1 

 

PERANCANGAN FRAMEWORK PENYUSUNAN TATA KELOLA TEKNOLOGI INFORMASI UNTUK PEMERINTAHAN

Kurnia, Suhardi

Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung

kurnia.djaja@gmail.com, suhardi@stei.itb.ac.id

Abstrak

Dengan semakin tingginya pemakaian Teknologi Informasi (TI) oleh Pemerintah Indonesia maka diperlukan sebuah mekanisme penataan (governance) yang dapat memastikan investasi TI yang dilakukan dapat benar-benar mendukung tercapainya tujuan Pemerintah. Tata kelola TI (IT governance) merupakan sebuah konsep yang dapat menjamin TI sebuah organisasi mendukung dan memungkinkan ketercapaian strategi dan obyektif dari organisasi tersebut. Adapun salah satu kerangka kerja (framework) yang banyak diadopsi untuk tata kelola TI ini adalah Control Objectives for Information and related Technology (COBIT).

Pada paper ini diusulkan sebuah framework yang dapat digunakan dalam penyusunan tata kelola TI bagi pemerintahan tingkat departemen. Dasar perancangan yang digunakan adalah COBIT dan perangkat pendukungnya dengan mempertimbangkan kondisi dan regulasi pemerintahan yang berlaku bagi departemen khususnya yang terkait dengan TI. Penentuan COBIT sebagai acuan framework tata kelola TI untuk pemerintah dilakukan melalui pengkajian terhadap beberapa pilihan standard/framework tata kelola TI yaitu COBIT, AS 8015 dan ISO 38500.

Framework penyusunan tata kelola TI yang dihasilkan terdiri dari beberapa tahapan yang penting untuk dilakukan guna menghasilkan tata kelola TI yang baik dan memadai bagi sebuah departemen. Framework penyusunan tersebut juga meliputi kajian terhadap kondisi TI di departemen yang bersangkutan sehingga tata kelola TI yang dihasilkan diharapkan dapat csesuai dengan kebutuhan dari departemen tersebut. Contoh penerapan framework diberikan untuk menunjukkan bahwa framework tersebut memang benar-benar dapat digunakan oleh sebuah departemen.

Kata kunci: Tata kelola TI, Tata kelola TI untuk pemerintah, COBIT, AS8015, ISO 38500, framework penyusunan tata kelola TI

1. Pendahuluan Investasi pemerintah dalam bidang teknologi informasi semakin lama semakin meningkat. Kebutuhan tata kelola TI dengan sendirinya semakin mendesak untuk menjamin bahwa terdapat manajemen yang baik dan memadai dalam mengelola TI. Cakupan tata kelola meliputi manajemen sumber daya TI, manajemen risiko terkait TI, dan manajemen kinerja TI. Penyusunan dan penerapan tata kelola TI yang tepat pada gilirannya dapat menghasilkan nilai (value delivery) dan sesuai dengan tujuan dari Pemerintah (business alignment).

Saat ini telah terdapat beberapa standard/framework untuk tata kelola TI yang dapat dipakai, namun framework untuk penyusunan tata kelola TI sebagai panduan bagi institusi pemerintahan tingkat departemen di Indonesia sampai saat ini belum tersedia. Penyusunan tata kelola TI merupakan suatu usaha yang difokuskan pada perbaikan tata kelola terhadap proses-proses TI yang kritikal di sebuah departemen. Dengan adanya framework penyusunan tata kelola TI ini diharapkan setiap Departemen mengetahui tahapan-tahapan yang harus dilakukan dalam menyusun tata kelola TI sehingga setiap insiatif atau program penyusunan tata kelola TI dapat memenuhi harapan pemerintah dan mendukung penyelenggaran pemerintahan yang baik (good governance) di bidang teknologi informasi.

1.Definisi Tata Kelola TI menurut COBIT, AS8015 dan ISO/IEC 38500 Sebelum merancang framework penyusunan tata kelola TI, perlu ditetapkan dahulu definisi tata kelola TI tersebut yang akan menjadi acuan bagi pemerintahan. Untuk keperluan tersebut maka dilakukan pengkajian terhadap beberapa standard terkait tata kelola teknologi informasi seperti COBIT, AS8015 dan ISO/IEC 38500. Pengkajian yang dilakukan difokuskan pada definisi, isi, framework,

 

2 

 

template dokumen dan cara pengukuran tata kelola TI berdasarkan standard/framework tersebut. COBIT (Control Objectives for Information and related Technology) merupakan salah satu framework tata kelola TI yang banyak diadopsi. COBIT dipublikasikan oleh IT Governance Institute (ITGI) dan pada saat ini sudah sampai pada COBIT versi 4.1. COBIT mendefinisikan obyektif kontrol untuk 34 proses TI yang dibagi ke dalam 4 ranah (domain) yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) dan Monitor and Evaluate (ME). AS 8015 merupakan standard Australia tentang tata kelola TIK korporat (Corporate Governance of ICT). Standard ini ditujukan untuk menjadi pedoman bagi Direksi untuk penggunaan TI dan pengelolaan risiko TI. Dengan mengikuti standard ini diharapkan organisasi akan mendapatkan imbalan yang terbaik dari investasi yang dilakukannya dalam bidang TI. Standard ini terdiri dari sebuah model seperti diperlihatkan pada gambar di bawah dan 6 (enam) prinsip yaitu: • Penyusunan peran dan tanggung jawab TIK yang

jelas (establish clearly understood responsibilities for ICT)

• Perencanaan TIK yang sesuai dengan tujuan organisasi (plan ICT to best support the organization)

• Pengadaan TIK sesuai dengan aturan yang berlaku (acquire ICT validly)

• Penyelenggaraan TIK yang baik dan memadai dapat tersedia pada saat dibutuhkan (ensure that ICT performs well, whenever required)

• Penyelenggaraan TIK sesuai dengan aturan yang berlaku (ensure ICT conforms with formal rules)

• Penyelenggaraan TIK mempertimbangkan faktor-faktor sumber daya manusia (ensure ICT use respects human factors)

Gambar 1. Model Tata Kelola TIK Korporat berdasarkan AS8015:2005

ISO/IEC 38500 adalah standard internasional tata kelola korporasi untuk teknologi informasi (Corporate Governance of Information Technology) yang dikembangkan oleh komite teknis ISO/IEC JTC 1. Standard internasional ini yang bertujuan untuk memberikan sebuah kerangka (framework) tentang prinsip-prinsip yang dapat digunakan dewan direksi dan pihak-pihak yang membantu dewan direksi seperti manajer senior untuk mengevaluasi, mengarahkan dan memonitor penggunaan teknologi informasi bagi perusahaan/organisasinya. Standard ISO/IEC 38500:2008 dikembangkan berdasarkan standar AS8015:2005 dan berisi definisi, prinsip dan sebuah model. Isi dari standar internasional ini tidak begitu berbeda dari standar induknya (AS8015:2005) dimana berisi enam prinsip tata kelola korporasi TI dan sebuah model. 2.Pembuatan framework

2.1Memilih standard/framework tata kelola TI yang akan digunakan bagi pemerintahan Hal ini sangat penting dilakukan karena framework penyusunan yang akan dibuat ditujukan untuk menghasilkan tata kelola TI yang memenuhi ketentuan dalam standard/framework tersebut. Tanpa mengetahui standard/framework tata kelola TI maka framework penyusunan yang dibuat tidak memiliki tujuan pencapaian yang jelas. 2.2 Identifikasi perangkat pendukung untuk penerapan standard/framework tata kelola TI yang telah dipilih Langkah selanjutnya adalah identifikasi perangkat pendukung untuk penerapan standard/framework yang telah dipilih pada langkah sebelumnya. Framework penyusunan yang dibuat perlu

 

3 

 

mempertimbangkan perangkat pendukung penerapan yang telah ada ini. 2.3 Menyertakan kajian tentang kondisi Pemerintahan di tingkat departemen terkait tata kelola TI Framework penyusunan tata kelola TI yang dibuat harus mengandung tahapan yang mengkaji kondisi yang ada di pemerintahan tingkat departemen. Hal ini penting agar tata kelola TI yang dihasilkan memang sesuai dengan kebutuhan dan kondisi dari departemen yang bersangkutan. 2.4 Membuat framework penyusunan tata kelola TI Framework penyusunan tata kelola TI dibuat dengan mempertimbangkan standard/framework tata kelola TI yang dipilih dan perangkat pendukung penerapannya. Framework penyusunan ini juga harus mengandung tahapan untuk mengkaji kondisi pemerintahan yang ada. Dengan ketiga hal tersebut framework penyusunan tata kelola TI dibuat.

3.Memberikan contoh penerapan Tahap terakhir adalah memberikan contoh penerapan framework penyusunan tata kelola TI Pemerintahan di sebuah departemen.

3.Pembuatan Framework

3.1Pemilihan Standard/Framework Tata Kelola TI dan Identifikasi Perangkat Pendukung Penerapannya Tahap terakhir adalah memberikan contoh penerapan framework penyusunan tata kelola TI Pemerintahan di sebuah departemen. Pilihan yang diuji adalah COBIT, AS 8015:2005 dan ISO/IEC 38500:2008. Dari ketiga standard/framework tersebut COBIT paling tepat untuk dijadikan acuan dalam pembuatan framework penyusunan tata kelola TI dengan pertimbangan COBIT memiliki keunggulan dibandingkan dengan AS 8015 dan ISO 38500 antara lain dari segi kelengkapan dimana proses-proses TI dalam COBIT mencakup semua prinsip tata kelola TI yang ada dalam AS 8015 maupun ISO 38500. Perangkat pendukung yang dapat digunakan untuk menerapkan COBIT adalah IT Governance Implementation Guide. Dalam perangkat pendukung tersebut terdapat road map untuk implementasi tata kelola TI, namun tidak

menunjukkan adanya kajian terhadap kondisi organisasi. Selain itu proses-proses TI yang menjadi rujukan adalah proses-proses TI dalam COBIT tanpa memperhatikan proses-proses TI yang terjadi di organisasi tersebut.

3.2 Menyertakan kajian kondisi Pemerintahan Framework penyusunan yang dibuat perlu menyertakan tahapan untuk melakukan kajian terhadap kondisi pemerintahan khususnya tingkat departemen. Kajian ini sangat penting untuk dilakukan agar tata kelola TI yang dihasilkan nantinya memang benar-benar telah mempertimbangkan kondisi dan kebutuhan pemerintahan khususnya di tingkat departemen. 3.3 Framework Penyusunan Tata Kelola TI Pemerintahan Framework penyusunan tata kelola TI ditujukan untuk memberikan arahan yang jelas dan terarah bagi Pemerintah dalam pembuatan dokumen tata kelola TI sehingga dokumen yang dihasilkan sesuai dengan definisi tata kelola menurut COBIT. Seperti telah disampaikan bahwa dari pembahasan sebelumnya bahwa dalam penelitian ini COBIT telah ditetapkan bahwa acuan tata kelola TI untuk pemerintahan. Dengan memperhatikan masukan dari IT Governance Implementation Guide tentang road map implementasi tata kelola TI dan memasukkan tahapan untuk mengkaji kondisi pemerintahan tingkat departemen, maka dihasilkan framework penyusunan tata kelola TI untuk pemerintahan sebagaimana diperlihatkan pada gambar 2.

Gambar 2. Framework Penyusunan Tata Kelola

TI Pemerintahan 3.3.1 Langkah 1: Menumbuhkan Kesadaran Manajemen

 

4 

 

Tanpa dukungan dari pihak manajemen organisasi, keberhasilan program tata kelola TI sangat sulit diraih. Diperlukan komitmen dan keterlibatan mulai dari awal penyusunan tata kelola untuk mendapatkan dukungan yang dibutuhkan. Untuk itu maka langkah pertama yang perlu dilakukan adalah membangkitkan kepedulian dari pihak manajemen (Management Awareness) tentang pentingnya Tata Kelola TI bagi Departemen. 3.3.2 Langkah 2: Identifikasi Kondisi TI Departemen Setelah manajemen memiliki kesadaran tentang pentingnya tata kelola TI bagi departmen yang dipimpinnya maka langkah selanjutnya adalah melakukan identifikasi kondisi TI di departemen tersebut. Kondisi TI departemen ada yang bersifat umum dan mencakup semua departemen (seperti regulasi yang dikeluarkan oleh Pemerintah Pusat terkait TI yang harus dipatuhi oleh semua departemen) serta kondisi TI yang spesifik bagi masing-masing departemen sesuai dengan kebutuhannya. Kedua hal ini perlu mendapatkan perhatian dalam penyusunan tata kelola TI. Kondisi departemen yang perlu diidentifikasi adalah yang terkait kepemimpinan, struktur organisasi dan proses TI di departemen. 3.3.3 Langkah 3: Identifikasi dan Pemetaan Proses TI Departemen terhadap Proses TI COBIT Pada langkah sebelumnya telah diidentifikasi kondisi Departemen XYZ. Dari hasil tersebut maka dapat diidentifikasi proses-proses TI yang ada di sebuah departemen. Pada langkah ini proses-proses TI tersebut dipetakan ke proses-proses TI yang didefinisikan dalam COBIT. Pemetaan dilakukan untuk mengidentifikasi kaitan yang jelas antara proses-proses yang ada di Departemen termasuk yang dipersyaratkan harus ada oleh regulasi dengan proses-proses TI dalam COBIT. Dengan pemetaan ini maka dapat diuji pula apakah semua proses TI yang terjadi di Departemen memang terwakili oleh COBIT atau tidak, kemudian dapat diketahui pula hubungan antara keduanya. Dengan demikian kaitan antara proses TI dalam COBIT dengan proses TI di Departemen yang mencerminkan kebutuhan departemen menjadi jelas sehingga tata kelola TI yang dihasilkan nantinya dapat sesuai dengan kebutuhan dan kondisi spesifik dari departemen yang bersangkutan. Pemetaan dapat dilakukan dengan menggunakan format seperti ditunjukkan oleh tabel di bawah ini. Tabel 1. Pemetaan Proses TI Departemen dengan

Proses TI COBIT

Proses TI Pemerintahan Proses COBIT Proses TI P.1 Proses TI C.1 Proses TI P.2 Proses TI C.2 Proses TI P.3 Proses TI C.3

3.3.4 Langkah 4: Pengukuran Nilai Dan Risiko TI Langkah berikutnya adalah mengukur nilai dan risiko TI yang dimiliki departemen. Pengukuran dilakukan untuk mengetahui nilai proses TI yang mencerminkan tingkat kepentingan departemen terhadap sebuah proses TI. Selain itu pengukuran dilakukan juga untuk mengetahui profil risiko yang ditimbulkan oleh setiap proses TI. Yang dimaksud dengan proses TI di sini adalah proses TI yang didefinisikan di dalam COBIT. 3.3.5 Langkah 5: Pemilihan Proses TI Yang Kritikal Langkah berikutnya adalah memilih proses TI yang kritikal bagi departemen. Perbaikan tata kelola TI akan diprioritaskan pada proses-proses TI yang kritikal ini. Proses-proses TI kritikal tersebut memiliki kriteria sebagai berikut: • Proses TI tersebut dinilai penting bagi

kepentingan Departemen. • Proses TI tersebut dinilai memiliki tingkat risiko

yang cukup tinggi akibat kurangnya kontrol yang memadai terhadap risiko TI.

Pemilihan proses TI yang kritikal ini dapat dilakukan dengan mempertimbangkan hasil dari tahap sebelumnya yaitu dengan mengalikan nilai pentingnya sebuah proses TI bagi Departemen dengan risiko dari proses TI tersebut. Perkalian ini menghasilkan sebuah nilai yang merupakan status risiko dari setiap proses TI bagi organisasi tersebut. Nilai status yang dihasilkan kemudian dikelompokkan dalam 3 kategori sebagai berikut: • Kategori “Rendah” untuk nilai 0 sampai lebih

kecil atau sama dengan 1,666 • Kategori “Sedang” untuk nilai yang lebih besar

dari 1,666 dan lebih kecil dari atau sama dengan 3,333

• Kategori “Tinggi” untuk nilai yang lebih besar dari 3,333

Proses TI yang kritikal tentunya proses TI yang memiliki nilai profil “Sedang” dan/atau “Tinggi”. Tentunya setiap departemen dapat menentukan sendiri apakah proses TI kritikal adalah proses dengan profil “Sedang” dan “Tinggi” atau hanya yang memiliki profil “Tinggi” saja. 3.3.6 Langkah 6: Pengukuran Tingkat Kematangan

 

5 

 

Setelah menentukan proses TI yang kritikal bagi Departemen maka tahap berikutnya adalah mengukur tingkat kematangan dari proses-proses TI tersebut. Tingkat kematangan proses TI perlu diukur untuk mengetahui kondisi kematangan dari proses TI saat ini dan mengidentifikasi kemungkinan perbaikannya. Untuk itu terdapat dua hal yang perlu dilakukan yaitu: • Mengukur tingkat kematangan saat ini dari

proses-proses TI yang kritikal. • Menetapkan tingkat kematangan yang menjadi

target pencapaian guna memperbaiki tingkat kematangan saat ini.

3.3.7 Langkah 7: Analisis Kesenjangan Dari hasil pengukuran tingkat kematangan proses-proses TI saat ini dan target tingkat kematangan yang telah ditetapkan maka dapat diketahui kesenjangan kondisi di antara keduanya. Target tingkat kematangan dapat dijadikan masukan untuk menentukan persyaratan dari setiap proses TI yang diharapkan dapat dicapai di masa yang akan datang. Sebagai contoh misalnya target tingkat kematangan adalah 3.00 maka tentunya setiap proses TI harus berusaha memenuhi persyaratan kematangan proses TI yang ada di tingkat 4 supaya nilai tingkat kematangan minimal 3.00 tersebut dapat dicapai. 3.3.8 Langkah 8: Pembuatan Dokumen Tata Kelola TI Dengan memperhatikan hasil yang terlah didapat sebelumnya antara lain tentang kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI. Dokumen tata kelola TI berisi kebijakan, standard, dan/atau prosedur menyangkut: 1. Perbaikan kepemimpinan dan struktur tata

kelola TI Dalam menyusun kebijakan, standard, dan/atau prosedur terkait kepemimpinan dan struktur tata kelola TI, terdapat beberapa hal yang perlu dipertimbangkan diantaranya: • Struktur organisasi TI saat ini dan

dibandingkan dengan praktik-praktik terbaik untuk organisasi TI. Praktik-praktik terbaik ini antara lain praktik terbaik mengenai:

o Struktur Komite Strategi TI dan Komite Pengarah TI sebagaimana diperlihatkan dalam Board Briefing on IT Governance.

o Struktur organisasi TI o Pemilahan tugas (segregation of

duties) dalam pengelolaan TI.

• Regulasi pemerintahan pusat dan departemen tentang kepemimpinan dan struktur tata kelola TI. Contoh regulasi yang perlu mendapatkan perhatian adalah Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi Dan Komunikasi Nasional.

2. Perbaikan proses tata kelola TI Hal-hal yang perlu diperhatikan terkait hal ini antara lain: • Proses-proses TI yang harus ada

berdasarkan baik berdasarkan regulasi yang berlaku bagi departemen (antara lain Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007) maupun untuk memenuhi kebutuhan spesifik dari departemen yang bersangkutan (dengan berdasarkan hasil pemilihan proses TI yang kritikal).

• Target tingkat kematangan dari proses-proses TI. Persyaratan dari target tingkat kematangan dapat menjadi masukan yang berharga untuk penyusunan kebijakan, standard dan/atau prosedur terkait proses tata kelola TI ini.

Kebijakan, standard dan prosedur yang dibuat dapat mengikuti format seperti ditampilkan dalam tabel berikut ini.

Tabel 2. Format Kebijakan/Standard/Prosedur Nomor Kebijakan/Standard/Prosedur

Ranah (optional) Nama Kebijakan/Standard/Prosedur

Pernyataan Penjelasan Pernyataan Hubungan dengan Prosedur/ Kebijakan/Standard

Tanggal berlaku Efektif 3. Contoh Penerapan Framework penyusunan tata kelola TI pemerintahan yang diusulka harus dapat diterapkan dalam penyusunan tata kelola TI di Departemen yang ada di Pemerintahan Republik Indonesia. Sebagai contoh, framework yang diusulkan diterapkan pada sebuah departemen di pemerintahan yaitu Departemen XYZ yang ingin menyusun tata kelola teknologi informasinya. Dari tahap identifikasi kondisi TI departemen dimana dilakukan pengumpulan dan pengkajian dokumen

 

6 

 

terkait tata kelola TI Departemen XYZ serta melakukan wawancara terhadap para pimpinannya ditemukan bahwa: • Struktur organisasi Departemen XYZ sebagian

sudah ada dan terdokumentasi dalam bentuk Keputusan Menteri Departemen XYZ.

• Sebagian peran dan tanggung jawab di Departemen XYZ sudah ada dan terdokumentasi dalam bentuk Keputusan Menteri Departemen XYZ

• Satuan Kerja Pengelola TI di lingkungan Departemen XYZ adalah Pusat B yang ada di Departemen XYZ dan ditetapkan dalam Keputusan Menteri Departemen XYZ.

Struktur organisasi Pusat B yang ada saat ini masih belum mencerminkan struktur yang mendukung pelaksanaan tugas-tugas pengelolaan TI sehingga perlu diperbaiki. Sebagai contoh, di Pusat B belum ada penanggung jawab keandalan dan keamanan jaringan LAN departemen atau pengelolaan penanggulangan akibat bencana pada TI yang telah menjadi tanggung jawab Pusat B sesuai dengan Keputusan Menteri Departemen XYZ. Dari hasil kajian dan wawancara diketahui pula bahwa struktur organisasi Pusat B ini tidak dapat diubah dengan mudah dan cepat karena pengubahan struktur hanya dapat dilakukan dengan menerbitkan Peraturan Menteri tentang organisasi dan tugas Pusat B dan hal ini memakan waktu yang cukup lama. Untuk ini dapat diberikan solusi jangka pendek dengan menerbitkan SK tentang penugasan pengelolaan TI misalnya dengan memperbaharui SK Kepala Pusat B pada tahun 2007. Namun untuk jangka panjang perlu diterbitkan Peraturan Menteri sebagaimana disebutkan di atas. Selain itu dapat diidentifikasi bahwa yang menjadi Satuan Kerja Pemilik Proses Bisnis Di Departemen XYZ adalah semua satuan kerja yang ada di Departemen XYZ seperti Direktorat Jenderal, Inspektorat Jenderal, Sekretariat Jenderal, Badan dan Pusat-Pusat di Departemen XYZ. Proses TI yang ada di Departemen XYZ antara lain meliputi perencanaan, pendanaan, pengadaan, pemeliharaan, dukungan pelayanan TI serta penanggulangan bencana dan pengelolaan risiko operasional. Selain itu, sebagai salah satu departemen di Pemerintahan, maka Departemen XYZ perlu tunduk kepada regulasi yang berlaku seperti Peraturan

Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007 tentang panduan umum tata kelola teknologi informasi dan komunikasi nasional menyebutkan bahwa terdapat 6 (enam) kelompok proses tata kelola yang perlu ada dalam sebuah departemen yaitu Perencanaan Sistem, Manajemen Belanja/Investasi, Realisasi Sistem, Pengoperasian Sistem dan Pemantauan dan Evaluasi. Dari hasil wawancara yang dilakukan terhadap para pimpinan Departemen XYZ antara lain menghasilkan kesimpulan bahwa: • Pengelola TI di masing-masing unit organisasi

pada Departemen XYZ pada umumnya sudah ada tetapi bukan merupakan jabatan struktural dan belum memiliki peran, tanggung jawab dan wewenang yang jelas.

• Terdapat kebutuhan yang mendesak untuk pembentukan pengelola TI dengan tugas, tanggung jawab dan wewenang yang jelas di setiap unit di Departemen XYZ.

• Belum adanya prosedur untuk mengelola sumber daya TI dan memonitor kinerja layanan TI

• Aplikasi TI yang sudah dibuat ada yang tidak digunakan karena pengguna tidak dapat menguasai cara penggunaannya dan aplikasi tersebut tidak dipelihara.

• Sumber daya manusia (SDM) pengelola TI tidak memiliki kompetensi yang memadai.

Dari temuan-temuan ini maka kemudian diidentifikasi beberapa proses TI yang dianggap kritikal bagi Departemen XYZ yang dipilih dari proses-proses TI yang memiliki profil risiko “Sedang” dan “Tinggi” sebagaimana diperlihatkan pada tabel berikut.

Tabel 3. Profil Risiko Departemen XYZ

Domain COBIT dan Proses Profil

PO1 Mendefinisikan Rencana TI Strategis Tinggi

PO2 Mendefinisikan arsitektur informasi Tinggi

PO3 Menentukan arahan teknologi Sedang

PO4 Mendefinisikan proses, organisasi dan hubungan TI

Sedang

PO5 Manajemen investasi TI Sedang

PO6 Mengomunikasikan tujuan dan arahan manajemen

Sedang

 

7 

 

Domain COBIT dan Proses Profil

PO7 Manajemen sumber daya manusia TI Tinggi

PO8 Manajemen Mutu Sedang

PO9 Manajemen risiko Sedang

AI1 Mengidentifikasi solusi yang terotamatisasi Sedang

AI2 Melakukan pengadaan dan pemeliharaan perangkat lunak aplikasi

Tinggi

AI Melakukan pengadaan dan pemeliharaan infrastruktur teknologi

Tinggi

AI4 Memungkinkan operasi dan penggunaan Sedang

AI6 Manajemen Perubahan Tinggi

AI7 Memasang dan menggunakan solusi dan melaksanakan perubahan

Tinggi

DS1 Manajemen tingkat layanan Tinggi

DS2 Manajemen layanan pihak ketiga Tinggi

DS3 Manajemen kinerja dan kapasitas Sedang

DS4 Memastikan keberlangsungan layanan Tinggi

DS5 Memastikan keamanan sistem Tinggi

DS6 Mengidentifikasi dan mengalokasikan biaya Sedang

DS7 Mendidik dan melatih pengguna Sedang

DS8 Manajemen Service Desk dan insiden Sedang

DS9 Manajemen konfigurasi Sedang

DS10 Manajemen masalah Sedang

DS11 Manajemen Data Tinggi

ME1 Memonitor dan mengevaluasi kinerja TI Sedang

ME2 Memonitor dan mengevaluasi kontrol internal Sedang

ME3 Memastikan pemenuhan terhadap regulasi Sedang

ME4 Memberikan Tata Kelola TI Sedang

Untuk menentukkan langkah atau inisiatif apa yang perlu dilakukan guna memperbaiki tata kelola TIZ di Departemen XYZ maka perlu dilakukan pengukuran kematangan tata kelola saat ini. Pada contoh di Departemen XYZ tingkat kematangan saat ini masih dibawah 1.00 sehingga cukup realistis target tingkat kematangannya adalah 1.00 atau maksimal 2.00. Namun pada contoh ini, Departemen XYZ

menginginkan target tingkat kematangan minimal 2.00. Untuk menjamin tercapainya hal tersebut maka masing-masing proses TI yang kritikal harus memenuhi kriteria sebagaimana ditetapkan pada tingkat kematangan 3. Sebagai contoh untuk PO1 Mendefinisikan Rencana TI Strategis maka proses TI harus memiliki kriteria tingkat kematangan 3 sebagaimana diperlihatkan pada tabel di bawah ini.

Tabel 4. Kondisi Proses TI PO1 Mendefinisikan Rencana TI Strategis tingkat kematangan 3

No. Pernyataan

1 Terdapat kebijakan mengenai kapan dan bagaimana melakukan perencanaan strategis TI

2 Perencanaan strategis TI mengikuti pendekatan terstruktur, didokumentasikan dan diketahui semua staf

3 Proses perencanaan TI cukup baik guna memastikan bahwa perencanaan yang tepat memungkinkan untuk dilakukan

4 Sudah dilakukan penilaian atas pelaksanaan proses perencanaan TI.

5 Strategi TI keseluruhan mencakup batasan yang konsisten tentang risiko yang dapat diambil oleh organisasi baik risiko sebagai innovator ataupun follower.

6 Strategi finansial, teknis dan sumber daya manusia TI semakin mempengaruhi pengadaan produk dan teknologi baru.

7 Perencanaan strategis TI didiskusikan pada pertemuan manajemen bisnis.

Berdasarkan hasil-hasil yang telah didapat sebelumnya yaitu hasil kajian kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI yang berisi kebijakan, standard, dan/atau prosedur. Untuk Departemen XYZ antara lain perlu dibuat kebijakan, standard, dan/atau prosedur untuk:

Penetapan Chief Information Officer (CIO) Pembentukan Komite Strategi TI Departemen

XYZ Pembentukan Komite Pengarah TI Departemen

XYZ Perbaikan Struktur Satuan Kerja Pengelola TI

Departemen XYZ

 

8 

 

Gambar 3. Usulan Perbaikan Struktur Satuan

Kerja Pengelola TI Departemen XYZ Selain struktur, penugasan sumber daya manusia untuk setiap jabatan dalam TI perlu memperhatikan kaidah pemilahan tugas (segregation of duties) sehingga dapat menjamin keamanan data akibat konflik kepentingan. Sebagai contoh pegawai yang ditugaskan sebagai Application Programmer tidak boleh merangkap sebagai Help Desk and Support Manager karena dapat memungkinkan perubahan pada aplikasi tanpa kontrol atau prosedur otorisasi yang benar. 4. Kesimpulan Dari penelitian yang dilakukan dapat disimpulkan bahwa: 1. Framework yang diusulkan dalam penelitian ini

dapat diterapkan oleh sebuah departemen untuk menyusun tata kelola TI yang baik dan sesuai dengan kebutuhan departemen tersebut.

2. Kondisi dan regulasi yang mengikat sebuah departemen perlu dikaji dan diukur kematangannya sehingga tata kelola TI yang disusun sesuai dengan kebutuhan departemen tersebut.

3. Model kematangan tata kelola dari COBIT dapat digunakan untuk mengukur kematangan penerapan tata kelola TI di Departemen saat ini dan target kematangan yang diinginkan sehingga dapat direkomendasikan langkah-langkah perbaikan tata kelola TI.

4. Perbaikan struktur organisasi TI di Departemen yang menghendaki pengubahan struktur organisasi biasanya tidak semudah dan secepat di sektor swasta karena harus ada peraturan dahulu yang mengatur hal tersebut. Untuk itu maka solusi yang dapat ditawarkan adalah dengan menerbitkan Surat Keputusan (SK) tentang penugasan jabatan fungsional pengelolaan TI. Namun demikian, untuk jangka panjang perlu

diterbitkan Peraturan Menteri dari Departemen terkait tentang tugas dan fungsi organisasi TI di Departemen yang berisi struktur organisasi TI baru yang mendukung pengelolaan TI.

5. Tata kelola TI sebuah departemen berbeda dengan departemen lainnya tergantung kepada kondisi dan regulasi yang mengikat departemen tersebut.

6. Kepemimpinan, struktur dan proses merupakan fokus utama yang harus diperhatikan dalam penyusunan tata kelola TI.

7. Perbaikan tata kelola TI perlu dilakukan antara lain dengan membuat kebijakan, standard dan prosedur terkait kepemimpinan, struktur, dan proses tata kelola TI.

Daftar Pustaka [1] DETIKNAS, Panduan umum Tata Kelola

Teknologi Informasi dan Komunikasi Nasional, Versi 1. Jakarta: Departemen Komunikasi dan Informatika Republik Indonesia, 2007.

[2] ISACA, CISA Review Manual 2008. IL, 2007. [3] ISO/IEC, International Standard, ISO/IEC

38500, Corporate Governance of Information Technology. Switzerland: ISO Copyright Office, 2008.

[4] ITGI. Board briefing on IT Governance (2nd ed.). www.itgi.org, 2003.

[5] ITGI. IT Governance Implementation Guide, 2003, www.itgi.org, 2003.

[6] ITGI, COBIT 4.1. www.itgi.org, 2007. [7] ITGI, “Introductory COBIT Presentation:

Overview of IT Governance and the COBIT Framework,” www.itgi.org, 2007.

[8] ITGI, IT Governance Implementation Guide: using COBIT. www.itgi.org, 2007.

[9] ITGI, “IT Governance Implementation Templates,” www.itgi.org, 2007.

[10] ITGI, “IT Governance Global Status Report – 2008,” www.itgi.org, 2008.

[11] Mark Moore, Creating Public Value: Strategic Management in Government. MA: Harvard University Press, 1995.

[12] Peter Weill and Jeanne W. Ross, IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Massachusetts: Harvard Business School Press, 2004.

[13] Standards Australia. Australian Standard: Corporate Governance of Information and Communication Technology (first published as AS 8015 – 2005). Sydney: Standards Australia, 2005.

 

9 

 

[14] Wim Van Grembergen and Steven De Haes, Implementing Information Technology Governance: Models, Practices, and Cases. New York: IGI Publishing, 2008.

 

1  

THE DESIGN OF INFORMATION TECHNOLOGY GOVERNANCE DEVELOPMENT FRAMEWORK FOR THE GOVERNMENT

Kurnia, Suhardi

Information Technology Magister Program Institut Technology Bandung

kurnia.djaja@gmail.com, suhardi@stei.itb.ac.id

Abstract With the intense usage of Information Technology (IT) by The Government of Republic Indonesia required a mechanism for governance, which can ensure that IT investments can support the achievement of the government’s objectives. IT governance is a concept that can ensure the organisation’s IT support the achievement of the organisation’s strategies and objectives. A framework of IT governance that is largely adopted is the Control Objectives for Information and related Technology (COBIT). This research objective is to design a framework that can be used in the development of IT governance for the government at departement level. The design based on COBIT and its supporting tools by considering the conditions and regulations that apply to departments that are related to IT. The decision of COBIT used as a reference framework for IT governance for the government is made through the assessment and study of some of IT governance standard/framework that is COBIT, AS 8015 and ISO 38500. The resulted development framework of IT governance consists of several stages that are important to do in order to produce a good and suitable IT governance for a department. The development framework of IT governance covers the assessment of IT condition at a department, therefore the resulted IT Governance is expected to suit the requirement of the department. Examples are given to the implementation of the framework to indicate that this framework is actually can be used by a departement. Keywords: IT Governance, IT Governance for the government, COBIT, AS8015, ISO 38500, Development Framework of IT Governance

1. Introduction Government investment in information technology nowadays is more signifant and intense. The needs of IT governance by itself increasingly urgent to ensure

that there is a good and adequate management in managing IT. The scope of IT governance include management of IT resources, IT-related risk and IT performance. The appropriate establishment and implementation of IT governance might deliver the values for the government (value delivery) and in accordance with the objectives of the Government (business alignment). Currently, there are already some standards/framework for IT governance that can be used, but the framework that is needed to build the IT governance itself as a guide for department-level in Indonesian Government is not currently available. The establishment of IT governance is an effort that is focused on the improvement of the governance of IT processes that are critical for a department.

1.IT Governance Definition according to COBIT, AS8015 and ISO/IEC 38500 Before designing the IT governance developing framework, the definition of IT governance that will be the reference for the government should be defined. For this purpose, the study of some standard related to information technology governance such as COBIT, AS8015 and ISO / IEC 38500 should be done. The focus of the study is on the definition, content, framework, document template and how to measure the IT governance based on those standards / frameworks. COBIT (Control Objectives for Information and related Technology) is one of the most adopted IT governance framework. COBIT is published by IT Governance Institute (ITGI) and the current version is COBIT 4.1. COBIT defines control objectives for the 34 IT processes that are divided into 4 domain, namely Plan and Organise (PO), Acquire and implement (AI), Deliver and Support (DS) and Monitor and Evaluate (ME). AS 8015 is the Australian standard on Corporate Governance of ICT. This standard is intended to be guidelines for the Board of Directors for the use of IT and IT risk management. By following this standard an organization is expected to gain the return on its investment on IT. This standard consists of a model (as shown by Figure 1) and six principles as follows:

2  

• Establish clearly understood responsibilities for

ICT • Plan ICT to best support the organization • acquire ICT validly • Ensure that ICT performs well, whenever

required • Ensure ICT conforms with formal rules • Ensure ICT use respects human factors)

Figure 1. ICT Corporate Governance Model based on AS8015:2005

ISO/IEC 38500 is the international standard for Corporate Governance of Information Technology developed by Technical Committee ISO / IEC JTC 1. This international standard which aims to provide a framework on the principles that can be used by the board of directors and related parties to assist the board of directors, such as senior managers to evaluate, direct and monitor the use of information technology for the organization. Standard ISO / IEC 38500:2008 was developed based on the standard AS8015:2005 and includes definitions, principles and a model. The contents of this international standard is not so different from the parent standard (AS8015:2005) which contains six principles of corporate governance and a model of IT. 2. Framework Development

Framework development is made by conducting and considering the following steps. 2.1 Choose IT governance standard/framework for government This is very important because the development framework to be made should meet the requirements stated by the chosen IT Governance standard/framework. Without knowing the IT

Governance standard/framework, the development framework to be made does not have a clear goal to achieve. 2.2 Identify supporting tools the implementation of the chosen IT governance standard/framework The next step is to identify support tools for the implementation of IT Governance standard/framework that has been selected in the previous step. The development framework should consider the existing supporting tools for the implementation of the chosen standard/framework. 2.3 Include the study of the government (department) conditions related to IT governance The development framework to be made should include the study of the government condition especially at department level. This is important so that IT governance to be produced is consistent with the needs and conditions of the departmet. 2.4 Create the development framework of IT governance The IT governance development framework is made by considering the the chosesn IT governance standard/framework as well as its supporting tools. The development framework should also contain the stages to examine the existing conditions of the government at department level. With these factors in mind the development framework is made.

3. Implementation example of the development framework Last stage is to give examples of the implementation of the development framework in a department in Indonesia.

3.The making of the development

framework The making of the development framework follows

the steps as explained above. This part shows how the steps is conducted to build a development framework. 3.1The selection of IT Governance Standard/Framework and Identification of its supporting tools Last stage is to give examples of the application of the development framework to build the IT governance in a Government at department level.

3  

The standards/frameworks that is examined are COBIT, AS 8015:2005 and ISO / IEC 38500:2008. From the these standards/frameworks, COBIT is most appropriate to be the reference of IT governance with the consideration that COBIT is ore complete advantage dominant compared to the AS8015 and ISO 38500 and covers all the principles of IT governance stated in AS8015 and ISO 38500. Supporting tools that can be used to implement COBIT is the IT Governance Implementation Guide which contain a roadmap for implementation of IT governance. The roadmap itself does not indicate the study of department condition. In addition, the IT processes is based on COBIT regardless of real processes that occur in the IT organization.

3.2 Include the study of the condition of Government Development framework to be made needs to include the stages of the study of department conditions. This study is very important to do so that IT governance is has to considered the conditions and needs of the department 3.3 IT Governance Development Framework for Government The development Framework of IT governance is aimed at providing a clear direction and effective for the Government in making the document IT governance so that the documents produced in accordance with the definition of governance according to COBIT. With attention to input from the IT Governance Implementation Guide on road map implementation of IT governance and includes the stage of the study of department conditions, the resulting development framework is consisted of the following stages: 3.3.1 Step 1: Raise Management Awareness Without support from the top level management of the organization, the success of IT governance program is very difficult to achieve. Necessary commitment and involvement should be started right from the initial preparation of the program. Therefore, it is the first step to do is raise awareness of the management (Management Awareness) on the importance of IT Governance Department. 3.3.2 Step 2: Identify the IT Department Condition After management has awareness of the importance of governance for the IT Department then the next step is to identify conditions of the IT department. IT

departments have conditions that are common and include all departments (such as regulations issued by the Central Government related to IT should be obeyed by all departments) and IT-specific conditions for each department in accordance with their needs. Both need to get this attention in IT governance. Conditions departments that need to be identified are those that related to leadership, organizational structures and processes in the IT department. 3.3.3 Step 3: Identify and map the IT Department Processes to COBIT IT Processes The previous step has identified the condition of the Department of XYZ. From the results it can be identified processes in the IT department. At this step processes are mapped to the IT processes that is defined in COBIT. Mapping is done to identify a clear linkage between the processes of the Department including that required by regulation with the process stated in COBIT. With this mapping it can also test whether all the processes that occur in the IT Department was represented by COBIT or not, and can also note the relationship between the two. Thus the relationship between the processes in the COBIT IT processes with the IT Department, which reflects the department’s needs to be clear so that IT governance can be produced according to the specific needs and conditions of the department. Mapping can be done by using the format as indicated by the table below.

Table 1. Process mapping IT Department

Processes to COBIT IT Processes IT Processes in Departement COBIT IT

Processes Process TI P.1 Process TI C.1 Process TI P.2 Process TI C.2 Process TI P.3 Process TI C.3

3.3.4 Step 4: Measuring IT Value and Risk The next step is to measure the value and risks of the IT department. Measurements performed to determine the value of IT processes that reflect the level of interest of a department of IT processes. In addition, measurements are also conducted to determine the profile of risk incurred by each IT process. The process of IT here is that IT processes defined in COBIT. 3.3.5 Step 5: Select the critical IT processes The next step is to select a process critical for the IT department. IT governance improvements will be prioritized on the processes that IT is critical. Processes critical IT has the following criteria:

4  

• The process of IT is considered important for the interests of the Ministry.

• The process of IT is considered to have a high risk high enough due to lack of adequate control of the IT risk.

The selection process is critical that IT can be done by considering the results of the previous stage by multiplying the value of the importance of a process for the IT Department with the risk of IT in the process. Multiplication produces a value which is the risk status of each process for the IT organization. Value of the resulting status and grouped in 3 categories as follows: • Category "Low" value to 0 and less than or equal

to 1666 • Category "Medium" for a value greater than

1666 and less than or equal to 3333 • A "High" for a value greater than 3333 The process of critical IT processes that IT has value profile "Medium" and / or "High". Of course, each department can determine whether the process itself is a critical IT process with the profile "Medium" and "High" or a profile that has only "High" only. 3.3.6 Step 6: Maturity Level Measurement After determining the critical IT processes for the Ministry then the next stage is the maturity level of processes in IT. IT process maturity level should be measured to know the condition of maturity of IT processes at this time and identify possible improvement. For that there are two things that need to be done, namely: • Measure level of maturity at this time of the

process-a critical IT process. • Define the level of maturity which is the target

level of achievement in order to improve the maturity at this time.

3.3.7 Step 7: Gap analysis From the results of the measurement process-maturity level of IT process at this time and the target level of maturity that you have set the conditions can be gaps between them. Target maturity level can be used to determine entry requirements of each IT process is expected to be achieved in the future. As an example such as the target maturity level of the course is 3.00 each process IT must strive to meet the requirements of IT process maturity in the level 4 so that the value of a minimum level of maturity can be reached 3.00. 3.3.8 Step 8: Develop IT Governance Documents By considering the results obtained previously, among others, on condition the government at this time, regulation, the maturity level of measurement

and analysis of gaps in the document can be made an IT governance. IT governance document contains policies, standards, and / or procedures regarding: 1. Improvement of leadership and governance

structure of the IT In preparing the policy, standard, and / or procedures related to leadership and governance structure of TI, there are some things to consider are: • The current structure of IT organization

compared with the best practices for IT organizations. Best practices are best practices on:

o Structure Committee and the IT Strategy Committee IT Committee, as shown in the Board Briefing on IT Governance.

o Structure of IT organization o Segregation of duties in the

management of IT. • Regulation and central government

departments about the leadership and governance structure of TI. Sample regulations that need to get attention are the Regulation of Minister Communication and Information Number 41 Year 2007 Guidelines on Public Governance of Information Technology and National Communications.

2. Improvements to IT governance process Things that need to be related to this case are:

o Processes that IT should be based on both based on regulations that apply to the department (among others Regulation of Minister Communication and Information number 41 in 2007) and to meet the specific needs of the department concerned (with the election results based on the critical IT processes).

o Target level of maturity of IT processes. Requirements of the target level of maturity can be a valuable input for the preparation of policies, standards and / or procedures related to IT governance process is.

3. Implementation examples For example, the proposed framework is applied to a government department in the Ministry of XYZ that you want to compile the information technology governance. The identification of conditions where the IT department made the collection of documents and

 

related goconducted • Structu

Deparform Depar

• Some DepardocumMinist

• The ITenviroXYZ aDepar

Center B oreflect the of the taskFor exampreliable wimanagemeresponsibilDecree of t From the note that thnot be chconversionMinister isof central B To this candecree onassignmenBut for thMinister m In additionBusiness Pwork in thGeneral, General, A The procesothers, inclmaintenancmanagemeIn additioGovernmencomply to as the MinNumber 4governancetechnologyof the govthe Planni

overnance IT interviews of ture of the o

rtment of XYZof a Decree

rtment of XYZof the roles

rtment of Xmented in the ter of the DepaT Unit of the

onment B is cand set in the Drtment of XYZ

organizational structure that

ks so that the mple, in B there ireless networkent of disaster lity of the Centhe Minister of

results of the he organizationhanged easilyn structure cassued a regulatiB and this take

n be given shorn the managet with renewede long-term n

mentioned abov

n, can be identProcess in the he Department

Inspectorate Agency and Cen

ss of IT in the ludes the plannce, IT supp

ent and risk maon, as one ont, the Departthe regulation

nistry of Com41 Year 200e of informy there is a nativernance the ning System, E

Department the leadership

organization is and have docue of the Mi. and responsi

XYZ and hform of a D

artment of XYZDepartment o

entral in the DDecree of the M.

structure is cursupports the im

management ofis no central rk security depdue to the IT

tral B in accorf the Departme

studies and innal structure of

y and quicklyan only be dion on organiz

es a very long t

rt-term solutionement of IT d SK B Head Ceed to be regu

ve.

tified that the UDepartment oof XYZ as thGeneral, the

nters at the Min

Department oning, financingport services anagement operof the departtment of XYZs applicable re

mmunication an07 guidelines

mation and cional state thateed to have a Expenditure M

of XYZ andfound that: s part of theumented in theinister of the

ibilities in thehave alreadyDecree of theZ of XYZ in theDepartment ofMinister of the

rrently still notmplementationf IT should beesponsible and

partment or theT that was therdance with theent of XYZ.

nterviews alsof central B can

y because thedone with theation and taskstime.

n to the issue asuch as the

Center in 2007ulations as the

Unit Owner off XYZ is all ahe Directorate-e Secretariat-nistry of XYZ.

f XYZ, amongg, procurement

and disasterrations. tments in theZ will need toegulations suchnd Informations on generalcommunicationt 6 (six) groupsdepartment in

Management /

5 

d

e e e

e y e

e f e

t n .

d e e e

o n e e s

a e . e

f a --.

g , r

e o h n l n s n /

Invesand M Fromleadeconc• I

Dpr

• TIao

• Na

• Ini

• Hs

In thleveltarge2.00.XYZ

Basebefortime,and govestandXYZstand• T• T

X• T

X• R

S

stment, RealizMonitoring and

m the results ofers of the Depalusion that: IT manager iDepartment of position and responsibilitiesThere is an urgIT managers wauthority clearof XYZ. Not to the procand monitor peIT applicationsnot been used its use and appHuman resourcsufficient comp

he example in l at this time uet level kemata. However, in

Z wanted target

ed on the resure the results , regulation, thanalysis of

ernance docudards, and / or Z will need todards, and / or pThe Chief InfoThe IT StrategXYZ The CommitteXYZ Repair IT DStrucuture

zation Systemd Evaluation.

f the interviewartment of XYZ

in each organf XYZ, in gene

not have s and authoritiegent need for

with the tasks, rly in every un

cedures for maerformance of Is that have beebecause users

plication is not ces (HR) IT mpetence.

the Departmeunder 1.00, so

angannya is a mthis example,

t maturity level

ults of which of the study ohe maturity lethe gap can

ument that procedures. Fo

o be made, amprocedures for

ormation Officegy Committee o

ee Committee

Department X

, Operating S

ws conducted fZ, among othe

nization unit iral, but there isa structural

es clearly. the establishmresponsibilitie

nit in the Depar

anaging IT resoIT services en made whichcan not contromaintained.

managers do no

nt of XYZ mao still quite remaximum of 1, the Departml of at least 2.0

have been obof conditions avel of measur

n be made acontains po

or the Departmmong other por: er (CIO) of the Departm

e IT Departme

XYZ Organiza

System

for the ers, the

in the s not a

role,

ment of es and rtment

ources

h have ol how

ot have

aturity ealistic 1.00 or

ment of 00.

btained at this rement an IT olicies, ment of olicies,

ment of

ent of

ational

6  

Figure 2. The Improvement IT Department organizational structure of Departement XYZ

proposed In addition to the structure, the assignment of human resources for each position in the IT need to pay attention to the segregation of duties principle so that it can guarantee the security of data due to a conflict of interest. For example employees who are assigned as Application Programmer can not at the same time functioned as a Help Desk officer or Support Manager because it could enable a change in applications without the proper authorization procedures. 4. Conclusion From this research can be concluded that: 1. Framework proposed in this research can be

applied by a department to set up its IT governance that will fulfill and in accordance with the needs of the department.

2. Conditions and regulations that affect department need to be identified and measured so that the resulted IT governance is in accordance with the needs of the department.

3. IT Governance maturity model from COBIT can be used to measure the maturity of the implementation of IT Governance in a Department

4. Improvements that need a change in the organizational structure of IT Department are usually not as easy and as fast as in the private sector. Therefore the solutions that can be offered is to issue a decree (SK) by the chief of each division in the department to conduct the IT function.

5. IT governance of each department might likely to be different from each other because the conditions and regulations of each department is different.

6. Leadership, structure and process are the main focus in IT governance.

7. Improvements to IT governance needs to be done by creating policies, standards and procedures related to leadership, structure, process of IT governance.

References [1] DETIKNAS, Panduan umum Tata Kelola

Teknologi Informasi dan Komunikasi Nasional, Versi 1. Jakarta: Departemen Komunikasi dan Informatika Republik Indonesia, 2007.

[2] ISACA, CISA Review Manual 2008. IL, 2007.

[3] ISO/IEC, International Standard, ISO/IEC 38500, Corporate Governance of Information Technology. Switzerland: ISO Copyright Office, 2008.

[4] ITGI. Board briefing on IT Governance (2nd ed.). www.itgi.org, 2003.

[5] ITGI. IT Governance Implementation Guide, 2003, www.itgi.org, 2003.

[6] ITGI, COBIT 4.1. www.itgi.org, 2007. [7] ITGI, “Introductory COBIT Presentation:

Overview of IT Governance and the COBIT Framework,” www.itgi.org, 2007.

[8] ITGI, IT Governance Implementation Guide: using COBIT. www.itgi.org, 2007.

[9] ITGI, “IT Governance Implementation Templates,” www.itgi.org, 2007.

[10] ITGI, “IT Governance Global Status Report – 2008,” www.itgi.org, 2008.

[11] Mark Moore, Creating Public Value: Strategic Management in Government. MA: Harvard University Press, 1995.

[12] Peter Weill and Jeanne W. Ross, IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Massachusetts: Harvard Business School Press, 2004.

[13] Standards Australia. Australian Standard: Corporate Governance of Information and Communication Technology (first published as AS 8015 – 2005). Sydney: Standards Australia, 2005.

[14] Wim Van Grembergen and Steven De Haes, Implementing Information Technology Governance: Models, Practices, and Cases. New York: IGI Publishing, 2008.