Bab III Proses Penyusunan Metodologi pelaksanaan Tata Kelola TI

Transkripsi

1 26 Bab III Proses Penyusunan Metodologi pelaksanaan Tata Kelola TI Bab ini berisi uraian mengenai proses penyusunan metodologi pelaksanaan tata kelola teknologi informasi untuk pemerintah daerah. Sebagaimana dijelaskan pada sub bab I.3 bahwa penyusunan metodologi pelaksanaan tata kelola teknologi informasi ini sesuai dengan kerangka kerja acuan yang dipilih dan menyertakan kondisi pemerintahan terkait tata kelola TI. III.1 Pemilihan Kerangka Kerja Acuan Pada bab sebelumnya telah dipaparkan mengenai empat kerangka kerja teknologi informasi yaitu COBIT, AS , ISO/IEC 38500:2008, dan MIT CISR framework. Untuk memilih salah satu kerangka kerja dari keempat kerangka kerja tersebut maka diperlukan parameter-parameter yang akan dipakai sebagai perbandingan bagi keempat kerangka kerja tersebut. Beberapa parameter yang digunakan sebagai dasar pemilihan kerangka kerja acuan dalam penelitian ini adalah: (1) Tingkat Penggunaan (2) Kelengkapan (3) Cara Pengukuran Tata Kelola (4) Petunjuk Penggunaan (5) Dokumen Pendukung (6) Kemudahan Penggunaan Dari keempat kerangka kerja di atas, AS dan ISO/IEC 38500:2008 akan diambil salah satu dari kedua kerangka kerja tersebut karena kesamaan antara definisi, isi dan model. Dari kedua kerangka kerja tersebut ISO/IEC 38500:2008 dipilih sebagai pembanding karena pada dasarnya kerangka kerja tersebut merupakan penyempurnaan dari AS sehingga lebih update dan lebih baik dari AS

2 27 Dibawah ini adalah perbandingan tiga kerangka kerja berdasarkan parameter yang telah disebutkan di atas: Table III.1 Perbandingan kerangka kerja Parameter COBIT ISO/IEC MIT CISR Tingkat Penggunaan Secara de-facto sudah banyak digunakan di seluruh dunia baik sektor swasta maupun pemerintahan* Standard internasional, belum ada data penggunaan karena baru diterbitkan pada tahun 2008 Penggunaan sudah banyak walaupun tidak sebanyak COBIT. Banyak digunakan terutama untuk diwilayah US. Kelengkapan Pengukuran Tata Kelola TI Petunjuk Penggunaan Dukungan Dokumen Penunjang Lengkap, terdiri dari: framework tata kelolati, Control Objectives, Management Guidelines dan Maturity Model Ada pengukuran dengan menggunakan Maturity Model Ada dalam Management Guidelines Banyak artikel tentang praktik terbaik implementasi penggunaan COBIT, toolkit implementasi tersedia Kurang lengkap, terdiri dari model, prinsip dan tindakan untuk menjalankan prinsip Belum diketahui cara pengukurannya Belum diketahui cara penggunaannya Artikel praktik terbaik untuk implementasi ISO/IEC 38500:2008 sedikit, tidak tersedia toolkit implementasi Cukup lengkap terdiri dari struktur pengambil keputusan, keputusan-keputusan TI, mekanisme komunikasi. Pengukuran kinerja. Menggunakan metode kuesioner terhadap manajer senior Secara khusus tidak ada petunjuk penggunaannya. Harus dipahami dan dibaca keseluruhan bukunya. Ada beberapa dokumen penunjang di website MIT CISR Kemudahan penggunaan Relatif mudah karena standard-nya cukup lengkap dan terdapat banyak dokumen pendukung/praktik terbaik tentang penerapannya. Lebih sulit karena masih sedikit dokumen pendukung dan kelengkapannya Keterangan: * berdasarkan IT Governance Global Status Report 2008, ITGI Bisa dipraktekan walaupun tidak selengkap COBIT

3 28 Selain perbandingan berdasarkan parameter yang disebutkan di atas, juga berikut adalah perbandingan proses-proses tata kelola antara ketiga kerangka kerja yang ada. ISO/IEC 38500:2008 Prinsip 1: Responsibility Prinsip 2: Strategy Prinsip 3: Acquisition Prinsip 4: Performance Prinsip 5: Conformance Prinsip 6: Human Behaviour Table III.2 Pemetaan COBIT ISO/IEC 38500:2008 COBIT PO4: Define the IT Processes, Organisation and Relationships PO1: Define IT Strategic Plan PO8.3: Development and acquisition standards AI2: Acquire and Maintain Application Software AI3: Acquire and Maintain Technology Infrastructure AI5: Procure IT Resources DS3: Manage Performance Capacity ME3: Ensure Compliance with external requirements PO7: Manage IT Human Resources MIT CISR Prinsip-prinsip TI Arsitektur TI Infrastruktur TI Investasi dan Prioritasi TI Aplikasi Bisnis Table III.3 Pemetaan COBIT MIT CISR COBIT ME1: Monitor and Evaluate IT Performance ME4: Provide IT Governance PO2: Define the Information Architecture AI2: Acquire and Maintain Application Software AI1: Identify Automated Solution AI2: Acquire and Maintain Application Software AI3: Acquire and Maintain Technology Infrastructure DS11: Manage Data DS12: Manage Physical Environment PO5: Manage the IT Investment AI2: Acquire and Maintain Application Software AI7: Install and Accredit Solutions and Changes

4 29 Dari perbandingan di atas maka penulis memilih COBIT sebagai kerangka kerja acuan untuk penyusunan metodologi pelaksanaan tata kelola TI ini. Hal ini berdasarkan hasil perbandingan parameter-parameter di atas dimana COBIT: (1) Lebih banyak penggunanya (2) Lebih lengkap (3) Mempunyai dokumen penunjang yang lebih banyak sehingga supportnya akan lebih baik (4) Lebih mudah untuk digunakan mengingat kondisi SDM di pemerintahan yang masih beragam tingkat pemahaman tentang TI. Hal tersebut diperkuat dengan hasil survei yang dilakukan ITGI dan dituangkan dalam laporan IT Governance Global Status Report 2008 yang menyebutkan bahwa pada tahun 2007 sebanyak 14% dari peserta survei menggunakan COBIT, sedangkan yang menggunakan solusi yang bersifat lokal atau nasional hanya 3 %. Gambar III.1 Hasil Survei ITGI Tentang Penggunaan Frameworks Survei dilakukan terhadap 749 orang responden yang terdiri dari CIO dan CEO dimasing-masing organisasinya.

5 30 III.2 Pendukung Penyusunan Metodologi pelaksanaan Tata Kelola TI Setelah memilih COBIT sebagai kerangka kerja acuan, tahapan berikutnya adalah melakukan identifikasi terhadap perangkat pendukung yang dapat digunakan untuk penyusunan metodologi pelaksanaan tata kelola TI. Paling tidak ada dua dokumen pendukung yang menyediakan informasi metodologi pelaksanaan tata kelola teknologi informasi dengan menggunakan COBIT. Kedua dokumen tersebut adalah: (1) IT Governance Implementation Guide (ITGI 2003) (2) IT Governance Hands-On: Using COBIT to Implement IT Governance (Luc Kordel 2004) Berikut digambarkan tahapan-tahapan yang ada pada kedua dokumen tersebut: Gambar III.2 Metodologi pelaksanaan Tata Kelola TI Dari dua tahapan yang disebutkan di atas terlihat beberapa persamaan dan beberapa perbedaan tahapan yang dilakukan. Berikut dibawah ini adalah perbandingan dua metodologi pelaksanaan tata kelola teknologi informasi tersebut:

6 31 Table III.4 Perbandingan kedua metodologi pelaksanaan tata kelola TI ITGI Implementation Guide Tahap I: Kesadaran dan komitmen manajemen Lingkup Analisa resiko Sumber daya Program perencanaan IT Governance Hands-On Implementation Guide Tahap I: Kesadaran manajemen dan pembuatan keputusan Analisa value organisasi Analisa resiko Pemilihan proses Keterangan ITGI: + Lingkup Program perencanaan HO: Pemilihan proses yang kritis berdasar analisa resiko Tahap II: Pengukuran kinerja Saat ini Penetapan kinerja yang diharapkan Analisa gap Tahap III: Mendefinisikan proyek Mengembangkan rencana perbaikan Tahap IV: Implementasi perbaikan Monitor kinerja implementasi Mereview efektifitas implementasi Tahap V: Mempertahankan kinerja yang sudah baik Identifikasi kebutuhan untuk program tata kelola berikutnya Tahap II: Pengukuran kinerja saat ini Penetapan kinerja yang diharapkan Analisa gap Tahap III: Mendefinisikan proyek Mengembangkan dan mengimplementasik an rencana perubahan Tahap IV: Integrasi ke dalam kegiatan operasional sehari-hari Integrasi pengukuran ke dalam ITBSC Tahap V: (1) Review pasca implementasi Pada tahapan ini dilakukan langkahlangkah yang sama. Pada tahapan ini dilakukan langkahlangkah yang sama. ITGI: +Monitor kinerja dan efektifitas implementasi Pada dasarnya tahapan ini memiliki langkahlangkah yang serupa.

7 32 Berdasarkan hasil perbandingan kedua metodologi pelaksanaan di atas maka bisa disimpulkan bahwa: (1) Terdapat kesamaan langkah-langkah pelaksanaan pada kedua tahapan tersebut di atas. (2) Beberapa langkah-langkah pelaksanaan ada yang berbeda dan memiliki tujuan pelaksanaan yang berbeda. (3) Kedua tahapan yang ada melaksanakan langkah-langkah pelaksanaan dengan membuatnya ke dalam sebuah proyek. (4) Dari seluruh langkah-langkah pelaksanaan yang ada pada kedua tahapan, ada langkah-langkah yang bisa digunakan secara umum untuk penyusunan penelitian ini dan ada langkah-langkah yang tidak diperlukan. Hal yang menjadi pertimbangan adalah kemudahan bagi pemakai dari tahapan yang akan disusun. Dari beberapa kesimpulan terhadap perbandingan dua tahapan di atas maka penulis mencoba menyusun tahapan awal berdasarkan dua tahapan tersebut. Susunan awal dari metodologi pelaksanaan yang diusulkan adalah sebagai berikut: (1) Identifikasi kesadaran manajemen Langkah ini merupakan langkah awal yang penting karena keberhasilan suatu program atau suatu kebijakan dalam sebuah organisasi itu mutlak membutuhkan keterlibatan dari pihak manajemen. Tanpa keterlibatan manajemen maka suatu program atau kebijakan tidak akan dapat berhasil dengan baik. (2) Penetapan lingkup, sumberdaya dan value organisasi disatukan menjadi satu langkah karena mempunyai kemiripan dan cakupan yang saling berhubungan. (3) Analisa Resiko Langkah ini merupakan langkah untuk mengidentifikasi resiko. Identifikasi resiko yang dimaksud adalah resiko dari proses-proses tata kelola yang ada. Sebagaimana diketahui bahwa setiap proses tata kelola mempunyai tingkat resiko yang berbeda-beda. Oleh karena itu dibutuhkan analisa resiko untuk mencari proses kritis yaitu proses yang beresiko tinggi dan tingkat kepentingan tinggi.

8 33 (4) Pemilihan proses Langkah ini dipilih karena lebih sistematis dengan langkah sebelumnya dibandingkan dengan langkah program perencanaan dari ITGI. Pada langkah ini akan dipilih proses-proses kritis berdasarkan hasil analisa resiko (5) Pengukuran kinerja saat ini Pada langkah ini akan diukur kinerja yang ada saat ini. Langkah ini dan dua langkah berikutnya dipilih karena mempunyai kesamaan dan hubungan dengan langkah-langkah yang sebelumnya. (6) Penetapan kinerja yang diharapkan Menetapkan kinerja harapan yaitu kinerja yang diharapkan dalam pengelolaan teknologi informasi. (7) Analisa gap atau kesenjangan Langkah ini diperlukan untuk menganalisa kesenjangan dari hasil pengukuran kinerja saat ini dengan kinerja harapan. (8) Pembuatan dokumen rencana perbaikan Dokumen rencana perbaikan disusun berdasarkan hasil analisa kesenjangan (9) Rencana Perbaikan Kepemimpinan dan Struktur Langkah perbaikan kepemimpinan dan struktur diperlukan sesuai dengan komponen tata kelola TI berdasarkan kerangka kerja acuan (COBIT). (10) Rencana Perbaikan Proses Tata Kelola TI Langkah ini diperlukan sesuai dengan komponen tata kelola TI berdasarkan kerangka kerja COBIT. (11) Penyusunan Dokumen Tata Kelola TI Langkah terakhir adalah penyusunan dokumen tata kelola TI sesuai dengan langkah-langkah yang telah di lakukan. III.3 Menyertakan Kajian Kondisi Institusi Pemerintahan Yang dimaksudkan disini adalah perlunya menyertakan langkah untuk mengkaji kondisi institusi pemerintahan dalam metodologi pelaksanaan tata kelola TI yang disusun. Hal ini dimaksudkan agar metodologi pelaksanaan tata kelola TI benar-benar

9 34 telah mempertimbangkan kondisi dan kebutuhan pemerintahan khususnya pada tingkat pemerintah daerah. Kondisi institusi pemerintahan yang dikaji tentunya dibatasi pada komponenkomponen tata kelola teknologi informasi berdasarkan kerangka kerja terpilih yaitu COBIT. Adapun komponen-komponen tata kelola TI yang dimaksudkan adalah: (1) Kepemimpinan (2) Struktur organisasi (3) Proses tata kelola III.4 Metodologi pelaksanaan Tata Kelola TI Metodologi pelaksanaan Tata Kelola TI bertujuan untuk memberikan petunjuk di dalam melaksanakan tata kelola TI. Sesuai dengan batasan masalah yang telah disampaikan pada sub bab I.4, metodologi pelaksanaan yang disusun adalah hanya sampai pembuatan dokumen tata kelola TI. Tahapan-tahapan yang disusun diharapkan mampu menghasilkan dokumen tata kelola TI yang sesuai dengan kerangka kerja terpilih yaitu COBIT. Berdasarkan kajian terhadap pemilihan kerangka kerja acuan yaitu COBIT, kajian terhadap perangkat pendukung penyusunan metodologi pelaksanaan tata kelola TI pada sub bab III.2 yang telah menghasilkan usulan awal tahap pelaksanaan, serta menyertakan kajian kondisi institusi pemerintahan, maka dihasilkan tahapanmetodologi pelaksanaan tata kelola TI sebagai berikut: (1) Identifikasi dan menumbuhkan kesadaran manajemen (2) Kajian kondisi institusi pemerintahan meliputi kepemimpinan, struktur, proses (3) Identifikasi proses yang ada pada pemerintahan dan lakukan pemetaan proses (4) Analisa Resiko (5) Pemilihan Proses Kritis (6) Pengukuran Kinerja (Saat ini dan target yang diharapkan) (7) Analisa gap atau kesenjangan

10 35 (8) Pembuatan Dokumen Rencana Perbaikan (Kepemimpinan, Struktur dan Proses) (9) Penyusunan Dokumen Tata Kelola TI. Langkah-langkah tersebut digambarkan sebagai berikut: Gambar III.3 Metodologi Pelaksanaan Tata Kelola TI Yang Disusun

11 36 Berikut adalah penjelasan setiap langkah dari metodologi pelaksanaan yang telah disusun. III.4.1 Identifikasi dan menumbuhkan kesadaran manajemen Sebagaimana disebutkan dalam definisi tata kelola teknologi informasi berdasarkan ITGI bahwa tata kelola teknologi informasi mempunyai tiga komponen yaitu kepemimpinan, struktur dan proses. Kepemimpinan merupakan satu hal yang sangat penting di dalam pelaksanaan tata kelola TI. Dari beberapa definisi yang diberikan baik oleh ITGI, MIT CISR (Peter Weill dan Jeanne Ross), AS dan yang lainnya menunjukan bahwa tata kelola teknologi informasi merupakan tanggung jawab dari dewan direksi atau manajemen. Oleh karena itu keberhasilan tata kelola TI pada sebuah organisasi ditentukan oleh kesadaran dan komitmen dari manajemen organisasi tersebut. Untuk itu maka langkah pertama yang diperlukan adalah mengidentifikasi dan menumbuhkan kesadaran manajemen akan pentingnya tata kelola teknologi informasi bagi organisasinya. Untuk mengidentifikasi kesadaran manajemen maka bisa digunakan metode wawancara dengan pihak manajemen ataupun dengan mengadakan kuesioner dengan memakai Management Awareness Tool yang disediakan oleh COBIT. Dari hasil wawancara atau kuesioner tersebut maka dapat diketahui tingkat kesadaran manajemen akan pentingnya tata kelola TI di organisasinya. Setelah didapatkan kesadaran dari pihak manajemen maka selanjutnya adalah bagaimana menumbuhkan atau meningkatkan kesadaran tersebut pada tingkatan yang lebih baik lagi. Dengan tingkat kesadaran dan pemahaman yang baik maka akan timbul komitmen yang baik pula dari manajemen yang pada akhirnya dengan komitmen yang baik maka akan timbul dukungan penuh terhadap pelaksanaan tata kelola TI di organisasi.

12 37 Beberapa metode bisa digunakan untuk menumbuhkan kesadaran manajemen, diantaranya dengan mengadakan kegiatan seminar tentang tata kelola teknologi informasi dan mengadakan pelatihan tentang tata kelola teknologi informasi bagi manajemen. III.4.2 Kajian kondisi TI institusi Pada pemerintah daerah terdapat dua kondisi teknologi informasi yaitu yang bersifat umum dan yang bersifat khusus. Yang bersifat umum adalah kondisi yang berasal dari regulasi pemerintah pusat terkait dengan pengelolaan teknologi informasi yang harus dipatuhi oleh seluruh institusi pemerintahan. Sedangkan yang kedua yaitu yang bersifat khusus adalah kondisi tertentu bagi masing-masing institusi sesuai dengan kebutuhan masing-masing institusi tersebut. Kedua hal ini harus menjadi pertimbangan di dalam penyusunan dan pelaksanaan tata kelola teknologi informasi. Adapun kondisi TI yang perlu dikaji pada langkah ini adalah kondisi TI yang berhubungan dengan kepemimpinan, struktur dan proses-proses TI yang ada pada institusi pemerintahan. Ada beberapa metode untuk mengidentifikasi kondisi TI terkait dengan kepemimpinan, struktur dan proses-proses TI yang ada, diantaranya adalah: (1) Wawancara Menurut jenisnya, wawancara yang digunakan adalah memakai pembagian jenis wawancara seperti yang diungkapkan Sanapiah Faisol (1990:63) yaitu: (a) Wawancara tak berstruktur Pada jenis wawancara ini akan diajukan pertanyaan-pertanyaan secara lebih luas dan leluasa tanpa terikat oleh susunan pertanyaan yang telah dipersiapkan sebelumnya. Walaupun demikian sudah barang tentu telah dipersiapkan cadangan masalah yang perlu ditanyakan kepada subyek atau informan. Dan biasanya muncul secara spontan sesuai dengan perkembangan situasi wawancara itu sendiri. Dari wawancara tak berstruktur ini diharapkan terjadi komunikasi yang berlangsung

13 38 secara luwes, arahnya bisa lebih terbuka sehingga dapat diperoleh informasi yang lebih kaya dan pembicaraan tidak terlampau terpaku dan menjenuhkan. (b) Wawancara terang-terangan. Metode ini digunakan dengan harapan dapat memperoleh informasi secara leluasa dengan baik dan benar dari lawan bicaranya karena berangkat dari keterbukaan dan terus terang bahwa diinginkan beberapa informasi tentang masalah-masalah yang berkaitan dengan penelitian yang sedang dilakukan. Maka informan akan memberikan informasi sesuai dengan apa yang diperlukan, tanpa adanya kecurigaan sedikitpun. (c) Wawancara yang menempatkan subyek sebagai teman sejawat Dalam sebuah penelitian hasil temuan terkadang tergantung kepada data atau informasi yang diperoleh. Karena itu informan mempunyai posisi yang penting dalam penelitian tersebut. Informan bisa dijadikan sebagai co-researcher. Maka dari awal peneliti harus berterus terang memaparkan maksud dan tujuan penelitiannya. Juga mengemukakan kendala-kendala dalam penelitiannya sehingga diharapkan permasalahan atau penelitian menjadi masalah bersama. (2) Survei Survei merupakan upaya pengumpulan informasi dari sebagian populasi yang dianggap dapat mewakili populasi tertentu. Metode ini bertitik tolak pada konsep, hipotesis, dan teori yang sudah mapan sehingga tidak akan memunculkan teori yang baru. Penelitian survei memiliki sifat verifikasi atau pengecekan terhadap teori yang sudah ada (Mantra, 2001). Survei merupakan perangkat penelitian yang murah dan cepat sehingga informasi yang dibutuhkan dapat dihasilkan secara akurat dan tepat waktu. Bentuk kuesionernya pun sederhana dan relatif mudah sehingga tidak memerlukan

14 39 pelatihan secara khusus (Stone, 1993). Selain murah dan cepat, keunggulan lainnya adalah penelitian survei dapat digunakan untuk mengumpulkan informasi secara sistematis mengenai berbagai hal, misalnya dalam penelitian ini adalah: kondisi teknologi informasi yang ada di institusi pemerintahan. Contoh survei yang dilakukan untuk mengidentifikasi kondisi TI adalah dengan menggunakan Management Awareness Tool dan IT Diagnostic Tool dari COBIT yang bertujuan untuk mengidentifikasi kesadaran manajemen, penerapan dan kinerja pengelolaan TI yang ada di organisasi atau institusi. (3) Kajian terhadap dokumen-dokumen Selain metode wawancara dan survei maka metode yang ketiga adalah melakukan kajian terhadap dokumen-dokumen terkait pengelolaan TI yang ada di institusi. Daftar dokumen yang perlu dikumpulkan misalnya sebagaimana berikut: Table III.5 Contoh Daftar Dokumen Yang Diperlukan No Nama Dokumen Ada Tidak Keterangan 1 Rencana Strategis TI 2 Dokumen Tupoksi Pengelola TI 3 Dokumen proses bisnis utama 4 Dokumen teknis sistem aplikasi utama 5 Dokumen tingkat layanan 6 Dokumen arsitektur, topologi, kapasitas dan kondisi infrastruktur TI yang ada saat ini 7 Dokumen kompetensi dan komposisi SDM TI Salah satu contoh regulasi terkait dengan kondisi umum yang telah dijelaskan sebelumnya, misalnya adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Dalam Peraturan Menteri tersebut terdapat beberapa hal terkait kepemimpinan, peran dan tanggung jawab, struktur organisasi, dan proses-proses tata kelola teknologi informasi yang perlu dikaji dan menjadi bahan pertimbangan dalam penyusunan dokumen tata kelola teknologi informasi.

15 40 III.4.3 Identifikasi dan pemetaan proses Pada langkah kedua telah diidentifikasi proses-proses tata kelola teknologi informasi yang ada di institusi pemerintahan. Khusus untuk tata kelola teknologi informasi maka pemerintah pusat telah mengeluarkan regulasi melalui Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Dalam regulasi tersebut diidentifikasi beberapa proses tata kelola teknologi informasi. Proses-proses tersebut merupakan regulasi yang bersifat umum artinya berlaku untuk semua institusi pemerintahan. Proses-proses tersebut kemudian dipetakan ke dalam proses-proses yang ada di kerangka kerja COBIT dengan tujuan untuk mengidentifikasi hubungan yang jelas antara proses-proses tersebut apakah semua proses berdasarkan regulasi pemerintah bisa terpenuhi oleh proses-proses yang ada pada COBIT. Dengan pemetaan ini maka kaitan antara proses tata kelola yang ada pada COBIT dengan proses tata kelola TI menurut regulasi pemerintah menjadi jelas sehingga diharapkan tata kelola TI yang dihasilkan sesuai dengan kebutuhan dan kondisi spesifik dari institusi pemerintahan yang bersangkutan. Berikut adalah contoh format pemetaan antara proses tata kelola teknologi informasi menurut regulasi pemerintah dan proses tata kelola teknologi informasi menurut kerangka kerja COBIT. Proses TI sesuai regulasi pemerintah Table III.6 Contoh Pemetaan Proses TI Proses TI menurut COBIT

16 41 III.4.4 Analisa resiko Pada langkah analisa resiko proses TI maka ada dua langkah yang harus dilakukan yaitu menilai proses TI dan mengukur resiko proses TI tersebut. Oleh karenanya diperlukan alat ukur untuk menilai proses TI dan mengukur resiko proses TI. Untuk pengukuran nilai proses maka dilakukan dengan metode kuesioner yang dibagikan kepada para pimpinan pengelola TI, para staff pengelola TI, maupun pihak-pihak pengelola TI lainnya. Penilaian dilakukan dengan memakai skala penilaian Likert yaitu dari 1 hingga 5 dimana nilai 1 adalah sangat tidak penting dan 5 adalah sangat penting. Untuk jelasnya bisa dilihat pada tabel berikut: Table III.7 Skala Penilaian Nilai Keterangan 5 Sangat penting 4 Penting 3 Cukup Penting 2 Tidak penting 1 Sama sekali tidak penting Sementara untuk proses-proses yang diukur nilainya adalah proses-proses yang ada pada COBIT yaitu 34 proses sebagai berikut: Table III.8 Proses-Proses TI yang akan diukur Proses-proses COBIT Plan and Organise PO1 Mendefinisikan Rencana Strategis TI PO2 Mendefinisikan arsitektur informasi PO3 Menentukan arahan teknologi PO4 Mendefinisikan proses, organisasi dan hubungan TI PO5 Manajemen investasi TI PO6 Mengomunikasikan tujuan dan arahan manajemen PO7 Manajemen sumber daya manusia TI PO8 Manajemen Mutu PO9 Manajemen risiko PO10 Manajemen proyek Acquire and Implement AI1 Mengidentifikasi solusi yang terotamatisasi Nilai Proses

17 42 AI2 Melakukan pengadaan dan pemeliharaan perangkat lunak aplikasi AI3 Melakukan pengadaan dan pemeliharaan infrastruktur teknologi AI4 Memungkinkan operasi dan penggunaan AI5 Melakukan pengadaan sumber daya TI AI6 Manajemen Perubahan AI7 Memasang dan menggunakan solusi dan melaksanakan perubahan Deliver and Support DS1 Manajemen tingkat layanan DS2 Manajemen layanan pihak ketiga DS3 Manajemen kinerja dan kapasitas DS4 Memastikan keberlangsungan layanan DS5 Memastikan keamanan sistem DS6 Mengidentifikasi dan mengalokasikan biaya DS7 Mendidik dan melatih pengguna DS8 Manajemen Service Desk dan insiden DS9 Manajemen konfigurasi DS10 Manajemen masalah. DS11 Manajemen Data DS12 Manajemen lingkungan fisik DS13 Manajemen operasi Monitor and Evaluate ME1 Memonitor dan mengevaluasi kinerja TI ME2 Memonitor dan mengevaluasi kontrol internal ME3 Memastikan pemenuhan terhadap regulasi ME4 Memberikan tata kelola TI Untuk mengukur resiko proses TI maka digunakan alat bantu sebagaimana pada pengukuran nilai proses. Setiap proses tentunya memiliki resiko yang berbeda-beda, dan untuk mengurangi dan meminimasi resiko atau dampak dari resiko tersebut maka diperlukan kontrol-kontrol tertentu. Untuk pengukuran resiko proses TI maka dilakukan dengan memeriksa kontrol yang ada pada setiap proses TI yang berupa kebijakan, prosedur, praktik yang dapat menjamin bahwa tujuan setiap proses bisa tercapai. Dengan pertimbangan tersebut maka untuk pengukuran resiko proses TI dilakukan pemeriksaan kontrol dan dokumentasi kontrol tersebut baik itu kebijakan atau prosedur ataupun dokumen lainnya yang berkaitan dengan tujuan-tujuan aktifitas pada setiap proses TI tersebut. Sebagai contoh adalah proses PO1: Define a strategic IT Plan yang memiliki tiga activity goals..

18 43 Gambar III.4 Contoh Activity Goals Dari penjelasan di atas kemudian dibuatlah tabel pengukuran resiko sebagai alat bantu dalam menganalisa resiko proses TI. Table III.9 Contoh Pengukuran Resiko Untuk PO1 Kontrol Resiko Resiko Domain COBIT dan Proses Tujuan Aktifitas Proses TI Tidak yakin Sebagian, tdk ada dokumen Sebagaian, Ada dokumentasi Seluruhnya, sebagian ada dokumentasi Seluruhnya. Ada dokumentasi Per aktifitas Per proses PO1 Mendefinisikan Rencana Strategis TI Keselarasan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan yang akan datang. Memahami kemampuan TI saat ini. Memberikan skema prioritas untuk tujuan bisnis yang memiliki kuantifikasi kebutuhan bisnis.

19 44 Adapun maksud dari kolom Kontrol Resiko yang ada pada tabel III.9 di atas adalah sebagai berikut: Table III.10 Nilai Kontrol Resiko Jawaban Nilai Jika semua kontrol ada dan didokumentasikan 0.00 Jika semua kontrol ada tetapi ada yang belum didokumentasikan 0.25 Jika sebagian kontrol ada dan sudah didokumentasikan 0.5 Jika sebagian kontrol ada tetapi belum didokumentasikan 0.75 Jika tidak yakin dengan adanya kontrol 1.00 Selanjutnya pengisian tabel tersebut mengikuti aturan sebagai berikut: (1) Kolom Kontrol Resiko diisi dengan hasil penilaian keberadaan kontrol untuk setiap proses TI seperti dijelaskan sebelumnya. (2) Kolom Risiko Per Aktivitas diisi dengan jumlah nilai analisis kontrol kunci untuk setiap kontrol kunci dari proses TI tertentu. (3) Kolom Risiko Per Proses diisi dengan rata-rata nilai analisis kontrol kunci untuk setiap proses TI. III.4.5 Pemilihan proses kritikal Pada langkah ini akan dipilih proses-proses yang kritikal sesuai dengan hasil analisa pengukuran resiko. Perbaikan tata kelola teknologi informasi akan diprioritaskan pada proses-proses krititikal berdasarkan kriteria nilai proses yang tinggi (sangat penting atau penting) dan nilai resiko yang tinggi pula.dengan mengalikan nilai proses dengan nilai resiko maka diperoleh profil resiko dari setiap proses TI yang diipilih bagi perusahaan. Nilai yang dihasilkan kemudian dapat dikelompokkan dalam 3 kategori sebagai berikut: (1) Kategori Rendah untuk nilai 0 sampai dengan 1,666 (2) Kategori Sedang untuk nilai yang lebih besar dari 1,666 dan lebih kecil dari atau sama dengan 3,333 (3) Kategori Tinggi untuk nilai yang lebih besar dari 3,333

20 45 III.4.6 Pengukuran tingkat kematangan Langkah ini terdiri dari dua aktifitas yaitu mengukur tingkat kematangan saat ini dan menentukan tingkat kematangan yang diharapkan. Biasanya tingkat kematangan yang diharapkan dapat diketahui berdasarkan hasil wawancara ataupun kuesioner yang diisi oleh responden dari pengelola TI di institusi tersebut atau bisa juga ditetapkan oleh kepala institusi dengan mempertimbangkan kondisi yang ada. Sedangkan untuk menentukan tingkat kematangan saat ini memerlukan pengukuran dengan melibatkan pengelola TI yang sama. Sebagaimana dijelaskan pada sub bab II.1 kerangka kerja COBIT menggunakan tingkat kematangan dari skala 0 5. Setiap tingkat kematangan memiliki pernyataan yang diturunkan dari persyaratan tingkat kematangan yang didefinisikan COBIT. Sebagai contoh untuk tingkat kematangan 1 pada proses PO1 memiliki persyaratan sebagai berikut: Kebutuhan untuk perencanaan strategis TI diketahui oleh manajemen TI. Perencanaan TI dilakukan berdasarkan kebutuhan untuk memenuhi kebutuhan bisnis yang spesifik. Perencanaan strategis TI kadang kadang didiskusikan pada pertemuan manajemen TI. Keselarasan kebutuhan bisnis, aplikasi dan teknologi dilakukan secara reaktif dan bukan berdasarkan strategi organisasi. Posisi risiko yang strategis diidentifikasi secara informil per proyek. Persyaratan di atas kemudian diturunkan menjadi pernyataan untuk tingkat kematangan 1 untuk proses PO1 sebagai berikut: (1) Kebutuhan perencanaan strategis TI diketahui oleh manajemen TI (2) Terdapat perencanaan TI paling sedikit berdasarkan kebutuhan untuk memenuhi persyaratan bisnis tertentu. (3) Perencanaan strategis TI didiskusikan pada pertemuan manajemen TI (meskipun mungkin belum rutin dilakukan). (4) Terdapat keselarasan antara kebutuhan bisnis, aplikasi dan teknologi (meskipun mungkin masih reaktif dan bukan berdasarkan strategi organisasi).

21 46 (5) Posisi risiko yang strategis diidentifikasi (meskipun mungkin masih secara informil per proyek). Untuk mengetahui kematangan sebuah proses TI secara komprehensif, maka pemenuhan sebuah proses terhadap persyaratan setiap tingkat kematangan yang ditetapkan dalam model kematangan COBIT perlu diukur. Hal ini dikarenakan sebuah proses meskipun belum memenuhi secara sempurna persyaratan sebuah tingkat kematangan namun mungkin sudah memenuhi sebagian dari persyaratan tersebut dan hal ini tentu saja perlu mendapatkan apresiasi dan penilaian. Sebagai contoh untuk mengukur tingkat kematangan proses TI PO1 maka perlu diukur pemenuhan dari proses TI yang terjadi di sebuah organisasi dengan persyaratan dalam setiap tingkat kematangan di dalam COBIT mulai dari tingkat 1 sampai 5. Table III.11 Contoh Pernyataan Tingkat Kematangan 1 No Pernyataan Tidak setuju sama sekali Agak setuju Setuju sampai tingkat tertentu Sangat setuju Nilai ( ) Bobot Kebutuhan untuk perencanaan strategis TI diketahui oleh manajemen TI 2 Perencanaan TI dilakukan berdasarkan kebutuhan untuk memenuhi kebutuhan bisnis yang spesifik. 3 Perencanaan strategis TI kadang kadang didiskusikan pada pertemuan manajemen TI 4 Keselarasan kebutuhan bisnis, aplikasi dan teknologi dilakukan secara reaktif dan bukan berdasarkan strategi organisasi 5 Posisi risiko yang strategis diidentifikasi secara informil per proyek

22 47 Seluruh tingkat kematangan dari tingkat kematangan 1 sampai tingkat kematangan 5 dibuatkan tabel seperti tabel III.11 di atas. Tingkat kematangan sebuah proses dihitung dengan membagi jumlah total nilai dengan jumlah total bobot. Hasil dari pembagian tersebut kemudian dikalikan dengan kontribusi dari masing-masing tingkat kematangan. Penentuan kontribusi masing-masing tingkat kematangan berdasarkan pertimbangan tingkat kepentingan atau tingkat kesulitan pencapaian. Nilai bobot diperlukan untuk penghitungan tingkat kematangan saat ini. Adapun pemberian nilai bobot berdasarkan taksiran nilai kematangan setiap pernyataan dengan skala 1 5 (1 = paling rendah, 5 = paling tinggi). Sebagai contoh bila sebuah institusi menganggap semua tingkat kematangan memberikan kontribusi yang sama bagi tingkat kematangan keseluruhan sebuah proses maka bobot setiap tingkat kematangan dapat diberi nilai Namun bila tersebut menganggap tingkat kematangan yang tinggi memerlukan usaha yang lebih besar dan juga pencapaiannya memberikan dampak yang lebih besar pula maka tentunya bobot yang lebih besar dapat diberikan untuk tingkat kematangan yang lebih tinggi sebagaimana diperlihatkan pada contoh di bawah ini. Hasil perkalian setiap tingkat kematangan ini kemudian dijumlahkan untuk menghasilkan nilai tingkat kematangan dari proses TI tersebut. Table III.12 Cara perhitungan tingkat kematangan Tingkat Pemenuhan Bobot Nilai Tingkat Kematangan

23 48 Seluruh nilai tingkat kematangan kemudian dijumlahkan dan akan didapatkan hasil Tingkat kematangan dari proses TI tersebut. Selain pengukuran tingkat kematangan proses TI saat ini, perlu juga ditetapkan target tingkat kematangan yang ingin dicapai oleh institusi atau organisasi yang bersangkutan. Tingkat kematangan yang menjadi target dapat ditetapkan oleh pimpinan dengan mempertimbangkan: Kondisi kematangan proses TI saat ini. Kemampuan dari institusi tersebut untuk mencapainya. Tingkat urgensi dan kebutuhan organisasi atas proses TI tersebut termasuk yang disebabkan oleh regulasi. III.4.7 Analisis kesenjangan Apabila hasil pengukuran tingkat kematangan yang dihasilkan berbeda dengan tingkat kematangan yang ditetapkan maka dalam hal ini terjadi kesenjangan. Target tingkat kematangan bisa dimasukan sebagai persyaratan dari setiap proses teknologi informasi yang diharapkan dapat dicapai di masa yang akan datang. Sebagai contoh, apabila tingkat kematangan yang diharapkan telah ditetapkan pada tingkat kematangan 3 maka setiap proses TI harus diusahakan memenuhi persyaratan kematangan tersebut. Bahkan biasanya jika target kematangan adalah 3 maka diusahakan agar setiap proses bisa memenuhi persyaratan pada tingkat kematangan 4, dengan demikian untuk memenuhi target kematangan 3 bisa lebih dilakukan. III.4.8 Pembuatan dokumen rencana perbaikan Berdasarkan langkah-langkah yang telah dilakukan yang antara lain adalah melakukan kajian kondisi TI di pemerintahan, regulasi, hasil pengukuran kematangan dan analisa kesenjangan maka dapat dibuar dokumen rencana perbaikan yang berisi kebijakan, prosedur, atau hal lainnya yang menyangkut:

24 49 (1) Rencana perbaikan kepemimpinan dan struktur tata kelola TI Dalam menyusun rencana perbaikan menyangkut kepemimpinan dan struktur tata kelola teknologi informasi yang mana dapat berupa kebijakan dan prosedur terkait kepemimpinan dan struktur tata kelola TI, terdapat beberapa hal yang perlu dipertimbangkan diantaranya: (a) Struktur organisasi TI saat ini dibandingkan dengan praktik-praktik terbaik untuk organisasi TI. Praktik-praktik terbaik ini antara lain praktik terbaik mengenai: Struktur Komite Strategi TI dan Komite Pengarah TI sebagaimana diperlihatkan dalam Board Briefing on IT Governance (ITGI, 2003). Struktur organisasi TI Pemilahan tugas (segregation of duties) dalam pengelolaan TI. (b) Regulasi pemerintahan pusat tentang kepemimpinan dan struktur tata kelola TI. Contoh regulasi yang perlu mendapatkan perhatian adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional. (2) Rencana perbaikan proses tata kelola TI Hal-hal yang perlu diperhatikan terkait rencana perbaikan proses tata kelola teknologi informasi antara lain: (a) Proses-proses TI yang harus ada berdasarkan baik berdasarkan regulasi yang berlaku bagi (antara lain Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007) maupun untuk memenuhi kebutuhan spesifik dari yang bersangkutan (dengan berdasarkan hasil pemilihan proses TI yang kritikal). (b) Target tingkat kematangan dari proses-proses TI. Persyaratan dari target tingkat kematangan dapat menjadi masukan yang berharga untuk penyusunan kebijakan, standard dan/atau prosedur terkait proses tata kelola TI ini.

25 50 III.4.9 Penyusunan dokumen tata kelola TI Sesuai batasan masalah penelitian ini, maka langkah terakhir dari metodologi pelaksanaan tata kelola TI yang disusun adalah pembuatan dokumen tata kelola TI. Dokumen yang disusun sebatas kerangka dokumennya. Berikut adalah susunan dokumen yang diusulkan: RINGKASAN EKSEKUTIF Berisi ringkasan tentang informasi yang dapat diperoleh dari Dokumen Tata Kelola TI ini. Isinya antara lain tentang alasan dan manfaat tata kelola TI bagi dan penanggung jawabnya. Disebutkan juga bahwa dokumen ini terdiri dari kebijakan, standard dan prosedur yang terkait dengan kepemimpinan, struktur dan proses tata kelola TI. Pertimbangan-pertimbangan yang digunakan dalam menyusun dokumen tata kelola juga disebutkan dan jumlah kebijakan yang ada dalam dokumen perlu juga disampaikan di bagian ini. 1. PENDAHULUAN a. Tujuan Dokumen ini berisi penjelasan tentang kebijakan, standard dan prosedur terkait tata kelola TI untuk, yang menjadi panduan dalam menjalankan tata kelola TI di lingkungan. b. Cakupan dan Batasan Dokumen Tata Kelola TI dibuat berdasarkan hasil kajian dan pengukuran nilai serta risiko TI dan difokuskan pada proses-proses TI yang dinilai memiliki risiko menengah dan tinggi. Daftar proses yang dianggap kritikal adalah sebagai berikut: Dokumen ini berisi kebijakan, standard dan prosedur untuk proses-proses tersebut berdasarkan kebutuhannya. 2. RUJUKAN Dokumen, standard, praktik-praktik terbaik dan regulasi yang dijadikan acuan dalam pembuatan dokumen tata kelola ini adalah:

26 51 3. LINGKUP TATA KELOLA TI 3.1. Dasar penyusunan Dokumen ini disusun berdasarkan hasil pengukuran nilai dan risiko TI terhadap proses-proses yang ada di dalam COBIT dengan mempertimbangkan kondisi yang ada di institusi pemerintahan daerah. Pemilihan dilakukan terhadap proses-proses yang memiliki profil risiko sedang dan tinggi Sistematika Dokumen Penulisan Dokumen mengikuti sistematika sebagai berikut: Kepemimpinan dan Struktur Tata Kelola Kebijakan Kepemimpinan dan Struktur Standard Kepemimpinan dan Struktur Prosedur Kepemimpinan dan Struktur 1. Proses Tata Kelola Kebijakan Proses Standard Proses Prosedur Proses Standard dan prosedur hanya dibuat bila memang dibutuhkan untuk menjalankan sebuah kebijakan Penomoran Standard penomoran digunakan dalam penulisan dokumen tata kelola TI ini untuk memudahkan pencarian dan pengelompokkan. Berikut penjelasan dari penomoran tersebut Contoh penomoran: TKTI.A.B.CC Penjelasan: TKTI = Tata Kelola IT, sama untuk semua

27 52 A B C = 1 untuk kelompok kepemimpinan dan struktur 2 untuk kelompok proses = 1 untuk kebijakan 2 untuk prosedur = nomor urut kebijakan/standard/prosedur 4. KEPEMIMPINAN DAN STRUKTUR TATA KELOLA Berisi kebijakan, standard dan prosedur terkait kepemimpinan dan struktur tata kelola TI di yang diperlukan untuk memberikan kepemimpinan dan struktur organisasi yang dibutuhkan dalam menjalankan tata kelola TI di pemerintahan Kebijakan Kepemimpinan dan Struktur Kebijakan Prosedur Kepemimpinan dan Struktur Prosedur 1

28 53 5. PROSES TATA KELOLA Proses-proses tata kelola TI meliputi proses-proses TI yang kritikal yang digolongkan dalam kelompok proses perencanaan, manajemen belanja/investasi, realisasi, pengoperasian dan pemeliharaan sistem Kebijakan Proses Kebijakan Kebijakan Proses Prosedur 1

29 54