Abstrak
Integrasi Teknologi Informasi (TI) lintas unit-unit usaha yang independen adalah suatu usaha yang
sarat tantangan, terutama karena standar-standar yang berbeda untuk infrastruktur dan aplikasi TI
di masing-masing unit. Untuk memastikan keberhasilannya dibutuhkan mekanisme-mekanisme
tatakelola TI untuk meminimasi risiko-risikonya. Dalam penelitian ini, digunakan suatu
pendekatan berbasis COBIT (Control Objective for Information and Related Technology) untuk
mengidentifikasi mekanisme tatakelola TI yang dibutuhkan oleh PT X, sebuah perusahaan di
sektor minyak dan gas bumi, dalam mengintegrasikan TI lintas empat anak perusahaannya yang
sebelumnya berdiri sendiri. Berdasarkan mekanisme tatakelola yang dibutuhkan dan kondisi
tatakelola TI yang sudah berjalan, dapat disimpulkan bahwa proses integrasi TI PT X memiliki
peluang yang cukup tinggi untuk berhasil.
24 ___________________________ Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISBN 1412 – 8896
Vande Leonardo dan Budi Yuwono
yang tergabung dalam ITGI kemudian menjawab objective). terdapat kontrol yang seluruh proses
kebutuhan ini dengan menerbitkan suatu kerangka memerlukan kontrol. Kontrol didefinisikan
kerja kontrol, yang dinamakan COBIT atau Control sebagai kebijakan, prosedur praktik-praktik, dan
Objective for Information and Related Technology struktur organisasi yang dirancang untuk
[2]. COBIT menjawab kebutuhan akan kerangka memberikan jaminan yang beralasan bahwa
kerja tatakelola TI dengan tiga karakteristik sasaran bisnis akan tercapai dan kejadian yang
utamanya, yaitu: tidak diinginkan akan dicegah atau dideteksi dan
Berfokus pada bisnis. diperbaiki.
COBIT diciptakan tidak hanya untuk digunakan Dikendalikan oleh pengukuran.
oleh kalangan TI, tetapi juga dapat digunakan COBIT membantu perusahaan dalam mengelola
sebagai panduan yang komprehensif bagi proses-proses TI-nya dengan menyediakan: (1)
manajemen dan para pemilik proses bisnis. Untuk Model kemapanan (maturity model), untuk
memenuhi sasaran bisnis perusahaan, maka melakukan benchmark dan identifikasi area
informasi harus sesuai dengan kriteria bisnis yang peningkatan kapabilitas yang dibutuhkan; (2)
dalam COBIT disebut sebagai information Ukuran kinerja proses TI, dengan menunjukan
requirements. Kriteria informasi yang dimaksud bagaimana proses mencapai tujuan bisnis dan TI,
adalah keefektifan (effectiveness), efisiensi dan dapat digunakan untuk mengukur kinerja
(efficiency), kerahasiaan (confidentiality), proses internal berdasarkan prinsip-prinsip
integritas (integrity), ketersediaan (availability), balance scorecard; serta (3) Sasaran aktivitas
kepatuhan (compliance) dan keandalan dalam proses-proses TI.
(reliability). Karena bersifat generik, kriteria
tersebut dapat diaplikasikan di setiap organisasi 2.1. Model Kemapanan
[3]. Kriteria ini diterapkan dalam pengelolaan Pengukuran tingkat kemapanan proses-proses TI
sumber-sumber daya TI yang terdiri dari: aplikasi, sering dilakukan untuk membandingkan suatu
informasi, infrastruktur, dan tenaga manusia. perusahaan dengan perusahaan lain (benchmarking)
Berorientasi proses. atau untuk mengidentifikasi proses-proses yang perlu
ditingkatkan kemapanannya. COBIT menyediakan
COBIT mendefinisikan aktivitas TI dalam model suatu model kemapanan (maturity model) yang
proses generik ke dalam empat domain, yaitu Plan diturunkan dari model dari Software Engineering
& Organise (Perencanaan dan Pengorganisasian), Institute [4] untuk kemapanan kapabilitas
Acquire & Implement (Pengadaan dan pengembangan perangkat lunak, yang dikenal sebagai
Implementasi), Deliver & Support (Penyediaan
Layanan dan Dukungan Teknis), serta Monitor &
Tabel 1. Kriteria tingkat kemapanan suatu
Evaluate (Pemantauan dan Evaluasi). Domain-
proses tatakelola TI
domain ini sebenarnya adalah pemetaan dari area
Tingkat Kriteria
tanggung jawab TI yaitu, perencanaan (plan),
pembuatan (build), pelaksanaan (run) dan 0 Non-existent Proses tidak ada.
pengawasan (monitor). Dari keempat domain ini, Proses dilakukan berdasarkan inisiatif
1 Ad hoc
perorangan, tanpa adanya suatu standar.
COBIT mendefinisikan 34 proses TI yang sifatnya
umum. COBIT menyediakan pemetaan yang Proses dilakukan secara rutin tetapi tidak
2 Repeatable
anda aturan dan panduan formal.
menunjukkan hubungan antara sasaran TI dan
proses-proses TI yang mendukung pencapaian Proses dilakukan secara rutin sesuai dengan
3 Defined
suatu standar formal tertulis.
setiap sasaran tersebut. Suatu organisasi tidak
perlu menerapkan seluruh proses TI yang ada, Proses dilakukan secara rutin sesuai dengan
4 Managed
suatu standard dan terukur hasilnya.
tetapi disesuaikan dengan sasaran-sasaran TI
Proses dilakukan secara rutin sesuai dengan
organisasi. Pada gilirannya, setiap sasaran TI 5 Optimized suatu standard, terukur hasilnya dan
mendukung pencapaian satu atau lebih sasaran senantiasa disempurnakan.
bisnis organisasi. COBIT menyediakan pemetaan
antara sasaran bisnis dan sasaran-sasaran TI yang Capability Maturity Model (CMM). Keunggulan dari
medukung pencapaiannya. model maturitas ini adalah relatif mudahnya untuk
Berbasis control. digunakan oleh manajemen untuk menempatkan
Setiap proses TI yang didefinisikan dalam COBIT dirinya dalam skala dan menyadari hal-hal yang perlu
dirancang untuk mengontrol aspek tertentu dari dilakukan untuk meningkatkan kemapanan. Tabel 1
pengelolaan TI, tujuan pengontrolan itu mendeskripsikan kriteria dari tiap tingkat kemapanan.
didefinisikan sebagai sasaran kontrol (control
Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISSN 1412 – 8896 ___________________________ 25
Tatakelola Teknologi Informasi Dalam Rangka Integrasi Sistem dan Teknologi Informasi Lintas Anak Perusahaan
26 ___________________________ Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISBN 1412 – 8896
Vande Leonardo dan Budi Yuwono
tentang arsitektur adalah pada proses PO2: Determine Tabel 3. Proses-proses TI (IT processes) yang
the Information Architecture. mendukung pencapaian tujuan TI (IT goals) PT X
Penyatuan anak-anak perusahaan merupakan No IT Goals IT Processes
suatu kerjasama antara beberapa entitas, sehingga
Define how business
bisa dipastikan adanya suatu tujuan bersama yang functional and control
ingin dicapai. Tujuan bersama ini bisa diartikan G6 requirements are translated AI1 AI2 AI6
sebagai tujuan bisnis (business goal). COBIT in effective and efficient
menyediakan daftar kategori business goals yang automated solutions
mungkin dimiliki oleh suatu organisasi [4]. Dalam Acquire and maintain
dokumen Company Profile 2008 PT X disebutkan G7 integrated and standardised PO3 AI2 AI5
application systems
beberapa hal yang menjadi tujuan penyatuan anak-
anak perusahaan, yaitu untuk meningkatkan struktur Acquire and maintain an
G8 integrated and standardised AI3 AI5
permodalan (ekuitas) dan untuk menciptakan sinergi
IT infrastructure
dan efisiensi perseroan. Tujuan bisnis ini, dalam
Ensure seamless integration
kaitannya dengan TI, termasuk dalam kategori G11 of applications into PO2 AI4 AI7
penciptaan efisiensi perseroan. Tujuan-tujuan bisnis business processes.
yang memiliki keterkaitan erat dengan penciptaan Ensure proper use and
efisiensi dapat dipetakan ke tujuan-tujuan TI menurut G13
performance of the
PO6 AI4 AI7 DS7 DS8
tabel pemetaan COBIT, sebagaimana terlihat pada applications and technology
solutions.
Tabel 2.
Optimise the IT
G15 infrastructure, resources PO3 AI3 DS3 DS7 DS9
Tabel 2. Tujuan bisnis (business goals) yang and capabilities.
relevan dengan tujuan merger di PT X serta
Improve IT’s cost-efficiency
tujuan TI (IT goals) yang mendukung G24 and its contribution to PO5 DS6
pencapaiannya business profitability.
Business Goals IT Goals
Improve and Tabel 4. Sasaran pengendalian utama (P) dan
maintain business sekunder (S) proses-proses perencanaan PO2,
G6 G7 G11
process
functionality. PO3, PO5 dan PO6
Lower process
G7 G8 G13 G15 G24
costs.
Improve and Confidentiality
Process
maintain
Effectiveness
G7 G8 G11 G13
Compliance
Availability
operational and Description
Reliability
Efficiency
Integrity
staff productivity.
Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISSN 1412 – 8896 ___________________________ 27
Tatakelola Teknologi Informasi Dalam Rangka Integrasi Sistem dan Teknologi Informasi Lintas Anak Perusahaan
kemungkinannya untuk terjadi atau kecil dampaknya; manajemen TI terhadap tiap risiko (risk) terkait
2 – Risiko tersebut mungkin untuk terjadi atau cukup sasaran-sasaran pengendalian (control objective)
besar dampaknya; dan 3 – Risiko tersebut sangat pada proses PO3
mungkin untuk terjadi atau sangat besar dampaknya. Score
CO No Risk
0 1 2 3
Tabel 5. Tingkat (score) kekhawatiran
manajemen TI terhadap tiap risiko (risk) terkait 1
Technological acquisitions inconsistent
√
sasaran-sasaran pengendalian (control objective) with strategic plans
pada proses PO2 IT infrastructure inappropriate for
Score 2 √
PO3.1
organisational requirements
CO No Risk
0 1 2 3
Deviations from the approved
Inadequate information for 3 √
PO2.1 1 √ technological direction
business functions
Inconsistency between Increased cost due to unco-ordinated
4 √
2 information requirements and √ and unstructured acquisition plans
application developments
Data inconsistency between the 1 Inconsistent system implementations √
3 √
organisation and systems
Deviations from the approved
High effort required or inability 2 √
technological direction
to comply with fiduciary
4 √
PO3.2
Inefficient or inconsistent
5 √ 3 Licensing violations √
information for decision making
Data integrity error and Increased support, replacement and
PO2.4 1 √ 4 √
incuidents maintenance cost
Unreliable data on which to Inability to access historical data on
2 √ 5 √
base business decisions unsupported technology
Non-compliance with regulatory
3 √ Incompatibilities between technology
or third-party requirements
1 √
platform and applications
4 Unreliable external reports √
PO3.5
28 ___________________________ Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISBN 1412 – 8896
Vande Leonardo dan Budi Yuwono
dialami (risiko) terkait dengan proses COBIT dalam pengendalian terkait proses-proses PO2, PO3 dan PO5
hal pemilihan arah/standar teknologi (PO3). Tk.
Sasaran
Kema Dasar
Pengendalian
Tabel 7. Tingkat (score) kekhawatiran panan
PO2.1 4 PT X telah memiliki model arsitektur
manajemen TI terhadap tiap risiko (risk) terkait
Enterprise yang tertera pada dokumen IT plan serta
sasaran-sasaran pengendalian (control objective) Information dokumen IT Policy. Kemudian, PT X
pada proses PO5 Architecture juga secara berkala melakukan evaluasi
Model terhadap arsitektur tersebut.
Score
CO No Risk PO2.2 3 PT X telah memiliki kamus data dan
0 1 2 3 Enterprise Data aturan sintaks. Meskipun hal ini tidak
Dictionary and tertera dalam IT Policy, tetapi sudah ada
PO5.1 1 Unclear priorities for IT projects √
Syntax Rules di SOP.
Inefficient process for financial PO2.3 Data 3 Pada dokumen IT Policy, telah
2 √ Classification disebutkan tentang skema klasifikasi
Management
Theme data lengkap dengan aturan-aturannya,
IT budget not reflecting business tetapi belum ada proses untuk
3 √ memonitor dan mengevaluasinya.
Needs
PO2.4 3 Masalah manajemen integritas data,
4 Weak control over IT budgets √ Integrity sudah dimasukkan ke dalam IT Policy.
Management PT X juga secara rutin (tahunan)
Failure of senior management to mengevaluasi kembali integritas data ini
5 √
approve the IT budgets dengan dibantu konsultan.
PO3.1 4 Arahan teknologi telah diatur dalam
6 Lack of senior management support √ Technological suatu policy. Kemudian juga mengalami
Direction evaluasi serta perubahan-perubahan
PO5.2 1 Inefficient resource management √ Planning pada saat business plan.
PO3.2 2 PT X belum memiliki suatu aturan yang
Inability to optimise goals and
2 √ Technology membahas tentang perencanaan
Objectives
Infrastructure infrastruktur. Hal ini baru saja dimulai
Confusion, demotivation and loss of Plan dengan dibantu konsultan luar.
3 √
agility due to unclear priorities PO3.3 Monitor 1 PT X belum sepenuhnya memonitor tren
Future Trends dan regulasi yang ada. Hal ini mungkin
IT budget not in line with the IT and dikarenakan sifat TI yang masih sebagai
4 √
strategy and investment decisions Regulations support.
PO3.4 4 Standard teknologi sudah diatur dalam
PO5.3 1 Resource conflicts √ Technology suatu kebijakan, dan standard ini
Standards ditinjau kembali pada saat perencanaan
Inappropriate allocation of financial
2 √ bisnis.
resources of IT operations
PO3.5 IT 2 Fungsi ini masih belum terdokumentasi
Financial resources not aligned with Architecture dalam suatu kebijakan. Tetapi sudah ada
3 √ Board pihak-pihak yang melakukan verifikasi
the organisation’s goals
kepatuhan dan penyediaan panduan
Lack of empowerment, leading to loss secara terpisah.
4 √
of agility PO5.1 3 Pengelolaan investasi TI dikelola secara
Financial terpadu dengan proses pengelolaan
Lack of senior management support
5 √ Management investasi yang telah mapan di bidang
for the IT budget Framework lain.
PO5.2 3 Penentuan prioritas anggaran TI
PO5.4 1 Misspending of IT investments √
Prioritisation dilakukan bersama-sama dengan
Within IT anggaran bidang lainnya dan secara
2 Inappropriate service pricing √ Budget periodik direview ulang oleh direksi.
3 IT value contribution not transparent √ PO5.3 IT 3 Pengelolaan anggaran TI dikelola secara
Budgeting terpadu dengan proses pengelolaan
anggaran perusahaan yang telah mapan.
PO5.5 1 Misspending of IT investments √
PO5.4 Cost 3 Monitoring dan evaluasi biaya TI
2 Inappropriate service pricing √ Management dilakukan secara terpadu dengan proses
pengelolaan biaya perusahaan yang telah
3 IT value contribution not transparent √ mapan.
PO5.5 Benefit 2 Pendefinisian manfaat TI dilakukan
Incorrect perception of IT value Management secara kualitatif sebagai bagian dari
4 √ pengajuan anggaran akan tetapi
Contribution
pengukuran pencapaiannya belum
memiliki prosedur baku.
Tabel 8. Tingkat kemapanan sasaran-sasaran
Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISSN 1412 – 8896 ___________________________ 29
Tatakelola Teknologi Informasi Dalam Rangka Integrasi Sistem dan Teknologi Informasi Lintas Anak Perusahaan
Tabel 7 menunjukkan hasil penilaian tingkat bedaan ukuran lingkaran dan warna tidak mempunyai
kekhawatiran terhadap konsekuensi yang mungkin arti tersendiri, hanya sebagai pertanda adanya
dialami (risiko) terkait dengan proses COBIT dalam tumpukan titik karena menempati koordinat yang
hal pengelolaan investasi TI (PO5). sama.
Penilaian terhadap tingkat kemapanan ini Penyempurnaan tingkat kemapanan untuk tiap
dilakukan berdasarkan bukti-bukti yang ada. Tingkat control objective yang masuk kategori under
kemapanan ini dinilai dengan menggunakan model controlled dapat dilakukan dengan mengadopsi
kemapanan generik (generic maturity model) yang control practices yang disediakan sebagai suplemen
ada pada dokumen COBIT 4.1. Hasil penilaian dokumen COBIT. Tabel berikut ini menunjukkan
tersebut disajikan pada Tabel 8. praktek-praktek yang berhasil dalam pemenuhan
Bobot risiko dan tingkat kemapanan suatu control control objectives di bawah proses PO3.
objective kemudian dipetakan ke dalam suatu
diagram kuadran. Sumbu vertikal pada kuadran ini Tabel 10. Teknik pengendalian (control practices)
adalah tingkat kemapanan pemenuhan control umum untuk merealisasikan sasaran-sasaran
objective tersebut, sedangkan sumbu horizontal pengendalian (control objectives) dalam proses
adalah bobot risiko atau tingkat kekhawatiran penentuan arah/kebijakan pemilihan teknologi
perusahaan terhadap risiko-risiko jika control (PO3)
objective tersebut tidak terpenuhi. Kategori dari Control
masing-masing kuadran untuk tiap kombinasi tingkat Control Practices
Objectives
kemapanan dan bobot risiko adalah seperti pada Include transitional and other costs,
Tabel 9. complexity, technical risks, future
PO3.2-3 flexibility, value, and product/vendor
Tabel 9. Kategori sasaran pengendalian berdasarkan sustainability in the technology
tingkat kemapanan pengendaliannya dan bobot infrastructure plan.
risikonya. Ensure that adequately skilled staff
members within the IT department
Bobot Risiko routinely monitor technological
Rendah Tinggi developments, competitor activities,
Tingkat Rendah Monitored Under infrastructure issues, legal requirements
PO3.3-2
Kemapanan controled and regulatory environment changes, and
Tinggi Over Monitored provide relevant information to senior
controlled closely management. Consult third-party experts
to obtain views and confirm findings and
Dari pemetaan kuadran, selanjutnya dipilih proposals of internal staff.
Ensure that the organisation’s legal
control objectives yang berada pada kuadran under
counsel monitors legal and regulatory
controlled untuk menjadi fokus peningkatan conditions in all relevant locations and
kemampuan tatakelola TI dalam rangka integrasi PO3.3-3
informs the IT steering committee of any
SI/TI. Dari data yang ada, hanya proses PO3 yang changes that may impact the technology
memiliki control objectives pada kuadran under infrastructure plan.
controlled, sebagaimana terlihat pada Gambar 2. Per- Evaluate new technologies in the context
of their potential contribution to the
realisation of broader business goals and
PO3.2-4
targets using established criteria, e.g.,
ROI, or ability to achieve market
leadership.
6. Evaluasi
30 ___________________________ Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISBN 1412 – 8896
Vande Leonardo dan Budi Yuwono
7. Kesimpulan
Jurnal Sistem Informasi MTI UI, Volume 5, Nomor 1, ISSN 1412 – 8896 ___________________________ 31