COBIT
adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut
sebagai toolset pendukung yang bisa digunakan untuk menjembatani antara
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam
suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan
sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu
meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses
sebuah organisasi dari sisi penerapan IT.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.
Siapa
saja yang menggunakan COBIT? COBIT digunakan secara umum oleh mereka yang
memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang
organisasinya sangat bergantung pada kualitas, kehandalan dan penguasaan
teknologi informasi.
Cobit memiliki 4 Cakupan Domain :
1.
Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan
taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan
kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk
sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2.
Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi
TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan
dan diintegrasikan dalam proses bisnis.
3.
Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian
layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek
kesinambungan bisnis sampai dengan pengadaan training.
4.
Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara
teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan
kontrol.
Keempat
domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus
dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar
kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi
informasi dapat memenuhi kebutuhan manajemen akan informasi.
COBIT
IT Processes Defined Withen The Four Domain
Gambar
Kerangka COBIT
PLANNING AND ORGANISATION
(PO)
ACQUISITION AND
IMPLEMENTATION (AI)
DELIVERY
AND SUPPORT (DS)
MONITORING
(M)
Secara keseluruhan 34 proses
diataslah yang digunakan sebagai panduan dalam menangani masalah tata kelola IT
atau pembuatan IT strategic plan, meskipun dalam prakteknya tidak mesti
menggunakan 34 proses tersebut karena proses-proses tersebut menyesuaikan
dengan kondisi organisasi.
Maturity
model adalah
suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti
adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya
pengembangan atau kapabilitas manajemen tergantung pada tercapainya
tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem
kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses
dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan
pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah
didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan
yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada
pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol).
Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi,
mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat
diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan
penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status
pengelolaan TI perusahaan pada saat itu.
2. Status standart
industri dalam bidang TI saat ini (sebagai pembanding)
3. Status standart
internasional dalam bidang TI saat ini (sebagai pembanding)
4. Strategi pengelolaan
TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)
Tingkat kemampuan pengelolaan TI pada
skala maturity dibagi menjadi beberapa level :
1. Level 0 (Non-existent)
Perusahaan tidak memiliki manajemen pada
suatu proses, bahkan belum dapat menilai isu apa saja yang perlu dipertimbangkan.
Dalam skala ini, penting untuk dilakukan evaluasi pengendalian dan dijadikan
sebagai temuan yang penting.
2. Level
1 (Initial Level)
Pada level ini,
organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk
mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya mengalami
kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan pengembangan
produk tidak dapat ditentukan dengan perencanaan yang tidak efektif, respon
sistem. Proses pengembangan tidak dapat diprediksi dan tidak stabil, karena
proses secara teratur berubah atau dimodifikasi selama pengerjaan berjalan
beberapa form dari satu proyek ke proyek lain. Kinerja tergantung pada
kemampuan individual atau term dan variasi dengan keahlian yang
dimilikinya.
3. Level 2 (Repeatable Level)
Pada level ini,
kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam
mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu proses
manajemen dalam mengembangankan proyek adalah institutionalized, dengan
memungkinkan organisasi untuk mengulangi pengalaman yang berhasil dalam
mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang tidak
sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced,
dokumentasi, enforced, trained, measured, dan dapat ditingkatkan. Product
requirement dan dokumentasi perancangan selalu dijaga agar dapat mencegah
perubahan yang tidak diinginkan.
4.
Level 3 (Defined Level)
Pada level
ini, proses standar dalam pengembangan suatu produk baru didokumentasikan,
proses ini didasari pada proses pengembangan produk yang telah diintegrasikan.
Proses-proses ini digunakan untuk membantu manejer, ketua tim dan anggota tim
pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang telah
didefenisikan dengan baik mempunyai karakteristik; readiness criteria,
inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme
verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung
jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak
didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang baik
mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam
pengawasan dan kualitas produk yang diawasi.
5.
Level 4 (Managed Level)
Pada level
ini, organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran
hasil. Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi
variasi kinerja proses sehingga terdapat batasan yang dapat diterima. Resiko
perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan
diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses
diukur dan dijalankan dengan limit yang dapat diukur.
6. Level 5 (Optimized Level)
Pada level ini,
seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus.
Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja
dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan
beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan dan defects
untuk menentukan penyebab kesalahannya. Proses pengembangan melakukan evaluasi
untuk mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi
lagi.
Domain : Acquisition And Implementation (AI)
Kasus : EVALUASI IT GOVERNANCE
BERDASARKAN COBIT 4.1
(STUDI KASUS DI PT TIMAH
(PERSERO) Tbk)
Penilaian
Tata Kelola TI di PT Timah (Persero) Tbk yang diukur dengan menggunakan
Maturity Level dalam COBIT Framework. PT Timah (Persero) Tbk sudah menerapkan
TI sebagai salah satu cara untuk mencapai tujuan bisnis agar investasi yang telah
dikeluarkan sebanding dengan tujuan yang akan dicapai perusahaan, oleh karenanya,
penegakan IT Governance menjadi keharusan. Selama ini PT Timah terus melakukan
pengembangan di dalam pengelolaan IT nya, namun hal tersebut belum menjamin
bahwa perusahaan sudah betul-betul menerapkan tata kelola TI nya dengan baik. Hal
ini dibutuhkan sebagai sebuah kontrol sistem audit yang tidak hanya memberikan evaluasi
terhadap Tata Kelola Teknologi Informasi di PT Timah, tetapi juga dapat memberikan
masukan demi perbaikan pengelolaan TI di masa yang akan datang. Atas dasar
tersebut, dilakukan penilaian terhadap tingkat kematangan penerapan tata kelola
TI yang selama ini sudah berjalan pada PT Timah dengan menggunakan COBIT
framework 4.1. analisis data mencakup tentang penerapan dan pengukuran kinerja
(Maturity Level) terhadap Tata Kelola TI di PT Timah. Data yang didapat merupakan
hasil wawancara maupun dokumen-dokumen terkait. Tahap-tahap analisis diawali
dengan pemetaan Business Goals di perusahaan dan COBIT, kemudian berdasarkan
hasil pemetaan tersebut akan diidentifikasi IT goals, IT Process, serta Control
Objectives berdasarkan COBIT yang dapat menjadi sasaran di perusahaan, hingga
tahap yang terakhir, yaitu Maturity Level, dimana penilaian kinerja secara
keseluruhan menghasilkan suatu level tertentu.
Pada
pembahasan ini maka dapat diperoleh hasil penilaian analisis data yang
digunakan dari penilaian tingkat kematangan kinerja manajemen TI terhadap PT
Timah (Persero) Tbk dengan menggunakan domain Acquisition And Implementation
(AI) (Pengadaan dan Implementasi)
sebagai berikut :
1.
AI
1 Identify Automated Solutions
Proses
ini menjelaskan bahwa kebutuhan akan aplikasi atau fungsi baru yang memerlukan
analisis sebelum memperoleh atau membuatnya yang mampu digunakan untuk menjamin
bahwa keperluan bisnis akan terpenuhi di dalam pendekatan yang efektif dan
efisien. Proses ini mencakup definisi dari kebutuhan, pertimbangan dari
beberapa sumber alternative, tinjauan terhadap kemungkinan secara ekonomi dan
teknologi, pemutusan analisis resiko dan analisis cost benefit, serta
kesimpulan dari keputusan untuk membuat atau melakukan pembelian. Semua tahapan
ini memungkinkan organisasi untuk meminimalkan biaya dalam memperoleh dan
menerapkan solusi yang dapat menjamin bahwa mereka mendukung bisnis dalam
pencapaian tujuan.
Pada proses ini, yang paling memenuhi adalah level 5,
yaitu Optimised. Continuous
improvement terhadap prosedur yang digunakan untuk menentukan dan menetapkan solusi
TI telah ditetapkan untuk semua proyek, baik yang berskala besar maupun
berskala kecil. Setiap Divisi di dalam perusahaan dapat memberikan usulan
mengenai kebutuhan TI. Sebagai contoh, user membutuhkan tambahan lisensi pada
komputer di Divisinya, hal ini tidak selalu diwujudkan secara langsung,
melainkan harus melalui tahap perencanaan, dan untuk menentukan rencana
pembelian, perusahaan harus melihat situasi sekarang, kemudian membuat anggaran
untuk tahun berikutnya. Permintaan tersebut dating dari user, user membuat memo
yang dapat disertai brosur mengenai produk yang dibutuhkan, yang diserahkan
kepada Komisi Teknis. Komisi Teknis adalah gabungan dari perwakilan 2 (dua)
Satker (Divisi), yaitu SIM dan Divisi Penelitian dan Pengembangan Teknologi.
Kemudian Komisi ini melakukan evaluasi apakah barang tersebut benar- benar
dibutuhkan, melakukan pengecekan/ perbandingan
harga. Jika disetujui,
maka dibuat dokumen Purchase Reacquisition (PR) beserta lampiran kontak
supplier, yang diserahkan ke Divisi Logistik dan kemudian ke Direksi.
Selanjutnya ia melakukan pemesanan sesuai prosedur, sedangkan Divisi Logistik
yang melakukan pengadaan. Manajemen dapat melakukan perubahan jika solusi TI
yang diambil tidak berdasarkan atas pertimbangan alternative teknologi yang ada
ataupun permintaan bisnis.
2.
AI
3 Acquire and Maintain Technology Infrastructure
Proses
ini menjelaskan bahwa perusahaan seharusnya telah memiliki proses-proses untuk
memperoleh, mengimplementasikan, dan memperbaharui infrastruktur teknologi yang
dimiliki. Proses ini memerlukan suatu pendekatan yang terencana dalam hal untuk
memperoleh, merawat dan melindungi infrastruktur agar sesuai dengan strategi
teknologi dan ketentuan pengembangan serta percobaan terhadap lingkungan
sekitarnya yang telah disetujui. Hal ini menjamin bahwa teknologi secara
terus-menerus akan dapat mendukung aplikasi bisnis.
Pada
proses ini, yang paling memenuhi adalah level 3, yaitu Defined. Pada level ini,
proses penetapan dan pemeliharaan infrastruktur TI di PT Timah (Persero) Tbk
telah ditentukan di dalam jobdesk SIM dan dipahami dengan baik. Proses tersebut
mendukung kebutuhan aplikasi bisnis dan sejalan dengan strategi TI dan bisnis,
namun proses ini belum secara konsisten diterapkan dikarenakan masih bersifat
subyektif (perusahaan belum memiliki prosedur perawatan infrastruktur yang
baku). Pemeliharaan infrastruktur telah direncanakan, dijadwalkan dan
dikoordinasikan. Terdapat pengujian untuk mengetahui apakah infrastruktur yang
digunakan sudah tepat dan tujuan yang ditetapkan sudah sesuai dengan manfaat
yang diterima. Sebagai contoh, jaringan transmisi TI antar kantor pusat dan
cabang telah terintegrasi dengan baik. Dan setiap pengembangannya harus
mendapat persetujuan Direksi terlebih dahulu.
3.
AI
4 Enable Operation and Use
Proses
ini menjelaskan bahwa pengetahuan yang berkaitan dengan system yang baru harus
tersedia. Proses ini memerlukan dokumentasi dan manual standar yang akan
digunakan oleh pengguna dan programmer TI, serta training perlu diadakan untuk
menjamin aplikasi dan infrastruktur digunakan serta dijalankan dengan tepat.
Pada
proses ini, yang paling memenuhi adalah level 5, yaitu Optimised. Pada level
ini, proses untuk user dan dokumentasi operasional diperbaiki melalui alat atau
metode baru yang disesuaikan dengan kebutuhan bisnis. Materi prosedur dan
pelatihan operasional merupakan dasar pengetahuan yang dipelihara secara elektronik,
menggunakan pengetahuan, alur kerja dan teknologi yang up to date agar dapat
diakses dan dipelihara dengan mudah. Dokumentasi dan materi pelatihan selalu
di- update sesuai dengan perubahan kebutuhan organisasi, operasional dan
software. Pengembangan proses tersebut terintegrasi dengan proses bisnis dan
telah terdefinisi sesuai dengan permintaan perusahaan.
4.
AI
5 Procure IT Resources
Sumber
daya TI seperti orang, perangkat keras, perangkat lunak dan jasa perlu
disediakan, pengadaan sumber daya TI membutuhkan suatu ketentuan dan tata cara
pelaksanaan, seperti membuat prosedur pengadaan, melakukan seleksi vendor,
menyusun persetujuan berdasarkan kontrak dan proses pengadaan itu sendiri. Hal
ini dilakukan untuk menjamin bahwa Perusahaan mendapatkan semua keperluan
sumber daya TI dalam waktu yang tepat dan sesuai dengan efisiensi biaya.
Pada
proses ini, yang paling memenuhi adalah level 3, yaitu Defined. Pada level ini,
kebijakan dan prosedur akuisisi TI telah ditetapkan, didokumentasikan dan
dikomunikasikan. Kebijakan dan prosedur akuisisi TI di PT Timah (Persero) Tbk
mengacu kepada proses bisnis perusahaan secara keseluruhan. Manajemen TI
mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI.
Pengadaan di sumber daya TI telah ditentukan, baik dalam skala besar seperti
server, users, pc, laptop dan lain- lain, maupun dalam skala kecil seperti
tinta, CD, kertas dan sebagainya. Divisi SIM di PT Timah (Persero) Tbk memiliki
wewenang dan tanggung jawab untuk mengatur serta melaksanakan pengadaan
tersebut. Masing- masing kepala bagian dapat mengajukan usulan kepada kepala
bagian SIM untuk disampaikan kepada pihak manajemen perusahaan dalam mengadakan
pembelian sumber daya TI dalam skala besar maupun dalam penentuan user yang
dibutuhkan, untuk dipertimbangkan dan disetujui. Pemasok sumber daya TI dan
mekanisme proses manajemen proyek organisasi terintegrasi dari perspektif
kontrak manajemen. dipertimbangkan dan disetujui. Pemasok sumber daya TI dan
mekanisme proses manajemen proyek organisasi terintegrasi dari perspektif
kontrak manajemen.
5.
AI
6 Manage Changes
Proses
ini menjelaskan bahwa semua perubahan meliputi penambahan dan perawatan
darurat, yang menghubungan infrastruktur dan aplikasi dalam lingkungan produksi
telah diatur secara jelas sesuai dengan aturan yang tclah dikendalikan.
Perubahan (meliputi prosedur, proses-proses, sistem dan parameter jasa) harus
dikunci, dinilai dan diotorisasi terlebih dahulu sebelum diimplementasikan dan
dilakukan peninjauan terhadap hasil implementasi yang akan dilakukan dan yang
telah direncanakan. Hal ini, dapat meringankan risiko yang secara negatif dapat
mempengaruhi kestabilan dan integritas dari lingkungan produksi.
Pada
proses ini, yang paling memenuhi adalah level 5, yaitu Optimised. Pada level
ini, segala hal yang berkaitan dengan perubahan TI telah diatur dan ditentukan,
baik terhadap masalah sistem, kebijakan, prosedur dan standar perusahaan.
Informasi perubahan dibahas dengan lengkap, misalnya pada program training yang
akan diadakan, cara menjalankan prosesnya dan pengendalian ketika terjadi
masalah, proses untuk dokumentasi, pengukuran dan sebagainya. Manajemen
perubahan yang digunakan menggunakan Standar SAP, karena perubahan terbesar
terjadi pada pengembangan SAP, standar ini mencakup mengenai persiapan proyek,
Business Blueprint, realisasi persiapan, dan pelaksanaan Go Live. Diharapkan
bahwa perubahan TI yang dilakukan akan menyokong produktivitas dan dapat
menghasilkan peluang bisnis yang baru untuk perusahaan.
6.
AI
7 Install and Accredit Solutions and Changes
Proses
ini menjelaskan bahwa ketika pengembangan sistem yang baru telah selesai
dilakukan maka akan dibutuhkan sistem operasional. Sistem tersebut memerlukan
percobaan yang tepat, sehingga akan tercipta penyesuaian antara lingkungan
dengan data percobaan yang berkaitan, serta akan ditentukan suatu pemaparan dan
instruksi tentang keringanan resiko, dan akan dikeluarkan suatu perencanaan dan
promosi yang digunakan untuk produksi, serta meninjau pasca implementasi. Hal
ini dapat menjamin bahwa operasional dari sistem yang baru sesuai dengan hasil
dan harapan yang telah disetujui.
Proses
ini tidak dapat dibahas lebih mendalam karena di PT Timah (Persero) Tbk, pihak
manajemen tidak mengakui adanya kebutuhan pengujian atau akreditasi terhadap
solusi TI di perusahaan, karena segala permasalahan yang terjadi terkait
pengujian selalu diatasi dengan kontrak kerja vendor yang mengembangkan
aplikasi tersebut.
Berdasarkan
analisis di atas diperoleh maturity level dari setiap proses yang ada di dalam
Acquire and Implement (AI) :
Acquire
and Implement
|
Level
|
|
AI 1
|
Identify automated solutions
|
5
|
AI 3
|
Acquire and
maintain technology
infrastructure
|
3
|
AI 4
|
Enable operation and use
|
5
|
AI 5
|
Procure IT resources
|
3
|
AI 6
|
Manage changes
|
5
|
AI 7
|
Install and accredit solutions and changes
|
0
|
Rata
- rata
|
3,5
|
|
Kesimpulan
Terkait dengan hasil scoring dengan
menggunakan COBIT, perusahaan masih harus melakukan proses perbaikan
secara berkesinambungan terhadap operasional TI yang berjalan, antara lain :
· Belum adanya proses
Install and Accredit Solutions and Changes, proses ini berguna dalam menjamin
operasional sistem baru sesuai dengan hasil dan harapan yang telah disetujui.
Tidak semua rekomendasi proses menurut
COBIT dapat diterapkan, perusahaan dapat mencari dan mengkaji tools- tools
lainnya yang dapat disesuaikan dengan kebutuhan perusahaan.
Sumber :
·
Sucahyo, Yudo Giri dan
Fitrianah, Devi (2007). Audit Sistem Informasi dengan Kerangka Kerja COBIT untuk Evaluasi Manajemen TI di
Universitas XYZ. Jurnal Sistem Informasi MTI-UI
·
IT
Governance Institute. (2007). COBIT ver. 4.1: Framework, Control
Objectives, Management Guidelines, Maturity Models. Rolling Meadow.
·
PT Timah, Tbk. (April
2009). Integration Testing dan End User
Training dari Improve Project. Stannia.
·
Gondodiyoto, Sanyoto
(2007). Audit Sistem Informasi + Pendekatan COBIT. Jakarta: Mitra Wacana Media.
·
Ramadhanti, Dwiani.
(2010). Penerapan Tata Kelola TI dengan Menggunakan COBIT framework 4.1 (Studi Kasus pada PT Indonesia Power). Tesis
fakultas Ekonomi Universitas Indonesia.
0 comment:
Post a Comment