Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT ...

Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia)

Suryawan Sudibyo, Machmudin Eka Prasetya

Program Studi S1 Akuntansi Reguler Fakultas Ekonomi Universitas Indonesia

Email: [email protected]

Abstrak

Skripsi ini membahas tentang penilaian tata kelola teknologi informasi pada PT Kereta Api Indonesia (persero) yang berdasarkan pada kerangka kerja COBIT khususnya pengukuran maturity level. Hal ini dilakukan karena tata kelola teknologi dibutuhkan untuk memastikan bahwa investasi teknologi informasi yang dilakukan oleh perusahaan dapat membantu dan selaras dengan tujuan bisnis perusahaan. Berdasarkan hasil pemetaan tujuan bisnis PT Kereta Api Indonesia (persero) dengan tujuan bisnis COBIT terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. PT Kereta Api Indonesia (persero) memiliki 4 proses pada level Managed and Measurable, 11 proses pada level defined, 13 proses pada level repeatable but intuitive dan 2 proses level pada level ad-hoc Kata Kunci: COBIT 4.1, Tata Kelola Teknologi Informasi, maturity level

Evaluation of Information Technology Governance Based on COBIT Framework (Study Case on PT Kereta Api Indonesia)

Abstract

This paper discusses about the assessment of information technology governance on PT Kereta Api Indonesia (persero) based on COBIT framework and specifically with maturity level models. Evaluation of IT governance is needed to make sure that the investment made by organization is aligned with their business goals. Mapping of PT Kereta Api Indonesia’s business goals with COBIT’s business goals identified 30 IT Process and 183 Control Objectives. PT Kereta Api Indonesia has 4 process at level managed and measurable, 11 process at level defined, 13 process at level repeatable but intuitive and 2 process at level ad-hoc Keywords: COBIT 4.1, IT Governance, maturity level Pendahuluan Teknologi Informasi (TI) berkembang pesat seiring dengan berkembangnya ilmu pengetahuan

khususnya dalam bidang teknologi. Perkembangan yang pesat ini menjadikan penerapan

teknologi informasi pada berbagai organisasi menjadi sebuah hal yang vital dan penting.

Penerapan teknologi informasi dipandang sebagai sebuah sarana dalam meningkatkan

efisiensi dan efektivitas kinerja organisasi yang dapat membantu organisasi dalam menjalani

persaingan. Walau begitu penerapan teknologi informasi merupakan sebuah kegiatan yang

meliputi banyak faktor seperti biaya, waktu dan fungsi, melihat hal tersebut maka penerapan

Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013

teknologi harus dilakukan secara berhati-hati agar dapat mencapai tujuannya dan berfungsi

secara optimal.

Peranan teknologi informasi yang signifikan ini membuat manajemen perusahaan untuk lebih

fokus dalam mengelola penggunaan teknologi informasi. Hal ini dikarenakan dalam

implementasi teknologi informasi terdapat berbagai kemungkinan buruk yang mungkin terjadi

seperti kerugian bisnis, kerusakan reputasi, melemahkan kemampuan kompetisi perusahaan,

teknologi yang digunakan sudah usang dan kebocoran data (ITGI, 2003). Hal-hal tersebut

mendorong perusahaan agar lebih fokus dalam mengambil kebijakan-kebijakan yang

berhubungan dengan teknologi informasi perusahaan.

Oleh karena itu dalam mengelola teknologi informasi perusahaan dapat menerapkan IT

Governance agar pengelolaan teknologi informasi dapat lebih efektif. Dalam penelitiannya

Lunardi et al. (2013) menemukan bahwa perusahaan yang menerapkan IT Governance

meningkat performanya khususnya pada profitabilitas perusahaan. IT Governance adalah

sebuah bagian integral dari Corporate Governance yang terdiri dari kepemimpinan, struktur

organisasi serta proses untuk memastikan bahwa tujuan perusahaan tercapai dari penerapan

teknologi informasi (ITGI, 2003). Dalam penerapannya tata kelola teknologi informasi dapat

menggunakan framework COBIT, yakni sebuah framework yang dikeluarkan oleh

Information Technology Governance Institute (ITGI). Framework ini dapat mengarahkan

perusahaan agar penerapan teknologi informasi yang dilakukan mencapai tujuannya.

Penelitian ini mengangkat kasus pada PT KAI (Persero) Tbk dimana saat ini Perusahaan ini

sedang dalam tahap untuk menerapkan Tata Kelola TI dalam berbagai bagian perusahaan.

Walau penerapan dan pengembangan teknologi informasi terus dilakukan oleh PT KAI hal ini

belum dapat menjamin bahwa dalam pelaksanaannya penerapan ini dapat memberikan value

dan memenuhi objektif perusahaan oleh karena itu penulis ingin melakukan pengukuran

pengelolaan teknologi informasi menggunakan framework COBiT 4.1 pada perusahaan.

Tujuan penelitian ini adalah mengidentifikasi praktik tata kelola teknologi informasi pada PT

KAI, mengukur kinerja tata kelola teknologi informasi berdasarkan maturity model

berdasarkan COBIT, memperkenalkan kerangka kerja COBIT kepada manajemen mengenai

proses dan kerangkanya, agar perusahaan memiliki gambaran yang lebih jelas mengenai

kontrol dan audit TI.


Tinjauan Teoritis

Menurut ITGI (2003) tata kelola teknologi informasi adalah “IT governance is the

responsibility of the board of directors and executive management. IT is an integral part of

enterprise governance and consists of the leadership and organizational structures and

processes that ensure that the organization’s TI sustains and extends the organization’s

strategies and objectives.” Dari uraian tersebut tata kelola teknologi informasi adalah sebuah

tanggung jawab direksi dan manajemen yang merupakan sebuah bagian integral dari tata

kelola perusahaan (corporate governance), tata kelola teknologi informasi terdiri dari

kepemimpinan, struktur organisasi serta proses yang berguna untuk menjamin pelaksanaan

dan pengelolaan teknologi informasi sesuai dengan strategi dan tujuan perusahaan.

Sedangkan menurut Van Grembergen (2002) “IT Governance is the organizational capacity

exercised by the Board, executive management and IT management to control the formulation

and implementation of IT strategy and in this way ensure the fusion of business and IT.” Dari

uraian tersebut tata kelola teknologi informasi adalah sebuah bentuk kapasitas organisasi yang

dilakukan oleh direksi, manajemen dan divisi teknologi informasi untuk mengontrol,

memformulasi dan melaksanakan strategi teknologi informasi yang dapat menggabungkan

bisnis dan teknologi informasi secara utuh.

Menurut Weill and Ross (2004) tata kelola teknologi adalah: “Specifying the decision rights

and accountability framework to encourage desirable behavior in using IT.” Dari pengertian

tersebut tata kelola teknologi informasi merupakan penetapan hak pengambilan keputusan dan

framework akuntabilitas agar tercapainya penerapan teknologi informasi yang sesuai dengan

keinganan.

Menurut Luftman (1996) tata kelola teknologi adalah: “IT governance is the selection and

use of relationships such as strategic alliances or joint ventures to obtain key IT

competencies. This is analogous to business governance, which involves make- vs.-buy

choices in business strategy. Such choices cover a complex array of interfirm relationships,

such as strategic alliances, joint ventures, marketing exchange, and technology licensing.”

Dari pengertian tersebut tata kelola teknologi informasi dapat dianalogikan seperti tata kelola

perusahaan yang berfokus pada kompetensi teknologi informasi yang melibatkan berbagai

pilihan dalam strategi bisnis. Pilihan tersebut meliputi berbagai hubungan yang kompleks

seperti strategic alliances, joint ventures dan lisensi teknologi.


Dari berbagai definisi yang ada dapat disimpulkan bahwa tata kelola teknologi menekankan

pada hubungan antara strategi teknologi informasi dan kebijakan strategis perusahaan agar

tercapai keselarasan selain itu tata kelola teknologi informasi mendorong keterlibatan peran

direksi dan pihak-pihak yang bertanggung jawab dalam penerapan kebijakan teknologi

informasi.

Control Objectives for Information and Related Technology (COBIT) adalah sebuah

framework yang berfokus pada tata kelola teknologi informasi dan di buat oleh ISACA,

sebuah badan internasional yang berfokus pada tata kelola teknologi informasi dan merupakan

afiliasi dari IFAC (International Federation of Accountants). COBIT berguna sebagai sebuah

alat yang dapat membantu manajer dalam mengelola celah antara persyaratan kontrol,

masalah teknikal dan risiko bisnis.

COBIT memberikan panduan yang jelas mengenai praktik dan kebijakan yang baik dalam

seluruh domain dan kerangka proses serta menyajikan aktivitas dalam bentuk yang terstruktur

dan terarah. COBIT lebih fokus terhadap kontrol bukan kepada eksekusi. Hal ini akan

membantu optimisasi dari investasi teknologi informasi, memastikan penyampaian servis dan

menyajikan sebuah pengukuran untuk dapat menilai apakah segala implementasi teknologi

informasi berjalan sesuai harapan atau tidak.

COBIT mendefinisikan aktivitas ke dalam model proses yang dibagi ke dalam 4 domain yang

dibagi berdasarkan tanggung jawab perencanaan, pembuatan, pelaksanan dan pengukuran,

keempat domain ini adalah:

Perencanaan dan Pengorganisasian (Plan and Organise)

Domain ini meliputi strategi dan taktik serta memperhatikan identifikasi cara agar teknologi

informasi dapat memberikan kontribusi sebaik-baiknya terhadap pencapaian tujuan bisnis.

Realisasi dari strategi harus direncanakan, dikomunikasikan dan dikelola dalam berbagai

sudut pandang

Pengadaan dan implementasi (Acquire and Implement)

Untuk dapat merealisasikan strategi TI, solusi TI harus dapat diidentifikasi, dikembangkan

atau didapatkan serta harus diimplementasikan dan diintegrasikan ke dalam proses bisnis.

Selain itu, pemeliharaan dari sistem yang sudah ada juga termasuk kedalam domain ini untuk

memastikan bahwa solusi yang ada terus memenuhi tujuan bisnis.


Penyampaian Layanan dan Dukungan (Deliver and Support)

Domain ini memperhatikan penyampaian sesungguhnya dari layanan yang diperlukan dan

mencakup mencakup penyediaan layanan, manajemen keamanan dan kelangsungan,

dukungan layanan pada pengguna, manajemen data dan fasilitas operasional.

Monitor dan Evaluasi (Monitor and Evaluate)

Domain ini berfokus pada penilaian dari seluruh proses TI berdasarkan dari kualitas dan

kepatuhan terhadap persyaratan kontrol. Domain ini membahas masalah performa,

pengawasan internal kontrol, kepatuhan peraturan dan tata kelola

Profil Perusahaan

PT Kereta Api Indonesia (Persero) adalah Badan Usaha Milik Negara (BUMN) yang bergerak

dalam bidang jasa pengangkutan kereta api. Pelayanan yang diberikan oleh PT KAI meliputi

jasa angkutan penumpang dan barang serta jasa non-angkutan berupa penyewaan asset seperti

hotel dan bangunan. PT KAI dimiliki seluruhnya oleh pemerintah

PT KAI mulai fokus mengembangkan sistem teknologi informasi perusahaan pada tahun

2010, PT KAI melakukan transformasi secara besar-besaran di bidang TI dan dituangkan

dalam master plan pengembangan TI 2011-2015. Pada tahun 2011 PT. Kereta Api Indonesia

(KAI) (Persero) meluncurkan sebuah aplikasi yang bisa memonitoring seluruh jaringan dan

infrastruktur IT milik PT. KAI yang terintegrasi dengan Network Operation Center (NOC).

Aplikasi yang diberi nama MONALISA ini, bisa melihat secara langsung dan komprehensif

seluruh jaringan dan infrastruktur yang berada di Daerah Operasi (Daop) dan Divisi Regional

(Divre) serta Kantor Pusat PT. KAI. Sehingga jika terdapat gangguan, NOC bisa dengan

segera dilakukan perbaikan. Dalam aplikasi ini, bisa semakin mudah untuk melihat sejauh

mana penggunaan berbagai infrastruktur jaringan IT, yang sebelumnya pemeriksaan

dilakukan secara manual. Monalisa sendiri merupakan singkatan dari “Monitoring Aplikasi

Infrastuktur dan Service Level Agreement (SLA).

Selain itu pada tahun 2011 juga PT Kereta Api Indonesia juga mulai menerapkan Enterprise

Resource Planning yakni SAP. Modul yang digunakan mulai tahun 2011 antara lain adalah

Finance and Controlling (FICO) dan Human Resource (HR). Selain itu pada tahun 2011 PT

KAI juga meluncurkan sistem penjualan tiket berbasis online yang bernama Rail Ticket


System (RTS) guna memperlancar dan mempermudah proses penjualan tiket kepada end-

user.

Pada tahun 2012 selanjutnya PT KAI menerapkan beberapa modul SAP lainnya yakni

Material Management (MM), Plant Maintenance (PM), Payroll dan Case Management.

Setalah itu di tahun 2013 ini PT KAI berencana menerapkan modul Sales & Distribution,

perluasan cakupan Plant Maintenance dan Fund Management. PT KAI juga menggunakan

smartsheet sebagai tools dalam melaksanakan proyek yang ada. Di tahun 2013 ini juga PT

KAI sedang melakukan sertifikasi dibagian IT Security yakni ISO 27002. PT KAI bekerja

sama dengan consulting security dalam rangka sertifikasi tersebut.

Metodologi Penelitian

Penelitian ini akan mendeskripsikan penerapan tata kelola teknologi informasi pada PT KAI

menggunakan pendekatan studi kasus yang bersifat evaluatif.

Uma dan Roger (2010) mendefinisikan studi kasus sebagai sebuah analisis kontekstual secara

mendalam mengenai suatu situasi,studi kasus bersifat kualitatif secara umum dan berguna

untuk mengaplikasikan solusi, memahami beberapa fenomena dan menghasilkan teori

lanjutan untuk pengetesan empiris. Pendekatan studi kasus ini menghasilkan sebuah analisa

yang utuh mengenai sebuah objek yang berdasarkan kerangka analisis tertentu

Desain penelitian yang akan dilakukan adalah seperti yang tergambar dalam gambar 1

Gambar 1: Tahapan Penelitan

Iden%fikasi Business Goals

Iden%fikasi IT Goals

Iden%fikasi IT Process

Iden%fikasi control-‐objec5ves

Pengukuran maturity level


Tahapan pertama adalah mengidentifikasi tujuan bisnis perusahaan yang di sepadankan

dengan tujuan bisnis COBIT. Tujuan bisnis PT KAI dapat dilihat dari Rencana Jangka

Panjang Perusahaan yang kemudian ditranslasi kedalam tujuan bisnis COBIT.

Tahapan kedua pada tahap ini dilakukan COBIT business goals to IT goals mapping, peneliti

mengidentifikasi tujuan dari pengembangan TI berdasarkan tujuan bisnis perusahaan yang

sebelumnya telah ditentukan. Hasilnya adalah IT Goals yang harus dipenuhi oleh perusahaan

Tahapan ketiga pada tahap ini dilakukan COBIT IT Goals to IT process mapping, peneliti

mengidentifikasi IT Process berdasarkan IT Goals yang sebelumnya sudah ditentukan.

Hasilnya adalah IT Process yang harus dipenuhi oleh perusahaan

Tahapan keempat pada tahapan ini di identifikasi control-objectives dari setiap IT process

yang sudah berhasil diidentifikasi sebelumnya. Untuk setiap IT process terdapat detailed

control-objectives yang berbeda-beda

Tahapan kelima pada tahap terakhir dari penelitian ini adalah pengukuran maturity level,

sesuai dengan maturity model berdasarkan COBIT 4.1. Pada tiap level, terdapat daftar

pernyataan yang dapat digunakan sebagai pengukuran untuk menilai sejauh mana proses yang

berlangsung dalam perusahaan telah memenuhi pernyataan tersebut. Secara umum penilaian

maturity level adalah sebagai berikut:

• Level 0: non-existent.

Sama sekali belum ada proses yang dapat diidentifikasi. Perusahaan belum menyadari

adanya masalah yang dapat dibahas

• Level 1: initial/ad-hoc.

Terdapat bukti bahwa perusahaan sudah menyadari adanya masalah dan perlunya

pembahasan masalah. Walaupun begitu belum ada proses yang terstandar dan

cenderung menggunakan pendekatan individual untuk setiap kasus. Secara umum

pendekatan perusahaan belum terorganisir

• Level 2: repeatable but intuitive.

Proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa

dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan

formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan


kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan

individual sehingga kemungkinan kesalahan meningkat.

• Level 3: defined process.

Prosedur telah distandardisasi dan didokumentasikan serta dikomunikasikan melalui

pelatihan. Terdapat keharusan bahwa setiap proses harus diikuti, walaupun begitu

penyimpangan terhadap prosedur sulit dideteksi. Prosedur yang ada hanyalah

formalisasi dari praktik yang ada.

• Level 4: managed and measurable.

Manajemen memonitor dan mengukur kepatuhan terhadap prosedur dan mengambil

langkah bila proses dianggap tidak bekerja secara efektif. Otomatisasi dan alat bantu

digunakan secara terbatas dan terpisah.

• Level 5: optimized.

Proses sudah sampai pada tahapan best-practice. Melalui peningkatan yang terus

menerus. TI digunakan secara terintegrasi dan mengotomatisasi alur kerja,

menyediakan alat untuk meningkatkan kualitas serta efektifitas dan pada akhirnya

membuat perusahaan lebih mudah dalam beradaptasi

Hasil Penelitian Berikut ini akan dirangkum tabel mengenai penilaian tingkat kematangan pada tiap IT process

pada PT KAI:

Tabel 1 Pengukuran Maturity Level di PT KAI

Plan and Organize

PO1 Define a strategic IT plan. 4

PO2 Define the information architecture 1

PO3 Determine technological direction 2

PO4 Define the IT processes, 8rganization

and relationships

2

PO5 Manage the IT investment 2

PO6 Communicate management aims and 3


direction

PO7 Manage IT human resources 3

PO8 Manage quality 3

PO9 Assess and manage IT risks 1

PO10 Manage projects 1

Rata-rata PO 2,2

Acquire and Implement

AI1 Identify automated solutions 4

AI2 Acquire and maintain application

software

3

AI3 Acquire and maintain technology

infrastructure

2

AI4 Enable operation and use 3

AI5 Procure IT resources 3

AI6 Manage changes 2

AI7 Install and accredit solutions and

changes

2

Rata-rata AI 2,7

Deliver and Support

DS1 Define and manage service levels 4

DS2 Manage third-party services 3

DS3 Manage performance and capacity 3

DS4 Ensure continuous service 2

DS5 Ensure systems security 4

DS6 Identify and allocate costs 2

DS7 Educate and train users 3

DS8 Manage service desk and incidents 2

DS9 Manage the configuration 1

DS10 Manage problems 2

DS13 Manage operations 3

Rata-rata DS 2,6

Monitor and Evaluation

ME1 Monitor and evaluate IT performance 3


ME4 Provide IT governance 2

Rata-rata ME 2,5

Rata-rata Seluruh Domain 2.51

Maturity levels PT KAI secara keseluruhan berada pada tingkatan Repeatable but intuitive

seperti terlihat pada tabel 4.16 yakni bernilai 2,51, dimana proses telah dikembangkan hingga

tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas

yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan

tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap

pengetahuan individual sehingga kemungkinan kesalahan meningkat.

Pembahasan

Penentuan tingkat kematangan (maturity level) dilakukan untuk mengukur sejauh mana

perusahaan telah memenuhi standard pengelolaan teknologi informasi pada perusahaan.

Selain itu pengukuran tingkat kematangan juga penting untuk mengetahui dan

mengidentifikasi proses yang perlu diprioritaskan untuk meningkatkan kualitas tata kelola

teknologi informasi yang ada. Pengukuran maturity level COBIT tidak memiliki standard

metodologi baku (Andrea P, 2003) dan menurut ITGI pengukuran tidak ditujukan sebagai

sebuah pengukuran yang presisi dan terstandard sehingga pengukuran dilakukan berdasarkan

closest-fit.

Pengukuran maturity level dalam penelitian ini akan dikelompokan sesuai dengan tiap-tiap

proses TI yang ada.

Tabel 2: Analisis Domain COBIT

IT Process Analisis

PO1 Define a strategic IT plan. PT KAI sudah terdapat IT Master Plan

yang berisikan tentang rencana kerja

dan investasi strategis pengembangan

TI untuk jangka panjang selama 5 tahun

dan untuk jangka pendek dibuat untuk

kurun waktu kurang dari 1 tahun

PO2 Define the information PT KAI belum terdapat model


IT Process Analisis

architecture arsitektur informasi terstandard yang

digunakan.

PO3 Determine technological direction Manajemen PT KAI telah merancang

arah pengembangan teknologi

perusahaan. Hal ini ditandai dengan

rencana penambahan modul ERP

perusahaan, peningkatan infrastruktur

TI perusahaan dan berbagai sertifikasi

ISO dalam bidang teknologi informasi

PO4 Define the IT processes,

organisation and relationships

PT KAI telah memiliki pembagian

tugas yang jelas pada divisi TI hal ini di

tuangkan dalam tugas pokok inti divisi

TI. Selain itu keamanan informasi

sudah dilakukan dengan melakukan

encryption serta cryptographic pada

informasi perusahaan

PO5 Manage the IT investment Pada PT KAI manajemen telah

menentukan prioritas investasi TI yang

sesuai dengan budget perusahaan selain

itu penetapan budget untuk investasi TI

telah dilakukan oleh dewan direksi

untuk setiap tahunnya. Perencanaan

penggunaan dana investasi TI ini

dituangkan dalam IT Master Plan

perusahaan

PO6 Communicate management aims

and direction

Manajemen PT KAI telah secara aktif

mengomunikasikan penerapan TI antara

dewan direksi dan divisi TI. Hal ini

dilakukan melalui rapat koordinasi dan

evaluasi yang rutin dilakukan baik

secara horizontal maupun vertical.

PO7 Manage IT human resources Pada PT KAI terdapat pendekatan


IT Process Analisis

strategis untuk merekrut dan mengelola

IT personnel. Rencana training resmi

telah ditetapkan untuk SDM TI.

Program rotasi karyawan sudah

ditetapkan dalam rangka

pengembangan skill manajemen dan

teknik.

PO8 Manage quality Pada PT KAI manajemen telah

menerapkan ISO 9001 yang mengatur

tentang quality management system

terhadap berbagai divisi dan sarana

pada perusahaan. Hal ini menunjukan

bahwa manajemen telah menyadarinya

sebuah kebutuhan atas kualitas mutu

PO9 Assess and manage IT risks Pada PT KAI, manajemen khususnya

divisi TI belum memiliki pengukuran

risiko yang terdokumentasi dan formal

PO10 Manage projects Pada PT KAI sudah terdapat gambaran

dan rencana mengenai pengembangan

TI pada perusahaan yang tergambarkan

dalam Master Plan IT. Walau begitu

dalam manajemen proyek belum

terdapat kerangka kerja formal,

perusahaan masih menggunakan

pendekatan tradisional dalam

menjalankan proyek

AI1 Identify automated solutions Pada PT KAI rencana pembelian atau

pembuatan mengenai proyek TI sudah

dilakukan tahapan perencanaan oleh

business process owner terkait.

Rencana ini mencakup mengenai biaya,

waktu dan spesifikasi proyek yang


IT Process Analisis

diinginkan

AI2 Acquire and maintain application

software

Pada PT KAI saat perusahaan

memutuskan untuk membuat atau

membeli sebuah aplikasi atau perangkat

TI maka persyaratan dan spesifikasi

diberikan oleh tim BPO. Spesifikasi

dan persyaratan ini akan

dikonsultasikan dengan divisi TI dan

ditranslasikan kedalam sebuah solusi

yang terenacana

AI3 Acquire and maintain technology

infrastructure

PT KAI sudah melakukan perawatan

dan perencanaan pemeliharaan

infrastruktur secara berkala. Pada

datacenter perusahaan setiap minggu

sistem akan di switch ke back-up

system untuk dirotasi dan memastikan

bahwa sistem cadangan bekerja

AI4 Enable operation and use Pada PT KAI dalam memastikan

penerapan sebuah sistem atau aplikasi

baru agar dapat digunakan oleh end-

user divisi TI melakukan pelatihan

kepada para pengguna.

AI5 Procure IT resources Pada PT KAI pengadaan kebijakan dan

prosedur akuisisi TI telah ditetapkan,

didokumentasikan dan

dikomunikasikan. Kebijakan dan

prosedur akuisisi TI di PT KAI

mengacu kepada proses bisnis

perusahaan secara keseluruhan.

Manajemen TI mengkomunikasikan

kebutuhan akuisisi dan manajemen

kontrak melalui fungsi TI.


IT Process Analisis

AI6 Manage changes Pada PT KAI sudah terdapat

dokumentasi formal mengenai

perubahan yang berkaitan dengan TI

yang mencakup prosedur, proses,

kebijakan dan sistem. Perubahan sistem

yang besar misalnya pada saat

penerapan ERP SAP dilakukan sesuai

dengan standard sistem terkait yang

mencakup persiapan proyek, business

blueprint hingga persiapan go live.

AI7 Install and accredit solutions and

changes

Hal ini tidak dapat dibahas lebih lanjut

karena pada pengujian dan pengetesan

sebuah sistem yang mempengaruhi

operasi secara besar perusahaan

menyerahkana sepenuhnya test

environment dan test procedure kepada

pihak eksternal dan vendor yang

menyediakan jasa pengadaan sistem

DS1 Define and manage service levels Pada PT KAI untuk berbagai pelayanan

TI yang terkait dengan pihak eksternal

maupun internal, manajemen

menentukan batasan SLA minimum

yakni kehandalan (reliability) 99,9% .

untuk pihak eksternal manajemen TI

melakukan penilaian performa setiap

bulan untuk memastikan tingkat

operasional memenuhi SLA yang telah

ditentukan

DS2 Manage third-party services Pada PT KAI untuk pelayanan yang

disediakan oleh pihak ketiga seperti

RTS, jaringan dan sebagainya sudah

memiliki dokumentasi SLA dalam


IT Process Analisis

bentuk perjanjian formal. Perjanjian

mengenai SLA ini mengatur hal-hal

penting seperti kehandalan minimum

mengenai layanan, penalty bila target

tidak tercapai dan berbagai hal lainnya.

DS3 Manage performance and capacity Pada PT KAI penentuan kapasitas dan

perfoma pada bidang TI sudah

diselaraskan dengan peramalan

kebutuhan bisnis. Hal ini sesuai dengan

manajemen stratejik perusahaan yang

disudah mempertimbangkan berbagai

asumsi makro dan perkembangan

bisnis. Pembuatan IT Master Plan

sudah diseleraskan dengan manajemen

stratejik perusahaan

DS4 Ensure continuous service PT KAI sudah memiliki beberapa IT

Continuity Plan untuk beberapa

infrastruktur vital seperti datacenter

yang memiliki 2 offsite back up storage

yang terletak di Jakarta dan BSD.

DS5 Ensure systems security Pada PT KAI perusahaan telah

melakukan berbagai langkah

pengamanan informasi. Hal ini dapat

dilihat dari penerapan pembatasan

akses pengguna yang dibagi menjadi 3

level, penggunaan firewall pada

datacenter perusahaan, encryption pada

server mail hingga pengadopsian ISO

27001 mengenai standardisasi

keamanan informasi sesuai dengan

standard internasional

DS6 Identify and allocate costs Pada PT KAI sudah terdapat ketentuan


IT Process Analisis

dan dokumentasi mengenai biaya

teknologi informasi, Alokasi biaya TI

perusahaan disesuaikan dengan

kebutuhan bisnis dan pelaksanaannya

harus sesuai dengan yang telah

direncanakan

DS7 Educate and train users Pada PT KAI manajemen TI telah

melakukan pelatihan baik terhadap

internal divisi TI dan kepada end-user

agar pengoperasian sistem berjalan

efektif. PT KAI sudah memiliki

dokumentasi dan perencanaan formal

mengenai pelatihan dan pendidikan

pengguna, selain itu PT KAI juga rutin

melakukan sertifikasi bagi personnel TI

DS8 Manage service desk and incidents Pada PT KAI sudah terdapat help desk

untuk membantu pengguna akhir jika

terdapat permasalahan dalam sistem.

Sudah terdapat SOP dan dokumentasi

lainnya yang membantu dan

mengarahkan tugas help desk dalam

menghadapi beberapa permasalahan

umum

DS9 Manage the configuration PT KAI belum memilik manajemen

konfigurasi secara formal dan

terdokumentasi.

DS10 Manage problems Pada PT KAI permasalahan

diidentifikasi apakah terjadi karena

kesalahan pengguna atau kesalahan

sistem oleh help desk. Apabila

kesalahan sistem terjadi terkait dengan

aplikasi yang disediakan eksternal


IT Process Analisis

vendor maka penyelesaian masalah

menggunakan bantuan vendor

DS13 Manage operations Pada PT KAI sudah melakukan

beberapa manajemen terkait operasi

seperti pengawasan infrastruktur TI,

pengukuran kehandalan dan pemenuhan

SLA, pembakuan dan dokumentasi

SOP terkait operasi serta perawatan

terhadap infrastruktur.

ME1 Monitor and Evaluate IT

performance

Pada PT KAI sudah melakukan

pengawasan dan pengukuran kinerja

untuk beberapa pelayanan TI. Tingkat

SLA berbagai infrastruktur TI di awasi

oleh sistem terintegrasi, evaluasi

personil dilakukan sesuai dengan KPI

dan sudah dikembangkan pendekatan

balance scorecard untuk pengukuran

kinerja

ME4 Provide IT Governance Salah satu tujuan PT KAI adalah

penerapan tata kelola perusahaan yang

termasuk didalamnya tata kelola

teknologi informasi. Hal ini terlihat

dengan pembentukan komite audit di

tahun 2012, pembentukan IT Steering

Committee dan perubahan struktur

organisasi perusahaan. Perencanaan

stratejik perusahaan juga sudah

dituangkan kedalam RJPP perusahaan

dan pendekatan BSC sudah digunakan

untuk memetakan tujuan perusahaan

beserta KPI


Kesimpulan dan Saran

Berdasarkan analisisn dan evaluasi yang sudah dilakukan di BAB 4 maka kesimpulan yang

dapat diambil adalah:

a) Penerapan tata kelola teknologi informasi pada PT KAI berdasarkan pada pengukuran

tingkat kematangan berada pada level 2,55 berada pada tingkatan Repeatable but

intuitive, dimana proses telah dikembangkan hingga tahapan yang memungkinkan

prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak

terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung

jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap

pengetahuan individual sehingga kemungkinan kesalahan meningkat.

b) Berdasarkan hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada

PT KAI terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. IT

Process dan Control Objectives yang teridentifikasi ini harus diperhatikan perusahaan

dalam menjalankan tata kelola teknologi informasi.

c) Di PT KAI terdapat 4 proses pada level Managed and Measurable, 11 proses pada

level defined, 11 proses pada level repeatable but intuitive dan 4 proses level pada

level ad-hoc. Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi

perusahaan, manajemen dapat berfokus pada proses TI yang masih rendah (berada

pada level ad-hoc dan repeatable but intuitive).

Saran bagi perusahaan antara lain:

a) Perusahaan sebaiknya menerapkan cost management pada perusahaan. Hal ini untuk

memudahkan perusahaan dalam melacak dan mengidentifasi biaya baik pada level

operasional maupun pada saat pelaksanaan proyek perusahaan. Hal ini dapat

membantu efektifitas perusahaan terutama dalam faktor biaya serta membantu kontrol

yang lebih baik terhadap biaya.

b) Perusahaan dapat mengadopsi kerangka kerja mengenai information architecture yang

sudah sesuai standard internasional seperti misalnya adalah TOGAF, Zachman

Framework dan SAP-EAF. Dalam hal ini pilihan terbaik perusahaan adalah

mengintegrasikan information architecture SAP-EAF karena perusahaan

menggunakan ERP SAP.

c) Perusahaan sebaiknya mengadopsi project management yang lebih modern untuk

mempermudah pengawasan dan evaluasi proyek. Hal ini dapat mengefisensikan


perusahaan dalam langkah perencanaa, budgeting hingga langkah pelaksanaan dan

evaluasi.

d) Membuat architecture board atau IT strategy committee pada manajemen perusahaan

untuk membantu proses tata kelola teknologi informasi pada perusahaan.

e) Membuat sebuah lingkungan tes internal untuk menguji penerapan sebuah sistem TI

yang akan digunakan.

f) Membuat dan mengomunikasikan perihal risk appetite pada perusahaan hingga ke

semua level manajemen untuk memastikan bahwa seluruh karyawan menyadari

tingkat risiko perusahaan.

Kepustakaan

Applegate, L. M., Austin, R. D., & Soule, D. L. (2009). Corporate Information Strategy and

Management. International Edition: McGraw Hill.

Grembergen, W. V. (2004). Strategies for Information Technology Governance. London: Idea

Group Publishing.

IT Governance Institute. (2003). Board Briefing on IT Governance. Rolling Meadow: ITGI.

IT Governance Institute. (2007). COBIT 4.1: Framework, Control Objectives, Management

Guideline and Maturity Model. Rolling Meadow: ITGI.

IT Governance Institute. (2007). IT Assurance Guide: Need for IT Governance and Assurance

and IT Assurance Approach. Rolling Meadow: ITGI.

Kesumawardhani, D. R. (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi

Kasus di PT Timah (persero) Tbk). Skripsi Fakultas Ekonomi Universitas Indonesia.

Luftman, J. (1996). Competing in the Information Age - Strategic Alignment in Practice.

Oxford University Press.

Lunardi, G. L., Becker, J. L., Macada, A. C., & Dolci, P. C. (2013). The Impact of Adopting

IT Governance on Financial Performance: an Empirical Analysis among Brazilian

Firms. International Journal of Accounting Information Systems .

PT Kereta Api Indonesia (persero). (2011). Laporan Tahunan 2011.


Ramadhanti, D. (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT Framework

4.1 (Studi Kasus pada PT Indonesia Power). Tesis Fakultas Ekonomi Universitas

Indonesia.

Ross, J. W., & Weill, P. D. (2004). IT Governance: How Top Performer Manage IT Decision

Right for Superior Result. Harvard Business Press.

Sekaran, U. (2010). Research Method for Business. USA: John Wiley and Sons.

Simonsson, M., & Johnson, P. (2005). Defining IT Governance - a Consolidation of

Literature. Stockholm: Department of Industrial Information and Control Systems.


Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT ...

Documents

Transcript of Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT ...