Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia)

Transkripsi

1 Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia) Suryawan Sudibyo, Machmudin Eka Prasetya Program Studi S1 Akuntansi Reguler Fakultas Ekonomi Universitas Indonesia Abstrak Skripsi ini membahas tentang penilaian tata kelola teknologi informasi pada PT Kereta Api Indonesia (persero) yang berdasarkan pada kerangka kerja COBIT khususnya pengukuran maturity level. Hal ini dilakukan karena tata kelola teknologi dibutuhkan untuk memastikan bahwa investasi teknologi informasi yang dilakukan oleh perusahaan dapat membantu dan selaras dengan tujuan bisnis perusahaan. Berdasarkan hasil pemetaan tujuan bisnis PT Kereta Api Indonesia (persero) dengan tujuan bisnis COBIT terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. PT Kereta Api Indonesia (persero) memiliki 4 proses pada level Managed and Measurable, 11 proses pada level defined, 13 proses pada level repeatable but intuitive dan 2 proses level pada level ad-hoc Kata Kunci: COBIT 4.1, Tata Kelola Teknologi Informasi, maturity level Evaluation of Information Technology Governance Based on COBIT Framework (Study Case on PT Kereta Api Indonesia) Abstract This paper discusses about the assessment of information technology governance on PT Kereta Api Indonesia (persero) based on COBIT framework and specifically with maturity level models. Evaluation of IT governance is needed to make sure that the investment made by organization is aligned with their business goals. Mapping of PT Kereta Api Indonesia s business goals with COBIT s business goals identified 30 IT Process and 183 Control Objectives. PT Kereta Api Indonesia has 4 process at level managed and measurable, 11 process at level defined, 13 process at level repeatable but intuitive and 2 process at level ad-hoc Keywords: COBIT 4.1, IT Governance, maturity level Pendahuluan Teknologi Informasi (TI) berkembang pesat seiring dengan berkembangnya ilmu pengetahuan khususnya dalam bidang teknologi. Perkembangan yang pesat ini menjadikan penerapan teknologi informasi pada berbagai organisasi menjadi sebuah hal yang vital dan penting. Penerapan teknologi informasi dipandang sebagai sebuah sarana dalam meningkatkan efisiensi dan efektivitas kinerja organisasi yang dapat membantu organisasi dalam menjalani persaingan. Walau begitu penerapan teknologi informasi merupakan sebuah kegiatan yang meliputi banyak faktor seperti biaya, waktu dan fungsi, melihat hal tersebut maka penerapan

2 teknologi harus dilakukan secara berhati-hati agar dapat mencapai tujuannya dan berfungsi secara optimal. Peranan teknologi informasi yang signifikan ini membuat manajemen perusahaan untuk lebih fokus dalam mengelola penggunaan teknologi informasi. Hal ini dikarenakan dalam implementasi teknologi informasi terdapat berbagai kemungkinan buruk yang mungkin terjadi seperti kerugian bisnis, kerusakan reputasi, melemahkan kemampuan kompetisi perusahaan, teknologi yang digunakan sudah usang dan kebocoran data (ITGI, 2003). Hal-hal tersebut mendorong perusahaan agar lebih fokus dalam mengambil kebijakan-kebijakan yang berhubungan dengan teknologi informasi perusahaan. Oleh karena itu dalam mengelola teknologi informasi perusahaan dapat menerapkan IT Governance agar pengelolaan teknologi informasi dapat lebih efektif. Dalam penelitiannya Lunardi et al. (2013) menemukan bahwa perusahaan yang menerapkan IT Governance meningkat performanya khususnya pada profitabilitas perusahaan. IT Governance adalah sebuah bagian integral dari Corporate Governance yang terdiri dari kepemimpinan, struktur organisasi serta proses untuk memastikan bahwa tujuan perusahaan tercapai dari penerapan teknologi informasi (ITGI, 2003). Dalam penerapannya tata kelola teknologi informasi dapat menggunakan framework COBIT, yakni sebuah framework yang dikeluarkan oleh Information Technology Governance Institute (ITGI). Framework ini dapat mengarahkan perusahaan agar penerapan teknologi informasi yang dilakukan mencapai tujuannya. Penelitian ini mengangkat kasus pada PT KAI (Persero) Tbk dimana saat ini Perusahaan ini sedang dalam tahap untuk menerapkan Tata Kelola TI dalam berbagai bagian perusahaan. Walau penerapan dan pengembangan teknologi informasi terus dilakukan oleh PT KAI hal ini belum dapat menjamin bahwa dalam pelaksanaannya penerapan ini dapat memberikan value dan memenuhi objektif perusahaan oleh karena itu penulis ingin melakukan pengukuran pengelolaan teknologi informasi menggunakan framework COBiT 4.1 pada perusahaan. Tujuan penelitian ini adalah mengidentifikasi praktik tata kelola teknologi informasi pada PT KAI, mengukur kinerja tata kelola teknologi informasi berdasarkan maturity model berdasarkan COBIT, memperkenalkan kerangka kerja COBIT kepada manajemen mengenai proses dan kerangkanya, agar perusahaan memiliki gambaran yang lebih jelas mengenai kontrol dan audit TI.

3 Tinjauan Teoritis Menurut ITGI (2003) tata kelola teknologi informasi adalah IT governance is the responsibility of the board of directors and executive management. IT is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization s TI sustains and extends the organization s strategies and objectives. Dari uraian tersebut tata kelola teknologi informasi adalah sebuah tanggung jawab direksi dan manajemen yang merupakan sebuah bagian integral dari tata kelola perusahaan (corporate governance), tata kelola teknologi informasi terdiri dari kepemimpinan, struktur organisasi serta proses yang berguna untuk menjamin pelaksanaan dan pengelolaan teknologi informasi sesuai dengan strategi dan tujuan perusahaan. Sedangkan menurut Van Grembergen (2002) IT Governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT. Dari uraian tersebut tata kelola teknologi informasi adalah sebuah bentuk kapasitas organisasi yang dilakukan oleh direksi, manajemen dan divisi teknologi informasi untuk mengontrol, memformulasi dan melaksanakan strategi teknologi informasi yang dapat menggabungkan bisnis dan teknologi informasi secara utuh. Menurut Weill and Ross (2004) tata kelola teknologi adalah: Specifying the decision rights and accountability framework to encourage desirable behavior in using IT. Dari pengertian tersebut tata kelola teknologi informasi merupakan penetapan hak pengambilan keputusan dan framework akuntabilitas agar tercapainya penerapan teknologi informasi yang sesuai dengan keinganan. Menurut Luftman (1996) tata kelola teknologi adalah: IT governance is the selection and use of relationships such as strategic alliances or joint ventures to obtain key IT competencies. This is analogous to business governance, which involves make- vs.-buy choices in business strategy. Such choices cover a complex array of interfirm relationships, such as strategic alliances, joint ventures, marketing exchange, and technology licensing. Dari pengertian tersebut tata kelola teknologi informasi dapat dianalogikan seperti tata kelola perusahaan yang berfokus pada kompetensi teknologi informasi yang melibatkan berbagai pilihan dalam strategi bisnis. Pilihan tersebut meliputi berbagai hubungan yang kompleks seperti strategic alliances, joint ventures dan lisensi teknologi.

4 Dari berbagai definisi yang ada dapat disimpulkan bahwa tata kelola teknologi menekankan pada hubungan antara strategi teknologi informasi dan kebijakan strategis perusahaan agar tercapai keselarasan selain itu tata kelola teknologi informasi mendorong keterlibatan peran direksi dan pihak-pihak yang bertanggung jawab dalam penerapan kebijakan teknologi informasi. Control Objectives for Information and Related Technology (COBIT) adalah sebuah framework yang berfokus pada tata kelola teknologi informasi dan di buat oleh ISACA, sebuah badan internasional yang berfokus pada tata kelola teknologi informasi dan merupakan afiliasi dari IFAC (International Federation of Accountants). COBIT berguna sebagai sebuah alat yang dapat membantu manajer dalam mengelola celah antara persyaratan kontrol, masalah teknikal dan risiko bisnis. COBIT memberikan panduan yang jelas mengenai praktik dan kebijakan yang baik dalam seluruh domain dan kerangka proses serta menyajikan aktivitas dalam bentuk yang terstruktur dan terarah. COBIT lebih fokus terhadap kontrol bukan kepada eksekusi. Hal ini akan membantu optimisasi dari investasi teknologi informasi, memastikan penyampaian servis dan menyajikan sebuah pengukuran untuk dapat menilai apakah segala implementasi teknologi informasi berjalan sesuai harapan atau tidak. COBIT mendefinisikan aktivitas ke dalam model proses yang dibagi ke dalam 4 domain yang dibagi berdasarkan tanggung jawab perencanaan, pembuatan, pelaksanan dan pengukuran, keempat domain ini adalah: Perencanaan dan Pengorganisasian (Plan and Organise) Domain ini meliputi strategi dan taktik serta memperhatikan identifikasi cara agar teknologi informasi dapat memberikan kontribusi sebaik-baiknya terhadap pencapaian tujuan bisnis. Realisasi dari strategi harus direncanakan, dikomunikasikan dan dikelola dalam berbagai sudut pandang Pengadaan dan implementasi (Acquire and Implement) Untuk dapat merealisasikan strategi TI, solusi TI harus dapat diidentifikasi, dikembangkan atau didapatkan serta harus diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, pemeliharaan dari sistem yang sudah ada juga termasuk kedalam domain ini untuk memastikan bahwa solusi yang ada terus memenuhi tujuan bisnis.

5 Penyampaian Layanan dan Dukungan (Deliver and Support) Domain ini memperhatikan penyampaian sesungguhnya dari layanan yang diperlukan dan mencakup mencakup penyediaan layanan, manajemen keamanan dan kelangsungan, dukungan layanan pada pengguna, manajemen data dan fasilitas operasional. Monitor dan Evaluasi (Monitor and Evaluate) Domain ini berfokus pada penilaian dari seluruh proses TI berdasarkan dari kualitas dan kepatuhan terhadap persyaratan kontrol. Domain ini membahas masalah performa, pengawasan internal kontrol, kepatuhan peraturan dan tata kelola Profil Perusahaan PT Kereta Api Indonesia (Persero) adalah Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa pengangkutan kereta api. Pelayanan yang diberikan oleh PT KAI meliputi jasa angkutan penumpang dan barang serta jasa non-angkutan berupa penyewaan asset seperti hotel dan bangunan. PT KAI dimiliki seluruhnya oleh pemerintah PT KAI mulai fokus mengembangkan sistem teknologi informasi perusahaan pada tahun 2010, PT KAI melakukan transformasi secara besar-besaran di bidang TI dan dituangkan dalam master plan pengembangan TI Pada tahun 2011 PT. Kereta Api Indonesia (KAI) (Persero) meluncurkan sebuah aplikasi yang bisa memonitoring seluruh jaringan dan infrastruktur IT milik PT. KAI yang terintegrasi dengan Network Operation Center (NOC). Aplikasi yang diberi nama MONALISA ini, bisa melihat secara langsung dan komprehensif seluruh jaringan dan infrastruktur yang berada di Daerah Operasi (Daop) dan Divisi Regional (Divre) serta Kantor Pusat PT. KAI. Sehingga jika terdapat gangguan, NOC bisa dengan segera dilakukan perbaikan. Dalam aplikasi ini, bisa semakin mudah untuk melihat sejauh mana penggunaan berbagai infrastruktur jaringan IT, yang sebelumnya pemeriksaan dilakukan secara manual. Monalisa sendiri merupakan singkatan dari Monitoring Aplikasi Infrastuktur dan Service Level Agreement (SLA). Selain itu pada tahun 2011 juga PT Kereta Api Indonesia juga mulai menerapkan Enterprise Resource Planning yakni SAP. Modul yang digunakan mulai tahun 2011 antara lain adalah Finance and Controlling (FICO) dan Human Resource (HR). Selain itu pada tahun 2011 PT KAI juga meluncurkan sistem penjualan tiket berbasis online yang bernama Rail Ticket

6 System (RTS) guna memperlancar dan mempermudah proses penjualan tiket kepada enduser. Pada tahun 2012 selanjutnya PT KAI menerapkan beberapa modul SAP lainnya yakni Material Management (MM), Plant Maintenance (PM), Payroll dan Case Management. Setalah itu di tahun 2013 ini PT KAI berencana menerapkan modul Sales & Distribution, perluasan cakupan Plant Maintenance dan Fund Management. PT KAI juga menggunakan smartsheet sebagai tools dalam melaksanakan proyek yang ada. Di tahun 2013 ini juga PT KAI sedang melakukan sertifikasi dibagian IT Security yakni ISO PT KAI bekerja sama dengan consulting security dalam rangka sertifikasi tersebut. Metodologi Penelitian Penelitian ini akan mendeskripsikan penerapan tata kelola teknologi informasi pada PT KAI menggunakan pendekatan studi kasus yang bersifat evaluatif. Uma dan Roger (2010) mendefinisikan studi kasus sebagai sebuah analisis kontekstual secara mendalam mengenai suatu situasi,studi kasus bersifat kualitatif secara umum dan berguna untuk mengaplikasikan solusi, memahami beberapa fenomena dan menghasilkan teori lanjutan untuk pengetesan empiris. Pendekatan studi kasus ini menghasilkan sebuah analisa yang utuh mengenai sebuah objek yang berdasarkan kerangka analisis tertentu Desain penelitian yang akan dilakukan adalah seperti yang tergambar dalam gambar 1 Iden%fikasi Business Goals Iden%fikasi IT Goals Iden%fikasi IT Process Iden%fikasi control- objec5ves Pengukuran maturity level Gambar 1: Tahapan Penelitan

7 Tahapan pertama adalah mengidentifikasi tujuan bisnis perusahaan yang di sepadankan dengan tujuan bisnis COBIT. Tujuan bisnis PT KAI dapat dilihat dari Rencana Jangka Panjang Perusahaan yang kemudian ditranslasi kedalam tujuan bisnis COBIT. Tahapan kedua pada tahap ini dilakukan COBIT business goals to IT goals mapping, peneliti mengidentifikasi tujuan dari pengembangan TI berdasarkan tujuan bisnis perusahaan yang sebelumnya telah ditentukan. Hasilnya adalah IT Goals yang harus dipenuhi oleh perusahaan Tahapan ketiga pada tahap ini dilakukan COBIT IT Goals to IT process mapping, peneliti mengidentifikasi IT Process berdasarkan IT Goals yang sebelumnya sudah ditentukan. Hasilnya adalah IT Process yang harus dipenuhi oleh perusahaan Tahapan keempat pada tahapan ini di identifikasi control-objectives dari setiap IT process yang sudah berhasil diidentifikasi sebelumnya. Untuk setiap IT process terdapat detailed control-objectives yang berbeda-beda Tahapan kelima pada tahap terakhir dari penelitian ini adalah pengukuran maturity level, sesuai dengan maturity model berdasarkan COBIT 4.1. Pada tiap level, terdapat daftar pernyataan yang dapat digunakan sebagai pengukuran untuk menilai sejauh mana proses yang berlangsung dalam perusahaan telah memenuhi pernyataan tersebut. Secara umum penilaian maturity level adalah sebagai berikut: Level 0: non-existent. Sama sekali belum ada proses yang dapat diidentifikasi. Perusahaan belum menyadari adanya masalah yang dapat dibahas Level 1: initial/ad-hoc. Terdapat bukti bahwa perusahaan sudah menyadari adanya masalah dan perlunya pembahasan masalah. Walaupun begitu belum ada proses yang terstandar dan cenderung menggunakan pendekatan individual untuk setiap kasus. Secara umum pendekatan perusahaan belum terorganisir Level 2: repeatable but intuitive. Proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan

8 kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. Level 3: defined process. Prosedur telah distandardisasi dan didokumentasikan serta dikomunikasikan melalui pelatihan. Terdapat keharusan bahwa setiap proses harus diikuti, walaupun begitu penyimpangan terhadap prosedur sulit dideteksi. Prosedur yang ada hanyalah formalisasi dari praktik yang ada. Level 4: managed and measurable. Manajemen memonitor dan mengukur kepatuhan terhadap prosedur dan mengambil langkah bila proses dianggap tidak bekerja secara efektif. Otomatisasi dan alat bantu digunakan secara terbatas dan terpisah. Level 5: optimized. Proses sudah sampai pada tahapan best-practice. Melalui peningkatan yang terus menerus. TI digunakan secara terintegrasi dan mengotomatisasi alur kerja, menyediakan alat untuk meningkatkan kualitas serta efektifitas dan pada akhirnya membuat perusahaan lebih mudah dalam beradaptasi Hasil Penelitian Berikut ini akan dirangkum tabel mengenai penilaian tingkat kematangan pada tiap IT process pada PT KAI: Tabel 1 Pengukuran Maturity Level di PT KAI Plan and Organize PO1 Define a strategic IT plan. 4 PO2 Define the information architecture 1 PO3 Determine technological direction 2 PO4 Define the IT processes, 8rganization 2 and relationships PO5 Manage the IT investment 2 PO6 Communicate management aims and 3

9 direction PO7 Manage IT human resources 3 PO8 Manage quality 3 PO9 Assess and manage IT risks 1 PO10 Manage projects 1 Rata-rata PO 2,2 Acquire and Implement AI1 Identify automated solutions 4 AI2 Acquire and maintain application 3 software AI3 Acquire and maintain technology 2 infrastructure AI4 Enable operation and use 3 AI5 Procure IT resources 3 AI6 Manage changes 2 AI7 Install and accredit solutions and 2 changes Rata-rata AI 2,7 Deliver and Support DS1 Define and manage service levels 4 DS2 Manage third-party services 3 DS3 Manage performance and capacity 3 DS4 Ensure continuous service 2 DS5 Ensure systems security 4 DS6 Identify and allocate costs 2 DS7 Educate and train users 3 DS8 Manage service desk and incidents 2 DS9 Manage the configuration 1 DS10 Manage problems 2 DS13 Manage operations 3 Rata-rata DS 2,6 Monitor and Evaluation ME1 Monitor and evaluate IT performance 3

10 ME4 Provide IT governance 2 Rata-rata ME 2,5 Rata-rata Seluruh Domain 2.51 Maturity levels PT KAI secara keseluruhan berada pada tingkatan Repeatable but intuitive seperti terlihat pada tabel 4.16 yakni bernilai 2,51, dimana proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. Pembahasan Penentuan tingkat kematangan (maturity level) dilakukan untuk mengukur sejauh mana perusahaan telah memenuhi standard pengelolaan teknologi informasi pada perusahaan. Selain itu pengukuran tingkat kematangan juga penting untuk mengetahui dan mengidentifikasi proses yang perlu diprioritaskan untuk meningkatkan kualitas tata kelola teknologi informasi yang ada. Pengukuran maturity level COBIT tidak memiliki standard metodologi baku (Andrea P, 2003) dan menurut ITGI pengukuran tidak ditujukan sebagai sebuah pengukuran yang presisi dan terstandard sehingga pengukuran dilakukan berdasarkan closest-fit. Pengukuran maturity level dalam penelitian ini akan dikelompokan sesuai dengan tiap-tiap proses TI yang ada. Tabel 2: Analisis Domain COBIT IT Process Analisis PO1 Define a strategic IT plan. PT KAI sudah terdapat IT Master Plan yang berisikan tentang rencana kerja dan investasi strategis pengembangan TI untuk jangka panjang selama 5 tahun dan untuk jangka pendek dibuat untuk kurun waktu kurang dari 1 tahun PO2 Define the information PT KAI belum terdapat model

11 IT Process Analisis architecture arsitektur informasi terstandard yang digunakan. PO3 Determine technological direction Manajemen PT KAI telah merancang arah pengembangan teknologi perusahaan. Hal ini ditandai dengan rencana penambahan modul ERP perusahaan, peningkatan infrastruktur TI perusahaan dan berbagai sertifikasi ISO dalam bidang teknologi informasi PO4 Define the IT processes, PT KAI telah memiliki pembagian organisation and relationships tugas yang jelas pada divisi TI hal ini di tuangkan dalam tugas pokok inti divisi TI. Selain itu keamanan informasi sudah dilakukan dengan melakukan encryption serta cryptographic pada informasi perusahaan PO5 Manage the IT investment Pada PT KAI manajemen telah menentukan prioritas investasi TI yang sesuai dengan budget perusahaan selain itu penetapan budget untuk investasi TI telah dilakukan oleh dewan direksi untuk setiap tahunnya. Perencanaan penggunaan dana investasi TI ini dituangkan dalam IT Master Plan perusahaan PO6 Communicate management aims and direction Manajemen PT KAI telah secara aktif mengomunikasikan penerapan TI antara dewan direksi dan divisi TI. Hal ini dilakukan melalui rapat koordinasi dan evaluasi yang rutin dilakukan baik secara horizontal maupun vertical. PO7 Manage IT human resources Pada PT KAI terdapat pendekatan

12 IT Process Analisis strategis untuk merekrut dan mengelola IT personnel. Rencana training resmi telah ditetapkan untuk SDM TI. Program rotasi karyawan sudah ditetapkan dalam rangka pengembangan skill manajemen dan teknik. PO8 Manage quality Pada PT KAI manajemen telah menerapkan ISO 9001 yang mengatur tentang quality management system terhadap berbagai divisi dan sarana pada perusahaan. Hal ini menunjukan bahwa manajemen telah menyadarinya sebuah kebutuhan atas kualitas mutu PO9 Assess and manage IT risks Pada PT KAI, manajemen khususnya divisi TI belum memiliki pengukuran risiko yang terdokumentasi dan formal PO10 Manage projects Pada PT KAI sudah terdapat gambaran dan rencana mengenai pengembangan TI pada perusahaan yang tergambarkan dalam Master Plan IT. Walau begitu dalam manajemen proyek belum terdapat kerangka kerja formal, perusahaan masih menggunakan pendekatan tradisional dalam menjalankan proyek AI1 Identify automated solutions Pada PT KAI rencana pembelian atau pembuatan mengenai proyek TI sudah dilakukan tahapan perencanaan oleh business process owner terkait. Rencana ini mencakup mengenai biaya, waktu dan spesifikasi proyek yang

13 IT Process AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources Analisis diinginkan Pada PT KAI saat perusahaan memutuskan untuk membuat atau membeli sebuah aplikasi atau perangkat TI maka persyaratan dan spesifikasi diberikan oleh tim BPO. Spesifikasi dan persyaratan ini akan dikonsultasikan dengan divisi TI dan ditranslasikan kedalam sebuah solusi yang terenacana PT KAI sudah melakukan perawatan dan perencanaan pemeliharaan infrastruktur secara berkala. Pada datacenter perusahaan setiap minggu sistem akan di switch ke back-up system untuk dirotasi dan memastikan bahwa sistem cadangan bekerja Pada PT KAI dalam memastikan penerapan sebuah sistem atau aplikasi baru agar dapat digunakan oleh enduser divisi TI melakukan pelatihan kepada para pengguna. Pada PT KAI pengadaan kebijakan dan prosedur akuisisi TI telah ditetapkan, didokumentasikan dan dikomunikasikan. Kebijakan dan prosedur akuisisi TI di PT KAI mengacu kepada proses bisnis perusahaan secara keseluruhan. Manajemen TI mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI.

14 IT Process Analisis AI6 Manage changes Pada PT KAI sudah terdapat dokumentasi formal mengenai perubahan yang berkaitan dengan TI yang mencakup prosedur, proses, kebijakan dan sistem. Perubahan sistem yang besar misalnya pada saat penerapan ERP SAP dilakukan sesuai dengan standard sistem terkait yang mencakup persiapan proyek, business blueprint hingga persiapan go live. AI7 Install and accredit solutions and changes Hal ini tidak dapat dibahas lebih lanjut karena pada pengujian dan pengetesan sebuah sistem yang mempengaruhi operasi secara besar perusahaan menyerahkana sepenuhnya test environment dan test procedure kepada pihak eksternal dan vendor yang menyediakan jasa pengadaan sistem DS1 Define and manage service levels Pada PT KAI untuk berbagai pelayanan TI yang terkait dengan pihak eksternal maupun internal, manajemen menentukan batasan SLA minimum yakni kehandalan (reliability) 99,9%. untuk pihak eksternal manajemen TI melakukan penilaian performa setiap bulan untuk memastikan tingkat operasional memenuhi SLA yang telah ditentukan DS2 Manage third-party services Pada PT KAI untuk pelayanan yang disediakan oleh pihak ketiga seperti RTS, jaringan dan sebagainya sudah memiliki dokumentasi SLA dalam

15 IT Process Analisis bentuk perjanjian formal. Perjanjian mengenai SLA ini mengatur hal-hal penting seperti kehandalan minimum mengenai layanan, penalty bila target tidak tercapai dan berbagai hal lainnya. DS3 Manage performance and capacity Pada PT KAI penentuan kapasitas dan perfoma pada bidang TI sudah diselaraskan dengan peramalan kebutuhan bisnis. Hal ini sesuai dengan manajemen stratejik perusahaan yang disudah mempertimbangkan berbagai asumsi makro dan perkembangan bisnis. Pembuatan IT Master Plan sudah diseleraskan dengan manajemen stratejik perusahaan DS4 Ensure continuous service PT KAI sudah memiliki beberapa IT Continuity Plan untuk beberapa infrastruktur vital seperti datacenter yang memiliki 2 offsite back up storage yang terletak di Jakarta dan BSD. DS5 Ensure systems security Pada PT KAI perusahaan telah melakukan berbagai langkah pengamanan informasi. Hal ini dapat dilihat dari penerapan pembatasan akses pengguna yang dibagi menjadi 3 level, penggunaan firewall pada datacenter perusahaan, encryption pada server mail hingga pengadopsian ISO mengenai standardisasi keamanan informasi sesuai dengan standard internasional DS6 Identify and allocate costs Pada PT KAI sudah terdapat ketentuan

16 IT Process Analisis dan dokumentasi mengenai biaya teknologi informasi, Alokasi biaya TI perusahaan disesuaikan dengan kebutuhan bisnis dan pelaksanaannya harus sesuai dengan yang telah direncanakan DS7 Educate and train users Pada PT KAI manajemen TI telah melakukan pelatihan baik terhadap internal divisi TI dan kepada end-user agar pengoperasian sistem berjalan efektif. PT KAI sudah memiliki dokumentasi dan perencanaan formal mengenai pelatihan dan pendidikan pengguna, selain itu PT KAI juga rutin melakukan sertifikasi bagi personnel TI DS8 Manage service desk and incidents Pada PT KAI sudah terdapat help desk untuk membantu pengguna akhir jika terdapat permasalahan dalam sistem. Sudah terdapat SOP dan dokumentasi lainnya yang membantu dan mengarahkan tugas help desk dalam menghadapi beberapa permasalahan umum DS9 Manage the configuration PT KAI belum memilik manajemen konfigurasi secara formal dan terdokumentasi. DS10 Manage problems Pada PT KAI permasalahan diidentifikasi apakah terjadi karena kesalahan pengguna atau kesalahan sistem oleh help desk. Apabila kesalahan sistem terjadi terkait dengan aplikasi yang disediakan eksternal

17 IT Process Analisis vendor maka penyelesaian masalah menggunakan bantuan vendor DS13 Manage operations Pada PT KAI sudah melakukan beberapa manajemen terkait operasi seperti pengawasan infrastruktur TI, pengukuran kehandalan dan pemenuhan SLA, pembakuan dan dokumentasi SOP terkait operasi serta perawatan terhadap infrastruktur. ME1 Monitor and Evaluate IT Pada PT KAI sudah melakukan performance pengawasan dan pengukuran kinerja untuk beberapa pelayanan TI. Tingkat SLA berbagai infrastruktur TI di awasi oleh sistem terintegrasi, evaluasi personil dilakukan sesuai dengan KPI dan sudah dikembangkan pendekatan balance scorecard untuk pengukuran kinerja ME4 Provide IT Governance Salah satu tujuan PT KAI adalah penerapan tata kelola perusahaan yang termasuk didalamnya tata kelola teknologi informasi. Hal ini terlihat dengan pembentukan komite audit di tahun 2012, pembentukan IT Steering Committee dan perubahan struktur organisasi perusahaan. Perencanaan stratejik perusahaan juga sudah dituangkan kedalam RJPP perusahaan dan pendekatan BSC sudah digunakan untuk memetakan tujuan perusahaan beserta KPI

18 Kesimpulan dan Saran Berdasarkan analisisn dan evaluasi yang sudah dilakukan di BAB 4 maka kesimpulan yang dapat diambil adalah: a) Penerapan tata kelola teknologi informasi pada PT KAI berdasarkan pada pengukuran tingkat kematangan berada pada level 2,55 berada pada tingkatan Repeatable but intuitive, dimana proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan individual sehingga kemungkinan kesalahan meningkat. b) Berdasarkan hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada PT KAI terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. IT Process dan Control Objectives yang teridentifikasi ini harus diperhatikan perusahaan dalam menjalankan tata kelola teknologi informasi. c) Di PT KAI terdapat 4 proses pada level Managed and Measurable, 11 proses pada level defined, 11 proses pada level repeatable but intuitive dan 4 proses level pada level ad-hoc. Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi perusahaan, manajemen dapat berfokus pada proses TI yang masih rendah (berada pada level ad-hoc dan repeatable but intuitive). Saran bagi perusahaan antara lain: a) Perusahaan sebaiknya menerapkan cost management pada perusahaan. Hal ini untuk memudahkan perusahaan dalam melacak dan mengidentifasi biaya baik pada level operasional maupun pada saat pelaksanaan proyek perusahaan. Hal ini dapat membantu efektifitas perusahaan terutama dalam faktor biaya serta membantu kontrol yang lebih baik terhadap biaya. b) Perusahaan dapat mengadopsi kerangka kerja mengenai information architecture yang sudah sesuai standard internasional seperti misalnya adalah TOGAF, Zachman Framework dan SAP-EAF. Dalam hal ini pilihan terbaik perusahaan adalah mengintegrasikan information architecture SAP-EAF karena perusahaan menggunakan ERP SAP. c) Perusahaan sebaiknya mengadopsi project management yang lebih modern untuk mempermudah pengawasan dan evaluasi proyek. Hal ini dapat mengefisensikan

19 perusahaan dalam langkah perencanaa, budgeting hingga langkah pelaksanaan dan evaluasi. d) Membuat architecture board atau IT strategy committee pada manajemen perusahaan untuk membantu proses tata kelola teknologi informasi pada perusahaan. e) Membuat sebuah lingkungan tes internal untuk menguji penerapan sebuah sistem TI yang akan digunakan. f) Membuat dan mengomunikasikan perihal risk appetite pada perusahaan hingga ke semua level manajemen untuk memastikan bahwa seluruh karyawan menyadari tingkat risiko perusahaan. Kepustakaan Applegate, L. M., Austin, R. D., & Soule, D. L. (2009). Corporate Information Strategy and Management. International Edition: McGraw Hill. Grembergen, W. V. (2004). Strategies for Information Technology Governance. London: Idea Group Publishing. IT Governance Institute. (2003). Board Briefing on IT Governance. Rolling Meadow: ITGI. IT Governance Institute. (2007). COBIT 4.1: Framework, Control Objectives, Management Guideline and Maturity Model. Rolling Meadow: ITGI. IT Governance Institute. (2007). IT Assurance Guide: Need for IT Governance and Assurance and IT Assurance Approach. Rolling Meadow: ITGI. Kesumawardhani, D. R. (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi Kasus di PT Timah (persero) Tbk). Skripsi Fakultas Ekonomi Universitas Indonesia. Luftman, J. (1996). Competing in the Information Age - Strategic Alignment in Practice. Oxford University Press. Lunardi, G. L., Becker, J. L., Macada, A. C., & Dolci, P. C. (2013). The Impact of Adopting IT Governance on Financial Performance: an Empirical Analysis among Brazilian Firms. International Journal of Accounting Information Systems. PT Kereta Api Indonesia (persero). (2011). Laporan Tahunan 2011.

20 Ramadhanti, D. (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT Framework 4.1 (Studi Kasus pada PT Indonesia Power). Tesis Fakultas Ekonomi Universitas Indonesia. Ross, J. W., & Weill, P. D. (2004). IT Governance: How Top Performer Manage IT Decision Right for Superior Result. Harvard Business Press. Sekaran, U. (2010). Research Method for Business. USA: John Wiley and Sons. Simonsson, M., & Johnson, P. (2005). Defining IT Governance - a Consolidation of Literature. Stockholm: Department of Industrial Information and Control Systems.