Coba

ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI MENGGUNAKAN FRAMEWORK COBIT 4.1 RIMA OCTAVIA SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR BOGOR 2014



PERNYATAAN MENGENAI TUGAS AKHIR DAN SUMBER INFORMASI SERTA PELIMPAHAN HAK CIPTA* Dengan ini saya menyatakan bahwa tugas akhir berjudul Analisis TingkatKematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPImenggunakan Framework COBIT 4.1 adalah benar karya saya dengan arahan darikomisi pembimbing dan belum diajukan dalam bentuk apa pun kepada perguruantinggi mana pun. Sumber informasi yang berasal atau dikutip dari karya yangditerbitkan maupun tidak diterbitkan dari penulis lain telah disebutkan dalam teksdan dicantumkan dalam Daftar Pustaka di bagian akhir tugas akhir ini. Dengan ini saya melimpahkan hak cipta dari karya tulis saya kepada InstitutPertanian Bogor. Bogor, Agustus 2014 Rima Octavia G652100045

ABSTRACTRIMA OCTAVIA. Analysis Maturity Level of Provision Information TechnologyGovernance in PDII-LIPI Using Framework COBIT 4.1. Supervised byENDANG PURNAMA GIRI and BLASIUS SUDARSONO. Centre for Scientific Documentation and Information – IndonesianInstitute of Science (PDII-LIPI) PDII-LIPI began developing its businesspurposes towards digital library. To support these purposes it is necessary to useIT governance. PDII-LIPI haven’t any specific IT governance. COBIT is one ofthe international standard for IT governance. COBIT is used in this study isCOBIT 4.1 because it can measure the organization its not uses IT governance.The results of the calculation of the maturity level of to provided IT governance inPDII-LIPI based on framework COBIT 4.1 shows that PDII-LIPI already at level3 (Defined Process). This is consistent with the actual conditions in PDII-LIPI.COBIT 4.1 is considered quite capable, reliable and easy to implement in PDII-LIPI as not only as IT governance, but also as a tool for management to formulatepolicies and IT audit.Keywords: IT governance, framework COBIT 4.1, maturity level.

RINGKASANRIMA OCTAVIA. Analisis Tingkat Kematangan Penyediaan Tata KelolaTeknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1.Dibimbing oleh ENDANG PURNAMA GIRI dan BLASIUS SUDARSONO. Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu PengetahuanIndonesia (PDII-LIPI) mulai mengembangkan tujuan bisnisnya ke arahperpustakaan digital. Untuk mendukung tujuan bisnis ini perlu untukmenggunakan tata kelola TI. PDII-LIPI belum mempunyai tata kelola TItersendiri. COBIT merupakan salah satu standar internasional untuk tata kelola TI.COBIT yang digunakan dalam penelitian ini adalah COBIT 4.1 karena dapatmengukur organisasi yang belum menggunakan tata kelola TI. Kerangka kerja COBIT 4.1 membagi tahapan tata kelola TI ke dalamempat domain yaitu perencanaan dan pengorganisasian (PO), pengadaan danimplementasi (AI), pengantaran dan dukungan (DS), serta monitor dan evaluasi(ME). Kerangka kerja COBIT 4.1 berorientasi pada proses maka keseluruhandomain tersebut memiliki beberapa proses, domain PO memiliki 10 proses,domain AI memiliki 7 proses, domain DS memiliki 13 proses, dan domain MEmemiliki 4 proses. Analisis tingkat kematangan penyediaan tata kelola TI atau ME4,menggunakan beberapa proses pada kerangka kerja COBIT 4.1 sebagai proseskontrolnya, yaitu PO4, PO5, PO9, ME2, dan ME3. Hasil perhitungan tingkatkematangan untuk menyediakan tata kelola TI di PDII-LIPI berdasarkan kerangkakerja COBIT 4.1 didapatkan berdasarkan proses kontrol yaitu PO4, PO5, PO9,ME2, dan ME3 menunjukkan bahwa PDII-LIPI berada pada level 3 (ProsesTerdefinisi). Berdasarkan demografi responden dalam hal ini pada struktural yangmasih menjabat saat ini, hasil tingkat kematangan penyediaan tata kelola TI diPDII-LIPI juga menunjukkan bahwa PDII-LIPI berada pada level 3 (ProsesTerdefini). Hal tersebut sesuai dengan kondisi pengelolaan TI di PDII-LIPI saatini. Tingkat kematangan yang diinginkan oleh struktural adalah 4 (Terkelola danTerukur) maka dari gap yang ada direkomendasikan untuk melakukan beberapaperbaikan dan menambah beberapa kekurangan agar tingkat kematangan yangdiinginkan tercapai. COBIT 4.1 dianggap cukup mampu, dapat diandalkan dan mudahdiimplementasikan dalam PDII-LIPI tidak hanya sebagai tata kelola TI, tetapi jugasebagai alat bagi manajemen untuk merumuskan kebijakan dan audit TI.Kata kunci: tata kelola TI, kerangka kerja COBIT 4.1, tingkat kematangan

© Hak Cipta Milik IPB, Tahun 2014 Hak Cipta Dilindungi Undang-UndangDilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkanatau menyebutkan sumbernya. Pengutipan hanya untuk kepentingan pendidikan,penelitian, penulisan karya ilmiah, penyusunan laporan, penulisan kritik, atautinjauan suatu masalah; dan pengutipan tersebut tidak merugikan kepentinganIPBDilarang mengumumkan dan memperbanyak sebagian atau seluruh karya tulis inidalam bentuk apa pun tanpa izin IPB

ANALISIS TINGKAT KEMATANGAN PENYEDIAAN TATA KELOLA TEKNOLOGI INFORMASI DI PDII-LIPI MENGGUNAKAN FRAMEWORK COBIT 4.1 RIMA OCTAVIA Tugas Akhir sebagai salah satu syarat untuk memperoleh gelar Magister Profesional pada Program Studi Magister Teknologi Informasi untuk Perpustakaan SEKOLAH PASCASARJANA INSTITUT PERTANIAN BOGOR BOGOR 2014

Penguji Luar Komisi : Firman Ardiansyah, SKom, Msi

Judul Tesis : Analisis Tingkat Kematangan Penyediaan Tata Kelola Teknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1Nama : Rima OctaviaNIM : G652 100045 Disetujui oleh Komisi PembimbingEndang Purnama Giri, SKom, MKom Blasius Sudarsono, MLS Ketua Anggota Diketahui olehKetua Program Studi Dekan Sekolah PascasarjanaMagister Teknologi Informasiuntuk PerpustakaanAziz Kustiyo, SSi, MKom Dr. Ir. Dahrul Syah, MSc Agr Tanggal Lulus:Tanggal Ujian:30 Agustus 2014

PRAKATA Puji dan syukur penulis panjatkan kepada Allah subhanahu wa ta’ala atassegala karunia-Nya sehingga karya ilmiah ini berhasil diselesaikan. Tema yangdipilih dalam penelitian yang dilaksanakan sejak bulan Januari 2014 ini ialah tatakelola TI, dengan judul Analisis Tingkat Kematangan Penyediaan Tata KelolaTeknologi Informasi di PDII-LIPI Menggunakan Framework COBIT 4.1. Terima kasih penulis ucapkan kepada Bapak Endang Purnama Giri, SKom,MKom dan Bapak Blasius Sudarsono, MLS selaku pembimbing yang telahbanyak memberi saran. Di samping itu, penghargaan penulis sampaikan kepadaKementerian Riset dan Teknologi selaku pemberi beasiswa sehingga penulis bisamelaksanakan tugas belajar pada Program Studi Magister Teknologi Informasiuntuk Perpustakaan. Penulis juga mengucapkan banyak terima kasih kepada IbuIr. Sri Hartinah, MSi selaku Kepala Pusat PDII-LIPI serta rekan-rekan kerja diPDII-LIPI yang telah membantu selama pengumpulan data. Ungkapan terimakasih juga disampaikan kepada papa dan mama, bapak dan ibu mertua, suami,anak, seluruh keluarga, sabahat dan teman-teman MTP khususnya angkatan 2010,sera semua yang telah memberikan doa, kasih sayang, dan dukungan penuhselama menyelesaikan penelitian hingga menyusun tulisan. Semoga karya ilmiah ini bermanfaat. Bogor, Agustus 2014 Rima Octavia

RIWAYAT HIDUP Penulis dilahirkan di Jakarta pada tanggal 9 Oktober 1976 sebagai anakbungsu dari pasangan H. Anwardi Mawardi dan Hj. Yusra. Pendidikan diplomaditempuh di Program Studi Teknik Grafika, Politeknik Universitas Indonesia,Depok, lulus pada tahun 1998. Pada tahun 2002 penulis menamatkan pendidikansarjana yang ditempuh di Universitas Sahid, Jakarta dengan Program Studi TeknikIndustri. Kesempatan untuk melanjutkan ke program magister pada program studiMagister Teknologi Informasi untuk Perpustakaan pada Institut Pertanian Bogordiperoleh pada tahun 2010. Beasiswa pendidikan pascasarjana diperoleh dariKementerian Riset dan Teknologi Republik Indonesia. Penulis bekerja sebagai Pengolah Naskah dan Desain di Pusat Dokumentasidan Informasi Ilmiah LIPI sejak tahun 2006 dan ditempatkan di Jakarta. Penulisbertanggung jawab terhadap pengolahan naskah dan desain produk-produk PDII-LIPI.



DAFTAR ISI viiiDAFTAR TABEL viiiDAFTAR GAMBAR ixDAFTAR LAMPIRAN 1 11 PENDAHULUAN 3 Latar Belakang 3 Perumusan Masalah 3 Tujuan Penelitian 4 Manfaat Penelitian Ruang Lingkup Penelitian 5 52 TINJAUAN PUSTAKA 6 Teknologi Informasi 9 Tata Kelola Teknologi Informasi 29 COBIT Profil Organisasi PDII-LIPI 33 333 METODOLOGI 33 Metode Penelitian 35 Tahapan Penelitian 36 Tahapan Analisis 37 Pengolahan Hasil Kuesioner Evaluasi 38 384 HASIL DAN PEMBAHASAN 38 Profil Responden 42 Karakteristik Demografi Responden 51 Pengolahan Data Kuesioner Evaluasi Tata Kelola TI 55 555 SIMPULAN DAN SARAN 55 Simpulan Saran 56DAFTAR PUSTAKA 57LAMPIRAN

DAFTAR TABEL1 Proses TI dalam domain perencanaan dan pengorganisasian 132 Proses TI dalam domain pengadaan dan implementasi 133 Proses TI dalam domain penyampaian layanan dan dukungan 144 Proses TI dalam domain monitor dan evaluasi 145 Kriteria kontrol informasi dari COBIT 4.1 156 Tingkat kematangan secara umum dalam COBIT 4.1 187 Tingkat kematangan ME4 268 Representasi tingkat kematangan COBIT 379 Jumlah jawaban responden untuk setiap modul dari sub domain PO4 4210 Jumlah jawaban responden untuk setiap modul dari sub domain PO5 4311 Jumlah jawaban responden untuk setiap modul dari sub domain PO9 4512 Jumlah jawaban responden untuk setiap modul dari sub domain ME2 4613 Jumlah jawaban responden untuk setiap modul dari sub domain ME3 4814 Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3 4915 Tingkat kematangan berdasarkan demografi responden 50DAFTAR GAMBAR1 Proses tata kelola TI 82 Kubus COBIT 113 Kerangka kerja COBIT 4.1 secara keseluruhan 124 Hubungan domain-domain dalam COBIT 4.1 155 Diagram alur penelitian 346 Sebaran responden berdasarkan usia 397 Sebaran responden berdasarkan jenis kelamin 398 Sebaran responden berdasarkan tingkat pendidikan 409 Sebaran responden berdasarkan jabatan 4010 Sebaran responden berdasarkan masa kerja 4111 Sebaran responden berdasarkan keaktifannya di PDII-LIPI 4112 Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol 52 proses ME4

DAFTAR LAMPIRAN 57 631 Kuesioner tingkat kematangan tata kelola di PDII-LIPI 642 Data relasi responden mengenai TI 653 Data hasil identitas responden 674 Data modul sub domain PO4 685 Data modul sub domain PO5 696 Data modul sub domain PO9 707 Data modul sub domain ME28 Data modul sub domain ME3



1 PENDAHULUAN Latar Belakang Teknologi Informasi (TI) mempengaruhi hampir semua aspek kehidupanmanusia, salah satunya adalah perpustakaan. Perkembangannya yang sangat cepatmenuntut perpustakaan untuk melakukan terobosan dan perubahan agar dapatmengoptimalkan penggunaan TI. Perpustakaan pada era TI menciptakanperubahan konsep perpustakaan konvensional menjadi perpustakaan digital,membuat akses informasi perpustakaan dapat dilakukan secara virtual tanpa perludatang ke perpustakaan. Dengan demikian, perpustakaan menjadi pusat informasiyang lebih proaktif mencari pembacanya dan memberikan layanan-layanan yanglebih cepat serta up to date. Khusus di bidang Ilmu Perpustakaan dan Informasi, Sulistyo (1993)menyatakan bahwa TI adalah teknologi yang digunakan untuk menyimpan,mengolah, menghasilkan dan menyebarluaskan informasi. Penggunaan bantuan TIpada proses pengelolaan perpustakaan disebut otomasi perpustakaan. Otomasiperpustakaan (library automation) adalah pemanfaatan TI untuk kegiatan-kegiatanperpustakaan meliputi: pengadaan, pengolahan, penyimpanan, dan penyebarluasaninformasi. Selain itu, otomasi perpustakaan mengubah sistem perpustakaanmanual menjadi sistem perpustakaan terkomputerisasi. Penggunaan TI saat initelah mengalami perubahan yang sangat besar dari sekedar alat bantu menjadikomponen proses bisnis dalam perpustakaan. Lin et al. (2000) menyatakan bahwa organisasi yang menggunakan TI perlumelakukan tata kelola agar TI dapat memberikan manfaat yang maksimal.Pengelolaan TI dapat digambarkan sebagai pengelolaan piranti lunak dan pirantikeras yang diharapkan dapat mengembangkan dan meningkatkan keuntungansistem informasi serta menyumbang manfaat jangka panjang bagi organisasi. Pusat Dokumentasi dan Informasi Ilmiah - Lembaga Ilmu PengetahuanIndonesia (PDII-LIPI) sebagai lembaga pemerintahan yang bergerak pada bidangjasa perpustakaan telah menyadari pentingnya penggunaan TI pada perpustakaan.PDII-LIPI menerapkan TI pertama kali dalam bentuk off-line denganmenggunakan perangkat lunak format MARC (machine readible cataloguing)

2yaitu format cantuman bibliografi yang terbaca mesin (komputer) pada tahun1983 sehingga PDII-LIPI diakui sebagai perpustakaan pertama di Indonesia yangmenerapkan penggunaan TI. PDII-LIPI mulai mengubah sistemnya menjadi on-line, yaitu TI berbasis internet sejak era 2000-an. PDII-LIPI berusaha menjadisebuah perpustakaan yang tidak hanya melakukan layanan peminjaman buku,referensi, penelusuran, dan lain-lain yang terbatas pada aktivitas lokal, tetapimenjadi sebuah perpustakaan yang bisa di akses dari manapun, kapanpun, danoleh siapapun. Oleh karena itu PDII-LIPI melakukan pengembangan perpustakaanke arah perpustakaan digital (http://elib.pdii.lipi.go.id/). Wijaya (2007)menyatakan bahwa penerapan TI untuk mendukung e-goverment merupakanupaya pemerintah mengadopsi TI dalam rangka meningkatkan kualitas pelayananpublik. PDII-LIPI telah berusaha menjawab tantangan era TI dengan terusmengembangkan TI pada perpustakaan, memperbaiki infrastruktur, danmeningkatkan kualitas sumber daya manusia (SDM). Meskipun KementerianKomunikasi dan Informatika RI (2007), memberikan panduan tata kelola TI yaituberdasarkan Peraturan Menteri Komunikasi dan Informatika No.41/PER/MEN.KOMINFO/11/2007 tentang Panduan Umum Tata KelolaTeknologi Informasi dan Komunikasi Nasional, namun tetap diperlukan tatakelola TI yang lebih spesifik untuk PDII-LIPI karena TI telah menjadi prosesbisnis di PDII-LIPI agar TI bisa berkontribusi maksimal pada penyelenggaraandigital library (perpustakaan digital). IT Governance Institute (2007) menyatakan bahwa untuk menjaminketersediaan sumber daya dalam organisasi diperlukan mekanisme pengendalianinternal sehingga tugas pokok dan fungsi (tupoksi) organisasi dapat tercapai.Mekanisme pengendalian internal mencakup dua lingkungan yaitu lingkunganaktivitas organisasi yang disebut tata kelola organisasi (enterprise governance)serta lingkungan pengelolaan dan pengolahan data menjadi informasi untukmenunjang proses pengambilan keputusan organisasi yang disebut tata kelola TI(IT Governance). Penerapan TI di perpustakaan akan dapat dilakukan dengan baik apabiladitunjang dengan suatu tata kelola TI mulai dari perencanaan sampai

3implementasinya. Pemilihan tata kelola COBIT dikarenakan COBIT adalahstandar international untuk tata kelola TI dan COBIT diarahkan lebih luasdigunakan di bidang manajemen, sehingga tidak hanya berperan sebagai standartata kelola TI tetapi dapat juga digunakan sebagai alat bantu bagi manajemendalam merumuskan kebijakan-kebijakan strategis. COBIT dilengkapi kerangkakerja (framework) untuk audit TI dan lebih mudah dipakai serta diterapkan dalamorganisasi. COBIT 4.1 membagi tahapan tata kelola TI ke dalam empat bagianyaitu plan and organize (perencanaan dan pengorganisasian), acquire andimplement (pengadaan dan implementasi), deliver and support (pengantaran dandukungan), serta monitor and evaluate (monitor dan evaluasi). COBIT yangdigunakan dalam kajian ini adalah COBIT 4.1 karena dapat mengukur organisasiyang belum menggunakan tata kelola TI dan difokuskan pada domain monitor danevaluasi (ME) terutama yang membahas tentang menyediakan tata kelola TI. Perumusan Masalah Berdasarkan masalah dan fakta yang terurai pada latar belakang, makapenyusun merumuskan masalah yang tercakup dalam penelitian ini sebagaiberikut:1. Bagaimana kondisi pengelolaan TI yang sedang berjalan?2. Apakah dengan framework (kerangka kerja) COBIT 4.1 akan ditemukan mengapa tata kelola TI diperlukan? Tujuan Penelitian1. Mempelajari kondisi pengelolaan TI.2. Menentukan maturity level (tingkat kematangan) penyediaan tata kelola TI berdasarkan kerangka kerja COBIT 4.1. Manfaat Penelitian Manfaat yang diharapkan dari hasil penelitian ini adalah:1. Dapat ditemukannya penyimpangan dalam pengelolaan TI di PDII-LIPI dari hasil tingkat kematangan penyediaan tata kelola TI berdasarkan kerangka kerja COBIT 4.1.

42. Membantu manajemen dalam pengambilan keputusan untuk kebijakan TI untuk memperbaiki penyimpangan yang ditemukan di PDII-LIPI hingga selanjutnya mampu mendukung pencapaian tujuan bisnis. Ruang Lingkup Penelitian1. Penelitian dilakukan pada Januari-Juni 2014 dan hanya dilakukan di PDII- LIPI, Jakarta.2. Untuk mendapatkan rekomendasi dan saran atas hasil evaluasi tersebut, digunakan domain monitor dan evaluasi (ME) terutama sub domain mengenai penyediaan tata kelola yang terdapat dalam kerangka kerja COBIT 4.1.

52 TINJAUAN PUSTAKA Teknologi Informasi TI adalah penggabungan antara teknologi komputer dengan telekomunikasi.Cakupan dari TI itu sendiri adalah telekomunikasi, komputer yang di dalamnyatermasuk bentuk mikro (contohnya yaitu perlindungan data, sistem pakar,komunikasi suara dengan bantuan komputer), jaringan digital (contohnya antaralain adanya surat elektronik, sistem informasi, jaringan informasi), serta audio danvideo, termasuk sistem komunikasi optik (contohnya video conference, video-teks,dan lain-lain). Fungsi utama TI pada perpustakaan adalah untuk mengatur informasi (in-house information) serta mengusahakannya agar dapat ditemukembalikan. Selainitu, TI memungkinkan kita untuk mengakses pangkalan data (database) luar(ekstern), yaitu database dari lembaga-lembaga lain, di berbagai belahan dunia.Fungsi lain dari TI adalah meringankan beban kerja, efisiensi dan menghematwaktu, meningkatkan jasa perpustakaan, dokumentasi, dan informasi(perpusdokinfo), serta membangun jaringan kerja dan kerjasama. Terdapat lima komponen dasar dari TI, antara lain hardware (perangkatkeras), software (perangkat lunak), brainware (SDM), dataware (data), dannetware (jaringan). Ada beberapa alasan mengapa TI perlu untuk dikembangkanyaitu untuk meningkatkan advantage (kegunaan), mengembangkan produktivitasdan kinerja, memfasilitasi sarana baru dalam pengelolaan dan pengorganisasian,dan mengembangkan bisnis baru. Aplikasi TI yang tercakup dalam ruang lingkup suatu sistem informasiperpustakaan antara lain adalah library housekeeping (pengelolaan perpustakaan),information retrieval (temu kembali informasi/penelusuran informasi), generalpurpose software (perangkat lunak untuk berbagai macam keperluan), librarynetworking (jaringan kerjasama perpustakaan).

6 Tata Kelola Teknologi InformasiPengertian Tata Kelola Teknologi Informasi Weill et al. (2004) mendefinisikan tata kelola TI sebagai suatu bagianintegral dari tata kelola organisasi yang terdiri atas kepemimpinan, struktur danproses organisasional yang memastikan bahwa organisasi TI berlanjut sertameningkatkan tujuan dan strategi organisasi. Tata kelola TI memungkinkanperusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinyasehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkankeuntungan kompetitif (ITGI 2007). Tata kelola TI merupakan satu kesatuan dari tata kelola organisasi melaluipeningkatan dalam efektivitas dan efisiensi dalam proses perusahaan yangberhubungan. Tata kelola TI menyediakan struktur yang menghubungkan prosesTI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan. Lebih jauhlagi tata kelola TI menggabungkan good (best) practice dari perencanaan danpengorganisasian TI, pembangunan dan pengimplemantasian, penyampaianlayanan dan dukungan, serta memonitor kinerja TI untuk memastikan kalauinformasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnisperusahaan. Tata kelola TI memungkinkan perusahaan untuk memperolehkeuntungan penuh dari informasinya, dengan memaksimalkan keuntungan daripeluang dan keuntungan kompetitif yang dimiliki. Pembangunan sistem pengendalian intern yang dapat diandalkan, sangatberkaitan dengan tata kelola TI, yaitu dalam hal pemilihan dan pengembangan TIyang memadai. Lemahnya pemilihan dan pengembangan TI akan menghasilkansistem informasi (SI) yang tidak andal. Lemahnya SI tidak memungkinkanterjadinya warning sign (deteksi dini) atas kesalahan pengelolaan TI. Peranan tata kelola TI merupakan hal yang sangat penting, dalam konteksorganisasi bisnis yang berkembang, kebutuhan akan TI bukan merupakan barangyang langka/baru lagi. Penggunaan TI di berbagai industri jasa tidak dapatdihindarkan dan telah mengubah sifat dari penyampaian jasa, yang memaksapekerja dan konsumen untuk lebih berinteraksi dengan teknologi yang dapat

7menghemat waktu, ruang dan jarak tempuh atas data dan informasi dalampenyampaian layanan yang dapat memuaskan konsumen. Sayangnya, kesadaran atas pemilihan dan pengembangan IT yang andal,lambat disadari oleh organisasi. Organisasi banyak yang tidak mempunyai visiatau misi ke depan yang berkaitan dengan pemilihan dan pengembangan TI.Kesadaran tata kelola baru akan terasa ketika persaingan makin besar. Organisasiyang terlambat menyadari pentingnya tata kelola TI sementara proses bisnismereka adalah TI dapat kalah bahkan mati dalam persaingan. Kegagalanpengembangan TI dapat meningkatkan keluhan dan tututan konsumen sertatingginya risiko operasional. Kesadaran pemilihan dan pengembangan TI terletak pada top managemenkarena mereka penentu strategi bisnis. Hal ini melibatkan pengadaan IT yangrelatif mahal yang seringkali tidak sesuai dengan kaidah good corporategovernance. Bukan rahasia lagi kalau korupsi sudah membudaya sehingga mark-up pembelian atau membeli barang yang bermutu rendah dengan harga mahalmenjadi praktik biasa dengan komisi masuk kantung pribadi. Barang TI lalumenjadi beban perusahaan yang dapat menimbulkan IT Failure lalu menimbulkanfrustasi dan tingginya tingkat risiko operasional dan risiko reputasi. Organisasi yang mengedepankan tata kelola akan memilih perangkat TIyang berkualitas sehingga menghasilkan sistem informasi manajemen (MIS) yanghandal dan mendukung pengembangan bisnisnya. Sebagaimana disampaikan olehDamianides (2005) sebagai berikut. \"The prominent role of IT in creating business value has accelerated the establishment of the concept of IT Governance as ahigh priority for boards of directors and executive management. IT Governance practices need to focus on ensuring that the expectations of IT are met. An effective IT Governance program will help organizations understand the issues and ensure that IT can sustain operations, and help enable companies to use IT for competitive advantage.\" Dengan kata lain, memang tata kelola TI awalnya berada di tangan direksi,komisaris atau pemilik yang mau tahu perubahan/percepatan TI dan mempunyai

8komitmen dalam pemilihan/pengembangan TI. Dalam hal ini, peran ChiefInformation Officer (CIO) saat ini menjadi penting karena membantu manajemenuntuk melihat apa yang dibutuhkan organisasi agar dapat menyesuaikan dengankebutuhan/tuntutan pasar (competitive advantage). Peran pegawai juga penting,apakah mereka mau menyesuaikan dengan \"perubahan\" yang berkaitanperkembangan TI atau tidak. Jadi, diperlukan sikap inovatif, ketekunan dankeinginan untuk belajar. Perubahan TI dapat menyebabkan perubahan prosedurkerja yang dapat menimbulkan frustrasi. Oleh karena itu, tata kelola TI jugaberkaitan dengan pengembangan SDM yang berkualitas.Proses Tata Kelola Teknologi Informasi Sebagai suatu proses, sistem tata kelola TI dapat dilihat dari peran danfungsi tiap komponen yang membentuk struktur tata kelola TI. Proses tata kelolaTI dapat kita lihat pada Gambar 1. Proses Perancangan Tata Kelola TI Proses Keputusan TI Mekanisme Penyelarasan Strategi Bisnis dan TI Mekanisme Implementasi Keputusan TI Mekanisme Pengarahan Perilaku Pengguna Mekanisme Pengawasan Mekanisme Evaluasi Kinerja TI Gambar 1 Proses tata kelola TI

9 COBITPengertian COBIT Menurut Gondodiyoto (2007), COBIT adalah sekumpulan dokumentasi bestpractices untuk tata kelola TI yang dapat membantu auditor, pengguna (user), danmanajemen, dan juga untuk menjembatani kesenjangan (gap) antara resiko bisnis,kebutuhan kontrol dan permasalahan-permasalahan teknis TI. COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dankarena itu business process owners dan manajer, termasuk juga auditor danpengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya.COBIT adalah merupakan kerangka kerja “a set of best practices” bagi ITmanagement (pengelolaan TI). COBIT disusun oleh Information TechnologyGovernance Institute (ITGI) bagian dari Information System Audit and ControlAssociation (ISACA), tepatnya oleh Information Systems Audit and ControlFoundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan padatahun 1996, sementara versi on-line pertama kali dikeluarkan tahun 2003 padaedisi ke tiga. Versi COBIT terakhir saat ini adalah COBIT 5. Menurut ITGI(2007), pada COBIT 4.1 diuraikan good practices, domain-domain dan proseskerangka kerja TI yang ada. Selain itu juga menjelaskan masalah process andactivity (pengelolaan proses TI dan bentuk-bentuk kegiatan) dan mempunyaistruktur yang sangat logis. COBIT dikembangkan sebagai suatu generally applicable and acceptedstandard for good Information Technology security and control practices. Istilah“generally applicable and accepted” digunakan secara eksplisit dalam pengertianyang sama seperti Generally Accepted Accounting Principles (GAAP). Sementaraitu, “good practices” mencerminkan konsensus antar para ahli di seluruh dunia.COBIT dapat digunakan sebagai tools tata kelola TI, dan juga membantuperusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBITdapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapatmembantu dalam mengindetifikasi IT control issues. COBIT berguna bagi parapengguna karena memperoleh keyakinan atas keandalan sistem aplikasi yang

10digunakan. Sementara itu, para manager memperoleh manfaat berupa kemudahandalam pengambilan keputusan investasi di bidang TI serta infrastrukturnya,menyusun strategi rencana TI, menentukan arsitektur informasi, dan keputusanatas procurement (pengadaan/pembelian) mesin. Disamping itu, denganketerandalan SI yang ada pada organisasi diharapkan berbagai keputusan bisnisdapat didasarkan atas informasi yang ada. Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagaitambahan materi untuk merancang prosedur audit. Singkatnya, COBIT dapatdimodifikasi dengan mudah, sesuai dengan industri, kondisi TI organisasi kita,atau objek khusus di lingkungan TI. Selain dapat digunakan oleh auditor, COBITdapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TIdan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utamayang sangat membantu dalam penerapan tata kelola TI di perusahaan. COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakantata kelola TI pada suatu organisasi. COBIT mempertemukan dan menjembatanikebutuhan manajemen dari gap antara resiko bisnis, kebutuhan kontrol danmasalah-masalah teknis TI, serta menyediakan referensi best business practicesyang mencakup keseluruhan TI dan kaitannya dengan proses bisnis organisasi danmemaparkannya dalam struktur aktifitas-aktifitas logis yang dapat di kelola sertadikendalikan secara efektif. COBIT mendukung manajemen dalam mengoptimalkan investasi TI melaluiukuran-ukuran dan hasil pengukuran yang akan memberikan sinyal bahaya bilasuatu kesalahan atau resiko akan/atau sedang terjadi. Manajemen perusahaanharus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik.Itu artinya, sistem dapat mendukung proses bisnis perusahaan yang secara jelasmenggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutandan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan.Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasukpemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian,keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalaninformasi (Gambar 2).

11 Gambar 2 Kubus COBITSumber : ITGI (2007). COBIT mengintegrasikan praktik-praktik yang baik dan menyediakankerangka kerja untuk tata kelola TI yang membantu pemahaman dan pengelolaanresiko serta memperoleh keuntungan terkait dengan TI. Untuk memahami kerangka kerja COBIT, harus diketahui karakteristikutama bagaimana kerangka kerja ini disusun dan prinsip yang mendasarinya.Karakteristik utama COBIT adalah orientasi pada proses, fokus pada bisnis,berbasis kontrol, dan dikendalikan oleh pengukuran. Sementara itu, prinsip dasarCOBIT adalah memberikan informasi yang diperlukan bagi organisasi gunamencapai tujuannya. Organisasi perlu mengelola dan mengendalikan sumber dayaTI dengan menggunakan sekumpulan proses-proses yang terstruktur untukmemberikan layanan informasi yang diperlukan.Kerangka Kerja COBIT 4.1 Kerangka kerja COBIT 4.1 berorientasi pada control objectives (proses)yang terdiri atas 4 high-level control objectives (tujuan pengendalian tingkat-tinggi). Gambar 3 memperlihatkan kerangka kerja COBIT 4.1 secara keseluruhan.

12 Gambar 3 Kerangka kerja COBIT 4.1 secara keseluruhanSumber: ITGI (2007). Kerangka kerja tersebut tercermin dalam 4 domain sebagai berikut.1. Perencanaan dan Pengorganisasian (PO) Domain perencanaan dan pengorganisasian mencakup penggunaan TI dandapat digunakan dalam sebuah organisasi untuk membantu organisasi mencapaitujuan dan sasaran. Selain itu, domain ini juga menyoroti organisasi daninfrastruktur TI untuk mengambil dan mencapai hasil yang optimal dan yang

13paling menghasilkan keuntungan dari penggunaan TI. Tabel 1 berisi proses TIdalam domain perencanaan dan pengorganisasian sebanyak 10 proses.Tabel 1 Proses TI dalam domain perencanaan dan pengorganisasianPO1 Mendefinisikan Rencana dann Arah Strategis TIPO2 Mendefinisikan Arsitektur InformasiPO3 Menentukan Arah TeknologiPO4 Mendefinisikan Proses TI, Organisasi dan HubunganPO5 Mengelola Investasi TIPO6 Mengkomunikasikan Tujuan dan Arah ManajemenPO7 Mengelola Sumber Daya Manusia TIPO8 Mengelola KualitasPO9 Menilai dan Mengelola Resiko TIPO10 Mengelola Proyek2. Pengadaan dan Implementasi (AI) Domain pengadaan dan implementasi mencakup mengidentifikasipersyaratan TI, memperoleh teknologi, dan menerapkannya dalam organisasi saatini, yaitu proses bisnis. Domain ini juga alat pengembangan rencana pemeliharaanbahwa organisasi harus mengadopsi untuk memperpanjang kehidupan sebuahsistem TI dan komponennya. Tabel 2 berisi proses TI dalam domain pengadaandan implementasi sebanyak 7 proses. Tabel 2 Proses TI dalam domain pengadaan dan implementasi AI1 Mendefinisikan Solusi Otomasi AI2 Mengadakan dan Memelihara Piranti Lunak Aplikasi AI3 Mengadakan dan Memelihara Infrastruktur Teknologi AI4 Memungkinkan Operasi dan Penggunaan AI5 Mengadakan Sumber Daya TI AI6 Mengelola Perubahan AI7 Menginstal dan Mengakreditasi Solusi dan Perubahan3. Penyampaian Layanan dan Dukungan (DS) Domain penyampaian layanan dan dukungan berfokus pada domainpengiriman aspek TI. Domain ini meliputi area-area lingkup TI seperti eksekusiaplikasi di dalam sistem TI dan hasil proses TI, serta dukungan yangmemungkinkan proses yang efektif dan efisien dalam pelaksanaan sistem TI.Mendukung proses ini termasuk masalah keamanan dan pelatihan. Tabel 3 berisiproses TI dalam domain penyampaian layanan dan dukungan sebanyak 13 proses.

14 Tabel 3 Proses TI dalam domain penyampaian layanan dan dukungan DS1 Mendefinisikan dan Mengelola Tingkat Layanan DS2 Mengelola Layanan Pihak Ketiga DS3 Mengelola Kinerja dan Kapasitas DS4 Memastikan Layanan Berkesinambungan DS5 Memastikan Keamanan Sistem DS6 Mengidentifikasikan dan Mengalokasikan Biaya DS7 Mendidik dan Melatih Pengguna DS8 Mengelola Meja Layanan dan Insiden DS9 Mengelola Konfigurasi DS10 Mengelola Masalah DS11 Mengelola Data DS12 Mengelola Lingkungan Fisik DS13 Mengelola Pengoperasian4. Monitor dan Evaluasi (ME) Domain monitor dan evaluasi berurusan dengan strategi organisasi dalammenilai kebutuhan organisasi. Domain ini juga melihat apakah sistem TI yangsekarang masih memenuhi tujuan yang telah dirancang dan kontrol yangdiperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isuindependen penilaian terhadap efektivitas sistem TI dalam kemampuan untukmemenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditorinternal dan eksternal. Tabel 4 berisi proses TI dalam domain monitor danevaluasi sebanyak 4 proses. Tabel 4 Proses TI dalam domain monitor dan evaluasi ME1 Mengawasi dan Mengevaluasi Kinerja TI ME2 Mengawasi dan Mengevaluasi Pengendalian Internal ME3 Memastikan Kepatuhan dengan Kebutuhan Eksternal ME4 Menyediakan Tata Kelola TI Domain-domain pada COBIT 4.1 dapat dilihat hubungannya satu denganyang lainnya pada Gambar 4.

15 Gambar 4 Hubungan domain-domain dalam COBIT 4.1Sumber : ITGI (2007). Fokus pada bisnis, menunjukkan bahwa COBIT 4.1 dirancang bukan hanyauntuk dikerjakan oleh penyedia layanan TI, pengguna atau auditor, melainkanjuga menyediakan panduan yang lengkap untuk manajemen dan pemilik prosesbisnis. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Kerangkakerja COBIT 4.1 membahas isu utama mengenai bagaimana mengelola danmengendalikan informasi serta membantu memastikan keselarasan sumber dayaTI dengan kebutuhan atau tujuan bisnis. Tabel 5 menjelaskan beberapa kriteriakontrol informasi dari COBIT 4.1.Tabel 5 Kriteria kontrol informasi dari COBIT 4.1Efektivitas Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis sperti penyampaianEfesiensi informasi dengan benar, konsisten dapat dipercaya danKerahasian tepat waktuIntegritas Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimalKetersediaan Memfokuskan proteksi terhadap informasi yang pentingKepatuhan dari orang yang tidak memiliki hak otorisasiKeakuratan Berhubungan dengan keakuratan dan kelengkapanInformasi informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban

16 Antara sasaran bisnis dan sasaran TI (business goals and IT goals) sertakriteria informasi terdapat hubungan yang menunjukkan bahwa sasaran bisnisyang diberikan (yang dikelompokkan menjadi empat perspektif IT balancedscoredcard) terkait dengan sasaran TI yang sesuai dan kriteria informasi yangdiperlukan. Pencapaian kebutuhan bisnis didukung oleh sumber daya TI yangdiidentifikasi dan didefinisikan sebagai berikut: Aplikasi, yaitu sistem user yang diotomatisasi dan prosedur manual yang memproses informasi. Informasi, yaitu data dalam semua bentuknya, dimasukkan, diproses, dan dikeluarkan dari sistem informasi dalam bentuk apapun untuk keperluan bisnis. Infrastruktur, yaitu teknologi dan fasilitas (perangkat keras, sistem operasi, sistem manajemen database, jaringan, multimedia, dan sebagainya, serta lingkungan penempatan dan pendukungnya) yang memungkinkan pemrosesan aplikasi. Manusia, yaitu orang yang diperlukan untuk merencanakan, mengorganisir, mendapatkan, menerapkan, menyampaikan, mendukung, memonitor, serta mengevaluasi layanan dan sistem informasi. COBIT 4.1 berbasis kontrol, didefinisikan sebagai kebijakan, prosedur,praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yangdapat diterima bahwa tujuan bisnis akan dicapai dan kejadian yang tidakdiharapkan dapat dicegah atau diketahui dan diperbaiki. Sementara itu, tujuankontrol TI merupakan pernyataan mengenai maksud atau hasil yang diharapkandengan menerapkan prosedur kontrol dalam aktivtias TI tertentu. Tujuan kontroldalam COBIT 4.1 merupakan kebutuhan minimal untuk kontrol yang efektif darisetiap proses TI. Agar dapat mencapai tata kelola TI yang efektif, kontrol perludiimplementasikan dalam suatu kerangka kerja kontrol yang didefinisikan untuksemua proses TI. Kerangka kerja kontrol dalam COBIT 4.1, memberikan kaitan yang jelasantara kebutuhan tata kelola TI, proses TI, dan kontrol TI, karena tujuan kendalidiorganisasikan menurut proses TI. Setiap proses TI yang terdapat dalam COBIT

174.1 mempunyai tujuan kendali tingkat tinggi dan sejumlah tujuan kendali detail.Secara keseluruhan ini merupakan karakteristik proses yang dikelola dengan baik.COBIT 4.1 dikendalikan oleh pengukuran. Pemahaman terhadap status sistem TI,diperlukan bagi organisasi, agar dapat memutuskan tingkat manajemen dankontrol yang harus diberikan. Dengan demikian organisasi perlu mengetahui apayang harus diukur dan bagaimana pengukuran dilakukan, sehingga dapatdiperoleh status kinerjanya. Selanjutnya pengetahuan ini akan membantu upayapeningkatan yang perlu dilakukan.Maturity Model (Model Kematangan) Model kematangan untuk pengelolaan dan kontrol pada proses TIdidasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiridari level tidak ada (0) hingga optimis (5). Model kematangan dimaksudkan untukmengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritaspeningkatan. Model kematangan dirancang sebagai profil proses TI, sehinggaorganisasi dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang danmendatang. Pengunaan model kematangan yang dikembangkan untuk setiap 34proses TI yang terdapat pada seluruh domain-domain COBIT 4.1, memungkinkanmanajemen mengidentifikasi: Kinerja sesungguhnya organisasi, dimana kondisi organisasi saat ini. Kondisi sekarang dari organisasi sejenis sebagai perbandingan. Target peningkatan organisasi, kondisi yang diinginkan organisasi. Jalur pertumbuhan yang diperlukan anatara “as-is” dan “to-be”. Masing-masing dari ke-34 proses TI tersebut mempunyai modelkematangan yang telah didefinisikan dengan pemberian skala pengukuranbertingkat dari 0 (tidak ada) hingga 5 (optimis). Model kematangan yangdibangun berawal dari generic qualitative model, prinsip dari atribut berikutditambahkan dengan cara bertingkat :1. Kepedulian dan komunikasi (awareness and communication)2. Kebijakan, standar dan prosedur (polices, standard and procedures)3. Perangkat bantu dan otomatisasi (tools and automation)4. Keterampilan dan keahlian (skills and expertise)

185. Pertanggungjawaban external dan internal (responsibility and accountability)6. Penetapan tujuan dan pengukuran (goal setting and measurement) Pendefinisian model kematangan suatu proses TI mengacu pada kerangkakerja COBIT 4.1 yang secara umum dapat dijabarkan pada Tabel 6. Tabel 6 Tingkat kematangan secara umum dalam COBIT 4.1 Level Kriteria Kematangan0 Tidak Ada Organisasi bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi Tidak terdapat proses standar, namun menggunakan1 Awal/Ad-Hoc pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus2 Berulang tapi Proses dikembangkan ke dalam tahapan di mana Intuitif prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama3 Proses Terdefinisi Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan4 Terkelola dan Manajemen mengawasi dan mengukur kepatuhan Terukur terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif Proses telah dipilih ke dalam tingkat praktik yang5 Optimis baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kematangan dengan organisasi lain Beberapa tujuan pengukuran kematangan adalah untuk: Menumbuhkan kepedulian (awareness). Melakukan identifikasi kelemahan (weakness). Melakukan identifikasi kebutuhan perbaikan (improvement).Sub Domain Monitor dan Evaluasi 4 (ME4) ME4 membahas proses TI tentang penyediaan tata kelola TI. Membangunkerangka kerja tata kelola TI yang efektif termasuk mendefinisikan organisasistruktur, proses, kepemimpinan, peran dan tanggung jawab untuk memastikanbahwa investasi TI selaras dan disampaikan sesuai dengan strategi dan tujuanorganisasi. Proses ini menyediakan tata kelola TI untuk TI yang memenuhikebutuhan bisnis serta mengintegrasikan tata kelola TI dengan tujuan tata kelolaorganisasi dan mematuhi undang-undang, peraturan dan kontrak dengan berfokus

19pada pembuatan laporan dewan pada strategi TI, kinerja dan risiko, danmenanggapi ketentuan tata sejalan dengan arah papan dicapai dengan: Membangun kerangka kerja tata kelola TI diintegrasikan ke dalam tata kelola perusahaan Mendapatkan jaminan independen terhadap status tata kelola TI dan terukur Frekuensi pelaporan papan di IT kepada para pemangku kepentingan (termasuk kematangan) Frekuensi pelaporan dari IT ke dewan (termasuk kematangan) Frekuensi tinjauan independen kepatuhan TI. Sub domain yang menjadi kontrol dari proses ME4, antara lain adalah:a. Sub Domain Perencanaaan dan Pengorganisasian 4 (PO4) yaitu Mendefinisikan Proses TI, Organisasi dan Hubungan. - PO4.1 (Kerangka Proses Informasi Teknologi) Menentukan kerangka proses TI untuk menjalankan rencana strategi TI. Kerangka proses ini meliputi hubungan dan struktur proses TI (misalnya, untuk mengelola kesenjangan dan kondisi tumpang tindihnya proses), kepemilikan, kedewasan, pengukuran kinerja, peningkatan, kesesuaian, target kualitas, dan berbagai rencana untuk mencapainya. Kerangka ini harus memberikan integrasi di antara berbagai proses yang spesifik TI, pengelolaan portofolio perusahaan, proses bisnis, dan proses perubahan bisnis. Kerangka proses TI ini harus diintegrasikan ke dalam sistem pengelolaan kualitas (QMS) dan kerangka kontrol internal. - PO4.2 (Komite Strategi TI) Membentuk komite strategi TI pada level dewan pengurus. Komite ini harus memastikan bahwa tata kelola TI, sebagai bagian dari tata kelola perusahaan, diarahkan secara memadai; menyarankan arah strategi; dan meninjau investasi utama atas nama seluruh dewan pengurus. - PO4.3 (Komite Pengarahan TI) Membentuk komite pengarahan TI (atau yang setara) yang disusun dari pengelolaan eksekutif, bisnis, dan TI untuk:

20  Menentukan prioritas program investasi yang memungkinkan TI sesuai dengan strategi dan prioritas bisnis perusahaan  Melacak status proyek dan memecahkan konflik sumber daya  Memantau level layanan dan peningkatan layanan - PO4.4 (Penempatan Organisasi Fungsi TI) Menempatkan fungsi TI dalam struktur organisasi keseluruhan dengan kesatuan model bisnis pada pentingnya TI dalam perusahaan, terutama kekritisannya terhadap strategi binis dan tingkat ketergantungan operasional pada TI. Bagis laporan pada CIO harus sepadan dengan pentingnya TI dalam perusahaan. - PO4.5 (Struktur Organisasi TI) Membentuk struktur organisasi TI internal dan eksternal yang mencerminkan keperluan bisnis. Selain itu, menempatkan proses dalam posisi yang tepat untuk meninjau struktur organisasi TI secara berkala, guna menyesuaikan persyaratan penentuan staf dan strategi penentuan sumber untuk memenuhi tujuan bisnis yang diharapkan dan mengubah kondisi saat ini. - PO4.6 (Pembentukan Peran dan Tanggung Jawab) Membentuk dan mengkomunikasikan peran dan tanggung jawab untuk staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk memenuhi kebutuhan organisasi. - PO4.7 (Tanggung Jawab untuk Jaminan Kualitas TI) Menetapkan tanggung jawab untuk kinerja dari fungsi jaminan kualitas (QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. Memastikan bahwa penempatan organisasi dan tanggung jawab serta ukuan kelompok QA memenuhi persyaratan organisasi. - PO4.8 (Tanggung Jawab atas Risiko, Keamanan, dan Kesesuaian) Menanamkan kepemilikan dan tanggung jawab atas risiko terkait TI dalam bisnis pada level senior yang sesuai. Menentukan dan menetapkan kritik peran untuk mengelola risiko TI, termasuk tanggung jawab spesifik

21 untuk keamanan informasi, keamanan fisik, dan kesesuaian. Membentuk tanggung jawab pengelolaan risiko dan keamanan pada level perusahaan untuk menangani masalah dalam lingkup organisasi. Tanggung jawab pengelolaan keamanan tambahan mungkin perlu ditetapkan pada tingkat sistem spesifik untuk menangani masalah keamanan yang terkait. Memperoleh pengarahan dari manajemen senior tentang risiko TI dan persetujuan atas setiap risiko TI yang masih ada.- PO4.9 (Kepemilikan Data dan Sistem) Menyediakan bisnis dengan prosedur dan peralatan, yang memungkinkannya untuk mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi. Pemilik harus membuat keputusan tentang informasi klasifikasi dan sistem, dan melindunginya sesuai klasifikasinya.- PO4.10 (Pengawasan) Menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan untuk meninjau KPI (Indikator Kinerja Penting) secara umum.- PO4.11 (Pemisahan Tugas) Menerapkan divisi peran dan tanggung jawab yang dapat mengurangi kemungkinan kondisi di mana proses penting hanya ditangani oleh seorang personel. Memastikan bahwa personel hanya menjalankan tugas yang diwenangkan terkait dengan pekerjaan dan posisinya.- PO4.12 (Penentuan Staf TI) Mengevaluasi persyaratan penentuan staf pada basis reguler atau atas perubahan mayor pada bisnis, lingkungan operasional atau TI untuk memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi.- PO4.13 (Personel Penting TI)

22 Menentukan dan mengidentifikasi personel TI penting (misalnya, personel pengganti/cadangan), dan meminimalkan ketergantungan pada satu personel yang menjalankan fungsi pekerjaan penting. - PO4.14 (Kebijakan dan Prosedur untuk Staf Kontrak) Memastikan bahwa konsultan dan personel kontrak yang mendukung fungsi TI memahami dan memenuhi kebijakan organisasi untuk melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui. - PO4.15 (Hubungan) Membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat (offsite).b. Sub Domain Perencanaaan dan Pengorganisasian 5 (PO5) yaitu Mengelola Investasi TI - PO5.1 (Kerangka Proses Manajemen Keuangan) Membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI. - PO5.2 (Prioritisasi dalam Anggaran TI) Menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna memaksimalkan kontribusi TI untuk optimisasi pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya. - PO5.3 (Penentuan Anggaran TI) Membentuk dan menerapkan praktik untuk mempersiapkan anggaran yang mencerminkan prioritas yang dibentuk oleh portofolio perusahaan dari program investasi yang dimungkinkan TI, dan meliputi biaya operasional dan perawatan infrastruktur yang terus berlanjut. Praktik harus mendukung pengembangan anggaran TI seluruhnya serta

23 pengembangan anggaran untuk program masing-masing, dengan penekanan tertentu pada komponen TI dari program-program tersebut. Praktik harus memungkinkan tinjauan yang terus berlanjut, perbaikan, dan persetujuan keseluruhan anggaran dan anggaran untuk program masing-masing. - PO5.4 (Manajemen Biaya) Menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. Di mana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. Bersama dengan sponsor bisnis dari program tersebut, tindakan perbaikan yang tepat harus diambil, jika perlu, status bisnis program harus diperbarui. - PO5.5 (Manajemen Manfaat) Menerapkan proses untuk memantau manfaat dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai. Kontribusi TI atas bisnis, baik sebagai komponen dari program investasi yang dimungkinkan TI, atau sebagai bagian dari dukungan operasional harus diidentifikasi dan didokumentasikan dalam status bisnis, disetujui, dipantau, dan dilaporkan. Laporan harus ditinjau, dan di mana ada kesempatan kesempatan untuk meningkatkan kontribusi TI, tindakan yang sesuai harus ditentukan dan diambil. Di mana perubahan dalam kontribusi TI berdampak pada program, status program harus diperbarui.c. Sub Domain Perencanaaan dan Pengorganisasian 9 (PO9) yaitu Mengakses dan Mengelola Risiko TI - PO9.1 (Kerangka Proses Manajemen Risiko TI) Membentuk kerangka proses manajemen risiko TI yang selaras dengan kerangka proses manajemen risiko organisasi (perusahaan). - PO9.2 (Membentuk Konteks Risiko) Membentuk konteks di mana kerangka proses penilaian risiko diterapkan untuk memastikan hasil yang sesuai. Ini harus meliputi menentukan

24 konteks internal dan eksternal dari setiap penilaian risiko, sasaran penilaian, dan kriteria terhadap risiko yang dievaluasi. - PO9.3 (Identifikasi Peristiwa) Mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang berlaku) dengan dampak negatif potensial pada sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, SDM, dan aspek operasional. Menentukan sifat dampak dan menjaga informasi ini. Mencatat dan menjaga risiko yang relevan dalam registri risiko. - PO9.4 (Penilaian Risiko) Menilai pada basis berulang, kemungkinan dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara terpisah, berdasarkan kategori dan pada basis portofolio. - PO9.5 (Respons Risiko) Membangun dan menjaga proses respons risiko yang dirancang untuk memastikan bahwa kontrol yang efektif biaya mengurangi pemaparan terhadap risiko pada basis yang berkesinambungan. Proses respons risiko harus mengidentifikasi strategi risiko seperti penghindaran, pengurangan, pembagian, atau penerimaan; menentukan tanggung jawab yang terkait; dan mempertimbangkan tingkat toleransi risiko. - PO9.6 (Pemeliharaan dan Pemantauan atas Rencana Tindakan Risiko) Memprioritaskan dan merencanakan aktivitas kontrol pada semua tingkatan untuk menerapkan respons risiko yang diidentifikasi sebagaimana diperlukan, mencakup identifikasi atas biaya, manfaat, dan tanggung jawab untuk pelaksanaan. Memperoleh persetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risiko residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh. Memantau pelaksanaan rencana, dan laporan pada setiap penyimpangan kepada manajemen senior.

25d. Sub Domain Monitor dan Evaluasi 2 (ME2) yaitu Memantau dan Mengevaluasi Kontrol Internal - ME2.1 (Memantau Kerangka Proses Kontrol Internal) Pemantauan yang berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi. - ME2.2 (Tinjauan Pengawasan) Memantau dan mengevaluasi efisiensi dan efektivitas dari kontrol tinjauan manajerial TI internal. - ME2.3 (Pengecualian Kontrol) Mengidentifikasi pengecualian kontrol, dan menganalisis serta mengidentifikasi penyebab akar yang mendasari. Memperluas pengecualian kontrol dan laporan kepada pemegang saham selayaknya. Mengganti tindakan korektif yang perlu. - ME2.4 (Mengontrol Penilaian Diri) Mengevaluasi kelengkapan dan efektivitas dari kontrol manajemen atas proses TI, kebijakan, dan kontrak melalui program penilaian diri yang berkesinambungan. - ME2.5 (Jaminan Kontrol Internal) Memperoleh, jika diperlukan, jaminan lebih lanjut atas kelengkapan dan efektivitas kontrol internal melalui tinjauan pihak ketiga. - ME2.6 (Kontrol Internal pada Pihak Ketiga) Menilai status dari kontrol internal penyedia layanan. Mengonfirmasikan penyedia layanan eksternal sesuai dengan persyaratan hukum dan peraturan serta kewajiban sesuai kontrak. - ME2.7 (Tindakan Perbaikan) Mengidentifikasi, memulai, melacak, dan menerapkan tindakan perbaikan yang muncul dari penilaian kontrol dan pelaporan.e. Sub Domain Monitor dan Evaluasi 3 (ME3) yaitu Memastikan Kesesuaian dengan Persyaratan Eksternal - ME3.1 (Identifikasi Persyaratan Kesesuaian Hukum Eksternal, Peraturan, dan Kontraktual)

26 Mengidentifikasi, pada basis yang berkesinambungan, hukum setempat dan internasional, pengaturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI. - ME3.2 (Optimisasi Respons dari Persyaratan Eksternal) Meninjau dan menyesuikan kebijakan, standar, prosedur, dan metodologi TI untuk memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan. - ME3.3 (Evaluasi dari Kesesuaian dengan Persyaratan Eksternal) Mengonfirmasikan kebijakan, standar, prosedur, dan metodologi TI dengan persyaratan hukum dan pengaturan. - ME3.4 (Jaminan Positif atas Kesesuaian) Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu. - ME3.5 (Pelaporan Terintegrasi) Mengintegrasikan pelaporan TI pada persyaratan hukum, pengaturan, dan kontraktual dengan output yang serupa dari fungsi bisnis lainnya.Model kematangan pada ME4 secara khusus dapat di lihat dari Tabel 7. Tabel 7 Tingkat kematangan ME4Level Kriteria Kematangan  Adanya ketidaklengkapan dari setiap proses tata kelola TI dikenali.0 Tidak Ada  Organisasi bahkan tidak menyadari bahwa ada masalah yang harus ditangani; oleh karena itu, tidak ada komunikasi tentang masalah ini  Pengakuan bahwa isu-isu tata kelola TI ada dan perlu ditangani.1 Awal/Ad-Hoc  Ada ad hoc pendekatan yang dikenakan pada individu atau kasus-per-kasus.  Pendekatan manajemen adalah reaktif, dan hanya ada

27 sporadis, komunikasi tidak konsisten pada isu-isu dan pendekatan untuk mengatasinya.  Manajemen hanya memiliki indikasi perkiraan bagaimana TI memberikan kontribusi terhadap kinerja bisnis.  Manajemen hanya reaktif menanggapi sebuah insiden yang telah menyebabkan beberapa kerugian atau rasa malu bagi organisasi.  Ada kesadaran akan masalah tata kelola TI.  Kegiatan tata kelola TI dan indikator kinerja, yang meliputi perencanaan TI, pengiriman dan proses pemantauan, sedang dalam pengembangan.  Proses TI yang dipilih diidentifikasi untuk perbaikan berdasarkan keputusan individu.  Manajemen mengidentifikasi pengukuran tata kelola2 Berulang tapi TI dasar dan metode penilaian dan teknik; namun, Intuitif proses ini tidak diadopsi di seluruh organisasi.  Komunikasi pada standar tata kelola dan tanggung jawab diserahkan kepada individu.  Individu mendorong proses tata kelola dalam berbagai proyek TI dan proses.  Proses, alat dan metrik untuk mengukur tata kelola TI yang terbatas dan tidak boleh digunakan untuk kapasitas penuh mereka karena kurangnya keahlian dalam fungsi mereka.  Pentingnya dan kebutuhan tata kelola TI dipahami oleh manajemen dan dikomunikasikan kepada organisasi.  Satu set dasar indikator tata kelola TI dikembangkan di mana hubungan antara ukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan.  Prosedur adalah standar dan didokumentasikan.  Manajemen mengkomunikasikan prosedur standar,3 Proses serta mengadakan pelatihan. Terdefinisi  Alat diidentifikasi untuk membantu mengawasi tata kelola TI.  Dashboard didefinisikan sebagai bagian dari IT scorecard bisnis seimbang. Namun, diserahkan kepada individu untuk mendapatkan pelatihan, mengikuti standar dan menerapkannya.  Proses dapat dimonitor, namun bila terjadu penyimpangan, sebagian besar ditindaklanjuti oleh inisiatif individu. Hal tersebut memungkinkan untuk tidak terdeteksi oleh manajemen.  Ada pemahaman penuh masalah tata kelola TI di4 Terkelola dan semua tingkatan. Terukur  Ada pemahaman yang jelas tentang siapa pelanggan, dan tanggung jawab didefinisikan dan dipantau

28 melalui service level agreement (SLA).  Tanggung jawab jelas dan kepemilikan proses didirikan.  Proses dan tata kelola TI yang selaras dengan dan diintegrasikan ke dalam bisnis dan strategi TI.  Peningkatan proses-proses TI didasarkan terutama pada pemahaman kuantitatif, dan adalah mungkin untuk memantau dan mengukur kepatuhan dengan prosedur dan metrik proses.  Semua pemangku kepentingan proses sadar akan risiko, pentingnya, dan peluang TI yang dapat ditawarkan.  Manajemen mendefinisikan toleransi di mana proses harus beroperasi.  Ada terbatas, terutama taktis penggunaan teknologi, berdasarkan teknik kematangan dan ditetapkan alat standar.  Tata kelola TI telah diintegrasikan ke dalam perencanaan dan dipantau proses strategis dan operasional.  Indikator kinerja atas semua kegiatan pengelolaan TI telah didata dan dilacak, yang mengarah ke perbaikan keseluruh bagian organisasi.  Secara keseluruhan akuntabilitas kinerja proses kunci jelas, dan manajemen dihargai berdasarkan ukuran kinerja kunci.  Ada pemahaman lanjutan dan memandang ke depan isu tata kelola TI dan solusi.  Pelatihan dan komunikasi didukung oleh konsep dan teknik terdepan.  Proses diperhalus ke tingkat praktik industri yang baik, berdasarkan hasil perbaikan terus-menerus dan pemodelan kematangan dengan organisasi lain.  Pelaksanaan kebijakan TI mengarah ke organisasi, orang dan proses yang cepat untuk beradaptasi dan mendukung sepenuhnya peraturan tata kelola TI. 5 Optimis  Semua masalah dan penyimpangan yang menganalisis akar penyebab masalah, dan tindakan yang efisien yang layak diidentifikasi dan dimulai.  TI digunakan secara luas, terintegrasi dan dioptimalkan untuk mengotomatisasi alur kerja dan menyediakan alat-alat untuk meningkatkan kualitas dan efektivitas.  Risiko dan imbalan dari proses TI didefinisikan, seimbang dan dikomunikasikan di seluruh organisasi.  Ahli eksternal mengembangkan dan menggunakan tolok ukur untuk bimbingan.  Pemantauan, penilaian diri dan komunikasi tentang

29 harapan tata kelola yang meresap dalam organisasi, dan ada penggunaan optimal teknologi untuk mendukung pengukuran, analisis, komunikasi dan pelatihan.  Tata kelola organisasi dan tata kelola TI secara strategis terkait, memanfaatkan teknologi dan SDM dan keuangan untuk meningkatkan keunggulan kompetitif perusahaan.  Kegiatan tata kelola TI yang terintegrasi dengan proses tata kelola organisasi. Profil Organisasi PDII-LIPIVisi dan Misi PDII-LIPI PDII adalah salah satu unit kerja setingkat eselon II di bawah naungan LIPI.Sudarsono (2007) menyatakan pada perkembangan selanjutnya, setiap instansipemerintah di tingkat eselon II diwajibkan mempunyai rencana strategis. Visi,misi, tujuan dan sasaran perlu secara tegas dirumuskan untuk membuat rencanakerja lima tahunan dan rencana kerja tahunan. Sebagaimana tercantum dalam Rencana Strategis PDII (2015-2019), visiPDII adalah menjadi repositori nasional bidang sains dan teknologi di Indonesia.Untuk mewujudkan visi tersebut, misi PDII adalah membangun danmengembangkan sistem repositori nasional bidang sains dan teknologi diIndonesia, menyediakan layanan informasi bidang sains dan teknologi kepadapemangku kepentingan, melaksanakan penelitian bidang dokumentasi daninformasi, melakukan pengelolaan pengetahuan, membangun kerjasama nasionaldan internasional, serta melakukan penguatan kelembagaan (PDII-LIPI 2014).Tujuan dan Sasaran Implementatif PDII-LIPI Untuk dapat mewujudkan visi dan misi di atas, PDII-LIPI mempunyaitujuan dan sasaran implementatif sebagai berikut:a) Tujuan dan Sasaran Umum 1) Membangun dan mengembangkan repositori literatur di bidang sains dan teknologi di Indonesia, dengan merencanakan dan melaksanakan program:

30 (a) Pengembangan pangkalan data jurnal ilmiah Indonesia (Indonesian Scientific Journal Database). (b) Pengembangan indeks sitasi sains Indonesia (Indonesian Science Citation Index). (c) Pengembangan koleksi Indonesiana dan literatur kelabu. (d) Melakukan preservasi dokumen ilmiah. 2) Memberikan pelayanan informasi bidang sains dan teknologi kepada masyarakat ilmiah dengan merencanakan dan melaksanakan program sebagai berikut: (a) Pembinaan terhadap pengelola unit dokumentasi dan informasi di lingkungan LIPI. (b) Pengemasan dan diseminasi informasi (Scientific Information Repackaging and Dissemination). (c) Literasi informasi ilmiah (Scientific Information Literacy). (d) Konsultasi masalah informasi terkini bidang sains dan teknologi. 3) Melaksanakan penelitian bidang dokumentasi dan informasi dengan merencanakan dan melaksanakan studi kebijakan, tren dan isu sains aktual, untuk: (a) Memberikan solusi kepada masyarakat terhadap persoalan dokumentasi dan informasi. (b) Memberikan rekomendasi kepada pembuat kebijakan terkait dengan bidang dokumentasi dan informasi. 4) Pengelolaan pengetahuan (a) Melakukan pengelolaan pengetahuan di lingkungan LIPI. (b) Melakukan kajian pengelolaan pengetahuan di lingkungan LIPI. (c) Membangun sistem pengelolaan pengetahuan.b) Tujuan dan Sasaran Khusus 1) Membangun dan mengembangkan repositori literatur di bidang sains dan teknologi di Indonesia dengan merencanakan dan melaksanakan program: (a) Membangun indeks sitasi sains Indonesia (Indonesia Sciences Citation Index).

31 (b) Membangun sistem repositori literatur kelabu (Grey Literature Repository System). 2) Memberikan pelayanan informasi bidang sains dan teknologi kepada masyarakat ilmiah dengan merencanakan dan melaksanakan program: (a) Pembuatan dan diseminasi kemas ulang informasi (Scientific Information Repackaging) (b) Pengembangan sistem sarana akses e-library yang ada di PDII- LIPI, yang berisi jurnal ilmiah Indonesia ISJD (Indonesian Scientific Journal Database), karya ilmiah Indonesia (Indonesian Science & Technology Digital Library), buku elektronik, multimedia, dan direktori pakar. 3) Melaksanakan penelitian informasi sains dan teknologi, dengan merencanakan dan melaksanakan program Studi kebijakan tren dan isu sains aktual, untuk: (a) Memberikan solusi kepada masyarakat ilmiah terhadap persoalan informasi sains dan teknologi. (b) Memberikan rekomendasi kepada pembuat kebijakan terkait dengan kebijakan sains di bidang dokumentasi dan informasi.Tugas Pokok dan Fungsi PDII-LIPI Berdasarkan Keputusan Kepala LIPI Nomor 1151/M/2001 tentangOrganisasi dan Tata Kerja LIPI, khususnya pada pasal 325 disebutkan bahwaPDII mempunyai tugas melaksanakan penyiapan perumusan kebijakan,penyusunan pedoman, pemberian bimbingan teknis, penyusunan rencana danprogram, pelaksaan penelitian, pelayanan serta evaluasi dan penyusunan laporan(LIPI 2001). Selanjutnya pada pasal 326 disebutkan bahwa menyelenggarakanfungsi sebagai berikut:a. Penyiapan bahan perumusan kebijakan di bidang dokumentasi dan informasi ilmiah.b. Penyusunan pedoman, pemberian bimbingan teknis, pelaksanaan dan pelayanan di bidang dokumentasi dan informasi ilmiah.

32c. Penyusunan rencana, program, serta pelaksanaan penelitian di bidang dokumentasi dan informasi ilmiah.d. Pengelolaan sarana teknis dokumentasi dan informasi ilmiah.e. Evaluasi dan penyusunan laporan penelitian dan pelayanan dokumentasi dan informasi ilmiah.f. Pelaksanaan urusan tata usaha. Untuk menjalankan fungsinya, berdasarkan Surat Keputusan MenteriPendayagunaan Aparatur Negara No 138/M.PAN/5/2001 tanggal 31 Mei 2001tentang restrukturisasi dan Surat Keputusan Kepala LIPI No. 1151/M/2001tanggal 5 Juni 2001 tentang organisasi dan tata kerja LIPI, bentuk StrukturOrganisasi PDII terdiri atas Bidang Dokumentasi, Bidang Informasi, BidangPengembangan Sistem Pengelolaan Dokinfo, Bidang Sarana Teknis, Bagian TataUsaha, dan Kelompok Jabatan Fungsional (Kementerian Pendayagunaan AparaturNegara RI, 2001).

333 METODOLOGI Metode Penelitian Metode penelitian yang digunakan dalam penelitian ini adalah studi kasus(case study). Menurut Hasibuan (2007), studi kasus adalah penelitian yangmemusatkan perhatian pada suatu kasus tertentu dengan menggunakan individuatau kelompok sebagai bahan studinya. Penelitian difokuskan untuk menggali danmengumpulkan data secara mendalam terhadap TI dan tata kelolanya di PDII-LIPI untuk menjawab permasalahan yang sedang terjadi. Oleh karena itu, bisadikatakan bahwa penelitian ini bersifat deskriptif dan eksploratif. Teknik pengumpulan data yang digunakan adalah penelitian survei,penelitian lapangan dan kepustakaan. Penelitian survei dilakukan denganmenggunakan kuesioner untuk memperoleh data kuantitatif. Sementara itu,penelitian lapangan dilakukan dengan menggunakan metode wawancara danobservasi. Survei dan wawancara mengacu kepada pedoman survei (kuesionertertutup) dan pedoman wawancara tidak terstruktur, sebagai metode pengumpulandata yang primer. Survei dan wawancara dilakukan terhadap responden/informan strukturalsebagai pihak membuat dan pengambil keputusan di lokasi penelitian, dianggapmewakili kelompok-kelompok yang berkaitan dengan permasalahan penelitian.Sementara itu, kegiatan observasi akan dilakukan dengan cara observasi-partisipan dengan membuat catatan/dokumentasi. Teknik pengumpulan datasekunder dilakukan melalui kajian kepustakaan berbasis literatur dan jurnalelektronik. Tahapan Penelitian Pelaksanaan penelitian ini dibagi dalam beberapa tahapan sebagaimanaditunjukkan dalam Gambar 5.

34 DDDaDi taPiatPDaRDIRIe-IILae-IlLaPTIlPITI II MMulualiai LiLSteiSttreutardutaidutirur PPenegnDugDamutamaptauplualnan PPOO4,4P,HPOHaOsa5is,5l iP,Kl PKOuOeu9se,9isoM,inoMEenE2re,2rM, MEE33 No APAnPOanO4lai,4sliiP,ssiPOsIOn5Idn,5edP, kePOskOs9K,9KeM,meMema2eta,2atM,naMgnEagE3na3nTTinignkgaktaKtEKeEvmeavmalautalauatsanaisgniagnanMMEE44 Yes BBerekrekseesseusauiaainan GGAAPPRRekeokmomenednadsaisi TTinyignaykgMnaakMgnatagnaKtdanKideijaniemeijgnmemaigmnetaiaknnetanaknnagnnagnan SSeleelseasiai Gambar 5 Diagram alur penelitianStudi Literatur Proses penelitian diawali dengan studi literatur secara intensif untukmengetahui pengelolaan TI di PDII-LIPI, mempelajari konsep COBIT 4.1 sertateori-teori yang relevan. Referensi diperoleh dari berbagai sumber seperti buku,jurnal, artikel, laporan penelitian, dan juga situs-situs di internet.