259-Article Text-565-2-10-20180214
259-Article Text-565-2-10-20180214
Program Magister Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia, Kampus Baru
UI Depok, Jawa Barat, 16424, Indonesia
E-mail: vande.leonardo@alumni.ui.ac.id
Abstrak
Integrasi Teknologi Informasi (TI) lintas unit-unit usaha yang independen adalah suatu usaha yang
sarat tantangan, terutama karena standar-standar yang berbeda untuk infrastruktur dan aplikasi TI di
masing-masing unit. Untuk memastikan keberhasilannya dibutuhkan mekanisme-mekanisme tata
kelola TI untuk meminimasi risiko-risikonya. Dalam penelitian ini, digunakan suatu pendekatan
berbasis COBIT (Control Objective for Information and Related Technology) untuk mengidentifikasi
mekanisme tata kelola TI yang dibutuhkan oleh PT X, sebuah perusahaan di sektor minyak dan gas
bumi, dalam mengintegrasikan TI lintas empat anak perusahaannya yang sebelumnya berdiri sendiri.
Berdasarkan mekanisme tata kelola yang dibutuhkan dan kondisi tata kelola TI yang sudah berjalan,
dapat disimpulkan bahwa proses integrasi TI PT X memiliki peluang yang cukup tinggi untuk
berhasil.
Abstract
Integration of Information Technology (IT) across independent business units is a business full of
challenges, primarily because of different standards for IT infrastructure and IT applications in each
unit. To ensure the success of IT integration, it needs IT governance mechanisms to minimize the
risks. This research used an approach based on COBIT (Control Objective for Information and
Related Technology) to identify the mechanisms of IT governance required by PT X, a company in
the oil and gas sector, in integrating IT across four subsidiaries that previously stood alone. Based on
the necessary governance mechanisms and the conditions of the IT governance that already run, it can
be concluded that the process of IT integration at PT X has a fairly high chance to succeed.
24
Leonardo, et al., Tata Kelola Teknologi Informasi 25
integrasi SI/TI saja, sedangkan tahapan setiap sasaran tersebut. Suatu organisasi tidak
pelaksanaan, monitoring dan evaluasinya adalah perlu menerapkan seluruh proses TI yang ada,
di luar lingkup. tetapi disesuaikan dengan sasaran-sasaran TI
Definisi Tata Kelola TI atau Information organisasi. Pada gilirannya, setiap sasaran TI
Technology (IT) Governance menurut mendukung pencapaian satu atau lebih sasaran
Information Technology Governance Institute bisnis organisasi. COBIT menyediakan pemetaan
(ITGI) adalah: “the responsibility of the board of antara sasaran bisnis dan sasaran-sasaran TI yang
Directors and executive management. It is an medukung pencapaiannya.
integral part of enterprise governance and Berbasis control, setiap proses TI yang
consists of the leadership and organizational didefinisikan dalam COBIT dirancang untuk
structures and processes that ensure that the mengontrol aspek tertentu dari pengelolaan TI,
organization’s IT sustain and extends the tujuan pengontrolan itu didefinisikan sebagai
organization’s strategy and objectives” [1]. sasaran kontrol (control objective). Kontrol
Pentingnya tata kelola TI bagi suatu didefinisikan sebagai kebijakan, prosedur praktik-
organisasi, membuahkan kebutuhan akan adanya praktik, dan struktur organisasi yang dirancang
seperangkat kerangka kerja yang merupakan untuk memberikan jaminan yang beralasan bahwa
langkah-langkah terbaik dalam mengelola TI. sasaran bisnis akan tercapai dan kejadian yang
Para ahli dan akademisi yang tergabung dalam tidak diinginkan akan dicegah atau dideteksi dan
ITGI kemudian menjawab kebutuhan ini dengan diperbaiki.
menerbitkan suatu kerangka kerja kontrol, yang Dikendalikan oleh pengukuran, COBIT
dinamakan COBIT atau Control Objective for membantu perusahaan dalam mengelola proses-
Information and Related Technology [2]. COBIT proses TI-nya dengan menyediakan: (1) Model
menjawab kebutuhan akan kerangka kerja tata kemapanan (maturity model), untuk melakukan
kelola TI dengan tiga karakteristik utamanya, benchmark dan identifikasi area peningkatan
yaitu: capability yang dibutuhkan; (2) Ukuran kinerja
Berfokus pada bisnis, COBIT diciptakan proses TI, dengan menunjukkan bagaimana proses
tidak hanya untuk digunakan oleh kalangan TI, mencapai tujuan bisnis dan TI, dan dapat
tetapi juga dapat digunakan sebagai panduan yang digunakan untuk mengukur kinerja proses internal
komprehensif bagi manajemen dan para pemilik berdasarkan prinsip-prinsip balance scorecard;
proses bisnis. Untuk memenuhi sasaran bisnis serta (3) Sasaran aktivitas dalam proses-proses TI.
perusahaan, maka informasi harus sesuai dengan Model Kemapanan, pengukuran tingkat
kriteria bisnis yang dalam COBIT disebut sebagai kemapanan proses-proses TI sering dilakukan
information requirements. Kriteria informasi yang untuk membandingkan suatu perusahaan dengan
dimaksud adalah keefektifan (effectiveness), perusahaan lain (benchmarking) atau untuk
efisiensi (efficiency), kerahasiaan (confidentiality), mengidentifikasi proses-proses yang perlu
integritas (integrity), ketersediaan (availability), ditingkatkan kemapanannya. COBIT
kepatuhan (compliance), dan keandalan menyediakan suatu model kemapanan (maturity
(reliability). Karena bersifat generik, kriteria model) yang diturunkan dari model dari Software
tersebut dapat diaplikasikan di setiap organisasi Engineering Institute [4] untuk kemapanan
[3]. Kriteria ini diterapkan dalam pengelolaan capability pengembangan perangkat lunak, yang
sumber-sumber daya TI yang terdiri dari: aplikasi, dikenal sebagai Capability Maturity Model
informasi, infrastruktur, dan tenaga manusia. (CMM). Keunggulan dari model maturitas ini
Berorientasi proses, COBIT mendefinisikan adalah relatif mudahnya untuk digunakan oleh
aktivitas TI dalam model proses generik ke dalam manajemen untuk menempatkan dirinya dalam
empat domain, yaitu Plan & Organise skala dan menyadari hal-hal yang perlu dilakukan
(Perencanaan dan Pengorganisasian), Acquire & untuk meningkatkan kemapanan. Tabel I
Implement (Pengadaan dan Implementasi), mendeskripsikan kriteria dari tiap tingkat
Deliver & Support (Penyediaan Layanan dan kemapanan.
Dukungan Teknis), serta Monitor & Evaluate
(Pemantauan dan Evaluasi). Domain-domain ini 2. Metodologi
sebenarnya adalah pemetaan dari area tanggung
jawab TI yaitu, perencanaan (plan), pembuatan Penelitian ini bersifat kualitatif dengan
(build), pelaksanaan (run), dan pengawasan menggunakan metode studi kasus, dengan alur
(monitor). Dari keempat domain ini, COBIT pikir sebagaimana ditunjukkan pada gambar 1.
mendefinisikan 34 proses TI yang sifatnya umum. Pada tahap awal penelitian, informasi yang digali
COBIT menyediakan pemetaan yang adalah tentang tujuan bisnis integrasi SI/TI
menunjukkan hubungan antara sasaran TI dan perusahaan. Dari tujuan integrasi SI/TI kemudian
proses-proses TI yang mendukung pencapaian dicarikan sasaran pengendalian (control
26 Journal of Information Systems, Volume 5, Issues 1, April 2009
objectives) yang relevan berdasarkan COBIT. masing-masing anak perusahaan memiliki divisi
Setiap sasaran pengendalian memiliki beberapa TI, yang berarti terdapat empat divisi TI termasuk
risk drivers, yaitu risiko-risiko yang dapat di kantor pusat. Masing-masing divisi ini
dikendalikan dengan penerapan sasaran menerapkan SI/TI yang berbeda-beda. Misalnya,
pengendalian tersebut. Masing-masing perusahaan sistem-sistem aplikasi yang digunakan untuk
akan memiliki tingkat kekhawatiran yang mendukung proses bisnis manajemen proyek dan
berbeda-beda terhadap suatu risiko, sehingga manajemen SDM bervariasi satu sama lain. Di sisi
dalam penelitian ini perlu dihasilkan profil yang infrastruktur, masing-masing divisi TI ini
menggambarkan hal tersebut. Selain itu, setiap memiliki data center dengan perangkat server
masing-masing. Karena anak perusahaan memiliki
proses TI yang merealisasikan suatu sasaran
nama domain masing-masing maka sistem e-mail
pengendalian juga dapat memiliki tingkat
yang berjalan pun berbeda. Selain itu, untuk
kemapanan. Tingkat kemapanan PT X untuk
jaringan internet, masing-masing divisi TI
setiap sasaran pengendalian dinilai berdasarkan memiliki atau menggunakan jasa ISP (Internet
kriteria dalam model kemapanan generik. Tujuan Service Provider) yang berbeda-beda.
utama dari dibuatnya profil risiko dan tingkat
kemapanan PT X adalah untuk menentukan TABEL I
prioritas langkah-langkah yang harus dilakukan KRITERIA TINGKAT KEMAPANAN SUATU PROSES TATA
KELOLA TI
oleh PT X untuk menyesuaikan tingkat
kemapanan kontrol-kontrolnya dengan profil Tingkat Kriteria
risiko yang dimilikinya. Penentuan prioritas ini 0 Non-existent Proses tidak ada.
dilakukan dengan menggunakan kuadran prioritas Proses dilakukan berdasarkan inisiatif
1 Ad hoc
perorangan, tanpa adanya suatu standar.
yang disebut quadrant report. Langkah-langkah
Proses dilakukan secara rutin tetapi tidak
yang telah diidentifikasi, selanjutnya 2 Repeatable
ada aturan dan panduan formal.
dikembalikan ke PT X untuk mendapatkan Proses dilakukan secara rutin sesuai dengan
masukan tentang faktor-faktor pendukung dan 3 Defined
suatu standar formal tertulis.
penghambat kesuksesan langkah-langkah tersebut. Proses dilakukan secara rutin sesuai dengan
4 Managed
suatu standar dan terukur hasilnya.
Proses dilakukan secara rutin sesuai dengan
5 Optimized suatu standar, terukur hasilnya, dan
senantiasa disempurnakan.
PT X lahir pada tahun 1969, dan mengawali Pareek [5] menyatakan bahwa integrasi TI
kiprahnya sebagai penyedia jasa peralatan harus dikontrol dengan menggunakan proses-
komunikasi elektronik, navigasi perkapalan, dan proses yang mapan, minimal keberhasilannya
sistem radar angkutan migas. PT X terus dapat diulang (repeatable). Proses-proses ini
berkembang hingga menjadi perusahaan jasa umumnya berasal dari suatu kerangka kerja tata
migas terintegrasi yang bergerak di bidang-bidang kelola yang mapan. Lebih lanjut Pareek
Geoscience Services (jasa geofisika), Drilling mengatakan bahwa banyak proses dan sasaran
Services (jasa pengeboran migas), dan Oilfield kontrol yang dimiliki oleh COBIT dapat
Services (jasa teknologi dan jasa-jasa workover digunakan sebagai kerangka kerja untuk
sumur migas). mengendalikan suatu program SI/TI dalam rangka
Pada saat sebelum penyatuan dilakukan, integrasi lintas unit-unit usaha. Namun, dari 34
proses yang dimiliki oleh COBIT, tidak semua
Leonardo, et al., Tata Kelola Teknologi Informasi 27
TABEL II TABEL IV
TUJUAN BISNIS (BUSINESS GOALS) YANG RELEVAN SASARAN PENGENDALIAN UTAMA (P) DAN SEKUNDER
DENGAN TUJUAN MERGER DI PT X SERTA TUJUAN TI (IT (S) PROSES-PROSES PERENCANAAN PO2, PO3, PO5 DAN
GOALS) YANG MENDUKUNG PENCAPAIANNYA PO6
Business Goals IT Goals
Improve and maintain Confidentiality
Effectiveness
Process
Compliance
Availability
business process G6 G7 G11
Reliability
Efficiency
Description Integrity
functionality.
Lower process costs. G7 G8 G13 G15 G24
Improve and maintain
operational and staff G7 G8 G11 G13 PO2 Define the Information
S P S P
productivity. Architecture
PO3 Determine Technological
P P
Direction
Dari tujuan-tujuan TI dapat diperoleh proses-
PO5 Manage the IT Investment P P S
proses TI yang mendukung pencapaian tujuan-
PO6 Communi-cate Manage-ment
tujuan TI tersebut sebagaimana terlihat pada tabel Aims and Direction
P S
III. Karena lingkup penelitian ini hanya tahapan
perencanaan, maka tujuan-tujuan TI yang tidak
Pembobotan risiko integrasi dilakukan oleh
memiliki proses-proses dalam domain Plan &
para manajer di divisi TI PT X beserta atas
Organize (PO), tidak diikutsertakan dalam
pernyataan-pernyataan potensi risiko (risk
pembahasan selanjutnya. Dengan demikian,
drivers) terkait proses PO2, PO3, dan PO5 dalam
tujuan-tujuan TI dengan nomor G6 dan G8 pada
dokumen COBIT Control Practices [7].
tabel diatas tidak diikutsertakan ke dalam analisis
Penetapan bobot dilakukan berdasarkan tingkat
lebih lanjut pada penelitian ini.
kekhawatiran dengan skala 0 sampai 3 atas setiap
Pada tujuan TI nomor G13, proses
pernyataan risiko yang ditetapkan melalui
perencanaan yang mendukung adalah PO6, akan
konsensus. Adapun kriteria dari tiap nilai skala
tetapi proses ini tidak diikutsertakan karena bukan
tersebut adalah: 0 – Perusahaan sudah sangat
pendukung sasaran efisiensi bisnis. Tabel IV
yakin bahwa risiko tersebut tidak akan terjadi atau
menunjukkan sasaran utama (primary, dengan
tidak ada dampaknya; 1 – Risiko tersebut kecil
notasi P) dan sasaran sekunder (secondary,
kemungkinannya untuk terjadi atau kecil
dengan notasi S) bisnis untuk proses PO2, PO3,
dampaknya; 2 – Risiko tersebut mungkin untuk
PO5, dan PO6.
terjadi atau cukup besar dampaknya; dan 3 –
28 Journal of Information Systems, Volume 5, Issues 1, April 2009
Risiko tersebut sangat mungkin untuk terjadi atau mungkin dialami (risiko) terkait dengan proses
sangat besar dampaknya. COBIT dalam hal pendefinisian arsitektur
informasi (PO2). Tabel VI menunjukkan hasil
TABEL V penilaian tingkat kekhawatiran terhadap
TINGKAT (SCORE) KEKHAWATIRAN MANAJEMEN TI
TERHADAP TIAP RISIKO (RISK) TERKAIT SASARAN-
konsekuensi yang mungkin dialami (risiko) terkait
SASARAN PENGENDALIAN (CONTROL OBJECTIVE) PADA dengan proses COBIT dalam hal pemilihan
PROSES PO2 arah/standar teknologi (PO3). Tabel VII
Score menunjukkan hasil penilaian tingkat kekhawatiran
CO No Risk
0 1 2 3 terhadap konsekuensi yang mungkin dialami
Inadequate information for (risiko) terkait dengan proses COBIT dalam hal
PO2.1 1 √
business functions
pengelolaan investasi TI (PO5).
Inconsistency between
2 information requirements and √ Penilaian terhadap tingkat kemapanan ini
application developments dilakukan berdasarkan bukti-bukti yang ada.
Data inconsistency between the Tingkat kemapanan ini dinilai dengan
3 √
organisation and systems menggunakan model kemapanan generik (generic
High effort required or inability maturity model) yang ada pada dokumen COBIT
to comply with fiduciary 4.1. Hasil penilaian tersebut disajikan pada tabel
4 √
obligations (e.g, compliance
reporting, security, privacy) VIII.
Inefficient planning of IT- Bobot risiko dan tingkat kemapanan suatu
5 enabled invesment programmes √ control objective kemudian dipetakan ke dalam
due to lack of information suatu diagram kuadran. Sumbu vertikal pada
Accumulation of data that are kuadran ini adalah tingkat kemapanan pemenuhan
6 not relevant, consistent or √
usable in an economical manner control objective tersebut, sedangkan sumbu
Compromised information horizontal adalah bobot risiko atau tingkat
PO2.2 1 √
integrity kekhawatiran perusahaan terhadap risiko-risiko
Incompatible and inconsisten jika control objective tersebut tidak terpenuhi.
2 √
data
Kategori dari masing-masing kuadran untuk tiap
3 Ineffective application controls √ kombinasi tingkat kemapanan dan bobot risiko
PO2.3 1
Inappropriate security
√
adalah seperti pada tabel IX.
requirements Dari pemetaan kuadran, selanjutnya dipilih
Inadequate or excessive
2 √ control objectives yang berada pada kuadran
invesments in security controls
Occurance of privacy, data,
under controlled untuk menjadi fokus
3 confidentiality, integrity and √ peningkatan kemampuan tata kelola TI dalam
availability incidents rangka integrasi SI/TI. Dari data yang ada, hanya
Non-compliance with regulatory proses PO3 yang memiliki control objectives pada
4 √
or third-party requirements
Inefficient or inconsistent
kuadran under controlled, sebagaimana terlihat
5 √ pada gambar 2. Perbedaan ukuran lingkaran dan
information for decision making
Data integrity error and warna tidak mempunyai arti tersendiri, hanya
PO2.4 1 √
incuidents sebagai pertanda adanya tumpukan titik karena
2
Unreliable data on which to
√
menempati koordinat yang sama.
base business decisions Penyempurnaan tingkat kemapanan untuk
Non-compliance with regulatory tiap control objective yang masuk kategori under
3 √
or third-party requirements
4 Unreliable external reports √
controlled dapat dilakukan dengan mengadopsi
control practices yang disediakan sebagai
suplemen dokumen COBIT. Tabel X
Tabel V menunjukkan hasil penilaian tingkat menunjukkan praktik-praktik yang berhasil dalam
kekhawatiran terhadap konsekuensi yang pemenuhan control objectives di bawah proses
PO3.
Leonardo, et al., Tata Kelola Teknologi Informasi 29
3 Licensing violations √
3 IT value contribution not transparent √
Increased support, replacement and
4 √
maintenance cost PO5.5 1 Misspending of IT investments √
Inability to access historical data on
5 √ 2 Inappropriate service pricing √
unsupported technology
TABEL VIII
TINGKAT KEMAPANAN SASARAN-SASARAN PENGENDALIAN TERKAIT PROSES-PROSES PO2, PO3 DAN PO5
PO2.1 Enterprise Information 4 PT X telah memiliki model arsitektur yang tertera pada dokumen IT
Architecture Model Plan serta dokumen IT Policy. Kemudian, PT X juga secara berkala
melakukan evaluasi terhadap arsitektur tersebut.
PO2.2 Enterprise Data 3 PT X telah memiliki kamus data dan aturan sintaksis. Meskipun hal
Dictionary and Syntax Rules ini tidak tertera dalam IT Policy, tetapi sudah ada di SOP.
PO2.3 Data Classification 3 Pada dokumen IT Policy, telah disebutkan tentang skema klasifikasi
Theme data lengkap dengan aturan-aturannya, tetapi belum ada proses untuk
memonitor dan mengevaluasinya.
PO2.4 Integrity Management 3 Masalah manajemen integritas data, sudah dimasukkan ke dalam IT
Policy. PT X juga secara rutin (tahunan) mengevaluasi kembali
integritas data ini dengan dibantu konsultan.
PO3.1 Technological Direction 4 Arahan teknologi telah diatur dalam suatu policy. Kemudian juga
Planning mengalami evaluasi serta perubahan-perubahan pada saat business
plan.
PO3.3 Monitor Future Trends 1 PT X belum sepenuhnya memonitor tren dan regulasi yang ada. Hal
and Regulations ini mungkin dikarenakan sifat TI yang masih sebagai support.
PO3.4 Technology Standards 4 Standar teknologi sudah diatur dalam suatu kebijakan, dan standar ini
ditinjau kembali pada saat perencanaan bisnis.
PO3.5 IT Architecture Board 2 Fungsi ini masih belum terdokumentasi dalam suatu kebijakan. Tetapi
sudah ada pihak-pihak yang melakukan verifikasi kepatuhan dan
penyediaan panduan secara terpisah.
PO5.1 Financial Management 3 Pengelolaan investasi TI dikelola secara terpadu dengan proses
Framework pengelolaan investasi yang telah mapan di bidang lain.
PO5.4 Cost Management 3 Monitoring dan evaluasi biaya TI dilakukan secara terpadu dengan
proses pengelolaan biaya perusahaan yang telah mapan.
PO5.5 Benefit Management 2 Pendefinisian manfaat TI dilakukan secara kualitatif sebagai bagian
dari pengajuan anggaran akan tetapi pengukuran pencapaiannya
belum memiliki prosedur baku.
TABEL IX
KATEGORI SASARAN PENGENDALIAN BERDASARKAN TINGKAT KEMAPANAN PENGENDALIANNYA DAN BOBOT RISIKONYA
Bobot Risiko
Rendah Tinggi
Tingkat Rendah Monitored Under
Kemapanan controled
Tinggi Over Monitored
controlled closely
Leonardo, et al., Tata Kelola Teknologi Informasi 31
TABEL X
TEKNIK PENGENDALIAN (CONTROL PRACTICES) UMUM UNTUK MEREALISASIKAN SASARAN-SASARAN PENGENDALIAN (CONTROL
OBJECTIVES) DALAM PROSES PENENTUAN ARAH/KEBIJAKAN PEMILIHAN TEKNOLOGI (PO3)
Control
Control Practices
Objectives
Include transitional and other costs,
complexity, technical risks, future
PO3.2-3 flexibility, value, and product/vendor
sustainability in the technology
infrastructure plan.
Ensure that adequately skilled staff
members within the IT department
routinely monitor technological
developments, competitor activities,
infrastructure issues, legal requirements
PO3.3-2
and regulatory environment changes, and
provide relevant information to senior
management. Consult third-party experts
to obtain views and confirm findings and
proposals of internal staff.
Ensure that the organisation’s legal
counsel monitors legal and regulatory
conditions in all relevant locations and
PO3.3-3
informs the IT steering committee of any
changes that may impact the technology
infrastructure plan.
Evaluate new technologies in the context
of their potential contribution to the
realisation of broader business goals and
PO3.2-4
targets using established criteria, e.g.,
ROI, or ability to achieve market
leadership.
Gambar 2. Kuadran prioritas untuk proses penentuan arah/kebijakan pemilihan teknologi (PO3).
Acuan di atas diberikan kepada pihak terkait kompleksitas, risiko teknis, fleksibilitas di masa
untuk diidentifikasi hal-hal yang menjadi depan, dan sustainability dari vendor cukup
penghambat dan pendukung. Hal ini dilakukan berpeluang untuk dimasukkan dalam perencanaan
dengan memberikan suatu formulir isian kepada infrastruktur. Hal ini dikarenakan bahwa di PT X,
para manajer di bawah divisi TI. telah ada proses assessment terhadap aspek-aspek
PO3.2-3: Unsur biaya-biaya transisi, tersebut, sehingga tidaklah menjadi hal yang sulit
32 Journal of Information Systems, Volume 5, Issues 1, April 2009