS4 harus dilakukan lebih dahulu dibandingkan proses DS8 dan DS13. Sedangkan untuk proses DS3 dapat dilaksanakan tanpa tergantung dari ketiga proses yang lain. Sedangkan menurut pemetaan dari ITIL ke dalam COBIT, bahwa ketersediaan layanan dipetakan terhadap control objectives yang terdapat pada proses DS3 dan DS4.
40
Dengan mempertimbangkan hal-hal di atas, dalam penelitian ini, proses TI COBIT yang akan digunakan adalah DS3 Manage Performance and Capacity dan DS4 Ensure Continuous Service. Hasil dari proses DS3 dan S4 tersebut diharapkan nantinya dapat menjadi masukan untuk pengelolaan kedua proses yang lain. Dalam penelitian ini keseluruhan Control Objective proses DS3 dan DS4 akan digunakan agar hasil rekomendasi yang akan dihasilkan dapat lebih menyeluruh dan mendalam.
3.3. Pencarian Data 3.3.1. Wawancara Wawancara adalah metode pengambilan data dengan cara menanyakan sesuatu kepada seseorang responden, caranya adalah dengan percakapan secara tatap muka. Metode wawancara yang digunakan oleh penulis adalah metode wawancara tidak terstruktur (unstructured interview). Pada metode ini, penulis mempersiapkan pertanyaan pokok. Ketika wawancara berlangsung, narasumber akan memberi jawaban pertama dan dengan jawaban pertama itu peneliti akan memperjelas jawaban itu dengan mengajukan pertanyaan yang sifatnya lebih mendalam, begitu seterusnya secara beruntun. Tujuan dari wawancara adalah untuk memperoleh pengetahuan mengenai organisasi yang sedang diteliti. Pengetahuan tersebut juga mencakup peran, fungsi dan proses pengelolaan Teknologi Informasi di dalam organisasi. Proses wawancara juga dilakukan untuk memastikan jawaban yang diberikan oleh narasumber pada kuisioner.
3.3.2. Kuisioner Metode angket atau kuisioner adalah metode pencarian data dengan mengajukan sejumlah pertanyaan kepada responden dengan atau tanpa bertatap muka secara langsung. Metode kuisioner ini dipergunakan untuk mendapatkan poling suara atau mendapatkan penjelasan dari responden.
41
Pada tahap ini, penulis menyiapkan sejumlah daftar pertanyaan yang akan dibagikan kepada responden, selanjutnya peneliti akan menumpulkan dan merekap jawaban dari pertanyaan tersebut untuk dijadikan data. Kuisioner ini pada dasarnya adalah tool self assessment yang berguna untuk mengetahui tingkat kematangan proses TI terkait dengan ketersediaan layanan, baik tingkat kematangan saat ini (as-is) maupun tingkat kematangan yang diharapkan (to-be). Tingkat kematangan akan dibagi ke dalam 6 atribut yaitu Kepedulian dan Komunikasi; Kebijakan, Rencana dan Prosedur; Perangkat dan Otomasi; Keahlian dan Kepakaran; Tanggung Jawab dan Akuntabilitas; dan Menetapkan Tujuan dan Pengukuran. Setiap atribut proses akan mendapatkan nilai kematangan antara 0 sampai dengan 5 sesuai dengan maturity model pada COBIT.
Pada saat penyampaian kuisioner, penulis memberikan penjelasan kepada responden mengenai tujuan dan metode penelitian ini agar responden memiliki gambaran bagaimana melakukan pengisian kuisioner secara tepat. Penulis juga memberikan penjelasan bahwa nilai kematangan yang diharapkan (to be) tidak selalu harus berapa pada posisi 5 (Optimised), karena hal ini sangat tergantung terhadap kondisi organisasi, seberapa penting proses yang dinilai terhadap tujuan organisasi dan kemampuan finansial oleh organisasi untuk mencapai nilai kematangan yang diharapkan tersebut. Tabel RACI (RACI chart) mendefinisikan pihak-pihak yang terkait dengan terselenggaranya proses TI. Responden yang akan dimintai pendapat melalui kuisioner adalah yang termasuk dalam klasifikasi Responsible, Accountable dan
42
Consulted. Sedangkan pihak yang masuk klasifikasi Informed akan diberikan informasi dan laporan. Berdasarkan tabel RACI pada DS3 dan DS 4, responden yang akan dimintai pendapatnya melalui kuisioner adalah sebagai berikut: Tabel 3.1 : Daftar Responden Sesuai Tabel RACI RACI Roles CIO (Chief Information Officer) BPO (Business Process Owner)
HO (Head Operation) CA (Chief Architect)
HD (Head Development)
HITA (Head IT Administration) PMO (Project Management Officer) CAS (Compliance, Audit, Risk and Security)
Organisation Roles Kepala Biro Teknologi Informasi Sekretariat Jendral, Inspektorat Utama, Ditama Revbang, Ditama Binbangkum, AKN I s.d AKN VII Kabag Operasional dan Dukungan TI, Kasubbag Operasional TI Kabag Pengembangan Aplikasi Komputer, Kasubbag Perancangan Aplikasi Komputer Kabag Pengembangan Aplikasi Komputer, Kasubbag Pemrograman Aplikasi Komputer Kasubbag Dukungan TI
DS3
DS4
√
√ √
√
√ √
√
√
√ √
√
√
Inspektorat Utama, Auditor TI
Setelah hasil kuisioner, maka penulis akan memiliki data
√
mengenai kondisi
proses TI yang ada di Badan Pemeriksa Keuangan. Proses TI tersebut meliputi proses TI saat ini (as is) dan proses TI yang diharapkan (to be).
3.4. Analisa Kondisi Setelah kuisioner diberikan dan diisi oleh pihak-pihak terkait, selanjutnya penulis melakukan rekapitulasi terhadap data tersebut. Terdapat dua data yang didapatkan, yaitu:
43
1. Kondisi Proses TI Saat Ini 2. Kondisi Proses TI yang Diharapkan Data ini didapat dengan menghitung rerata dari nilai yang sudah diberikan oleh para responden. Dari data ini, penulis akan memiliki pemahaman mengenai tingkat kematangan proses TI yang terkait dengan ketersediaan layanan saat ini dan yang diharapkan.
3.4.1. Reliabilitas dan Validitas Data Setelah data mentah didapatkan, langkah pertama yang dilakukan adalah melakukan uji reliabilitas data. Reliabilitas adalah suatu nilai yang menunjukkan konsistensi suatu alat pengukur di dalam mengukur gejala yang sama. Reliabilitas data dalam penelitian diuji dengan menggunakan metode Cronbach’s Alpha yang menghasilkan angka alpha antara 0 sampai 1. Ukuran reliabilitas alpha dikelompokkan sebagai berikut: 1. Nilai Alpha Cronbach 0,00 s.d. 0,20, berarti kurang reliabel 2. Nilai Alpha Cronbach 0,21 s.d. 0,40, berarti agak reliabel 3. Nilai Alpha Cronbach 0,42 s.d. 0,60, berarti cukup reliabel 4. Nilai Alpha Cronbach 0,61 s.d. 0,80, berarti reliabel 5. Nilai Alpha Cronbach 0,81 s.d. 1,00, berarti sangat reliabel Dengan demikian, data yang dianalisis harus memiliki nilai alpha > 0,6 agar data tersebut dapat dianggap reliabel. Reliabilitas data kuisioner dapat ditingkatkan dengan cara memperbanyak butir pertanyaan dan memperbesar ukuran sampel. Sedangkan uji validitas dilakukan untuk untuk mengetahui apakah alat pengumpul data yang digunakan benar-benar mencerminkan indikator variabel yang diteliti. Uji validitas dilakukan dengan menggunakan metode Korelasi Pearson atau metode Product Moment, yaitu dengan mengkorelasikan skor butir pada kuisioner dengan skor totalnya. Uji reliabilitas dan uji validitas terhadap data kuisioner akan dilakukan dengan alat bantu program aplikasi SPSS atau Minitab. Langkah selanjutnya adalah melakukan pembatasan data berdasarkan batasan 1,5 IQR (Inter-Quartile Range). Pada setiap pertanyaan, jawaban dari 44
semua responden diurutkan kemudian dicari nilai Quartile 1 (Q1) dan Quartile 3 (Q3). Selanjutnya didapatkan nilai IQR yang berupa selisih antara Q3-Q1. Batas bawah observasi adalah 1,5 IQR lebih rendah dari Q1, sedangkan batas atas observasi adalah 1,5 IQR lebih tinggi dari Q3. Jawaban-jawaban yang berada di luar batas observasi tidak akan diikutkan dalam penghitungan (ITGI, 2008a).
3.4.2. Pembobotan Data Langkah selanjutnya adalah melakukan penghitungan tingkat kematangan. Sesuai dengan panduan panduan COBIT, jawaban dari setiap pertanyaan dicari nilai reratanya, selanjutnya dilakukan pembobotan terhadap hasil rerata tersebut. Pembobotan dilakukan sebagai berikut: Tabel 3.2: Pembobotan Tingkat Kematangan Range
Nilai
Tingkat Kematangan
Kematangan 0 – 0,99
0
Non Existent
1,00 – 1,99
1
Initial/Ad Hoc
2,00 – 2,99
2
Repeatable but Intuitive
3,00 – 3,99
3
Defined
4,00 – 4,99
4
Manage and Measurable
5
5
Optimised
3.5. Analisa Gap Tahap selanjutnya adalah tahap analisa kesenjangan (gap). Pada tahap ini, penulis melakukan pembandingan antara nilai tingkat kematangan (maturity level) saat ini (as is) dengan yang diharapkan (to be). Jika tingkat kematangan saat ini sudah sama dengan tingkat kematangan yang diharapkan, maka proses TI tersebut sudah baik. Namun jika masih terdapat kesenjangan antara proses TI saat ini dengan yang diharapkan, maka proses tersebut perlu ditingkatkan.
45
Hasil analisa ini adalah untuk mengetahui pada bagian mana proses TI yang sudah baik dan bagian mana proses TI yang perlu mendapatkan perhatian untuk peningkatan agar sesuai dengan yang diharapkan.
3.6. Analisa Model Tata Kelola TI Terkait Ketersediaan Layanan Pada tahap ini, penulis menyusun model Tata Kelola Ketersediaan Layanan berdasarkan hasil analisa kesenjangan di atas. Model ini berupa hal-hal apa saja yang direkomendasikan untuk dilakukan beserta control objective-nya agar proses TI bisa sesuai harapan. Model Kelola Ini akan memuat Outcome Measures dan Performance Indicators untuk setiap aktifitas proses.
3.7. Penyusunan Laporan Penyusunan laporan dilakuan setelah semua proses dilakukan dan dibuat dengan format yang mengacu kepada Pedoman Penyusunan Tesis Institut Teknologi Sepuluh Nopember.
46
BAB 4 PELAKSANAAN DAN HASIL PENELITIAN
4.1. Wawancara Wawancara dilakukan bersamaan dengan pelaksanaan kuisioner. Dalam proses wawancara ini, penulis mendapatkan informasi mengenai organisasi BPKRI khususnya mengenai peran, fungsi dan proses pengelolaan Teknologi Informasi di BPK-RI. Dari proses wawancara, penulis juga dapat mengkonfirmasi jawaban yang diberikan oleh responden pada kuisioner. Dengan demikian, responden yang diwawancarai sama dengan responden yang dipilih untuk mengisi kuisioner.
4.2. Kuisioner Pengembangan objek pertanyaan dan pilihan jawaban kuisioner, yang bertujuan untuk mengetahui tingkat kematangan, dilakukan dengan melakukan tahapan-tahapan sebagai berikut: 1. Mendeskripsikan pernyataan tingkat kematangan proses DS3 dan DS4, seperti tercantum pada Tabel 4.1 dan 4.2. 2. Dari pernyataan kematangan tesebut selanjutnya dilakukan pengembangan
sehingga
didapatkan
definisi
pernyataan
kematangan yang merepresentasikan semua atribut pada semua tingkat kematangan. 3. Pernyataan kematangan yang sudah meliputi seluruh atribut tersebut
selanjutnya
disusun
ke
dalam
Matriks
Atribut
Kematangan. 4. Mentranslasikan Matriks Atribut Kematangan ke dalam bentuk pertanyaan
dan
pilihan
jawaban
pada
kuisioner
memformulasikan ke dalam bahasa yang mudah dipahami.
47
dengan
Tabel 4.1: Deskripsi Pernyataan Tingkat Kematangan Proses DS3 No 1
Tingkat Kematangan 0 Non-existent
Pernyataan tingkat Kematangan •
Manajemen tidak menyadari bahwa kebutuhan bisnis terhadap kinerja TI mungkin dapat melampaui kapasitas yang tersedia.
2
1 Initial/Ad Hoc
•
Tidak ada proses perencanaan kapasitas.
•
Pengguna memecahkan kendala kapasitasnya sendiri.
•
Ada sangat sedikit perhatian terhadap kebutuhan perencanaan kinerja dan kapasitas oleh pemilik proses bisnis.
•
Tindakan yang diambil untuk mengelola kinerja dan kapasitas umumnya bersifat reaktif.
•
Proses perencanaan kinerja dan kapasitas bersifat informal.
•
Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas.
3
2 Repeatable but Intuitive
•
Manajemen
menyadari
akibat
tidak
adanya
pengelolaan kinerja dan kapasitas. •
Kebutuhan kinerja umumnya didasarkan kepada sistem individual dan pengetahuan tim proyek dan support.
•
Beberapa
perangkat
telah
digunakan
untuk
mendiagnosa masalah kinerja dan kapasitas, namun masih sangat bergantung kepada keahlian individual. •
Tidak ada pengukuran keseluruhan kapabilitas kinerja pada kondisi puncak dan worst-case.
•
Beberapa pengukuran kinerja didasarkan kepada kebutuhan TI dan bukan kebutuhan pengguna.
4
3 Defined
•
Kebutuhan kinerja dan kapasitas didefiniskan melalui daur hidup sistem.
•
Adanya pendefinisian kebutuhan tingkat layanan dan metriknya yang dapat digunakan untuk melakukan pengukuran kinerja operasional.
•
Kebutuhan kinerja dan kapasitas yang akan datang dimodelkan mengikuti proses yang terdefinisi.
•
Adanya pelaporan yang menunjukkan statisktik kinerja.
48
No
Tingkat Kematangan
Pernyataan tingkat Kematangan •
Masalah terkait kinerja dan kapasitas masih muncul dan proses perbaikannya masih menghabiskan banyak waktu.
5
4 Managed and Measurable
•
Tersedianya perangkat dan proses untuk mengukur penggunaan sistem, kinerja dan kapasitas; dan hasilnya dibandingkan dengan goal yang telah didefinisikan.
•
Adanya informasi yang up-to-date mengenai statistik kinerja dan alert atas insiden akibat kurangnya kinerja dan kapasitas.
•
Permasalahan kinerja dan kapasitas diselesaikan dengan mengacu kepada prosedur standar yang sudah didefinisikan.
•
Pelaporan mengenai kinerja dan kapasitas dipahami oleh pengguna.
•
Metrik untuk melakukan pengukuran kinerja dan kapasitas
telah
disetujui
bersama,
namun
pelaksanaanya masih sporadis dan tidak konsisten. 6
5 Optimised
•
Perencanaan kinerja dan kapasitas sepenuhnya selaras dengan perkiraan kebutuhan bisnis.
•
Infrastruktur TI dan kebutuhan bisnis secara berkala di-review untuk memastikan kapasitas optimal dicapai dengan biaya seminim mungkin.
•
Perangkat untuk memantau sumber daya TI yang kritis telah sesuai standar dan dikaitkan dengan sistem pengelolaan insiden perusahaan.
•
Perangkat monitoring dapat mendeteksi dan secara otomatis memperbaiki permasalahan terkait kinerja dan kapasitas.
•
Adanya analisa trend dan informasi mengenai peningkatan volume bisnis sehingga dapat menjadi bahan perencanaan untuk menghindari permasalahan terkait.
•
Metrik untuk melakukan pengukuran kinerja dan kapasitas sudah dijabarkan kedalam outcome measure dan performance indicator untuk proses-proses bisnis
49
No
Tingkat Kematangan
Pernyataan tingkat Kematangan yang kritis. •
Manajemen
melakukan
penyesuaian
terhadap
perencanaan kinerja dan kapasitas sebagai tindak lanjut dari hasil pengukuran.
Tabel 4.2: Deskripsi Pernyataan Tingkat Kematangan Proses DS4 No 1
Tingkat Kematangan 0 Non-existent
Pernyataan tingkat Kematangan •
Tidak ada pemahaman terhadap resiko, kerentanan dan ancaman terhadap operasi TI atau dampak atas hilangnya layanan TI terhadap bisnis.
•
Keberlanjutan layanan tidak dianggap perlu untuk mendapatkan perhatian dari manajemen.
2
1 Initial/Ad Hoc
•
Tanggungjawab atas layanan yang berkelanjutan bersifat informal, dan kewenangan untuk menjalankan tanggung jawab tersebut bersifat terbatas.
•
Manajemen mulai menyadari kebutuhan dan resikoresiko
yang
terkait
dengan
layanan
yang
layanan
yang
berkelanjutan. •
Fokus
manajemen
terhadap
berkelanjutan adalah adalah kepada sumberdaya infrastruktur, dan bukan kepada layanan TI. •
Pengguna memecahkan sendiri masalah yang terkait dengan gangguan layanan.
•
Respon terhadap gangguan mayor bersifat reaktif dan tidak disiapkan sebelumnya.
•
Rencana
untuk
didasarkan
mengatasi
pada
kekurangan
kebutuhan
TI
layanan
dan
tidak
mempertimbangkan kebutuhan bisnis. 3
2 Repeatable but Intuitive
•
Tanggungjawab untuk memastikan layanan yang berkelanjutan sudah ditetapkan.
•
Pendekatan
untuk
memastikan
layanan
yang
berkelanjutan masih terpecah-pecah. •
Laporan
ketersediaan
sistem
bersifat
sporadis,
mungkin tidak lengkap dan tidak memperhitungkan dampak bisnis.
50
No
Tingkat Kematangan
Pernyataan tingkat Kematangan •
Meskpiun sudah ada komitment untuk layanan yang berkelanjutan, namun belum ada IT continuity plan yang terdokumentasi.
•
Inventarisasi terhadap sistem dan komponen yang kritis ada namun tidak dapat diandalkan.
•
Praktek-praktek layanan yang berkelanjutan sudah muncul, namun keberhasilannya sangat tergantung kepada individu.
4
3 Defined
•
Tanggungjawab untuk perencanaan dan pengetesan layanan yang berkelanjutan sudah terdefinisi dan ditetapkan.
•
IT
continuity
plan
sudah
terdokumentasi
dan
berdasarkan tingkat kekritisan sistem dan dampak bisnisnya. •
Ada pelaporan secara periodik dari testing layanan yang berkelanjutan.
•
Individu mengambil inisiatif untuk mengkuti standar dan mendapatkan training untuk mengatasi insiden mayor atau bencana.
•
Manajemen secara konsisten mengkomunikasikan perlunya perencanaan untuk memastikan layanan yang berkelanjutan.
•
High availibility component dan redundansi sistem sudah diterapkan.
•
Inventarisasi terhadap sistem dan komponen kritis dipelihara.
5
4 Managed and Measurable
•
Standar dan tanggungjawab atas layanan yang berkelanjutan telah ditegakkan.
•
Tanggungjawab untuk memelihara rencanan layanan yang berkelanjutan telah ditetapkan.
•
Aktifitas pemeliharaan didasarkan pada hasil testing layanan yang berkelanjutan, internal good practices, dan lingkungan bisnis dan TI yang mengalami perubahan.
•
Data
yang
terstruktur
mengenai
layanan
yang
berkelanjutan dikumpulkan, dianalisa dilaporkan dan
51
No
Tingkat Kematangan
Pernyataan tingkat Kematangan ditindaklanjuti. •
Training formal dan wajib tersedia untuk proses layanan yang berkelanjutan.
•
Praktek-praktek yang baik untuk ketersediaan sistem diterapkan secara konsisten.
•
Praktek-praktek ketersedian dan perencanaan layanan yang berkelanjutan saling mempengaruhi.
•
Insiden terputusnya layanan diklasifikasikan jalur eskalasi ke atas diketahui oleh semua pihak yang terlibat.
•
Tujuan dan metrik untuk layanan yang berkelanjutan telah dikembangkan dan disetujui namun mungkin diukur secara tidak konsisten.
6
5 Optimised
•
Proses layanan yang berkelanjutan terintegrasi dan memperhitungkan bencmarking dan praktek-praktek layanan terbaik dari eksternal.
•
IT continuity plan terintegrasi dengan business continuity plan dan dipelihara secara rutin.
•
Kebutuhan
untuk
memastikan
layanan
yang
berkelanjutan aman dan terbebas dari vendor dan supplier. •
Adanya
testing
yang
menyeluruh
terhadap
IT
continuitiy plan dan menjadi masukan untuk mengupdate perencanaan. •
Pengumpulan dan analisa data digunakan untuk perbaikan proses yang terus menerus.
•
Praktek ketersediaan dan perencanaan layanan yang berkelanjutan sesuai sepenuhnya.
•
Manajemen memastikan bahwa bencana atau insiden mayor akibat adanya single point of failure tidak akan terjadi.
•
Praktek eskalasi telah dipahami dan ditegakkan secara menyeluruh.
•
Tujuan dan metrik untuk pencapaian layanan yang bekelanjutan telah diukur secara sistematis.
•
Manajemen
52
melakukan
penyesuaian
terhadap
No
Tingkat Kematangan
Pernyataan tingkat Kematangan perencanaan layanan yang berkelanjutan sebagai tindak lanjut dari hasil pengukuran.
Setelah semua langkah di atas dilakukan, maka akan didapatkan Matrik Atribut Kematangan yang dapat dilihat pada Lampiran 1. Dengan mengacu kepada Matriks Atribut Kematangan itulah kuisioner dikembangkan. Kuisioner dibuat dalam bentuk pilihan ganda, yang terdiri dari 12 pertanyaan untuk proses pada DS3 dan 12 pertanyaan untuk proses pada DS4. Pertanyaan-pertanyaan untuk setiap proses dikelompokkan menurut atribut kematangan (6 kelompok), dan setiap atribut memiliki 2 pertanyaan yang merepresentasikan kondisi saat ini dan kondisi yang akan datang. Setiap pertanyaan memilihi 6 pilihan yang merupakan representasi tingkat kematangan dari setiap atribut. Sebagai contoh, pada deskripsi tingkat kematangan 0 proses DS3 terdapat suatu kalimat pernyataan:
“Manajemen tidak menyadari bahwa kebutuhan bisnis terhadap kinerja TI mungkin dapat melampaui kapasitas yang tersedia” Kalimat pernyataan tersebut kita kelompokkan ke dalam atribut yang sesuai, yaitu Awareness and Communication. Selanjutnya pada deskripsi tingkat kematangan 1 pada proses DS3 terdapat suatu kalimat pernyataan:
“Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas” Seperti sebelumnya, kalimat tersebut juga kita kelompokkan ke dalam atribut Awareness and Communication. Demikian seterusnya untuk tingkat kematangan
sampai
dengan
5.
Sehingga
dari
atribut
Awareness
and
Communication pada proses DS3 kita mendapatkan Matrik Atribut Kematangan, yang kemudian kita susun dalam bentuk kuisioner sebagai berikut:
53
a.
Non-existent: Manajemen belum menyadari perlunya pengelolaan kinerja dan kapasitas.
b. Initial/Ad Hoc: Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas c. Repeatable but Intuitive: Manajemen TI dan manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola. d. Defined: Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan
secara
keseluruhan.
Manajemen
sudah
mulai
mengkomunikasikan hal tersebut secara semi formal. e. Managed and Measurable: Semua pihak dalam organisasi telah memahami adanya kebutuhan bagi pengelolaan kinerja dan kapasitas dan tindakan-tindakan yang diperlukan. Informasi mengenai hal tesebut sudah dibakukan dalam bentuk surat resmi, sepeti Surat Keputusan. f. Optimised: Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional. Hal yang sama kita lakukan untuk atribut-atribut yang lain pada proses DS3 dan DS4. Untuk setiap kelompok atribut, responden dimintai pendapatnya mengenai representasi kondisi saat ini (as is) dan kondisi yang diharapkan (to be). Kuisioner selengkapnya dapat dilihat pada Lampiran 2. Kuisioner ini adalah tool self assessment yang dianggap mewakili kondisi kematangan proses TI baik kondisi saat ini (as-is) maupun kondisi yang diharapkan (to-be) untuk semua atribut pada proses TI yang terkait dengan ketersediaan layanan. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan, maka selanjutnya akan dilakukan analisa yang akan menjadi dasar dalam penyusunan Tata Kelola untuk meningkatkan ketersediaan layanan sesuai yang diharapkan.
54
4.2.1. Pelaksanaan Survey Kuisioner Pada proses pelaksanaan pengumpulan data melalui kuisioner, penulis memberikan penjelasan kepada responden mengenai tujuan dan metode penelitian ini agar responden memiliki gambaran bagaimana melakukan pengisian kuisioner secara tepat. Penulis menjelaskan bahwa nilai kematangan yang diharapkan (to be) tidak selalu harus berapa pada posisi 5 (Optimised), karena hal ini sangat tergantung terhadap kondisi organisasi, seberapa penting proses yang dinilai terhadap tujuan organisasi dan kemampuan finansial organisasi untuk mencapai nilai kematangan yang diharapkan tersebut Distribusi kuisioner dilakukan dengan mengacu kepada tabel RACI (Responsible, Accountable, Consulted dan Informed) sesuai panduan COBIT. Peran-peran yang sudah didefiniskan oleh COBIT, selanjutnya dipetakan ke peran-peran dalam organisasi. Dengan pendekatan responden yang mengacu kepada tabel RACI tersebut, diharapkan dapat mencerminkan keadaan sesungguhnya di lapangan. Adapun responden yang terpilih dalam pengisian kuisioner ini adalah sebagai berikut: Tabel 4.3: Distribusi Responden Kuisioner DS3 RACI Roles CIO (Chief Information Officer) HO (Head Operation) HD (Head Development)
Organisation Roles Kepala Biro Teknologi Informasi Kabag Operasional dan Dukungan TI, Kasubbag Operasional TI Kabag Pengembangan Aplikasi Komputer, Kasubbag Pemrograman Aplikasi Komputer Kasubbag Dukungan TI Inspektorat Utama, Auditor TI
HITA (Head IT Administration) CAS (Compliance, Audit, Risk and Security) Jumlah
Jumlah 1 4 5
4 2 16
Tabel 4.4: Distribusi Responden Kuisioner DS4 RACI Roles CIO (Chief Information Officer)
Organisation Roles Kepala Biro Teknologi Informasi
55
Jumlah 1
BPO (Business Process Owner)
Sekretariat Jendral, Inspektorat Utama, Ditama Revbang, Ditama Binbangkum, AKN I s.d AKN VII
4
HO (Head Operation)
Kabag Operasional dan Dukungan TI, Kasubbag Operasional TI Kabag Pengembangan Aplikasi Komputer, Kasubbag Perancangan Aplikasi Komputer Kabag Pengembangan Aplikasi Komputer, Kasubbag Pemrograman Aplikasi Komputer Kasubbag Dukungan TI -
4
CA (Chief Architect) HD (Head Development)
HITA (Head IT Administration) PMO (Project Management Officer) CAS (Compliance, Audit, Risk and Inspektorat Utama, Auditor TI Security) Jumlah
3 5
4 2 23
Setelah jawaban dari pada responden dikumpulkan, selanjutnya dilakukan rekapitulasi terhadap jawaban tersebut. Tabel 4.5 dan Table 4.6 menjelaskan distribusi jawaban dari para responden: Tabel 4.5: Distribusi Jawaban Responden pada Proses DS3 Distribusi Jawaban No
Atribut
1
AC
2
PSP
3
TA
4
SE
5
RA
6
GSM
Status
a
b
c
d
e
f
0
1
2
3
4
5
as is
0,00%
0,00%
56,25%
37,50%
6,25%
0,00%
to be
0,00%
0,00%
0,00%
18,75%
50,00%
31,25%
as is
0,00%
31,25%
31,25%
12,50%
25,00%
0,00%
to be
0,00%
0,00%
0,00%
12,50%
43,75%
43,75%
as is
0,00%
0,00%
50,00%
43,75%
6,25%
0,00%
to be
0,00%
0,00%
0,00%
12,50%
25,00%
62,50%
as is
0,00%
6,25%
37,50%
31,25%
25,00%
0,00%
to be
0,00%
0,00%
0,00%
0,00%
12,50%
87,50%
as is
0,00%
6,25%
18,75%
50,00%
25,00%
0,00%
to be
0,00%
0,00%
0,00%
6,25%
37,50%
56,25%
as is
0,00%
18,75%
31,25%
50,00%
0,00%
0,00%
to be
0,00%
0,00%
0,00%
6,25%
25,00%
68,75%
56
Tabel 4.6: Distribusi Jawaban Responden pada Proses DS4 Distribusi Jawaban No
Atribut
Status
a
b
0 1
AC
2
PSP
3
TA
4
SE
5
RA
6
GSM
c
1
d
2
e
3
f
4
5
as is
4,35%
26,09%
39,13%
17,39%
13,04%
0,00%
to be
0,00%
0,00%
0,00%
21,74%
43,48%
34,78%
as is
0,00%
4,35%
52,17%
30,43%
8,70%
4,35%
to be
0,00%
0,00%
0,00%
17,39%
43,48%
39,13%
as is
0,00%
13,04%
39,13%
43,48%
4,35%
0,00%
to be
0,00%
0,00%
0,00%
0,00%
34,78%
65,22%
as is
0,00%
13,04%
52,17%
30,43%
0,00%
4,35%
to be
0,00%
0,00%
0,00%
8,70%
39,13%
52,17%
as is
0,00%
21,74%
30,43%
47,83%
0,00%
0,00%
to be
0,00%
0,00%
0,00%
0,00%
47,83%
52,17%
as is
0,00%
30,43%
43,48%
17,39%
4,35%
4,35%
to be
0,00%
0,00%
0,00%
17,39%
21,74%
60,87%
Distribusi tersebut disarikan dari rekapitulasi jawaban dari para responden yang selengkapnya dapat dapat dilihat pada Lampiran 3.
4.2.2. Reliabilitas dan Validitas Data Dalam COBIT terdapat panduan untuk melakukan pembatasan data berdasarkan batasan 1,5 IQR (Inter-Quartile Range). Pembatasan ini disebut juga sebagai Whiskers. Pada setiap pertanyaan, jawaban dari semua responden diurutkan kemudian dicari nilai Quartile 1 (Q1) dan Quartile 3 (Q3). Selanjutnya didapatkan nilai IQR yang berupa selisih antara Q3-Q1. Batas bawah observasi (Lowest Observation/LO) adalah 1,5 IQR lebih rendah dari Q1, sedangkan batas atas observasi (Highest Observation/HO) adalah 1,5 IQR lebih tinggi dari Q3. Jawaban-jawaban yang berada di luar batas observasi tidak akan diikutkan dalam penghitungan. Tabel 4.7: Batas 1,5 IQR DS3 No 1 2
Atribut
Status
AC
As is
2
To be As is
PSP
Q1
Q3
IQR
Min
Max
3
1
2
4
0,5
4,5
4
5
1
3
5
2,5
6,5
1
3,75
2,75
1
4
-3,125
7,875
57
LO
HO
No 3 4 5 6
Atribut TA SE RA GSM
IQR
Min
Max
To be
Status
Q1 4
Q3 5
1
3
5
LO 2,5
HO 6,5
As is
2
3
1
2
4
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
2
3,75
1,75
1
4
-0,625
6,375
To be
5
5
0
4
5
5
5
As is
2,25
3,75
1,5
1
4
0
6
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
3
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
Q1
Q3
IQR
Min
Max
LO
HO
Tabel 4.8: Batas 1,5 IQR DS4 No 1 2 3 4 5 6
Atribut
Status
AC
As is
1
3
2
0
4
-2
6
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
5
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
4
0,5
4,5
To be
4
5
1
4
5
2,5
6,5
PSP TA SE RA GSM
As is
2
3
1
1
5
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
3
0,5
4,5
To be
4
5
1
4
5
2,5
6,5
As is
1
3
2
1
5
-2
6
To be
4
5
1
3
5
2,5
6,5
Keterangan: sel yang berlatar belakang abu-abu adalah atribut yang memiliki data diluar batas LO dan/atau HO Untuk memberikan gambaran yang lebih jelas, tabel batas 1,5 IQR tersebut dapat kita gambarkan dalam diagram boxplot sebagai berikut:
58
Boxplot of DS3 Variable AC PSP TA SE RA GSM
5
Data
4
3
2
1 Atribut
As is To be AC
As isTo be PSP
As isTo be TA
As is To be SE
As is To be RA
As isTo be GSM
Gambar 4.1: Diagram Boxplot Pembatasan 1,5 IQR pada Proses DS3
Boxplot of DS4 Variable AC PSP TA SE RA GSM
5
4
Data
3
2
1
0 Atribut
As is To be AC
As isTo be PSP
As isTo be TA
As is To be SE
As is To be RA
As isTo be GSM
Gambar 4.2: Diagram Boxplot pembatasan 1,5 IQR pada Proses DS4 Pada gambar diagram boxplot tersebut, simbol kotak merepresentasikan Inter Quartile Range (IQR), yaitu batasan Quartile 1 dan Quartile 3. Sedangkan simbol garis menunjukkan batasan 1,5 IQR lebih rendah dari Q1 dan 1,5 IQR lebih tinggi dari Q3. Dari diagram boxplot di atas, terlihat bahwa untuk atribut SE proses DS3 pada kondisi yang diharapkan (to be) terdapat dua data yang berada di luar LO-
59
HO atau disebut sebagai outliers. Sedangkan pada proses DS4 terdapat masingmasing satu data pada atribut PSP saat ini (as is) dan atribut SE saat ini (as is) yang menjadi outliers. Data-data yang berada pada outliers ini selanjutnya tidak akan disertakan dalam penghitungan berikutnya. Selanjutnya untuk memberikan keyakinan bahwa data yang dikumpulkan dapat mencerminkan kondisi yang sesungguhnya, maka harus dilakukan uji reliabilitas dan validitas terhadap data yang diperoleh. Uji Reliabilitas memberikan keyakinan bahwa kuisioner yang digunakan menunjukkan konsistensi dalam mengukur gejala yang sama. Uji reliabilitas dilakukan dengan metode Cronbach’s Alpha. Data yang dianalisa harus memiliki nilai alpha > 0,6 agar data tersebut dapat dianggap reliabel. Proses uji reliabilitas dimulai dengan menyusun rekapitulasi jawaban ke dalam tabel, dan memasukkan ke dalam worksheet program Minitab. Sebagai contoh untuk kondisi saat ini (as is) proses DS3 adalah sebagai berikut:
Selanjutnya masuk ke menu Stat > Multivariate > Item Analysis kita pilih kolom AC sampai dengan GSM.
60
Pada pilihan Result, kita pilih Cronbach’s Alpha.
Selanjutnya klik OK, dan akan muncul hasil sebagai berikut:
Langkah yang sama kita ulangi untuk semua kondisi pada DS3 dan DS4, sehingga kita mendapatkan nilai alpha untuk semua kondisi sebagai berikut: 61
Tabel 4.9: Hasil Penghitungan Nilai Cronbach’s Alpha No
Proses TI
1
DS3
2
DS4
Status
Alpha
Reliabilitas
As is
0,8107
Sangat Reliabel
To be
0,6467
Reliabel
As is
0,8489
Sangat Reliabel
To be
0,8815
Sangat Reliabel
Dengan demikian dapat disimpulkan bahwa data yang dianalisa dapat memberikan keyakinan atas konsistensi dalam mengukur gejala yang sama. Sedangkan uji validitas dilakukan untuk mendapatkan keyakinan bahwa alat pengumpul data yang digunakan benar-benar mencerminkan indikator variabel yang diteliti. Uji validitas dilakukan dengan menggunakan metode Korelasi Pearson atau metode Product Moment, yaitu dengan mengkorelasikan skor butir pada kuisioner dengan skor totalnya. Untuk semua jawaban pada setiap atribut dihitung nilai r (korelasi dengan skor total) dan dibandingkan dengan nilai r pada tabel Pearson Product-moment Correlation Coefficient untuk jumlah responden yang sesuai. Jika nila r-hitung lebih besar daripada r-tabel, maka item dikatakan valid. Taraf signifikansi yang digunakan adalah 5%. Langkah yang dilakukan hampir sama seperti langkah pada uji reliabilitas, namun kita tambahkan satu kolom yang berisi jumlah, karena kita akan membandingkan dengan skor total.
62
Dan pada jendela Item Analysis, kita pilih kolom AC sampai dengan kolom Jumlah.
Selanjutnya pada pilihan Result, kita pilih Correlation Matrix.
63
Sehingga kita mendapatkan hasil berupa matrik korelasi.
Karena kita ingin membandingkan skor butir pertanyaan setiap atribut dengan skor total, maka tabel yang kita baca adalah pada baris paling bawah. Langkah yang sama kita ulangi untuk semua kondisi pada DS3 dan DS4, sehingga kita mendapatkan nilai korelasi untuk semua kondisi sebagai berikut:
64
Tabel 4.10: Hasil Penghitungan Korelasi Pearson DS3 No
Atribut
1
AC
2
PSP
3
TA
4
SE
5
RA
6
GSM
Status
r-hitung
r-tabel (N=14 dan N=16)
Validitas
As is
0,626
0,497
Valid
To be
0,697
0,532
Valid
As is
0,815
0,497
Valid
To be
0,634
0,532
Valid
As is
0,647
0,497
Valid
To be
0,678
0,532
Valid
As is
0,686
0,497
Valid
To be
N/A
0,532
Valid
As is
0,809
0,497
Valid
To be
0,586
0,532
Valid
As is
0,752
0,497
Valid
To be
0,657
0,532
Valid
Keterangan: Untuk kondisi yang diharapka (to be) pada atribut SE tidak dihitung karena tidak ada variasi data. Sehingga dengan demikian data langsung dianggap valid. Tabel 4.9: Hasil Penghitungan Korelasi Pearson DS4 No
Atribut
1
AC
2
PSP
3
TA
4
SE
5
RA
6
GSM
Status
r-hitung
dan N=23)
Validitas
As is
0,802
0,423
Valid
To be
0,848
0,413
Valid
As is
0,768
0,423
Valid
To be
0,877
0,413
Valid
As is
0,691
0,423
Valid
To be
0,739
0,413
Valid
As is
0,758
0,423
Valid
To be
0,802
0,413
Valid
As is
0,807
0,423
Valid
To be
0,598
0,413
Valid
As is
0,733
0,423
Valid
To be
0,875
0,413
Valid
65
r-tabel (N=22
Tabel yang berisi penghitungan uji reliabilitas, uji validitas dan pembatasan 1,5 IQR ini selengkapnya dapat dilihat pada Lampiran 4.
4.3. Penghitungan Tingkat Kematangan Setelah semua langkah di atas dilakukan, selanjutnya dilakukan penghitungan nilai kematangan, baik untuk kondisi saat ini maupun yang diharapkan. Nilai kematangan didapatkan dengan mencari nilai rerata jawaban pada masing-masing atribut, selanjutnya dilakukan pembobotan terhadap hasil rerata tersebut sesuai dengan Tabel 3.2. Nilai kematangan tersebut dapat dilihat pada Tabel 4.12 dan Tabel 4.13. Tabel 4.12: Nilai Kematangan DS3 No
Atribut
Nilai Kematangan
Tingkat Kematangan
As is
To be
As is
To Be
1 AC
2,50
4,21
2
4
2 PSP
2,31
4,43
2
4
3 TA
2,56
4,57
2
4
4 SE
2,75
5,00
2
5
5 RA
2,94
4,64
2
4
6 GSM
2,31
4,79
2
4
Rata-rata
2,56
4,61
2
4
Tabel 4.13: Nilai Kematangan DS4 No
Atribut
Nilai Kematangan As is
To be
As is
To Be
1 AC
2,00
4,13
2
4
2 PSP
2,45
4,22
2
4
3 TA
2,36
4,65
2
4
4 SE
2,18
4,43
2
4
5 RA
2,23
4,52
2
4
6 GSM
1,95 2,20
4,43
1
4
4,40
2
4
Rata-rata
66
Tingkat Kematangan
Tingkat kematangan saat ini dan yang diharapkan untuk proses DS3 dan DS4 di atas dapat direprestasikan dalam grafik sebagai berikut:
AC 5 4 GSM
3
PSP
2 1
as is
0
to be
RA
TA
SE
Gambar 4.3: Representasi Tingkat Kematangan pada Proses DS3
AC 5 4 GSM
3
PSP
2 1
as is
0
to be
RA
TA
SE
Gambar 4.4: Representasi Tingkat Kematangan pada Proses DS4
67
4.4. Analisa Kondisi Saat Ini Secara umum, kondisi kematangan saat ini pada semua atribut proses DS3 maupun DS4 berada pada level 2, yaitu Repeatable but Intuitive, kecuali untuk atribut GSM pada proses DS4 yang berada pada level 1, yaitu Initial/Ad Hoc. Model kematangan pada level 2 ini secara umum adalah: •
Beberapa pekerjaan yang sejenis dikerjakan dengan proses yang serupa oleh beberapa pelaksana tugas.
•
Tidak terdapat pelatihan formal dan pembuatan prosedur standar dan tanggung jawab diserahkan kepada individu masing-masing.
•
Terdapat tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga kemungkinan terjadi kesalahan/error sangat besar.
4.4.1. Analisa Kondisi Saat Ini pada Proses DS3 Sesuai hasil observasi, baik melalui metode wawancara, kuisioner maupun studi literatur, kondisi saat ini pada proses DS3 dapat disimpulkan sebagai berikut: 1. Kepala Biro TI dan jajarannya telah menyadari akibat tidak adanya pengelolaan kinerja dan kapasitas dapat berakibat buruk terhadap ketersediaan layanan TI. Sebagai langkah antisipasi, Karo TI telah mengkomunikasikan hal tersebut kepada seluruh Kasubbag di lingkup
Biro
TI
agar
memberi
perhatian
terhadap
hal
tersebut(AC). 2. Masalah-masalah terkait dengan kapasitas storage dan jaringan yang sering muncul pada Sub Bagian Operasi diselesaikan dengan secara individual oleh staf pelaksana. Beberapa personil pada Sub Bagian Operasi telah mencoba menyusun dokumentasi dan panduan teknis, namun penggunaannya sangat tergantung pada perorangan (PSP). 3. Sub Bagian Operasi memiliki peralatan monitoring untuk memantau kinerja dan kapasitas, antara lain MRTG, The Dude,
68
NTOP dan perangkat bawaan SAN. Namun penggunaannya bergantung pada inisiatif individual. Alat bantu tersebut tidak dapat
digunakan
secara
maksimal,
dan
cenderung
tidak
termanfaatkan (TA). 4. Kebutuhan akan keahlian personil pada Biro TI masih sebatas kepada hal-hal yang formil, yaitu pendidikan formal (Ijasah). Pelatihan dilakukan sebagai respon atas kebutuhan, bukan karena perencanaan
dari
awal.
Sebagai
contoh,
pelatihan
dasar
penggunaan Storage Area Network (SAN) bagi personil Subbag Operasi baru dilakukan secara informal, meskipun perangkat SAN telah cukup lama digunakan oleh organisasi (SE). 5. Tidak ada kejelasan peran dan tanggung jawab dalam pengelolaan kinerja dan kapasitas. Sub Bag Operasi sebagai pengelola infrastruktur belum menetapkan personil yang bertanggung jawab. Sub Bag Pemeliharaan dan Sub Bag Dukungan TI belum memiliki batas wewenang yang jelas dalam mengelola kinerja dan kapasitas workstation. Akibatnya sering muncul tumpang tindih pekerjaan antar Sub Bagian. Ketika muncul masalah, ada kecenderungan untuk saling menyalahkan. (RA). 6. Sub Bag Operasi belum pernah melakukan pengukuran kapabilitas kinerja pada kondisi puncak dan worst-case. Beberapa pengukuran kinerja yang pernah dilakukan hanya didasarkan kepada kebutuhan teknis, dan tidak secara rutin dilakukan (GSM).
4.4.2. Analisa Kondisi Saat Ini pada Proses DS4 Sedangkan untuk proses DS4, kondisi saat ini pada proses DS4 dapat disimpulkan sebagai berikut: 1. Manajemen Biro TI telah memiliki kesadaran dan komitmen bahwa kebutuhan layanan yang berkelanjutan harus ditindaklanjuti. Untuk mengkomunikasikan hal, diadakan forum yang membahas masalah-masalah terkait dengan upaya menjaga layanan yang
69
berkelanjutan yang melibatan Biro TI dan Staff Perwakilan yang ditunjuk untuk mengelola TI di Kantor Perwakilan/LO-TI (AC). 2. Biro TI belum memiliki IT continuity plan yang terdokumentasi. Telah ada beberapa kegiatan inventarisasi terhadap sistem dan komponen yang kritis namun tidak dapat diandalkan karena tidak lengkap dan tidak dilakukan secara rutin (PSP). 3. Sub Bagian Operasi memiliki peralatan monitoring untuk memantau status layanan antara lain MRTG, The Dude, NTOP dan perangkat bawaan SAN. Namun penggunaannya bergantung pada inisiatif individual. Alat bantu tersebut tidak dapat digunakan secara maksimal, dan cenderung tidak termanfaatkan (TA). 4. Keahlian yang diperlukan untuk menjaga layanan tetap ada tidak merata. Beberapa personil secara individual memiliki keahlian yang mencukupi, sementara sebagian yang lain memiliki keahlian yang minimal. Pemerataan keahlian antar Sub Bagian masih sangat rendah (SE). 5. Tidak ada pembagian tanggung jawab untuk menjaga layanan tetap berlangsung, terutama pembagian tanggung jawab antara Bagian Operasional dan Bagian Pengembangan Aplikasi. Jika terjadi permasalahan terkait dengan keberlanjutan layanan, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan (RA). 6. Belum ada penentuan dan pengukuran pencapaian yang jelas untuk layanan yang berkelanjutan. Rencana untuk mengatasi kekurangan layanan baru dilakukan pada saat terjadi gangguan terhadap layanan. Hal ini dapat disebabkan salah satunya karena personilpersonil yang ada pada Biro TI memiliki pengetahuan yang minim terkait dengan core bisnis organisasi yaitu audit (GSM).
4.5. Analisa Kondisi yang Diharapkan Dari hasil kuisioner dapat disimpulkan bahwa manajemen menginginkan hampir semua atribut pada tingkat kematangan 4, yaitu Managed and Measurable. 70
Dengan tambahan, untuk atribut Skill and Espertise pada proses DS3 diharapkan berada pada tingkat kematangan 5, yaitu Optimised. Model kematangan pada level 4 secara umum adalah: 1. Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. 2. Proses berada dibawah peningkatan yang konstan dan penyediaan praktek yang baik. 3. Otomatisasi dan perangkat digunakan untuk memantau sumber daya yang spesifik, antara lain kapasitas disk, jaringan, server dan gateway jaringan.
4.5.1. Analisa Kondisi yang Diharapkan pada Proses DS3 Kondisi yang diharapakan pada proses DS3 sebagian besar berada pada tingkat kematangan 4, yaitu: 1. Semua pihak dalam organisasi telah memahami kebutuhan pengelolaan kinerja dan kapasitas yang memadahi. Informasi mengenai hal tesebut sudah dibakukan dalam bentuk surat resmi, sepeti Surat Keputusan, Nota Dinas dan lain-lain. Pengguna di luar Biro TI dapat mengakses dan memantau hal-hal terkait hal ini, sebagai contoh terdapat grafik yang menunjukkan utilisasi banwidth internet yang dapat dilihat oleh pengguna (AC). 2. Kebijakan, perencanaan dan prosedur sudah dibuat dalam bentuk formal dan disyahkan oleh Sekretaris Jenderal. Dengan demikian berbagai hal terkati proses dan permasalahan kinerja dan kapasitas diselesaikan dengan mengacu kepada prosedur standar tersebut (PSP). 3. Perangkat yang digunakan untuk pengelolaan kinerja dan kapasitas sudah sesuai dengan standar. Adanya sistem informasi yang real time mengenai statistik kinerja yang dapat memberikan alert atas insiden akibat kurangnya kinerja dan kapasitas. Hal ini dapat berupa sebuah dashboard yang berisi statistik kinerja dan kapasitas 71
yang diperlukan, sehingga Kepala Biro TI dan manajemen yang lain dapat turut melakukan pemantauan (TA). 4. Tanggungjawab dan akuntabilitas pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan disosialisasikan dalam organisasi. Dengan demikian dapat memberikan dukungan terhadap Biro TI dalam menjalankan tugas dan fungsinya dengan baik. SOP ditingkatkan untuk dapat mencakup lebih banyak aspek dan memiliki keselarasan antar Sub Bag. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi pelaksanaan peran dan tanggungjawab. Hal ini dapat berupa penerapan Jabatan Fungsional
Pranata
Komputer
(JFPK)
yang
memunginkan
pemberian reward berupa angka kredit kepada personil yang telah melaksanakan suatu penugasan tertentu, sehingga pegawai yang bersangkutan dapat mendapatkan kekenaikan pangkat/golongan lebih cepat (RA). 5. Tersedianya perangkat dan proses untuk mengukur penggunaan sistem, kinerja dan kapasitas; dan hasilnya dibandingkan dengan tujuan bisnis dan Rencana Strategis TI. Metrik untuk melakukan pengukuran kinerja dan kapasitas telah disetujui bersama dan tertuang
dalam
KPI
Biro
Teknlogi
Informasi.
Perbaikan
berkelanjutan telah sudah mulai dilakukan berdasarkan hasil pengukuran di atas (GSM). Sedangkan untuk atribut Skill and Expertise diharapkan berada pada tingkat kematangan 5, yaitu: 1. Pusdiklat BPK-RI menyediakan sarana dan fasilitas bagi staf Biro TI untuk mengembangkan keahlian secara berkelanjutan sesuai kebutuhan. Pelatihan ini dikaitkan dengan angka kredit bagi pemangku JFPK. Pelatihan dan pembelajaran menerapkan external best practices serta telah menggunakan konsep dan teknik terkini. Knowledge sharing menjadi budaya perusahaan. Biro TI juga dapat
72
menggunakan ahli dari luar sebagai konsultan yang mampu memberikan panduan (SE).
4.5.2. Analisa Kondisi yang Diharapkan pada Proses DS4 Pada proses DS4, keseluruhan atribut diharapkan berada pada tingkat kematangan 4, yaitu: 1. Semua pihak dalam organisasi telah menyadari kebutuhan akan layanan yang berkelanjutan. Terdapat klasifikasi atas insiden gangguan terhadap layanan dan jalur eskalasi ke atas mulai dari Kasubbag, Kabag, Kepala Biro sampai dengan Sekretaris Jenderal diketahui oleh semua pihak yang terlibat. Secara rutin diadakan pertemuan untuk mengevaluasi dan mencari solusi bersama atas permasalahan yang timbul yang selain melibatkan Biro TI, juga pengguna dan LO-IT perwakilan (AC). 2. Terdapat aktifitas pemeliharaan terrencana dan standar sesuai mekanisme kerja di BPK-RI. Segala aktifitas terkait dengan usaha untuk menjaga layanan tetap berlangsung telah terdokumentasi secara formal (PSP). 3. Perangkat server, storage dan jaringan telah menerapkan redundansi dan menggunakan komponen standar yang tidak spesifik tergantung kepada vendor tertentu. Penggunaan perangkat untuk memonitor kondisi dan permasalahan gangguan layanan telah standar dan sudah terintegrasi dengan perangkat monitoring yang lain dalam sebuah monitoring dashboard (TA). 4. Pusdiklat menyelenggarakan training formal dan wajib untuk proses
layanan
yang
berkelanjutan
sebagai
bagian
dari
pengembangan karir. Pelaksanaan pelatihan dapat dikaitkan dengan angka kredit bagi pemangku Jabatan Fungsional Pranata Komputer. Ditumbuhkannya budaya knowledge sharing (SE). 5. Tugas pokok dan fungsi masing-masing sub bagian terdefinisi dengan jelas. Demikian pula tugas dan tanggung jawab dalam sebauh sub bagian. SOP ditingkatkan untuk dapat mencakup lebih 73
banyak aspek dan memiliki keselarasan antar Sub Bag. Sudah ada mekanisme reward untuk memberikan motivasi positif dalam bentuk angka kredit bagi pegawai yang telah melaksanakan suatu penugasan tertentu (RA). 6. Tujuan dan pengukuran dalam memastikan layanan yang berkelanjutan telah mencakup aspek efisiensi dan efektifitas. Halhal yang terkait dengan gangguan terhadap layanan dicatat, dianalisa, dilaporkan dan ditindaklanjuti. Terdapat kaitan yang jelas antara keberlanjutan layanan dengan tujuan bisnis dan rencana strategis TI. IT Balanced Scorecard telah diterapkan dalam pengukuran (GSM).
4.6. Analisa Gap Dari analisa tingkat kematangan saat ini dan tingkat kematangan yang diharapkan ditemukan adanya kesenjangan tingkat kematangan. Kesenjangan tingkat kematangan ini secara umum besarnya adalah 2 tingkat, yaitu dari tingkat kematangan 2 menuju ke tingkat kematangan 4. Perkecualian adalah pada atribut Skill and Expertise pada proses DS3, kesenjangan pada atribut ini adalah sebesar 3 tingkat, yaitu dari tingkat kematangan 2 menuju ke tingkat kematangan 5 dan pada atribut Goal Setting and Measurement pada proses DS4 yaitu dari tingkat kematangan 1 menuju tingkat kematangan 4. Adanya kesenjangan tingkat kematangan saat ini dengan tingkat kematangan yang diharapkan memerlukan strategi agar tingkat kematangan yang diharapkan
dapat
dicapai.
Perlu
pendefinisian
tidakan-tindakan
yang
direkomendasikan untuk dilakukan pada setiap atribut proses yang diarahkan pada tahapan pencapaian proses kematangan yang diharapkan. Peningkatan kematangan merupakan proses perbaikan dan pembelajaran yang berkelanjutan. Proses ini dilakukan secara bertahap agar peningkatan proses tersebut lebih efektif. Mengacu kepada nilai-nilai kematangan yang telah diperoleh, rekomendasi tindakan dikelompokkan ke dalam 4 bagian, yaitu: 1. Pencapaian tingkat kematangan 2 74
2. Pencapaian tingkat kematangan 3 3. Pencapaian tingkat kematangan 4 4. Pencapaian tingkat kematangan 5 Hal yang perlu diperhatikan adalah pelaksanaan peningkatan kematangan dilakukan dengan skala prioritas, dimulai dari atribut dengan nilai kematangan paling rendah agar diperoleh keseragaman tingkat kematangan. Dengan demikian diharapkan proses peningkatan nilai kematangan dapat berjalan lebih efektif. Keseragaman nilai kematangan dapat diperoleh dengan menaikkan nilai kematangan atribut GSM pada proses DS4 menjadi 2. Setelah semua atribut mencapai kematangan 2, proses pematangan atribut harus dilakukan bersamasama sehingga semua atribut pada proses DS3 maupun DS4 berada pada tingkat kematangan yang sama, yaitu tingkat kematangan 3. Demikian pula halnya pada kelompok pencapaian tingkat kematangan 4. Sedangkan pada kelompok pencapaian tingkat kematangan 5 hanya melibatkan atribut Skill and Expertise pada DS3. Hal ini dilakukan karena hanya atribut tesebut yang diharapkan berada pada tingkat kematangan 5.
4.7. Rekomendasi Perbaikan Seperti yang telah dijelaskkan sebelumnya, rekomendasi tindakan perbaikan dibagi menjadi 4 kelompok agar proses peningkatan kematangan dapat berjalan lebih efektif.
4.7.1. Pencapaian Tingkat Kematangan 2 Beberapa tindakan yang perlu dilakukan agar nilai kematangan atribut GSM pada proses DS4 dapat mencapai nilai kematangan 2 adalah sebagai berikut: Tabel 4.14: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 2 Untuk Atribut GSM pada Proses DS4 No 1
Atribut GSM
Tindakan Perbaikan Melakukan inventarisasi dan pencatatan mengenai ketersediaan layanan beserta kejadian-kejadian terganggunya layanan akibat storage, jaringan dan pemrosesan yang tidak mencukupi kebutuhan..
75
Mengukur kebutuhan kinerja dan kapasitas dengan mengamati kejadian-kejadian gangguan yang ada.
4.7.2. Pencapaian Tingkat Kematangan 3 Beberapa tindakan yang perlu dilakukan dalam kelompok pencapaian tingkat kematangan 3 dapat dilihat pada Tabel 4.15 dan Tabel 4.16 Tabel 4.15: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS3 No 1
Atribut AC
Tindakan Perbaikan Melakukan sosialisasi mengenai perlunya tindakan-tindakan untuk mengelola kinerja dan kapasitas kepada seluruh staf Biro TI, LO-IT perwakilan dan pemilik aplikasi yang lain. Meminta masukan dari pengguna dan pemilik aplikasi mengenai kebutuhan kinerja dan kapasitas yang dikehendaki. Membakukan segala bentuk komunikasi di atas ke dalam bentuk baku berupa SK, Nota Dinas dan lain-lain.
2
PSP
Melakukan proses review atas kinerja dan kapasitas saat ini. Membuat prediksi kebutuhan mendatang berdasarkan beban kerja/workload, storage dan kebutuhan bisnis yang lain. Membuat prosedur dan dokumentasi formal dari aktifitas review dan prediksi di atas.
3
TA
Membuat perencanaan penggunaan perangkat dalam memantau kinerja dan kapasitas. Menggunakan perangkat yang umum dalam memantau kinerja dan kapasitas, dimulai dengan server dan jaringan yang dianggap paling kritis. Kasubbag yang terkait membuat laporan yang memuat statistik kinerja dan kapasitas pada saat diperlukan untuk disampaikan kepada Karo TI.
4
SE
Setiap Sub Bag melakukan identifikasi dan dokumentasi atas kebutuhan keahlian personil dalam mengelola kinerja dan kapasitas Melakukan perencanaan formal untuk pelatihan terkait kinerja dan kapasitas. Perencanaan ini dapat dimulai dari inisiatif personil yang biasa memangani masalah kinerja dan kapasitas.
76
No 5
Atribut RA
Tindakan Perbaikan Mendefinisikan tanggung jawab dalam melakukan: ¾
Review atas kinerja dan kapasitas saat ini.
¾
Prediksi kebutuhan kinerja dan kapasitas mendatang.
Menetapkan Sub Bag yang menjadi penanggung jawab pelaksana dari proses-proses tersebut. 6
GSM
Mendefinisikan kebutuhan tingkat layanan terkait dengan kinerja dan kapasitas. Mengembangkan metrik yang dapat digunakan untuk melakukan pengukuran operasional kinerja dan kapasitas Menginisiasi pemanfaatan IT Scorecard sebagai sarana pengukuran untuk mengetahui apakah kebutuhan kinerja dan kapasitas dapat terpenuhi.
Tabel 4.16: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS4 No 1
Atribut AC
Tindakan Perbaikan Melakukan sosialisasi mengenai perlunya tindakan-tindakan untuk memastikan keberlanjutan layanan kepada seluruh staf Biro TI, LO-IT perwakilan dan pemilik aplikasi yang lain. Meminta masukan dari pengguna dan pemilik aplikasi mengenai kebutuhan keberlanjutan yang dikehendaki. Membakukan segala bentuk komunikasi di atas ke dalam bentuk baku berupa SK, Nota Dinas dan lain-lain.
2
PSP
Mendokumentasikan IT Continuity Plan yang disesuaikandengan kebutuhan pemilik aplikasi, terutama unit Auditorat. Memulai penerapan High Availability Component dan Redundancy pada sistem-sistem storage dan jaringan yang dianggap kritis. Menetapkan langkah-langkah standar untuk mengatasi insiden mayor atau bencana terkait keberlanjutan layanan. Membuat dan mengupdate inventarisasi atas sistem dan komponen yang kritis.
3
TA
Membuat perencanaan penggunaan perangkat yang standar untuk melakukan otomasi dalam pengelolaan keberlanjutan layanan. Memanfaatkan perangkat yang standar untuk melakukan pemantauan dan pelaporan terkait keberlanjutan layanan.
77
No 4
Atribut SE
Tindakan Perbaikan Melakukan identifikasi dan dokumentasi keahlian yang dibutuhkan dalam memastikan layanan yang berkelanjutan. Membuat perencanaan pelatihan secara formal. Perencanaan ini harus sejalan untuk seluruh Sub Bag. Mengakomodasi inisiatif individu dalam hal perencanaan pelatihan memastikan layanan yang berkelanjutan.
5
RA
Mendefinisikan tanggung jawab Sub Bag untuk melakukan perencanaan dan uji coba layanan yang berkelanjutan. Setiap Sub Bag mendefiniskan tanggung jawab personel dalam melaksanakan tanggung jawab Sub Bag.
6
GSM
Mendefinisikan kebutuhan tingkat layanan terkait keberlanjutan layanan. Mengembangkan metrik yang dapat digunakan untuk melakukan pengukuran keberlanjutan layanan Menginisiasi pemanfaatan IT Scorecard sebagai sarana pengukuran untuk mengetahui apakah kebutuhan layanan dapat terpenuhi.
4.7.3. Pencapaian Tingkat Kematangan 4 Beberapa tindakan yang perlu dilakukan dalam kelompok pencapaian tingkat kematangan 4 dapat dilihat pada Tabel 4.17 dan Tabel 4.18 Tabel 4.17: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS3 No 1
Atribut AC
Tindakan Perbaikan Mensosialisasikan kebutuhan pengelolaan kinerja dan kapasitas yang memadahi beserta tindakan-tindakan yang diperlukan secara lebih intensif kepada seluruh organisasi baik di Kantor Pusat maupun Kantor Perwakilan. Memformulasikan informasi di atas ke dalam bentuk formal seperti Surak Keputusan, Nota Dinas dan lain-lain.
2
PSP
Menyusun rencana, kebijakan dan prosedur kinerja dan kapasitas sesuai dengan mekanisme kerja di BPK-RI untuk melakukan proses review dan prediksi kebutuhan mendatang. Menstandar kan prosedur yang sudah terdefinisi tersebut untuk semua aspek dan permasalahan terkait kinerja dan kapasitas dan membakukan
78
No
Atribut
Tindakan Perbaikan ke dalam format resmi organisasi yang disyahkan oleh Sekretaris Jenderal.
3
TA
Mengimplementasikan penggunaan perangkat untuk pengelolaan kinerja dan kapasitas yang sesuai perencanaan standar dan mengintegrasikan dengan tool monitoring lain yang terkait. Menyediakan sistem informasi yang real time mengenai statistik kinerja dan kapasitas. Menyediakan sistem alerting atas insiden yang terjadi akibat kurangnya kinerja dan kapasitas. Alerting ini dapat berupa email atau sms kepada staf pelaksana, kasubbag, kabag dan Karo TI.
4
SE
Secara rutin meng-update kebutuhan keahlian untuk seluruh proses pengelolaan kinerja dan kapasitas. Menjalankan pelatihan formal bagi personel terkait pengelolaan kinerja dan kapasitas sesuai dengan rencana yang telah ditetapkan. Menerapkan mekanisme knowledge sharing diantara personel yang terkait.
5
RA
Mendefinisikan secara jelas, menetapkan dan mengkomunikasikan tanggung jawab pengelolaan kinerja dan kapasitas. Menyelenggarakan sistem /reward sebagai upaya memotivasi peran dan tanggung jawab dalam bentuk angka kredit bagi pemangku Jabatan Fungsional Pratana Komputer.
6
GSM
Menyediakan perangkat dan proses untuk melakukan pengukuran penggunaan sistem, kinerja dan kapasitas dan membandingkan hasilnya dengan tujuan bisnis dan Rencana Strategis TI. Menetapkan dan menyetujui bersama metrik untuk melakukan pengukuran kinerja dan kapasitas dalam bentuk KPI untuk Biro TI dengan melibatkan Ditama Revbang. Melakukan perbaikan yang bekelanjutan berdasarkan hasil pengukuran tersebut.
79
Tabel 4.18: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS4 No 1
Atribut AC
Tindakan Perbaikan Meningkatkan sosialisasi mengenai kebutuhan layanan berkelanjutan yang memadahi kepada seluruh komponen organisasi dan membakukan ke dalam bentuk formal seperti Surat Keputusan, Nota Dinas dan lainlain. Mengklasifikasikan insiden-insiden terganggunya layanan. Menetapkan jalur eskalasi pada kejadian terganggunya layanan mulai dari staf, kasubbag, kabag, kepala biro sampai dengan Sekretaris Jenderal. Mengadakan pertemuan berkala untuk melakukan sosialisasi hal tersebut dengan melibatkan Biro TI, pengguna dan LO-IT perwakilan.
2
PSP
Menetapkan aktifitas pemeliharaan yang didasarkan pada hasil uji coba layanan yang berkelanjutan, dan menyesuaikan dengan mekanisme kerja di BPK-RI. Memformalkan segala aktifitas tersebut ke dalam dokumen rencana dan SOP yang baku.
3
TA
Menerapkan redundansi dan menggunakan komponen standar yang tidak spesifik tergantung kepada vendor tertentu untuk perangkat server, storage dan jaringan. Menggunakan perangkat untuk memonitor kondisi dan permasalahan gangguan layanan yang standar dan terintegrasi dengan perangkat monitoring yang lain dalam sebuah monitoring dashboard
4
SE
Berkoordinasi dengan Pusdiklat untuk menyelenggarakan training formal dan wajib untuk proses layanan yang berkelanjutan sebagai bagian dari pengembangan karir. Pelatihan tersebut dapat dikaitkan dengan pemberian angka kredit bagi pemangku Jabatan Fungsional Pranata Komputer. Menerapkan mekanisme knowledge sharing diantara personel yang terkait.
80
No 5
Atribut RA
Tindakan Perbaikan Mendefinisikan tugas pokok dan fungsi masing-masing sub bagian dengan jelas. Demikian pula tugas dan tanggung jawab dalam sebauh sub bagian. Meningkatkan SOP agar dapat mencakup lebih banyak aspek dan memiliki keselarasan antar Sub Bag. Menetapkan mekanisme reward untuk memberikan motivasi positif dalam bentuk angka kredit bagi pegawai yang telah melaksanakan suatu penugasan tertentu.
6
GSM
Menetapkan tujuan dan pengukuran dalam memastikan layanan yang berkelanjutan yang mencakup aspek efisiensi dan efektifitas dan membandingkan hasilnya dengan tujuan bisnis dan Rencana Strategis TI. Menerapkan IT balanced scorecard untuk melakukan pengukuran proses tersebut.
4.7.4. Pencapaian Tingkat Kematangan 5 Beberapa tindakan yang perlu dilakukan dalam kelompok pencapaian tingkat kematangan 5 untuk atribut Skill and Expertise proses DS3 dapat dilihat pada Tabel 4.19 Tabel 4.19: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 5 untuk atribut SE pada Proses DS3 No 1
Atribut SE
Tindakan Perbaikan Berkoordinasi dengan Pusdiklat BPK-RI untuk menyediakan sarana dan fasilitas bagi staf Biro TI untuk mengembangkan keahlian secara berkelanjutan sesuai kebutuhan. Pelatihan ini dikaitkan dengan angka kredit bagi pemangku JFPK. Menerapkan external best practices dalam proses pelatihan. Membudayakan Knowledge sharing dengan menyediakan perangkat Knowledge Management System. Mempertimbangka penggunaan ahli dari luar sebagai konsultan yang mampu memberikan panduan untuk hal-hal yang memang dirasa perlu melibatkan pihak luar
81
4.8. Indikator Kinerja dan Indikator Pencapaian Sebagai tindak lanjut dari usulan perbaikan di atas, maka diperlukan adanya suatu pengukuran untuk mengetahui kemajuan yang dicapai. Penilaian atau pengukuran tersebut meliputi pelaksanaannya maupun pencapaiannya. Untuk itu perlu didefinisikan beberapa indikator pengukuran, yaitu Performance Indicators yang mengukur pelaksanaan dan Outcome Measures yang mengukur pencapain hasil. Ada tiga aspek yang diukur dengan kedua indikator tersebut, yaitu; 1. Pencapaian dan kinerja TI (IT Goal and Metrics) 2. Pencapaian dan kinerja Proses (Process Goal and Metrics) 3. Pencapaian dan kinerja aktifitas (Activity Goal and Metrics) Keberhasilan pencapaian IT Goal diukur dengan IT Metric. Keberhasilan pencapaian IT Goal dikendalikan/dipengaruhi oleh keberhasilan pencapaian Process Goal yang dukur dengan Process Metric. Keberhasilan pencapaian Process Goal dikendalikan/dipengaruhi oleh pencapaian Activity Goal yang diukur dengan Activity Metric. Gambar berikut memperlihatkan hubungan goals dan metrics utama pada proses DS 3 dan DS4.
82
TI •
Tujuan
•
•
Memastikan bahwa layanan TI tersedia pada saat dibutuhkan Mengoptimalkan kapabilitas, sumberdaya dan infrastruktur TI
• •
Aktivitas •
Memenuhi SLA response time Meminimalisir Downtime Mengoptimalkan utilisasi sumberdaya TI
• •
•
measure •
Metrik
Proses
•
Jumlah jam yang hilan per user per tahun akibat ketersediaan yang tidak memadahi Prosentase utilisasi yang terpakai terhadap kapasitas total
drive
measure • • •
Prosentase response time yang tidak memenuhi SLA Jumlah jam downtime per bulan per jenis layanan Prosentase sumber daya yang over utilized
drive
Mengukur response time pada beban puncak Menerapkan redundancy pada komponen kritis Menerapkan high availibility pada komponen kritis Mengukur utilitas
measure • •
•
Prosentase response time yang tidak memenuhi SLA Prosentase komponen kritis yang telah menerapkan redundancy dan high availibility Prosentase sistem yang telah mencapai utilitas di atas 90%
Gambar 4.5: Goals and Metrics pada proses DS3
83
TI •
Tujuan
•
Metrik
•
•
Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan TI Memastikan bahwa infrastruktur dan layanan TI dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana
measure •
Proses
•
Aktivitas •
Mengembangkan IT Continuity Plan Melakukan penyimpanan data pada lokasi offsite
• •
drive
Prosentase proses bisnis yang terhenti pada saat terjadinya gangguan layanan TI Prosentase layanan yang dapat pulih dalam tenggat waktu yang ditetapkan
measure •
•
•
drive
measure •
Prosentase uji coba IT Continuity Plan yang memenuhi target Prosentase data yang berhasi dipulihkan dalam kejadian gangguan Prosentase layanan yang tidak dapat beroperasi pada kejadian gangguan
Melakukan pelatihan IT Continuity Plan Pengembangan IT Continuity Plan Menyimpan salinan datadata kritis pada lokasi offsite
•
•
Jumlah jam pelatihan IT Continuity Plan per tahun per pegawai Prosentase proses bisnis kritis yang dicakup dalam IT Continuity plan Prosentase data dan aplikasi kritis yang tersimpan pada lokasi offsite
Gambar 4.6: Goals and Metrics pada proses DS4 Dari goals dan metrics utama tersebut selanjutnya dikembangkan agar lebih jelas dan detail. Goals dan metrics selengkapnya dapat dilihat pada tabel berikut: Tabel 4.20: Goals and Metrics untuk Ketersediaan Layanan IT Goal Memastikan bahwa layanan TI tersedia pada saat dibutuhkan
Metrics Jumlah jam yang hilang per user per tahun akibat ketersediaan yang tidak memadahi =∑ jam yang hilang/user
Process Goal Metrics Memantau dan Prosentase mengukur beban beban puncak puncak yang melebihi kapasitas =jumlah beban yang melebihi kapasitas/jumla h beban total x 100%
84
Activity Goal Metrics Mengukur beban Prosentase beban puncak puncak yang melebihi kapasitas yang tersedia =jumlah beban yang melebihi kapasitas/jumlah beban total x 100% Mengukur beban Prosentasi sumber normal daya yang idle =jumlah sumber daya idle/jumlah total sumber daya x 100%
IT Goal
Metrics
Process Goal Metrics Memenuhi SLA Prosentase response time response time yang tidak memenuhi SLA =jumlah response time yang tidak memenuhi SLA/jumlah response total time x 100%
Meminimalisir down time
Jumlah jam downtime per bulan per jenis layanan =∑ downtime per bulan per jenis layanan
Activity Goal Mengukur response time pada beban puncak
Mengukur response time pada beban normal
Menerapkan penggunaan komponen yang standar
Menerapkan redundancy pada komponen kritis
Menerapkan high availibility pada komponen kritis
Penyediaan UPS dan generator listrik
Mengoptimalka n kapabilitas sumber daya dan infrastruktur TI
Prosentase utilisasi yang terpakai terhadap kapasitas total =kapasitas yang terpaka/kapasita s total x 100%
Mengoptimalkan utilisasi sumber daya TI
Prosentase sumber daya yang over utilized =jumlah proses yang melebihi sumber daya/jumlah sumber daya x
85
Menerapkan storage terpusat = jumlah server yang terhubung ke SAN/jumlah semua server x 100%
Metrics Prosentase response time yang tidak memenuhi SLA =jumlah response time yang tidak memenuhi SLA/jumlah total response time x 100% Prosentasi response time yang melebihi SLA =jumlah response time yang memenuhi SLA/jumlah total response time x 100% Prosentase komponen kritis yang telah menerapkan penggunaan komponen standar = jumlah komponen kritis yang standard/jumlah komponen kritis x 100% Prosentase komponen kritis yang telah menerapkan redundancy = jumlah komponen kritis yang redundan/jumlah komponen kritis x 100% Prosentase komponen kritis yang telah menerapkan high availability = jumlah komponen kritis yang high available/jumlah komponen kritis x 100% Prosentase kapasitas UPS/generator listrik terhadap beban keseluruhan =kapasitas UPS atau generator/kebutuha n beban x 100% Prosentase jumlah server yang telah terhubung ke Storage Area Network = jumlah server yang terhubung ke SAN/jumlah semua server x 100%
IT Goal
Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan
Process Metrics
Prosentase proses bisnis yang terhenti pada saat terjadinya gangguan layanan TI
Goal
Mengembangka n IT Continuity Plan
Metrics 100%
Prosentase uji coba IT Continuity Plan yang memenuhi target
86
Activity Goal Metrics Mengukur utilitas Prosentase sistem yang telah mencapai utilitas di atas 90% =jumlah sistem yang utilitas > 90%/jumlah total sistem x 100% Menerapkan • Prosentase virtualisasi/share sistem yang d service telah menerapkan virtualisasi • Prosentase layanan yang telah menggunakan shared service =jumlah sistem yang menerapkan virtualisasi atau shared service/jumlah total sistem x 100% Melakukan Jumlah jam pelatihan IT pelatihan IT Continuity Plan Continuity Plan per tahun per pegawai =∑ jam pelatihan per tahun per pegawai Pengembangan IT Prosentase proses Continuity Plan bisnis kritis yang dicakup dalam IT Continuity plan =∑ proses bisnis tercakup IT Continuity/jumlah total proses bisnis x 100% Uji coba IT Frekuensi uji coba Continuity Plan terhadap IT Continuity Plan =∑ jumlah uji coba per tahun Pengembangan IT Prosentase layanan Resiliency Plan TI kritis yang dicakup dalam IT Resiliency Plan =∑ proses bisnis tercakup IT Resiliensi/jumlah total proses bisnis x 100% Uji coba IT Frekuensi uji coba Resiliency Plan terhadap IT Resiliency Plan =∑ jumlah uji coba per tahun Pengembangan IT Prosentase layanan Contingency Plan TI kritis yang dicakup dalam IT Contingency Plan =∑ proses bisnis tercakup IT Contingency/jumlah total proses bisnis x 100%
IT Goal
Process Metrics
Memastikan bahwa sinfrastruktur TI dan layanannya dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana
Prosentase layanan yang dapat pulih dalam tenggat waktu yang ditetapkan
Goal
Melakukan penyimpanan data pada lokasi offsite
Metrics
• Prosentase data yang berhasi dipulihkan dalam kejadian gangguan • Prosentase layanan yang tidak dapat beroperasi pada kejadian gangguan
Activity Goal Metrics Uji coba IT Frekuensi uji coba Contingency Plan terhadap IT Contingency Plan =∑ jumlah uji coba per tahun Menyimpan Prosentase data dan salinan data-data aplikasi kritis yang kritis pada lokasi tersimpan pada offsite lokasi offsite =jumlah data atau aplikasi yang tersimpan pada offsite/jumlah total data atau aplikasi x 100% Menyimpan IT Prosentase Continuity Plan keberhasilan akses pada lokasi offsite terhadap dokumen tersebut pada saat uji coba IT Contingency dan IT Resiliency Plan =jumlah dokumen yang dapat diakses/jumlah total dokumen x 100%
4.9. Perancangan Tata Kelola Ketersediaan Layanan Perancangan model Tata Kelola Ketersediaan Layanan TI berangkat dari kebutuhan bisnis terkait TI yang dijabarkan dari Visi dan Misi organisasi BPK-RI, tertuang dalam Rencana Strategis Teknologi Informasi BPK-RI. Kebutuhan bisnis tersebut adalah Teknologi Informasi yang dimiliki oleh BPK harus memiliki kapabilitas ketersediaan yang baik sehingga dapat berperan sebagai medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi bagi para stakeholder-nya sehingga dapat mendorong terwujudnya akuntabilitas dan transparansi keuangan negara.
87
Visi dan Misi Peran Strategis TI
Business Goal
IT Goal
drive
Process Goal
drive IT Metric
Activity Goal
drive Process Metric
Activity Metric
Gambar 4.7: Hubungan Goal and Metrics dengan Tujuan Bisnis Sehingga dalam hal ini untuk mencapai tujuan bisnis yaitu mendapatkan kapabilitas dan ketersediaan Teknologi Informasi yang baik, maka perlu diterjemahkan ke dalam IT Goal yaitu: 1. Memastikan bahwa layanan TI tersedia pada saat dibutuhkan. 2. Mengoptimalkan kapabilitas sumber daya dan infrastruktur TI. 3. Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan. 4. Memastikan bahwa sinfrastruktur TI dan layanannya dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana. Pencapaian IT Goal di atas dapat dinilai/diukur dengan indikator pengukuran berupa IT Metric, yaitu: 1. Jumlah jam yang hilang per user per tahun akibat ketersediaan yang tidak memadahi. 2. Prosentase utilisasi yang terpakai terhadap kapasitas total. 3. Prosentase proses bisnis yang terhenti pada saat terjadinya gangguan layanan TI. 4. Prosentase layanan yang dapat pulih dalam tenggat waktu yang ditetapkan.
88
Untuk dapat mencapai IT Goal di atas, perlu didefinisikan proses-proses apa saja yang harus dilakukan berupa Process Goal, yaitu: 1. Memantau dan mengukur beban puncak. 2. Memenuhi SLA response time. 3. Meminimalisir down time. 4. Mengoptimalkan utilisasi sumber daya TI. 5. Mengembangkan IT Continuity Plan. 6. Melakukan penyimpanan data pada lokasi offsite. Pencapaian Process Goal di atas dapat dinilai/diukur dengan indikator pengukuran berupa Process Metric, yaitu: 1. Prosentase beban puncak yang melebihi kapasitas. 2. Prosentase response time yang tidak memenuhi SLA. 3. Jumlah jam downtime per bulan per jenis layanan. 4. Prosentase sumber daya yang over utilized. 5. Prosentase uji coba IT Continuity Plan yang memenuhi target. 6. Prosentase data yang berhasi dipulihkan dalam kejadian gangguan 7. Prosentase layanan yang tidak dapat beroperasi pada kejadian gangguan. Untuk dapat mencapai Process Goal di atas, perlu didefinisikan aktifitasaktifitas apa saja yang harus dilakukan berupa Activity Goal, yaitu: 1. Mengukur beban puncak. 2. Mengukur beban normal. 3. Mengukur response time pada beban puncak. 4. Mengukur response time pada beban normal. 5. Menerapkan penggunaan komponen yang standar. 6. Menerapkan redundancy pada komponen kritis. 7. Menerapkan high availibility pada komponen kritis. 8. Penyediaan UPS dan generator listrik. 9. Menerapkan storage terpusat. 89
10. Mengukur utilitas. 11. Menerapkan virtualisasi/shared service. 12. Melakukan pelatihan IT Continuity Plan. 13. Mengembangkan dan melakukan uji coba IT Continuity Plan. 14. Mengembangkan dan melakukan uji coba IT Resiliency Plan. 15. Mengembangkan dan melakukan uji coba IT Contingency Plan. 16. Menyimpan salinan data-data kritis pada lokasi offsite. 17. Menyimpan IT Continuity Plan pada lokasi offsite. Pencapaian Activity Goal di atas dapat dinilai/diukur dengan indikator pengukuran berupa Activity Metric, yaitu: 1. Prosentase beban puncak yang melebihi kapasitas yang tersedia. 2. Prosentasi sumber daya yang idle. 3. Prosentase response time yang tidak memenuhi SLA. 4. Prosentasi response time yang melebihi SLA. 5. Prosentase komponen kritis yang telah menerapkan penggunaan komponen standar. 6. Prosentase komponen kritis yang telah menerapkan redundancy. 7. Prosentase komponen kritis yang telah menerapkan high availibility. 8. Prosentase
kapasitas
UPS/generator
listrik
terhadap
beban
keseluruhan. 9. Prosentase jumlah server yang telah terhubung ke Storage Area Network (SAN). 10. Prosentase sistem yang telah mencapai utilisasi di atas 90%. 11. Prosentase sistem yang telah menerapkan virtualisasi. 12. Prosentase layanan yang telah menggunakan shared service. 13. Jumlah jam pelatihan IT Continuity Plan per tahun per pegawai. 14. Prosentase proses bisnis kritis yang dicakup dalam IT Continuity Plan. 15. Frekuensi uji coba terhadap IT Continuity Plan.
90
16. Prosentase layanan TI kritis yang dicakup dalam IT Resiliency Plan. 17. Frekuensi uji coba terhadap IT Resiliency Plan. 18. Prosentase layanan TI kritis yang dicakup dalam IT Contingency Plan. 19. Frekuensi uji coba terhadap IT Contingency Plan. 20. Prosentase data dan aplikasi kritis yang tersimpan pada lokasi offsite. 21. Prosentase keberhasilan akses terhadap dokumen tersebut pada saat uji coba IT Contingency dan IT Resiliency Plan.
4.9.1. Rencana Aksi Agar tujuan-tujuan yang telah disebutkan pada bagian sebelumnya dapat secara efektif tercapai, diperlukan sebuah Rencana Aksi. Rencana aksi tersebut dikelompokkan dalam 4 bagian bagian, yaitu: 1. Memastikan bahwa layanan TI tersedia pada saat dibutuhkan, ditempuh melalui: a. Mengukur beban puncak, yaitu dengan melakukan pengukuran beban penyimpanan, jaringan dan pemrosesan yang melebihi kapasitas yang tersedia dan membandingkannya dengan beban keseluruhan. b. Mengukur beban normal, yaitu mengukur penyimpanan, jaringan dan pemrosesan yang idle dan membandingkan dengan total sumber daya. c. Mengukur response time pada kondisi beban puncak yang tidak memenuhi SLA dan membandingkan dengan total response time d. Mengukur response time pada kondisi normal yang memenuhi SLA dan membandingkan dengan total response time e. Menerapkan penggunaan komponen yang standar, dalam arti bahwa komponen yang digunakan adalah komponen yang tidak spessifik mengacu/tergantung kepada vendor tertentu. Sehingga
91
penggantian pada suatu komponen yang mengalami kegagalan dapat dilakukan dengan mudah dan cepat f. Menerapkan redundancy pada komponen yang kritis. Redundancy ini dapat berupa redundancy pada jaringan, penyimpanan dan redudancy server g. Menerapkan high availaibility pada komponen kritis. Hal ini dilakukan dengan memilih komponen yang memiliki high availaibility tinggi (KW1). h. Menyediakan UPS dan generator yang dapat menyuplai kebutuhan listrik secara memadahi untuk data center dan peripheral-peripheral yang dianggap kritis 2. Mengoptimalkan kapabilitas sumber daya dan infrastruktur TI, ditempuh melalui: a. Menerapkan
penggunaan
storage
terpusat,
yaitu
berupa
penggunaan Storage Area Network (SAN). Hal ini dimaksudkan agar jika suatu server memiliki kelebihan storage dapat dialokasikan kepada server lain yang membutuhkan storage lebih. Hal tersebut tidak dapat dilakukan pada server yang menerapkan Direct Attached Storage (DAS) biasa. b. Mengukur utilitas. Pengukuran dilakukan pada utilisasi jaringan dan storage. Hal ini dilakukan untuk memberoleh gambaran kebutuhan storage dan jaringan pada masing-masing sistem. c. Menerapkan virtualisasi dan Shared Service. Hal ini bertujuan agar jika ada sumber daya yang idle atau berlebih dapat digunakan bagi layanan yang baru dengan memanfaatkan perangkat yang ada tanpa harus mengadakan perangkat yang baru 3. Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan, ditempuh melalui: a. Melakukan pelatihan IT Continuity Plan. Pelatihan perlu dilakukan agar semua pihak yang terlibat memiliki kesadaran akan perlunya IT Continuity Plan, dan selanjutnya memiliki keahlian yang diperlukan untuk membuat sebuah IT Continuity Plan. 92
b. Mengembangkan IT Continuity Plan. IT Continuity Plan ini diharapkan dapat mencakup proses-proses bisnis yang penting dan sumber daya TI yang mendukung proses-proses bisnis tersebut. c. Melakukan uji coba terhadap IT Continuity Plan, hal ini dilakukan untuk mengetahui sejauh mana IT Continnuity Plan tersebut dapat melindungi proses bisnis yang penting. d. Mengembangkan IT Resiliency Plan agar dapat menunjang IT Contiuity Plan yang telah ada. e. Melakukan Uji Coba terhadap IT Resiliency Plan yang telah dibuat. f. Mengembangkan IT Contingency Plan agar dapat menunjang IT Contiuity Plan yang telah ada g. Melakukan Uji Coba terhadap IT Contingency Plan yang telah dibuat. 4. Memastikan bahwa sinfrastruktur TI dan layanannya dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana, ditempuh melalui: a. Mengembangkan sebuah Disaster Recovery Center (DRC) yang berfungsi sebagai pusat penanganan bencana terhadap sistem dan layanan TI b. Menyimpan data-data dan aplikasi yang dianggap kritis yang menunjang proses-proses bisnis yang penting pada DRC tesebut c. Menyimpan IT Continuity Plan pada lokasi offsite/DRC. Untuk memudahkan pelaksanaan rencana aksi tersebut, diperlukan time table yang dapat menjadi panduan penjadwalan pelaksanaan aksi. Rencana Aksi di atas diproyeksikan dapat terlaksana dalam waktu 3 tahun, yang dibagi ke dalam 6 semester.
93
Tabel 2.1: Jadwal Pelaksanaan Rencana Aksi No
2010
Aksi
2011
2012
2013
II
I
II
I
II
I
1. Mengukur beban puncak
●
●
●
●
●
●
2. Mengukur beban normal
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
3. Mengukur response time pada kondisi beban puncak 4. Mengukur
response
time
pada
kondisi normal 5. Menerapkan penggunaan komponen
●
yang standar 6. Menerapkan redundancy pada
●
komponen yang kritis 7. Menerapkan high availaibility pada
●
komponen kritis 8. Menyediakan UPS dan generator
●
9. Menerapkan penggunaan storage
●
terpusat (SAN) 10. Mengukur utilitas
●
11. Menerapkan virtualisasi dan Shared Service 12. Melakukan pelatihan IT Continuity
●
● ● ●
Plan 13. Mengembangkan IT Continuity Plan 14. Melakukan uji coba terhadap IT
● ●
Continuity Plan 15. Mengembangkan IT Resiliency Plan
●
16. Melakukan Uji Coba terhadap IT
●
Resiliency Plan 17. Mengembangkan IT Contingency
●
Plan 18. Melakukan Uji Coba terhadap IT
●
Contingency Plan
94
No
2010
Aksi
II
2011 I
2012 II
19. Mengembangkan sebuah Disaster
I
2013 II
I
●
Recovery Center (DRC) 20. Menyimpan data-data dan aplikasi
●
yang dianggap kritis pada DRC 21. Menyimpan IT Continuity Plan pada
●
DRC.
4.9.2. Kebijakan Pengelolaan Ketersediaan Layanan TI Dengan mepertimbangkan langkah-langkah yang direkomendasikan dalam memperoleh tingkat kematangan yang dinginkan, serta indikator-indikator pengukuran goal di atas, maka diperlukan kebijakan dalam mengelola ketersediaan layanan TI. Kebijakan ini diusahakan bersifat praktis dan dapat diterapkan di lapangan. Untuk itu, perlu disusun suatu draft dokumen kebijakan pengelolaan ketersediaan layanan dalam bentuk surat keputusan. Dalam Surat Keputusan tersebut, Biro Teknologi Informasi sesuai Tugas Pokok dan Fungsinya ditunjuk menjadi pihak yang bertugas untuk membuat perencanaan dan melakukan koordinasi pelaksanaan kebijakan tersebut dengan seluruh komponen organisasi yang terkait.
95
KEPUTUSAN SEKRETARIS JENDERAL BADAN PEMERIKSA KEUANGAN REPUBLIK INDONESIA NOMOR /X/XXXX.00/00/2010 TENTANG KEBIJAKAN PENGELOLAAN KETERSEDIAAN LAYANAN TEKNOLOGI INFORMASI PADA PELAKSANA DI LINGKUNGAN BADAN PEMERIKSA KEUANGAN SEKRETARIS JENDERAL BADAN PEMERIKSA KEUANGAN REPUBLIK INDONESIA, Menimbang
: a. bahwa Teknologi Informasi yang dimiliki oleh BPK harus memiliki kapabilitas dan ketersediaan yang memadahi sehingga dapat berperan sebagai medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi bagi para
stakeholder‐nya
sehingga
dapat
mendorong
terwujudnya akuntabilitas dan transparansi keuangan negara b. bahwa hal tersebut di atas tercantum dalam Fungsi Strategis Teknologi Informasi pada Rencana Strategis Teknologi Informasi Badan Pemeriksa Keuangan – RI c. bahwa dalam melakukan perencanaan, pelaksanaan dan evaluasi pengelolaan ketersediaan layanan diperlukan praktek‐praktek kebijakan yang sesuai dengan standar agar kapabilitas dan ketersediaan yang diharapkan dapat tercapai Mengingat
: 1. Undang‐Undang Nomor 15 Tahun 2006 tentang Badan Pemeriksa Keuangan (Lembaran Negara Republik Indonesia
96
Tahun 2006 Nomor 85, Tambahan Lembaran Negara Nomor 4654); 2. Rencana Strategis Badan Pemeriksa Keuangan 2006 – 2010; 3. Rencana Strategis Teknologi Informasi Badan Pemeriksa Keuangan 2006 ‐ 2010 4. Surat Keputusan Badan Pemeriksa Keuangan Nomor 31/SK/I‐ VIII.3/8/2006 tanggal 31 Agustus 2006 tentang Tata Cara Pembentukan Peraturan, Keputusan dan Naskah Dinas pada Badan Pemeriksa Keuangan Republik Indonesia; 5. Keputusan Badan Pemeriksa Keuangan Nomor 39/K/I‐ VIII.3/7/2007 tanggal 31 Juli 2007 tentang Organisasi dan Tata Kerja Pelaksana Badan Pemeriksa Keuangan Republik Indonesia; 6. Surat Keputusan Sekretaris Jenderal Badan Pemeriksa Keuangan Nomor 245/SK/VIII‐VIII.1/12/2006 tanggal 26 Desember 2006 tentang Pelimpahan Wewenang Sekretaris Jenderal Badan Pemeriksa Keuangan Dalam Bidang Kepegawaian Kepada Para Pejabat Struktural (unsur pelaksana) di Lingkungan Badan Pemeriksa Keuangan; MEMUTUSKAN: Menetapkan
: SURAT KEPUTUSAN SEKRETARIS JENDERAL BADAN PEMERIKSA KEUANGAN KETERSEDIAAN
TENTANG LAYANAN
KEBIJAKAN TEKNOLOGI
PENGELOLAAN INFORMASI
DI
LINGKUNGAN BADAN PEMERIKSA KEUANGAN PERTAMA
: Menetapkan dan memberlakukan Kebijakan Pengelolaan Ketersediaan Layanan Teknologi Informasi di Lingkungan Badan Pemeriksa Keuangan dengan sistematika sebagai berikut: A. Latar Belakang B. Tujuan C. Pihak Terkait D. Pernyataan Kebijakan
97
E. Penanggung Jawab Aktifitas KEDUA
: Isi berserta rincian bab tersebut pada diktum PERTAMA, dimuat dalam kebijakan terlampir menjadi bagian yang tidak terpisahkan dari keputusan ini
KETIGA
: Memerintahkan kepada Kepala Biro Teknologi Informasi dan jajarannya untuk mengkoordinasikan, merencanakan dan mengambil
langkah‐langkah
yang
diperlukan
untuk
melaksanakan ketetapan ini. KEEMPAT
: Keputusan ini mulai berlaku sejak tanggal ditetapkan
Ditetapkan di Pada tanggal
: Jakarta : Juni 2010
BADAN PEMERIKSA KEUANGAN REPUBLIK INDONESIA SEKRETARIS JENDERAL, SEKRETARIS JENDERAL NIP. Tembusan Keputusan ini disampaikan kepada: 1. Ketua; 2. Wakil Ketua; 3. Para Anggota; 4. Inspektur Utama dan Para Kaditama; 5. Para Kepala Auditorat; 6. Para Kepala Biro; 7. Para Kepala Perwakilan;
98
KEBIJAKAN PENGELOLAAN KETERSEDIAAN LAYANAN TI DI BADAN PEMERIKSA KEUANGAN – RI
A. Latar Belakang Teknologi Informasi yang dimiliki oleh BPK harus memiliki kapabilitas dan ketersediaan yang baik sehingga dapat berperan sebagai medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi bagi para stakeholder‐nya sehingga dapat mendorong terwujudnya akuntabilitas dan transparansi keuangan negara. Hal ini tertuang dalam Fungsi Strategis Teknologi Informasi pada Rencana Strategis Teknologi Informasi Badan Pemeriksa Keuangan – RI. Untuk itu, dalam melakukan perencanaan, pelaksanaan dan evaluasi pengelolaan ketersediaan layanan diperlukan praktek‐praktek kebijakan yang sesuai dengan standar agar kapabilitas dan ketersediaan yang diharapkan dapat tercapai. B. Tujuan Tujuan dari kebijakan pengelolaan ketersediaan layanan TI ini adalah: •
Mendapatkan ketersediaan layanan yang memadahi
•
Mendapatkan kinerja dan kapasitas yang memadahi
•
Mendapatkan kepastian atas berkelanjutan layanan
C. Pihak Terkait Biro Teknologi Informasi, Biro SDM, Biro Keuangan, Ditama Revbang dan komponen organisasi BPK‐RI lain yang terkait dengan pengelolaan ketersediaan layanan. D. Pernyataan Kebijakan 1. Perencanaan Kapasitas dan Kinerja a. Menyusun proses perencanaan untuk melakukan review terhadap kinerja dan kapasitas sumber daya TI untuk memastikan kierja dan kapasitas yang tercantum dalam SLA dapat terpenuhi dengan biaya yang layak; b. Memastikan bahwa perencanaan kinerja dan kapasitas harus memuat teknik untuk memodelkan kinerja, kapasitas dan throughput sumber daya TI saat ini dan prediksi ke depan.
99
2. Kapasitas dan Kinerja Saat Ini a. Melakukan assesment terhadap kinerja dan kapasitas sumber daya TI saat ini untuk menentukan apakah kinerja dan kapasitas mencukupi untuk dapat memenuhi SLA. 3. Kapasitas dan Kinerja yang Akan Datang a. Membuat perkiraan kinerja dan kapasitas sumber daya TI secara periodik untuk meminimalisir resiko atas terganggunya layanan akibat kapasitas yang tidak mencukupi atau penurunan kinerja, dan identifikasi kelebihan beban untuk pengembangan ulang. b. Mengidentifikasikan trend beban kerja dan tentukan prediksi sebagai masukan untuk perencanaan kinerja dan kapasitas 4. Ketersediaan Sumber Daya a. Menyediakan
kinerja
dan
kapasitas
yang
diperlukan
dengan
mempertimbangkan aspek‐aspek beban kerja normal, kebutuhan storage dan daur hidup sumber daya TI. b. Membuat ketentuan‐ketentuan mengenai prioritas tugas, mekanisme toleransi terhadap kesalahan dan alokasi sumber daya. c. Memastikan bahwa perencanaan kontinjensi (hal‐hal yang mungkin terjadi) mencakup ketersediaan, kapasitas dan kinerja setiap sumber daya TI. 5. Pemantauan dan Pelaporan a. Melakukan pemantauan kinerja dan kapasitas sumber daya TI secara berkelanjutan. Pemantauan tersebut harus dapat digunakan untuk: • Memelihara dan menyesuaikan kinerja TI saat ini dan mencakup hal‐hal seperti resiliensi/ketahanan terhadap gangguan, kontinjensi, beban kerja saat ini dan mendatang, perencanaan storage dan akuisisi sumber daya. • Melaporkan layanan yang berhasil tersampaikan kepada bisnis, sesuai yang disyaratkan SLA. b. Melengkapi hal‐hal yang menjadi perkecualian dalam laporan dengan rekomendasi tindakan perbaikan.
100
6. Kerangka Kerja Keberlanjutan a. Mengembangkan sebuah kerangka kerja IT Continuity untuk mendukung pengelolaan Business Continuity organisasi. b. Kerangka kerja tersebut harus memberikan panduan dalam menentukan kebutuhan ketahanan infrastruktur terhadap gangguan dan arahan pengembangan perencanaan Disaster Recovery dan IT Contingency Plan. c. Kerangka kerja tersebut harus memuat struktur organisasi untuk pengelolaan keberlanjutan; mencakup peran, tugas dan tanggung jawab penyelenggara, manajemen dan pengguna; dan proses untuk mengembangkan perencanaan IT Contingency dan Disaster Recovery. 7. IT Continuity Plan a. Mengembangkan IT Continuity plan berdasarkan kerangka kerja yang bertujuan untuk mengurangi dampak gangguan mayor terhadap proses dan fungsi bisnis kunci. b. Perencanaan tersebut harus berdasarkan pemahaman resiko atas dampak bisnis yang potensial dan mencakup kebutuhan resiliensi, proses alternatif dan kapabilitas pemulihan dari semua layanan TI yang Strategic dan Key Operational. c. Perencanaan tersebut juga harus mencakup panduan penggunaan, peran dan tanggung jawab, prosedur, proses komunikasi dan pendekatan untuk melakukan uji coba. 8. Sumber Daya TI yang Kritis a. Memberikan fokus perhatian pada hal‐hal yang dianggap kritis pada IT Continuity Plan untuk membangun ketahanan dan menetapkan prioritas di dalam situasi pemulihan. b. Menghindari gangguan berupa pemulihan hal‐hal yang tidak kritis, pastikan bahwa respon dan pemulihan sejalan dengan kebutuhan prioritas bisnis, biaya yang dapat diterima dan kepatuhan terhadap perturan dan kesepakatan. c. Mempertimbangkan untuk kebutuhan resiliensi, respon dan pemulihan dalam beberapa tier/tingkatan, misalnya 1 sampai 4 jam, 4 sampai 24 jam dan lebih
101
dari 24 jam 9. Pemeliharaan IT Continuity Plan a. Mendefinisikan dan melaksanakan prosedur change control untuk memastikan bahwa IT Continuity Plan tetap up‐to‐date dan mencerminkan kebutuhan bisnis aktual. b. Menkomunikasikan perubahan prosedur dan tanggung jawab secara jelas dan tepat waktu. 10. Uji Coba IT Continuity Plan a. Melakukan uji coba terhadap IT Continuity Plan secara periodik untuk memastikan sistem TI dapat dipulihkan secara efektif, kekurangan‐kekurangan dapat diatasi dan perencanan yang adan tetap relevan b. Setiap uji coba memerlukan persiapan, dokumentasi, pelaporan hasil uji coba. 11. Pelatihan IT Continuity Plan a. Menyediakan, kepada setiap pihak yang terlibat, pelatihan secara periodik mengenai prosedur, peran dan tanggung jawab mereka dalam kejadian insiden atau bencana. b. Melakukan review dan meningkatkan pelatihan sesuai hasil uji coba kontinjensi 12. Disitribusi IT Continuity Plan a. Menyusun strategi distribusi untuk menjamin bahwa IT Continuity Plan terdistribusi secara memadahi dan aman, dan tersedia keepada pihak‐pihak yang berwenang pada saat dibutuhkan. b. Memberikan perhatian untuk memastikan bahwa rencana‐rencana tersebut dapat tersedia dalam semua skenario kondisi bencana 13. Pemulihan dan Pembukaan Kembali Layanan TI a. Merencanakan tindakan‐tindakan yang harus diambil selama layanan TI dalam masa pemulihan dan pembukaan kembali. b. Hal tersebut meliputi pengaktifan backup site, inisiasi pemrosesan alternatif, komunikasi dengan stakeholder dan pengguna, dan prosedur pembukaan
102
kembali. c. Memastikan bahwa bisnis dapat menerima waktu pemulihan TI dan menyediakan investasi teknologi yang diperlukan untuk mendukung pemulihan dan pembukaan kembali bisnis. 14. Penyimpanan Backup Offsite a. Menyimpan pada tempat penyimpanan offsite hal‐hal seperti media backup yang kritis, dokumentasi dan sumber daya TI lain yang diperlukan untuk pemulihan TI dan Business Continuity Plan. b. Menentukan konten‐konten yang ada pada tempat penyimpanan backup dengan kerjasama antara pemilik proses bisnis dan personel TI. c. Memastikan bahwa pengelolaan fasilitas penyimpanan offsite harus sejalan dengan kebijakan klasifikasi data dan praktek penyimpanan media organisasi. d. Memastikan bahwa pengaturan offsite harus di‐assess secara periodik, setidaknya setahun sekali, untuk masalah konten, keamanan dan proteksi lingkungannya. e. Memastikan
kompatibilitas
hardware
dan
software
untuk
merestorasi/memulihkan data, serta secara periodik melakukan uji coba dan data me‐refresh data yang tersimpan. 15. Review Paska Pembukaan Kembali Layanan TI a. Memastikan bahwa manajemen TI telah melakukan prosedur untuk menilai kecukupan perencanaan demi keberhasilan pembukaan kembali fungsi‐fungsi TI setelah terjadinya bencana, dan melakukan update rencana tersebut. E. Penanggung Jawab Aktifitas Penanggung jawab aktifitas ditentukan sebagaimana tabel berikut, dengan keterangan: 1. CEO: Sekretaris Jenderal 2. CFO: Kepala Biro Keuangan 3. Business Executive: Sekretaris Jenderal, Para Kepala Biro, Para Kepala Sekretariat Perwakilan 4. CIO: Kepala Biro Teknologi Informasi 5. Business Process Owners: Para Kepala Auditorat, Para Kepala Perwakilan, Para
103
Kepala Direktorat Utama, Kepala Inspektorat 6. Head Operation: Kepala Bagian Operasional dan Dukungan TI 7. Chief Architect: Kepala Bagian Pengembangan Aplikasi Komputer 8. Head Devlopment: Kasubag Pemrograman Aplikasi Komputer 9. Head IT Administration: Kepala Sub Bagian Dukungan TI, Kepala Sub Bagian Pemeliharaan TI 10. PMO: petugas yang ditunjuk oleh Kepala Biro Keuangan
CEO
CFO
Business Executive
CIO
Business Process Owners
Head Operation
Chief Architect
Head Development
Head IT Administration
PMO
Compliance, Audit, Risk and Security
11. Compliance, Audit, Risk and Security: Para Inspektur Utama
A
R
C
C
C
C
C
I
A/R
C
C
C
Membuat perkiraan kinerja dan kapasitas sumber daya TI
C
C
A/R
C
C
C
C
Melakukan analisa kesenjangan untuk mengidentifikasi
C
I
A/R
R
C
C
I
C
I
A/R
C
C
I
C
I
I
A/R
I
I
I
I
C
C
A
C
R
R
R
C
C
R
Aktivitas Menyusun proses perencanaan untuk melakukan review terhadap kinerja dan kapasitas sumber daya TI Melakukan review terhadap kinerja dan kapasitas sumber daya TI saat ini
ketidaksesuain sumber daya TI Melakukan perencanaan kontinjensi untuk mengantisipasi gangguan terhadap sumber daya TI Melakukan pemantauan dan pelaporan terus menerus terhadap ketersediaan, kinerja dan kapasitas sumber daya TI Mengembangkan IT Continuity Framework Melakukan analisa dampak bisnis dan penilaian resiko
C
C
C
C
A/R
C
C
C
C
C
Mengembangkan dan memelihara IT Continuity Plan
I
C
C
C
I
A/R
C
C
C
C
C
A/R
C
I
C
I
I
A/R
R
R
R
I
Melakukan uji coba IT Continuity plan secara periodik
I
I
A/R
C
C
I
I
Mengembangkan rencana aksi tindak lanjut terhadap hasil
C
I
A/R
C
R
R
R
I
I
R
A/R
C
R
I
I
Melakukan identifikasi dan klasifikasi sumber daya TI berdasarkan tujuan pemulihan Mendefiniskan dan melaksanakan prosedur change control untuk menjaga IT continuity plan tetap relevan
uji coba tersebut Merencanakan dan menyelenggarakan pelatihan IT Continuity
104
Merencanakan n pemulihan dan pembukaan kem mbali layanan
I
I
C
C
A/R
C C
R
R
R R
C
I
A/R
C
C
I
I
C
I
A/R
C
C
C
TI Merencanakan n dan mengimp plementasikan penyimpanan dan perlindunggan backup Menyusun prrosedur untuk melakukan revview paska pembukaan kembali
4.10. Veriifikasi Mod del Tata Keelola Paada subbab 2.3 penelittian ini telaah dijabarkkan mengennai definisi Tata Kelola Teeknologi Infformasi meenurut beberrapa sumbeer. Agar moodel Tata Kelola K yang telahh disusun memenuhi m d definisi seperti yang teelah disebuutkan, diperlukan adanya prroses verifikkasi terhadaap pengertiaan-pengertiaan yang telaah didefinissikan. Untuk lebih jelasnya,, definisi terrsebut kita tampilkan t d dalam tabel bberikut: Tabel 4.222: Perbandinngan Definiisi Tata Kellola Teknoloogi Informaasi ITGI, 2007a
Weill dkk,, 2004
ISO, 2008
•Tanggungg jawab dewaan direktur d dan manajem men eksekutiff, yang terdiri atas kepemim mpinan, struktur organisassi dan proses yang mem mastikan bahw wa TI perusaahaan menduku ung dan memperlluas strategi d dan tujuan peerusahaan
•A Aktifitas menettapkan hak pengambilan keputusan dan kerangka kkerja yang dapat dipertanggungjjawabkan (a accountabilityy frramework) un ntuk m mendorong pe erilaku pengunaan TI yyang diharapkan
•Sistem di mana penggu unaan TI saat ini dan di m masa yang akaan datang diarahkan dan dikendaalikan. Corporrate Governance of IT melibattkan aktifitas evaluassi dan pengaraahan penggu unaan TI untukk mendukung organisaasi dan pem mantauan penggu unaan tersebu ut untuk m mencapai renccana
Daari tiga penngertian Tatta Keloa Teeknologi Innformasi di atas, dapaat kita simpulkann bahwa seetidaknya ada a beberap pa hal yangg harus adda dalam seebuah model Tatta Kelola Teeknologi Infformasi, yaiitu: 1. Memuuat tanggunng jawab diirektur dan//atau manajjemen ekseekutif. organiisasi terutam ma manajem men TI.
105
2. Memuat kepemimpinan, struktur dan proses untuk memastikan dukungan terhadap tujuan bisnis perusahaan. 3. Memuat arahan terhadap penggunaan TI saat ini maupun yang diharapkan di masa yang akan datang. 4. Memuat aktifitas evaluasi dan pemantauan Keempat elemen tersebut kesemuanya telah tercantum dalam model Tata Kelola ini, yaitu: Tabel 4.23: Validasi Elemen Tata Kelola Teknologi Informasi Element Tata Kelola
Tercantum dalam
Tanggung jawab manajemen eksekutif Dalam Tata Kelola ini, tanggung jawab organisasi dan TI
eksekutif dan organisasi dijabarkan dalam bentuk
kebijakan.
Kebijakan
tersebut
mengandung policies, prcedures, practices dan struktur organisasi. Secara lebih detil, tanggung jawab dinyatakan dalam bentuk tabel RACI yaitu definisi siapa saja yang terlibat sebagai pihak
yang
Responsible,
Accountable,
Consulted dan Informed. Hal ini dapat dilihat pada Lampiran Surat Keputusan Sekretaris Jenderal,
khususnya
Poin
E
mengenai
Penanggung Jawab Aktifitas pada halaman 100 Kepemimpinan, struktur dan proses Dalam Tata Kelola ini, hal tersebut termuat untuk memastikan dukungan terhadap pada beberapa bagian, yang pertama adalah tujuan bisnis perusahaan
bagian yang menjelaskan mengenai hubungan antara Goals and Metrics dengan tujuan bisnis yang dijelaskan pada Gambar 4.7 halaman 84 dan butir-butir penjelasan yang mengikutinya. Selain itu beberapa pernyataan kebijakan juga mencantumkan mengenai struktur dan proses dalam memastikan dukungan terhadap bisnis tersebut antara lain Poin D butir 6a yaitu
106
Element Tata Kelola
Tercantum dalam pembuatan kerangka kerja IT Continuity untuk mendukung
Business
Continuity
organisas
(halaman 97). Struktur organisasi yang dimuat di sini bukanlah struktur dalam artian posisi struktural dalam organisasi, namun lebih merupakan struktur hubungan fungsional yang dikaitkan dengan strukural organisasi yang telah ada. Arahan terhadap penggunaan TI saat Pada dasarnya semua bagian dalam model Tata ini maupun yang diharapkan di masa Kelola ini adalah arahan terhadap aktifitas TI di yang akan datang
masa yang akan datang. Namun secara lebih jelas, hal tersebut dicantumkan dalam analisa dan rekomendasi peningkatan kematangan yang tercantum pada sub bab 4.7, halaman 71. Beberapa butir kebijakan juga mejelaskan mengenai prediksi kebutuhan masa yang akan datang, yaitu Poin D butir 3 Kapasitas dan Kinerja yang Akan Datang, halaman 96.
Aktifitas evaluasi dan pemantauan
Pada
sub
bab
4.7
yaitu
rekomendasi
peningkatan kematangan terdapat satu atribut yang berisikan pemantauan yaitu Goal Setting and Measurement, hal tersebut tercantum pada halamn 71. Selain itu, pada bagian kebijakan juga memuat hal-hal terkait dengan evaluasi, uji coba dan pemantauan, yaitu poin D butir 5, Pemantaun dan Pelaporan halaman 96.
Dengan demikian dapat dikatakan bahwa Tata Kelola yang telah disusun memenuhi elemen-elemen pada definisi Tata Kelola seperti yang telah disebutkan di atas.
107
[halaman ini sengaja dibiarkan kosong]
108
BAB 5 KESIMPULAN DAN SARAN
5.1. Kesimpulan Dari hasil penelitian di atas, dapat ditarik beberapa kesimpulan sebagai berikut: 1. Secara umum, semua atribut proses TI yang terkait dengan ketersediaan layanan yaitu proses DS3 (Manage Performance and Capacity) dan DS4 (Ensure Continuous Service) saat ini berada pada tingkat kedewasaan 2 (Repeatable but Intuitive). Hal ini berarti bahwa sebagian besar proses dapat diulang, namun masih sangat
bergantung
kepada
pengetahuan individu, sehingga
kemungkinan terjadinya kesalahan cukup besar. 2. Khusus untuk atribut Goal Setting and Measurement pada proses DS4 saat ini berada pada tingkat kematangan 1 (Initial/Ad Hoc), yang berarti belum ada penentuan dan pengukuran pencapaian yang jelas. Hal ini memerlukan perhatian lebih dari manajemen mengingat atribut ini berada pada tingkat paling renndah dibandingkan atribut-atribut lain pada proses DS3 maupun DS4. Atribut ini perlu mendapat prioritas untuk dilakukan tindakantindakan perbaikan. 3. Sebagian besar atribut proses DS3 dan DS4 diharapkan dapat berada pada tingkat kematangan 4 (Managed and Measurable). Hal ini berarti bahwa manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif, serta adanya otomasi perangkat untuk memantau berbagai sumber daya Teknologi Informasi. 4. Khusus untuk atribut Skill and Expertise pada proses DS3 diharapkan dapat berada pada tingkat kedewasaan 5 (Optimised), yaitu
organisasi
secara
109
formal
mendorong
staf
untuk
mengembangkan keahlian secara berkelanjutan sesuai tujuan perusahaan. Pelatihan dan pembelajaran menerapkan external best practices serta telah menggunakan konsep dan teknik terkini. 5. Telah disusun langkah-langkah rekomendasi yang bertujuan untuk meningkatkan kematangan sesuai yang diharapkan. Rekomendasi juga dilengkapi dengan outcome measure dan performance indicator serta draft kebijakan yang dapat menjadi panduan dalam mengelola ketersediaan layanan TI.
5.2. Saran 1. Pada penelitian ini telah dihasilkan suatu tata kelola berupa hal-hal apa saja yang harus dicapai untuk memperbaiki pengelolaan ketersediaan layanan TI. Untuk dapat menerapkan tata kelola seperti di atas, manajemen TI di BPK-RI disarankan untuk merumuskan
cara
dan
target
waktu
pencapaian
dengan
mempertimbangkan sumber daya yang dimiliki organisasi dan biaya yang dapat dialokasikan oleh organisasi untuk pencapaian target tersebut. 2. Agar hasil tata kelola dapat lebih maksimal, manajemen diharapkan dapat memadukan hasil penelitian serupa pada proses TI yang lain, sehingga pada pelaksanaanya dapat lebih terintegrasi dan mendapatkan hasil yang maksimal
110
DAFTAR PUSTAKA BPK-RI (2006a), “Rencana Strategis”, Badan Pemeriksa Keuangan – RI, Jakarta BPK-RI (2006b), “Rencana Strategis Teknologi Informasi”, Badan Pemeriksa Keuangan – RI, Jakarta Davis, Gordon B. dan Hamilton, Scott (1993), “Managing Information”, Business One Irwin, Illinois Djatmiko, Bambang (2007), “Audit Sistem Informasi Untuk Menilai Proses Penyampaian Dan Dukungan ( Delivery and Support ) Dalam Pelayanan Informasi Dengan Menggunakan Framework COBIT Studi Kasus : PT. Telekomunikasi Indonesia, Tbk. R & D Center”, Tesis Master, Institut Teknologi Bandung, Bandung International Organization for Standardization (2008), “Corporate Governance of Information Technology”, ISO/IEC 38500:2008, International Organization for Standardization, Geneva IT Governance Institute (2008a), “IT Governance and Process Maturity”, IT Governance Institute. IT Governance Institute (2008b), “COBIT Mapping: Mapping of ITIL v3 With COBIT 4.1”, IT Governance Institute. IT Governance Institute (2007a), “COBIT 4.1 Framework, Control Objectives, Management Guidelines, Maturity Models”, IT Governance Institute. IT Governance Institute (2007b), “IT Governance Implemetation Guide”, IT Governance Institute. IT Governance Institute (2000), “COBIT 3rd Implementation Tol Set”, IT Governance Institute. IT Service Management Forum (2007), “An Introductory Overview of ITIL V3”, IT Service Management Forum. Merriam-Websterebster
(2010),
“Merriam-Webster
Online
http://www.merriam-webster.com/dictionary/information (diakses tanggal 21 April 2010).
111
Dictionary”, technology
O’Brien, James A. (2004), “Management Information System, Sixth Edition”, McGraw-Hill/Irwin Office of Government Commerce (2007a), “The Official Introduction to the ITIL Service Lifecycle”, The Stationary Office Office of Government Commerce (2007b), “ITIL Service Design”, The Stationary Office Peppard, Joe dan Ward, John (2002), “Strategic Planning for Information System”, John Wiley & Sons, Ltd, England Service Availability Forum (2009). “The Service Availability Forum and Open Specification Solutions”, Service Availability Forum Spafford, George (2003), “The Benefits of Standard IT Governance Frameworks”, ITSM Watch, http://www.itsmwatch.com/itil/article.php/2195051 (diakses tanggal 25 Nopember 2009) Surendro, Kridanto (2009), “Implementasi Tata Kelola Teknologi Informasi”, Penerbit Informatika, Bandung. Weill, Peter dan Ross, Jeanne W (2004), “IT Governance; How Top Performers Manage IT Decision Rights for Superior Results”, Harvard Business School Press, Boston Wikipedia
(2009),
“Service
Availability”,
Wikipedia
Foundation
http://en.wikipedia.org/wiki/Service_availability (diakses tanggal 20 April 2010)
112
LAMPIRAN 1 MATRIKS ATRIBUT KEMATANGAN Matriks Atribut Kematangan DS3
0
1
Awareness and Communication Manajemen tidak menyadari bahwa kebutuhan bisnis terhadap kinerja TI mungkin dapat melampaui kapasitas yang tersedia Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas. Komunikasi masalah tersebut bersifat sporadis
2
Manajemen menyadari akibat tidak adanya pengelolaan kinerja dan kapasitas Manajemen mengkomunikasikan keseluruhan hal tersebut
Policies, Standards and Procedures Manajemen tidak menyadari perlunya proses perencanan kapasitas yang sesuai
Tools and Automation Tidak adanya kebutuhan perangkat untuk mengelola kinerja dan kapasitas
Proses perencanaan bersifat informal.
Beberapa alat antu pengelolaan mungkin telah ada, namun belum ada perencanan penggunakan software untuk pengelolaan kinerja dan kapasitas
Tindakan yang diambil untuk mengelola kinerja dan kapasitas umumnya bersifat reaktif dan adhoc Beberapa masalah yang mirip terkait kinerja dan kapasitas diselesaikan dengan dengan mengandalkan keahlian orang-per orang.
Beberapa perangkat telah digunakan untuk mendiagnosa masalah kinerja dan kapasitas, namun masih sangat bergantung kepada solusi individual
113
Skills and Expertise Tidak ada kebutuhan keahlian untuk mengelola kinerja dan kapasitas
Responsibility and Accountability Tidak ada kebutuhan akan akuntabilitas dan tanggungjawab dalam mengelola kinerja dan kapasitas
Goal Setting and Measurement Tidak ada kebutuhan penetapan tujuan dan pengukuran atas pengelolaan kinerja dan kapasitas
Kebutuhan keahlian pengelolaan kinerja dan kapasitas belum teridentifikasi. Belum ada rencana pelatihan untuk itu
Tidak batasan tanggung jawab pengelolaan kinerja dan kapasitas. Pengguna memecahkan kendala kapasitasnya sendiri
Tujuan pengelolaan tidak jelas dan tidak ada pengukuran yang dilakukan
Konsistensi hasil pengelolaan bergantung pada keahlian dari personil utama.
Pengelolaan hanya berdasarkan inisiatif individu Terdapat ketidakjelasan tanggung jawab pengelolaan kinerja dan kapasitas ketika terjadi masalah, dan budanya saling menyalahkan cenderung muncul
Pelatihan dilakukan sebagai respon atas kebutuhan, bukan
Tidak ada pengukuran keseluruhan kapabilitas kinerja pada kondisi puncak dan worst-case Beberapa pengukuran kinerja didasarkan kepada kebutuhan TI
Awareness and Communication
3
Adanya pemahaman bersama bahwa tindakan pengelolaan kinerja dan kapasitas memang diperlukan. Manajemen sudah mulai mengkomunikasikan hal tersebut secara lebih formal
4
Semua pihak dalam organisasi telah memahami adanya kebutuhan bagi pengelolaan kinerja yang memadahi dan kapasitas dan tindakantindakan yang diperlukan. Pelaporan mengenai kinerja dan kapasitas dipahami oleh pengguna
Policies, Standards and Procedures Beberapa dokumentasi kinerja dan kapasitas sudah mulai dibuat Kebutuhan kapasitas dan kinerja didefinisikan berdasarkan praktik umum. Beberapa aktifitas kunci sudah memiliki dokumen mengenai kebijakan, rencana dan prosedur terkait kinerja dan kapasitas
Secara umum, kebijakan, perencanaan dan prosedur sudah dibuat berdasarkan best-practice internal. Semua aspek proses dan permasalahan kinerja dan kapasitas diselesaikan dengan mengacu kepada prosedur standar yang sudah didefinisikan
Tools and Automation
Skills and Expertise
Goal Setting and Measurement dan bukan kebutuhan pengguna
Tanggung jawab dan akuntabilitas proses sudah terdefinisi berikut kepemilikan prosesnya. Namun terdapat ketidak jelasan wewenang bagi pemilik proses
Adanya pendefinisian kebutuhan tingkat layanan dan metriknya yang dapat digunakan untuk melakukan pengukuran kinerja operasional
karena perencanaan Adanya perencanaan penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan kinerja dan kapasitas.
Kebutuhan keahlian dalam mengelola kinerja dan kapasitas telah diidentifikasi dan didokumentasikan secara lengkap.
Telah digunakan beberapa perangkat namun masih belum terintegrasi
Perencanaan pelatihan formal telah dikembangkan. Namun bentuk pelatihan masih didasarkan inisiatif perorangan
Adanya pelaporan yang menunjukkan statisktik kinerja Penggunaan perangkat untuk pengelolaan kinerja dan kapasitas sudah sesuai dengan perencanaan standar, bahkan sudah terintegrasi dengan tool lain yang terkait
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan kinerja dan kapasitas.
Adanya informasi yang up-to-date mengenai statistik kinerja dan alert atas insiden
114
Responsibility and Accountability
Pelatihan formal terhadap staf terkait pengelolaan kinerja dan kapasitas telah dilakukan sesuai dengan rencana dan ada mekanisme sharing
Konsep IT scorecard sudah mulai diterapkan sebagai sarana pengukuran
Tanggungjawab dan akuntabilitas pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk
Tersedianya perangkat dan proses untuk mengukur penggunaan sistem, kinerja dan kapasitas; dan hasilnya dibandingkan dengan tujuan bisnis dan Rencana Strategis TI Metrik untuk melakukan pengukuran kinerja dan kapasitas telah disetujui bersama,
Awareness and Communication
Policies, Standards and Procedures
Informasi mengenai hal tesebut sudah dibakukan dalam bentuk surat resmi, sepeti Surat Keputusan
5
Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional
Dokumen rencana, kebijakan dan prosedur pengelolaan kinerja dan kapasitas sudah berdasarkan bestpractice standard dan terintegrasi sehingga memudahkan perbaikan
Tools and Automation akibat kurangnya kinerja dan kapasitas
pengetahuan di antara personel
Perangkat untuk memantau sumber daya TI yang kritis telah sesuai standar dan dikaitkan dengan sistem pengelolaan insiden perusahaan.
Perusahaan secara formal mendorong staf untuk mengembangkan keahlian secara berkelanjutan sesuai tujuan perusahaan.
Perangkat monitoring dapat mendeteksi dan secara otomatis memperbaiki permasalahan terkait kinerja dan kapasitas
Pelatihan dan pembelajaran menerapka external best practices serta telah menggunakan konsep dan teknik terkini.
115
Skills and Expertise
Responsibility and Accountability memberikan penghargaan sebagai upaya memotivasi peran ini
Pemilik proses memiliki wewenang untuk memutuskan dan mengambil tindakan. Pemahaman dan penerimaan atas distribusi tanggung jawab telah tersebar secara menyeluruh ke dalam organisasi secara konsisten
Goal Setting and Measurement meskipun pelaksanaanya mungkin masih sporadis dan tidak konsisten Perbaikan berkelanjutan telah sudah mulai dilakukan. Metrik untuk melakukan pengukuran kinerja dan kapasitas sudah dijabarkan kedalam outcome measure dan performance indicator untuk proses-proses bisnis yang kritis.
Knowledge sharing menjadi budaya perusahaan.
Adanya analisa trend dan informasi mengenai peningkatan volume bisnis sehingga dapat menjadi bahan perencanaan untuk menghindari permasalahan terkait
Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan
Manajemen melakukan penyesuaian terhadap perencanaan kinerja dan kapasitas sebagai
Awareness and Communication
Policies, Standards and Procedures
Tools and Automation
Skills and Expertise
Responsibility and Accountability
Goal Setting and Measurement tindak lanjut dari hasil pengukuran Infrastruktur TI dan kebutuhan bisnis secara berkala di-review untuk memastikan kapasitas optimal dicapai dengan biaya seminim mungkin
Matriks Atribut Kematangan DS4
0
1
Awareness and Communication Tidak ada pemahaman mengenai resiko, kerentanan dan ancaman terhadap layanan TI atau dampak tidak adanya layanan TI pada bisnis. Kesinambungan layanan tidak dianggap memerlukan perhatian manajemen Manajemen mulai menyadari kebutuhan dan resiko-resiko yang
Policies, Standards and Procedures Tidak ada kebijakan, standar dan prosedur untuk memastikan layanan yang berkelanjutan
Tools and Automation Tidak adanya perangkat untuk memastikan layanan yang berkelanjutan
Tidak ada prosedur pengelolaan kesinambungan layanan
Beberapa perangkat mungkin telah ada, karena memang sudah
116
Skills and Expertise Tidak ada kebutuhan keahlian dan kepakaran untuk memastikan layanan yang berkelanjutan
Responsibility and Accountability Tidak ada kebutuhan akan tanggungjawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan
Goal Setting and Measurement Tidak ada kebutuhan untuk menentukan dan mengukur pencapaian dalam memastikan layanan yang berkelanjutan
Belum ada dalam perencanaan adanya pelatihan dan belum
Tanggungjawab atas layanan yang berkelanjutan bersifat
Belum ada penentuan dan pengukuran pencapaian yang jelas
Awareness and Communication terkait dengan layanan yang berkelanjutan Fokus manajemen terhadap layanan yang berkelanjutan adalah adalah kepada sumberdaya infrastruktur, dan bukan kepada layanan TI.
Policies, Standards and Procedures yang standar. Respon terhadap gangguan mayor bersifat reaktif dan tidak disiapkan sebelumnya
Tools and Automation tersedia (bawaan) dalam perangkat standar.
Skills and Expertise ada pelatihan formal yang dilakukan
Belum ada perencanaan dalam penggunaan perangkat tersebut
Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan
Manajemen secara parsial mengkomunikasikan kepedulian tersebut 2
Organisasi memiliki kesadaran dan komitmen bahwa kebutuhan layanan yang berkelanjutan harus ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan proses memastikan layanan yang berkelanjutan
Pendekatan terhadap layanan yang berkesinambungan masih terpisah-pisah. Meskpiun sudah ada komitment untuk layanan yang berkelanjutan, namun belum ada IT continuity plan yang terdokumentasi
Pemanfaatan peralatan untuk memastikan layanan yang berkelanjutan sudah menggunakan pendekatan yang umum di bidang tersebut, namun masih sangat bergantung kepada perorangan
Inventarisasi terhadap sistem dan komponen yang kritis ada namun
117
Responsibility and Accountability informal, dan kewenangan untuk menjalankan tanggung jawab tersebut bersifat terbatas.
Ketergantungan yang tinggi pada kemampuan dan keahlian individu. Pelatihan dilakukan sebagai respon atas kebutuhan, bukan karena perencanaan
Pengguna memecahkan sendiri masalah yang terkait dengan gangguan layanan Tanggungjawab untuk memastikan layanan yang berkelanjutan belum ditetapkan secara formal. Bila terjadi permasalahan terkait dengan keberlanjutan layanan, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
Goal Setting and Measurement untuk memastikan layanan yang berkelanjutan Rencana untuk mengatasi kekurangan layanan didasarkan pada kebutuhan TI dan tidak mempertimbangkan kebutuhan bisnis
Laporan ketersediaan sistem bersifat sporadis, mungkin tidak lengkap dan tidak memperhitungkan dampak bisnis
Awareness and Communication 3
Kebutuhan pengelolaan layanan yang berkelanjutan telah dipahami dan diterima dalam organisasi. Manajemen secara konsisten mengkomunikasikan perlunya perencanaan untuk memastikan layanan yang berkelanjutan secara lebih terstruktur
4
Kebutuhan untuk memastikan layanan yang berkelanjutan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi.
Policies, Standards and Procedures tidak dapat diandalkan IT continuity plan sudah terdokumentasi dan berdasarkan tingkat kekritisan sistem dan dampak bisnisnya. High availibility component dan redundansi sistem sudah diterapkan. Individu mengambil inisiatif untuk mengkuti good practices dan mendapatkan training untuk mengatasi insiden mayor atau bencana Inventarisasi terhadap sistem dan komponen kritis dipelihara Aktifitas pemeliharaan didasarkan pada hasil testing layanan yang berkelanjutan, internal good practices, dan lingkungan bisnis dan TI yang mengalami perubahan.
Tools and Automation
Skills and Expertise
Responsibility and Accountability
Adanya perencanaan penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan layanan yang berkelanjutan.
Keahlian yang dibutuhkan dalam memastikan layanan yang berkelanjutan telah diidentifikasi dan didokumentasikan secara lengkap.
Tanggungjawab untuk perencanaan dan pengetesan layanan yang berkelanjutan sudah terdefinisi dan ditetapkan termasuk juga siapa pemilik prosesnya.
Sebagian komponen memiliki ketersediaan tinggi dan redundansi sistem telah mulai diterapkan
Perencanaan pelatihan formal telah dikembangkan.
Penggunaan perangkat untuk memonitor kondisi dan permasalahan terganggunya layanan telah menggunakan standar dan sudah mulai terintegrasi dengan perangkat lain.
Training formal dan wajib tersedia untuk proses layanan yang berkelanjutan sebagai bagian dari pengembangan karir
118
Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan
Ditumbuhkannya budaya knowledge
Pemilik proses memiliki keterbatasan wewenang dalam menjalankan tanggung jawabnya
Tanggung jawab dan standar untuk layanan yang berkelanjutan telah ditetapkan. Tanggungjawab untuk memelihara rencanan layanan yang berkelanjutan telah
Goal Setting and Measurement Pengukuran proses mulai dilakukan walaupun masih belum konsisten. Ada pelaporan secara periodik dari testing layanan yang berkelanjutan IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar
Tujuan dan pengukuran dalam memastikan layanan yang berkelanjutan telah mencakup aspek efisiensi dan efektifitas, namun mungkin diukur secara tidak konsisten
Awareness and Communication Insiden terputusnya layanan diklasifikasikan jalur eskalasi ke atas diketahui oleh semua pihak yang terlibat Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul
5
Kebutuhan untuk memastikan layanan yang berkelanjutan dan pemahaman atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Praktek eskalasi telah dipahami dan
Policies, Standards and Procedures Praktek-praktek yang baik untuk ketersediaan sistem diterapkan secara konsisten dan dapat diulang berdasakan dokumen yang ada.
Tools and Automation
Skills and Expertise sharing.
Data yang terstruktur mengenai layanan yang berkelanjutan telah didapatkan, dianalisa, dilaporkan, dan diterapkan
Sudah ada mekanisme reward untuk memberikan motivasi positif
Pelaksanaan redundansi dan pengaruh perencanaan layanan secara kontinu saling mempengaruhi satu sama lain Kebijakan, perencanaan dan prosedur layanan berkesinambungan dan rencana kelangsungan bisnis telah terintegrasi, disesuaikan, dan dipelihara secara rutin berdasarkan bestpractice eksternal. IT continuity plan
Goal Setting and Measurement Data yang terstruktur mengenai layanan yang berkelanjutan dikumpulkan, dianalisa dilaporkan dan ditindaklanjuti Ada kaitan yang jelas dengan tujuan bisnis dan rencana strategis TI. IT balanced scorecard telah diterapkan dalam pengukuran dan telah distandarkan
Pelaksanaan redundansi sistem, termasuk penggunaan komponen yang banyak tesedia telah dilakukan secara konsisten.
Pengumpulan dan analisa data digunakan untuk mengidentifikasi peluang peningkatan. Adanya penggunaan perangkat untuk mendukung untuk melakukan langkah perbaikan dan mendeteksi adanya
119
Responsibility and Accountability ditetapkan
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan.
Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik.
Pelatihan dan pembelajaran mengikuti external best practices serta telah
Pemilik proses diberdayakan sehingga dapat membuat keputusan dan
Tujuan dan metrik untuk pencapaian layanan yang bekelanjutan telah diukur secara sistematis Adanya testing yang menyeluruh terhadap IT continuitiy plan dan menjadi masukan untuk meng-update
Awareness and Communication ditegakkan secara menyeluruh. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Perkembangan trend kesinambungan layanan selalu di-update melalui forum-forum pertemuan nasional dan internasional
Policies, Standards and Procedures terintegrasi dengan business continuity plan dan dipelihara secara rutin
Tools and Automation permasalahan untuk memastikan layanan yang berkelanjutan
Praktek ketersediaan dan perencanaan layanan yang berkelanjutan sesuai sepenuhnya
menggunakan konsep dan teknik terkini.
Responsibility and Accountability melakukan tindakan yang diperlukan
Pelatihan untuk staf untuk memastikan layanan yang berkelanjutan telah dilembagakan.
Kebutuhan untuk memastikan layanan yang berkelanjutan aman dan terbebas dari vendor dan supplier
Sharing pengetahuan menjadi budaya perusahaan.
Manajemen memastikan bahwa bencana atau insiden mayor akibat adanya single point of failure tidak akan terjadi
Ahli dari luar dapat dimanfaatkan sebagai konsultan yang mampu memberikan panduan
120
Skills and Expertise
Goal Setting and Measurement perencanaan Manajemen melakukan penyesuaian terhadap perencanaan layanan yang berkelanjutan sebagai tindak lanjut dari hasil pengukuran Pengumpulan dan analisa data digunakan untuk perbaikan proses yang terus menerus
LAMPIRAN 2 KUISIONER TINGKAT KEMATANGAN
KUISIONER TINGKAT KEMATANGAN Kuisioner ini adalah bagian dari penelitian tesis mahasiswa Magister Manajemen Teknologi Bidang Keahlian Manajemen Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan IT khususnya yang terkait dengan Ketersediaan Layanan yang saat ini diterapkan oleh BPK-RI. Kuisioner ini dikembangkan dari standar pengelolaan IT COBIT (Control Objectives for Information and Related Technology), yang difokuskan pada domain Delivery & Support (DS) yang terkait dengan ketersediaan layanan. Pertanyaan-pertanyaan dalam wawancara ini dikelompokkan menurut atribut kematangan dan proses yang diamati, dan pada tiap kelompok pertanyaan akan melibatkan 2 (dua) pertanyaan yang masing-masing mewakili kondisi saat ini dan kondisi yang diharapkan. Masing-masing pertanyaan mempunyai 6 (enam) pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu pada proses yang diamati. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan, selanjutnya akan dilakukan analisis yang diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam Proses TI terkait. Untuk itu mohon kiranya Bapak/Ibu dapat memberikan opini dan pendapatnya mengenai pernyataan-pernyataan yang akan diberikan dalam kuisioner ini..
Nama Responden Jabatan Unit Kerja
121
Catatan: Pada bagian berikut, Bapak/Ibu akan dimintai pendapat mengenai kondisi pengelolaan TI yang terkait dengan ketersediaan layanan. Kondisi-kondisi yang ada direpresentasikan ke dalam 6 tingkat kematangan mulai dari tingkat kematangan 0 sampai dengan tingkat kematangan 5. Setiap tingkat kedewasaan memiliki deskripsi yang berbeda-beda, namun demikian terdapat ciri-ciri pokok yang utama kedewasaan yang sama untuk atribut yang berbeda. Untuk mempermudah pengisian, berikut dijelaskan ciri-ciri utama pada setiap tingkat kedewasaan: No
Tingkat Kedewasaan
1. 0 Non-Existent
Ciri-ciri • •
2. 1 Initial/Ad Hoc
•
•
•
3. 2 Repeatable but Intuitive
•
•
•
122
Tidak ada proses pengelolaan sama sekali terkait suatu masalah Manajemen Biro TI (Kepala Biro, Kabag dan Kasubag di bawahnya) tidak merasa bahwa proses tersebut perlu dan harus dikelola Manajemen Biro TI merasa bahwa harus ada proses pengelolaan untuk suatu permasalahan Tidak ada pedoman tertulis berupa SOP atau pedoman lain yang disyahkan melalui SK yang dapat digunakan untuk menyelesaikan suatu permasalahan Setiap staf di Biro TI menyelesaikan permasalahan berdasarkan inisiatif masing-masing Dalam menyelesaikan suatu permasalahan, staf pelaksana mengacu kepada kebiasaan tidak tertulis, tidak ada SOP dan sejenisnya untuk sebagai dasar penyelesaian Tidak ada pembagian tugas dan tanggung jawab yang jelas, baik antar Sub Bagian maupun antar personil dalam satu Sub Bagian Penyelesaian permasalahan oleh seorang pelaksana dianggap cukup
sebagai penyelesaian masalah •
4. 3 Defined Proses
• •
•
5. 4 Managed and Measurable
•
•
•
6. 5 Optimised
•
•
Telah terdapat SOP yang disyahkan melalui SK untuk penyelesaian suatu permasalahan beserta pembagian tanggung jawabnya SOP tersebut mencakup hal-hal yang utama dan mendasar Tidak ada evaluasi dari manajemen biro TI terhadap pelaksanaan SOP tersebut di lapangan SOP sudah baik dan mencakup hampir semua proses dan aktifitas yang ada Pelaksanaan SOP di lapangan dipantau, diukur dan dilaporkan kepada manajemen Biro TI Manajemen dan pelaksanan Biro TI menggunakan alat bantu untuk mengotomasi prosedur sesuai dengan SOP tersebut Manajemen Biro TI melakukan evaluasi terhadap SOP dan selanjutnya hasil evaluasi dilakukan sebagai masukan untuk perbaikan SOP yang berkelanjutan SOP juga disesuaikan dengan standard eksternal seperti SNI, ISO atau standard lainnya Pelaksanaan SOP telah sepenuhnya memanfaatkan alat bantu TI secaa terintegrasi untuk pencatatan, evaluasi dan pelaporan pelaksanaanya
Terdapat dua kelompok pertanyaan, yang masing-masing terdiri atas 6 aspek/atribut, yaitu: 1) Mengelola Kinerja dan Kapasitas a) Kepedulian dan Komunikasi b) Kebijakan Standar dan Prosedur c) Perangkat dan Otomasi
123
d) Keahlian dan Kepakaran e) Tanggung Jawab dan Akuntabilitas f) Menetapkan Tujuan dan Pengukuran 2) Memastikan Layanan yang Berkelanjutan a) Kepedulian dan Komunikasi b) Kebijakan Standar dan Prosedur c) Perangkat dan Otomasi d) Keahlian dan Kepakaran e) Tanggung Jawab dan Akuntabilitas f) Menetapkan Tujuan dan Pengukuran
124
DS3. Mengelola Kinerja dan Kapasitas I. Kepedulian dan Komunikasi Bagaimanakah kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola kinerja dan kapasitas?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Manajemen belum menyadari perlunya pengelolaan kinerja dan kapasitas. b. Initial/Ad Hoc: Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas. c. Repeatable but Intuitive: Manajemen TI dan manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola. d. Defined: Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Manajemen sudah mulai mengkomunikasikan hal tersebut secara semi formal e. Managed and Measurable: Semua pihak dalam organisasi telah memahami adanya kebutuhan bagi pengelolaan kinerja dan kapasitas dan tindakan-tindakan yang diperlukan. Informasi mengenai hal tesebut sudah dibakukan dalam bentuk surat resmi, sepeti Surat Keputusan f.
Optimised: Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional.
125
DS3. Mengelola Kinerja dan Kapasitas II. Kebijakan, Standar dan Prosedur Bagaimanakah penerapan kebijakan, standar dan prosedur yang dilakukan dalam mengelola kinerja dan kapasitas
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Manajemen tidak menyadari perlunya proses perencanan kapasitas yang sesuai. b. Initial/Ad Hoc: Proses perencanaan bersifat informal. Manajemen kinerja dan kapasitas bersifat reaktif dan tidak teratur. c. Repeatable but Intuitive: Beberapa masalah yang mirip terkait kinerja dan kapasitas diselesaikan dengan dengan mengandalkan keahlian orang-per orang. Beberapa dokumentasi kinerja dan kapasitas sudah mulai dibuat. d. Defined: Kebutuhan kapasitas dan kinerja didefinisikan berdasarkan praktik umum. Beberapa aktifitas kunci sudah memiliki dokumen mengenai kebijakan, rencana dan prosedur terkait kinerja dan kapasitas. e. Managed and Measurable: Secara umum, kebijakan, perencanaan dan prosedur sudah dibuat berdasarkan best-practice internal. Semua aspek dan proses bisa diulang berdasakan dokumen yang ada. f.
Optimised: Dokumen rencana, kebijakan dan prosedur pengelolaan kinerja dan kapasitas sudah berdasarkan best-practice standard dan terintegrasi sehingga memudahkan perbaikan.
126
DS3. Mengelola Kinerja dan Kapasitas III. Perangkat dan Otomasi Bagaimanakah penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola kinerja dan kapasitas?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak adanya kebutuhan perangkat untuk mengelola kinerja dan kapasitas. b. Initial/Ad Hoc: Beberapa alat bantu pengelolaan mungkin telah ada, namun belum ada perencanan penggunakan software untuk pengelolaan kinerja dan kapasitas. c. Repeatable but Intuitive: Pendekatan umum dalam pemanfaatan peralatan untuk mengelola kapasitas sudah ada, namun masih sangat tergantung kepada individu pelaksana. d. Defined: Adanya perencanaan penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan kinerja dan kapasitas. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Managed and Measurable: Penggunaan perangkat untuk pengelolaan kinerja dan kapasitas sudah sesuai dengan perencanaan standar, bahkan sudah terintegrasi dengan tool lain yang terkait. f.
Optimised: Perangkat yang standar sudah digunakan secara luas di oganiasasi. Dengan tool tersebut sudah bisa mendukung untuk melakukan langkah perbaikan dan mendeteksi adanya permasalahan terkait kinerja dan kapasitas.
127
DS3. Mengelola Kinerja dan Kapasitas IV. Keahlian dan Kepakaran Bagaimanakah pengembangan keahlian dan kepakaran dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola kinerja dan kapasitas?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebutuhan keahlian untuk mengelola kinerja dan kapasitas b. Initial/Ad Hoc: Kebutuhan keahlian pengelolaan kinerja dan kapasitas belum teridentifikasi. Belum ada rencana pelatihan untuk itu c. Repeatable but Intuitive: Konsistensi hasil pengelolaan bergantung pada keahlian dari personil utama. Pelatihan dilakukan sebagai respon atas kebutuhan, bukan karena perencanaan d. Defined: Kebutuhan keahlian dalam mengelola kinerja dan kapasitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Namun bentuk pelatihan masih didasarkan inisiatif perorangan. e. Managed and Measurable: Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan kinerja dan kapasitas. Pelatihan formal terhadap staf terkait pengelolaan kinerja dan kapasitas telah dilakukan sesuai dengan rencana dan ada mekanisme sharing pengetahuan di antara personel. f.
Optimised: Perusahaan secara formal mendorong staf untuk mengembangkan keahlian secara berkelanjutan sesuai tujuan perusahaan. Pelatihan dan pembelajaran menerapka external best practices serta telah menggunakan konsep dan teknik terkini. Knowledge sharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
128
DS3. Mengelola Kinerja dan Kapasitas V. Tanggung Jawab dan Akuntabilitas Bagaimanakah penetapan tanggung jawab dan akuntabilitas dalam mengelola kinerja dan kapasitas?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebutuhan akan akuntabilitas dan tanggungjawab dalam mengelola kinerja dan kapasitas. b. Initial/Ad Hoc: Tidak batasan tanggung jawab pengelolaan kinerja dan kapasitas. Pengelolaan hanya berdasarkan inisiatif individu. c. Repeatable but Intuitive: Terdapat ketidakjelasan tanggung jawab pengelolaan kinerja dan kapasitas ketika terjadi masalah, dan budanya saling menyalahkan cenderung muncul. d. Defined: Tanggung jawab dan akuntabilitas proses sudah terdefinisi berikut kepemilikan prosesnya. Namun terdapat ketidak jelasan wewenang bagi pemilik proses. e. Managed and Measurable: Tanggungjawab dan akuntabilitas pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f.
Optimised: Pemilik proses memiliki wewenang untuk memutuskan dan mengambil tindakan. Pemahaman dan penerimaan atas distribusi tanggung jawab telah tersebar secara menyeluruh ke dalam organisasi secara konsisten.
129
DS3. Mengelola Kinerja dan Kapasitas VI. Menetapkan Tujuan dan Pengukuran Bagaimanakah penentuan dan pengukuran pencapaian dalam mengelola kinerja dan kapasitas?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebutuhan penetapan tujuan dan pengukuran atas pengelolaan kinerja dan kapasitas. b. Initial/Ad Hoc: Tujuan pengelolaan tidak jelas dan tidak ada pengukuran yang dilakukan. c. Repeatable but Intuitive: Tidak ada pengukuran keseluruhan kapabilitas kinerja pada kondisi puncak dan worst-case. d. Defined: Adanya pendefinisian kebutuhan tingkat layanan dan metriknya yang dapat digunakan untuk melakukan pengukuran kinerja operasional. Konsep IT scorecard sudah mulai diterapkan sebagai sarana pengukuran. e. Managed and Measurable: Tersedianya perangkat dan proses untuk mengukur penggunaan sistem, kinerja dan kapasitas; dan hasilnya dibandingkan dengan tujuan bisnis dan Rencana Strategis TI. Metrik untuk melakukan pengukuran kinerja dan kapasitas telah disetujui bersama, meskipun pelaksanaanya mungkin masih sporadis dan tidak konsisten. Perbaikan berkelanjutan telah sudah mulai dilakukan. f.
Optimised: Metrik untuk melakukan pengukuran kinerja dan kapasitas sudah dijabarkan kedalam outcome measure dan performance indicator untuk prosesproses bisnis yang kritis. Manajemen melakukan penyesuaian terhadap perencanaan kinerja dan kapasitas sebagai tindak lanjut dari hasil pengukuran.
130
DS4. Memastikan Layanan yang Berkelanjutan I. Kepedulian dan Komunikasi Bagaimanakah kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memastikan layanan yang berkelanjutan?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada pemahaman mengenai resiko, kerentanan dan ancaman terhadap layanan TI atau dampak tidak adanya layanan TI pada bisnis. b. Initial/Ad Hoc: Manajemen mulai menyadari kebutuhan dan resiko-resiko yang terkait dengan layanan yang berkelanjutan. Manajemen secara parsial mengkomunikasikan kepedulian tersebut. c. Repeatable but Intuitive: Organisasi memiliki kesadaran bahwa kebutuhan layanan yang berkesinambungan harus ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan proses memastikan layanan yang berkesinambungan. d. Defined: Kebutuhan pengelolaan kesinambungan layanan telah dipahami dan diterima dalam organisasi. Manajemen secara konsisten mengkomunikasikan perlunya perencanaan untuk memastikan layanan yang berkelanjutan secara lebih terstruktur. e. Managed and Measurable: Kebutuhan untuk memastikan layanan yang berkesinambungan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul. f.
Optimised: Kebutuhan untuk memastikan layanan yang berkesinambungan dan pemahaman atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Praktek eskalasi telah dipahami dan ditegakkan secara menyeluruh. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Perkembangan trend kesinambungan layanan selalu di-update melalui forum-forum pertemuan nasional dan internasional.
131
DS4. Memastikan Layanan yang Berkelanjutan II. Kebijakan, Standar dan Prosedur Bagaimanakah penerapan kebijakan, standar dan prosedur telah dilakukan dalam memastikan layanan yang berkelanjutan?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebijakan, standar dan prosedur untuk memastikan layanan yang berkelanjutan. b. Initial/Ad Hoc: Tidak ada prosedur pengelolaan kesinambungan layanan yang standar. Respon terhadap gangguan bersifat reaktif dan tanpa persiapan. c. Repeatable but Intuitive: Pendekatan terhadap layanan yang berkesinambungan masih terpisah-pisah. Standarisasi pelaksanaan dan pengawasan layanan yang berkesinambungan mulai dilakukan, namun keberhasilannya masih bergantung pada individu. d. Defined: Rencana telah terdokumentasi dan didasarkan pada kepentingan sistem dan dampak bisnis. Beberapa aktifitas kunci sudah memiliki dokumen mengenai kebijakan, rencana dan prosedur terkait kesinambungan layanan. Penggunaan good practices sudah mulai dilakukan. e. Managed and Measurable: Secara umum, kebijakan, perencanaan dan prosedur sudah dibuat berdasarkan best-practice internal. Semua aspek dan proses bisa diulang berdasakan dokumen yang ada. Pelaksanaan redundansi dan pengaruh perencanaan layanan secara kontinu saling mempengaruhi satu sama lain f.
Optimised: Kebijakan, perencanaan dan prosedur layanan berkesinambungan dan rencana kelangsungan bisnis telah terintegrasi, disesuaikan, dan dijaga secara rutin berdasarkan best-practice eksternal. Pelaksanaan redundansi dan perencanaan layanan berkesinambungan telah disesuaikan sepenuhnya.
132
DS4. Memastikan Layanan yang Berkelanjutan III. Perangkat dan Otomasi Bagaimanakah penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan memastikan layanan yang berkelanjutan?
a. Non-existent: berkelanjutan.
Saat Ini a
Tidak
b
adanya
c
d
Yang Diharapkan e
perangkat
f
untuk
a
b
c
memastikan
d
layanan
e
f
yang
b. Initial/Ad Hoc: Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada perencanaan dalam penggunaan perangkat tersebut. c. Repeatable but Intuitive: Pemanfaatan peralatan untuk memastikan layanan yang berkelanjutan sudah menggunakan pendekatan yang umum di bidang tersebut, namun masih sangat bergantung kepada perorangan. d. Defined: Adanya perencanaan penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan layanan yang berkelanjutan. Sebagian komponen memiliki ketersediaan tinggi dan redundansi sistem telah mulai diterapkan. e. Managed and Measurable: Pelaksanaan redundansi sistem, termasuk penggunaan komponen yang banyak tesedia telah dilakukan secara konsisten. Data yang terstruktur mengenai layanan yang berkesinambungan telah didapatkan, dianalisa, dilaporkan, dan diterapkan. f.
Optimised: Pengumpulan dan analisa data digunakan untuk mengidentifikasi peluang peningkatan. Adanya penggunaan perangkat untuk mendukung untuk melakukan langkah perbaikan dan mendeteksi adanya permasalahan untuk memastikan layanan yang berkelanjutan.
133
DS4. Memastikan Layanan yang Berkelanjutan IV. Keahlian dan Kepakaran Bagaimanakah pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memastikan layanan yang berkelanjutan
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebutuhan keahlian dan kepakaran untuk memastikan layanan yang berkelanjutan. b. Initial/Ad Hoc: Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan. c. Repeatable but Intuitive: Ketergantungan yang tinggi pada kemampuan dan keahlian individu. Pelatihan dilakukan sebagai respon atas kebutuhan, bukan karena perencanaan. d. Defined: Keahlian yang dibutuhkan dalam memastikan layanan yang berkelanjutan telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Managed and Measurable: Pelatihan telah dijalankan dan diformalkan, sebagai bagian dari pengembangan karir. f.
Optimised: Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mengikuti external best practices serta telah menggunakan konsep dan teknik terkini. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dapat dimanfaatkan sebagai konsultan yang mampu memberikan panduan
134
DS4. Memastikan Layanan yang Berkelanjutan V. Tanggung Jawab dan Akuntabilitas Bagaimanakah penetapan tanggung jawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebutuhan akan tanggungjawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan. b. Initial/Ad Hoc: Tanggungjawab manajemen layanan masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Repeatable but Intuitive: Kepemilikan dan tanggungjawab atas pengelolaan layanan yang berkelanjutan secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan keberlanjutan layanan, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Defined: Akuntabilitas tanggung jawab untuk perencanaan dan pengujian yang berkesinambungan telah didefinisikan dan ditetapkan dengan jelas termasuk juga siapa pemilik prosesnya. Namun pemilik proses memiliki keterbatasan wewenang dalam menjalankan tanggung jawabnya. e. Managed and Measurable: Tanggung jawab dan standar untuk layanan yang berkelanjutan telah diterapkan. Sudah ada mekanisme reward untuk memberikan motivasi positif. f.
Optimised: Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
135
DS4. Memastikan Layanan yang Berkelanjutan VI. Menetapkan Tujuan dan Pengukuran Bagaimanakah penentuan dan pengukuran pencapaian dalam memastikan layanan yang berkelanjutan?
Saat Ini a
b
c
d
Yang Diharapkan e
f
a
b
c
d
e
f
a. Non-existent: Tidak ada kebutuhan untuk menentukan dan mengukur pencapaian dalam memastikan layanan yang berkelanjutan. b. Initial/Ad Hoc: Belum ada penentuan dan pengukuran pencapaian yang jelas untuk memastikan layanan yang berkelanjutan. c. Repeatable but Intuitive: Laporan ketersediaan sistem bersifat sporadis, mungkin tidak lengkap dan tidak memperhitungkan dampak bisnis. d. Defined: Pengukuran proses mulai dilakukan walaupun masih belum konsisten. Ada pelaporan secara periodik dari testing layanan yang berkelanjutan. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. e. Managed and Measurable: Tujuan dan pengukuran dalam memastikan layanan yang berkelanjutan telah mencakup aspek efisiensi dan efektifitas, namun mungkin diukur secara tidak konsisten. Ada kaitan yang jelas dengan tujuan bisnis dan rencana strategis TI. IT balanced scorecard telah diterapkan dalam pengukuran dan telah distandarkan. f.
Optimised: Tujuan dan metrik untuk pencapaian layanan yang bekelanjutan telah diukur secara sistematis. Manajemen melakukan penyesuaian terhadap perencanaan layanan yang berkelanjutan sebagai tindak lanjut dari hasil pengukuran. Pengumpulan dan analisa data digunakan untuk perbaikan proses yang terus menerus.
136
LAMPIRAN 3 REKAPITULASI JAWABAN Rekapitulasi Jawaban DS3
137
Rekapitulasi Jawaban DS4
138
LAMPIRAN 4 HASIL UJI RELIABILITAS DAN VALIDITAS DATA DS3 As is Item Analysis of AC; PSP; TA; SE; RA; GSM Cronbach's Alpha = 0,8107
Item Analysis of AC; PSP; TA; SE; RA; GSM; Jumlah Correlation Matrix
PSP TA SE RA GSM Jumlah
AC 0,573 0,419 0,340 0,309 0,199 0,626
PSP
TA
SE
RA
GSM
0,548 0,314 0,478 0,523 0,815
0,256 0,442 0,292 0,647
0,566 0,474 0,686
0,720 0,809
0,752
Cell Contents: Pearson correlation
DS3 To be Item Analysis of AC; PSP; TA; SE; RA; GSM * NOTE * The following variables had zero variation and were omitted from the calculations: SE
Cronbach's Alpha = 0,6467
Item Analysis of AC; PSP; TA; SE; RA; GSM; Jumlah * NOTE * The following variables had zero variation and were omitted from the calculations: SE
Correlation Matrix
PSP TA RA GSM Jumlah
AC 0,292 0,049 0,237 0,683 0,697
PSP
TA
RA
GSM
0,474 0,034 0,080 0,634
0,445 0,200 0,678
0,337 0,586
0,657
Cell Contents: Pearson correlation
139
DS4 As is Item Analysis of AC; PSP; TA; SE; RA; GSM Cronbach's Alpha = 0,8489
Item Analysis of AC; PSP; TA; SE; RA; GSM; Jumlah Correlation Matrix
PSP TA SE RA GSM Jumlah
AC 0,567 0,530 0,560 0,573 0,331 0,802
PSP
TA
SE
RA
GSM
0,438 0,406 0,534 0,570 0,768
0,413 0,459 0,312 0,691
0,537 0,610 0,758
0,571 0,807
0,733
Cell Contents: Pearson correlation
DS4 To be Item Analysis of AC; PSP; TA; SE; RA; GSM Cronbach's Alpha = 0,8815
Item Analysis of AC; PSP; TA; SE; RA; GSM; Jumlah Correlation Matrix
PSP TA SE RA GSM Jumlah
AC 0,681 0,499 0,698 0,521 0,587 0,848
PSP
TA
SE
RA
GSM
0,474 0,730 0,410 0,770 0,877
0,490 0,397 0,768 0,739
0,240 0,579 0,802
0,427 0,598
0,875
Cell Contents: Pearson correlation
140
Batas 1,5 IQR DS3 No 1
2
3
4
5
6
Atribut
Status
AC
As is
2
3
To be
4
As is
PSP
TA
SE
RA
GSM
Q1
Q3
IQR
Min
Max
LO
HO
1
2
4
0,5
4,5
5
1
3
5
2,5
6,5
1
3,75
2,75
1
4
-3,125
7,875
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
2
4
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
2
3,75
1,75
1
4
-0,625
6,375
To be
5
5
0
4
5
5
5
2,25
3,75
1,5
1
4
0
6
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
3
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
Batas 1,5 IQR DS4 No 1
2
3
4
5
6
Atribut
Status
AC
PSP
TA
SE
RA
GSM
Q1
Q3
IQR
Min
Max
LO
HO
As is
1
3
2
0
4
-2
6
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
5
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
4
0,5
4,5
To be
4
5
1
4
5
2,5
6,5
As is
2
3
1
1
5
0,5
4,5
To be
4
5
1
3
5
2,5
6,5
As is
2
3
1
1
3
0,5
4,5
To be
4
5
1
4
5
2,5
6,5
As is
1
3
2
1
5
-2
6
To be
4
5
1
3
5
2,5
6,5
Keterangan: sel yang berlatar belakang abu-abu adalah atribut yang memiliki data diluar batas LO dan/atau HO
141
[halaman ini sengaja dibiarkan kosong]
142