Penilaian IT Governance dengan

CobiT Sebagai IT General Control

dan Capability Maturity Model
untuk Alat Ukurnya

Disusun: Bani Saad

Pendahuluan
Isu

- Good Corporate Governance.

- IT Governance.
- CobiT sebagai penjembatan (gap)
- Sarbanes Oxley Act.
Motivasi isu
- Semakin meningkatnya peran IT.
- Penerapan CobiT secara global.

Pendahuluan
Tujuan Riset

- Evaluasi tingkat kematangan pengendalian IT

PT X menggunakan CobiT dan Capability
Maturity Model.
- Analisis Critical Success Factor, Key Goal
Indikators, dan Key Performance Indikator .
- Dampak pada IT Governance Focus (5 point).

Kontribusi Riset

Kontribusi teori
Kontribusi literatur IT Governance, IT Audit dan
IT General Control.

Kontribusi praktek
Implementasi IT General Control dari CobiT.
Menambah reputasi perusahaan

Kontribusi Kebijakan
Memenuhi regulasi Bapepam sebagai regulator
pasar modal.

Kaji Teori

IT Governance menurut CobiT 3 Th. 2000 :

Struktur hubungan dan proses untuk mengarahkan

dan mengendalikan perusahaan dalam rangka

untuk meraih tujuan perusahaan dengan
menambahkan nilai-nilai dan menyeimbangkan
resiko versus return dalam teknologi informasi dan
prosesnya.

IT Governance menurut Larsen, et al. 2006 :

Bentuk tanggung jawab eksekutif dan dewan direksi

serta menyangkut kepemimpinan, struktur

organisasi, dan proses yang memastikan bahwa IT
perusahaan bertahan serta memperluas strategi
perusahaan dan meraih tujuan perusahaan.

Fokus IT Governance
(CobiT 4, 2005)
Penyelarasan stratejik

Berfokus pada penyelarasan

perencanaan strategi bisnis dan IT.
Nilai tambah

pelayanan IT

Merupakan eksekusi pelayanan IT melalui

perputaran layanan IT.
Pengelolaan sumber daya IT

Merupakan optimalisasi investasi IT, sumber

daya IT yang kritis, aplikasi, informasi,
infrastruktur dan manusia.

Fokus IT Governance
(CobiT 4, 2005)
Pengelolaan resiko

Membutuhkan kewaspadaan paparan resiko

oleh top manajemen, pemahaman secara jelas
resiko perusahaan, dan transparansi resiko.
Pengukuran kinerja

Melacak dan memonitor implementasi strategi

IT, penggunaan sumber daya, dan mengukur
kinerja (Balance Scorecard).

Hubungan Komponen CobiT

Prinsip Dasar CobiT

(CobiT 4, 2005)

Capability Maturity Model

(CobiT 3, 2000)

Indikator-indikator Kunci
CobiT 3, 2000

Critical Success Factors merupakan isu yang

paling penting atau aksi manajemen untuk
mendapatkan pengendalian dalam proses IT.

Key Goal Indicators mengukur apa yang

dikatakan manajemen setelah adanya fakta.

Key Performance Indicators yaitu mengukur

apa yang dikatakan manajemen bahwa proses
IT memenuhi persyaratan bisnis dengan
memonitor kinerja dari pemampu proses IT.

Rerangka Pengendalian CobiT

CobiT 3, 2000

Domain CobiT 3, 2000

Planning & Organisation

Domain ini berisi strategi dan taktik, dan berfokus pada
identifikasi bagaimana IT dapat memberi kontribusi
kepada pencapaian tujuan bisnis. Lebih jauh, realisasi
atas visi stratejik perlu untuk direncanakan, dikelola dan
dikomunikasikan untuk perspektif yang berbeda.

Acquisition & Implementation

Untuk merealisasikan strategi IT, solusi IT perlu untuk
diidentifikasi, dikembangkan, didapatkan,
diimplementasikan, dan diintegrasikan ke dalam proses
bisnis. Perubahan dan perawatan sistem yang ada
termasuk dalam domain ini untuk memastikan bahwa
daur hidup sistem ini berlanjut.

Domain CobiT 3, 2000

Delivery & Support

Domain ini berfokus dengan pemberian aktual atas
pelayanan yang dibutuhkan, yang mencakup dari operasi
tradisional dalam keamanan dan aspek kontinu dalam
training. Dalam rangka pemberian pelayanan, proses
yang mendukung pelayanan harus disiapkan.Proses
tersebut contohnya adalah proses data aktual oleh sistem
aplikasi, biasanya diklasifikasikan dalam pengendalian
aplikasi.

Monitoring
Semua proses IT perlu dinilai secara rutin untuk
kualitasnya, dan kepatuhan dengan persyaratan
pengendalian. Domain ini berfokus pada kekeliruan
manajemen dalam proses pengendalian organisasi dan
jaminan independen yang disediakan oleh internal dan
eksternal auditor.

Perusahaan Pengguna CobiT

Perusahaan / Penggunaan
Organisasi

Alasan
memakai
CobiT

Pengaruh
CobiT

A Rafeq &
Assoc

Memetakan
ruang lingkup
IT Audit

Menyediakan
fokus dalam
tujuan bisnis

Manfaat bagi
manajer bisnis
dan pemilik
proses bisnis.

Sun
Microsystems

Mendukung
strategi bisnis

Mendukung
aktivitas
pengendalian
IT

Memenuhi
persyaratan
SOX

Curtin
University of
Technology

Sebagai
standar IT bagi
universitas

Sebagai
Memperbaiki
petunjuk untuk proses IT.
program IT
audit

Rerangka Pemikiran
IT Governance Focus

PO

AI

DS

CMM

CSF

KGI

KPI

Disain Riset

Populasi: Karyawan PT X

Metode Sampel: purposive judgment

sampling.

Strategi dan Teknik Pengumpulan Data:

- Strategi pengamatan langsung dan opini
- Teknik observasi, wawancara, dan survei

Disain Riset
Teknik Pengujian Data

Uji Validitas : metode Split Half (belah dua)

Uji Reliabilitas : teknik Cronbach Alpha

Pengukuran Variabel

skala likert empat point (tidak sama sekali,

sedikit, derajat tertentu, lengkap)

Metode Penilaian dan

Analisis

Penilaian Capability Maturity Model

Pengujian Deskriptif
Analisis Critical Success Factor, Key Goal
Indikators, Key Performance Indikator
Penilaian IT Governance Focus (5 point)

Gambaran Umum Responden

Sampel dan Tingkat Pengembalian
Kuesioner yang disebar

32

Kuesioner yang tidak direspon

10

Kuesioner yang direspon

22

Kuesioner yang dapat digunakan

22

Tingkat pengembalian kuesioner

68,75%

Karakteristik Responden
Frekuensi

Persentase

22

100 %

Wanita

19
3

86,36%
13,64%

Umur

20-30 thn
> 30 thn

42
48

40,91%
59,09%

Jabatan

Staf
Internal Auditor
Kepala Dept
Kepala Divisi

17
1
3
1

77,27%
4,55%
13,64%
4,55%

Tk.
Pendidikan

S1
S2

19
3

86,36%
13,64%

17
5

77,27%
22,73%

Sampel
Jenis Kelamin Pria

Lama Bekerja 1-10 Tahun

> 10 Tahun

Uji Validitas
Konstruk

No.
Item

Correlated itemtotal correlation

Planning &
Organisation
(PO)

PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO10
PO11

0,7070
0,7001
0,7311
0,5544
0,5557
0,4733
0,6753
0,1878
0,2796
0,5511
0,2691

Valid, jika
Correlated item-total
correlation > R kritis
(0,30)

PO8, PO9, dan PO11

Tidak Valid, karena
Correlated item-total
correlation < R kritis
(0,30)

Uji Validitas
Konstruk

No.
Item

Correlated itemtotal correlation

Acquisition &
Implementation
(AI)

AI1
AI2
AI3
AI4
AI5
AI6

0,4205
0,4627
0,8458
0,7210
0,8144
0,8458

Valid, jika
Correlated item-total
correlation > R kritis
(0,30)

Uji Validitas
Konstruk
Delivery &
Support
(DS)

No.
Item

Correlated itemtotal correlation

DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13

0,4347
0,4347
0,6467
0,3176
0,1328
0,3443
0,1957
0,6290
0,5510
0,3805
0,6146
0,7590
0,6290

Valid, jika
Correlated item-total
correlation > R kritis
(0,30)

DS 5, dan DS 7
Tidak Valid, karena
Correlated item-total
correlation < R kritis
(0,30)

Uji Validitas
Konstruk
Monitoring
(M)

IT Governance
Focus

No. Item

Correlated itemtotal correlation

M1
M2
M3
M4

0,4545
0,7657
0,4990
0,3149

1
2
3
4
5

0,3802
0,4770
0,7640
0,7001
0,8057

Valid, jika
Correlated item-total
correlation > R kritis
(0,30)

Uji Reliabilitas
Konstruk

Koefisien
Cronbachs
Alpha

Kesimpulan

Planning & Organisation

0,8334

Reliabel

Acquisition & Implementation

0,8656

Reliabel

Delivery & Support

0,8156

Reliabel

Monitoring

0,7077

Reliabel

IT Governance Focus

0,8168

Reliabel

Uji Cronbachs Alpha () dengan keandalan kurang dari 0,60 dianggap

buruk, keandalan dalam kisaran 0,70, bisa diterima, dan lebih dari 0,80
adalah baik (Sekaran, 2006)

Pengujian Maturity Level

PT X Th 2006
Non-existent

Initial/Ad Hoc

Repeatable

Defined

Managed

Optimised

As Is

To Be

Bujur sangkar yang berwarna merah adalah tingkat

kematangan IT hasil evaluasi PT KPEI Th 2006 (Maturity
Level [ML]), Bintang berwarna biru adalah ekspektasi
tingkat kematangan IT yang diharapkan oleh PT KPEI
(Future Expected Level [FEL]). Gap merupakan selisih
antara bujur sangkar dan Bintang.

Level Kematangan IT PT X(Th 2006)

Variabel
Planning &
Organisation
(PO)

Rata-rata (PO)

Proses

ML

FEL

GAP

PO1

PO2

2,5

0,5

PO3

2,6

0,4

PO4

3,5

0,5

PO5

3,8

0,2

PO6

3,5

0,5

PO7

2,8

0,2

PO8

PO9

PO10

3,5

0,5

PO11

2,5

0,5

2,97

3,54

0,57

Lanj..

Acquisition & Implementation (AI)

(Th 2006)
Proses
AI1
AI2
AI3
AI4
AI5
AI6
Rata-rata
(AI)

ML
3,8
3,8
4
2,5
3,8
4
3,65

FEL
4
4
4
3
4
4
3,83

GAP
0.2
0.2
0
0.5
0.2
0
0,18

Lanj.

Delivery & Support (DS) (Th 2006)

Proses

ML

FEL

GAP

DS1

3,5

0.5

DS2

3,8

3,8

DS3

DS4

3,5

0.5

DS5

2,3

0.7

DS6

DS7

3,5

0.5

DS8

3,5

0.5

DS9

2,8

3,5

0.7

DS10

3,5

0.5

DS11

DS12

DS13

3,22

3,68

0,46

Rata-rata (DS)

Lanj..

Monitoring (M)
(Th 2006)

Proses

ML

FEL

GAP

M1

M2

3,5

0.5

M3

2,8

0.2

M4

2,95

3,38

0,43

Rata-rata (M)
Rata-rata
keseluruhan

3,19

3,63

0,44

Analisis Gap Maturity Level

Planning & Organization (PO)

- Formalisasi perencanaan stratejik IT.

- Dokumentasi arsitektur IT dan infrastruktur IT.

- Membentuk IT Steering Committee.
- Konsep Total Cost Ownership.
- Membentuk divisi Risk Management.
- Risk Management dalam Project Management.

Acquisition & Implementation (AI)

- Menggunakan alat yang terotomatisasi.
- Unsur keamanan dalam desain aplikasi.
- Simulasi dan training sistem baru.

Analisis Gap Maturity Level

Delivery & Support (DS)

- Membuat Service Level Agreement.
- Memastikan rerangka kontinuitas IT.
- Membuat perencanaan keamanan IT.
- Dokumentasi kebutuhan training.
- Konfigurasi server HP open-view.
- Membuat back-up data transaksi.

Monitoring (M)
- Pembuatan Balance Scorecard.
- Membuat fungsi internal audit.
- Memperoleh Sertifikasi.

Statistik Deskriptif Variabel

Hasil kuesioner Th 2007 (skala 1-4)
Variabel

Proses

Nilai rata2

Std Dev

Varian

Planning &
Organisation
(PO)

PO1

3,59

0,666

0,444

PO2

3,41

0,734

0,539

PO3

3,18

0,588

0,346

PO4

3,59

0,503

0,253

PO5

3,45

0,596

0,355

PO6

3,45

0,596

0,355

PO7

3,36

0,848

0,719

PO10

3,36

0,790

0,623

0,665

0,454

Total Nilai Rata-Rata (PO) 3,424

Acquisition & Implementation (AI)

Hasil kuesioner Th 2007 (skala 1-4)
Proses

Nilai rata2

Std Dev

Varian

AI1
AI2

3,68

0,568

0,323

3,41

0,734

0,539

AI3
AI4

3,45

0,510

0,260

3,36

0,581

0,338

AI5
AI6

3,14

0,710

0,504

3,45

0,510

0,260

Rata-rata (AI)

3,415

0,602

0,371

Delivery & Support (DS)

Proses
DS1

Hasil kuesioner Th 2007 (skala 1-4)

Nilai rata2
3,41

Std Dev
0,590

Varian
0,348

DS2
DS3

3,41
3,50

0,590
0,512

0,348
0,262

DS4
DS6

3,59
3,32

0,590
0,780

0,348
0,608

DS8
DS9

3,77
3,59

0,528
0,503

0,279
0,253

DS10
DS11

3,41
3,64

0,503
0,658

0,253
0,433

DS12
DS13

3,64
3,77

0,492
0,528

0,242
0,279

Rata-rata (DS)

3,550

0,570

0,332

Monitoring (M) & IT Gov Focus (IT.G.F)

Proses

Nilai rata2

Std Dev

Varian

M1

3,68

0,477

0,227

M2

3,36

0,492

0,242

M3

3,14

0,560

0,314

M4

3,32

0,568

0,323

3,375

0,524

0,277

IT.G.F.1

3,68

0,568

0,323

IT.G.F.2

3,41

0,734

0,539

IT.G.F.3

3,45
3,36

0,510
0,581

0,260
0,338

3,14
3,408

0,710
0,621

0,504
0,393

3,455

0,600

0,370

Rata-rata (M)

IT.G.F.4
IT.G.F.5

Rata-rata (IT.G.F)
Total Rata-rata

Hasil Perbandingan
Variabel

Maturity Level
PT X
Skala 0-5
(Tahun 2006)

Hasil kuesioner
PT X
Skala 1-4
(Tahun 2007)

Planning &
Organisation

2,97

3,424

Acquisition &
Implementation

3,65

3,415

Delivery &
Support

3,22

3,550

Monitoring

2,95

3,375

Total Nilai Ratarata

3,19

3,441

Analisis Indikator-indikator Kunci

Critical Success Factors

- Perencanaan stratejik IT yang selaras.
- menerapkan kebijakan bagi investor.
- Kepatuhan terhadap regulator.
- Keamanan sistem.

Key Goal Indicators

- Meningkatkan kualitas pelayanan (ISO)
- Meningkatkan jumlah anggota kliring
- Tingkat ketersediaan sistem 24 jam sehari.
- Efisiensi biaya.

Key Performance Indicators

- Mengurangi perputaran proses IT agar efisien.
- Memaksimumkan penggunaan sistem
- Pelatuhan karyawan.

Penilaian IT Governance Focus

Penyelarasan strategi
- Membuat fungsi IT Steering Committee
dengan SRO lain.
- Membuat perencanaan stratejik IT.
Nilai tambah IT
- Penerapan Total Cost of Ownership.
- Memonitor manfaat IT.
Pengelolaan sumber daya IT
- Membuat metrik untuk proyek IT.
- Rerangka untuk penjaminan kualitas.

Penilaian IT Governance Focus

Pengelolaan resiko
- Perencanaan keamanan IT.
- Sertifikasi proses IT.
- Membentuk divisi Risk Management
- Fungsi IT audit.
- Fungsi keamanan dalam desain aplikasi sistem.
- Mengadakan training.
Pengukuran kinerja IT
- Membuat Balance Scorecard.
- Service Level Agreement dengan user.

Diskusi Hasil Penelitian (Th 2006)

Planning & Organisation
PO1 Define a strategic IT plan
PO2 Define the information architecture
PO3 Define the technological direction
PO4 Define the IT organisation and
relationships
PO5 Manage the IT investment
PO6 Communicate management aims
and direction
PO7 Manage human resources
PO8 Ensure compliance with external
requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality

Delivery & Support

DS1 Define and manage service levels
DS2 Manage third-party services
DS3 Manage performance and capacity
DS4 Ensure continuous services
DS5 Ensure systems security
DS6 Identify and allocate cots
DS7 Educate and trains users
DS8 Assist and advise customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations

Acquisition & Implementation

AI1 Identify automated solutions

AI2 Acquire and maintain application software
AI3 Acquire and maintain technology
infrastructure
AI4 Develop and maintain procedures
AI5 Install and accredit systems
AI6 Manage changes

Monitoring

M1 Monitor the processes

M2 Assess internal control adequacy
M3 Obtain independence assurance
M4 Provide for independent audit

Diskusi Pengujian Kuesioner (Th 2007)

Proses

Ratarata

Std
Dev

Varian

Planning & Organisation 22

(PO)

3,424

0,665

0,454

Acquisition &
Implementation (AI)

22

3,415

0,602

0,371

Delivery & Support (DS)

22

3,550

0,570

0,332

Monitoring (M)

22

3,375

0,524

0,277

IT Governance Focus
(IT.G.F)

22

3,408

0,621

0,393

3,455

0,600

0,370

Total Rata-Rata

Simpulan hasil penelitian

Peneliti berhasil mengukur level

kematangan IT PT Xth 2006 dengan

CobiT dan Capability Maturity Model.
Analisis Critical Success Factor, Key Goal
Indikators, dan Key Performance Indikator
pada PT X.
Dampaknya pada IT Governance Focus.

Keterbatasan Penelitian
Model penelitian sangat terbatas.
Data yang diterima terbatas.
Objek penelitian hanya satu perusahaan.
Masalah alih bahasa.
Pengawasan pengisian kuesioner.

Implikasi dan Saran Penelitian

Menambah literatur penelitian

IT Governance.
Menjadi acuan bagi perusahaan lain
dalam implementasi CobiT.
Kontribusi kebijakan bagi regulator.
Objek penelitian sebaiknya diperluas.
Mengkombinasikan CobiT dengan model
IT Governance lainnya.

Sumber: ITGI Global status report 2006

Sumber: ITGI Global status report 2006

Keuntungan memakai CobiT

(CobiT 4, 2005)

Penyelarasan yang lebih baik

Lebih mudah dipahami bagi manajemen
Kepemilikan dan tanggung jawab yang jelas
Diterima secara umum oleh stakeholder
Memenuhi persyaratan regulator
Dapat dikombinasikan dengan berbagai model
IT Governance (ISO17799/BS7799, ITIL/ITSM,
Balance Scorecard, CMM, PRINCE2, dsb.

Maturity Model

0 Non-Existent; Secara menyeluruh tidak ditemukan

adanya proses IT yang dapat dikenali.
1 Initial; Adanya bukti bahwa organisasi mengenali
adanya isu dan perlu untuk dialamatkan. Tidak ada
proses yang terstandarisasi, tetapi adanya pendekatan
ad hoc (kadang-kadang) yang cenderung dilakukan
secara individu atau hanya berbasis jika terdapat kasus
saja proses tersebut dilakukan.
2 Repeatable; Proses telah dikembangkan pada langkah
dimana prosedur yang sama diikuti oleh orang yang
berbeda dalam menangani tugas yang sama.Tidak ada
pelatihan formal atau komunikasi atas prosedur standar
dan tanggung jawab bagi individual. Adanya tingkat
kepercayaan yang terlalu tinggi atas tingkat
pengetahuan individu, sehingga kesalahan dapat terjadi.

Maturity Model

3 Defined; Prosedur telah distandarisasi dan

didokumentasi, serta dikomunikasikan melalui training.
Hal ini bagaimanapun juga tergantung pada individu
untuk mengikuti proses ini, dan sepertinya deviasi tidak
dapat dideteksi. Prosedur itu sendiri kurang memuaskan,
tetapi merupakan formalisasi dari praktek yang ada.
4 Managed; Memungkinkan untuk memonitor dan
mengukur kepatuhan dengan prosedur dan mengambil
langkah-langkah jika proses tidak berjalan dengan
semestinya. Proses berada dalam perbaikan terusmenerus dan menyediakan praktek yang baik. Otomasi
dan peralatan digunakan dalam cara yang terbatas dan
terpecah-pecah.

Maturity Model

5 Optimised; Proses telah disaring pada tingkat

best practice, berdasarkan hasil perbaikan terus
menerus dan maturity model dengan organisasi
lain. IT digunakan dalam cara yang terintegrasi
untuk mengautomasi aliran kerja, menyediakan
alat untuk meningkatkan kualitas dan efektivitas,
membuat perusahaan cepat beradaptasi dengan
perubahan secara internal dan eksternal.

Domain CobiT 3 (2000)

Planning & Organisation
1.0 Define a Strategic IT Plan
2.0 Define the Information Architecture
3.0 Determine Technological Direction
4.0 Define the IT Organisation and Relationships
5.0 Manage the IT Investment
6.0 Communicate Management Aims and Direction
7.0 Manage Human Resources
8.0 Ensure Compliance with External Requirements
9.0 Assess Risks
10.0 Manage Projects
11.0 Manage Quality

Domain CobiT 3 (2000)

ACQUISITION & IMPLEMENTATION
1.0 Identify Automated Solutions
2.0 Acquire and Maintain Application Software
3.0 Acquire and Maintain Technology Infrastructure
4.0 Develop and Maintain Procedures
5.0 Install and Accredit Systems
6.0 Manage Changes

Domain CobiT 3 (2000)

DELIVERY & SUPPORT
1.0 Define and Manage Service Levels
2.0 Manage Third-Party Services
3.0 Manage Performance and Capacity
4.0 Ensure Continuous Service
5.0 Ensure Systems Security
6.0 Identify and Allocate Costs
7.0 Educate and Train Users
8.0 Assist and Advise Customers
9.0 Manage the Configuration
10.0 Manage Problems and Incidents
11.0 Manage Data
12.0 Manage Facilities
13.0 Manage Operations

Domain CobiT 3 (2000)

MONITORING
1.0 Monitor the Processes
2.0 Assess Internal Control Adequacy
3.0 Obtain Independent Assurance
4.0 Provide for Independent Audit