evaluasi tata kelola teknologi informasi berdasarkan cobit
TRANSCRIPT
Evaluasi Tata Kelola Teknologi Informasi Berdasarkan COBIT Framework (Studi Kasus di PT Kereta Api Indonesia)
Suryawan Sudibyo, Machmudin Eka Prasetya
Program Studi S1 Akuntansi Reguler Fakultas Ekonomi Universitas Indonesia
Email: [email protected]
Abstrak
Skripsi ini membahas tentang penilaian tata kelola teknologi informasi pada PT Kereta Api Indonesia (persero) yang berdasarkan pada kerangka kerja COBIT khususnya pengukuran maturity level. Hal ini dilakukan karena tata kelola teknologi dibutuhkan untuk memastikan bahwa investasi teknologi informasi yang dilakukan oleh perusahaan dapat membantu dan selaras dengan tujuan bisnis perusahaan. Berdasarkan hasil pemetaan tujuan bisnis PT Kereta Api Indonesia (persero) dengan tujuan bisnis COBIT terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. PT Kereta Api Indonesia (persero) memiliki 4 proses pada level Managed and Measurable, 11 proses pada level defined, 13 proses pada level repeatable but intuitive dan 2 proses level pada level ad-hoc Kata Kunci: COBIT 4.1, Tata Kelola Teknologi Informasi, maturity level
Evaluation of Information Technology Governance Based on COBIT Framework (Study Case on PT Kereta Api Indonesia)
Abstract
This paper discusses about the assessment of information technology governance on PT Kereta Api Indonesia (persero) based on COBIT framework and specifically with maturity level models. Evaluation of IT governance is needed to make sure that the investment made by organization is aligned with their business goals. Mapping of PT Kereta Api Indonesia’s business goals with COBIT’s business goals identified 30 IT Process and 183 Control Objectives. PT Kereta Api Indonesia has 4 process at level managed and measurable, 11 process at level defined, 13 process at level repeatable but intuitive and 2 process at level ad-hoc Keywords: COBIT 4.1, IT Governance, maturity level Pendahuluan Teknologi Informasi (TI) berkembang pesat seiring dengan berkembangnya ilmu pengetahuan
khususnya dalam bidang teknologi. Perkembangan yang pesat ini menjadikan penerapan
teknologi informasi pada berbagai organisasi menjadi sebuah hal yang vital dan penting.
Penerapan teknologi informasi dipandang sebagai sebuah sarana dalam meningkatkan
efisiensi dan efektivitas kinerja organisasi yang dapat membantu organisasi dalam menjalani
persaingan. Walau begitu penerapan teknologi informasi merupakan sebuah kegiatan yang
meliputi banyak faktor seperti biaya, waktu dan fungsi, melihat hal tersebut maka penerapan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
teknologi harus dilakukan secara berhati-hati agar dapat mencapai tujuannya dan berfungsi
secara optimal.
Peranan teknologi informasi yang signifikan ini membuat manajemen perusahaan untuk lebih
fokus dalam mengelola penggunaan teknologi informasi. Hal ini dikarenakan dalam
implementasi teknologi informasi terdapat berbagai kemungkinan buruk yang mungkin terjadi
seperti kerugian bisnis, kerusakan reputasi, melemahkan kemampuan kompetisi perusahaan,
teknologi yang digunakan sudah usang dan kebocoran data (ITGI, 2003). Hal-hal tersebut
mendorong perusahaan agar lebih fokus dalam mengambil kebijakan-kebijakan yang
berhubungan dengan teknologi informasi perusahaan.
Oleh karena itu dalam mengelola teknologi informasi perusahaan dapat menerapkan IT
Governance agar pengelolaan teknologi informasi dapat lebih efektif. Dalam penelitiannya
Lunardi et al. (2013) menemukan bahwa perusahaan yang menerapkan IT Governance
meningkat performanya khususnya pada profitabilitas perusahaan. IT Governance adalah
sebuah bagian integral dari Corporate Governance yang terdiri dari kepemimpinan, struktur
organisasi serta proses untuk memastikan bahwa tujuan perusahaan tercapai dari penerapan
teknologi informasi (ITGI, 2003). Dalam penerapannya tata kelola teknologi informasi dapat
menggunakan framework COBIT, yakni sebuah framework yang dikeluarkan oleh
Information Technology Governance Institute (ITGI). Framework ini dapat mengarahkan
perusahaan agar penerapan teknologi informasi yang dilakukan mencapai tujuannya.
Penelitian ini mengangkat kasus pada PT KAI (Persero) Tbk dimana saat ini Perusahaan ini
sedang dalam tahap untuk menerapkan Tata Kelola TI dalam berbagai bagian perusahaan.
Walau penerapan dan pengembangan teknologi informasi terus dilakukan oleh PT KAI hal ini
belum dapat menjamin bahwa dalam pelaksanaannya penerapan ini dapat memberikan value
dan memenuhi objektif perusahaan oleh karena itu penulis ingin melakukan pengukuran
pengelolaan teknologi informasi menggunakan framework COBiT 4.1 pada perusahaan.
Tujuan penelitian ini adalah mengidentifikasi praktik tata kelola teknologi informasi pada PT
KAI, mengukur kinerja tata kelola teknologi informasi berdasarkan maturity model
berdasarkan COBIT, memperkenalkan kerangka kerja COBIT kepada manajemen mengenai
proses dan kerangkanya, agar perusahaan memiliki gambaran yang lebih jelas mengenai
kontrol dan audit TI.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Tinjauan Teoritis
Menurut ITGI (2003) tata kelola teknologi informasi adalah “IT governance is the
responsibility of the board of directors and executive management. IT is an integral part of
enterprise governance and consists of the leadership and organizational structures and
processes that ensure that the organization’s TI sustains and extends the organization’s
strategies and objectives.” Dari uraian tersebut tata kelola teknologi informasi adalah sebuah
tanggung jawab direksi dan manajemen yang merupakan sebuah bagian integral dari tata
kelola perusahaan (corporate governance), tata kelola teknologi informasi terdiri dari
kepemimpinan, struktur organisasi serta proses yang berguna untuk menjamin pelaksanaan
dan pengelolaan teknologi informasi sesuai dengan strategi dan tujuan perusahaan.
Sedangkan menurut Van Grembergen (2002) “IT Governance is the organizational capacity
exercised by the Board, executive management and IT management to control the formulation
and implementation of IT strategy and in this way ensure the fusion of business and IT.” Dari
uraian tersebut tata kelola teknologi informasi adalah sebuah bentuk kapasitas organisasi yang
dilakukan oleh direksi, manajemen dan divisi teknologi informasi untuk mengontrol,
memformulasi dan melaksanakan strategi teknologi informasi yang dapat menggabungkan
bisnis dan teknologi informasi secara utuh.
Menurut Weill and Ross (2004) tata kelola teknologi adalah: “Specifying the decision rights
and accountability framework to encourage desirable behavior in using IT.” Dari pengertian
tersebut tata kelola teknologi informasi merupakan penetapan hak pengambilan keputusan dan
framework akuntabilitas agar tercapainya penerapan teknologi informasi yang sesuai dengan
keinganan.
Menurut Luftman (1996) tata kelola teknologi adalah: “IT governance is the selection and
use of relationships such as strategic alliances or joint ventures to obtain key IT
competencies. This is analogous to business governance, which involves make- vs.-buy
choices in business strategy. Such choices cover a complex array of interfirm relationships,
such as strategic alliances, joint ventures, marketing exchange, and technology licensing.”
Dari pengertian tersebut tata kelola teknologi informasi dapat dianalogikan seperti tata kelola
perusahaan yang berfokus pada kompetensi teknologi informasi yang melibatkan berbagai
pilihan dalam strategi bisnis. Pilihan tersebut meliputi berbagai hubungan yang kompleks
seperti strategic alliances, joint ventures dan lisensi teknologi.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Dari berbagai definisi yang ada dapat disimpulkan bahwa tata kelola teknologi menekankan
pada hubungan antara strategi teknologi informasi dan kebijakan strategis perusahaan agar
tercapai keselarasan selain itu tata kelola teknologi informasi mendorong keterlibatan peran
direksi dan pihak-pihak yang bertanggung jawab dalam penerapan kebijakan teknologi
informasi.
Control Objectives for Information and Related Technology (COBIT) adalah sebuah
framework yang berfokus pada tata kelola teknologi informasi dan di buat oleh ISACA,
sebuah badan internasional yang berfokus pada tata kelola teknologi informasi dan merupakan
afiliasi dari IFAC (International Federation of Accountants). COBIT berguna sebagai sebuah
alat yang dapat membantu manajer dalam mengelola celah antara persyaratan kontrol,
masalah teknikal dan risiko bisnis.
COBIT memberikan panduan yang jelas mengenai praktik dan kebijakan yang baik dalam
seluruh domain dan kerangka proses serta menyajikan aktivitas dalam bentuk yang terstruktur
dan terarah. COBIT lebih fokus terhadap kontrol bukan kepada eksekusi. Hal ini akan
membantu optimisasi dari investasi teknologi informasi, memastikan penyampaian servis dan
menyajikan sebuah pengukuran untuk dapat menilai apakah segala implementasi teknologi
informasi berjalan sesuai harapan atau tidak.
COBIT mendefinisikan aktivitas ke dalam model proses yang dibagi ke dalam 4 domain yang
dibagi berdasarkan tanggung jawab perencanaan, pembuatan, pelaksanan dan pengukuran,
keempat domain ini adalah:
Perencanaan dan Pengorganisasian (Plan and Organise)
Domain ini meliputi strategi dan taktik serta memperhatikan identifikasi cara agar teknologi
informasi dapat memberikan kontribusi sebaik-baiknya terhadap pencapaian tujuan bisnis.
Realisasi dari strategi harus direncanakan, dikomunikasikan dan dikelola dalam berbagai
sudut pandang
Pengadaan dan implementasi (Acquire and Implement)
Untuk dapat merealisasikan strategi TI, solusi TI harus dapat diidentifikasi, dikembangkan
atau didapatkan serta harus diimplementasikan dan diintegrasikan ke dalam proses bisnis.
Selain itu, pemeliharaan dari sistem yang sudah ada juga termasuk kedalam domain ini untuk
memastikan bahwa solusi yang ada terus memenuhi tujuan bisnis.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Penyampaian Layanan dan Dukungan (Deliver and Support)
Domain ini memperhatikan penyampaian sesungguhnya dari layanan yang diperlukan dan
mencakup mencakup penyediaan layanan, manajemen keamanan dan kelangsungan,
dukungan layanan pada pengguna, manajemen data dan fasilitas operasional.
Monitor dan Evaluasi (Monitor and Evaluate)
Domain ini berfokus pada penilaian dari seluruh proses TI berdasarkan dari kualitas dan
kepatuhan terhadap persyaratan kontrol. Domain ini membahas masalah performa,
pengawasan internal kontrol, kepatuhan peraturan dan tata kelola
Profil Perusahaan
PT Kereta Api Indonesia (Persero) adalah Badan Usaha Milik Negara (BUMN) yang bergerak
dalam bidang jasa pengangkutan kereta api. Pelayanan yang diberikan oleh PT KAI meliputi
jasa angkutan penumpang dan barang serta jasa non-angkutan berupa penyewaan asset seperti
hotel dan bangunan. PT KAI dimiliki seluruhnya oleh pemerintah
PT KAI mulai fokus mengembangkan sistem teknologi informasi perusahaan pada tahun
2010, PT KAI melakukan transformasi secara besar-besaran di bidang TI dan dituangkan
dalam master plan pengembangan TI 2011-2015. Pada tahun 2011 PT. Kereta Api Indonesia
(KAI) (Persero) meluncurkan sebuah aplikasi yang bisa memonitoring seluruh jaringan dan
infrastruktur IT milik PT. KAI yang terintegrasi dengan Network Operation Center (NOC).
Aplikasi yang diberi nama MONALISA ini, bisa melihat secara langsung dan komprehensif
seluruh jaringan dan infrastruktur yang berada di Daerah Operasi (Daop) dan Divisi Regional
(Divre) serta Kantor Pusat PT. KAI. Sehingga jika terdapat gangguan, NOC bisa dengan
segera dilakukan perbaikan. Dalam aplikasi ini, bisa semakin mudah untuk melihat sejauh
mana penggunaan berbagai infrastruktur jaringan IT, yang sebelumnya pemeriksaan
dilakukan secara manual. Monalisa sendiri merupakan singkatan dari “Monitoring Aplikasi
Infrastuktur dan Service Level Agreement (SLA).
Selain itu pada tahun 2011 juga PT Kereta Api Indonesia juga mulai menerapkan Enterprise
Resource Planning yakni SAP. Modul yang digunakan mulai tahun 2011 antara lain adalah
Finance and Controlling (FICO) dan Human Resource (HR). Selain itu pada tahun 2011 PT
KAI juga meluncurkan sistem penjualan tiket berbasis online yang bernama Rail Ticket
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
System (RTS) guna memperlancar dan mempermudah proses penjualan tiket kepada end-
user.
Pada tahun 2012 selanjutnya PT KAI menerapkan beberapa modul SAP lainnya yakni
Material Management (MM), Plant Maintenance (PM), Payroll dan Case Management.
Setalah itu di tahun 2013 ini PT KAI berencana menerapkan modul Sales & Distribution,
perluasan cakupan Plant Maintenance dan Fund Management. PT KAI juga menggunakan
smartsheet sebagai tools dalam melaksanakan proyek yang ada. Di tahun 2013 ini juga PT
KAI sedang melakukan sertifikasi dibagian IT Security yakni ISO 27002. PT KAI bekerja
sama dengan consulting security dalam rangka sertifikasi tersebut.
Metodologi Penelitian
Penelitian ini akan mendeskripsikan penerapan tata kelola teknologi informasi pada PT KAI
menggunakan pendekatan studi kasus yang bersifat evaluatif.
Uma dan Roger (2010) mendefinisikan studi kasus sebagai sebuah analisis kontekstual secara
mendalam mengenai suatu situasi,studi kasus bersifat kualitatif secara umum dan berguna
untuk mengaplikasikan solusi, memahami beberapa fenomena dan menghasilkan teori
lanjutan untuk pengetesan empiris. Pendekatan studi kasus ini menghasilkan sebuah analisa
yang utuh mengenai sebuah objek yang berdasarkan kerangka analisis tertentu
Desain penelitian yang akan dilakukan adalah seperti yang tergambar dalam gambar 1
Gambar 1: Tahapan Penelitan
Iden%fikasi Business Goals
Iden%fikasi IT Goals
Iden%fikasi IT Process
Iden%fikasi control-‐objec5ves
Pengukuran maturity level
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Tahapan pertama adalah mengidentifikasi tujuan bisnis perusahaan yang di sepadankan
dengan tujuan bisnis COBIT. Tujuan bisnis PT KAI dapat dilihat dari Rencana Jangka
Panjang Perusahaan yang kemudian ditranslasi kedalam tujuan bisnis COBIT.
Tahapan kedua pada tahap ini dilakukan COBIT business goals to IT goals mapping, peneliti
mengidentifikasi tujuan dari pengembangan TI berdasarkan tujuan bisnis perusahaan yang
sebelumnya telah ditentukan. Hasilnya adalah IT Goals yang harus dipenuhi oleh perusahaan
Tahapan ketiga pada tahap ini dilakukan COBIT IT Goals to IT process mapping, peneliti
mengidentifikasi IT Process berdasarkan IT Goals yang sebelumnya sudah ditentukan.
Hasilnya adalah IT Process yang harus dipenuhi oleh perusahaan
Tahapan keempat pada tahapan ini di identifikasi control-objectives dari setiap IT process
yang sudah berhasil diidentifikasi sebelumnya. Untuk setiap IT process terdapat detailed
control-objectives yang berbeda-beda
Tahapan kelima pada tahap terakhir dari penelitian ini adalah pengukuran maturity level,
sesuai dengan maturity model berdasarkan COBIT 4.1. Pada tiap level, terdapat daftar
pernyataan yang dapat digunakan sebagai pengukuran untuk menilai sejauh mana proses yang
berlangsung dalam perusahaan telah memenuhi pernyataan tersebut. Secara umum penilaian
maturity level adalah sebagai berikut:
• Level 0: non-existent.
Sama sekali belum ada proses yang dapat diidentifikasi. Perusahaan belum menyadari
adanya masalah yang dapat dibahas
• Level 1: initial/ad-hoc.
Terdapat bukti bahwa perusahaan sudah menyadari adanya masalah dan perlunya
pembahasan masalah. Walaupun begitu belum ada proses yang terstandar dan
cenderung menggunakan pendekatan individual untuk setiap kasus. Secara umum
pendekatan perusahaan belum terorganisir
• Level 2: repeatable but intuitive.
Proses telah dikembangkan hingga tahapan yang memungkinkan prosedur serupa
dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak terdapat pelatihan
formal atau komunikasi mengenai prosedur standard, dan tanggung jawab diserahkan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
kepada individual. Terdapat ketergantungan yang tinggi terhadap pengetahuan
individual sehingga kemungkinan kesalahan meningkat.
• Level 3: defined process.
Prosedur telah distandardisasi dan didokumentasikan serta dikomunikasikan melalui
pelatihan. Terdapat keharusan bahwa setiap proses harus diikuti, walaupun begitu
penyimpangan terhadap prosedur sulit dideteksi. Prosedur yang ada hanyalah
formalisasi dari praktik yang ada.
• Level 4: managed and measurable.
Manajemen memonitor dan mengukur kepatuhan terhadap prosedur dan mengambil
langkah bila proses dianggap tidak bekerja secara efektif. Otomatisasi dan alat bantu
digunakan secara terbatas dan terpisah.
• Level 5: optimized.
Proses sudah sampai pada tahapan best-practice. Melalui peningkatan yang terus
menerus. TI digunakan secara terintegrasi dan mengotomatisasi alur kerja,
menyediakan alat untuk meningkatkan kualitas serta efektifitas dan pada akhirnya
membuat perusahaan lebih mudah dalam beradaptasi
Hasil Penelitian Berikut ini akan dirangkum tabel mengenai penilaian tingkat kematangan pada tiap IT process
pada PT KAI:
Tabel 1 Pengukuran Maturity Level di PT KAI
Plan and Organize
PO1 Define a strategic IT plan. 4
PO2 Define the information architecture 1
PO3 Determine technological direction 2
PO4 Define the IT processes, 8rganization
and relationships
2
PO5 Manage the IT investment 2
PO6 Communicate management aims and 3
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
direction
PO7 Manage IT human resources 3
PO8 Manage quality 3
PO9 Assess and manage IT risks 1
PO10 Manage projects 1
Rata-rata PO 2,2
Acquire and Implement
AI1 Identify automated solutions 4
AI2 Acquire and maintain application
software
3
AI3 Acquire and maintain technology
infrastructure
2
AI4 Enable operation and use 3
AI5 Procure IT resources 3
AI6 Manage changes 2
AI7 Install and accredit solutions and
changes
2
Rata-rata AI 2,7
Deliver and Support
DS1 Define and manage service levels 4
DS2 Manage third-party services 3
DS3 Manage performance and capacity 3
DS4 Ensure continuous service 2
DS5 Ensure systems security 4
DS6 Identify and allocate costs 2
DS7 Educate and train users 3
DS8 Manage service desk and incidents 2
DS9 Manage the configuration 1
DS10 Manage problems 2
DS13 Manage operations 3
Rata-rata DS 2,6
Monitor and Evaluation
ME1 Monitor and evaluate IT performance 3
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
ME4 Provide IT governance 2
Rata-rata ME 2,5
Rata-rata Seluruh Domain 2.51
Maturity levels PT KAI secara keseluruhan berada pada tingkatan Repeatable but intuitive
seperti terlihat pada tabel 4.16 yakni bernilai 2,51, dimana proses telah dikembangkan hingga
tahapan yang memungkinkan prosedur serupa dapat dilakukan oleh setiap orang untuk tugas
yang sama. Tidak terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan
tanggung jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap
pengetahuan individual sehingga kemungkinan kesalahan meningkat.
Pembahasan
Penentuan tingkat kematangan (maturity level) dilakukan untuk mengukur sejauh mana
perusahaan telah memenuhi standard pengelolaan teknologi informasi pada perusahaan.
Selain itu pengukuran tingkat kematangan juga penting untuk mengetahui dan
mengidentifikasi proses yang perlu diprioritaskan untuk meningkatkan kualitas tata kelola
teknologi informasi yang ada. Pengukuran maturity level COBIT tidak memiliki standard
metodologi baku (Andrea P, 2003) dan menurut ITGI pengukuran tidak ditujukan sebagai
sebuah pengukuran yang presisi dan terstandard sehingga pengukuran dilakukan berdasarkan
closest-fit.
Pengukuran maturity level dalam penelitian ini akan dikelompokan sesuai dengan tiap-tiap
proses TI yang ada.
Tabel 2: Analisis Domain COBIT
IT Process Analisis
PO1 Define a strategic IT plan. PT KAI sudah terdapat IT Master Plan
yang berisikan tentang rencana kerja
dan investasi strategis pengembangan
TI untuk jangka panjang selama 5 tahun
dan untuk jangka pendek dibuat untuk
kurun waktu kurang dari 1 tahun
PO2 Define the information PT KAI belum terdapat model
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
architecture arsitektur informasi terstandard yang
digunakan.
PO3 Determine technological direction Manajemen PT KAI telah merancang
arah pengembangan teknologi
perusahaan. Hal ini ditandai dengan
rencana penambahan modul ERP
perusahaan, peningkatan infrastruktur
TI perusahaan dan berbagai sertifikasi
ISO dalam bidang teknologi informasi
PO4 Define the IT processes,
organisation and relationships
PT KAI telah memiliki pembagian
tugas yang jelas pada divisi TI hal ini di
tuangkan dalam tugas pokok inti divisi
TI. Selain itu keamanan informasi
sudah dilakukan dengan melakukan
encryption serta cryptographic pada
informasi perusahaan
PO5 Manage the IT investment Pada PT KAI manajemen telah
menentukan prioritas investasi TI yang
sesuai dengan budget perusahaan selain
itu penetapan budget untuk investasi TI
telah dilakukan oleh dewan direksi
untuk setiap tahunnya. Perencanaan
penggunaan dana investasi TI ini
dituangkan dalam IT Master Plan
perusahaan
PO6 Communicate management aims
and direction
Manajemen PT KAI telah secara aktif
mengomunikasikan penerapan TI antara
dewan direksi dan divisi TI. Hal ini
dilakukan melalui rapat koordinasi dan
evaluasi yang rutin dilakukan baik
secara horizontal maupun vertical.
PO7 Manage IT human resources Pada PT KAI terdapat pendekatan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
strategis untuk merekrut dan mengelola
IT personnel. Rencana training resmi
telah ditetapkan untuk SDM TI.
Program rotasi karyawan sudah
ditetapkan dalam rangka
pengembangan skill manajemen dan
teknik.
PO8 Manage quality Pada PT KAI manajemen telah
menerapkan ISO 9001 yang mengatur
tentang quality management system
terhadap berbagai divisi dan sarana
pada perusahaan. Hal ini menunjukan
bahwa manajemen telah menyadarinya
sebuah kebutuhan atas kualitas mutu
PO9 Assess and manage IT risks Pada PT KAI, manajemen khususnya
divisi TI belum memiliki pengukuran
risiko yang terdokumentasi dan formal
PO10 Manage projects Pada PT KAI sudah terdapat gambaran
dan rencana mengenai pengembangan
TI pada perusahaan yang tergambarkan
dalam Master Plan IT. Walau begitu
dalam manajemen proyek belum
terdapat kerangka kerja formal,
perusahaan masih menggunakan
pendekatan tradisional dalam
menjalankan proyek
AI1 Identify automated solutions Pada PT KAI rencana pembelian atau
pembuatan mengenai proyek TI sudah
dilakukan tahapan perencanaan oleh
business process owner terkait.
Rencana ini mencakup mengenai biaya,
waktu dan spesifikasi proyek yang
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
diinginkan
AI2 Acquire and maintain application
software
Pada PT KAI saat perusahaan
memutuskan untuk membuat atau
membeli sebuah aplikasi atau perangkat
TI maka persyaratan dan spesifikasi
diberikan oleh tim BPO. Spesifikasi
dan persyaratan ini akan
dikonsultasikan dengan divisi TI dan
ditranslasikan kedalam sebuah solusi
yang terenacana
AI3 Acquire and maintain technology
infrastructure
PT KAI sudah melakukan perawatan
dan perencanaan pemeliharaan
infrastruktur secara berkala. Pada
datacenter perusahaan setiap minggu
sistem akan di switch ke back-up
system untuk dirotasi dan memastikan
bahwa sistem cadangan bekerja
AI4 Enable operation and use Pada PT KAI dalam memastikan
penerapan sebuah sistem atau aplikasi
baru agar dapat digunakan oleh end-
user divisi TI melakukan pelatihan
kepada para pengguna.
AI5 Procure IT resources Pada PT KAI pengadaan kebijakan dan
prosedur akuisisi TI telah ditetapkan,
didokumentasikan dan
dikomunikasikan. Kebijakan dan
prosedur akuisisi TI di PT KAI
mengacu kepada proses bisnis
perusahaan secara keseluruhan.
Manajemen TI mengkomunikasikan
kebutuhan akuisisi dan manajemen
kontrak melalui fungsi TI.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
AI6 Manage changes Pada PT KAI sudah terdapat
dokumentasi formal mengenai
perubahan yang berkaitan dengan TI
yang mencakup prosedur, proses,
kebijakan dan sistem. Perubahan sistem
yang besar misalnya pada saat
penerapan ERP SAP dilakukan sesuai
dengan standard sistem terkait yang
mencakup persiapan proyek, business
blueprint hingga persiapan go live.
AI7 Install and accredit solutions and
changes
Hal ini tidak dapat dibahas lebih lanjut
karena pada pengujian dan pengetesan
sebuah sistem yang mempengaruhi
operasi secara besar perusahaan
menyerahkana sepenuhnya test
environment dan test procedure kepada
pihak eksternal dan vendor yang
menyediakan jasa pengadaan sistem
DS1 Define and manage service levels Pada PT KAI untuk berbagai pelayanan
TI yang terkait dengan pihak eksternal
maupun internal, manajemen
menentukan batasan SLA minimum
yakni kehandalan (reliability) 99,9% .
untuk pihak eksternal manajemen TI
melakukan penilaian performa setiap
bulan untuk memastikan tingkat
operasional memenuhi SLA yang telah
ditentukan
DS2 Manage third-party services Pada PT KAI untuk pelayanan yang
disediakan oleh pihak ketiga seperti
RTS, jaringan dan sebagainya sudah
memiliki dokumentasi SLA dalam
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
bentuk perjanjian formal. Perjanjian
mengenai SLA ini mengatur hal-hal
penting seperti kehandalan minimum
mengenai layanan, penalty bila target
tidak tercapai dan berbagai hal lainnya.
DS3 Manage performance and capacity Pada PT KAI penentuan kapasitas dan
perfoma pada bidang TI sudah
diselaraskan dengan peramalan
kebutuhan bisnis. Hal ini sesuai dengan
manajemen stratejik perusahaan yang
disudah mempertimbangkan berbagai
asumsi makro dan perkembangan
bisnis. Pembuatan IT Master Plan
sudah diseleraskan dengan manajemen
stratejik perusahaan
DS4 Ensure continuous service PT KAI sudah memiliki beberapa IT
Continuity Plan untuk beberapa
infrastruktur vital seperti datacenter
yang memiliki 2 offsite back up storage
yang terletak di Jakarta dan BSD.
DS5 Ensure systems security Pada PT KAI perusahaan telah
melakukan berbagai langkah
pengamanan informasi. Hal ini dapat
dilihat dari penerapan pembatasan
akses pengguna yang dibagi menjadi 3
level, penggunaan firewall pada
datacenter perusahaan, encryption pada
server mail hingga pengadopsian ISO
27001 mengenai standardisasi
keamanan informasi sesuai dengan
standard internasional
DS6 Identify and allocate costs Pada PT KAI sudah terdapat ketentuan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
dan dokumentasi mengenai biaya
teknologi informasi, Alokasi biaya TI
perusahaan disesuaikan dengan
kebutuhan bisnis dan pelaksanaannya
harus sesuai dengan yang telah
direncanakan
DS7 Educate and train users Pada PT KAI manajemen TI telah
melakukan pelatihan baik terhadap
internal divisi TI dan kepada end-user
agar pengoperasian sistem berjalan
efektif. PT KAI sudah memiliki
dokumentasi dan perencanaan formal
mengenai pelatihan dan pendidikan
pengguna, selain itu PT KAI juga rutin
melakukan sertifikasi bagi personnel TI
DS8 Manage service desk and incidents Pada PT KAI sudah terdapat help desk
untuk membantu pengguna akhir jika
terdapat permasalahan dalam sistem.
Sudah terdapat SOP dan dokumentasi
lainnya yang membantu dan
mengarahkan tugas help desk dalam
menghadapi beberapa permasalahan
umum
DS9 Manage the configuration PT KAI belum memilik manajemen
konfigurasi secara formal dan
terdokumentasi.
DS10 Manage problems Pada PT KAI permasalahan
diidentifikasi apakah terjadi karena
kesalahan pengguna atau kesalahan
sistem oleh help desk. Apabila
kesalahan sistem terjadi terkait dengan
aplikasi yang disediakan eksternal
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
IT Process Analisis
vendor maka penyelesaian masalah
menggunakan bantuan vendor
DS13 Manage operations Pada PT KAI sudah melakukan
beberapa manajemen terkait operasi
seperti pengawasan infrastruktur TI,
pengukuran kehandalan dan pemenuhan
SLA, pembakuan dan dokumentasi
SOP terkait operasi serta perawatan
terhadap infrastruktur.
ME1 Monitor and Evaluate IT
performance
Pada PT KAI sudah melakukan
pengawasan dan pengukuran kinerja
untuk beberapa pelayanan TI. Tingkat
SLA berbagai infrastruktur TI di awasi
oleh sistem terintegrasi, evaluasi
personil dilakukan sesuai dengan KPI
dan sudah dikembangkan pendekatan
balance scorecard untuk pengukuran
kinerja
ME4 Provide IT Governance Salah satu tujuan PT KAI adalah
penerapan tata kelola perusahaan yang
termasuk didalamnya tata kelola
teknologi informasi. Hal ini terlihat
dengan pembentukan komite audit di
tahun 2012, pembentukan IT Steering
Committee dan perubahan struktur
organisasi perusahaan. Perencanaan
stratejik perusahaan juga sudah
dituangkan kedalam RJPP perusahaan
dan pendekatan BSC sudah digunakan
untuk memetakan tujuan perusahaan
beserta KPI
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Kesimpulan dan Saran
Berdasarkan analisisn dan evaluasi yang sudah dilakukan di BAB 4 maka kesimpulan yang
dapat diambil adalah:
a) Penerapan tata kelola teknologi informasi pada PT KAI berdasarkan pada pengukuran
tingkat kematangan berada pada level 2,55 berada pada tingkatan Repeatable but
intuitive, dimana proses telah dikembangkan hingga tahapan yang memungkinkan
prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama. Tidak
terdapat pelatihan formal atau komunikasi mengenai prosedur standard, dan tanggung
jawab diserahkan kepada individual. Terdapat ketergantungan yang tinggi terhadap
pengetahuan individual sehingga kemungkinan kesalahan meningkat.
b) Berdasarkan hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada
PT KAI terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi. IT
Process dan Control Objectives yang teridentifikasi ini harus diperhatikan perusahaan
dalam menjalankan tata kelola teknologi informasi.
c) Di PT KAI terdapat 4 proses pada level Managed and Measurable, 11 proses pada
level defined, 11 proses pada level repeatable but intuitive dan 4 proses level pada
level ad-hoc. Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi
perusahaan, manajemen dapat berfokus pada proses TI yang masih rendah (berada
pada level ad-hoc dan repeatable but intuitive).
Saran bagi perusahaan antara lain:
a) Perusahaan sebaiknya menerapkan cost management pada perusahaan. Hal ini untuk
memudahkan perusahaan dalam melacak dan mengidentifasi biaya baik pada level
operasional maupun pada saat pelaksanaan proyek perusahaan. Hal ini dapat
membantu efektifitas perusahaan terutama dalam faktor biaya serta membantu kontrol
yang lebih baik terhadap biaya.
b) Perusahaan dapat mengadopsi kerangka kerja mengenai information architecture yang
sudah sesuai standard internasional seperti misalnya adalah TOGAF, Zachman
Framework dan SAP-EAF. Dalam hal ini pilihan terbaik perusahaan adalah
mengintegrasikan information architecture SAP-EAF karena perusahaan
menggunakan ERP SAP.
c) Perusahaan sebaiknya mengadopsi project management yang lebih modern untuk
mempermudah pengawasan dan evaluasi proyek. Hal ini dapat mengefisensikan
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
perusahaan dalam langkah perencanaa, budgeting hingga langkah pelaksanaan dan
evaluasi.
d) Membuat architecture board atau IT strategy committee pada manajemen perusahaan
untuk membantu proses tata kelola teknologi informasi pada perusahaan.
e) Membuat sebuah lingkungan tes internal untuk menguji penerapan sebuah sistem TI
yang akan digunakan.
f) Membuat dan mengomunikasikan perihal risk appetite pada perusahaan hingga ke
semua level manajemen untuk memastikan bahwa seluruh karyawan menyadari
tingkat risiko perusahaan.
Kepustakaan
Applegate, L. M., Austin, R. D., & Soule, D. L. (2009). Corporate Information Strategy and
Management. International Edition: McGraw Hill.
Grembergen, W. V. (2004). Strategies for Information Technology Governance. London: Idea
Group Publishing.
IT Governance Institute. (2003). Board Briefing on IT Governance. Rolling Meadow: ITGI.
IT Governance Institute. (2007). COBIT 4.1: Framework, Control Objectives, Management
Guideline and Maturity Model. Rolling Meadow: ITGI.
IT Governance Institute. (2007). IT Assurance Guide: Need for IT Governance and Assurance
and IT Assurance Approach. Rolling Meadow: ITGI.
Kesumawardhani, D. R. (2012). Evaluasi IT Governance Berdasarkan COBIT 4.1 (Studi
Kasus di PT Timah (persero) Tbk). Skripsi Fakultas Ekonomi Universitas Indonesia.
Luftman, J. (1996). Competing in the Information Age - Strategic Alignment in Practice.
Oxford University Press.
Lunardi, G. L., Becker, J. L., Macada, A. C., & Dolci, P. C. (2013). The Impact of Adopting
IT Governance on Financial Performance: an Empirical Analysis among Brazilian
Firms. International Journal of Accounting Information Systems .
PT Kereta Api Indonesia (persero). (2011). Laporan Tahunan 2011.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013
Ramadhanti, D. (2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT Framework
4.1 (Studi Kasus pada PT Indonesia Power). Tesis Fakultas Ekonomi Universitas
Indonesia.
Ross, J. W., & Weill, P. D. (2004). IT Governance: How Top Performer Manage IT Decision
Right for Superior Result. Harvard Business Press.
Sekaran, U. (2010). Research Method for Business. USA: John Wiley and Sons.
Simonsson, M., & Johnson, P. (2005). Defining IT Governance - a Consolidation of
Literature. Stockholm: Department of Industrial Information and Control Systems.
Evaluasi Tata ..., Suryawan Sudibyo, FE UI, 2013