Makalah Nomor: KNSI-423 PENILAIAN TATA KELOLA TI BERDASARKAN EDM01 COBIT 5 Siti Sarah Abdullah 1, RR. Isni Anisah P. 2 1 Teknik Informatika, Fakultas Teknik, Universitas Suryakancana Cianjur 2 Politeknik Piksi Ganesha Bandung 1 sarah0040057@live.com, 2 isnikng81@gmail.com, Abstrak COBIT 5 digunakan sebagai kerangka kerja baik teknis maupun non-teknis untuk menilai tata kelola dan manajemen informasi terkait teknologi dan perspektif. COBIT 5 memiliki lima prinsip dasar dengan dua fungsi area yaitu tata kelola enterprise Teknologi Informasi terdiri dari domain EDM dan manajemen enterprise TI yang terdiri dari domain APO, BAI, DSS, MEA. Didalam setiap domain diturunkan lagi menjadi beberapa sub domain. Penelitian berfokus membahas satu sub domain yaitu EDM01 mengenai pengaturan dan pemeliharaan atata kelola dengan menilai berdasarkan PAM (Process Assessment Modelling) yang diadopsi dari ISO/IEC 15504. Penilaian tersebut diimplementasikan pada Rumah Sakit XXX untuk mengetahui kualitasnya. Hasil penelitian dapat disimpulkan bahwa penilaian dapat diakukan untuk menguji kualitas suatu instansi. Kata kunci : COBIT 5, PAM, EDM01 1. Pendahuluan Teknologi Informasi (TI) mendorong kesuksesan di abad 21. Disisi lain tata kelola dan tantangan manajemen di perusahaan semakin kompleks. COBIT 5 hadir sebagai salah satu solusi untuk menanggulangi itu semua. COBIT 5 memiliki lima prinsip dasar. Kelima prinsip tersebut dapat menyesuaikan diri dengan semua skala enterprise, baik komersial, non profit, maupun layanan publik. Domain yang ada pada COBIT 5 dibagi kedalam 2 bagian yaitu tata kelola enterprise TI terdiri dari domain EDM, manajemen enterprise TI terdiri dari domain APO, BAI, DSS, MEA. Penilaian terhadap COBIT 5 menggunakan PAM (Process Assessment Model) yang diadopsi dari ISO/IEC 15504. Penelitian berfokus pada penilaian domain EDM01 (pengaturan dan pemeliharaan tata kelola). Penelitian ini diharapkan dapat memudahkan dalam menilai kualitas enterprise, dan lebih jauhnya diharapkan enterprise mempunyai solusi untuk meningkatkan kualitasnya. 2. Landasan Teori 2.1 Prinsip COBIT 5 COBIT 5 menyediakan framework menyeluruh yang membantu enterprise mencapai tujuan dalam tata kelola dan manajemen enterprise TI. COBIT 5 memungkinkan TI melakukan tata kelola dan manajemen secara holitstik untuk keseluruhan enterprise, mengelola bisnis dari ujung ke ujung, bertanggung jawab pada keseluruhan area fungsi TI, dan menyediakan fasilitas dalam cakupan stakeholder internal dan eksternal. COBIT 5 mempunyai 5 prinsip [2]: Gambar 72. Prinsip COBIT 5 [2] COBIT 5 berdasarkan lima prinsip kunci pada Error! Reference source not found. untuk tata kelola dan manajemen TI [2]: 1. Prinsip 1: Menemukan kebutuhan stakeholder Enterprise melakukan sebuah value untuk stakeholder dengan mengelola keseimbangan (balance) antara realisasi keuntungan dan optimisasi resiko serta penggunaan sumber daya. COBIT 5 menyediakan semua proses yang dibutuhkan untuk mendukung pembuatan value bisnis melalui penggunaan TI. Karena setiap enterprise memiliki tujuan yang berbeda, enterprise dapat menggunakan COBIT 5 sesuai dengan kebutuhannya melalui penterjemahan tujuan enterprise level atas kedalam
tujuan TI yang spesifik dan memetakannya kedalam proses dan praktik spesifik. 2. Prinsip 2: Mencakup ujung ke ujung enterprise COBIT 5 mengintegrasikan tata kelola enterprise TI ke tata kelola enterprise: - Melingkupi semua fungsi dan proses enterprise. COBIT 5 tidak hanya berfokus pada fungsi TI, tapi menjadikan informasi dan teknologi yang berkaitan sebagai aset yang dibutuhkan seperti aset lain yang ada didalam enterprise - Mencakup tata kelola dan manajemen yang berelasi dengan TI yang mencakup ujung ke ujung, internal dan eksternal. arahn melalui prioritas dan pembuatan keputusan; memantau performansi dan kepatuhan sesuai dengan arahan dan tujuan. - Manajemen Manajemen merencanakan, membangun, menjalankan, dan memantau aktivitas selaras dengan arahan yang diatur dalam tata kelola untuk mencapai tujuan enteprise. 2.2 COBIT 5 Process References Model Proses cobit terdiri dari dua proses yaitu proses tata kelola dan proses manajemen [2]. 3. Prinsip 3: Mengaplikasikan yang tunggal, mengintegrasikan framework Banyak standar dan praktik terbaik yang berkaitan dengan TI, semuanya menyediaka panduan dalam bagian dari aktivitas TI. COBIT 5 selaras dengan standar dan framework lain yang relevan pada level atas, serta melyani cakupan framework untuk tata kelola dan manajemen enterprise TI. 4. Prinsip 4: Mengaktifkan pendekatan holistic Tata kelola dan manajemen TI yang efektif dan efisien yang dibutuhkan dalam pendekatan holistik, membutuhkan komponen yang saling berinteraksi. COBIT 5 mendefinisikan enabler untuk mendukung implementasi sistem tata kelola dan manajemen enterprise TI secara komprehensif. Enabler mendefinisikan apapun yang dapat membantu mencapai tujuan enterprise. Framework COBIT 5 memiliki 7 kategori enabler [1]: - Prinsip, kebijakan, framework - Proses - Struktur organisasi - Budaya, etika, dan perilaku - Informasi - Layanan, infrastruktur, dan aplikasi - Manusia, kemampuan, dan kompetensi 5. Prinsip 5: Memisahkan tata kelola dengan manajemen Framework COBIT 5 membuat perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin tersebut memiliki tipe aktifitas yang berbeda, membutuhkan struktur organisasi yang berbeda, dan melayani tujuan yang berbeda. COBIT 5 melihat kunci tata kelola dan manajemen sebagai berikut: - Tata kelola Tata kelola dapat memastikan kebutuhan stakeholder, kondisi dan pilihan dievaluasi untuk keseimbangan tujuan enterprise yang akan dicapai; mengatur Gambar 73. Area Kunci Tata Kelola dan Manajemen COBIT 5 [2] Keterangan mengenai gambar 2: - Tata kelola: berisi lima proses tata kelola; yang masing-masing proses dievaluasi, diarahkan, dimonitor (EDM) - Manajemen: berisi empat domain, selaras dengan area tanggung jawab untuk merencanakan, membangun, menjalankan, dan mengawasi (PBRM), dan menyediakan cakupan TI dari ujung ke ujung. Domain ini merupakan evolusi dari domain COBIT 4.1 dan struktur proses. Berikut nama domainnya: - Align, Plan, Organise (APO) - Build, Acquire, and Implement (BAI) - Deliver, Service, and Support (DSS) - Monitor, Evaluate, and Assess (MEA) 2.3 EDM01. Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola Tujuan dari EDM01 adalah menganalisa dan mengartikulasikan persyaratan untuk tata kelola enterprise TI, serta pilah struktur, prinsip, proses, dan praktek yang efektif, dengan kejelasan tanggung jawab dan kewenangan untuk mencapai misi, tujuan, dan sasaran enterprise. Pernyataan tujuan prosesnya adalah Menyediakan pendekatan yang terintegrasi dan selaras secara konsisten dengan pendekatan tata kelola enterprise. Untuk dapat memastikan bahwa TI yang terkait dengan keputusan dibuat sejalan dengan
strategis dan sasaran enterprise, pastikan bahwa TI yang terkait dengan proses diawasi secara efektif dan sasaran, sesuai dengan persyaratan hukum dan peraturan. EDM01 terdiri dari: EDM01.01 Evaluasi Sistem Tata Kelola EDM01.02 Arahan Sistem Tata Kelola EDM01.03 Pengawasan Sistem Tata kelola 2.4 Model Proses Kapabilitas COBIT 5 Model Proses Kapabilitas COBIT 5:
Gambar 74. COBIT 5 process Capability Model Terdapat 6 level kapabilitas dimana proses dapat dicapai, termasuk prosees yang tidak lengkap: - 0 incomplete process proses tidak diimplementasikan atau gagal untuk mencapai tujuan proses. Pada level ini terdapat sedikit atau tidk ada pencapaian sistematik untuk tujuan proses. - 1 performed process (one atribute) proses yang diimplementasikan mencapai tujuan proses. - 2 managed process (two attributes) performansi yang digambarkan sebelumnya, sekarang diimplementasikan dan dikelola (direncanakan, diawasi, dan disesuaikan) dan work product dibangun, dikontrol dan dikelola. - 3 established process (two attributes) proses yang dikelola yang digambarikan sebelumnya, sekarang diimplementasikan menggunakan proses yang dtemukan yang tepat mencapai keluaran proses (process outcome). - 4 predictable process (two attributes) proses yang telah yang digambarkan sebelumya, sekarang dioperasikan dengan mencapai tujuan keluaran proses yang masih terbatas. - 5 optimising process (two attributes) proses yang telah diprediksikan yang digambarkan sebelumnya, sekarnag secara berkelanjutan diperbaiki agar dapat bertemu dengan kondisi sekarang dan diproyeksikan ke tujuan bisnis. - 2.5 Penilaian Proses Kapabilitas COBIT 5 Penilaian kapabilitas COBIT 5 diadopsi dari ISO/IEC 15504 yang menilai dengan tujuan [3]: - Memungkinkan tubuh tata kelola dan manajemen menjadi acuan kapabilitas proses. - Memungkinkan pengecekan level atas untuk kondisi as-is dan to-be enterprise agar dapat mendukung investasi tata kelola dan manajemen untuk membuat keputusan agar dapat melakukan perbaikan proses terus menerus. l kapabilitas [5]: - Mempersiapkan analisis kesenjangan dan memperbaiki rencana informasi untuk mendukung proyek perbaikan. - Mempersiapkan tata kelola dan manajemen untuk mengukur dan mengawasi peringkat penilaian pada kapabilitas yang ada. Penilaian dilakukan mulai dari kapabilitas kematangan level satu dan seterusnya. Untuk mencapai level 1, dapat dilakukan dengan cara: 1. Meninjau hasil proses yang digambarkan dalam deskripsi proses rinci dengan menggunakan skala peringkat yang dimiliki ISO/IEC 15504 untuk mengetahui derajat tujuan dicapai. Skala tersebut berdasarkan peringkat: N (Not achieved) ada sedikit atau bahkan tidak ada bukti pencapaian atribut yang ditemukan dalam menilai proses. P (Partially achieved) ada beberapa bukti pencapaian yang ditemukan. Aspek pencapaian atribut tidak terprediksi (15% - 50 % pencapaian) L (Largely achieved) ada bukti pendekatan sistematis, pencapaian signifikan, atribut terdefinisi dalam proses penilaian. Beberapa kelemahan masih ada dalam proses penilain (50% - 85% pencapaian) F (Fully achieved) ad bukti pendekatan lengkap dan sistemtis, pencapaian penuh, atribut terdifinisi dalam proses penilaian. Tidak ada kelemahan yang signifikan dalam penilaian proses (85%-100% pencapaian) 2. Praktik proses (tata kelola maupun manajemen) dapat dinilai dengan menggunakan skala peringkat yang sama, mengungkapkan sejauh mana praktek dasar diterapkan. 3. Untuk lebih menyempurnakan nilai, work product dapat dipertimbangkan untuk menentukan sejauh mana atribut penilaian tetentu telah dicapai. Untuk proses penilaian level kapabilitas lebih atas, praktek secara umum dilakukan berdasarkan ISO/IEC 15504:2. Berikut merupakan peringkat atribut proses yang selaras dengan leve
Gambar 75. Atribut Proses Selaras dengan Level[5] 3. Pembahasan Referensi mengenai hubungan proses secara rinci mengacu pada [2] yang didalamnya terdapat process identification, process description, process purpose statement, goal cascade information, process goal and metric, RACI Chart, detail description of the process practice, related guidance. Untuk dapat menilai, maka acuan tersebut dipetakan terhadap PAM dengan mempertimbangkan Outcomes, base practice, Work produk dalam pam tersebut. Hasil pemetaan dapat dilihat pada tabel 1.
EDM01 RACI Chart Praktek Tata Kelola Kunci Board Chief Executive Officer Chief Finance Officer Chief Operating Officer Business Executives Business Process Owners Strategy Executive Committee Steering (Programmes/Projects) Commitee Tabel 1. RACI Chart [2] Project Management Office Value Management Office Chief Risk Officer Chief Information Security Officer Architecture Board Enterprise Risk Commitee Head Human Resources Compliance Audit Chief Information Officer Head Architect Head Development Head IT Operations Head IT Administration Service Manager Information Security Manager Business Continuity Manager Privacy Officer EDM01. 01. Evaluasi sistem tata kelol A R C C R R C C C C R C C C A R Proses Proses (Os) Tabel 2. Pemetaan COBIT 5 EDM01 terhadap PAM ID EDM01 Nama Tujuan Base Practice (BP) Outcomes Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola Analisa dan artikulasikan persyaratan untuk tata kelola enterprise TI, serta pilah struktur, prinsip, proses, dan praktek yang efektif, dengan kejelasan tanggung jawab dan kewenangan untuk mencapai misi, tujuan, dan sasaran enterprise. N Deskripsi omor E Prinsip TI diarahkan oleh tata kelola perusahaan sehingga pembuatan keputusan DM01-O1 dari IT selaras dengan tujuan perusahaan. E Pertimbangan Peraturan, hukum yang berlaku dalam perusahaan, serta kewajiban DM01-O2 kontrak dengan pihak eksternal E Telah ada ketentuan untuk menerapkan tata kelola TI termasuk pengambilan DM01-O3 keputusan N Deskripsi Dukungan umber E Menganalisa dan mengidentifikasi faktor lingkungan EDM01-O2 DM01-BP1 internal dan eksternal (aspek legal, regulasi dan kontrak obligasi) serta tren bisnis yang dapat mempengaruhi perancangan tata kelola. EDM01-BP2 Menentukan pentingnya TI serta perannya terhadap bisnis. EDM01-O1 EDM01-BP3 Mempertimbangkan peraturan, hukum, serta kewajiban kontrak pihak EDM01-O2 eksternal, dan menentukan bagaimana menerapkan dalam tata kelola TI. EDM01-BP4 Menyelaraskan penggunaan etika dan pengelolaan informasi serta EDM01-O2 dampaknya terhadap masyarakat, lingkungan, dan ketertarikan pemangku kepentingan terkait dengan arahan, tujuan, serta sasaran enterprise. EDM01-BP5 Menentukan implikasi dari lingkungan pengendalian enterprise secara keseluruhan terkait dengan TI. EDM01-BP6 Mengartikulasikan prinsip yang akan memandu rancangan tata kelola dan pengambilan keputusan TI. EDM01-BP7 Memahami budaya pengambilan keputusan enterprise dan menentukan model pembuatan keputusan untuk TI. EDM01-BP8 Menentukan delegasi wewenang pada tingkat yang tepat, termasuk aturan ambang batas untuk keputusan TI.
EDM01-BP9 EDM01-BP10 EDM01-BP11 EDM01-BP12 EDM01-BP13 EDM01-BP14 EDM01-BP15 EDM01-BP16 EDM01-BP17 EDM01-BP18 Mengkomunikasikan prinsip tata kelola TI dan setuju dengan manajemen eksekutif dalam cara membangun kepemimpinan informasi dan komitmen. Membangun atau mendelegasikan pembentukan struktur tata kelola, proses, serta praktek sesuai dengan prinsip perancangan yang telah disepakati. Mengalokasikan tanggung jawab, wewenang, dan akuntabilitas sesuai dengan prinsip perancangan tata kelola yang telah disepakati, model pembuatan keputusan, dan delegasi. Menjamin bahwa mekanisme komunikasi dan pelaporan menyediakan tanggung jawabnya atas pengawasan dan pengambilan keputusan dengan informasi yang tepat. Mengarahkan staf untuk mengikuti pedoman yang relevan untuk perilaku etis dan profesional dan memastikan bahwa konsekuensi ketidakpatuhan diketahui dan ditegakkan. Mengarahkan pembentukan sistem penghargaan untuk mempromosikan budaya yang diinginkan. Menilai efektivitas dan performansi para pemangku kepentingan yang didelegasikan untuk tanggung jawab dan otoritas untuk tata kelola enterprise TI. Menilai secara berkala apakah mekanisme tata kelola TI yang telah disetujui (struktur, prinsip, proses, dsb) dibangun dan beroperasi secara efektif. Menilai efektifitas rancangan tata kelola dan mengidentifikasi aksi untuk memperbaiki setiap penyimpangan yang ditemukan. Menjaga pengawasan sejauh mana TI memenuhi kewajiban (peraturan, undang-undang, hukum umum, kontrak), kebijakan internal, standar dan pedoman profesional. EDM01-O2 EDM01-O1 EDM01-O1, EDM01-O1, EDM01-O2 EDM01-BP19 Menyediakan pengawasan terhadap efektivitas, dan kepatuhan, pengendalian sistem enterprise. EDM01-O2, EDM01-BP20 Mengawasi mekanisme secara teratur dan rutin untuk memastikan EDM01-O2 bahwa penggunaan TI sesuai dengan obligasi Work Product (WP) Input Nomor Deskripsi Dukungan MEA03.02 Komunikasi perubahan pemenuhan persyaratan EDM01-O1, Diluar COBIT Tren lingkungan bisnis EDM01-O1, EDM01-O2 Diluar COBIT Regulasi EDM01-O1, Diluar COBIT Tata kelola/ model pembuatan keputusan Diluar COBIT Konstitusi/ anggaran Rumah Tangga/ Statuta organisasi EDM01-O1, Output Nomor Deskripsi Input ke Dukungan EDM01-WP1 Tata kelola enterprise memandu Semua EDM, APO01.01, APO01.03 EDM01-O1 prinsip EDM01-WP2 Model Pembuatan Keputusan Semua EDM, APO01.01 EDM01-O2 EDM01-WP3 Level Otoritas Semua EDM, APO01,02
4. Implementasi Pola EDM01 Implementasi Pola EDM01 dapat diterapkan pada berbagai instansi, caranya dengan memberikan kuesioner kepada pihak yang berwenang. Pembuatan kuesioner dibuat dengan mengacu pada pemetaan tabel 1. Pihak yang berwenang dapat mengacu pada Tabel 2. RACI Chart. Berdasarkan hasil kuesioner pada Rumah Sakit XXX didapat menunjukan nilai masih pada level 0 karena masih banyak hasil kuesioner yang bernilai N (Null). Seleksi penilaian pada COBIT 5 lebih ketat dibanding sebelumnya, sehingga untuk mencapai level 1 saja, persyaratan banyak yang harus terpenuhi. 5. Kesimpulan dan Saran Rolling Meadows, Illionis, USA. [3] ISACA. (2012). COBIT5: A Business Framework for the Governance and Management of Enterprise IT. 2, Rolling Meadows, IL, USA. [4] IT Governance Network. (2011). Summary of Differences between CobiT 4.1 and COBIT 5. Dipetik Nopember 16, 2011, dari http://www.itgovernance.com: http://www.itgovernance.com/changes%20in% 20cobit5.pdf [5] Lewis, B. D. 2012. Using the New COBIT Assessment Program to Perform IT Process Assessment. 5.1 Kesimpulan Berdasarkan hasil penelitian diatas, dapat disimpulkan bahwa: 1. Domain EDM01 COBIT 5 dapat dipetakan dengan PAM dengan memahami kedua konsep tersebut kemudian dicari sinkronisasi pada keduanya. 2. Hasil implementasi penilaian berdasarkan pemetaan EDM01 COBIT 5 yang diterapkan pada Rumah Sakit XXX masih berada pada level 0 karena terlalu banyak N (Null) pada rumah sakit tersebut. 5.2 Saran Saran untuk penelitian yang akan datang: 1. Rumah Sakit XXX dapat meningkatkan kualitas menjadi level 1 apabila persyaratan yang masih bernilai N dapat ditingkatkan menjadi L. Pertanyaan yang masih bernilai L ditingkatkan menjadi P, dan pertanyaan yang bernilai L ditingkatkan menjadi F. 2. Mengembangkan penilaian untuk domain lain selain EDM01. Daftar Pustaka: [1] Whittington, O. Ray. (2013). CPA Exam Review : Business Environment and Concept, Wiley, NJ. [2] ISACA. (2012). COBIT 5: Enabling Process.