PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI

Transkripsi

1 TESIS MM2403 PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI LUKMAN HADI DWI PURNOMO NRP Dosen Pembimbing Ir. Aris Tjahyanto, M.Kom PROGRAM STUDI MAGISTER MANAJEMEN TEKNOLOGI Bidang Keahlian Manajemen Teknologi Informasi Program Pascasarjana Institut Teknologi Sepuluh Nopember Surabaya 2010

2

3 PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI Tesis disusun untuk memenuhi salah satu syarat memperoleh gelar Magister Manajemen Teknologi (M.MT) di Institut Teknologi Sepuluh Nopember Oleh: Lukman Hadi Dwi Purnomo NRP : Tanggal Ujian: 16 April 2010 Periode Wisuda: September 2010 Disetujui oleh: 1. Ir. Aris Tjahyanto, M.Kom. NIP: (Pembimbing) 2. Daniel O. Siahaan, S.Kom., PD.Eng. NIP: (Penguji) 3. Fajar Baskoro, S.Kom., MT. NIP: (Penguji) Mengetahui Direktur Program Pasca Sarjana Prof. Ir. Suparno, MSIE., Ph.D. i

4 [halaman ini sengaja dibiarkan kosong] ii

5 PERANCANGAN MODEL TATA KELOLA KETERSEDIAAN LAYANAN TI MENGGUNAKAN FRAMEWORK COBIT PADA BPK-RI Nama Mahasiswa : Lukman Hadi Dwi Purnomo NRP : Pembimbing : Ir. Aris Tjahyanto, M.Kom ABSTRAK Penerapan Teknologi Informasi pada sebuah organisasi memerlukan sumber daya yang besar tidak hanya finansial, juga waktu dan energi. Resiko terjadinya kegagalan juga tidak bisa dikatakan kecil. Namun di samping itu, penerapan Teknologi Informasi juga memberikan peluang-peluang untuk peningkatkan produktifitas organisasi yang sudah berjalan. Badan Pemeriksa Keuangan Republik Indonesia (BPK-RI) adalah lembaga negara yang bertugas memeriksa pengelolaan dan tanggung jawab keuangan negara. Untuk dapat mewujudkan visi dan misinya, TI memberikan kontribusinya dengan menjalankan peran strategis yang dirumuskan dalam Rencana Strategis TI BPK-RI. Salah satu kebutuhan bisnis yang penting adalah mengelola TI sehingga dapat memiliki kapabilitas dan ketersediaan yang mencukupi, sehingga dapat menjadi medium komunikasi bagi para stakeholdernya. Untuk itu diperlukan panduan yang dapat menjadi acuan dalam mengelola ketersediaan layanan TI. Dari hasil penelitian, diketahui bahwa proses-proses TI yang terkait dengan ketersediaan layanan TI yaitu DS3 (Manage Performance and Capacity) dan DS4 (Ensure Continuous Service) sebagian besar berada pada tingkat kedewasaan 2 (Repeatable but Intuitive). Sedangkan manajemen mengharapkan bahwa sebagian besar atribut pada proses-proses tersebut minimal berada pada tingkat kedewasaan 4 (Managed and Measurable). Untuk mengatasi kesenjangan tersebut, pada penelitian ini disusun rekomendasi-rekomendasi yang bertujuan untuk meningkatkan kematangan sesuai yang diharapkan. Rekomendasi juga dilengkapi dengan outcome measure dan performance indicator serta draft kebijakan yang dapat menjadi panduan dalam mengelola ketersediaan layanan TI berdasarkan kerangka kerja COBIT. Kata Kunci: COBIT, ketersediaan layanan, tata kelola TI iii

6 [halaman ini sengaja dibiarkan kosong] iv

7 MODELLING OF IT SERVICE AVAILIBILITY GOVERNANCE USING COBIT FRAMEWORK AT BPK-RI By : Lukman Hadi Dwi Purnomo Student Identity Number : Supervisor : Ir. Aris Tjahyanto, M.Kom ABSTRACT The implementation of Information Technology in an organisation requires not only high financial resources, but also time and energy. The risk of being failed is considerably not small. But in addition, the application of Information Technology also provides opportunities for enhancing the productivity of an organization that has been running. Audit Board of The Republic of Indonesia (BPK-RI) is a state institution that is in charge of examining the state financial management and responsibility. To be able to achieve its vision and mission, IT contributed to the strategic role that is defined in the IT Strategic Plan of BPK-RI. One of the critical business needs is to manage IT in a way that having sufficient capability and availability, so it can be a medium of communication for its stakeholders. This requires the guide which can be a reference for managing IT service availability. From the research, it is known that most IT processes associated with the availability of IT services DS3 (Manage Performance and Capacity) and DS4 (Ensure Continuous Service) is at maturity level 2 (Repeatable but Intuitive). While management expects that most of the attributes of these processes is at a minimum maturity level 4 (Managed and Measurable). To overcome these gaps, in this study developed recommendations aimed to increase maturity level as expected. Recommendations are also equipped with a outcomes measures and performance indicators and the policies draft that can be a guide in managing the availability of IT services based on the COBIT framework. Kata Kunci: COBIT, service availibility, IT governance v

8 [halaman ini sengaja dibiarkan kosong] vi

9 KATA PENGANTAR Alhamdulillahi rabbil 'alamin, puji dan syukur penulis sampaikan kepada Allah SWT, karena berkat rahmat-nya penulis dapat menyelesaikan penelitian ini. Pada kesempatan ini penulis ingin menyampaikan terima kasih kepada semua pihak yang telah memberikan bantuan dan dukungan yang sangat berarti hingga terselesaikannya tesis ini. 1. Istriku Denok Sri Pamulatsih dan anakku Yasira Kinasih Purnomo. Kalianlah sumber energi dan inspirasi yang tiada pernah habis. 2. Orang tuaku Bapak Suwarno dan Ibu Mudjiatin, mertuaku Bapak Boiman (alm) dan Ibu Soeliyah atas segala dukungan dan doanya. 3. Kakak-kakakku dan adik-adikku beserta semua keponakan yang lucu-lucu. 4. Badan Pemeriksa Keuangan RI yang telah memberikan kesempatan kepada penulis untuk menempuh pendidikan di MMT-ITS. 5. Bapak Ir. Aris Tjahyanto, M.Kom., sebagai dosen pembimbing; Bapak Daniel O. Siahaan, S.Kom., PD.Eng. dan Bapak Fajar Baskoro, S.Kom., MT. sebagai dosen penguji yang telah memberikan bimbingan dan masukan untuk penelitian ini. 6. Ibu Prof. Dr. Yulinah Trihadiningrum, M.App.Sc., Bapak Prof. Dr. Ir. Udisubakti Ciptomulyono, M.Eng.Sc. dan seluruh civitas MMT-ITS. 7. Teman-teman mahasiswa beasiswa BPK MMT-ITS atas kekompakan dan kerja samanya. 8. Dan semua pihak yang telah membantu penulis yang tidak dapat penulis sebutkan satu persatu Tak ada gading yang tak retak, masih banyak kekurangan dan kelemahan dalam penelitian ini. Kritik dan saran yang membangun penulis harapkan demi kemajuan ilmu pengetahuan dan teknologi. Surabaya, April 2010 Lukman Hadi Dwi Purnomo vii

10 [halaman ini sengaja dibiarkan kosong] viii

11 DAFTAR ISI Lembar Pengesahan...i ABSTRAK... iii ABSTRACT... v KATA PENGANTAR... vii DAFTAR ISI... ix DAFTAR GAMBAR... xiii DAFTAR TABEL... xv BAB Latar Belakang Perumusan Masalah Tujuan Penelitian Manfaat Penelitian Batasan Masalah... 6 BAB Pengelolaan Teknologi Informasi di BPK-RI Sistem Aplikasi Infrastruktur Definisi Teknologi Informasi Definisi Layanan Daur Pengelolaan Layanan Service Design Availibility Management Pengertian Tata Kelola Teknologi Informasi Domain Tata Kelola Teknologi Informasi Standar Tata Kelola Teknologi Informasi Framework COBIT Business Focused Process Oriented Control Based Measurement Driven ix

12 2.6. Tahapan Penerapan Tata Kelola TI Menggunakan COBIT Pemetaan Ketersediaan Layanan ke dalam Proses COBIT BAB Kajian Pustaka Pengumpulan Data Organisasi Studi Pustaka Penentuan Proses TI Pencarian Data Wawancara Kuisioner Analisa Kondisi Reliabilitas dan Validitas Data Pembobotan Data Analisa Gap Analisa Model Tata Kelola TI Terkait Ketersediaan Layanan Penyusunan Laporan BAB Wawancara Kuisioner Pelaksanaan Survey Kuisioner Reliabilitas dan Validitas Data Penghitungan Tingkat Kematangan Analisa Kondisi Saat Ini Analisa Kondisi Saat Ini pada Proses DS Analisa Kondisi Saat Ini pada Proses DS Analisa Kondisi yang Diharapkan Analisa Kondisi yang Diharapkan pada Proses DS Analisa Kondisi yang Diharapkan pada Proses DS Analisa Gap Rekomendasi Perbaikan Pencapaian Tingkat Kematangan Pencapaian Tingkat Kematangan Pencapaian Tingkat Kematangan x

13 Pencapaian Tingkat Kematangan Indikator Kinerja dan Indikator Pencapaian Perancangan Tata Kelola Ketersediaan Layanan Rencana Aksi Kebijakan Pengelolaan Ketersediaan Layanan TI Verifikasi Model Tata Kelola BAB Kesimpulan Saran DAFTAR PUSTAKA xi

14 [halaman ini sengaja dibiarkan kosong] xii

15 DAFTAR GAMBAR Gambar 1.1 Sistem Teknologi Informasi di BPK-RI... 4 Gambar 2.1 Struktur Organisasi Biro Teknologi Informasi BPK-RI... 7 Gambar 2.2 Application Portfolio Matrix... 8 Gambar 2.3 Skema WAN BPK-RI Gambar 2.4 Arsitektur Teknologi Informasi Gambar 2.5 ITIL Lifecycle Gambar 2.6 IT Governance Focus Area Gambar 2.7 The Cobit Cube Gambar 2.8 Kerangka Kerja COBIT Gambar 2.9 Prinsip Dasar COBIT Gambar 2.10 Hubungan antara 4 Domain dalam COBIT Gambar 2.11 Model Kendali dalam COBIT Gambar 2.12 Model Kematangan dalam COBIT Gambar 2.13 Fase Penerapan Tata Kelola TI Menurut COBIT Gambar 3.1 Alur Diagram Tahapan Penelitian Gambar 3.2 Hubungan Empat Proses TI terkait Ketersediaan Layanan. 40 Gambar 4.1 Diagram Boxplot Pembatasan 1,5 IQR pada Proses DS Gambar 4.2 Diagram Boxplot Pembatasan 1,5 IQR pada Proses DS Gambar 4.3 Representasi Tingkat Kematangan pada Proses DS Gambar 4.4 Representasi Tingkat Kematangan pada Proses DS Gambar 4.5 Goals and Metrics pada proses DS Gambar 4.6 Goals and Metrics pada proses DS Gambar 4.7 Hubungan Goal and Metrics dengan Tujuan Bisnis xiii

16 [halaman ini sengaja dibiarkan kosong] xiv

17 DAFTAR TABEL Tabel 2.1 Daftar Aplikasi di BPK-RI... 9 Tabel 2.2 Daftar proses TI dalam COBIT Tabel 2.3 Tingkat Kedewasaan Umum dalam COBIT Tabel 2.4 Tabel 2.5 Pemetaan Tujuan IT COBIT Terkait Ketersediaan Layanan ke dalam Proses TI Mapping ITIL ke dalam COBIT untuk Pengelolaan Ketersediaan Layanan Tabel 3.1 Daftar Responden Sesuai Tabel RACI Tabel 3.2 Pembobotan Tingkat Kematangan Tabel 4.1 Deskripsi Pernyataan Tingkat Kematangan Proses DS Tabel 4.2 Deskripsi Pernyataan Tingkat Kematangan Proses DS Tabel 4.3 Distribusi Responden Kuisioner DS Tabel 4.4 Distribusi Responden Kuisioner DS Tabel 4.5 Distribusi Jawaban Responden pada Proses DS Tabel 4.6 Distribusi Jawaban Responden pada Proses DS Tabel 4.7 Batas 1,5 IQR DS Tabel 4.8 Batas 1,5 IQR DS Tabel 4.9 Hasil Penghitungan Nilai Cronbach s Alpha Tabel 4.10 Hasil Penghitungan Korelasi Pearson DS Tabel 4.11 Hasil Penghitungan Korelasi Pearson DS Tabel 4.12 Nilai Kematangan DS Tabel 4.13 Nilai Kematangan DS Tabel 4.14 Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 2 Untuk Atribut GSM pada Proses DS xv

18 Tabel 4.15 Tabel 4.16 Tabel 4.17 Tabel 4.18 Tabel 4.19 Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 5 untuk atribut SE pada Proses DS Tabel 4.20 Goal and Metrics untuk Ketersediaan Layanan Tabel 4.21 Jadwal Pelaksanaan Rencana Aksi Tabel 4.22 Perbandingan Definisi Tata Kelola Teknologi Informasi Tabel 4.23 Validasi Elemen Tata Kelola Teknologi Informasi xvi

19 BAB 1 PENDAHULUAN 1.1. Latar Belakang Penerapan Teknologi Informasi pada sebuah organisasi memerlukan sumber daya yang besar tidak hanya finansial, tetapi juga waktu dan energi. Resiko terjadinya kegagalan juga tidak bisa dikatakan kecil. Namun di samping itu, penerapan Teknologi Informasi juga memberikan peluang-peluang untuk peningkatkan produktifitas organisasi yang sudah berjalan. Walaupun penerapan Teknologi Informasi tidak selalu identik dengan pertumbuhan perusahaan, namun penerapannya dapat mendukung organisasi untuk tetap dapat bertahan di tengah persaingan. Permasalahan pengelolaan TI telah mengalami peralihan dari permasalahan teknologi menjadi permasalahan manajemen dan pengelolaan. Hal tersebut dipicu oleh meningkatnya ketergantungan perusahaan akan kebutuhan di bidang TI. Teknologi Informasi harus dikelola seperti halnya mengelola aset-aset perusahaan yang lain. Keberhasilan pengelolaan TI sangat bergantung kepada keselarasan antara tujuan pengelolaan TI dengan tujuan organisasi. Pengelolaan TI dalam organisasi dilakukan dengan memastikan bahwa penggunaan Teknologi Informasi dapat mendukung tujuan bisnis organisasi, menggunakan sumber daya secara optimal dan mengelola resiko secara tepat. Pada dasarnya pengelolaan Teknologi Informasi berkaitan dengan dua hal yaitu adanya nilai tambah bagi organisasi yang menerapkan Teknologi Informasi dan penanganan resiko-resiko terkait penerapan Teknologi Informasi. Badan Pemeriksa Keuangan Republik Indonesia (BPK-RI) adalah lembaga negara yang bertugas memeriksa pengelolaan dan tanggung jawab keuangan negara. BPK-RI berkedudukan di Ibu Kota Negara dan memiliki perwakilan di setiap propinsi. Visi BPK-RI adalah menjadi lembaga pemeriksa keuangan negara yang bebas, mandiri dan profesional serta berperan aktif dalam mewujudkan tata kelola keuangan negara yang akuntable dan transparan. 1

20 Sedangkan misi BPK-RI adalah memeriksa pengelolaan dan tanggung jawab keuangan negara dalam rangka mendorong terwujudnya akuntabilitas dan transparansi keuangan negara, serta berperan aktif dalam mewujudkan pemerintahan yang baik, bersih dan transparan. Dari visi dan misi tersebut dapat terlihat sejumlah konteks dimana Teknologi Informasi harus memberikan peranan strategisnya, yaitu (BPK-RI, 2006b): 1. BPK sebagai institusi audit keuangan kenegaraan/nasional mengandung arti bahwa Teknologi Informasi berskala nasional yang dimiliki BPK harus memiliki kapabilitas seperti halnya Teknologi Informasi yang dimiliki oleh lembaga sejenis BPK di negara lain. 2. BPK harus berperan aktif, bukan reaktif. Hal ini berarti bahwa BPK dalam melakukan pekerjaannya harus mampu melakukan interaksi penuh dengan seluruh stakeholder-nya. Pada konteks ini, Teknologi Informasi harus mampu menjadi medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi. 3. BPK harus mendorong terwujudnya akuntabilitas dan transparansi keuangan negara. Teknologi Informasi harus dapat memberikan prinsip-prinsip tata kelola tersebut memalui pola pengambilan, penyimpanan, pengorganisasian, pemilihan dan pendistribusian data, informasi dan pengetahuan yang berada dalam posesi BPK. Dari uraian pencapaian peranan strategis Teknologi Informasi di atas, BPK mengembangkan Teknologi Informasi yang dikelompokkan ke dalam tiga kelompok fungsi, yaitu: 1. Teknologi sebagai alat bantu dalam mengelola sejumlah besar data, informasi dan pengetahuan yang dimiliki BPK. 2. Teknologi informasi sebagai alat bantu dalam proses pengambilan keputusan. 3. Teknologi informasi sebagai alat bantu untuk memudahkan/mendukung proses aktifitas audit sehari hari, 2

21 termasuk di dalamnya kebutuhan untuk melakukan komunikasi dan koordinasi. Selanjutnya, tiga fungsi di atas diterjemahkan ke dalam sistem layanan Teknologi Informasi menjadi dua kelompok besar, yaitu Sistem Internal dan Sistem Eksternal. Sistem Internal merupakan sistem yang menghubungkan semua stakeholder internal yang ada di dalam organisasi BPK, termasuk para mitra kerjanya. Dengan kata lain para pimpinan, auditor, kepala divisi, kepala biro, manajer, penyelia, adminitrator, maupun staf serta mitra kerja dari departemen departemen atau institusi institusi lainnya terhubung dalam sebuah jejaring sistem teknologi informasi. Sistem Eksternal merupakan sistem yang menghubungkan BPK-RI dengan semua stakeholder eksternal seperti para wakil rakyat di DPR, DPRD, dan DPD, pemerintah, institusi yang menjadi obyek diaudit, lembaga lembaga internasional, publik, komunitas, LSM dan institusi institusi terkait lainnya. Stakeholder utama BPK-RI adalah DPR sebagai pemberi mandat pemeriksaan pengelolaan dan tanggung jawab keuangan negara. Stakeholder yang lain adalah DPD, DPRD dan masyarakat pada umumnya sebagai pengguna hasil pemeriksaan BPK-RI. Stakeholder yang lain adalah pemerintah sebagai pihak yang menjadi obyek pemeriksaan keuangan oleh BPK-RI. Sedangkan untuk lingkup TI, selain stakeholder di atas juga ditambah dengan dengan manajemen dan staff BPK-RI sebagai pelaksana dan pengguna layanan TI. 3

22 Gambar 1.1 : Sistem Teknologi Informasi di BPK-RI (BPK-RI, 2006b) Sistem di atas dibentuk oleh beberapa macam komponen yang saling bekerja sama sehinga bisa menghasilkan layanan yang dibutuhkan. Komponenkomponen tersebut adalah Perangkat keras, Perangkat Lunak, Infrastruktur Telekomunikasi, Sistem Basis Data dan Sumber Daya Manusia (BPK-RI, 2006b). Agar Teknologi Informasi memiliki kapabilitas seperti halnya teknologi informasi yang digunakan oleh lembaga sejenis BPK di luar negeri, maka Teknologi Informasi harus dikelola menggunakan standar yang berlaku secara internasional. Bisnis mensyaratkan bahwa layanan harus tersedia pada saat dibutuhkan serta memenuhi atau melampaui kebutuhan bisnis. Jika TI gagal memenuhi ketersediaan layanan pada saat yang dibutuhkan, maka artinya TI gagal memberikan nilai tambah terhadap bisnis. Untuk bisa mendapatkan tingkat ketersediaan yang memadahi diperlukan adanya suatu tata kelola yang memberikan perhatian terhadap semua isu terkait ketersediaan layanan, meliputi layanan beserta sumber dayanya, yang memastikan bahwa target ketersediaan layanan pada semua sistem dapat terukur dan tercapai. Tujuan pengelolaan ketersediaan layanan ini adalah memberikan kepastian bahwa tingkat ketersedian layanan yang diberikan untuk semua layanan dapat memenuhi atau melebihi kebutuhan bisnis yang disepakati, baik untuk saat ini ataupun saat yang akan datang (OGC, 2007b). 4

23 Paparan di atas memunculkan nilai penting kebutuhan bagi BPK-RI akan adanya suatu kerangka Tata Kelola TI terkait ketersediaan layanan yang sesuai standar karena sampai dengan saat ini BPK belum memiliki panduan Tata Kelola Ketersediaan Layanan. Berdasarkan hal tersebut maka dalam penelitian ini akan dirancang sebuah model pengelolaan TI untuk BPK-RI dengan menggunakan kerangka kerja Control Objectives for Information and Related Technology (COBIT). COBIT merupakan sebuah model framework tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI. Hasil dari rancangan ini diharapkan dapat menjadi acuan dalam melakukan pengelolaan layanan di BPK-RI untuk mendukung tujuan dan strategi bisnisnya Perumusan Masalah Permasalahan yang akan dicoba untuk dijawab dalam penelitian ini adalah: 1. Bagaimana tingkat kedewasaan proses TI saat ini dan yang diharapkan di Badan Pemeriksa Keuangan yang terkait ketersediaan layanan? 2. Bagaimanakah menyusun Tata Kelola proses TI yang terkait dengan ketersediaan layanan agar bisa mengatasi gap tingkat kedewasaan sehingga layanan TI dapat tersedia sesuai dengan kebutuhan bisnis? 1.3. Tujuan Penelitian Penelitian ini bertujuan untuk menghasilkan rancangan tata kelola ketersediaan layanan untuk BPK-RI dengan menggunakan kerangka COBIT Manfaat Penelitian 1. Melakukan assessment terhadap kondisi dan kebutuhan pengelolaan TI khususnya mengenai ketersediaan layanan. 2. Memberikan rekomendasi mengenai aktifitas beserta control objective yang harus diselenggarakan dan dipertahankan serta 5

24 rekomendasi lain bagi dukungan tata kelola ketersediaan layanan yang sesuai standar Batasan Masalah Batasan permasalahan pada penelitian ini adalah sebagai berikut: 1. Penyusunan Model Tata Kelola Teknologi Informasi ini difokuskan kepada aspek Pengelolaan TI yang dikhususkan pada Ketersediaan Layanan. 2. Penyusunan model disusun didasarkan pada kesenjangan antara proses TI saat ini dengan proses TI yang diharapkan. 3. Layanan yang dimaksud adalah aplikasi-aplikasi yang meliputi aplikasi pada Sistem Internal dan Eksternal sesuai dengan yang tercantum dalam Rencana Strategis Teknologi Informasi BPK-RI. 6

25 BAB 2 KAJIAN PUSTAKA DAN DASAR TEORI 2.1. Pengelolaan Teknologi Informasi di BPK-RI Pengelolaan Teknologi Informasi di lingkungan Badan Pemeriksa Keuangan ditangani oleh Biro Teknologi Informasi (RO-TI). RO-TI adalah unit kerja setingkat eselon II yang kedudukannya berada di bawah dan bertanggung jawab kepada Sekretaris Jenderal. Gambar 2.1: Struktur Organisasi Biro Teknologi Informasi BPK-RI Biro TI mempunyai tugas melaksanakan pengelolaan sistem dan teknologi informasi di lingkungan BPK. Untuk melaksanakan tugas di atas, Biro TI menyelenggarakan fungsi: 1. Perumusan dan pengevaluasian rencana aksi Biro TI dengan mengidentifikasi indikataor kinerja utama berdasarkan rencana implementasi rencana strategis BPK; 2. Perumusan rencana kegiatan Biro TI berdasarkan rencana aksi, serta tugas dan fungsi Biro TI; 3. Penyiapan perumusan kebijakan di bidang sistem dan teknologi informasi; 7

26 4. Pelaksanaan kebijakan sistem dan teknologi informasi di bidang pengembangan sistem aplikasi komputer, serta pengelolaan infrastruktur dan dukungan teknologi informasi; 5. Pelaksanaan kegiatan lain yang ditugaskan oleh Sekretaris Jenderal; 6. Pelaporan hasil kegiatan secara berkala kepada Sekretaris Jenderal Sistem Aplikasi Peppard mengelompokkan aplikasi ke dalam sebuah Portfolio Matrix berdasarkan sumbangan potensial terhadap pencapaian tujuan bisnis di masa yang akan datang dan tingkat ketergantungan bisnis dalam mencapai kinerja bisnis secara keseluruhan. Portofolio Peppard ini merupakan turunan dari matrik serupa yang dibuat oleh McFarlan Gambar 2.2: Application Portfolio Matrix (Peppard, 2002) 1. Strategic: Aplikasi yang kritis dalam mendukung strategi bisnis di masa depan. 2. High Potential: Aplikasi yang mungkin menjadi penting dalam meraih kesuksesan organisasi di masa depan. 3. Key Operational: Aplikasi yang saat ini digunakan oleh organisasi untuk meraih kesuksesan. 8

27 4. Support: Aplikasi yang memberi nilai tambah namun tidak terlalu kritis untuk kesuksesan organisasi. Berdasarkan matrik di atas, maka aplikasi-aplikasi yang ada di BPK-RI dapat dikelompokkan sebagai berikut: Tabel 2.1: Daftar Aplikasi di BPK-RI Nama Keterangan Portofolio Aplikasi SMP PMP Tahun 2008 Strategic SDA Pengelolaan Data Sumber Daya Alam High Potential PIP 2.0 * PIP Management Report + Arsip High Potential Elektronik + Kinerja Individu + SiTUB + SHD RRC * Informasi Publik mengenai data-data High Potential terkait pemeriksaan sektor public SAAD Akses data realisasi APBN yang terdapat High Potential di DJPerbendaharaan secara online SMP Itama PMP Tahun 2008 (Domain Itama) High Potential (SIMPEL) * Dashboard BPK-RI * Visualisasi Data Bidang Pemeriksaan dan High Potential Kepegawaian DEP Pengelolaan Database Entitas Pemeriksaan High Potential BPK-RI bpk.go.id Web Eksternal BPK High Potential PIP 1.0 Informasi Kepegawaian untuk Pegawai Key Operational (Non-Transactional) SISDM Pengelolaan Database Kepegawaian Key Operational Sikad Sistem Informasi Kerugian Negara dan Key Operational Daerah Siska Informasi Internal Key Operational MDaemon Aplikasi Key Operational 9

28 VOIP Aplikasi VOIP Key Operational SiTUB Pengelolaan Data Tugas Belajar Support SHD Pengelolaan Hukuman Disiplin Support SPPD * Pengelolaan penerbitan SPPD terkait Support kegiatan pemeriksaan maupun nonpemeriksaan SI-RKSP Pengelolaan Rencana Kegiatan dan Support Monitoring Pelaksanaan RKSP Dmed Pengelolaan Database Media Terkait Support Kegiatan Kehumasan BPK-RI Jdih Sistem Informasi Perundangan Support Simpli Manajemen Helpdek Support Sumber: Biro Teknologi Informasi BPK-RI Keterangan: * masih dalam tahap pengembangan Infrastruktur Untuk menyediakan berbagai layanan teknologi informasi di atas, BPK-RI menyediakan infrastruktur jaringan termasuk sebuah Data Center yang berlokasi di Kantor Pusat. Data Center ini tidak saja berisi komputer-komputer server yang menyediakan layanan teknologi informasi (file sharing, , intranet, Internet, aplikasi terpusat, backup/restore data, dll.) bagi para penggunanya, tetapi juga berisi peralatan yang berfungsi sebagai pengaman sistem informasi tersebut. Infrastruktur jaringan yang ada meliputi Local Area Network (LAN) yang berada di Kantor Pusat dan seluruh Kantor Perwakilan dan Wide Area Network (WAN) yang menghubungkan Kantor Pusat dengan seluruh Kantor Perwakilan termasuk Pusdiklat. 10

29 Gambar 2.3: Skema WAN BPK-RI 2.2. Definisi Teknologi Informasi Terdapat dua istilah yang sering digunakan dalam konteks pengelolaan informasi, yaitu Sistem Informasi dan Teknologi Informasi. Menurut O Brien, Sistem Informasi adalah kombinasi yang terorganisasi antara manusia, hardware, software, jaringan komunikasi dan sumber data yang mengumpulkan, mentransformasikan dan menyebarkan data dalam sebuah organisasi. Sedangkan Teknologi Informasi adalah teknologi yang diperlukan untuk mewujudkan sistem informasi (O Brien, 2004). Menurut Davis, Teknologi Informasi lebih menekankan pada aspek teknologi yang digunakan untuk menghasilkan suatu produk atau layanan. Sedangkan Sistem Informasi lebih menekankan pada terminologi bisnis, yaitu meliputi manusia, data, prosedur dan teknologi itu sendiri. Dua istilah tersebut sering dipertukarkan dalam penggunaannya (Davis, 1993). Definisi lain dari Teknologi Informasi adalah teknologi yang meliputi pengembangan, pemeliharaan dan penggunaan sistem komputer, software dan jaringan untuk mengelola dan mendistribusikan data (Meriam-Webster, 2010). Menurut Lucas yang dikutip oleh Djatmiko, Arsitektur Teknologi Informasi dapat digambarkan sebagai berikut (Djatmiko, 2007): 11

30 Gambar 2.4: Arsitektur Teknologi Informasi (Djatmiko, 2007) Teknologi Informasi terdiri atas Aplikasi yang didalamnya berupa software, hardware dan infrastruktur. Setiap komponen melibatkan teknologi, proses dan manusia, yang kesemuanya bertujuan untuk mengumpulkan, mengelola dan mendistribusikan data Definisi Layanan TI Layanan (service), dalam hal ini adalah layanan TI, didefinisikan sebagai penyampaian nilai (value) kepada pelanggan (customer) dengan memfasilitasi hasil (outcomes) yang ingin dicapai oleh pelanggan tanpa harus sepenuhnya menguasai biaya dan resikonya (OGC, 2007a). Pemberian nilai ini dimaksudkan untuk memberikan solusi terhadap masalah bisnis dan dukungan terhadap model, strategi dan operasi bisnis. Layanan ini bisa diperoleh berupa shared service dari pihak lain yang berupa outsourcing maupun layanan yang dikelola sendiri secara internal. Kehandalan sebuah layanan TI tidak semata-mata ditentukan oleh teknologi yang digunakan, namun lebih kepada bagaimana layanan tersebut dikelola. Penggunaan teknologi baru tidak serta merta membuat layanan tersebut memberikan dukungan maksimal terhadap bisnis. Namun teknologi tersebut harus dikelola dengan tepat agar sesuai dengan kebutuhan bisnis. Pengelolaan layanan adalah seperangkat kapabilitas khusus organisasi yang ditujukan untuk memberikan value kepada organisasi dalam bentuk layanan (OGC, 2007b). 12

31 Daur Pengelolaan Layanan TI Ada banyak metode dan best practices yang bisa menjadi panduan untuk melakukan pengelolaan layanan, salah satunya adalah ITIL yang dikeluarkan oleh Office of Government Commerce. Menurut ITIL, pengelolaan layanan pada dasarnya merupakan sebuah daur hidup (lifecycle) (OGC, 2007a). Daur hidup tersebut didefiniskan sebagai berikut: Gambar 2.5 ITIL Lifecycle (OGC, 2007a) Sebagai pusat dari daur tersebut adalah Service Strategy, selanjutnya dari strategi tersebut dikembangkan menjadi Service Design, Service Transition dan Service Operation. Service Strategy berisikan panduan cara pandang manajemen bahwa sebuah layanan tidak hanya berupa kapabilitas organisasional tetapi juga merupkan aset strategis. Service Design adalah tahap dalam daur tersebut yang menerjemahkan Service Strategi menjadi blueprint untuk pencapaian tujuan bisnis. Service Design berisi panduan untuk mendesain dan mengembangkan layanan dan praktekpraktek pengelolaan layanan 13

32 Service Transition berisikan panduan untuk pengembangan dan perbaikan kapabilitas perpindahan layanan yang baru dan layanan yang mengalami perubahan ke dalam operasional layanan. Service Operation menyediakan praktek-praktek ke dalam pengelolaan operasi layanan sehari-hari. Service Operation juga meliputi panduan untuk mencapai efektifitas dan efisiensi dalam menyampaikan dan mendukung layanan agar value yang diberikan kepada pelanggan bisa maksimal. Continual Service Improvement menyediakan panduan untuk menciptakan dan memelihara value bagi pelanggan melalui desain, transisi dan operasi yang lebih baik Service Design Service Design bertujuan untuk memberikan desain layanan baru atau layanan yang mengalami perubahan untuk diperkenalkan ke dalam lingkungan operasional. Terdapat tujuh proses dalam Service Design, yaitu: 1. Pengelolaan Katalog Layanan 2. Pengelolaan Tingkat Layanan 3. Pengelolaan Kapasitas 4. Pengelolaan Ketersediaan 5. Pengelolaan Keberlanjutan Layanan TI 6. Pengelolaan Keamanan Informasi 7. Pengelolaan Pemasok Availibility Management Menurut ITIL, pengelolaan ketersediaan layanan adalah aktifitas-aktivitas yang bertujuan untuk memberikan kepastian bahwa tingkat ketersedian layanan yang diberikan untuk semua layanan dapat memenuhi atau melebihi kebutuhan bisnis yang disepakati, baik untuk saat ini ataupun saat yang akan datang secara efektif. Tujuan ini dicapai dengan memberikan fokus dan pengelolaan semua isu yang terkait dengan terkait dengan ketersediaan, baik isu layanan maupun sumber 14

33 dayanya, serta memastikan bahwa terget ketersediaan dalam semua area dapat tercapai dan terukur. Sedangkan menurut Service Availability Forum, Ketersediaan Tinggi adalah ukuran system uptime yaitu lima angka sembilan (99,999%) atau lebih. Hal ini berarti suatu sistem atau infrastruktur TI dikatakan handal jika dapat memenuhi 99,99% uptime (SAF, 2009). Hal yang serupa juga disebutkan oleh Wikipedia, yaitu bahwa Ketersediaan Layanan adalah pengembangan dari Ketersediaan Tinggi yang berarti sebuah layanan selalu tersedia tanpa dipengaruhi oleh kegagalan hardware, software dan user (Wikipedia, 2009). Objectives dari pengelolaan ketersediaan adalah: 1. Membuat dan memelihara Rencana ketersediaan yang memadahi dan up-to-date yang mencerminkankebutuhan bisnis saat ini dan masa mendatang 2. Menyediakan panduan pada semua wilayah bisnis dan TI yang terkait dengan masalah ketersediaan 3. Memastikan bahwa ketersediaan layanan memenuhi atau melebihi target yang disetujui 4. Memberikan panduan berupa diagnosa dan resolusi terhadap insiden dan masalah terkait dengan ketersediaan 5. Memperkirakan dampak atas perubahan pada Rencana Ketersediaan terhadap kinerja dan kapasitas dari semua layanan dan sumberdayanya 6. Memastikan bahwa upaya pengukuran yang proaktif untuk memperbaiki ketersediaan layanan dilakukan dengan biaya yang memadahi Pengertian Tata Kelola Teknologi Informasi Saat ini Teknologi Informasi menjadi faktor yang sangat penting bagi keberhasilan perusahaan, memberikan kesempatan-kesempatan untuk mendapatkan keunggulan kompetitif dan memungkinkan peningkatan 15

34 produktifitas dan memberikan nilai tambah bagi perusahaan di masa yang akan datang (Surendro, 2009). Berdasarkan definisinya, Tata Kelola Teknologi Informasi (IT Governance) adalah tanggung jawab dewan direktur dan manajemen eksekutif, yang terdiri atas kepemimpinan, struktur organisasi dan proses yang memastikan bahwa TI perusahaan mendukung dan memperluas strategi dan tujuan perusahaan (ITGI, 2007a). Peter Weill dan Jeanne W. Ross mendefinisikan IT governance sebagai aktifitas menetapkan hak pengambilan keputusan dan kerangka kerja yang dapat dipertanggungjawabkan (accountability framework) untuk mendorong perilaku pengunaan TI yang diharapkan (Weill dkk, 2004). Sedangkan International Organization for Standardization mendefinisikan Corporate Governance of IT sebagai sistem di mana penggunaan TI saat ini dan di masa yang akan datang diarahkan dan dikendalikan. Corporate Governance of IT melibatkan aktifitas evaluasi dan pengarahan penggunaan TI untuk mendukung organisasi dan pemantauan penggunaan tersebut untuk mencapai rencana. Corporate Governance of IT meliputi strategi dan kebijakan dalam menggunakan TI di dalam organisasi (ISO, 2008). IT Governance merupakan struktur hubungan dan proses untuk mngarahkan dan mengendalikan perusahaan agar bisa mencapai tujuan perusahaan dengan memberikan nilai tambah dan menyeimbangkan resiko terhadap return atas TI dan proses-prosesnya (ITGI, 2000). Tata Kelola Teknologi Informasi yang tidak efektif akan menjadi awal terjadinya hal yang tidak diinginkan, seperti (Surendro, 2009): 1. Kerugian bisnis, berkurangnya reputasi dan melemahkan kompetisi. 2. Tenggat waktu yang terlampaui, biaya yang melebihi anggaran, dan kualitas yang lebih rendah daripada yang dipersyaratkan. 3. Efisiensi dan proses inti peusahaan terpngaruh secara negatif oleh rendahnya kualitas penggunaan teknologi informasi. 4. Kegagalan dari inisiatif teknologi informasi untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan. 16

35 Domain Tata Kelola Teknologi Informasi Area permasalahan yang menjadi fokus utama dalam tata kelola TI antara lain adalah (ITGI, 2007a): Gambar 2.6 : IT Governance Focus Area (ITGI, 2007a) 1. Strategic Alignment: fokus kepada memastikan hubungan antara bisnis dan rencana TI; mendefinisikan, memelihara dan memvalidasi usulan rencana TI; menyelaraskan operasi TI dan operasi perusahaan. 2. Value Delivery: fokus kepada pelaksanaan rencana ke dalam siklus kegiatan; memastikan bahwa TI memberikan keuntungan yang diharapkan berdasarkan strateginya. 3. Risk Management: fokus kepada pemahaman resiko, ketaatan terhadap aturan, pengaruh resiko terhadap perusahaan dan penanaman tanggung jawab resiko kedalam organisasi. 4. Resource Management: fokus kepada optimalisasi investasi dan pengelolaan sumber daya TI meliputi aplikasi, informasi, infrastruktur dan manusia. 17

36 5. Performance Measurement: fokus kepada pemantauan dan pengukuran pelaksanaan strategi, penyelesaian proyek, penggunaan sumberdaya, kinerja proses dan penyampaian layanan Standar Tata Kelola Teknologi Informasi Standar adalah suatu hal yang disepakati untuk digunakan sebagai acuan bersama sehingga tercapai kesamaan pemahaman. Beberapa pihak yang menggunakan standar yang sama maka akan memiliki kesamaan pemahaman atas suatu istilah atau kriteria. Standar bisa berlaku secara internal organisasi, nasional dan internasional Ada beberapa alasan yang menguntungkan atas penggunaan standar terutama standar internasional yang terdefinisi secara luas, yaitu (Spafford, 2003): 1. The Wheel Exists: Organisasi tidak perlu melakukan penelitian dan pengembangan ulang karena sudah ada Standar Internasional. 2. Structured: Kerangka model standar menyediakan struktur yang baik yang bisa digunakan oleh organisasi, sehingga siapapun bisa memahami hal yang sama menggunakan struktur yang standar. 3. Best Practice: Standar sudah dikembangkan dalam waktu yang lama dan dievaluasi oleh banyak pihak dan organisasi di seluruh dunia. Hal ini tentu lebih baik dibandingkan dengan pengalaman oleh sebuah organisasi tunggal. 4. Knowledge Sharing: dengan adanya standar, berbagai pihak dapat berbagi ide antar organisasi, user group, situs web, buku dan lainlain 5. Auditable: ketiadaan standar menyulitkan auditor, terutama auditor eksternal, untuk melakukan penilaian kontrol secara efektif. Dengan adanya standar, maka auditor dan manajemen memiliki kesamaan dasar untuk melakukan pengelolaan maupun audit dan pengukurannya. Pada dasarnya pengelolaan TI sangat bergantung kepada organisasi pengguna TI, karena kondisi masing-masing organisasi bisa memiliki perbedaan. Namun, dengan keuntungan penggunaan standar seperti yang disebutkan di atas, 18

37 maka organisasi diharapkan menggunakan model tata kelola yang sudah menjadi standar dalam bidang pengelolaan TI. Dalam pengelolaan TI ada beberapa standar dunia yang sudah umum digunakan. Masing-masing memiliki fokus pengembangan dan kelebihan masingmasing. Beberapa standar tersebut antara lain: 1. COBIT (Control Objectives for Information and Related Technology), dikembangkan oleh IT Governance Institute 2. ISO/IEC 38500:2008 Corporate Governance of Information Technology, dikembangkan oleh International Organization for Standardization 3. ITIL (Information Technology Infrastructure Library), dikembangkan United Kingdom s Office of Government Commerce (OGC) 2.5. Framework COBIT COBIT adalah suatu standar tata kelola teknologi informasi yang dikembangkan oleh IT Governance Institute (ITGI) yang berbasis di Amerika Serikat. COBIT mengintegrasikan sejumlah best practices TI dan menyediakan kerangka kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan risiko serta memperoleh keuntungan terkait dengan TI. Implementasi COBIT dalam organisasi dapat memberikan keuntungan berupa (Surendro, 2009): 1. Penyelarasan yang lebih baik, berdasarkan pada fokus bisnis. 2. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan teknologi informasi. 3. Tanggungjawab dan kepemilikan yang jelas berdasarkan pada orientasi proses. 4. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan. 5. Berbagi pemahaman di antara pihak yang berkepentingan, didasarkan pada penggunaan bahasa yang sama. 19

38 6. Pemenuhan kebutuhan atau sebagai pelengkap bagi Committee of Sponsoring Organizations of the Treadway Commission (COSO) untuk lingkungan kendali teknologi informasi. Prinsip dasar framework COBIT lebih jauh dijelaskan ke dalam kubus COBIT, yang secara ringkas adalah: IT resources dikelola oleh IT process untuk mencapai IT goals yang menjawab persyaratan bisnis. Gambar 2.6 menggambarkan kubus COBIT. Gambar 2.7: The COBIT Cube (ITGI, 2007a) Di dalam kerangka kerja COBIT (seperti pada gambar 2.7), terdapat tujuh persyaratan atau kriteria informasi bisnis, yaitu: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability. COBIT kemudian menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu:, applications, information, infrastructure dan people. COBIT mendefinisikan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain, keempat domain tersebut adalah: Planning and Organization (10 proses), Acquisition and Implementation (7 proses), Delivery and Support (13 proses), dan Monitoring and Evaluation (4 proses). 20

39 Gambar 2.8: Kerangka Kerja COBIT (ITGI, 2007a) Framework COBIT disusun dengan karakteristik berfokus pada bisnis (business-focused), berorientasi pada proses (process-oriented), berbasis pada pengendalian (controls-based) dan terarah kepada pengukuran (measurementdriven) Business Focused Orientasi bisnis adalah hal yang utama dalam COBIT. Gambar 2.8 mengilustrasikan prinsip dasar COBIT, yaitu untuk menyediakan informasi yang 21

40 dibutuhkan perusahaan untuk mencapai tujuannya, perusahaan perlu melakukan investasi, melakukan pengaturan dan melakukan pengendalian terhadap sumber daya TI menggunakan seperangkat proses yang terstruktur untuk menyediakan layanan yang menghasilkan informasi yang dibutuhkan perusahaan Gambar 2.9: Prinsip Dasar COBIT (ITGI, 2007a) Kriteria Informasi Mengelola dan mengendalikan informasi adalah aktifitas utama dalam framework COBIT yang dapat membantu keselarasan dengan kebutuhan bisnis. Untuk mendukung tujuan bisnis, informasi harus memenuhi beberapa kriteria yang dalam COBIT disebut sebagai persyaratan bisnis bagi informasi, yaitu (ITGI, 2007a): 1. Effectiveness: terkait dengan informasi yang relevan dan berhubungan dengan proses bisnis yang harus disampaikan dengan cara tepat waktu, benar, konsisten dan berguna. 2. Efficiency: terkait dengan persyaratan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis). 3. Confidentiality: terkait dengan perlindungan terhadap informasi sensitif dari pengungkapan yang tidak resmi. 22

41 4. Integrity: terkait dengan ketepatan dan kelengkapan informasi dan validitasnya sehubungan dengan nilai bisnis harapan terhadapnya. 5. Availability: terkait dengan tersedianya informasi pada saat dibutuhkan oleh proses bisnis saat ini dan saat yang akan datang. Juga terkait dengan usaha melindungi sumber daya dan kapabilitas terkait yang diperlukan. 6. Compliance: terkait dengan kepatuhan terhadap hukum, peraturan dan kesepakatan kontrak 7. Reliability: terkait dengan ketentuan informasi yang sesuai bagi manajemen untuk melaksanakan tugasnya Sumber Daya Teknologi Informasi Sumber daya TI di dalam COBIT dibagi menjadi 5 bagian, yaitu: 1. Applications: adalah sistem pengguna yang terotomasi dan prosedur manual yang memproses informasi 2. Information: adalah data dalam berbagai bentuk, input, diproses dan dihasilkan outputnya oleh sistem informasi dalam bentuk apapun yang digunakan oleh bisnis. 3. Infrastructure: adalah teknologi dan fasilitas (seperti hardware, sistem operasi, DBMS, jaringan, multimedia dan lingkungan yang menampung dan mendukungnya) yang memungkinkan terjadinya pemrosesan aplikasi. 4. People: adalah personel yang diperlukan untuk merencanakan, mengorganisasi, memperoleh, mengimplementasi, menyampaikan, mendukung, memantau dan mengevaluasi sistem informasi dan layanannya. Personel tersebut bisa dari internal, tenaga outsourcing atau kontrak disesuaikan dengan kebutuhan. 23

42 Process Oriented Proses TI Seperti yang telah disebutkan di atas bahwa COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain. Gambar 2.10: Hubungan antara 4 Domain dalam COBIT (ITGI, 2007a) Tabel 2.2: Daftar Proses TI dalam COBIT Plan and Organise (PO) PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. Acquire and Implement (AI) AI1 Identify automated solutions. AI2 Acquire and maintain application software. Deliver and Support DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitor and Evaluate ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. 24

43 AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. Sumber: ITGI, 2007a 1. Plan and Organise (PO) Domain ini mencakup taktik dan strategi, serta perhatian pada identifikasi cara TI dalam memberikan kontribusi terbaiknya pada pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Suatu organisasi yang tepat seperti halnya infrastruktur teknologi yang tepat harus diwujudkan. 2. Acquire and Implement (AI) Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan kedalam proses bisnis. Sebagai tambahan, perubahan dan pemeliharaan sistem yang ada dicakup dalam domain ini untuk memastikan solusi tetap berlangsung untuk memenuhi tujuan bisnis. 3. Deliver and Support (DS) Domain ini berhubungan dengan penyampaian aktual atas layanan yang diperlukan, yang mencakup penyampaian layanan, manajemen keamanan dan keberlangsungan, dukungan layanan pada user, dan manajemen data dan fasilitas operasional. 4. Monitor and Evaluate (ME) Seluruh proses TI perlu dinilai secara berkala untuk kualitas dan kepatuhan terhadap persyaratan kendali. Domain ini terkait dengan pengelolaan kinerja, pemantauan internal control, pengelolaan dan kepatuhan terhadap aturan. 25

44 Control Based Tujuan Kendali TI (it control objectives) adalah kebijakan, prosedur, praktek dan struktur organisasi yang didesain untuk memberikan keyakinan yang memadahi bahwa tujuan bisnis akan tercapai dan hal yang tidak dinginkan bisa dicegah atau dideteksi dan diperbaiki. Gambar 2.10 menjelaskan mengenai model kendali pada COBIT yang bisa dijelaskan dengan analogi suhu ruangan: ketika suhu sebuah ruangan (standard) untuk sebuah sistem pemanas (process) di-set, sistem akan terus mengecek (compare) suhu di sekitar ruangan (control information) dan akan memberikan sinyal (act) kepada sistem pemanas untuk menambah atau mengurangi panas. Gambar 2.11: Model Kendali dalam COBIT (ITGI, 2007a) Setiap proses TI memiliki beberapa control objectives yang secara umum meliputi: 1. Process Goals and Objectives 2. Process Ownership 3. Process Repeatability 4. Roles and Responsibilities 5. Policy, Plans and Procedures 6. Process Performance Improvement 26

45 Measurement Driven Setiap organisasi perlu untuk untuk mengetahui status organisasinya sejauh mana telah melakukan aktifitas dan apakah investasi yang dilakukan memadahi. Cobit memberikan panduan untuk melakukan pengukuran tersebut melalu beberapa metode Model Kematangan Model Kematangan (Maturity Models) adalah alat bantu yang dapat digunakan untuk melakukan benchmarking dan self-assessment oleh manajemen TI untuk menilai kematangan proses TI. Dengan Model Kematangan yang dikembangkan untuk 34 proses TI COBIT, manajemen bisa mengidentifikasikan: 1. Kinerja aktual dari perusahaan Di mana posisi perusahaan saat ini. 2. Status industri saat ini Perbandingan. 3. Target perbaikan bagi perusahaan Ke mana perusahaan ingin dibawa. 4. Jalur pertumbuhan yang diperlukan antara as-is dan to-be. Gambar 2.12: Model Kematangan dalam COBIT (ITGI, 2007a) Secara umum, tingkat kematangan proses TI dibagi menjadi 6 tingkat, mulai dari tingkat kematangan 0 sampai dengan tingkat kematangan 5. 27

46 Tabel 2.3: Tingkat Kedewasaan Umum dalam COBIT Level Kriteria Kedewasaan 0 Non Existent Kekurangan yang menyeluruh terhadap proses apapun yang dapat dikenali. Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi. 1 Initial / Ad Hoc Terdapat bukti bahwa perusahaan mengetahui adanya permasalahan yang harus diatasi. Bagaimanapun juga tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus. Secara umum pendekatan kepada pengelolaan proses tidak terorganisasi. 2 Repeatable but Intituitive Proses dikembangkan ke dalam tahapan dimana prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama. Tidak terdapat pelatihan formal atau pengkomunikasian prosedur standar dan tanggung jawab diserahkan kepada individu masing-masing.terdapat tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga kemungkinan terjadi error sangat besar. 3 Defined Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan. Kemudian diamanatkan bahwa proses-proses tersebut harus diikuti. Namaum penyimpangan tidak mungkin dapat terdeteksi. Prosedur sendiri tidak lengkap namun sudah memformalkan praktek yang berjalan. 4 Managed and Measurable Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. Proses berada dibawah peningkatan yang konstan dan penyediaan praktek yang baik. Otomatisasi dan perangkat digunakan dalam batasan tertentu. 5 Optimised Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kedewasaan dengan perusahaan lain. TI digunakan sebagi cara terintegrasi untuk mengotomatisasi alur kerja,penyediaan alat untuk peningkatan kualitas dan efektifitas serta membuat perusahaan cepat beradaptasi. Sumber: ITGI, 2007a 28

47 Selain keenam tingkat tersebut, Tingkat Kedewasaan disusun oleh atributatribut sebagai berikut: 1. Awareness and Communication (AC) 2. Policies, Standards and Procedures (PSP) 3. Tools and Automation (TA) 4. Skills and Expertise (SE) 5. Responsibility and Accountability (RA) 6. Goal Setting and Measurement (GSM) Pada pembahasan selanjutnya, penyebutan atribut pada tingkat kedewasaan akan menggunakan singkatan-singkatan di atas Pengukuran Kinerja Dalam COBIT, Goal dan Metrics didefinisikan dalam tiga tingkat, yaitu: Pencapaian TI dan ukurannya (IT Goal and metrics), yaitu apa yang diharapkan dari Teknologi Informasi dan bagaimana mengukurnya. Pencapaian Proses dan ukurannya (Process Goal and metrics), yaitu proses TI apa yang perlu dilakukan untuk mendukung tujuan TI dan bagaimana mengukurnya. Pencapaian Aktifitas dan ukurannya (Activity goal and metrics), yaitu apa yang perlu ada di dalam proses untuk menghasilkan kinerja yang dinginkan dan bagaimana mengukurnya. COBIT menggunakan 2 jenis ukuran yaitu Indikator Pencapaian (Outcome Measures) dan Indikator Kinerja (Performance Indicators). Indikator pencapaian pada tingkat yang lebih rendah menjadi indikator kinerja pada tingkatan yang lebih tinggi. Indikator Pencapaian menunjukkan apakah tujuan telah berhasil dicapai atau tidak. Hal ini hanya bisa diukur setelah proses selesai (after the fact), sehingga sering disebut sebagai lag indicators. 29

48 Indikator Kinerja menunjukkan apakah tujuan mungkin dicapai atau tidak. Hal ini ini bisa dikur sebelum proses selesai (before the fact), sehingga sering disebut sebaia lead indicators Tahapan Penerapan Tata Kelola TI Menggunakan COBIT Terdapat 5 fase penerapan Tata Kelola TI menggunakan COBIT, yaitu fase Mengidentifikasi Kebutuhan (Identify Needs), Meramalkan Solusi (Envision Solution), Merencanakan Solusi (Plan Solution), Menerapkan Solusi (Implement Solution) dan Mengoperasikan Solusi (Operationalise Solution). Kelima fase tersebut merupakan tahapan yang harus dilalui untuk menerapkan Tata Kelola TI. Gambar 2.13: Fase Penerapan Tata Kelola TI Menurut COBIT (ITGI, 2007a) 1. Fase 1 Mengidentifikasi Kebutuhan Fase ini adalah permulaan dari implementasi yang mengindikasikan bahwa kebutuhan tata kelola TI telah diakui. Mengkonfirmasi ulang dan mengkomunikasikan kebutuhan adalah hal yang penting untuk mendefiniskan scope Teknologi Informasi. 30

49 2. Fase 2 Meramalkan Solusi Fase ini terdiri dari tiga tahap. Pertama, perusahaan harus mengetahui di mana posisinya dengan cara assessment dan pengukuran kematangan. Kedua, mendefinisikan kapabilitas dan kematangan yang dikehendaki. Ketiga, melakukan analisa gap antara kedua kondisi tersebut dan diterjemahkan ke dalam inisiasi perbaikan. 3. Fase 3 Merencanakan Solusi Fase ini berlandaskan kepada inisiasi perbaikan pada fase sebelumnya. Fase ini mengintegrasikan semua proyek individual ke dalam rencana program yang detail dan praktis untuk menyelenggarakan solusi. 4. Fase 4 Mengimplementasikan Solusi Pada saat rencana perbaikan dijalankan, penyampaian yang sukses atas hasil bisnis yang dikehendaki diukur melalui: Umpan balik (feed back) dan proses pembelajaran dari review sesudah implementasi Pemantauan atas perbaikan pada kinerja perusahaan dan scorecards TI 5. Fase 5 Mengoperasionalkan Solusi Fase Mengoperasionalkan Solusi memerlukan hal-hal berikut: Integrasi antara Tata Kelola TI dengan Tata Kelola Perusahaan Memastikan adanya akuntabilitas untuk TI pada keseluruhan organisasi Definisi struktur organisasi yang sesuai Menyusun kebijakan komunikasi, standar dan proses untuk Tata Kelola TI dan kendalinya Mendorong terjadinya perubahan budaya Mengarahkan proses dan budaya ke arah perbaikan berkelanjutan 31

50 Menerapkan struktur pelaporan dan pemantauan yang optimal 2.7. Pemetaan Ketersediaan Layanan ke dalam Proses COBIT Seperti telah disebutkan di atas, bahwa ITIL adalah seperangkat pendekatan best practice dalam hal pengelolaan layanan yang ditujukan untuk tercapainya pengelolaan layanan TI yang efektif. Sedangkan COBIT adalah seperangkat proses TI dan control framework yang menghubungkan TI dengan persyaratan bisnis. Kedua standar ini bisa digunakan bersamaan dan saling melengkapi. Dalam COBIT, terdapat 28 tujuan bisnis yang tersebar ke dalam 34 IT Process dan dikelompokkan ke dalam empat domain. COBIT juga memberikan pemetaan tujuan-tujuan bisnis tersebut ke dalam proses-proses TI. Salah satu tujuan bisnis yang terkait dengan ketersediaan layanan adalah tujuan nomor 23, yaitu Make sure that IT services are available as required (memastikan bahwa layanan-layanan TI tersedia sesuai kebutuhan). Sedangkan pemetaan tujuan bisnis tersebut ke dalam proses TI adalah sebagai berikut: Tabel 2.4: Pemetaan Tujuan IT COBIT Terkait Ketersediaan Layanan ke dalam Proses TI IT Goals Processes Make sure that IT services are available as required DS3 DS4 DS8 DS13 Sumber: ITGI, 2007a Dengan demikian, terdapat empat proses TI yang terkait dengan ketersediaan layanan, yaitu: 1. DS3 Manage Performace and Capacity 2. DS4 Ensure Continuous Service 3. DS8 Manage Service Desk and Incidents 4. DS13 Manage Operations 32

51 Dalam pelaksanaanya, sebuah proses memiliki input dan output. Input adalah apa yang dibutuhkan suatu proses dari proses lain, sedangkan output adalah apa yang harus dihasilkan oleh suatu proses (ITGI, 2007a). Dari dokumentasi COBIT, didapatkan hubungan keempat proses tersebut sebagai berikut (ITGI, 2007a): 1. Proses DS3 tidak memiliki ketergantungan dengan ketiga proses yang lain. 2. Proses DS4 menghasilkan output yang menjadi masukan untuk proses DS8 dan proses DS13 3. Proses DS8 membutuhkan input dari proses DS4 4. Proses DS13 membutuhkan input dari proses DS4 Sedangkan menurut ITIL, proses pengelolaan ketersediaan layanan terdiri atas dua elemen, yaitu (OGC, 2007b): 1. Reactive Activities. Apek reaktif dari pengelolaan ketersediaan layanan melibatkan aktifitas pemantauan, pengukuran, analisis dan manajemen keseluruhan kejadian, insiden masalah terkait hilangnya ketersediaan. Aktifitas-aktifitas tersebut pada prinsipnya terkait dengan peran-peran operasional. 2. Proactive Activities. Aspek proaktif dari pengelolaan ketersediaan layanan melibatkan aktifitas perencanaan, desain dan usaha-usaha peningkatan ketersediaan. Aktifitas-aktifitas tersebut pada prinsipnya terkait dengan peran-peran perencanaan dan desain. ITGI, sebagai lembaga yang mengeluarkan COBIT telah memberikan panduan untuk melakukan pemetaan antara kedua standar. Tujuan pemetaan tersebut untuk membantu organisasi yang berencana untuk menerapkan standar dan panduan untuk melakukan harmonisasi inisiatif penggunaan standar-standar tersebut dan menggunakan COBIT sebagai framework untuk tata kelola TI yang lebih baik (ITGI, 2008b). Pemetaan dari ITIL ke dalam proses COBIT untuk ketersediaan layanan dapat dilihat pada Tabel 2.5 berikut: 33

52 Tabel 2.4: Mapping ITIL ke dalam COBIT untuk Pengelolaan Ketersediaan Layanan Proses pada ITIL Availability management The reactive activities of availability management The proactive activities of availability management Sumber: ITGI, 2008b Proses pada COBIT DS3.4 IT resources availability DS3.4 IT resources availability DS3.5 Monitoring and reporting DS3.4 IT resources availability DS4.3 Critical IT resources DS4.8 IT services recovery and resumption Dari pemetaan tersebut, terlihat bahwa aktifitas-aktifitas reaktif dari pengelolaan ketersediaan dipetakan kepada Control Objective DS3.4 dan DS3.4 yang merupakan control objective dari proses DS3 Manage Performance and Capacity. Sedangkan aktifitas-aktifitas proaktif dari pengelolaan ketersediaan dipetakan kepada Control Objective DS3.4 dari proses DS3; dan Control Objective DS4.3 dan DS4.8 yang merupakan Control Objective dari proses DS4 Ensure Continuous Service. Proses DS3 Manage Performance and Capacity selengkapnya memiliki lima Control Objectives berikut: DS3.1 Performace and Capacity DS3.2 Current Performance and Capacity DS3.3 Future Performance and Cpacity DS3.4 IT Resource Availability DS3.5 Monitoring and Reporting Sedangkan DS4 adalah Ensure Continuous Service selengkapnya memiliki Control Objectives berikut: DS4.1 IT Continuity Framework DS4.2 IT Continuity Plans DS4.3 Critical IT Resources 34

53 DS4.4 Maintenance of the IT Continuity Plan DS4.5 Testing of the IT Continuity Plan DS4.6 IT Continuity Plan Training DS4.7 Distribution of the IT Continuity Plan DS4.8 IT Services Recovery and Resumption DS4.9 Offsite Backup Storage DS4.10 Post-resumption Review 35

54 [halaman ini sengaja dibiarkan kosong] 36

55 BAB 3 METODOLOGI PENELITIAN Dalam penelitian untuk membuat model tata kelola ini, penulis menggunakan tahapan-tahapan sebagai berikut: 1. Kajian Pustaka, berupa: a. Pengumpulan Data Organisasi, berupa pencarian dokumen mengenai visi, misi, rencana strategis organisasi dan dokumen-dokumen lain yang terkait. b. Studi pustaka, berupa pencarian bahan pustaka yang sesuai untuk mendukung penelitian ini. 2. Penentuan proses TI yang terkait dengan ketersediaan layanan 3. Pencarian Data, berupa: a. Wawancara b. Kuisioner 4. Analisa Kondisi, yang terdiri atas: a. Analisa Kondisi proses TI saat ini b. Analisa Kondisi proses TI yang diharapkan 5. Analisa Gap 6. Analisa model Tata Kelola TI terkait ketersediaan layanan. 7. Penyusunan Laporan Tahapan penelitian di atas bisa digambarkan ke dalam diagram alir sebagai berikut: 37

56 Gambar 3.1: Alur Diagram Tahapan Penelitian 38

57 3.1. Kajian Pustaka Pada tahap ini, penulis melakukan pencarian dan penelaahan atas dokumen-dokumen pustaka yang terkait dengan tema penelitian Pengumpulan Data Organisasi Penulis melakukan pengumpulan bahan terkait dengan organisasi Badan Pemeriksa Keuangan Republik Indonesia. Sumber referensi utama adalah Rencana Strategis Badan Pemeriksa Keuangan dan Rencana Strategis Teknologi Informasi Badan Pemeriksa Keuangan Sumber lain yang penulis gunakan surat-surat resmi dari pejabat struktural yang terkait dengan kebijakan dan pelaksanaan pengelolaan layanan Teknologi Informasi di Badan Pemeriksa Keuangan. Dari dokumen-dokumen tersebut, penulis melakukan telaahan untuk mendapatkan gambaran mengenai kondisi organisasi serta peran dan posisi Teknologi Informasi dalam mendukung organisasi mencapai tujuannya. Penulis juga akan mndapatkan gambaran mengenai proses pengelolaan layanan TI yang merupakan perwujudan dari peran dan posisi Teknologi Informasi tersebut Studi Pustaka Selanjutnya, penulis melakukan pengumpulan bahan pustaka yang menunjang tema penelitian. Sumber pustaka utama adalah buku teks COBIT Framework yang dikeluarkan oleh ISACA melaului ITGI. Beberapa paket pelengkap framework tersebut juga digunakan oleh penulis, termasuk artikelartikel dan publikasi yang ada di website ISACA. Selain itu, penulis juga menggunakan referensi pustaka yang berasal dari sumber lain yang terkait dengan tema IT governance sebagai pelengkap. Penelaahan terhadap sumber-sumber pustaka di atas membantu penulis mendapatkan kerangka berpikir yang logis dan sistematis dalam memahami konsep-konsep, standar dan pengetahuan lain yang terkait dengan IT Governance. Selain itu juga menjadi panduan penulis dalam mengidentifikasi permasalahan dan merumuskan langkah-langkah untuk menyelesaikan permasalahan terkait pengelolaan TI yang menjadi tema penelitian. 39

58 3.2. Penentuan Proses TI Pada Sub Bab 2.6 dijelaskan mengenai Pemetaan Ketersediaan Layanan ke dalam Proses COBIT. Pada bagian tersebut dijabarkan bahwatujuan TI yang terkait dengan ketersediaan layanan adalah Memastikan bahwa Layanan-layanan TI Tersedia Sesuai dengan Kebutuhan. Tujuan tersebut dipetakan ke dalam 4 proses, yaitu DS3, DS4, DS8 dan DS13. Pada Sub Bab 2.6 juga dijelaskan hubungan antara keempat proses tersebut yang dapat digambarkan dengan diagram sebagai berikut: HUBUNGAN PROSES TI UNTUK KETERSEDIAAN LAYANAN DS8 DS4 DS13 DS3 Gambar 3.2: Hubungan Empat Proses TI terkait Ketersediaan Layanan Dari gambar tersebut dapat disimpulkan bahwa pengelolaan proses DS8 dan DS13 membutuhkan output dari proses DS4, artinya pengelolaan proses DS4 harus dilakukan lebih dahulu dibandingkan proses DS8 dan DS13. Sedangkan untuk proses DS3 dapat dilaksanakan tanpa tergantung dari ketiga proses yang lain. Sedangkan menurut pemetaan dari ITIL ke dalam COBIT, bahwa ketersediaan layanan dipetakan terhadap control objectives yang terdapat pada proses DS3 dan DS4. 40

59 Dengan mempertimbangkan hal-hal di atas, dalam penelitian ini, proses TI COBIT yang akan digunakan adalah DS3 Manage Performance and Capacity dan DS4 Ensure Continuous Service. Hasil dari proses DS3 dan S4 tersebut diharapkan nantinya dapat menjadi masukan untuk pengelolaan kedua proses yang lain. Dalam penelitian ini keseluruhan Control Objective proses DS3 dan DS4 akan digunakan agar hasil rekomendasi yang akan dihasilkan dapat lebih menyeluruh dan mendalam Pencarian Data Wawancara Wawancara adalah metode pengambilan data dengan cara menanyakan sesuatu kepada seseorang responden, caranya adalah dengan percakapan secara tatap muka. Metode wawancara yang digunakan oleh penulis adalah metode wawancara tidak terstruktur (unstructured interview). Pada metode ini, penulis mempersiapkan pertanyaan pokok. Ketika wawancara berlangsung, narasumber akan memberi jawaban pertama dan dengan jawaban pertama itu peneliti akan memperjelas jawaban itu dengan mengajukan pertanyaan yang sifatnya lebih mendalam, begitu seterusnya secara beruntun. Tujuan dari wawancara adalah untuk memperoleh pengetahuan mengenai organisasi yang sedang diteliti. Pengetahuan tersebut juga mencakup peran, fungsi dan proses pengelolaan Teknologi Informasi di dalam organisasi. Proses wawancara juga dilakukan untuk memastikan jawaban yang diberikan oleh narasumber pada kuisioner Kuisioner Metode angket atau kuisioner adalah metode pencarian data dengan mengajukan sejumlah pertanyaan kepada responden dengan atau tanpa bertatap muka secara langsung. Metode kuisioner ini dipergunakan untuk mendapatkan poling suara atau mendapatkan penjelasan dari responden. 41

60 Pada tahap ini, penulis menyiapkan sejumlah daftar pertanyaan yang akan dibagikan kepada responden, selanjutnya peneliti akan menumpulkan dan merekap jawaban dari pertanyaan tersebut untuk dijadikan data. Kuisioner ini pada dasarnya adalah tool self assessment yang berguna untuk mengetahui tingkat kematangan proses TI terkait dengan ketersediaan layanan, baik tingkat kematangan saat ini (as-is) maupun tingkat kematangan yang diharapkan (to-be). Tingkat kematangan akan dibagi ke dalam 6 atribut yaitu Kepedulian dan Komunikasi; Kebijakan, Rencana dan Prosedur; Perangkat dan Otomasi; Keahlian dan Kepakaran; Tanggung Jawab dan Akuntabilitas; dan Menetapkan Tujuan dan Pengukuran. Setiap atribut proses akan mendapatkan nilai kematangan antara 0 sampai dengan 5 sesuai dengan maturity model pada COBIT. Pada saat penyampaian kuisioner, penulis memberikan penjelasan kepada responden mengenai tujuan dan metode penelitian ini agar responden memiliki gambaran bagaimana melakukan pengisian kuisioner secara tepat. Penulis juga memberikan penjelasan bahwa nilai kematangan yang diharapkan (to be) tidak selalu harus berapa pada posisi 5 (Optimised), karena hal ini sangat tergantung terhadap kondisi organisasi, seberapa penting proses yang dinilai terhadap tujuan organisasi dan kemampuan finansial oleh organisasi untuk mencapai nilai kematangan yang diharapkan tersebut. Tabel RACI (RACI chart) mendefinisikan pihak-pihak yang terkait dengan terselenggaranya proses TI. Responden yang akan dimintai pendapat melalui kuisioner adalah yang termasuk dalam klasifikasi Responsible, Accountable dan 42

61 Consulted. Sedangkan pihak yang masuk klasifikasi Informed akan diberikan informasi dan laporan. Berdasarkan tabel RACI pada DS3 dan DS 4, responden yang akan dimintai pendapatnya melalui kuisioner adalah sebagai berikut: Tabel 3.1 : Daftar Responden Sesuai Tabel RACI RACI Roles Organisation Roles DS3 DS4 CIO (Chief Information Officer) Kepala Biro Teknologi Informasi BPO (Business Process Owner) Sekretariat Jendral, Inspektorat Utama, Ditama Revbang, Ditama Binbangkum, AKN I s.d AKN VII HO (Head Operation) Kabag Operasional dan Dukungan TI, Kasubbag Operasional TI CA (Chief Architect) Kabag Pengembangan Aplikasi Komputer, Kasubbag Perancangan Aplikasi Komputer HD (Head Development) Kabag Pengembangan Aplikasi Komputer, Kasubbag Pemrograman Aplikasi Komputer HITA (Head IT Administration) Kasubbag Dukungan TI PMO (Project Management Officer) CAS (Compliance, Audit, Risk and Security) - Inspektorat Utama, Auditor TI Setelah hasil kuisioner, maka penulis akan memiliki data mengenai kondisi proses TI yang ada di Badan Pemeriksa Keuangan. Proses TI tersebut meliputi proses TI saat ini (as is) dan proses TI yang diharapkan (to be) Analisa Kondisi Setelah kuisioner diberikan dan diisi oleh pihak-pihak terkait, selanjutnya penulis melakukan rekapitulasi terhadap data tersebut. Terdapat dua data yang didapatkan, yaitu: 43

62 1. Kondisi Proses TI Saat Ini 2. Kondisi Proses TI yang Diharapkan Data ini didapat dengan menghitung rerata dari nilai yang sudah diberikan oleh para responden. Dari data ini, penulis akan memiliki pemahaman mengenai tingkat kematangan proses TI yang terkait dengan ketersediaan layanan saat ini dan yang diharapkan Reliabilitas dan Validitas Data Setelah data mentah didapatkan, langkah pertama yang dilakukan adalah melakukan uji reliabilitas data. Reliabilitas adalah suatu nilai yang menunjukkan konsistensi suatu alat pengukur di dalam mengukur gejala yang sama. Reliabilitas data dalam penelitian diuji dengan menggunakan metode Cronbach s Alpha yang menghasilkan angka alpha antara 0 sampai 1. Ukuran reliabilitas alpha dikelompokkan sebagai berikut: 1. Nilai Alpha Cronbach 0,00 s.d. 0,20, berarti kurang reliabel 2. Nilai Alpha Cronbach 0,21 s.d. 0,40, berarti agak reliabel 3. Nilai Alpha Cronbach 0,42 s.d. 0,60, berarti cukup reliabel 4. Nilai Alpha Cronbach 0,61 s.d. 0,80, berarti reliabel 5. Nilai Alpha Cronbach 0,81 s.d. 1,00, berarti sangat reliabel Dengan demikian, data yang dianalisis harus memiliki nilai alpha > 0,6 agar data tersebut dapat dianggap reliabel. Reliabilitas data kuisioner dapat ditingkatkan dengan cara memperbanyak butir pertanyaan dan memperbesar ukuran sampel. Sedangkan uji validitas dilakukan untuk untuk mengetahui apakah alat pengumpul data yang digunakan benar-benar mencerminkan indikator variabel yang diteliti. Uji validitas dilakukan dengan menggunakan metode Korelasi Pearson atau metode Product Moment, yaitu dengan mengkorelasikan skor butir pada kuisioner dengan skor totalnya. Uji reliabilitas dan uji validitas terhadap data kuisioner akan dilakukan dengan alat bantu program aplikasi SPSS atau Minitab. Langkah selanjutnya adalah melakukan pembatasan data berdasarkan batasan 1,5 IQR (Inter-Quartile Range). Pada setiap pertanyaan, jawaban dari 44

63 semua responden diurutkan kemudian dicari nilai Quartile 1 (Q1) dan Quartile 3 (Q3). Selanjutnya didapatkan nilai IQR yang berupa selisih antara Q3-Q1. Batas bawah observasi adalah 1,5 IQR lebih rendah dari Q1, sedangkan batas atas observasi adalah 1,5 IQR lebih tinggi dari Q3. Jawaban-jawaban yang berada di luar batas observasi tidak akan diikutkan dalam penghitungan (ITGI, 2008a) Pembobotan Data Langkah selanjutnya adalah melakukan penghitungan tingkat kematangan. Sesuai dengan panduan panduan COBIT, jawaban dari setiap pertanyaan dicari nilai reratanya, selanjutnya dilakukan pembobotan terhadap hasil rerata tersebut. Pembobotan dilakukan sebagai berikut: Tabel 3.2: Pembobotan Tingkat Kematangan Range Nilai Tingkat Kematangan Kematangan 0 0,99 0 Non Existent 1,00 1,99 1 Initial/Ad Hoc 2,00 2,99 2 Repeatable but Intuitive 3,00 3,99 3 Defined 4,00 4,99 4 Manage and Measurable 5 5 Optimised 3.5. Analisa Gap Tahap selanjutnya adalah tahap analisa kesenjangan (gap). Pada tahap ini, penulis melakukan pembandingan antara nilai tingkat kematangan (maturity level) saat ini (as is) dengan yang diharapkan (to be). Jika tingkat kematangan saat ini sudah sama dengan tingkat kematangan yang diharapkan, maka proses TI tersebut sudah baik. Namun jika masih terdapat kesenjangan antara proses TI saat ini dengan yang diharapkan, maka proses tersebut perlu ditingkatkan. 45

64 Hasil analisa ini adalah untuk mengetahui pada bagian mana proses TI yang sudah baik dan bagian mana proses TI yang perlu mendapatkan perhatian untuk peningkatan agar sesuai dengan yang diharapkan Analisa Model Tata Kelola TI Terkait Ketersediaan Layanan Pada tahap ini, penulis menyusun model Tata Kelola Ketersediaan Layanan berdasarkan hasil analisa kesenjangan di atas. Model ini berupa hal-hal apa saja yang direkomendasikan untuk dilakukan beserta control objective-nya agar proses TI bisa sesuai harapan. Model Kelola Ini akan memuat Outcome Measures dan Performance Indicators untuk setiap aktifitas proses Penyusunan Laporan Penyusunan laporan dilakuan setelah semua proses dilakukan dan dibuat dengan format yang mengacu kepada Pedoman Penyusunan Tesis Institut Teknologi Sepuluh Nopember. 46

65 BAB 4 PELAKSANAAN DAN HASIL PENELITIAN 4.1. Wawancara Wawancara dilakukan bersamaan dengan pelaksanaan kuisioner. Dalam proses wawancara ini, penulis mendapatkan informasi mengenai organisasi BPK- RI khususnya mengenai peran, fungsi dan proses pengelolaan Teknologi Informasi di BPK-RI. Dari proses wawancara, penulis juga dapat mengkonfirmasi jawaban yang diberikan oleh responden pada kuisioner. Dengan demikian, responden yang diwawancarai sama dengan responden yang dipilih untuk mengisi kuisioner Kuisioner Pengembangan objek pertanyaan dan pilihan jawaban kuisioner, yang bertujuan untuk mengetahui tingkat kematangan, dilakukan dengan melakukan tahapan-tahapan sebagai berikut: 1. Mendeskripsikan pernyataan tingkat kematangan proses DS3 dan DS4, seperti tercantum pada Tabel 4.1 dan Dari pernyataan kematangan tesebut selanjutnya dilakukan pengembangan sehingga didapatkan definisi pernyataan kematangan yang merepresentasikan semua atribut pada semua tingkat kematangan. 3. Pernyataan kematangan yang sudah meliputi seluruh atribut tersebut selanjutnya disusun ke dalam Matriks Atribut Kematangan. 4. Mentranslasikan Matriks Atribut Kematangan ke dalam bentuk pertanyaan dan pilihan jawaban pada kuisioner dengan memformulasikan ke dalam bahasa yang mudah dipahami. 47

66 Tabel 4.1: Deskripsi Pernyataan Tingkat Kematangan Proses DS3 No Tingkat Kematangan Pernyataan tingkat Kematangan 1 0 Non-existent Manajemen tidak menyadari bahwa kebutuhan bisnis terhadap kinerja TI mungkin dapat melampaui kapasitas yang tersedia. Tidak ada proses perencanaan kapasitas. 2 1 Initial/Ad Hoc Pengguna memecahkan kendala kapasitasnya sendiri. Ada sangat sedikit perhatian terhadap kebutuhan perencanaan kinerja dan kapasitas oleh pemilik proses bisnis. Tindakan yang diambil untuk mengelola kinerja dan kapasitas umumnya bersifat reaktif. Proses perencanaan kinerja dan kapasitas bersifat informal. Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas. 3 2 Repeatable but Intuitive Manajemen menyadari akibat tidak adanya pengelolaan kinerja dan kapasitas. Kebutuhan kinerja umumnya didasarkan kepada sistem individual dan pengetahuan tim proyek dan support. Beberapa perangkat telah digunakan untuk mendiagnosa masalah kinerja dan kapasitas, namun masih sangat bergantung kepada keahlian individual. Tidak ada pengukuran keseluruhan kapabilitas kinerja pada kondisi puncak dan worst-case. Beberapa pengukuran kinerja didasarkan kepada kebutuhan TI dan bukan kebutuhan pengguna. 4 3 Defined Kebutuhan kinerja dan kapasitas didefiniskan melalui daur hidup sistem. Adanya pendefinisian kebutuhan tingkat layanan dan metriknya yang dapat digunakan untuk melakukan pengukuran kinerja operasional. Kebutuhan kinerja dan kapasitas yang akan datang dimodelkan mengikuti proses yang terdefinisi. Adanya pelaporan yang menunjukkan statisktik kinerja. 48

67 No Tingkat Kematangan Pernyataan tingkat Kematangan Masalah terkait kinerja dan kapasitas masih muncul dan proses perbaikannya masih menghabiskan banyak waktu. 5 4 Managed and Measurable Tersedianya perangkat dan proses untuk mengukur penggunaan sistem, kinerja dan kapasitas; dan hasilnya dibandingkan dengan goal yang telah didefinisikan. Adanya informasi yang up-to-date mengenai statistik kinerja dan alert atas insiden akibat kurangnya kinerja dan kapasitas. Permasalahan kinerja dan kapasitas diselesaikan dengan mengacu kepada prosedur standar yang sudah didefinisikan. Pelaporan mengenai kinerja dan kapasitas dipahami oleh pengguna. Metrik untuk melakukan pengukuran kinerja dan kapasitas telah disetujui bersama, namun pelaksanaanya masih sporadis dan tidak konsisten. 6 5 Optimised Perencanaan kinerja dan kapasitas sepenuhnya selaras dengan perkiraan kebutuhan bisnis. Infrastruktur TI dan kebutuhan bisnis secara berkala di-review untuk memastikan kapasitas optimal dicapai dengan biaya seminim mungkin. Perangkat untuk memantau sumber daya TI yang kritis telah sesuai standar dan dikaitkan dengan sistem pengelolaan insiden perusahaan. Perangkat monitoring dapat mendeteksi dan secara otomatis memperbaiki permasalahan terkait kinerja dan kapasitas. Adanya analisa trend dan informasi mengenai peningkatan volume bisnis sehingga dapat menjadi bahan perencanaan untuk menghindari permasalahan terkait. Metrik untuk melakukan pengukuran kinerja dan kapasitas sudah dijabarkan kedalam outcome measure dan performance indicator untuk proses-proses bisnis 49

68 No Tingkat Kematangan Pernyataan tingkat Kematangan yang kritis. Manajemen melakukan penyesuaian terhadap perencanaan kinerja dan kapasitas sebagai tindak lanjut dari hasil pengukuran. Tabel 4.2: Deskripsi Pernyataan Tingkat Kematangan Proses DS4 No Tingkat Kematangan Pernyataan tingkat Kematangan 1 0 Non-existent Tidak ada pemahaman terhadap resiko, kerentanan dan ancaman terhadap operasi TI atau dampak atas hilangnya layanan TI terhadap bisnis. Keberlanjutan layanan tidak dianggap perlu untuk mendapatkan perhatian dari manajemen. 2 1 Initial/Ad Hoc Tanggungjawab atas layanan yang berkelanjutan bersifat informal, dan kewenangan untuk menjalankan tanggung jawab tersebut bersifat terbatas. Manajemen mulai menyadari kebutuhan dan resikoresiko yang terkait dengan layanan yang berkelanjutan. Fokus manajemen terhadap layanan yang berkelanjutan adalah adalah kepada sumberdaya infrastruktur, dan bukan kepada layanan TI. Pengguna memecahkan sendiri masalah yang terkait dengan gangguan layanan. Respon terhadap gangguan mayor bersifat reaktif dan tidak disiapkan sebelumnya. Rencana untuk mengatasi kekurangan layanan didasarkan pada kebutuhan TI dan tidak mempertimbangkan kebutuhan bisnis. 3 2 Repeatable but Intuitive Tanggungjawab untuk memastikan layanan yang berkelanjutan sudah ditetapkan. Pendekatan untuk memastikan layanan yang berkelanjutan masih terpecah-pecah. Laporan ketersediaan sistem bersifat sporadis, mungkin tidak lengkap dan tidak memperhitungkan dampak bisnis. 50

69 No Tingkat Kematangan Pernyataan tingkat Kematangan Meskpiun sudah ada komitment untuk layanan yang berkelanjutan, namun belum ada IT continuity plan yang terdokumentasi. Inventarisasi terhadap sistem dan komponen yang kritis ada namun tidak dapat diandalkan. Praktek-praktek layanan yang berkelanjutan sudah muncul, namun keberhasilannya sangat tergantung kepada individu. 4 3 Defined Tanggungjawab untuk perencanaan dan pengetesan layanan yang berkelanjutan sudah terdefinisi dan ditetapkan. IT continuity plan sudah terdokumentasi dan berdasarkan tingkat kekritisan sistem dan dampak bisnisnya. Ada pelaporan secara periodik dari testing layanan yang berkelanjutan. Individu mengambil inisiatif untuk mengkuti standar dan mendapatkan training untuk mengatasi insiden mayor atau bencana. Manajemen secara konsisten mengkomunikasikan perlunya perencanaan untuk memastikan layanan yang berkelanjutan. High availibility component dan redundansi sistem sudah diterapkan. Inventarisasi terhadap sistem dan komponen kritis dipelihara. 5 4 Managed and Measurable Standar dan tanggungjawab atas layanan yang berkelanjutan telah ditegakkan. Tanggungjawab untuk memelihara rencanan layanan yang berkelanjutan telah ditetapkan. Aktifitas pemeliharaan didasarkan pada hasil testing layanan yang berkelanjutan, internal good practices, dan lingkungan bisnis dan TI yang mengalami perubahan. Data yang terstruktur mengenai layanan yang berkelanjutan dikumpulkan, dianalisa dilaporkan dan 51

70 No Tingkat Kematangan Pernyataan tingkat Kematangan ditindaklanjuti. Training formal dan wajib tersedia untuk proses layanan yang berkelanjutan. Praktek-praktek yang baik untuk ketersediaan sistem diterapkan secara konsisten. Praktek-praktek ketersedian dan perencanaan layanan yang berkelanjutan saling mempengaruhi. Insiden terputusnya layanan diklasifikasikan jalur eskalasi ke atas diketahui oleh semua pihak yang terlibat. Tujuan dan metrik untuk layanan yang berkelanjutan telah dikembangkan dan disetujui namun mungkin diukur secara tidak konsisten. 6 5 Optimised Proses layanan yang berkelanjutan terintegrasi dan memperhitungkan bencmarking dan praktek-praktek layanan terbaik dari eksternal. IT continuity plan terintegrasi dengan business continuity plan dan dipelihara secara rutin. Kebutuhan untuk memastikan layanan yang berkelanjutan aman dan terbebas dari vendor dan supplier. Adanya testing yang menyeluruh terhadap IT continuitiy plan dan menjadi masukan untuk mengupdate perencanaan. Pengumpulan dan analisa data digunakan untuk perbaikan proses yang terus menerus. Praktek ketersediaan dan perencanaan layanan yang berkelanjutan sesuai sepenuhnya. Manajemen memastikan bahwa bencana atau insiden mayor akibat adanya single point of failure tidak akan terjadi. Praktek eskalasi telah dipahami dan ditegakkan secara menyeluruh. Tujuan dan metrik untuk pencapaian layanan yang bekelanjutan telah diukur secara sistematis. Manajemen melakukan penyesuaian terhadap 52

71 No Tingkat Kematangan Pernyataan tingkat Kematangan perencanaan layanan yang berkelanjutan sebagai tindak lanjut dari hasil pengukuran. Setelah semua langkah di atas dilakukan, maka akan didapatkan Matrik Atribut Kematangan yang dapat dilihat pada Lampiran 1. Dengan mengacu kepada Matriks Atribut Kematangan itulah kuisioner dikembangkan. Kuisioner dibuat dalam bentuk pilihan ganda, yang terdiri dari 12 pertanyaan untuk proses pada DS3 dan 12 pertanyaan untuk proses pada DS4. Pertanyaan-pertanyaan untuk setiap proses dikelompokkan menurut atribut kematangan (6 kelompok), dan setiap atribut memiliki 2 pertanyaan yang merepresentasikan kondisi saat ini dan kondisi yang akan datang. Setiap pertanyaan memilihi 6 pilihan yang merupakan representasi tingkat kematangan dari setiap atribut. Sebagai contoh, pada deskripsi tingkat kematangan 0 proses DS3 terdapat suatu kalimat pernyataan: Manajemen tidak menyadari bahwa kebutuhan bisnis terhadap kinerja TI mungkin dapat melampaui kapasitas yang tersedia Kalimat pernyataan tersebut kita kelompokkan ke dalam atribut yang sesuai, yaitu Awareness and Communication. Selanjutnya pada deskripsi tingkat kematangan 1 pada proses DS3 terdapat suatu kalimat pernyataan: Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas Seperti sebelumnya, kalimat tersebut juga kita kelompokkan ke dalam atribut Awareness and Communication. Demikian seterusnya untuk tingkat kematangan sampai dengan 5. Sehingga dari atribut Awareness and Communication pada proses DS3 kita mendapatkan Matrik Atribut Kematangan, yang kemudian kita susun dalam bentuk kuisioner sebagai berikut: 53

72 a. Non-existent: Manajemen belum menyadari perlunya pengelolaan kinerja dan kapasitas. b. Initial/Ad Hoc: Pemahaman mengenai kinerja dan kapasitas sumber daya TI saat ini dan masa datang sangat terbatas c. Repeatable but Intuitive: Manajemen TI dan manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola. d. Defined: Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Manajemen sudah mulai mengkomunikasikan hal tersebut secara semi formal. e. Managed and Measurable: Semua pihak dalam organisasi telah memahami adanya kebutuhan bagi pengelolaan kinerja dan kapasitas dan tindakan-tindakan yang diperlukan. Informasi mengenai hal tesebut sudah dibakukan dalam bentuk surat resmi, sepeti Surat Keputusan. f. Optimised: Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional. Hal yang sama kita lakukan untuk atribut-atribut yang lain pada proses DS3 dan DS4. Untuk setiap kelompok atribut, responden dimintai pendapatnya mengenai representasi kondisi saat ini (as is) dan kondisi yang diharapkan (to be). Kuisioner selengkapnya dapat dilihat pada Lampiran 2. Kuisioner ini adalah tool self assessment yang dianggap mewakili kondisi kematangan proses TI baik kondisi saat ini (as-is) maupun kondisi yang diharapkan (to-be) untuk semua atribut pada proses TI yang terkait dengan ketersediaan layanan. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan, maka selanjutnya akan dilakukan analisa yang akan menjadi dasar dalam penyusunan Tata Kelola untuk meningkatkan ketersediaan layanan sesuai yang diharapkan. 54

73 Pelaksanaan Survey Kuisioner Pada proses pelaksanaan pengumpulan data melalui kuisioner, penulis memberikan penjelasan kepada responden mengenai tujuan dan metode penelitian ini agar responden memiliki gambaran bagaimana melakukan pengisian kuisioner secara tepat. Penulis menjelaskan bahwa nilai kematangan yang diharapkan (to be) tidak selalu harus berapa pada posisi 5 (Optimised), karena hal ini sangat tergantung terhadap kondisi organisasi, seberapa penting proses yang dinilai terhadap tujuan organisasi dan kemampuan finansial organisasi untuk mencapai nilai kematangan yang diharapkan tersebut Distribusi kuisioner dilakukan dengan mengacu kepada tabel RACI (Responsible, Accountable, Consulted dan Informed) sesuai panduan COBIT. Peran-peran yang sudah didefiniskan oleh COBIT, selanjutnya dipetakan ke peran-peran dalam organisasi. Dengan pendekatan responden yang mengacu kepada tabel RACI tersebut, diharapkan dapat mencerminkan keadaan sesungguhnya di lapangan. Adapun responden yang terpilih dalam pengisian kuisioner ini adalah sebagai berikut: Tabel 4.3: Distribusi Responden Kuisioner DS3 RACI Roles Organisation Roles Jumlah CIO (Chief Information Officer) Kepala Biro Teknologi 1 Informasi HO (Head Operation) Kabag Operasional dan 4 Dukungan TI, Kasubbag Operasional TI HD (Head Development) Kabag Pengembangan Aplikasi 5 Komputer, Kasubbag Pemrograman Aplikasi Komputer HITA (Head IT Administration) Kasubbag Dukungan TI 4 CAS (Compliance, Audit, Risk and Security) Inspektorat Utama, Auditor TI 2 Jumlah 16 Tabel 4.4: Distribusi Responden Kuisioner DS4 RACI Roles Organisation Roles Jumlah CIO (Chief Information Officer) Kepala Biro Teknologi 1 Informasi 55

74 BPO (Business Process Owner) Sekretariat Jendral, Inspektorat Utama, Ditama Revbang, Ditama Binbangkum, AKN I s.d AKN VII HO (Head Operation) Kabag Operasional dan 4 Dukungan TI, Kasubbag Operasional TI CA (Chief Architect) Kabag Pengembangan Aplikasi 3 Komputer, Kasubbag Perancangan Aplikasi Komputer HD (Head Development) Kabag Pengembangan Aplikasi 5 Komputer, Kasubbag Pemrograman Aplikasi Komputer HITA (Head IT Administration) Kasubbag Dukungan TI 4 PMO (Project Management - - Officer) CAS (Compliance, Audit, Risk and Security) Inspektorat Utama, Auditor TI 2 Jumlah 23 4 Setelah jawaban dari pada responden dikumpulkan, selanjutnya dilakukan rekapitulasi terhadap jawaban tersebut. Tabel 4.5 dan Table 4.6 menjelaskan distribusi jawaban dari para responden: Tabel 4.5: Distribusi Jawaban Responden pada Proses DS3 Distribusi Jawaban No Atribut Status a b c d e f AC as is 0,00% 0,00% 56,25% 37,50% 6,25% 0,00% to be 0,00% 0,00% 0,00% 18,75% 50,00% 31,25% 2 PSP as is 0,00% 31,25% 31,25% 12,50% 25,00% 0,00% to be 0,00% 0,00% 0,00% 12,50% 43,75% 43,75% 3 TA as is 0,00% 0,00% 50,00% 43,75% 6,25% 0,00% to be 0,00% 0,00% 0,00% 12,50% 25,00% 62,50% 4 SE as is 0,00% 6,25% 37,50% 31,25% 25,00% 0,00% to be 0,00% 0,00% 0,00% 0,00% 12,50% 87,50% 5 RA as is 0,00% 6,25% 18,75% 50,00% 25,00% 0,00% to be 0,00% 0,00% 0,00% 6,25% 37,50% 56,25% 6 GSM as is 0,00% 18,75% 31,25% 50,00% 0,00% 0,00% to be 0,00% 0,00% 0,00% 6,25% 25,00% 68,75% 56

75 Tabel 4.6: Distribusi Jawaban Responden pada Proses DS4 Distribusi Jawaban No Atribut Status a b c d e f AC as is 4,35% 26,09% 39,13% 17,39% 13,04% 0,00% to be 0,00% 0,00% 0,00% 21,74% 43,48% 34,78% 2 PSP as is 0,00% 4,35% 52,17% 30,43% 8,70% 4,35% to be 0,00% 0,00% 0,00% 17,39% 43,48% 39,13% 3 TA as is 0,00% 13,04% 39,13% 43,48% 4,35% 0,00% to be 0,00% 0,00% 0,00% 0,00% 34,78% 65,22% 4 SE as is 0,00% 13,04% 52,17% 30,43% 0,00% 4,35% to be 0,00% 0,00% 0,00% 8,70% 39,13% 52,17% 5 RA as is 0,00% 21,74% 30,43% 47,83% 0,00% 0,00% to be 0,00% 0,00% 0,00% 0,00% 47,83% 52,17% 6 GSM as is 0,00% 30,43% 43,48% 17,39% 4,35% 4,35% to be 0,00% 0,00% 0,00% 17,39% 21,74% 60,87% Distribusi tersebut disarikan dari rekapitulasi jawaban dari para responden yang selengkapnya dapat dapat dilihat pada Lampiran Reliabilitas dan Validitas Data Dalam COBIT terdapat panduan untuk melakukan pembatasan data berdasarkan batasan 1,5 IQR (Inter-Quartile Range). Pembatasan ini disebut juga sebagai Whiskers. Pada setiap pertanyaan, jawaban dari semua responden diurutkan kemudian dicari nilai Quartile 1 (Q1) dan Quartile 3 (Q3). Selanjutnya didapatkan nilai IQR yang berupa selisih antara Q3-Q1. Batas bawah observasi (Lowest Observation/LO) adalah 1,5 IQR lebih rendah dari Q1, sedangkan batas atas observasi (Highest Observation/HO) adalah 1,5 IQR lebih tinggi dari Q3. Jawaban-jawaban yang berada di luar batas observasi tidak akan diikutkan dalam penghitungan. Tabel 4.7: Batas 1,5 IQR DS3 No Atribut Status Q1 Q3 IQR Min Max LO HO 1 AC As is ,5 4,5 To be ,5 6,5 2 PSP As is 1 3,75 2, ,125 7,875 57

76 No Atribut Status Q1 Q3 IQR Min Max LO HO To be ,5 6,5 3 TA As is ,5 4,5 To be ,5 6,5 4 SE 5 RA As is 2 3,75 1, ,625 6,375 To be As is 2,25 3,75 1, To be ,5 6,5 6 GSM As is ,5 4,5 To be ,5 6,5 Tabel 4.8: Batas 1,5 IQR DS4 No Atribut Status Q1 Q3 IQR Min Max LO HO 1 AC As is To be ,5 6,5 2 PSP As is ,5 4,5 To be ,5 6,5 3 TA 4 SE As is ,5 4,5 To be ,5 6,5 As is ,5 4,5 To be ,5 6,5 5 RA As is ,5 4,5 To be ,5 6,5 6 GSM As is To be ,5 6,5 Keterangan: sel yang berlatar belakang abu-abu adalah atribut yang memiliki data diluar batas LO dan/atau HO Untuk memberikan gambaran yang lebih jelas, tabel batas 1,5 IQR tersebut dapat kita gambarkan dalam diagram boxplot sebagai berikut: 58

77 Boxplot of DS3 5 4 Variable AC PSP TA SE RA GSM Data Atribut As isto be AC As isto be PSP As isto be TA As isto be SE As isto be RA As isto be GSM Gambar 4.1: Diagram Boxplot Pembatasan 1,5 IQR pada Proses DS3 Boxplot of DS4 5 4 Variable AC PSP TA SE RA GSM 3 Data Atribut As isto be AC As isto be PSP As isto be TA As isto be SE As isto be RA As isto be GSM Gambar 4.2: Diagram Boxplot pembatasan 1,5 IQR pada Proses DS4 Pada gambar diagram boxplot tersebut, simbol kotak merepresentasikan Inter Quartile Range (IQR), yaitu batasan Quartile 1 dan Quartile 3. Sedangkan simbol garis menunjukkan batasan 1,5 IQR lebih rendah dari Q1 dan 1,5 IQR lebih tinggi dari Q3. Dari diagram boxplot di atas, terlihat bahwa untuk atribut SE proses DS3 pada kondisi yang diharapkan (to be) terdapat dua data yang berada di luar LO- 59

78 HO atau disebut sebagai outliers. Sedangkan pada proses DS4 terdapat masingmasing satu data pada atribut PSP saat ini (as is) dan atribut SE saat ini (as is) yang menjadi outliers. Data-data yang berada pada outliers ini selanjutnya tidak akan disertakan dalam penghitungan berikutnya. Selanjutnya untuk memberikan keyakinan bahwa data yang dikumpulkan dapat mencerminkan kondisi yang sesungguhnya, maka harus dilakukan uji reliabilitas dan validitas terhadap data yang diperoleh. Uji Reliabilitas memberikan keyakinan bahwa kuisioner yang digunakan menunjukkan konsistensi dalam mengukur gejala yang sama. Uji reliabilitas dilakukan dengan metode Cronbach s Alpha. Data yang dianalisa harus memiliki nilai alpha > 0,6 agar data tersebut dapat dianggap reliabel. Proses uji reliabilitas dimulai dengan menyusun rekapitulasi jawaban ke dalam tabel, dan memasukkan ke dalam worksheet program Minitab. Sebagai contoh untuk kondisi saat ini (as is) proses DS3 adalah sebagai berikut: Selanjutnya masuk ke menu Stat > Multivariate > Item Analysis kita pilih kolom AC sampai dengan GSM. 60

79 Pada pilihan Result, kita pilih Cronbach s Alpha. Selanjutnya klik OK, dan akan muncul hasil sebagai berikut: Langkah yang sama kita ulangi untuk semua kondisi pada DS3 dan DS4, sehingga kita mendapatkan nilai alpha untuk semua kondisi sebagai berikut: 61

80 Tabel 4.9: Hasil Penghitungan Nilai Cronbach s Alpha No Proses TI Status Alpha Reliabilitas 1 DS3 As is 0,8107 Sangat Reliabel To be 0,6467 Reliabel 2 DS4 As is 0,8489 Sangat Reliabel To be 0,8815 Sangat Reliabel Dengan demikian dapat disimpulkan bahwa data yang dianalisa dapat memberikan keyakinan atas konsistensi dalam mengukur gejala yang sama. Sedangkan uji validitas dilakukan untuk mendapatkan keyakinan bahwa alat pengumpul data yang digunakan benar-benar mencerminkan indikator variabel yang diteliti. Uji validitas dilakukan dengan menggunakan metode Korelasi Pearson atau metode Product Moment, yaitu dengan mengkorelasikan skor butir pada kuisioner dengan skor totalnya. Untuk semua jawaban pada setiap atribut dihitung nilai r (korelasi dengan skor total) dan dibandingkan dengan nilai r pada tabel Pearson Product-moment Correlation Coefficient untuk jumlah responden yang sesuai. Jika nila r-hitung lebih besar daripada r-tabel, maka item dikatakan valid. Taraf signifikansi yang digunakan adalah 5%. Langkah yang dilakukan hampir sama seperti langkah pada uji reliabilitas, namun kita tambahkan satu kolom yang berisi jumlah, karena kita akan membandingkan dengan skor total. 62

81 Dan pada jendela Item Analysis, kita pilih kolom AC sampai dengan kolom Jumlah. Selanjutnya pada pilihan Result, kita pilih Correlation Matrix. 63

82 Sehingga kita mendapatkan hasil berupa matrik korelasi. Karena kita ingin membandingkan skor butir pertanyaan setiap atribut dengan skor total, maka tabel yang kita baca adalah pada baris paling bawah. Langkah yang sama kita ulangi untuk semua kondisi pada DS3 dan DS4, sehingga kita mendapatkan nilai korelasi untuk semua kondisi sebagai berikut: 64

83 Tabel 4.10: Hasil Penghitungan Korelasi Pearson DS3 No Atribut Status r-hitung r-tabel (N=14 dan N=16) Validitas 1 AC As is 0,626 0,497 Valid To be 0,697 0,532 Valid 2 PSP As is 0,815 0,497 Valid To be 0,634 0,532 Valid 3 TA As is 0,647 0,497 Valid To be 0,678 0,532 Valid 4 SE As is 0,686 0,497 Valid To be N/A 0,532 Valid 5 RA As is 0,809 0,497 Valid To be 0,586 0,532 Valid 6 GSM As is 0,752 0,497 Valid To be 0,657 0,532 Valid Keterangan: Untuk kondisi yang diharapka (to be) pada atribut SE tidak dihitung karena tidak ada variasi data. Sehingga dengan demikian data langsung dianggap valid. Tabel 4.9: Hasil Penghitungan Korelasi Pearson DS4 No Atribut Status r-hitung r-tabel (N=22 dan N=23) Validitas 1 AC As is 0,802 0,423 Valid To be 0,848 0,413 Valid 2 PSP As is 0,768 0,423 Valid To be 0,877 0,413 Valid 3 TA As is 0,691 0,423 Valid To be 0,739 0,413 Valid 4 SE As is 0,758 0,423 Valid To be 0,802 0,413 Valid 5 RA As is 0,807 0,423 Valid To be 0,598 0,413 Valid 6 GSM As is 0,733 0,423 Valid To be 0,875 0,413 Valid 65

84 Tabel yang berisi penghitungan uji reliabilitas, uji validitas dan pembatasan 1,5 IQR ini selengkapnya dapat dilihat pada Lampiran Penghitungan Tingkat Kematangan Setelah semua langkah di atas dilakukan, selanjutnya dilakukan penghitungan nilai kematangan, baik untuk kondisi saat ini maupun yang diharapkan. Nilai kematangan didapatkan dengan mencari nilai rerata jawaban pada masing-masing atribut, selanjutnya dilakukan pembobotan terhadap hasil rerata tersebut sesuai dengan Tabel 3.2. Nilai kematangan tersebut dapat dilihat pada Tabel 4.12 dan Tabel Tabel 4.12: Nilai Kematangan DS3 No Atribut Nilai Kematangan Tingkat Kematangan As is To be As is To Be 1 AC 2,50 4, PSP 2,31 4, TA 2,56 4, SE 2,75 5, RA 2,94 4, GSM 2,31 4, Rata-rata 2,56 4, Tabel 4.13: Nilai Kematangan DS4 No Atribut Nilai Kematangan Tingkat Kematangan As is To be As is To Be 1 AC 2,00 4, PSP 2,45 4, TA 2,36 4, SE 2,18 4, RA 2,23 4, GSM 1,95 4, Rata-rata 2,20 4,

85 Tingkat kematangan saat ini dan yang diharapkan untuk proses DS3 dan DS4 di atas dapat direprestasikan dalam grafik sebagai berikut: GSM AC PSP as is to be RA TA SE Gambar 4.3: Representasi Tingkat Kematangan pada Proses DS3 GSM AC PSP as is to be RA TA SE Gambar 4.4: Representasi Tingkat Kematangan pada Proses DS4 67

86 4.4. Analisa Kondisi Saat Ini Secara umum, kondisi kematangan saat ini pada semua atribut proses DS3 maupun DS4 berada pada level 2, yaitu Repeatable but Intuitive, kecuali untuk atribut GSM pada proses DS4 yang berada pada level 1, yaitu Initial/Ad Hoc. Model kematangan pada level 2 ini secara umum adalah: Beberapa pekerjaan yang sejenis dikerjakan dengan proses yang serupa oleh beberapa pelaksana tugas. Tidak terdapat pelatihan formal dan pembuatan prosedur standar dan tanggung jawab diserahkan kepada individu masing-masing. Terdapat tingkat kepercayaan yang tinggi terhadap pengetahuan individu sehingga kemungkinan terjadi kesalahan/error sangat besar Analisa Kondisi Saat Ini pada Proses DS3 Sesuai hasil observasi, baik melalui metode wawancara, kuisioner maupun studi literatur, kondisi saat ini pada proses DS3 dapat disimpulkan sebagai berikut: 1. Kepala Biro TI dan jajarannya telah menyadari akibat tidak adanya pengelolaan kinerja dan kapasitas dapat berakibat buruk terhadap ketersediaan layanan TI. Sebagai langkah antisipasi, Karo TI telah mengkomunikasikan hal tersebut kepada seluruh Kasubbag di lingkup Biro TI agar memberi perhatian terhadap hal tersebut(ac). 2. Masalah-masalah terkait dengan kapasitas storage dan jaringan yang sering muncul pada Sub Bagian Operasi diselesaikan dengan secara individual oleh staf pelaksana. Beberapa personil pada Sub Bagian Operasi telah mencoba menyusun dokumentasi dan panduan teknis, namun penggunaannya sangat tergantung pada perorangan (PSP). 3. Sub Bagian Operasi memiliki peralatan monitoring untuk memantau kinerja dan kapasitas, antara lain MRTG, The Dude, 68

87 NTOP dan perangkat bawaan SAN. Namun penggunaannya bergantung pada inisiatif individual. Alat bantu tersebut tidak dapat digunakan secara maksimal, dan cenderung tidak termanfaatkan (TA). 4. Kebutuhan akan keahlian personil pada Biro TI masih sebatas kepada hal-hal yang formil, yaitu pendidikan formal (Ijasah). Pelatihan dilakukan sebagai respon atas kebutuhan, bukan karena perencanaan dari awal. Sebagai contoh, pelatihan dasar penggunaan Storage Area Network (SAN) bagi personil Subbag Operasi baru dilakukan secara informal, meskipun perangkat SAN telah cukup lama digunakan oleh organisasi (SE). 5. Tidak ada kejelasan peran dan tanggung jawab dalam pengelolaan kinerja dan kapasitas. Sub Bag Operasi sebagai pengelola infrastruktur belum menetapkan personil yang bertanggung jawab. Sub Bag Pemeliharaan dan Sub Bag Dukungan TI belum memiliki batas wewenang yang jelas dalam mengelola kinerja dan kapasitas workstation. Akibatnya sering muncul tumpang tindih pekerjaan antar Sub Bagian. Ketika muncul masalah, ada kecenderungan untuk saling menyalahkan. (RA). 6. Sub Bag Operasi belum pernah melakukan pengukuran kapabilitas kinerja pada kondisi puncak dan worst-case. Beberapa pengukuran kinerja yang pernah dilakukan hanya didasarkan kepada kebutuhan teknis, dan tidak secara rutin dilakukan (GSM) Analisa Kondisi Saat Ini pada Proses DS4 Sedangkan untuk proses DS4, kondisi saat ini pada proses DS4 dapat disimpulkan sebagai berikut: 1. Manajemen Biro TI telah memiliki kesadaran dan komitmen bahwa kebutuhan layanan yang berkelanjutan harus ditindaklanjuti. Untuk mengkomunikasikan hal, diadakan forum yang membahas masalah-masalah terkait dengan upaya menjaga layanan yang 69

88 berkelanjutan yang melibatan Biro TI dan Staff Perwakilan yang ditunjuk untuk mengelola TI di Kantor Perwakilan/LO-TI (AC). 2. Biro TI belum memiliki IT continuity plan yang terdokumentasi. Telah ada beberapa kegiatan inventarisasi terhadap sistem dan komponen yang kritis namun tidak dapat diandalkan karena tidak lengkap dan tidak dilakukan secara rutin (PSP). 3. Sub Bagian Operasi memiliki peralatan monitoring untuk memantau status layanan antara lain MRTG, The Dude, NTOP dan perangkat bawaan SAN. Namun penggunaannya bergantung pada inisiatif individual. Alat bantu tersebut tidak dapat digunakan secara maksimal, dan cenderung tidak termanfaatkan (TA). 4. Keahlian yang diperlukan untuk menjaga layanan tetap ada tidak merata. Beberapa personil secara individual memiliki keahlian yang mencukupi, sementara sebagian yang lain memiliki keahlian yang minimal. Pemerataan keahlian antar Sub Bagian masih sangat rendah (SE). 5. Tidak ada pembagian tanggung jawab untuk menjaga layanan tetap berlangsung, terutama pembagian tanggung jawab antara Bagian Operasional dan Bagian Pengembangan Aplikasi. Jika terjadi permasalahan terkait dengan keberlanjutan layanan, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan (RA). 6. Belum ada penentuan dan pengukuran pencapaian yang jelas untuk layanan yang berkelanjutan. Rencana untuk mengatasi kekurangan layanan baru dilakukan pada saat terjadi gangguan terhadap layanan. Hal ini dapat disebabkan salah satunya karena personilpersonil yang ada pada Biro TI memiliki pengetahuan yang minim terkait dengan core bisnis organisasi yaitu audit (GSM) Analisa Kondisi yang Diharapkan Dari hasil kuisioner dapat disimpulkan bahwa manajemen menginginkan hampir semua atribut pada tingkat kematangan 4, yaitu Managed and Measurable. 70

89 Dengan tambahan, untuk atribut Skill and Espertise pada proses DS3 diharapkan berada pada tingkat kematangan 5, yaitu Optimised. Model kematangan pada level 4 secara umum adalah: 1. Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. 2. Proses berada dibawah peningkatan yang konstan dan penyediaan praktek yang baik. 3. Otomatisasi dan perangkat digunakan untuk memantau sumber daya yang spesifik, antara lain kapasitas disk, jaringan, server dan gateway jaringan Analisa Kondisi yang Diharapkan pada Proses DS3 Kondisi yang diharapakan pada proses DS3 sebagian besar berada pada tingkat kematangan 4, yaitu: 1. Semua pihak dalam organisasi telah memahami kebutuhan pengelolaan kinerja dan kapasitas yang memadahi. Informasi mengenai hal tesebut sudah dibakukan dalam bentuk surat resmi, sepeti Surat Keputusan, Nota Dinas dan lain-lain. Pengguna di luar Biro TI dapat mengakses dan memantau hal-hal terkait hal ini, sebagai contoh terdapat grafik yang menunjukkan utilisasi banwidth internet yang dapat dilihat oleh pengguna (AC). 2. Kebijakan, perencanaan dan prosedur sudah dibuat dalam bentuk formal dan disyahkan oleh Sekretaris Jenderal. Dengan demikian berbagai hal terkati proses dan permasalahan kinerja dan kapasitas diselesaikan dengan mengacu kepada prosedur standar tersebut (PSP). 3. Perangkat yang digunakan untuk pengelolaan kinerja dan kapasitas sudah sesuai dengan standar. Adanya sistem informasi yang real time mengenai statistik kinerja yang dapat memberikan alert atas insiden akibat kurangnya kinerja dan kapasitas. Hal ini dapat berupa sebuah dashboard yang berisi statistik kinerja dan kapasitas 71

90 yang diperlukan, sehingga Kepala Biro TI dan manajemen yang lain dapat turut melakukan pemantauan (TA). 4. Tanggungjawab dan akuntabilitas pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan disosialisasikan dalam organisasi. Dengan demikian dapat memberikan dukungan terhadap Biro TI dalam menjalankan tugas dan fungsinya dengan baik. SOP ditingkatkan untuk dapat mencakup lebih banyak aspek dan memiliki keselarasan antar Sub Bag. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi pelaksanaan peran dan tanggungjawab. Hal ini dapat berupa penerapan Jabatan Fungsional Pranata Komputer (JFPK) yang memunginkan pemberian reward berupa angka kredit kepada personil yang telah melaksanakan suatu penugasan tertentu, sehingga pegawai yang bersangkutan dapat mendapatkan kekenaikan pangkat/golongan lebih cepat (RA). 5. Tersedianya perangkat dan proses untuk mengukur penggunaan sistem, kinerja dan kapasitas; dan hasilnya dibandingkan dengan tujuan bisnis dan Rencana Strategis TI. Metrik untuk melakukan pengukuran kinerja dan kapasitas telah disetujui bersama dan tertuang dalam KPI Biro Teknlogi Informasi. Perbaikan berkelanjutan telah sudah mulai dilakukan berdasarkan hasil pengukuran di atas (GSM). Sedangkan untuk atribut Skill and Expertise diharapkan berada pada tingkat kematangan 5, yaitu: 1. Pusdiklat BPK-RI menyediakan sarana dan fasilitas bagi staf Biro TI untuk mengembangkan keahlian secara berkelanjutan sesuai kebutuhan. Pelatihan ini dikaitkan dengan angka kredit bagi pemangku JFPK. Pelatihan dan pembelajaran menerapkan external best practices serta telah menggunakan konsep dan teknik terkini. Knowledge sharing menjadi budaya perusahaan. Biro TI juga dapat 72

91 menggunakan ahli dari luar sebagai konsultan yang mampu memberikan panduan (SE) Analisa Kondisi yang Diharapkan pada Proses DS4 Pada proses DS4, keseluruhan atribut diharapkan berada pada tingkat kematangan 4, yaitu: 1. Semua pihak dalam organisasi telah menyadari kebutuhan akan layanan yang berkelanjutan. Terdapat klasifikasi atas insiden gangguan terhadap layanan dan jalur eskalasi ke atas mulai dari Kasubbag, Kabag, Kepala Biro sampai dengan Sekretaris Jenderal diketahui oleh semua pihak yang terlibat. Secara rutin diadakan pertemuan untuk mengevaluasi dan mencari solusi bersama atas permasalahan yang timbul yang selain melibatkan Biro TI, juga pengguna dan LO-IT perwakilan (AC). 2. Terdapat aktifitas pemeliharaan terrencana dan standar sesuai mekanisme kerja di BPK-RI. Segala aktifitas terkait dengan usaha untuk menjaga layanan tetap berlangsung telah terdokumentasi secara formal (PSP). 3. Perangkat server, storage dan jaringan telah menerapkan redundansi dan menggunakan komponen standar yang tidak spesifik tergantung kepada vendor tertentu. Penggunaan perangkat untuk memonitor kondisi dan permasalahan gangguan layanan telah standar dan sudah terintegrasi dengan perangkat monitoring yang lain dalam sebuah monitoring dashboard (TA). 4. Pusdiklat menyelenggarakan training formal dan wajib untuk proses layanan yang berkelanjutan sebagai bagian dari pengembangan karir. Pelaksanaan pelatihan dapat dikaitkan dengan angka kredit bagi pemangku Jabatan Fungsional Pranata Komputer. Ditumbuhkannya budaya knowledge sharing (SE). 5. Tugas pokok dan fungsi masing-masing sub bagian terdefinisi dengan jelas. Demikian pula tugas dan tanggung jawab dalam sebauh sub bagian. SOP ditingkatkan untuk dapat mencakup lebih 73

92 banyak aspek dan memiliki keselarasan antar Sub Bag. Sudah ada mekanisme reward untuk memberikan motivasi positif dalam bentuk angka kredit bagi pegawai yang telah melaksanakan suatu penugasan tertentu (RA). 6. Tujuan dan pengukuran dalam memastikan layanan yang berkelanjutan telah mencakup aspek efisiensi dan efektifitas. Halhal yang terkait dengan gangguan terhadap layanan dicatat, dianalisa, dilaporkan dan ditindaklanjuti. Terdapat kaitan yang jelas antara keberlanjutan layanan dengan tujuan bisnis dan rencana strategis TI. IT Balanced Scorecard telah diterapkan dalam pengukuran (GSM) Analisa Gap Dari analisa tingkat kematangan saat ini dan tingkat kematangan yang diharapkan ditemukan adanya kesenjangan tingkat kematangan. Kesenjangan tingkat kematangan ini secara umum besarnya adalah 2 tingkat, yaitu dari tingkat kematangan 2 menuju ke tingkat kematangan 4. Perkecualian adalah pada atribut Skill and Expertise pada proses DS3, kesenjangan pada atribut ini adalah sebesar 3 tingkat, yaitu dari tingkat kematangan 2 menuju ke tingkat kematangan 5 dan pada atribut Goal Setting and Measurement pada proses DS4 yaitu dari tingkat kematangan 1 menuju tingkat kematangan 4. Adanya kesenjangan tingkat kematangan saat ini dengan tingkat kematangan yang diharapkan memerlukan strategi agar tingkat kematangan yang diharapkan dapat dicapai. Perlu pendefinisian tidakan-tindakan yang direkomendasikan untuk dilakukan pada setiap atribut proses yang diarahkan pada tahapan pencapaian proses kematangan yang diharapkan. Peningkatan kematangan merupakan proses perbaikan dan pembelajaran yang berkelanjutan. Proses ini dilakukan secara bertahap agar peningkatan proses tersebut lebih efektif. Mengacu kepada nilai-nilai kematangan yang telah diperoleh, rekomendasi tindakan dikelompokkan ke dalam 4 bagian, yaitu: 1. Pencapaian tingkat kematangan 2 74

93 2. Pencapaian tingkat kematangan 3 3. Pencapaian tingkat kematangan 4 4. Pencapaian tingkat kematangan 5 Hal yang perlu diperhatikan adalah pelaksanaan peningkatan kematangan dilakukan dengan skala prioritas, dimulai dari atribut dengan nilai kematangan paling rendah agar diperoleh keseragaman tingkat kematangan. Dengan demikian diharapkan proses peningkatan nilai kematangan dapat berjalan lebih efektif. Keseragaman nilai kematangan dapat diperoleh dengan menaikkan nilai kematangan atribut GSM pada proses DS4 menjadi 2. Setelah semua atribut mencapai kematangan 2, proses pematangan atribut harus dilakukan bersamasama sehingga semua atribut pada proses DS3 maupun DS4 berada pada tingkat kematangan yang sama, yaitu tingkat kematangan 3. Demikian pula halnya pada kelompok pencapaian tingkat kematangan 4. Sedangkan pada kelompok pencapaian tingkat kematangan 5 hanya melibatkan atribut Skill and Expertise pada DS3. Hal ini dilakukan karena hanya atribut tesebut yang diharapkan berada pada tingkat kematangan Rekomendasi Perbaikan Seperti yang telah dijelaskkan sebelumnya, rekomendasi tindakan perbaikan dibagi menjadi 4 kelompok agar proses peningkatan kematangan dapat berjalan lebih efektif Pencapaian Tingkat Kematangan 2 Beberapa tindakan yang perlu dilakukan agar nilai kematangan atribut GSM pada proses DS4 dapat mencapai nilai kematangan 2 adalah sebagai berikut: Tabel 4.14: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 2 Untuk Atribut GSM pada Proses DS4 No Atribut Tindakan Perbaikan 1 GSM Melakukan inventarisasi dan pencatatan mengenai ketersediaan layanan beserta kejadian-kejadian terganggunya layanan akibat storage, jaringan dan pemrosesan yang tidak mencukupi kebutuhan.. 75

94 Mengukur kebutuhan kinerja dan kapasitas dengan mengamati kejadian-kejadian gangguan yang ada Pencapaian Tingkat Kematangan 3 Beberapa tindakan yang perlu dilakukan dalam kelompok pencapaian tingkat kematangan 3 dapat dilihat pada Tabel 4.15 dan Tabel 4.16 Tabel 4.15: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS3 No Atribut Tindakan Perbaikan 1 AC Melakukan sosialisasi mengenai perlunya tindakan-tindakan untuk mengelola kinerja dan kapasitas kepada seluruh staf Biro TI, LO-IT perwakilan dan pemilik aplikasi yang lain. Meminta masukan dari pengguna dan pemilik aplikasi mengenai kebutuhan kinerja dan kapasitas yang dikehendaki. Membakukan segala bentuk komunikasi di atas ke dalam bentuk baku berupa SK, Nota Dinas dan lain-lain. 2 PSP Melakukan proses review atas kinerja dan kapasitas saat ini. Membuat prediksi kebutuhan mendatang berdasarkan beban kerja/workload, storage dan kebutuhan bisnis yang lain. Membuat prosedur dan dokumentasi formal dari aktifitas review dan prediksi di atas. 3 TA Membuat perencanaan penggunaan perangkat dalam memantau kinerja dan kapasitas. Menggunakan perangkat yang umum dalam memantau kinerja dan kapasitas, dimulai dengan server dan jaringan yang dianggap paling kritis. Kasubbag yang terkait membuat laporan yang memuat statistik kinerja dan kapasitas pada saat diperlukan untuk disampaikan kepada Karo TI. 4 SE Setiap Sub Bag melakukan identifikasi dan dokumentasi atas kebutuhan keahlian personil dalam mengelola kinerja dan kapasitas Melakukan perencanaan formal untuk pelatihan terkait kinerja dan kapasitas. Perencanaan ini dapat dimulai dari inisiatif personil yang biasa memangani masalah kinerja dan kapasitas. 76

95 No Atribut Tindakan Perbaikan 5 RA Mendefinisikan tanggung jawab dalam melakukan: Review atas kinerja dan kapasitas saat ini. Prediksi kebutuhan kinerja dan kapasitas mendatang. Menetapkan Sub Bag yang menjadi penanggung jawab pelaksana dari proses-proses tersebut. 6 GSM Mendefinisikan kebutuhan tingkat layanan terkait dengan kinerja dan kapasitas. Mengembangkan metrik yang dapat digunakan untuk melakukan pengukuran operasional kinerja dan kapasitas Menginisiasi pemanfaatan IT Scorecard sebagai sarana pengukuran untuk mengetahui apakah kebutuhan kinerja dan kapasitas dapat terpenuhi. Tabel 4.16: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 3 pada Proses DS4 No Atribut Tindakan Perbaikan 1 AC Melakukan sosialisasi mengenai perlunya tindakan-tindakan untuk memastikan keberlanjutan layanan kepada seluruh staf Biro TI, LO-IT perwakilan dan pemilik aplikasi yang lain. Meminta masukan dari pengguna dan pemilik aplikasi mengenai kebutuhan keberlanjutan yang dikehendaki. Membakukan segala bentuk komunikasi di atas ke dalam bentuk baku berupa SK, Nota Dinas dan lain-lain. 2 PSP Mendokumentasikan IT Continuity Plan yang disesuaikandengan kebutuhan pemilik aplikasi, terutama unit Auditorat. Memulai penerapan High Availability Component dan Redundancy pada sistem-sistem storage dan jaringan yang dianggap kritis. Menetapkan langkah-langkah standar untuk mengatasi insiden mayor atau bencana terkait keberlanjutan layanan. Membuat dan mengupdate inventarisasi atas sistem dan komponen yang kritis. 3 TA Membuat perencanaan penggunaan perangkat yang standar untuk melakukan otomasi dalam pengelolaan keberlanjutan layanan. Memanfaatkan perangkat yang standar untuk melakukan pemantauan dan pelaporan terkait keberlanjutan layanan. 77

96 No Atribut Tindakan Perbaikan 4 SE Melakukan identifikasi dan dokumentasi keahlian yang dibutuhkan dalam memastikan layanan yang berkelanjutan. Membuat perencanaan pelatihan secara formal. Perencanaan ini harus sejalan untuk seluruh Sub Bag. Mengakomodasi inisiatif individu dalam hal perencanaan pelatihan memastikan layanan yang berkelanjutan. 5 RA Mendefinisikan tanggung jawab Sub Bag untuk melakukan perencanaan dan uji coba layanan yang berkelanjutan. Setiap Sub Bag mendefiniskan tanggung jawab personel dalam melaksanakan tanggung jawab Sub Bag. 6 GSM Mendefinisikan kebutuhan tingkat layanan terkait keberlanjutan layanan. Mengembangkan metrik yang dapat digunakan untuk melakukan pengukuran keberlanjutan layanan Menginisiasi pemanfaatan IT Scorecard sebagai sarana pengukuran untuk mengetahui apakah kebutuhan layanan dapat terpenuhi Pencapaian Tingkat Kematangan 4 Beberapa tindakan yang perlu dilakukan dalam kelompok pencapaian tingkat kematangan 4 dapat dilihat pada Tabel 4.17 dan Tabel 4.18 Tabel 4.17: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS3 No Atribut Tindakan Perbaikan 1 AC Mensosialisasikan kebutuhan pengelolaan kinerja dan kapasitas yang memadahi beserta tindakan-tindakan yang diperlukan secara lebih intensif kepada seluruh organisasi baik di Kantor Pusat maupun Kantor Perwakilan. Memformulasikan informasi di atas ke dalam bentuk formal seperti Surak Keputusan, Nota Dinas dan lain-lain. 2 PSP Menyusun rencana, kebijakan dan prosedur kinerja dan kapasitas sesuai dengan mekanisme kerja di BPK-RI untuk melakukan proses review dan prediksi kebutuhan mendatang. Menstandar kan prosedur yang sudah terdefinisi tersebut untuk semua aspek dan permasalahan terkait kinerja dan kapasitas dan membakukan 78

97 No Atribut Tindakan Perbaikan ke dalam format resmi organisasi yang disyahkan oleh Sekretaris Jenderal. 3 TA Mengimplementasikan penggunaan perangkat untuk pengelolaan kinerja dan kapasitas yang sesuai perencanaan standar dan mengintegrasikan dengan tool monitoring lain yang terkait. Menyediakan sistem informasi yang real time mengenai statistik kinerja dan kapasitas. Menyediakan sistem alerting atas insiden yang terjadi akibat kurangnya kinerja dan kapasitas. Alerting ini dapat berupa atau sms kepada staf pelaksana, kasubbag, kabag dan Karo TI. 4 SE Secara rutin meng-update kebutuhan keahlian untuk seluruh proses pengelolaan kinerja dan kapasitas. Menjalankan pelatihan formal bagi personel terkait pengelolaan kinerja dan kapasitas sesuai dengan rencana yang telah ditetapkan. Menerapkan mekanisme knowledge sharing diantara personel yang terkait. 5 RA Mendefinisikan secara jelas, menetapkan dan mengkomunikasikan tanggung jawab pengelolaan kinerja dan kapasitas. Menyelenggarakan sistem /reward sebagai upaya memotivasi peran dan tanggung jawab dalam bentuk angka kredit bagi pemangku Jabatan Fungsional Pratana Komputer. 6 GSM Menyediakan perangkat dan proses untuk melakukan pengukuran penggunaan sistem, kinerja dan kapasitas dan membandingkan hasilnya dengan tujuan bisnis dan Rencana Strategis TI. Menetapkan dan menyetujui bersama metrik untuk melakukan pengukuran kinerja dan kapasitas dalam bentuk KPI untuk Biro TI dengan melibatkan Ditama Revbang. Melakukan perbaikan yang bekelanjutan berdasarkan hasil pengukuran tersebut. 79

98 Tabel 4.18: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 4 pada Proses DS4 No Atribut Tindakan Perbaikan 1 AC Meningkatkan sosialisasi mengenai kebutuhan layanan berkelanjutan yang memadahi kepada seluruh komponen organisasi dan membakukan ke dalam bentuk formal seperti Surat Keputusan, Nota Dinas dan lainlain. Mengklasifikasikan insiden-insiden terganggunya layanan. Menetapkan jalur eskalasi pada kejadian terganggunya layanan mulai dari staf, kasubbag, kabag, kepala biro sampai dengan Sekretaris Jenderal. Mengadakan pertemuan berkala untuk melakukan sosialisasi hal tersebut dengan melibatkan Biro TI, pengguna dan LO-IT perwakilan. 2 PSP Menetapkan aktifitas pemeliharaan yang didasarkan pada hasil uji coba layanan yang berkelanjutan, dan menyesuaikan dengan mekanisme kerja di BPK-RI. Memformalkan segala aktifitas tersebut ke dalam dokumen rencana dan SOP yang baku. 3 TA Menerapkan redundansi dan menggunakan komponen standar yang tidak spesifik tergantung kepada vendor tertentu untuk perangkat server, storage dan jaringan. Menggunakan perangkat untuk memonitor kondisi dan permasalahan gangguan layanan yang standar dan terintegrasi dengan perangkat monitoring yang lain dalam sebuah monitoring dashboard 4 SE Berkoordinasi dengan Pusdiklat untuk menyelenggarakan training formal dan wajib untuk proses layanan yang berkelanjutan sebagai bagian dari pengembangan karir. Pelatihan tersebut dapat dikaitkan dengan pemberian angka kredit bagi pemangku Jabatan Fungsional Pranata Komputer. Menerapkan mekanisme knowledge sharing diantara personel yang terkait. 80

99 No Atribut Tindakan Perbaikan 5 RA Mendefinisikan tugas pokok dan fungsi masing-masing sub bagian dengan jelas. Demikian pula tugas dan tanggung jawab dalam sebauh sub bagian. Meningkatkan SOP agar dapat mencakup lebih banyak aspek dan memiliki keselarasan antar Sub Bag. Menetapkan mekanisme reward untuk memberikan motivasi positif dalam bentuk angka kredit bagi pegawai yang telah melaksanakan suatu penugasan tertentu. 6 GSM Menetapkan tujuan dan pengukuran dalam memastikan layanan yang berkelanjutan yang mencakup aspek efisiensi dan efektifitas dan membandingkan hasilnya dengan tujuan bisnis dan Rencana Strategis TI. Menerapkan IT balanced scorecard untuk melakukan pengukuran proses tersebut Pencapaian Tingkat Kematangan 5 Beberapa tindakan yang perlu dilakukan dalam kelompok pencapaian tingkat kematangan 5 untuk atribut Skill and Expertise proses DS3 dapat dilihat pada Tabel 4.19 Tabel 4.19: Rekomendasi Tindakan untuk Pencapaian Tingkat Kematangan 5 untuk atribut SE pada Proses DS3 No Atribut Tindakan Perbaikan 1 SE Berkoordinasi dengan Pusdiklat BPK-RI untuk menyediakan sarana dan fasilitas bagi staf Biro TI untuk mengembangkan keahlian secara berkelanjutan sesuai kebutuhan. Pelatihan ini dikaitkan dengan angka kredit bagi pemangku JFPK. Menerapkan external best practices dalam proses pelatihan. Membudayakan Knowledge sharing dengan menyediakan perangkat Knowledge Management System. Mempertimbangka penggunaan ahli dari luar sebagai konsultan yang mampu memberikan panduan untuk hal-hal yang memang dirasa perlu melibatkan pihak luar 81

100 4.8. Indikator Kinerja dan Indikator Pencapaian Sebagai tindak lanjut dari usulan perbaikan di atas, maka diperlukan adanya suatu pengukuran untuk mengetahui kemajuan yang dicapai. Penilaian atau pengukuran tersebut meliputi pelaksanaannya maupun pencapaiannya. Untuk itu perlu didefinisikan beberapa indikator pengukuran, yaitu Performance Indicators yang mengukur pelaksanaan dan Outcome Measures yang mengukur pencapain hasil. Ada tiga aspek yang diukur dengan kedua indikator tersebut, yaitu; 1. Pencapaian dan kinerja TI (IT Goal and Metrics) 2. Pencapaian dan kinerja Proses (Process Goal and Metrics) 3. Pencapaian dan kinerja aktifitas (Activity Goal and Metrics) Keberhasilan pencapaian IT Goal diukur dengan IT Metric. Keberhasilan pencapaian IT Goal dikendalikan/dipengaruhi oleh keberhasilan pencapaian Process Goal yang dukur dengan Process Metric. Keberhasilan pencapaian Process Goal dikendalikan/dipengaruhi oleh pencapaian Activity Goal yang diukur dengan Activity Metric. Gambar berikut memperlihatkan hubungan goals dan metrics utama pada proses DS 3 dan DS4. 82

101 TI Proses Aktivitas Tujuan Memastikan bahwa layanan TI tersedia pada saat dibutuhkan Mengoptimalkan kapabilitas, sumberdaya dan infrastruktur TI Memenuhi SLA response time Meminimalisir Downtime Mengoptimalkan utilisasi sumberdaya TI Mengukur response time pada beban puncak Menerapkan redundancy pada komponen kritis Menerapkan high availibility pada komponen kritis Mengukur utilitas measure drive measure drive measure Metrik Jumlah jam yang hilan per user per tahun akibat ketersediaan yang tidak memadahi Prosentase utilisasi yang terpakai terhadap kapasitas total Prosentase response time yang tidak memenuhi SLA Jumlah jam downtime per bulan per jenis layanan Prosentase sumber daya yang over utilized Prosentase response time yang tidak memenuhi SLA Prosentase komponen kritis yang telah menerapkan redundancy dan high availibility Prosentase sistem yang telah mencapai utilitas di atas 90% Gambar 4.5: Goals and Metrics pada proses DS3 83

102 TI Proses Aktivitas Tujuan Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan TI Memastikan bahwa infrastruktur dan layanan TI dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana Mengembangkan IT Continuity Plan Melakukan penyimpanan data pada lokasi offsite Melakukan pelatihan IT Continuity Plan Pengembangan IT Continuity Plan Menyimpan salinan datadata kritis pada lokasi offsite measure drive measure drive measure Metrik Prosentase proses bisnis yang terhenti pada saat terjadinya gangguan layanan TI Prosentase layanan yang dapat pulih dalam tenggat waktu yang ditetapkan Prosentase uji coba IT Continuity Plan yang memenuhi target Prosentase data yang berhasi dipulihkan dalam kejadian gangguan Prosentase layanan yang tidak dapat beroperasi pada kejadian gangguan Jumlah jam pelatihan IT Continuity Plan per tahun per pegawai Prosentase proses bisnis kritis yang dicakup dalam IT Continuity plan Prosentase data dan aplikasi kritis yang tersimpan pada lokasi offsite Gambar 4.6: Goals and Metrics pada proses DS4 Dari goals dan metrics utama tersebut selanjutnya dikembangkan agar lebih jelas dan detail. Goals dan metrics selengkapnya dapat dilihat pada tabel berikut: Tabel 4.20: Goals and Metrics untuk Ketersediaan Layanan IT Process Activity Goal Metrics Goal Metrics Goal Metrics Jumlah jam yang Memantau dan Prosentase Mengukur beban hilang per user mengukur beban beban puncak puncak per tahun akibat puncak yang melebihi ketersediaan kapasitas yang tidak =jumlah beban memadahi yang melebihi = jam yang kapasitas/jumla hilang/user h beban total x 100% Memastikan bahwa layanan TI tersedia pada saat dibutuhkan Mengukur beban normal Prosentase beban puncak yang melebihi kapasitas yang tersedia =jumlah beban yang melebihi kapasitas/jumlah beban total x 100% Prosentasi sumber daya yang idle =jumlah sumber daya idle/jumlah total sumber daya x 100% 84

103 IT Process Activity Goal Metrics Goal Metrics Goal Metrics Memenuhi SLA response time Mengoptimalka n kapabilitas sumber daya dan infrastruktur TI Prosentase utilisasi yang terpakai terhadap kapasitas total =kapasitas yang terpaka/kapasita s total x 100% Meminimalisir down time Mengoptimalkan utilisasi sumber daya TI Prosentase response time yang tidak memenuhi SLA =jumlah response time yang tidak memenuhi SLA/jumlah response total time x 100% Jumlah jam downtime per bulan per jenis layanan = downtime per bulan per jenis layanan Prosentase sumber daya yang over utilized =jumlah proses yang melebihi sumber daya/jumlah sumber daya x Mengukur response time pada beban puncak Mengukur response time pada beban normal Menerapkan penggunaan komponen yang standar Menerapkan redundancy pada komponen kritis Menerapkan high availibility pada komponen kritis Penyediaan UPS dan generator listrik Menerapkan storage terpusat = jumlah server yang terhubung ke SAN/jumlah semua server x 100% Prosentase response time yang tidak memenuhi SLA =jumlah response time yang tidak memenuhi SLA/jumlah total response time x 100% Prosentasi response time yang melebihi SLA =jumlah response time yang memenuhi SLA/jumlah total response time x 100% Prosentase komponen kritis yang telah menerapkan penggunaan komponen standar = jumlah komponen kritis yang standard/jumlah komponen kritis x 100% Prosentase komponen kritis yang telah menerapkan redundancy = jumlah komponen kritis yang redundan/jumlah komponen kritis x 100% Prosentase komponen kritis yang telah menerapkan high availability = jumlah komponen kritis yang high available/jumlah komponen kritis x 100% Prosentase kapasitas UPS/generator listrik terhadap beban keseluruhan =kapasitas UPS atau generator/kebutuha n beban x 100% Prosentase jumlah server yang telah terhubung ke Storage Area Network = jumlah server yang terhubung ke SAN/jumlah semua server x 100% 85

104 IT Process Activity Goal Metrics Goal Metrics Goal Metrics 100% Mengukur utilitas Prosentase sistem yang telah mencapai utilitas di atas 90% =jumlah sistem yang utilitas > 90%/jumlah total sistem x 100% Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan Prosentase proses bisnis yang terhenti pada saat terjadinya gangguan layanan TI Mengembangka n IT Continuity Plan Prosentase uji coba IT Continuity Plan yang memenuhi target Menerapkan virtualisasi/share d service Melakukan pelatihan IT Continuity Plan Pengembangan IT Continuity Plan Uji coba IT Continuity Plan Pengembangan IT Resiliency Plan Uji coba IT Resiliency Plan Pengembangan IT Contingency Plan Prosentase sistem yang telah menerapkan virtualisasi Prosentase layanan yang telah menggunakan shared service =jumlah sistem yang menerapkan virtualisasi atau shared service/jumlah total sistem x 100% Jumlah jam pelatihan IT Continuity Plan per tahun per pegawai = jam pelatihan per tahun per pegawai Prosentase proses bisnis kritis yang dicakup dalam IT Continuity plan = proses bisnis tercakup IT Continuity/jumlah total proses bisnis x 100% Frekuensi uji coba terhadap IT Continuity Plan = jumlah uji coba per tahun Prosentase layanan TI kritis yang dicakup dalam IT Resiliency Plan = proses bisnis tercakup IT Resiliensi/jumlah total proses bisnis x 100% Frekuensi uji coba terhadap IT Resiliency Plan = jumlah uji coba per tahun Prosentase layanan TI kritis yang dicakup dalam IT Contingency Plan = proses bisnis tercakup IT Contingency/jumlah total proses bisnis x 100% 86

105 IT Process Activity Goal Metrics Goal Metrics Goal Metrics Uji coba IT Contingency Plan Frekuensi uji coba terhadap IT Contingency Plan = jumlah uji coba per tahun Memastikan bahwa sinfrastruktur TI dan layanannya dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana Prosentase layanan yang dapat pulih dalam tenggat waktu yang ditetapkan Melakukan penyimpanan data pada lokasi offsite Prosentase data yang berhasi dipulihkan dalam kejadian gangguan Prosentase layanan yang tidak dapat beroperasi pada kejadian gangguan Menyimpan salinan data-data kritis pada lokasi offsite Menyimpan IT Continuity Plan pada lokasi offsite Prosentase data dan aplikasi kritis yang tersimpan pada lokasi offsite =jumlah data atau aplikasi yang tersimpan pada offsite/jumlah total data atau aplikasi x 100% Prosentase keberhasilan akses terhadap dokumen tersebut pada saat uji coba IT Contingency dan IT Resiliency Plan =jumlah dokumen yang dapat diakses/jumlah total dokumen x 100% 4.9. Perancangan Tata Kelola Ketersediaan Layanan Perancangan model Tata Kelola Ketersediaan Layanan TI berangkat dari kebutuhan bisnis terkait TI yang dijabarkan dari Visi dan Misi organisasi BPK-RI, tertuang dalam Rencana Strategis Teknologi Informasi BPK-RI. Kebutuhan bisnis tersebut adalah Teknologi Informasi yang dimiliki oleh BPK harus memiliki kapabilitas ketersediaan yang baik sehingga dapat berperan sebagai medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi bagi para stakeholder-nya sehingga dapat mendorong terwujudnya akuntabilitas dan transparansi keuangan negara. 87

106 Visi dan Misi Peran Strategis TI Business Goal IT Goal Process Goal Activity Goal drive drive drive IT Metric Process Metric Activity Metric Gambar 4.7: Hubungan Goal and Metrics dengan Tujuan Bisnis Sehingga dalam hal ini untuk mencapai tujuan bisnis yaitu mendapatkan kapabilitas dan ketersediaan Teknologi Informasi yang baik, maka perlu diterjemahkan ke dalam IT Goal yaitu: 1. Memastikan bahwa layanan TI tersedia pada saat dibutuhkan. 2. Mengoptimalkan kapabilitas sumber daya dan infrastruktur TI. 3. Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan. 4. Memastikan bahwa sinfrastruktur TI dan layanannya dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana. Pencapaian IT Goal di atas dapat dinilai/diukur dengan indikator pengukuran berupa IT Metric, yaitu: 1. Jumlah jam yang hilang per user per tahun akibat ketersediaan yang tidak memadahi. 2. Prosentase utilisasi yang terpakai terhadap kapasitas total. 3. Prosentase proses bisnis yang terhenti pada saat terjadinya gangguan layanan TI. 4. Prosentase layanan yang dapat pulih dalam tenggat waktu yang ditetapkan. 88

107 Untuk dapat mencapai IT Goal di atas, perlu didefinisikan proses-proses apa saja yang harus dilakukan berupa Process Goal, yaitu: 1. Memantau dan mengukur beban puncak. 2. Memenuhi SLA response time. 3. Meminimalisir down time. 4. Mengoptimalkan utilisasi sumber daya TI. 5. Mengembangkan IT Continuity Plan. 6. Melakukan penyimpanan data pada lokasi offsite. Pencapaian Process Goal di atas dapat dinilai/diukur dengan indikator pengukuran berupa Process Metric, yaitu: 1. Prosentase beban puncak yang melebihi kapasitas. 2. Prosentase response time yang tidak memenuhi SLA. 3. Jumlah jam downtime per bulan per jenis layanan. 4. Prosentase sumber daya yang over utilized. 5. Prosentase uji coba IT Continuity Plan yang memenuhi target. 6. Prosentase data yang berhasi dipulihkan dalam kejadian gangguan 7. Prosentase layanan yang tidak dapat beroperasi pada kejadian gangguan. Untuk dapat mencapai Process Goal di atas, perlu didefinisikan aktifitasaktifitas apa saja yang harus dilakukan berupa Activity Goal, yaitu: 1. Mengukur beban puncak. 2. Mengukur beban normal. 3. Mengukur response time pada beban puncak. 4. Mengukur response time pada beban normal. 5. Menerapkan penggunaan komponen yang standar. 6. Menerapkan redundancy pada komponen kritis. 7. Menerapkan high availibility pada komponen kritis. 8. Penyediaan UPS dan generator listrik. 9. Menerapkan storage terpusat. 89

108 10. Mengukur utilitas. 11. Menerapkan virtualisasi/shared service. 12. Melakukan pelatihan IT Continuity Plan. 13. Mengembangkan dan melakukan uji coba IT Continuity Plan. 14. Mengembangkan dan melakukan uji coba IT Resiliency Plan. 15. Mengembangkan dan melakukan uji coba IT Contingency Plan. 16. Menyimpan salinan data-data kritis pada lokasi offsite. 17. Menyimpan IT Continuity Plan pada lokasi offsite. Pencapaian Activity Goal di atas dapat dinilai/diukur dengan indikator pengukuran berupa Activity Metric, yaitu: 1. Prosentase beban puncak yang melebihi kapasitas yang tersedia. 2. Prosentasi sumber daya yang idle. 3. Prosentase response time yang tidak memenuhi SLA. 4. Prosentasi response time yang melebihi SLA. 5. Prosentase komponen kritis yang telah menerapkan penggunaan komponen standar. 6. Prosentase komponen kritis yang telah menerapkan redundancy. 7. Prosentase komponen kritis yang telah menerapkan high availibility. 8. Prosentase kapasitas UPS/generator listrik terhadap beban keseluruhan. 9. Prosentase jumlah server yang telah terhubung ke Storage Area Network (SAN). 10. Prosentase sistem yang telah mencapai utilisasi di atas 90%. 11. Prosentase sistem yang telah menerapkan virtualisasi. 12. Prosentase layanan yang telah menggunakan shared service. 13. Jumlah jam pelatihan IT Continuity Plan per tahun per pegawai. 14. Prosentase proses bisnis kritis yang dicakup dalam IT Continuity Plan. 15. Frekuensi uji coba terhadap IT Continuity Plan. 90

109 16. Prosentase layanan TI kritis yang dicakup dalam IT Resiliency Plan. 17. Frekuensi uji coba terhadap IT Resiliency Plan. 18. Prosentase layanan TI kritis yang dicakup dalam IT Contingency Plan. 19. Frekuensi uji coba terhadap IT Contingency Plan. 20. Prosentase data dan aplikasi kritis yang tersimpan pada lokasi offsite. 21. Prosentase keberhasilan akses terhadap dokumen tersebut pada saat uji coba IT Contingency dan IT Resiliency Plan Rencana Aksi Agar tujuan-tujuan yang telah disebutkan pada bagian sebelumnya dapat secara efektif tercapai, diperlukan sebuah Rencana Aksi. Rencana aksi tersebut dikelompokkan dalam 4 bagian bagian, yaitu: 1. Memastikan bahwa layanan TI tersedia pada saat dibutuhkan, ditempuh melalui: a. Mengukur beban puncak, yaitu dengan melakukan pengukuran beban penyimpanan, jaringan dan pemrosesan yang melebihi kapasitas yang tersedia dan membandingkannya dengan beban keseluruhan. b. Mengukur beban normal, yaitu mengukur penyimpanan, jaringan dan pemrosesan yang idle dan membandingkan dengan total sumber daya. c. Mengukur response time pada kondisi beban puncak yang tidak memenuhi SLA dan membandingkan dengan total response time d. Mengukur response time pada kondisi normal yang memenuhi SLA dan membandingkan dengan total response time e. Menerapkan penggunaan komponen yang standar, dalam arti bahwa komponen yang digunakan adalah komponen yang tidak spessifik mengacu/tergantung kepada vendor tertentu. Sehingga 91

110 penggantian pada suatu komponen yang mengalami kegagalan dapat dilakukan dengan mudah dan cepat f. Menerapkan redundancy pada komponen yang kritis. Redundancy ini dapat berupa redundancy pada jaringan, penyimpanan dan redudancy server g. Menerapkan high availaibility pada komponen kritis. Hal ini dilakukan dengan memilih komponen yang memiliki high availaibility tinggi (KW1). h. Menyediakan UPS dan generator yang dapat menyuplai kebutuhan listrik secara memadahi untuk data center dan peripheral-peripheral yang dianggap kritis 2. Mengoptimalkan kapabilitas sumber daya dan infrastruktur TI, ditempuh melalui: a. Menerapkan penggunaan storage terpusat, yaitu berupa penggunaan Storage Area Network (SAN). Hal ini dimaksudkan agar jika suatu server memiliki kelebihan storage dapat dialokasikan kepada server lain yang membutuhkan storage lebih. Hal tersebut tidak dapat dilakukan pada server yang menerapkan Direct Attached Storage (DAS) biasa. b. Mengukur utilitas. Pengukuran dilakukan pada utilisasi jaringan dan storage. Hal ini dilakukan untuk memberoleh gambaran kebutuhan storage dan jaringan pada masing-masing sistem. c. Menerapkan virtualisasi dan Shared Service. Hal ini bertujuan agar jika ada sumber daya yang idle atau berlebih dapat digunakan bagi layanan yang baru dengan memanfaatkan perangkat yang ada tanpa harus mengadakan perangkat yang baru 3. Memastikan dampak bisnis yang minimal pada kejadian gangguan atau perubahan layanan, ditempuh melalui: a. Melakukan pelatihan IT Continuity Plan. Pelatihan perlu dilakukan agar semua pihak yang terlibat memiliki kesadaran akan perlunya IT Continuity Plan, dan selanjutnya memiliki keahlian yang diperlukan untuk membuat sebuah IT Continuity Plan. 92

111 b. Mengembangkan IT Continuity Plan. IT Continuity Plan ini diharapkan dapat mencakup proses-proses bisnis yang penting dan sumber daya TI yang mendukung proses-proses bisnis tersebut. c. Melakukan uji coba terhadap IT Continuity Plan, hal ini dilakukan untuk mengetahui sejauh mana IT Continnuity Plan tersebut dapat melindungi proses bisnis yang penting. d. Mengembangkan IT Resiliency Plan agar dapat menunjang IT Contiuity Plan yang telah ada. e. Melakukan Uji Coba terhadap IT Resiliency Plan yang telah dibuat. f. Mengembangkan IT Contingency Plan agar dapat menunjang IT Contiuity Plan yang telah ada g. Melakukan Uji Coba terhadap IT Contingency Plan yang telah dibuat. 4. Memastikan bahwa sinfrastruktur TI dan layanannya dapat bertahan dan pulih dari kegagalan akibat kesalahan, serangan atau bencana, ditempuh melalui: a. Mengembangkan sebuah Disaster Recovery Center (DRC) yang berfungsi sebagai pusat penanganan bencana terhadap sistem dan layanan TI b. Menyimpan data-data dan aplikasi yang dianggap kritis yang menunjang proses-proses bisnis yang penting pada DRC tesebut c. Menyimpan IT Continuity Plan pada lokasi offsite/drc. Untuk memudahkan pelaksanaan rencana aksi tersebut, diperlukan time table yang dapat menjadi panduan penjadwalan pelaksanaan aksi. Rencana Aksi di atas diproyeksikan dapat terlaksana dalam waktu 3 tahun, yang dibagi ke dalam 6 semester. 93

112 Tabel 2.1: Jadwal Pelaksanaan Rencana Aksi No Aksi II I II I II I 1. Mengukur beban puncak 2. Mengukur beban normal 3. Mengukur response time pada kondisi beban puncak 4. Mengukur response time pada kondisi normal 5. Menerapkan penggunaan komponen yang standar 6. Menerapkan redundancy pada komponen yang kritis 7. Menerapkan high availaibility pada komponen kritis 8. Menyediakan UPS dan generator 9. Menerapkan penggunaan storage terpusat (SAN) 10. Mengukur utilitas 11. Menerapkan virtualisasi dan Shared Service 12. Melakukan pelatihan IT Continuity Plan 13. Mengembangkan IT Continuity Plan 14. Melakukan uji coba terhadap IT Continuity Plan 15. Mengembangkan IT Resiliency Plan 16. Melakukan Uji Coba terhadap IT Resiliency Plan 17. Mengembangkan IT Contingency Plan 18. Melakukan Uji Coba terhadap IT Contingency Plan 94

113 No Aksi 19. Mengembangkan sebuah Disaster Recovery Center (DRC) 20. Menyimpan data-data dan aplikasi yang dianggap kritis pada DRC 21. Menyimpan IT Continuity Plan pada DRC II I II I II I Kebijakan Pengelolaan Ketersediaan Layanan TI Dengan mepertimbangkan langkah-langkah yang direkomendasikan dalam memperoleh tingkat kematangan yang dinginkan, serta indikator-indikator pengukuran goal di atas, maka diperlukan kebijakan dalam mengelola ketersediaan layanan TI. Kebijakan ini diusahakan bersifat praktis dan dapat diterapkan di lapangan. Untuk itu, perlu disusun suatu draft dokumen kebijakan pengelolaan ketersediaan layanan dalam bentuk surat keputusan. Dalam Surat Keputusan tersebut, Biro Teknologi Informasi sesuai Tugas Pokok dan Fungsinya ditunjuk menjadi pihak yang bertugas untuk membuat perencanaan dan melakukan koordinasi pelaksanaan kebijakan tersebut dengan seluruh komponen organisasi yang terkait. 95

114 KEPUTUSAN SEKRETARIS JENDERAL BADAN PEMERIKSA KEUANGAN REPUBLIK INDONESIA NOMOR /X/X XXX.00/00/2010 TENTANG KEBIJAKAN PENGELOLAAN KETERSEDIAAN LAYANAN TEKNOLOGI INFORMASI PADA PELAKSANA DI LINGKUNGAN BADAN PEMERIKSA KEUANGAN SEKRETARIS JENDERAL BADAN PEMERIKSA KEUANGAN REPUBLIK INDONESIA, Menimbang : a. bahwa Teknologi Informasi yang dimiliki oleh BPK harus memiliki kapabilitas dan ketersediaan yang memadahi sehingga dapat berperan sebagai medium komunikasi yang tidak mengenal batas waktu, wilayah dan organisasi bagi para stakeholder nya sehingga dapat mendorong terwujudnya akuntabilitas dan transparansi keuangan negara b. bahwa hal tersebut di atas tercantum dalam Fungsi Strategis Teknologi Informasi pada Rencana Strategis Teknologi Informasi Badan Pemeriksa Keuangan RI c. bahwa dalam melakukan perencanaan, pelaksanaan dan evaluasi pengelolaan ketersediaan layanan diperlukan praktek praktek kebijakan yang sesuai dengan standar agar kapabilitas dan ketersediaan yang diharapkan dapat tercapai Mengingat : 1. Undang Undang Nomor 15 Tahun 2006 tentang Badan Pemeriksa Keuangan (Lembaran Negara Republik Indonesia 96