SNIPTEK 2015 ISBN: KAJIAN TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA COBIT 4.

Transkripsi

1 KAJIAN TINGKAT KEMATANGAN TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA COBIT 4.0 Artika Surniandari Program Studi Komputer Akuntasi AMIK BSI Jakarta ABSTRACT In this research, an analysis and recommendation was presented to the management of BPKP Center by using COBIT (Control Objective for Information and related Technology) skill in Delivery & Support and Monitoring and Evaluating domain. This review can solve the problem on pusinfowas, since divisions working in IT management and data processing can not fully carry out their tasks and functions due to limitations in some processes and this research is expected to become a reference in managing IT in both BPKP and other government agencies. begins with data collection and observation of the system that has been running quite well until now. The study continued on the method of selecting the samples in which the sample selected was a puposive sampling that understood IT and the use of IT, because the method of data collection conducted interviews and questionnaires distributed to five respondents included in the sample criteria. The data obtained from the interview process conditions are expected for the future of IT BPKP implementation and the drawings obtained from the questionnaire of the current state of IT management. From the results of interviews obtained at the maturity level of target 4 and the results obtained the results of questionnaire data collection where most of the maturity level of both domains are still below the target domain, especially DS4, DS5 and ME4 have a low level of maturity. That is below 2.50 between the current maturity level with the expectation of the future IT maturity level, from which this gap arises so that the recommendations made are expected to cover the gap. From the results of this study, the maturity level of the research results at the BPKP IT Management Center is currently at the third level domain for DS and ME, but there is still a level of maturity that is below the level currently in the process of defining 2.50 ongoing services. (DS4), ensuring the security system (DS5) and not the ideal IT management establishment (ME4), which requires special attention from the IT management. The improvement in the BPKP IT Governance Center of this domain to DS and ME is to increase the level of maturity to Level 4 (Managed and Measurable). Keyword Parts Sales : Information Systems, Spare INTISARI Dalam penelitian ini disajikan sebuah analisis dan rekomendasi kepada manajemen TI BPKP Center dengan menggunakan kerangka COBIT (Control Objective for Information and related Technology) pada domain Delivery & Support and Monitoring and Evaluating. Kaji ulang ini dapat memecahkan masalah pada pusinfowas, karena divisi yang bekerja dalam manajemen TI dan pengolahan data tidak dapat sepenuhnya menjalankan tugas dan fungsinya karena keterbatasan dalam beberapa proses dan penelitian ini diharapkan dapat menjadi acuan dalam mengelola TI di kedua BPKP dan instansi pemerintah lainnya Penelitian ini diawali dengan pengumpulan data dan pengamatan terhadap sistem yang telah berjalan cukup baik sampai saat ini. Penelitian dilanjutkan pada metode pemilihan sampel dimana sampel yang dipilih adalah sampling puposive yang mengerti IT dan penggunaan TI, karena metode pengumpulan datanya melakukan wawancara dan kuesioner yang disebarkan kepada lima responden yang termasuk dalam kriteria sampel. Data yang diperoleh dari kondisi proses wawancara diharapkan untuk masa depan penyelenggaraan IT BPKP dan gambar yang diperoleh dari kuesioner kondisi saat ini manajemen TI. Dari hasil wawancara yang diperoleh pada tingkat kematangan target 4 dan hasilnya diperoleh hasil pengumpulan data kuesioner dimana sebagian besar tingkat kematangan kedua domain tersebut masih di bawah domain target terutama DS4, DS5 dan ME4 memiliki tingkat kematangan yang cukup rendah. Yaitu di bawah 2,50 antara tingkat kematangan saat ini dengan harapan kedepan tingkat kematangan TI, dari mana muncul kesenjangan ini sehingga rekomendasi yang dibuat diharapkan dapat mencakup kesenjangan tersebut. Dari hasil kajian ini, tingkat kematangan hasil penelitian di Pusat Pengelolaan TI BPKP saat ini berada pada domain tingkat ketiga untuk DS dan ME, namun masih ada tingkat kematangan yang berada di bawah tingkat yang sedang dalam proses mendefinisikan 2,50 layanan berkelanjutan. INF-627

2 ISBN: SNIPTEK 2015 (DS4), memastikan sistem keamanan (DS5) dan tidak ideal pendirian manajemen TI (ME4), yang memerlukan perhatian khusus dari pihak manajemen TI. Perbaikan di IT Governance Center BPKP domain ini ke DS dan ME adalah untuk meningkatkan tingkat kematangan sampai pada level 4 (Managed and Measurable). Kata kunci: Tata Kelola, Cobit 4.0 PENDAHULUAN Penerapan Teknologi Informasi (TI) merupakan hal yang menjadi target perkembangan suatu instansi guna meningkatkan kinerja serta kualitas produk atau keluaran yang dihasilkan. Untuk menerapkan teknologi informasi tentunya diperlukan biaya yang cukup besar dan mungkin saja dalam penerapannya dapat terjadi resiko kegagalan yang cukup tinggi. Namun apabila penerapan TI telah terlaksana dengan baik juga dapat memberikan keuntungan dengan menyediakan peluang-peluang untuk meningkatkan produktifitas bisnis yang sedang berjalan. Penerapan TI juga sangat membantu kinerja instansi dalam melakukan perkembangan dan menghadapi permasalahan. Permasalahan yang dihadapi berbeda pada masing-masing instansi dari mulai pengolahan data yang tidak mendapatkan hasil yang sesuai dengan harapan, sampai dengan pemanfaatan waktu yang tidak efisien, permasalahan tersebut mendorong pihak manajemen menerapkan teknologi pendukung yang diharapkan dapat menjadi solusi dari permasalahan, sehingga teknologi informasi menjadi satu hal yang sangat penting dan dibutuhkan dalam mendukung jalannya sistem. Hal tersebut memicu meningkatnya ketergantungan perusahaan akan kebutuhan di bidang TI, sehingga mengharuskan perusahaan melakukan pengelolaan aset ditentukan oleh keselarasan tujuan penerapan TI dan tujuan perusahaan. Pada dasarnya pengelolaan TI berkaitan dengan dua permasalahan utama, yaitu peranan TI dalam memberikan nilai bagi perusahaan dan penanganan resiko-resiko dari penerapan TI. Peranan TI ditinjau dari keselarasan dengan tujuan bisnis, sedangkan penanganan resiko ditinjau dari peningkatan akuntabilitas perusahaan sebagai hasil dari penerapan TI. Pengelolaan TI merupakan struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan dalam mencapai tujuannya melalui penambahan nilai dengan tetap memperhatikan keseimbangan antara resiko dan manfaat dalam menerapkan TI dan proses-proses di dalamnya. Penggunaan teknologi dalam aspek sosial dan ekonomi telah menciptakan ketergantungan pada TI dalam menginisiasi, merekam, memindahkan dan mengelola seluruh aspek transaksi ekonomi serta informasi dan pengetahuan perusahaan, yang menjadikan pengelolaan TI memiliki peran strategis dalam perusahaan. Tujuan dari pengelolaan TI adalah untuk memberikan arahan pemanfaatan TI agar dapat menjamin kinerja TI dapat memenuhi tujuan penyelarasan TI dengan tujuan perusahaan dan dapat merealisasikan keuntungan yang dijanjikan. Disamping itu TI juga harus membantu perusahaan dalam menciptakan peluang-peluang baru dan memaksimalkan keuntungan. Sumberdaya TI harus digunakan secara optimal dan resiko yang berkaitan dengan TI harus dikelola dengan baik. BPKP (Badan Pengawas Keuangan Dan Pembangunan ) adalah lembaga pemerintahan non departemen yang berada di bawah dan bertanggungjawab langsung kepada Presiden dan Wakil Presiden. Tugas utama BPKP adalah membantu Presiden dan Wakil Presiden mengawasi pengelolaan dan pertanggungjawaban keuangan negara dan pembangunan, agar sesuai dengan ketentuan perundang-undangan yang berlaku, sekaligus memberikan masukan bagi pembuatan kebijakan terkait dengan itu. Dalam melakukan pengelolaan TI BPKP membutuhkan sebuah model pengelolaan yang dapat dijadikan acuan, sesuai dengan strategi dan tujuan perusahaan dan dapat digunakan untuk mengatasi permasalahan-permasalahan yang terjadi di perusahaan. Control Objectives for Information and Related Technology (COBIT) merupakan sebuah model standar tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI. Berdasarkan hal tersebut maka dalam penelitian ini akan dirancang sebuah model pengelolaan TI dengan menggunakan kerangka kerja COBIT. Kerangka kerja COBIT mengidentifikasi proses-proses TI dalam 4 domain utama, yaitu domain Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring and Evaluating (ME). Domain PO mencakup strategi dan taktik, serta perhatian pada identifikasi cara TI dalam memberikan kontribusi terbaiknya pada pencapaian objektif bisnis. Domain AI mencakup realisasi, implementasi dan integrasi strategi TI kedalam proses bisnis. Domain DS berhubungan dengan penyampaian dan dukungan layanan-layanan TI. Domain ME mencakup pengawasan pada seluruh INF-628

3 kendali-kendali yang diterapkan pada setiap proses TI. BAHAN DAN METODE Teknologi informasi (TI) adalah hal yang telah menjadi prioritas bagi perkembangan suatu perusahaan pada masa sekarang ini. Teknologi informasi menjembatani komunikasi antar pihak terkait dalam proses bisnis yang dijalankan perusahaan. Agar teknologi informasi dapat digunakan dan dimanfaatkan seoptimal mungkin diperlukan perhatian khusus dalam tata kelolanya. Definisi Tata Kelola IT Definisi tata kelola Teknologi informasi menurut beberapa ahli dalam Surendro (2002. p. 3) diantaranya sebagai berikut : a. Kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dan mengarahkan kepada kepentingan pencapaian daya saing korporasi (The Ministry of International Trade&Industry. 1999) b. Tata kelola teknologi informasi adalah pertanggungjawaban dewan direksi dan manajemen eksekutif. Hal ini, merupakan bagian yang terintergrasi dengan tata kelola perusahaan dan berisi kepemimpinan dan struktur serta proses organisasi yang menjamin bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis (IT Governance Institute. 2001). c. Tata kelola teknologi informasi adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen teknologi informasi untuk mengendalikan formulasi dan implementasi strategi informasi dalam rancangan mendukung bisnisnya (Grembergen. 2002). Dalam hal ini dapat disimpulkan bahwa tata kelola TI adalah serangkaian kegiatan yang mengupayakan adanya kesinambungan antara pemanfaatan teknologi informasi dengan kebijakan yang diambil manajemen dalam memastikan teknologi informasi telah diterima dan dilaksanakan dengan baik selaras dengan tujuan bisnis perusahaan. Fokus Bidang Tata Kelola TI Menurut Surendro (2009. p. 143) Tata kelola teknologi informasi berjalan secara berkesinambungan seperti halnya sebuah siklus hidup, tata kelola TI dapat juga dianggap sebagai sebuah proses mengumpulkan sumber daya yang dibutuhkan untuk melaksanakan kewajiban, laporan dari proses TI mencakup kewajiban dari proses yang telah dilakukan, kinerja, risiko yang diterima dan ditangani, beserta sumber daya yang telah digunakannya. Lima area yang menjadi fokus tata kelola TI dikendalikan oleh nilai stakeholder diantaranya penyampaian layanan dan manajemen resiko, fokus yang lain berperan sebagai penentu yaitu penyelarasan strategi, pengelolaan sumber daya dan pengukuran kinerja. Tahap Penerapan Tata Kelola TI Menggunakan COBIT Terdapat 4 fase penerapan tata kelola TI menggunakan COBIT yaitu fase Identify Needs (Mengidentifikasi kebutuhan), Envision Solution (meramalkan solusi), Plan Solution ( Merencanakan Solusi) dan Implement Solution (Menerapkan solusi). Sumber : Surendro (2009. p. 198) Framework COBIT ITGI (2005) menjelaskan bahwa semakin manajemen puncak menyadari bahwa informasi dapat mempengaruhi keberhasilan perusahaan, manajemen diharapkan dapat meningkatkan pemahaman tentang pengoperasian teknologi informasi (TI) untuk keunggulan kompetitif. Secara khusus, manajemen puncak perlu tahu apakah informasi ini telah dikelola oleh perusahaan: 1. Kemungkinan untuk mencapai tujuannya 2. Cukup mudah dipelajari dan beradaptasi 3. Dapat mengelola risiko yang dihadapinya dengan bijaksana 4. Mengenali adanya peluang Menurut Surendro(2009. p. 242) COBIT mengintegrasikan praktek-praktek yang baik terhadap TI dan menyediakan framework untuk tata kelola TI, yang dapat membantu pemahaman dan pengelolaan resioko serta memperoleh keuntungan yang berkaitan dengan TI. Dengan demikian implementasi COBIT sebagai framework tata kelola TI akan dapat memberikan keuntungan : a. Penyelarasan yang lebih baik, berdasarkan pada fokus binsis. b. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan TI. c. Tanggung jawab dan kepemilikan yang jelas didasarkan pada orientasi proses d. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan e. Berbagi pemahaman diantara pihak yang berkepentingan, didasarkan pada sebuah bahasa umum. f. Pemenuhan kebutuhan Committee of Sponsorsing Organisations of the Treadway Commision (COSO) untuk lingkungan kendali TI. INF-629

4 ISBN: SNIPTEK 2015 Fokus Pada Bisnis Orientasi pada bisnis menunjukan bahwa COBIT dirancang untuk dapat digunakan oleh banyak pihak. Hal ini tidak sebatas hanya bagi kalangan TI, user maupun auditor, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik proses bisnis. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Informasi itu sendiri perlu memenuhi kriteria kontrol tertentu, guna mencapai obyektif binsis. Kriteria untuk informasi sebagaimana dikemukakan COBIT adalah: a. Efektifitas (Effectiveness), berhubungan dengan informasi yang relevan dan berhubungan pada proses bisnis seperti halnya disampaikan dengan suatu cara yang tepat waktu, benar, konsisten dan dapat digunakan. b. Efisiensi (Efficiency), berhubungan dengan ketentuan informasi melalui penggunaan sumberdaya secara optimal. c. Kerahasiaan (Confidentiality), berhubungan dengan kerahasiaan perusahaan dalam menjaga keamanan informasi dari ancaman dan gangguan pihak-pihak yang tidak bertanggungjawab. d. Integritas (Integrity), berhubungan dengan ketepatan dan kelengkapan informasi seperti halnya keabsahannya menurut nilai dan harapan bisnis. e. Ketersediaan (Availability), berhubungan dengan ketersediaan informasi pada saat diperlukan oleh proses bisnis saat ini dan mendatang. Ini juga berhubungan dengan pengamanan sumberdaya yang perlu dan kemampuan yang berkaitan. f. Kepatuhan (Compliance), berhubungan dengan kepatuhan hukum, regulasi dan kesepakatan kontrak dimana proses binsis adalah pokok yaitu kriteria bisnis dikenakan secara eksternal, seperti halnya kebijakan internal. g. Kehandalan (Reliability), berhubungan dengan ketentuan informasi yang tepat bagi manajemen untuk mengoperasikan entitas dan menjalankan fiduciary-nya (kepercayaan) dan tanggung jawab tata kelola TI Orientasi Pada Proses Antara sasaran bisnis dan sasaran TI (business foal and IT goal) dan kriteria informasi terdapat hubungan. Hubungan ini menunjukan bahwa pada sasaran bisnis yang diberikan, yang dikelompokkan kedalam empat perspektif balanced scorcard, berhubungan dengan beberapa sasaran TI yang sesuai, dan kriteria informasi yang berkaitan dengan sasaran bisnis tersebut. Hubungan yang lain adalah antara lain TI, prosesproses TI dan kriteria informasi. a. Aplikasi adalah sistem user yang diotomasikan dan prosedur manual yang memproses informasi. b. Informasi adalah data dalam semua bentuknya, dimasukkan, diproses dan dikeluarkan oleh sistem informasi, dalam bentuk apapun digunakan oleh bisnis. c. Infrastruktur adalah teknologi dan fasilitas (hardware, operating system, database management system, jaringan multimedia, dan lain-lain dan lingkungan penempatan dan pendukungnya) yang memungkinkan pemrosesan aplikasi. d. Orang adalah personal yang diperlukan untuk merencanakan, mengorganisir, mendapatkan, menerapkan, menyampaikan, mendukung, memonitor dan mengevaluasi layanan dan sistem informasi. Mereka bisa saja internal, outsource, atau dikontrak ketika diperlukan. Aktivitas TI, dalam COBIT didefinisikan kedalam model proses yang generik dan dikelompokkan dalam 4 (empat) domain : Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring and Evaluate (ME) dengan penjelasan sebagai berikut : 1. Perencanaan dan organisasi (Planning dan organisation / PO) Domain ini mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan konstribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Dititikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. High-level control objectives yang terdapat dalam domain ini adalah sebagai berikut : PO1 - mendefinisikan perencanaan strategi TI PO2 - mendefinisikan arsitektur informasi PO3 - menentukan arah teknologi PO4 - mendefinisikan hubungan, organisasi, proses-proses TI PO5 - mengelola investasi TI PO6 - menyampaikan arah dan maksud manajemen PO7 - mengelola sumber daya manusia TI PO8 - mengelola mutu PO9 - mengelola resiko dan menaksir TI PO10 - mengelola proyek-proyek 2. Akuisisi dan implementasi (Acquisition and Implementation/AI) Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah INF-630

5 ditetapkan harus disertai dengan solusi-solusi TI yang sesuai, dan solusi tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini terdiri 7 control objectives yaitu : AI1 - mengenali pemecahan secara otomatis AI2 - memperoleh dan memelihara aplikasi software AI3 - memperoleh dan memelihara infrastruktur teknologi AI4 - memungkinkan operasi dan penggunaan AI5 - memperoleh sumber daya TI AI6 - mengelola perubahan-perubahan AI7 - memasang dan mengakui pemecahan dan perubahan 3. Penyampaian dan dukungan (Delivery and Support/DS) Domain ini menitikberatkan pada teknis-teknis yang mendukung terhadap proses pelayanan TI. DS1 - menetapkan dan mengelola mutu service DS2 - mengelola service pihak ketiga DS3 - mengelola kapasitas dan kinerja DS4 - menjamin service terus menerus DS5 - menjamin keamanan sistem DS6 - mengidentifikasii dan mengalokasikan biaya DS7 - mendidik dan melatih user DS8 - mengelola peristiwa dan bagian service DS9 - mengelola konfigurasi DS10 - mengelola permasalahan-permasalahan DS11 - mengelola data DS12 - mengelola keadaan fisik DS13 - mengelola operasi 4. Pengawasan dan evaluasi (Monitoring and Evaluate/ME) Domain ini dikonsentrasikan pada monitoring dan evaluasi penerapan TI. ME1 - mengawasi dan menilai kinerja TI ME2 - mengawasi dan menilai kerangka kontrol ME3 - memastikan pematuhan peraturan ME4 - menetapkan pengelolaan TI Model Kematangan Menurut Surendro (2009. p. 247) Maturity model untuk pengelolaan dan kontrol pada proses TI didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri, mulai dari level non-existent (0) hingga optimised (5). Pendekatan ini berasal dari model maturity Software Engineering Institute yang mendefinisikan untuk kapabilitas pengembangan software. Maturity model dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Tingkat maturity dirancang sebagai profile proses TI, sehingga organisasi akan dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan mendatang. Penggunaan Maturity model yang dikembangkan untuk setiap 34 proses TI dari COBIT, memungkinkan manajemen dapat mengidentifikasi: a. Performa sesungguhnya perusahaan dimana kondisi perusahaan sekarang. b. Kondisi sekarang dari industriperbandingan c. Target peningkatan perusahaan dimana kondisi yang diinginkan perusahaan dalam melakukan pengukuran maturity untuk proses, terlebih dulu perlu kejelasan tentang tujuan pengukuran itu sendiri. Pemahaman secara jelas, apa yang diukur dan apa yang akan dilakukan pada saat melakukan pengukuran, diperlukan. Hal ini karena pengukuran maturity bukan merupakan tujuan tetapi sebagai pendukung sebagai contoh: a. meningkatkan kepedulian b. identifikasi kelemahan c. identifikasi prioritas peningkatan. Beberapa cara yang umum dilakukan dalam melaksanakan penilaian maturity diantaranya adalah: a. pendekatan multidisiplin kelompok orang yang mendiskusikan dan menghasilkan kesepakatan level maturity kondisi sekarang b. dekomposisi deskripsi maturity menjadi beberapa statement sehingga manajemen dapat memberikan tingkat persetujuannya. c. penggunaan atribut matriks sebagaimana didokumentasikan dalam Cobit s Management Guidelines dan memberikan nilai masing-masing atribut dari setiap proses. Mengingat perlunya kesesuaian antara pemilihan metoda untuk penilaian maturity dengan tujuan yang ingin dicapai sebagaimana dikemukakan diatas, serta upaya yang akan dilakukan adalah untuk peningkatan proses, maka metoda yang digunakan perlu disesuaikan dengan tujuan ini. Dengan pertimbangan ini maka metoda yang akan digunakan adalah dengan menilai setiap atribut dan maturity proses. Berdasarkan penilaian masing-masing atribut baik yang mencerminkan kondisi saat ini maupun yang diharapkan, akan didapatkan informasi mengenai kondisinya untuk setiap atribut. Cara penyajian secara bersama-sama kondisi saat ini dan kondisi yang diharapkan, akan memudahkan untuk melihat gambaran kelemahan atau kekurangan setiap atribut yang membentuk tingkat maturity tersebut. Model Framework COBIT Kerangka kerja COBIT, mengikat kebutuhan bisnis untuk informasi dan tata kelola, pada INF-631

6 ISBN: SNIPTEK 2015 tujuan fungsi layanan teknologi informasi. Model proses COBIT memungkinkan aktivitas teknologi informasi dan sumber daya yang mendukungnya dikelola dan di kontrol dengan tepat berdasarkan tujuan kendali COBIT, Keseluruhan framework COBIT dapat dilihat pada gambar di bawah ini, COBIT s proses model dari empat domain mengandung 34 proses generik, yang mengelola IT resources untuk memberikan informasi pada bisnis sesuai dengan kebutuhan bisnis dan tata kelola HASIL DAN PEMBAHASAN Data Responden Responden yang dilibatkan dalam penelitian ini berjumlah 5 orang. Pemilihan responden ditentukan dengan menggunakan Analisa dilakukan untuk mengetahui tingkat kematangan tata kelola TI di BPKP Pusat terhadap control objective. Control objective yang akan dilakukan penilaian adalah control objective yang berada pada domain DS (Delivery and Support) dan ME (Monitoring and Evaluating). Berikut hasil kuesioner untuk domain DS yang dapat diperlihatkan dalam tabel sebagai berikut: Tabel.2 Rekapitulasi hasil kuesioner cobit maturity model pada domain DS Control objective Jml Pertanyaan Index Maturity level DS1-Mendefinisikan dan mengelola tingkat layanan DS2-Mengelola layanan pihak ketiga DS3-Mengelola kinerja dan kapasitas DS4-Memastikan layanan yang berkelanjutan DS5-Memastikan keamanan sistem DS6-Melakukan identifikasi dan alokasi biaya DS7-Mendidik dan melatih pengguna DS8-Mendampingi dan memberikan saran kepada pengguna DS9-Mengelola konfigurasi DS10-Mengelola permasalahan dan insiden DS11-Mengelola Data DS12-Mengelola Fasilitas DS13-Mengelola Operasi Total Rata-rata Sedangkan hasil kuesioner untuk domain ME dapat kita lihat pada tabel berikut: metode purposive sampling. Sampel yang dipilih yaitu sampel yang memahami sistem yang diterapkan di BPKP ini, yaitu bagian pengelola dan pengembang sistem informasi serta layanan pengguna. Adapun perincian data responden dapat dilihat pada tabel berikut ini: Tabel.1 Daftar Responden Kuesioner No Responden Jumlah 1 Kepala Subbidang Pengembangan 1 Teknologi Informasi 2 Kepala Subbidang Layanan 1 Pengguna 3 Staff Bagian Pusat Informasi dan 2 Pengawasan 4 Staff Bagian Evaluasi 1 Perencanaan Total 5 Analisa hasil tingkat kematangan/maturity level domain DS dan ME Tabel.3 Rekapitulasi hasil kuesioner cobit maturity model pada domain ME Control objective Jml Index Maturity Pertanyaan level ME1 - mengawasi dan menilai kinerja TI ME2 - mengawasi dan menilai kerangka kontrol ME3 - memastikan pematuhan peraturan ME4 - menetapkan pengelolaan TI Total Rata-rata ,75 Untuk mengetahui tingkat kematangan tata kelola TI saat ini digunakan kuesioner cobit maturity model (lihat lampiran ). Kuesioner dibuat berdasarkan kriteria kematangan yang ditetapkan pada COBIT 4.0 untuk setiap proses yang terdapat dalam domain DS dan ME. Kuesioner menggunakan skala guttman dengan bobot untuk setiap pertanyaan ditetapkan 0 dan 1. Pertanyaan dengan jawaban Ya (Y) akan dikonversikan pada nilai 1, sebaliknya untuk jawaban Tidak (T) akan dikonversi pada nilai 0. Penilaian tingkat kematangan setiap control objective atau proses TI pada domain DS dan ME mengacu pada model maturity level COBIT versi 4 Dengan kriteria index penilaian sebagai berikut : Tabel.4 Kriteria index nilai pada maturity level COBIT versi Non-Existent Initial/Ad Hoc Repeatable But Invinitive Defined Process Managed and Measurable INF-632

7 Optimesed Dari pengukuran tingkat kematangan tata kelola TI ini selain akan diketahui penilaian tentang kondisi saat ini juga dapat diketahui kondisi tata kelola TI yang diharapkan. Selain perhitungan maturity level juga diadakan wawancara dengan Kepala sub bidang pengembangan teknologi informasi sebagai pihak yang dianggap paling memahami Sistem Informasi yang sedang berjalan. Adapun temuan yang bisa kita analisis dari hasil kuesioner dan wawancara dengan pihak pengelola dan pengembang sistem informasi pada instansi BPKP secara umum dapat kita lihat dalam tabel-tabel sebagai berikut : Tabel.5 Tabel Temuan Kuesioner control objective Index Maturity level: DS1-Mendefinisikan dan Defined mengelola tingkat layanan Process DS2-Mengelola layanan pihak Define Process ketiga DS3-Mengelola kinerja dan kapasitas Define Process DS4-Memastikan layanan yang berkelanjutan DS5-Memastikan keamanan sistem Repeatable But Invinitive Repeatable But Invinitive DS6-Melakukan identifikasi dan alokasi biaya Defined Process DS7-Mendidik dan melatih Manage and pengguna Measurable DS8-Mendampingi dan Defined memberikan saran kepada Process pengguna DS9-Mengelola konfigurasi Managed and measurable DS10 - Mengelola defined Permasalahan process DS11-Mengelola Data defined process DS12-Mengelola Fasilitas defined process DS13-Mengelola Operasi defined process ME1 - mengawasi dan Defined menilai kinerja TI Process ME2 - mengawasi dan defined menilai kerangka kontrol process ME3 - memastikan defined pematuhan peraturan process ME4 - menetapkan Repeatable pengelolaan TI But Invinitive Menentukan Target Kematangan (Maturity Level) untuk masing-masing Control objective pada Domain DS dan ME Target kematangan proses TI adalah kondisi ideal tingkat kematangan proses yang diharapkan (to-be), yang akan menjadi acuan dalam model tata kelola TI yang akan dikembangkan. Target kematangan proses TI dapat ditentukan dengan melihat lingkungan internal bisnis BPKP dan tingginya ekspektasi jajaran manajemen BPKP Pusat terhadap proses TI COBIT yang diterapkan. Berdasarkan arah pengembangan TI BPKP Pusat secara umum dapat ditemukan beberapa hal penting yang dapat diambil sebagai dasar pertimbangan untuk menentukan target kematangan proses yang diharapkan antara lain : 1. Menjadikan BPKP Pusat sebagai institusi pemerintah Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas. 2. BPKP Pusat Menyelenggarakan pengawasan intern terhadap akuntabilitas keuangan negara yang mendukung tata kelola kepemerintahan yang baik dan bebas KKN. 3. Membina penyelenggaraan Sistem Pengendalian Intern Pemerintah. 4. Mengembangkan kapasitas pengawasan intern pemerintah yang profesional dan kompeten. 5. Menyelenggarakan sistem dukungan pengambilan keputusan yang andal bagi presiden/pemerintah. Dengan mempertimbangkan beberapa faktor diatas, untuk domain DS dan ME COBIT Versi 4, maka dapat diambil kesimpulan bahwa tingkat kematangan yang akan menjadi acuan dalam model tata kelola TI yang akan dikembangkan adalah pada skala 4 yaitu Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur, serta mengambil tindakan atas ketidakefektifan proses yang terjadi. Proses meningkat secara konstan dan memberikan praktek yang baik. Otomasi dan tool digunakan dengan cara terbatas dan terpecah-pecah.. (Managed and Measurable) Analisis Gap Kematangan Control objective Domain DS dan ME Dengan melihat kondisi tingkat kematangan control objective domain DS dan ME yang berjalan pada BPKP Pusat saat ini terhadap kondisi ideal tingkat kematangan control objective yang diinginkan, maka akan memunculkan suatu penyesuaian dengan kondisi normatif berdasarkan COBIT versi 4. Penyesuaian dilakukan untuk menutup gap yang diciptakan dari tingkat kematangan proses saat ini (current maturity level) dengan kondisi ideal tingkat kematangan proses yang diinginkan (target maturity level), sebagai acuan dari rekomendasi yang penulis ambil adalah dengan melihat Detail Control objective. Dari Tabel.2 dan Tabel.3 di atas menunjukan adanya gap pada 15 control objective domain DS dan ME, yang berupa 11 gap dalam INF-633

8 ISBN: SNIPTEK 2015 domain DS dan 4 gap dalam domain ME. Berikut adalah analisisnya : Tabel.6. Analisis gap Tingkat Kematangan cobtrol objective pada domain DS Control objective Current Maturity level Target Maturity Level DS1-menetapkan dan mengelola 3.09 mutu service 4 DS2-mengelola service pihak ketiga DS3-mengelola kapasitas dan kinerja DS4-menjamin service terus menerus DS5-menjamin keamanan sistem DS6-mengenali dan memberikan 3.04 biaya 4 DS7-mendidik dan melatih user DS8-mengelola peristiwa dan bagian 3.33 service 4 DS9-mengelola konfigurasi DS10-mengelola permasalahanpermasalahan DS11-mengelola data DS12-mengelola keadaan fisik DS13-mengelola operasi Rata-rata Maturity Level domain DS Berikut ini Tabel Analisa gap tingkat kematangan pada Domain ME: Tabel.7 Analisis gap Tingkat Kematangan cobtrol objective pada domain ME Control objective Current Maturity level Target Maturity Level ME1-mengawasi dan menilai kinerja TI ME2-mengawasi dan menilai kerangka kontrol ME3-memastikan pematuhan peraturan ME4-menetapkan pengelolaan TI Rata-rata maturity level untuk domain ME BPKP Pusat harus mampu mentupi gap maturity level ini agar sumber daya TI yang dimilikinya mampu mendukung secara maksimal seluruh proses bisnis BPKP Pusat dalam mencapai tujuan yang telah ditetapkan dalam visi dan misinya. Dari hasil kuesioner tingkat kematangan (matutity level) control objective COBIT domain DS dan ME yang diperlihatkan dalam grafik diatas, menunjukkan adanya gap yang cukup besar pada proses DS4, DS5 dan ME4 dimana ketiga domain tersebut masih dibawah level 2.50 maka dapat dideskripsikan suatu kondisi pada proses lainnya masih bervariasi dan sebagian besar telah mencapai level 3 dan 4. Hal ini berarti sebagian besar di BPKP Pusat masih terdapat kejadian yang diketahui, dan dipandang sebagai persoalan yang perlu ditangani oleh pihak manajemen, meskipun telah ada proses standar namun belum terealisasikan dengan sempurna meskipun ada juga yang sudah mendekati target pemenuhan tingkat kematangan yang diharapkan. Belum ada komunikasi atau pelatihan formal atas prosedur standar dan tanggung jawab diserahkan pada individu sehingga terdapat kepercayaan yang tinggi pada kemampuan individu, sehingga kesalahan masih sangat mungkin terjadi. Terutama pada proses menjamin layanan berkelanjutan dan keamanan sistem serta dalam penetapan pengelolaan TI Kondisi ideal yang diharapkan adalah pada tingkat kematangan 4 (Manage and Measurable), yaitu suatu kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif terhadap kinerja proses teknologi informasi, terdapat fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan dan dapat mengambil tindakan jika terdapat proses yang tidak efektif, proses diperbaiki terus menerus serta terdapat perangkat pembantu dan otomatisasi untuk pengawasan proses. Dapat disimpulkan temuan COBIT dari 15 gap yang harus disesuaikan tersebut adalah DS1, DS2, DS3, DS4, DS5, DS6, DS8, DS10, DS11, DS12, DS13, ME1,ME2, ME3, dan ME4 Mengatasi gap Kematangan Control objective Pada Domain DS dan ME adapun kegiatan atau langkah-langkah penyesuaian yang bisa dilakukan sebagai berikut : level pada DS1 Mutu layanan TI dan dukungan organisasi harus dikelola dan didefinisikan secara jelas (uraian tanggung jawab, waktu respon dan pengawasan serta pelaporan ) Oleh karena itu diperlukan rekomendasi sebagai berikut: 1. Pihak manajemen harus dapat mendefinisikan dan mengelola mutu layanan dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Menyediakan suatu kerangka kerja yang selaras dengan kebutuhan bisnis b. Mendefinisikan layanan TI didasarkan pada kebutuhan bisnis c. Menentukan dan menyetujui perjanjian service level untuk seluruh layanan TI berdasarkan kebutuhan pelanggan dan kemampuan TI d. Menetapkan pemantauan service level laporan disusun dengan sistematis sehingga dapat dimonitor dan ditindak lanjuti INF-634

9 a. Mendefinisikan dan mengelola service level secara utuh dan secara berkala diadakan forum internal untuk membahas serta mencari solusi bersama permasalahan yang timbul b. Tingkat layanan lebih didefinisikan dalam tahap pendefinisian kebutuhan sistem c. Mengotomasi pelaporan dan pengawasan tingkat layanan d. Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan didefinisikan dengan jelas level pada DS2 Pengelolaan terhadap tingkat layanan TI yang dilakukan/disediakan oleh pihak eksternal harus mencakup kesepakatan layanan, kontrak, pengawasan dan aspek legalitas. Oleh karena itu diperlukan rekomendasi sebagai berikut: 1. Pihak manajemen harus dapat mengelola layanan pihak ketiga dan untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Mengidentifikasikan semua pihak penyedia layanan dan mengkategorikan sesuai dengan tipe dan fungsi b. Melegalisasi perjanjian tingkat layanan didasarkan pada kepercayaan dan transparansi c. Mengidentifikasi dan mengurangi resiko yang berhubungan dengan penyedia layanan, memastikan kontrak sesuai dengan standar bisnis dan persyaratan hukum d. Menetapkan proses untuk memonitor ketersediaan layanan dan kepatuhan terhadap perjanjian a. Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh dipahami dan secara berkala diadakan forum internal b. Proses dan perangkat tersedia untuk mengukur penggunaan sistem, perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk drive, jaringan server dan network gateway c. Statistik kerja dalam proses bisnis dibuatkan laporannya sehingga pengguna akhir dapat memahami. Informasi yang uptodate selalu tersedia a. Memfokuskan kebutuhan pengelolaan tingkat layanan sesuai dengan tujuan bisnis b. Dibuatkannya standarisasi pendefinisian lingkup kerja, skala waktu, pengaturan pembiayaan, tanggung jawab serta kesepakatan bisnis c. Menetapkan tanggung jawab untuk manajemen kontrak dan vendor serta memverifikasi kualifikasi dan kapabilitas vendor level pada DS3 Dalam mengelola kinerja, kapasitas dan sumberdaya TI dilaksanakan untuk mempertahankan dan menjaga ketersediaan layanan TI. Oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan pengelolaan terhadap kinerja dan kapasitas sumberdaya dan untuk mencapai hal tersebut yang harus a. Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa biaya dan kinerja tersedia b. Mereview kinerja saat ini untuk memastikan bahwa kapasitas sumberdaya yang ada telah tercukupi c. Merencanakan secara berkala penggunaan sumberdaya untuk meminimalkan resiko d. Menyediakan kebutuhan yang diperlukan dengan memperhatikan beban kerja normal dan siklus sumberdaya TI e. Memantau secara kontinu kinerja dan kapasitan sumberdaya TI memberikan statistik kinerja dan memberitahukan terjadinya insiden seperti kekurangan sumberdaya TI. level pada DS4 Untuk memastikan layanan yang berkelanjutan Oleh karena itu diperlukan rekomendasi sebagai berikut: memastikan ketersediaan dan kesinambungan layanan-layanan TI dalam memenuhi kebutuhan bisnis perusahaan melalui kegiatan analisa resiko-resiko yang terkait TI, keamanan sistem, dan ketersediaan sumber daya yang diperlukan, INF-635

10 ISBN: SNIPTEK 2015 untuk mencapai hal tersebut yang harus a. Mengembangkan suatu kerangka kerja untuk TI yang berkelanjutan b. Memusatkan perhatian pada hal yang dianggap paling penting dalam TI yang berkelanjutan dalam rencana membangun ketahanan dan menetapkan prioritas dalam pemulihan situasi c. Menguji rencana kesinambungan TI secara teratur d. Memastikan bahwa semua pihak menerima sesi pelatihan yang teratur mengantisipasi insiden atau bencana e. Mengantisipasi pemulihan fungsi TI apabila terjadi bencana a. Menyelenggarakan pelatihan untuk memastikan kesinambungan layanan b. Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden disampaikan ke seluruh pihak terkait. level pada DS5 Memastikan keamanan sistem untuk mengamankan dan menjaga informasi perusahaan dari pihak-pihak yang tidak bertanggung jawab untuk melakukan hal-hal yang tidak diharapkan seperti hilang atau rusak. Oleh karena itu diperlukan rekomendasi sebagai berikut: memastikan bahwa sistem dalam keadaan aman dan terkendali untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Pengelolaan keamanan diserahkan kepada bagian TI sehingga tindakan pengelolaan sejalan dengan kebutuhan bisnis b. Menyusun rencana keamanan TI dan mengimplementasikannyadalam kebijakan dan prosedur keamanan yang telah dikomunikasikan kepada pihak terkait termasuk pengguna c. Mengidentifikasi semua pengguna dan aktivitas mereka dalam TI d. Melakukan tindakan preventif, detektif dan langkah-langkah perbaikan ditempat untuk melindungi sistem informasi dan teknologi dari virus, spyware dll a. Melengkapi kebijakan dan pelaksanaan keamanan dengan spesifik, secara konsisten melaksanakan analisa dampak dan resiko. b. Memanfaatkan analisis biaya/manfaat untuk mendukung penerapan keamanan c. Melakukan sertifikasi staff yang mengelola keamanan. d. Menetapkan dengan jelas pengelola serta penanggung jawab untuk keamanan TI e. Pelaporan keamanan TI terhubung dengan tujuan bisnis level pada DS6 Melakukan identifikasi dan alokasi biaya. Oleh karena itu diperlukan rekomendasi sebagai berikut: mengidentifikasi dan mengalokasikan anggaran TI untuk menjaga ketersediaan sumber daya TI yang dibutuhkan dan memastikan bahwa sumber daya tersebut digunakan secara optimal dan untuk mencapai hal tersebut yang harus a. Mendefinisikan seluruh pembiayaan TI b. Mengalokasikan biaya sesuai dengan model biaya yang didefinisikan c. Meninjau secara teratur tolok ukur kelayakan biaya mempertahankan relevansi dan kesesuaian dengan berkembangnya bisnis dan TI a. Diadakan evaluasi dan pengawasan biaya, proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik b. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala c. Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal INF-636

11 level pada DS8 Dalam Mengelola peristiwa dan bagian service. Oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan pengelolaan peristiwa /iniden dan penyediaan service desk dan untuk mencapai hal tersebut yang harus a. Menetapkan fungsi service desk yang merupakan antarmuka pengguna dengan TI untuk melaporkan, mengkomunikasikan dan menganalisis semua panggilan, pelaporan insiden,permintaan layanan maupun tuntutan informasi. Harus ada pemantauan dan prosedur eskalasi yang memungkinkan klasifikasi dan prioritas penanganan suatu insiden b. Memungkinkan service desk dapat mencatat akar penyebab suatu masalah dan memastikan bahwa tindakan yang diambil disepakati oleh user c. Melaporkan seluruh pencatatan yang dilakukan servce desk untuk mengukur kinerja dan pelayanan a. Memiliki pemahaman menyeluruh mengenai manfaat service desk diseluruh tingkatan organisasi dan fungsi tersebut dibentuk pada unit organisasi yang tepat b. Mengotomasi perangkat dan teknik dengan basis pengetahuan permaslah dan solusi yang terpusat c. Mengadakan pelatihan bagi personil service desk dan terus ditingkatkan melalui penggunaan perangkat lunak yang spesifik untuk pekerjaan tertentu. level pada DS10 Permasalahan dan insiden harus dapat dikelola dengan baik. Oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan pengelolaan permasalahanpermasalahan dan insiden terkait dengan penerapan dan pegelolaan TI di perusahaan untuk memastikan permasalahan tersebut telah ditangani dan ditindaklanjuti dengan baik untuk mencapai hal tersebut yang harus a. Melaporkan dan mengklasifikasi masalah yang telah diidentifikasi sebagai bagian dari manajemen insiden b. Menyediakan fasilitas audit trail yang memadai yang memungkinkan pelacakan, analisa dan penentuan akar masalah yang dilaporkan c. Melakukan pengelolaan yang efektif terhadap masalah dan insiden untuk meminimalkan masalah a. Mendokumentasikan metode dan prosedur b. Pemanfaatan Penggunaan perangkat terkini dalam mengelola permasalahan dan insiden c. Karena fungsi layanan informasi telah dipandang sebagai aset pencapaian tujuan TI maka pengetahuan dan keahlian harus terus disempurnakan d. Kemampuan respon terhadap insiden diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dan dilaporkan serta dianalisa untuk peningkatan secara kontinu dan dilaporkan kepada pihak stakeholder. level pada DS11 Dalam mengelola data harus diperhatikan jaminan terhadap integritas dan validasi data. Oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan pengelolaan data (proses input, pemrosesan dan output) untuk menjamin integritas, keakuratan dan validitas data, untuk mencapai hal tersebut yang harus a. Mendefinisikan dan menerapkan prosedur untuk penyimpanan data dan arsip-arsip sehingga data dapat tetap diakses dan berhasil guna b. Mendefinisikan dan menerapkan prosedur untuk backup dan pemulihan sistem, data dan dokumentasi sesuai dengan kebutuhan bisnis dan rencana kesinambungan a. Disusun prosedur lengkap pada proses pengelolaan data yang mengacu pada standar dan menerapkan internal best practise, diformalkan dan INF-637

12 ISBN: SNIPTEK 2015 disosialisasikan secara luas serta dilakukan sharing knowledge b. Indikator pencapaian tujuan dan kinerja dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategis TI. Diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data. level pada DS12 Dalam usaha mengelola keadaan fisik / fasilitas yang ada. Oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan pengelolaan dan penyediaan fasilitas yang baik, perlindungan atas seluruh peralatan dan SDM TI dari ancaman kerusakan / bencana untuk mencapai hal tersebut yang harus a. Melakukan pemilihan desain tata letak serta memperhitungkan resiko yang terkait dengan bencana alam atau kerusakan dengan mempertimbangkan unsur kesehatan dan aturan keselamatan b. Memasang perangkat khusus untuk memantau dan mengendalikan lingkungan c. Mengelola fasilitas termasuk sumberdaya dan peralatan komunikasi a. Mengendalikan dengan baik kebutuhan untuk merawat lingkungan. Daya pemulihan sumberdaya digabungkan kedalam proses manajemen resiko organisasi b. Memfasilitasi staff dan melatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan level pada DS13 Dalam mengelola operasi harus ada pengaturan terhadap fungsi dukungan TI. Oleh karena itu diperlukan rekomendasi sebagai berikut: mengelola operasional, memastikan fungsifungsi dukungan TI seperti preventive maintenace, network service management dan untuk mencapai hal tersebut yang harus a. Menetapkan dan menerapkan prosedur standar untuk operasi TI dan memastikan staf operasi terbiasa dengan semua tugas yang relevan bagi mereka b. Melakukan pengaturan penjadwalan pekerjaan, proses dan tugas-tugas c. Mendefinisikan dan menerapkan prosedur untuk memantau infrastruktur TI dan peristiwa terkait d. Menetapkan perlindungan fisik yang sesuai e. Mendefinisikan dan menerapkan prosedur untuk menjamin pemeliharaan infrastruktur. a. Melakukan koreksi terhadap penyimpangan yang mungkin terjadi. Adanya kesepakatan layanan dan perawatan formal dengan vendor b. Mengawasi penggunaan sumberdaya komputer c. Pelatihan dijalankan dan diformalkan d. Terdapat penyesuaian penuh dengan permasalahan dan manajemen didukung oleh analisa penyebab kegagalan dan eror. level pada ME1 Agar pengawasan dan penilaian kinerja TI dapat dijalankan dengan baik. Oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan pengawasan serta penilaian terhadap proses-proses TI untuk memastikan pencapaian kinerja yang diharapkan dari setiap proses TI yang telah dilakukan, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Memastikan bahwa manajemen umum menetapkan kerangka pemantauan dan pendekatan yang menetapkan cakupan, metodologi dan proses yang harus di ikuti untuk memantau kontribusi TI b. Menetapkan proses pengumpulan data yang tepat dan akurat untuk melaporkan kemajuan terhadap sasaran. c. Mengidentifikasi tindakan perbaikan berdasarkan kinerja pemantauan, penilaian dan pelaporan dengan langkah review,negosiasi, penugasan tanggung jawab untuk perbaikan dan pengelusuran hasil tindakan yang dilakukan INF-638

13 a. Pendasaran hasil pengawasan telah distandarisasi dan dinormalisasikan. Terdapat integrasi diseluruh proses TI b. Perangkat otomasi diintegrasikan dan digunakan untuk mengumpulkan dan mengawasi informasi operasional dari aplikasi, sistem dan proses c. Sebuah framework di definisikan untuk mengukur kinerja. level pada ME2 Dalam mengawasi dan menilai kerangka kontrol diperlukan rekomendasi sebagai berikut: melakukan pengawasan dan penilaian atas kerangka proses pengendalian untuk memastikan pencapaian tujuan dan kontrol untuk setiap proses TI, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Memonitor dan melaporkan efektivitas pengendalian internal TI b. Merekam informasi dan memastikan bahwa hal tersebut mengarah pada analisis penyebab kesalahan dan tindakan perbaikannya c. Mengevaluasi kelengkapan dan efektivitas manajemen pengendalian internal proses TI termasuk kebijakan dan kontrak d. Diperlukannya peninjauan lebih lanjut yang dilakukan oleh pihak ketiga baik itu oleh audit internal, eksternal, konsultan maupun lembaga sertifikasi a. Organisasi mengembangkan tingkatan toleransi untuk pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan didefinisikan untuk seluruh fungsi layanan informasi. b. Fungsi kendali internal TI dibentuk dengan tenaga profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang telah disahkan. level pada ME3 Dalam memastikan peraturan yang telah di terapkan dipatuhi dengan baik maka diperlukan rekomendasi sebagai berikut: memastikan pematuhan peraturan yang telah diterapkan, untuk mencapai hal tersebut yang harus dilakukan oleh pihak manajemen : a. Menetapkan dan menerapkan proses untuk memastikan identifikasi yang tepat antara hukum internasional, kontrak, kebijakan dan peraturan yang berkaitan dengan TI, penyediaan layanan informasi termasuk layanan pihak ketiga, organisasi TI, proses dan infrastruktur b. Melaksanakan evaluasi secara efisien sesuai dengan kebijakan TI, standar dan prosedur, termasuk persyaratan hukum dan peraturan berdasarkan bisnis dan kebijakan pemerintah. a. Ada mekanisme untuk memantau di tempat yang sesuai dengan persyaratan eksternal, menegakkan praktek internal dan melaksanakan tindakan korektif b. Standar praktek internal yang baik dimanfaatkan untuk kebutuhan tertentu seperti berdiri peraturan dan kontrak layanan yang berkelanjutan level pada ME4 Dalam usaha menetapkan pengelolaan terhadap sumberdaya TI, oleh karena itu diperlukan rekomendasi sebagai berikut: melakukan penetapan pengelolaan TI untuk mencapai hal tersebut yang harus a. Bekerja sama dengan dewan untuk mendefinisikan dan membentuk suatu kerangka tata kelola TI termasuk kepemimpinan, proses,peran dan tanggung jawab, informasi dan struktur organisasi b. Mengoptimalkan investasi, penggunaan dan alokasi aset TI, memastikan ketersediaan TI c. Segala hal yang berhubungan dengan analisa resiko TI bersifat transparan dan diketahui oleh stakeholder d. Laporan kinerja TI dilaporkan tepat waktu dan akurat a. Pemahaman Mengenai Tata Kelola IT telah dipahami dengan baik oleh seluruh level. b. Tanggungjawab telah ditentukan dan di awasi sesuai dengan SLA. INF-639

14 ISBN: SNIPTEK 2015 c. Seluruh Akuntabilitas jelas dan ada penghargaan sesuai dengan ukuran pencapaian dalam kinerja Implikasi Penelitian Berdasarkan hasil penelitian, dimana untuk domain DS dan ME tingkat kematangan tata kelola TI BPKP, secara umum masih berada pada level 3 untuk domain DS dan domain ME, meskipun ditemukan proses yang masih berada pada level dibawah 2.50 yaitu DS4, DS5 dan ME4 perlu mendapat perhatian lebih. Berdasarkan detail control objective pada literarur COBIT versi 4, dimana bisa dijadikan acuan untuk implikasi dari penelitian yang bisa diambil dari beberapa aspek yaitu : aspek manajerial (kalau sistem COBIT ini diterapkan, apa yang harus dilakukan oleh pihak manajemen BPKP) aspek kesisteman (apakah pihak manajemen harus membuat prosedur, bagaimana tindak lanjutnya, dan sebagainya) dan seraca rinci bisa dilihat pada tabel berikut : Tabel.24 Implikasi Penelitian untuk domain DS CO DS1 DS2 DS3 DS4 DS5 DS6 Rincian Contorl Objective (CO) Menetapkan dan mengelola mutu service Mengelola service pihak ketiga Mengelola kapasitas kinerja Menjamin layanan berkelanjutan Menjamin Keamanan sistem dan Mengidentifikasi dan Mengalokasikan biaya DS7 Mendidik dan melatih user DS8 DS9 DS10 mengelola peristiwa dan bagian service mengelola konfigurasi mengelola permasalahanpermasalahan Aspek manajerial Menyediakan kerangka kerja yang selaras dengan kebutuhan bisnis Menetapkan proses untuk memonitor ketersediaan layanan dan kepatuhan terhadap perjanjian Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa alokasi biaya dan kinerja tersedia Mengembangkan suatu kerangka kerja TI yang berkelanjutan Menyusun rencana keamanan TI dan mengimplementasikannya dalam kebijakan dan prosedur keamanan Meninjau secara teratur tolak ukur kelayakan biaya mempertahankan relevansi dan kesesuaian dengan berkembangnya bisnis dan TI Mengatur pelatihan secara teratur dan memperbaharui materi Menetapkan service desk fungsi Memiliki sebuah repositori yang menampung semua informasi mengenai item konfigurasi Menyediakan fasilitas audit trail yang memadai Aspek Sistem Adanya sistem pengelolaan tingkat layanan secara utuh Adanya focus pada kebutuhan pengelolaan tingkat layanan sesuai dengan tujuan bisnis Tersedianya Proses dan perangkat untuk mengukur penggunaan sistem Adanya Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis Adanya sistem pelaporan keamanan TI terhubung dengan tujuan bisnis Diadakannya evaluasi dan pengawasan biaya, proses pengelolaan biaya ditingkatkan secara kontinu Terdapat suatu program pelatihan dan pendidikan yang terfokus kepada kebutuhan serta keluaran yang terukur Pengadaan pelatihan bagi personel service desk Perangkat yang terah terotomasi Adanya pemanfaatan penggunaan perangkat terkini dalam mengelola permasalahan dan insiden DS11 mengelola data Penerapan prosedur penyimpanan data dan pengarsipan DS12 DS13 CO ME1 ME2 ME3 ME4 mengelola keadaan fisik mengelola operasi Memperhitungkan resiko yang terkait dengan bencana alam maupun kerusakan Mengatur penjadawalan pekerjaan, proses dan tugas ke urutan yang lebih efisien Dilakukannya knowledge sharing Mengintegrasikan perangkat yang ada Disesuaikan antara permasalahan dan proses manajemen ketersediaan Tabel.25 Implikasi Penelitian untuk domain ME Rincian Contorl Objective (CO) Mengawasi dan menilai kinerja TI Mengawasi dan menilai kerangka kontrol Memastikan pematuhan peraturan Menetapkan pengelolaan TI Aspek manajerial Mengidentifikasi tindakan perbaikan berdasarkan pemantauan kinerja Melakukan pengendalian internal TI Memastikan bahwa antara hukum, kontrak, kebijakan telah sesuai dengan undang undang Membentuk suatu kerangka tata kelola TI KESIMPULAN Aspek Sistem Adanya sistem pelaporan manajemen menilai kinerja TI Adanya sistem yang terintegrasi dalam proses penilaian kerangka kontrol Adanya sistem pengawasan yang memastikan peraturan dipatuhi secara benar Adanya sistem pengelolaan TI yang baik Berdasarkan hasil pembahasan yang telah disampaikan dalam bab sebelumnya, penulis dapat menarik kesimpulan sebagai berikut : 1. Hasil penelitian tingkat kematangan tata kelola TI di BPKP Pusat saat ini berada pada level 3 untuk domain DS dan ME 2. Tingkat kematangan (maturity level) tata kelola TI yang dilakukan di BPKP pusat adalah : Domain DS dan ME secara umum berada pada level 3 (defined process) dimana disimpulkan : a. Prosedur sudah standar dan terdokumentasi dan dikomunikasikan melalui pelatihan b. Pelaksanaan penerapannya diserahkan pada individu sehingga penyimpangan tak mungkin akan diketahui c. Prosedurnya belum sempurna, sekedar formalitas atas praktek yang ada. Meskipun demikian masih terdapat tingkat kematangan yang berada di bawah level 2.50 yaitu pada proses mendefinisikan layanan yang berkelanjutan (DS4), menjamin keamanan sistem (DS5) serta belum idealnya penetapan pengelolaan TI (ME4) yang perlu mendapat perhatian khusus dari pihak manajemen TI 3. Perbaikan tata kelola TI di BPKP Pusat ini, untuk domain DS dan ME adalah dengan meningkatkan tingkat kematangan sampai pada level 4 (managed and measurable) berdasarkan misi, visi, tujuan dan arah pengembangan Sistem Informasi pada BPKP Pusat ini, yaitu : a. Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur INF-640