28

BAB IV FRAMEWORK PENYUSUNAN TATA KELOLA TI

Framework penyusunan tata kelola TI ditujukan untuk memberikan arahan yang

jelas dan terarah bagi Pemerintah dalam pembuatan dokumen tata kelola TI
sehingga dokumen yang dihasilkan sesuai dengan definisi tata kelola menurut
COBIT. Seperti telah disampaikan bahwa dari pembahasan sebelumnya bahwa
dalam penelitian ini COBIT telah ditetapkan bahwa acuan tata kelola TI untuk
pemerintahan.

Terdapat 4 fase penerapan Tata Kelola, yaitu fase identify needs (mengidentifikasi
kebutuhan), envision solution (meramalkan solusi), plan solution (merencanakan
solusi), dan implement solution (menerapkan solusi). Keempat fase tersebut
merupakan road map yang harus dilalui untuk menerapkan Tata Kelola TI
(Gambar III.1). Pada perancangan tata kelola ini penulis membatasi hanya sampai
pada tahan ketiga yaitu plan solution (merencanakan solusi)

Gambar IV.1. Road Map IT Governance Implementation Guide (ITGI,

2003).
 29

Dengan memperhatikan masukan dari IT Governance Implementation Guide

(ITGI, 2003) tentang road map implementasi tata kelola TI dan memasukkan
tahapan untuk mengkaji kondisi pemerintahan kabupaten, maka dihasilkan
framework penyusunan tata kelola TI untuk pemerintahan sebagaimana
diperlihatkan pada gambar III.2.

Menumbuhkan
Kesadaran Manajemen

Identifikasi Kondisi Pengukuran nilai Pemilihan proses TI

TI Kabupaten dan resiko kritikal

Target kematangan

Analisis Pengukuran tingkat

kesenjangan kematangan

Kematangan saat ini

Perbaikan
kepemimpinan dan
struktur
Pembuatan Dokumen tata
dokumen tata kelola kelola

Perbaikan proses

Gambar IV. 2 Framework Penyusunan Tata Kelola TI Pemerintahan

Sebagaimana terlihat pada gambar di atas, framework penyusunan tata

kelola TI terdiri dari 8 (delapan) langkah utama. Dengan menggunakan
 30

framework ini diharapkan tata kelola TI yang dihasilkan dapat sesuai dengan
kebutuhan Kabupaten karena terdapat langkah yang dengan jelas mengharuskan
adanya kajian terhadap kondisi TI (langkah 2) dan juga melakukan identifikasi
dan pemetaan proses TI dengan proses TI COBIT (langkah 3). Berikut
disampaikan penjelasan dari masing-masing tahapan yang ada di dalam
framework penyusunan di atas.

IV.1 Langkah 1: Menumbuhkan Kesadaran Manajemen

Tanpa dukungan dari pihak manajemen organisasi, keberhasilan program tata
kelola TI sangat sulit diraih. Diperlukan komitmen dan keterlibatan mulai dari
awal penyusunan tata kelola untuk mendapatkan dukungan yang dibutuhkan.
Untuk itu maka langkah pertama yang perlu dilakukan adalah membangkitkan
kepedulian dari pihak manajemen (Management Awareness) tentang pentingnya
Tata Kelola TI bagi organisasi.

Metoda
Metoda yang dapat digunakan untuk membangkitkan kesadaran dan kepedulian
atas tata kelola TI ini antara lain dengan mengadakan seminar sehari tentang Tata
Kelola TI. Peserta seminar adalah para Pimpinan yaitu:
1. Bupati
2. Sekretaris Daerah
3. Kepala Dinas/Kantor/Badan
4. Kepala Bagian

Materi
Materi yang diberikan antara lain:
1. Latar belakang dan kegunaan Tata Kelola TI bagi Instansi
Pemerintah
2. Cakupan tata kelola TI di Kabupaten Ngawi.
3. Pemahaman dasar mengenai COBIT sebagai acuan framework
untuk tata kelola TI di Instansi pemerintah
 31

IV.2 Langkah 2: Identifikasi Kondisi TI

Setelah manajemen memiliki kesadaran tentang pentingnya tata kelola TI bagi
kebupaten yang dipimpinnya maka langkah selanjutnya adalah melakukan
identifikasi kondisi TI di tersebut. Kondisi TI ada yang bersifat umum dan
mencakup semua (seperti regulasi yang dikeluarkan oleh Pemerintah Pusat terkait
TI yang harus dipatuhi oleh semua ) serta kondisi TI yang spesifik bagi masing-
masing sesuai dengan kebutuhannya. Kedua hal ini perlu mendapatkan perhatian
dalam penyusunan tata kelola TI. Kondisi yang perlu diidentifikasi adalah yang
terkait kepemimpinan, struktur organisasi dan proses TI.

Metoda
Untuk identifikasi kondisi TI metoda yang dapat digunakan adalah:
1. Wawancara terhadap para pimpinan .
Wawancara merupakan metoda yang cukup efektif dalam melakukan
pengukuran dimana dengan wawancara dapat diketahui dengan cukup jelas
kondisi dan permasalahan yang dihadapi oleh masing-masing unit organisasi
di dalam . Kendala utama yang mungkin dihadapi adalah adanya birokrasi
yang mengharuskan tim survei dibekali dengan surat pengantar. Kemungkinan
masalah yang timbul dari hal ini adalah terbitnya surat pengantar dapat
memakan waktu yang cukup lama sehingga mengganggu kelancaran proses
pengukuran dengan metoda ini. Salah satu solusi untuk masalah ini adalah
sambil menunggu terbitnya surat pengantar terbit tim survei tetap berusaha
melakukan wawancara kepada para pimpinan melalui jalinan kontak yang
informal.

2. Pengumpulan dan kajian terhadap dokumen-dokumen terkait visi dan

misi, rencana strategis, peraturan-peraturan organisasi, tupoksi dan tata kelola
TI . Daftar dokumen yang perlu dikumpulkan serta hasilnya perlu dirangkum
dalam sebuah daftar seperti diperlihatkan pada contoh berikut ini.
 32

Tabel IV.1. Contoh Daftar Dokumen Yang Perlu Dikumpulkan

NO. NAMA DOKUMEN ADA TIDAK
1. Renstra
2. Dokumen Tupoksi Setiap institusi di dalam
3. Dokumen Proses bisnis Utama yang berlaku
4. Dokumen terkait kebutuhan fungsional kunci dari
proses bisnis utama
5. Dokumen teknis sistem aplikasi utama
6. Dokumen tingkat layanan
7. Dokumen arsitektur, topologi, kapasitas dan
kondisi infrastruktur TI eksisting
8. Dokumen Tupoksi Pengelola TI
9. Dokumen komposisi dan kompetensi SDM TI
eksisting
10. Dokumen program tata kelola TI

Seperti telah dijelaskan di atas bahwa terdapat kondisi yang bersifat umum dan
berlaku untuk semua karena terkait dengan regulasi yang dikeluarkan oleh
Pemerintah Pusat dan harus dipatuhi oleh semua maupun kondisi yang bersifat
spesifik dan hanya berlaku pada yang bersangkutan sesuai kebutuhan masing-
masing . Salah satu contoh regulasi yang dikeluarkan oleh pemerintahan yang
berlaku bagi semua adalah Peraturan Menteri Komunikasi dan Informatika
Nomor 41 Tahun 2007 tentang Panduan Umum Tata Kelola Teknologi Informasi
Dan Komunikasi Nasional. Dalam Peraturan Menteri tersebut terdapat beberapa
hal terkait kepemimpinan, struktur organisasi, dan proses TI di Pemerintahan yang
perlu dikaji dan menjadi bahan pertimbangan dalam penyusunan tata kelola TI .
Sedangkan contoh untuk regulasi yang dikeluarkan oleh Menteri dari yang
bersangkutan dan hanya berlaku bagi tersebut adalah peraturan tentang pengelola
TI . Peraturan Menteri ini perlu dikaji untuk mengetahui siapa yang ditunjuk
sebagai pengelola TI dan apa wewenangnya.

Dari tahap ini diperoleh hasil kajian dokumen terkait tata kelola TI yang
berhasil dikumpulkan dan hasil wawancara tentang kepemimpinan, struktur dan
proses TI.
 33

IV.3 Langkah 3: Identifikasi dan Pemetaan Proses TI terhadap Proses TI

COBIT
Pada langkah sebelumnya telah diidentifikasi kondisi pengelolaan TI. Dari hasil
tersebut maka dapat diidentifikasi proses-proses TI yang ada. Pada langkah ini
proses-proses TI tersebut dipetakan ke proses-proses TI yang didefinisikan dalam
COBIT.

Pemetaan dilakukan untuk mengidentifikasi kaitan yang jelas antara proses-proses

yang ada termasuk yang dipersyaratkan harus ada oleh regulasi dengan proses-
proses TI dalam COBIT. Dengan pemetaan ini maka dapat diuji pula apakah
semua proses TI yang terjadi di dalam organisasi memang terwakili oleh COBIT
atau tidak, kemudian dapat diketahui pula hubungan antara keduanya. Dengan
demikian kaitan antara proses TI dalam COBIT dengan proses TI di Departemen
yang mencerminkan kebutuhan departemen menjadi jelas sehingga tata kelola TI
yang dihasilkan nantinya dapat sesuai dengan kebutuhan dan kondisi spesifik dari
organisasi yang bersangkutan.

IV.4 Langkah 4: Pengukuran Nilai Dan Risiko TI

Langkah berikutnya adalah mengukur nilai dan risiko TI yang dimiliki.
Pengukuran dilakukan untuk mengetahui nilai proses TI yang mencerminkan
tingkat kepentingan terhadap sebuah proses TI. Selain itu pengukuran dilakukan
juga untuk mengetahui profil risiko yang ditimbulkan oleh setiap proses TI. Yang
dimaksud dengan proses TI di sini adalah proses TI yang didefinisikan di dalam
COBIT.

Metoda
Untuk melaksanakan pengukuran dapat digunakan metoda wawancara terhadap
para pimpinan . Terdapat dua perangkat bantu yang dapat digunkan pengukuran
nilai dan risiko TI ini yaitu:
1. Perangkat untuk mengukur nilai proses TI
2. Perangkat untuk mengukur risiko TI
 34

Pengukuran nilai TI
Pengukuran nilai TI dilakukan dengan cara menanyakan tentang pentingnya setiap
proses TI yang ada dalam COBIT kepada Pimpinan . Seperti terlihat pada Tabel
Pengukuran Nilai TI, kolom Nilai Proses diisi berdasarkan jawaban Pimpinan
terhadap pertanyaan: Seberapa pentingkah peran proses bagi ?. Penilaian
untuk kolom Nilai Proses dapat dilihat pada tabel di bawah ini.
Tabel IV. 2 Penilaian untuk Nilai TI
Nilai Keterangan
5 Sangat Penting
4 Penting
3 Cukup Penting
2 Tidak Penting
1 Sama Sekali Tidak Penting

Tabel IV. 3 Pengukuran Nilai TI

Nilai
Proses COBIT
Proses

Plan and Organise

PO1 Mendefinisikan Rencana TI Strategis
PO2 Mendefinisikan arsitektur informasi
PO3 Menentukan arahan teknologi
PO4 Mendefinisikan proses, organisasi dan hubungan TI
PO5 Manajemen investasi TI
PO6 Mengomunikasikan tujuan dan arahan manajemen
PO7 Manajemen sumber daya manusia TI
PO8 Manajemen Mutu
PO9 Manajemen risiko
PO10 Manajemen proyek
Acquire and Implement
AI1 Mengidentifikasi solusi yang terotamatisasi
AI2 Melakukan pengadaan dan pemeliharaan perangkat lunak aplikasi
 35

Nilai
Proses COBIT
Proses

AI3 Melakukan pengadaan dan pemeliharaan infrastruktur teknologi

AI4 Memungkinkan operasi dan penggunaan
AI5 Melakukan pengadaan sumber daya TI
AI6 Manajemen Perubahan
AI7 Memasang dan menggunakan solusi dan melaksanakan perubahan
Deliver and Support
DS1 Manajemen tingkat layanan
DS2 Manajemen layanan pihak ketiga
DS3 Manajemen kinerja dan kapasitas
DS4 Memastikan keberlangsungan layanan
DS5 Memastikan keamanan sistem
DS6 Mengidentifikasi dan mengalokasikan biaya
DS7 Mendidik dan melatih pengguna
DS8 Manajemen Service Desk dan insiden
DS9 Manajemen konfigurasi
DS10 Manajemen masalah.
DS11 Manajemen Data
DS12 Manajemen lingkungan fisik
DS13 Manajemen operasi
Monitor and Evaluate
ME1 Memonitor dan mengevaluasi kinerja TI
ME2 Memonitor dan mengevaluasi kontrol internal
ME3 Memastikan pemenuhan terhadap regulasi
ME4 Memberikan tata kelola TI

Pengukuran risiko TI
Penerapan TI pada sebuah organisasi tentunya memiliki risiko TI tersendiri.
Risiko ini dapat dikurangi dampaknya dengan melakukan kontrol-kontrol tertentu.
Oleh karena itu untuk pengukuran risiko TI dapat dilakukan dengan memeriksa
keberadaan kontrol untuk setiap proses TI tersebut. Menurut COBIT, kontrol
 36

dapat berupa kebijakan, prosedur, praktik dan struktur organisasi yang dapat
menjamin bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak
diinginkan dapat dihindari atau dideteksi.

Untuk mengukur risiko TI maka perangkat bantu di seperti ditunjukkan pada tabel
III.4 dapat digunakan. Kontrol kunci pada tabel tersebut diambil dari kontrol yang
didefinisikan oleh COBIT untuk setiap proses TI. Sebagai contoh untuk PO1
Mendefinisikan Rencana TI Strategis (Define a Strategic IT Plan), COBIT
mendefinisikan kontrolnya sebagai berikut:
Engaging with business and senior management in aligning IT strategic
planning with current and future business needs.
Understanding current IT capabilities.
Providing for a prioritization scheme for the business objectives that
quantifies the business requirements.
Dengan demikian maka kontrol kunci untuk PO1 tersebut adalah:
Keselarasan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan
yang akan datang dibicarakan dengan manajemen bisnis dan senior
Memahami kemampuan TI saat ini
Memberikan skema prioritas untuk tujuan bisnis yang mengkuanfikasi
kebutuhan bisnis.
Kontrol kunci tersebut kemudian diukur dengan menanyakan kepada para
pimpinan apakah sudah ada atau belum, didokumentasikan atau tidak. Tabel IV.4
memperlihatkan contoh untuk 4 proses TI yaitu PO1, PO2, dan PO3.
 37

Tabel IV. 4 Pengukuran Risiko

Analisis Kontrol Kunci Risiko

Sebagian, Didokumentasikan
Seluruhnya, Ada yang tidak
Domain
COBIT dan Kontrol Kunci

Didokumentasikan
didokumentasikan

didokumentasikan
Sebagian, Tidak
Proses

Seluruhanya,

Per Aktivitas
Tidak yakin

Per Proses
1.00 0.75 0.50 0.25 0.00

PO1 Keselarasan perencanaan

Mendefinisikan strategis TI dengan
Rencana TI kebutuhan bisnis saat ini
Strategis dan yang akan datang
dibicarakan dengan
manajemen bisnis dan
senior
Memahami kemampuan TI
saat ini
Memberikan skema
prioritas untuk tujuan
bisnis yang
mengkuantifikasi
kebutuhan bisnis
PO2 Memastikan keakuratan
Mendefinisikan arsitektur informasi dan
arsitektur model data
informasi Menetapkan kepemilikan
data
Mengelompokan informasi
 38

Analisis Kontrol Kunci Risiko

Sebagian, Didokumentasikan
Seluruhnya, Ada yang tidak
Domain
COBIT dan Kontrol Kunci

Didokumentasikan
didokumentasikan

didokumentasikan
Sebagian, Tidak
Proses

Seluruhanya,

Per Aktivitas
Tidak yakin

Per Proses
1.00 0.75 0.50 0.25 0.00
dengan menggunakan
skema pengelompokkan
yang disetujui
PO3 Membentuk sebuah forum
Menentukan untuk memandu arsitektur
arahan dan memverifikasi
teknologi pemenuhan
Membangun rencana
teknis infrastruktur
seimbang terhadap biaya,
risiko dan kebutuhan
Mendefinisikan standar
teknis infrastruktur
berdasarkan pada
kebutuhan arsitektur
informasi
 39

Untuk kepentingan analisis keberadaan kontrol kunci tersebut dikategorikan dan

diberi nilai sebagaimana ditunjukkan pada tabel IV.5.

Tabel IV. 5 Nilai Untuk Analisis Kontrol Kunci

Jawaban Nilai

Semua kontrol ada dan didokumentasikan 0.00

Semua kontrol ada tetapi ada yang belum 0.25
didokumentasikan
Sebagian kontrol ada dan sudah didokumentasikan 0.50
Sebagian kontrol ada tetapi belum 0.75
didokumentasikan
Tidak yakin dengan adanya kontrol 1.00

Selanjutnya pengisian tabel tersebut mengikuti aturan sebagai berikut:

a. Kolom Analisis Kontrol Kunci diisi dengan hasil penilaian
keberadaan kontrol untuk setiap proses TI seperti dijelaskan
sebelumnya.
b. Kolom Risiko Per Aktivitas diisi dengan jumlah nilai analisis
kontrol kunci untuk setiap kontrol kunci dari proses TI tertentu.
c. Kolom Risiko Per Proses diisi dengan rata-rata nilai analisis
kontrol kunci untuk setiap proses TI.
Dengan menggunakan tabel IV.4 maka dapat kita lihat bahwa sebuah proses TI
memiliki nilai risiko yang tinggi bilamana kontrol kunci untuk proses tersebut
tidak atau belum dilaksanakan secara sempurna oleh organisasi.

IV.5 Langkah 5: Pemilihan Proses TI Yang Kritikal

Langkah berikutnya adalah memilih proses TI yang kritikal. Perbaikan tata kelola
TI akan diprioritaskan pada proses-proses TI yang kritikal ini. Proses-proses TI
kritikal tersebut memiliki kriteria sebagai berikut:
a. Proses TI tersebut dinilai penting bagi kepentingan , hal ini ditunjukkan
dengan nilai pada kolom Nilai Proses pada tabel.
b. Proses TI tersebut dinilai memiliki tingkat risiko yang cukup tinggi akibat
kurangnya kontrol yang memadai terhadap risiko TI.
 40

Pemilihan proses TI yang kritikal ini dapat dilakukan dengan mempertimbangkan

hasil dari tahap sebelumnya yaitu dengan mengalikan nilai pentingnya sebuah
proses TI bagi dengan risiko dari proses TI tersebut. Perkalian ini menghasilkan
sebuah nilai yang merupakan status risiko dari setiap proses TI bagi organisasi
tersebut.

Tabel IV. 6 Tabel Pengukuran Nilai dan Risiko TI

Risiko
Domain
Nilai

Per Aktivitas
COBIT dan Kontrol Kunci Status Profil

Per Proses
Proses
Proses

PO1 Keselarasan
Mendefinisikan perencanaan strategis
Rencana TI TI dengan kebutuhan
Strategis bisnis saat ini dan
yang akan datang
dibicarakan dengan
manajemen bisnis dan
senior
Memahami
kemampuan TI saat ini
Memberikan skema
prioritas untuk tujuan
bisnis yang
mengkuantifikasi
kebutuhan bisnis
PO2 Memastikan
Mendefinisikan keakuratan arsitektur
 41

Risiko
Domain
Nilai

Per Aktivitas
COBIT dan Kontrol Kunci Status Profil

Per Proses
Proses
Proses

arsitektur informasi dan model

informasi data
Menetapkan
kepemilikan data
Mengelompokan
informasi dengan
menggunakan skema
pengelompokkan yang
disetujui
PO3 Membentuk sebuah
Menentukan forum untuk memandu
arahan teknologi arsitektur dan
memverifikasi
pemenuhan
Membangun rencana
teknis infrastruktur
seimbang terhadap
biaya, risiko dan
kebutuhan
Mendefinisikan
standar teknis
infrastruktur
berdasarkan pada
kebutuhan arsitektur
informasi
 42

Nilai status yang dihasilkan kemudian dikelompokkan dalam 3 kategori sebagai

berikut:
a. Kategori Rendah untuk nilai 0 sampai lebih kecil atau sama dengan
1,666
b. Kategori Sedang untuk nilai yang lebih besar dari 1,666 dan lebih
kecil dari atau sama dengan 3,333
c. Kategori Tinggi untuk nilai yang lebih besar dari 3,333

Penilaian ini dilakukan untuk semua proses TI dan diisikan dalam kolom Profil
seperti ditunjukkan pada tabel III.6 di atas. Proses TI yang kritikal tentunya proses
TI yang memiliki nilai profil Sedang dan/atau Tinggi. Tentunya setiap dapat
menentukan sendiri apakah proses TI kritikal adalah proses dengan profil
Sedang dan Tinggi atau hanya yang memiliki profil Tinggi saja.

IV.6 Langkah 6: Pengukuran Tingkat Kematangan

Setelah menentukan proses TI yang kritikal bagi maka tahap berikutnya adalah
mengukur tingkat kematangan dari proses-proses TI tersebut. Tingkat kematangan
proses TI perlu diukur untuk mengetahui kondisi kematangan dari proses TI saat
ini dan mengidentifikasi kemungkinan perbaikannya. Untuk itu terdapat dua hal
yang perlu dilakukan yaitu:
1. Mengukur tingkat kematangan saat ini dari proses-proses TI yang kritikal.
2. Menetapkan tingkat kematangan yang menjadi target pencapaian guna
memperbaiki tingkat kematangan saat ini.

Metoda
Metoda pengukuran yang dapat dipakai adalah wawancara terhadap pimpinan .
Kematangan dapat dihitung dengan menggunakan alat bantu seperti diperlihatkan
pada tabel di bawah ini. Alat bantu tersebut menggunakan model kematangan
proses TI dimana terdapat 5 (lima) tingkatan yaitu:
a. Tingkat 1 Initial/Ad Hoc
 43

b. Tingkat 2 Repeatable but Intuitive

c. Tingkat 3 Defined Process
d. Tingkat 4 Managed and Measurable
e. Tingkat 5 Optimised

Setiap tingkat kematangan memiliki pernyataan yang diturunkan dari persyaratan

tingkat kematangan yang didefinisikan oleh COBIT. Sebagai contoh untuk PO1
tingkat kematangan 1 memiliki persyaratan sebagai berikut

The need for IT strategic planning is known by IT management. IT planning is

performed on an as-needed basis in response to a specific business requirement.
IT strategic planning is occasionally discussed at IT management meetings. The
alignment of business requirements, applications and technology takes place
reactively rather than by an organisationwide strategy. The strategic risk position
is identified informally on a project-by-project basis.

Dari persyaratan di atas maka dapat diturunkan pernyataan untuk tingkat

kematangan 1 PO1 adalah sebagai berikut:
Kebutuhan perencanaan strategis TI diketahui oleh manajemen TI
Terdapat perencanaan TI paling sedikit berdasarkan kebutuhan untuk
memenuhi persyaratan bisnis tertentu.
Perencanaan strategis TI didiskusikan pada pertemuan manajemen TI
(meskipun mungkin belum rutin dilakukan).
Terdapat keselarasan antara kebutuhan bisnis, aplikasi dan teknologi
(meskipun mungkin masih reaktif dan bukan berdasarkan strategi
organisasi).
Posisi risiko yang strategis diidentifikasi (meskipun mungkin masih secara
informil per proyek).

Untuk mengetahui kematangan sebuah proses TI secara komprehensif, maka

pemenuhan sebuah proses terhadap persyaratan setiap tingkat kematangan yang
 44

ditetapkan dalam model kematangan COBIT perlu diukur. Hal ini dikarenakan
sebuah proses meskipun belum memenuhi secara sempurna persyaratan sebuah
tingkat kematangan namun mungkin sudah memenuhi sebagian dari persyaratan
tersebut dan hal ini tentu saja perlu mendapatkan apresiasi dan penilaian. Sebagai
contoh untuk mengukur tingkat kematangan proses TI PO1 Mendefinisikan
Rencana TI Strategis (Define a strategic IT plan) maka perlu diukur pemenuhan
dari proses TI yang terjadi di sebuah organisasi dengan persyaratan dalam setiap
tingkat kematangan di dalam COBIT mulai dari tingkat 1 sampai 5 sebagai
berikut.
Tingkat Kematangan: 1

Tidak setuju sama sekali

Setuju sampai tingkat

Sangat setuju
Agak setuju

tertentu

Nilai
No. Pernyataan

0.00 0.33 0.66 1.00

1 Kebutuhan perencanaan strategis TI diketahui
oleh manajemen TI
2 Terdapat perencanaan TI paling sedikit
berdasarkan kebutuhan untuk memenuhi
persyaratan bisnis tertentu.
3 Perencanaan strategis TI didiskusikan pada
pertemuan manajemen TI (meskipun mungkin
belum rutin dilakukan).
4 Terdapat keselarasan antara kebutuhan bisnis,
aplikasi dan teknologi (meskipun mungkin masih
reaktif dan bukan berdasarkan strategi
organisasi).
5 Posisi risiko yang strategis diidentifikasi
(meskipun mungkin masih secara informil per
 45

Tidak setuju sama sekali

Setuju sampai tingkat

Sangat setuju
Agak setuju

tertentu

Nilai
No. Pernyataan

proyek).

Pemenuhan

Tingkat Kematangan: 2

Tidak setuju sama sekali

Setuju sampai tingkat

Sangat setuju
Agak setuju

tertentu

Nilai
No. Pernyataan

0.00 0.33 0.66 1.00

1 Perencanaan strategis TI dibicarakan dengan
manajemen bisnis berdasarkan kebutuhan
2 Pembaharuan rencana TI dilaksanakan
(meskipun mungkin masih berdasarkan
permintaan manajemen)
3 Adanya mekanisme pengambilan keputusan
yang strategis (meskipun mungkin masih
dikendalikan per proyek dan belum konsisten
dengan strategi organisasi keseluruhan)
4 Risiko dan manfaat pengguna untuk keputusan-
keputusan strategis yang utama diidentifikasi
(meskipun mungkin masih bersifat intuitif)
Pemenuhan
Tingkat Kematangan: 3
 46

Tidak setuju sama sekali

Setuju sampai tingkat

Sangat setuju
Agak setuju

tertentu

Nilai
No. Pernyataan

0.00 0.33 0.66 1.00

1 Terdapat kebijakan mengenai kapan dan bagaimana
melakukan perencanaan strategis TI
2 Perencanaan strategis TI mengikuti pendekatan
terstruktur, didokumentasikan dan diketahui semua
staf
3 Proses perencanaan TI cukup baik guna memastikan
bahwa perencanaan yang tepat memungkinkan untuk
dilakukan
4 Sudah dilakukan penilaian atas pelaksanaan proses
perencanaan TI (meskipun mungkin masih
diserahkan kepada para manajer dan belum terdapat
prosedur untuk itu).
5 Strategi TI keseluruhan mencakup batasan yang
konsisten tentang risiko yang dapat diambil oleh
organisasi baik risiko sebagai innovator ataupun
follower.
6 Strategi finansial, teknis dan sumber daya manusia
TI semakin mempengaruhi pengadaan produk dan
teknologi baru
7 Perencanaan strategis TI didiskusikan pada
pertemuan manajemen bisnis
Pemenuhan

Nilai pemenuhan dari setiap tingkat kematangan kemudian dikalikan dengan

bobot yang menunjukkan kontribusi dari masing-masing tingkat kematangan bagi
 47

tingkat kematangan keseluruhan proses TI. Penentuan bobot diserahkan kepada

masing-masing berdasarkan pertimbangan tingkat kepentingan atau tingkat
kesulitan pencapaian dari masing-masing tingkat kematangan bagi tingkat
kepentingan keseluruhan.

Sebagai contoh bila sebuah menganggap semua tingkat kematangan memberikan

kontribusi yang sama bagi tingkat kematangan keseluruhan sebuah proses maka
bobot setiap tingkat kematangan dapat diberi nilai 1.00. Namun bila tersebut
menganggap tingkat kematangan yang tinggi memerlukan usaha yang lebih besar
dan juga pencapaiannya memberikan dampak yang lebih besar pula maka
tentunya bobot yang lebih besar dapat diberikan untuk tingkat kematangan yang
lebih tinggi sebagaimana diperlihatkan pada contoh di bawah ini. Hasil perkalian
setiap tingkat kematangan ini kemudian dijumlahkan untuk menghasilkan nilai
tingkat kematangan dari proses TI tersebut.

Tingkat Pemenuhan Bobot Nilai

1 0.34
2 0.66
3 1.00
4 1.33
5 1.67
Tingkat Kematangan

Selain pengukuran tingkat kematangan proses TI saat ini, perlu juga ditetapkan
target tingkat kematangan yang ingin dicapai oleh yang bersangkutan. Tingkat
kematangan yang menjadi target dapat ditetapkan oleh pimpinan dengan
mempertimbangkan:
Kondisi kematangan proses TI saat ini.
Kemampuan dari tersebut untuk mencapainya.
Tingkat urgensi dan kebutuhan organisasi atas proses TI tersebut
termasuk yang disebabkan oleh regulasi.
 48

IV.7 Langkah 7: Analisis Kesenjangan

Dari hasil pengukuran tingkat kematangan proses-proses TI saat ini dan target
tingkat kematangan yang telah ditetapkan maka dapat diketahui kesenjangan
kondisi di antara keduanya. Target tingkat kematangan dapat dijadikan masukan
untuk menentukan persyaratan dari setiap proses TI yang diharapkan dapat
dicapai di masa yang akan datang. Sebagai contoh misalnya target tingkat
kematangan adalah 3.00 maka tentunya setiap proses TI harus berusaha
memenuhi persyaratan kematangan proses TI yang ada di tingkat 4 supaya nilai
tingkat kematangan minimal 3.00 tersebut dapat dicapai.

IV.8 Langkah 8: Pembuatan Dokumen Tata Kelola TI

Dengan memperhatikan hasil yang terlah didapat sebelumnya antara lain tentang
kondisi pemerintahan saat ini, regulasi, hasil pengukuran tingkat kematangan dan
analisis kesenjangan maka dapat dibuat sebuah dokumen tata kelola TI. Dokumen
tata kelola TI berisi kebijakan, standard, dan/atau prosedur menyangkut:

1. Perbaikan kepemimpinan dan struktur tata kelola TI

Dalam menyusun kebijakan, standard, dan/atau prosedur terkait
kepemimpinan dan struktur tata kelola TI, terdapat beberapa hal yang perlu
dipertimbangkan diantaranya:
Struktur organisasi TI saat ini dan dibandingkan dengan praktik-praktik
terbaik untuk organisasi TI. Praktik-praktik terbaik ini antara lain praktik
terbaik mengenai:
o Struktur Komite Strategi TI dan Komite Pengarah TI sebagaimana
diperlihatkan dalam Board Briefing on IT Governance (ITGI, 2003).
o Struktur organisasi TI
o Pemilahan tugas (segregation of duties) dalam pengelolaan TI.
Regulasi pemerintahan pusat dan tentang kepemimpinan dan struktur tata
kelola TI. Contoh regulasi yang perlu mendapatkan perhatian adalah
Peraturan Menteri Komunikasi dan Informatika Nomor 41 Tahun 2007
tentang Panduan Umum Tata Kelola Teknologi Informasi Dan
Komunikasi Nasional.
 49

2. Perbaikan proses tata kelola TI

Hal-hal yang perlu diperhatikan terkait hal ini antara lain:
Proses-proses TI yang harus ada berdasarkan baik berdasarkan regulasi
yang berlaku bagi (antara lain Peraturan Menteri Komunikasi dan
Informatika Nomor 41 Tahun 2007) maupun untuk memenuhi kebutuhan
spesifik dari yang bersangkutan (dengan berdasarkan hasil pemilihan
proses TI yang kritikal).
Target tingkat kematangan dari proses-proses TI. Persyaratan dari target
tingkat kematangan dapat menjadi masukan yang berharga untuk
penyusunan kebijakan, standard dan/atau prosedur terkait proses tata
kelola TI ini.
Kebijakan yang dibuat dapat mengikuti format seperti ditampilkan dalam tabel
berikut ini.
Tabel IV.7 Format Kebijakan
Nomor Kebijakan/Standard/Prosedur
Ranah (optional)
Nama Kebijakan/Standard/Prosedur
Pernyataan
Penjelasan Pernyataan
Hubungan dengan Prosedur/
Kebijakan/Standard
Tanggal berlaku Efektif

4.4 Template Dokumen Tata Kelola TI Pemerintahan

Sesuai batasan masalah penelitian ini, maka template dokumen tata kelola TI yang
diberikan sebatas kerangka dokumennya. Template dokumen Tata Kelola TI
untuk memiliki kerangka sebagai berikut:
 50

Ringkasan Eksekutif
Berisi ringkasan tentang informasi yang dapat diperoleh dari Dokumen Tata
Kelola TI ini. Isinya antara lain tentang alasan dan manfaat tata kelola TI bagi
dan penanggung jawabnya. Disebutkan juga bahwa dokumen ini terdiri dari
kebijakan, standard dan prosedur yang terkait dengan kepemimpinan, struktur dan
proses tata kelola TI.

Pertimbangan-pertimbangan yang digunakan dalam menyusun dokumen tata

kelola juga disebutkan dan jumlah kebijakan yang ada dalam dokumen perlu juga
disampaikan di bagian ini.

1. PENDAHULUAN
1. Tujuan
Dokumen ini berisi penjelasan tentang kebijakan, standard dan
prosedur terkait tata kelola TI untuk , yang menjadi panduan dalam
menjalankan tata kelola TI di lingkungan .
2. Cakupan dan Batasan
Dokumen Tata Kelola TI dibuat berdasarkan hasil kajian dan
pengukuran nilai serta risiko TI dan difokuskan pada proses-proses TI
yang dinilai memiliki risiko menengah dan tinggi.

Daftar proses-proses TI yang dianggap kritikal di adalah:

No. Nama Proses

Dokumen ini berisi kebijakan untuk proses-proses tersebut berdasarkan

kebutuhannya. Kebijakan merupakan pernyataan umum yang
mengungkapkan persyaratan dan harapan dari pihak manajemen puncak.
2. RUJUKAN
Dokumen, standard, praktik-praktik terbaik dan regulasi yang dijadikan acuan
dalam pembuatan dokumen tata kelola ini adalah:
 51

No. NAMA DOKUMEN

3. LINGKUP TATA KELOLA TI

3.1. Dasar penyusunan
Dokumen ini disusun berdasarkan hasil pengukuran nilai dan risiko TI
terhadap proses-proses yang ada di dalam COBIT dengan mempertimbangkan
kondisi yang ada di .

Pemilihan dilakukan terhadap proses-proses yang memiliki profil risiko

sedang dan tinggi. Berikut hasil lengkap dari pengukuran yang dilakukan.

Proses Profil

Proses 1 Rendah/Sedang/Tinggi
Proses 2 Rendah/Sedang/Tinggi
Proses 3 Rendah/Sedang/Tinggi
Proses 4 Rendah/Sedang/Tinggi
Proses 5 Rendah/Sedang/Tinggi

3.2. Sistematika Dokumen

Penulisan Dokumen mengikuti sistematika sebagai berikut:
Kepemimpinan dan Struktur Tata Kelola
Kebijakan Kepemimpinan dan Struktur
Standard Kepemimpinan dan Struktur
Prosedur Kepemimpinan dan Struktur
Proses Tata Kelola
Kebijakan Proses
 52

Standard Proses
Prosedur Proses
Standard dan prosedur hanya dibuat bila memang dibutuhkan untuk
menjalankan sebuah kebijakan.

3.3. Penomoran
Standard penomoran digunakan dalam penulisan dokumen tata kelola TI
ini untuk memudahkan pencarian dan pengelompokkan. Berikut
penjelasan dari penomoran tersebut
Contoh penomoran:
TKTI.A.BB
Penjelasan:
TKTI = Tata Kelola IT, sama untuk semua
A = 1 untuk kelompok kepemimpinan dan struktur
2 untuk kelompok proses
B = nomor urut kebijakan/standard/prosedur

4. KEPEMIMPINAN DAN STRUKTUR TATA KELOLA

Berisi kebijakan, standard dan prosedur terkait kepemimpinan dan struktur
tata kelola TI di yang diperlukan untuk memberikan kepemimpinan dan
struktur organisasi yang dibutuhkan dalam menjalankan tata kelola TI di
pemerintahan.

4.1. Kebijakan Kepemimpinan dan Struktur

4.1.1. Kebijakan 1
Kode
Tentang
Pernyataan
Penjelasan
Pernyataan
Hubungan dengan
 53

Standard/Prosedur
Tanggal berlaku
Efektif

5. PROSES TATA KELOLA

Proses-proses tata kelola TI meliputi proses-proses TI yang kritikal yang
digolongkan dalam kelompok proses perencanaan, manajemen
belanja/investasi, realisasi, pengoperasian dan pemeliharaan sistem.

5.1. Kebijakan Proses

5.1.1. Kebijakan 1
Nomor Kebijakan
Ranah
Nama Kebijakan
Pernyataan
Penjelasan
Pernyataan
Hubungan dengan
Prosedur/Standard