35Pengumpulan Data Pengumpulan data dilakukan dengan penyebaran kuesioner dan wawancara.Teknik wawancara yang akan digunakan adalah wawancara tidak terstruktur atauwawancara mendalam (in-depth interviewing). Wawancara dilakukan denganpertanyaan yang bersifat terbuka (open-ended), dan mengarah pada kedalamaninformasi, serta dilakukan dengan cara yang tidak secara formal terstruktur, gunamenggali pandangan informan tentang banyak hal yang sangat bermanfaat untukmenjadi dasar bagi penggalian informasinya secara lebih jauh, lengkap danmendalam (Sutopo 2006). Responden pada penelitian ini adalah informan atau nara sumber yang dapatmemberikan informasi yang dibutuhkan oleh peneliti. Metode pemilihan informanyang dipakai adalah purposive sampling, yakni pemilihan berdasarkanpertimbangan tertentu, dengan kecenderungan untuk memilih informanberdasarkan posisi dengan akses tertentu yang dianggap memiliki informasi yangberkaitan dengan permasalahan secara mendalam dan dapat dipercaya untukmenjadi sumber data yang valid (Sutopo 2006). Kuesioner dan wawancara dilakukan kepada para pejabat struktural yangpernah atau sedang menjabat di PDII-LIPI dari kurun waktu 2001 hingga 2014serta para Kepala Pusat PDII-LIPI yang pernah atau sedang menjabat di PDII-LIPI. Pemilihan responden adalah karena mereka merepresentasikan informan dilevel eksekutif. Tahapan Analisis Data yang dihasilkan melalui survei merupakan data yang dikembangkandengan merujuk pada kerangka kerja COBIT 4.1. Kuesioner tertutupdikembangkan berdasarkan kontrol proses penyediaan tata kelola TI. Surendro(2009) mengemukakan bahwa data yang diperoleh mengenai tingkat kematanganakan diidentifikasi sebagai kondisi pengelolaan TI pada saat ini. Kondisi inimenggambarkan adanya gap antara tingkat kematangan saat ini (current maturitylevel/CML) dengan tingkat kematangan yang diharapkan (expected maturitylevel/EML). Selanjutnya gap ini akan menjadi acuan dalam penyusunan strategiperbaikan.
36Analisi Deskriptif Analisis deskriptif adalah perangkat analisis yang digunakan untukmenguraikan bagaimana realita berdasarkan fakta yang ada melalui data kuesioneryang diisi responden. Hasil analisis ini dijabarkan dengan persentase dandigambarkan melalui grafik untuk mempermudah dalam memahami informasidengan cepat.Kuesioner Penulis melakukan pengambilan data dengan meminta responden mengisikuesioner. Setiap pernyataan yang terdapat di dalam kuesioner penulis mengacukepada kontrol objektif modul yang terdapat di dalam domain PO dan MEterutama pada sub-sub domain PO4, PO5, PO9, ME2, dan ME3 dari kerangkakerja COBIT 4.1. Kuesioner penelitian ini dapat dilihat pada Lampiran 1,responden diminta untuk memberikan pendapatnya mengenai pengelolaan TI diPDII-LIPI, selama responden berkerja dan menjabat sebagai struktural di PDII-LIPI dalam bentuk skala sikap. Dalam hal ini, skala Likert yang digunakan adadalam 5 tingkatan bobot yang terdiri dari Sangat Tidak Sejutu (STS) dengan bobot1, Tidak Setuju (TS) dengan bobot 2, Tidak Tahu (TT) dengan bobot 0, Setuju (S)dengan bobot 4, dan Sangat Setuju (SS) dengan bobot 5. Pengolahan Hasil KuesionerPerhitungan Indeks Kematangan Indeks kematangan diperoleh dengan menjumlahkan semua jawabanresponden dikalikan bobot skala, lalu dibagi dengan jumlah soal kemudian dibagidengan jumlah responden, seperti berikut ini:
37Representasi Indeks Kematangan Setelah dilakukan penghitungan indeks kematangan, maka akan didapattingkat kematangan untuk masing-masing sub domain yaitu PO4, PO5, PO9, ME2,dan ME3 dengan mengacu kepada Tabel 8.Tabel 8 Representasi tingkat kematangan COBITIndeks Kematangan Tingkat Kematangan 0 - Tidak Ada 0,00 - 0,50 1 - Awal/Ad-Hoc 2 - Berulang tapi Intuitif 0,51 - 1,50 3 - Proses Terdefinisi 4 - Terkelola dan Terukur 1,51 - 2,50 5 - Optimis 2,51 – 3,50 3,51 – 4,50 4,51 – 5,00 Evaluasi Tahapan ini melihat apakah kerangka kerja COBIT 4.1 dapat melihatkondisi pengelolaan TI di PDII-LIPI saat ini. Hasil tingkat kematanganpenyediaan tata kelola (ME4) yang di dapat dijadikan referensi untuk masukanpembentukan tata kelola TI di PDII-LIPI dengan mengemukakan kondisisebenarnya dan masukan atas penyimpangan-penyimpangan yang ditemui.
38 4 HASIL DAN PEMBAHASAN Profil Responden Dalam penelitian ini responden yang digunakan adalah pejabat strukturalyang pernah dan atau sedang menjabat di PDII-LIPI antara tahun 2001-2014 danseluruh kepala pusat PDII-LIPI yang pernah dan sedang menjabat,keseluruhannya berjumlah 31 responden. Responden adalah pihak-pihak yangbertanggung jawab dalam merancang dan membuat kebijakan internal di PDII-LIPI. Berdasarkan hasil screening responden menunjukkan bahwa 100%responden menyatakan bahwa mereka semua mengetahui mengenai TI, walaudalam kesehariannya beberapa dari mereka masih menggunakan TI secara tidaklangsung. 70,69% menyatakan bahwa saat menjabat, responden pernah melakukankeputusan strategis dalam pemakaian TI di PDII-LIPI. 83,9% yang mengetahuitentang tata kelola TI, 93,5% yang menyadari tentang pentingnya tata kelola TI,dan 80,6% menyatakan bahwa ada tata kelola TI di PDII-LIPI, serta 83,9%responden memiliki kepentingan bila diadakan tata kelola TI (Lampiran 2). Karakteristik Demografi Responden Karakteristik demografi responden yang digunakan dalam penelitian inidibagi dalam lima kriteria yaitu tingkat usia, jenis kelamin, tingkat pendidikan,jabatan dan lamanya bekerja. Dari kelima kriteria tersebut dapat dilihat kelompokdemografi yang dominan (Lampiran 3).Usia Responden Secara umum, tingkat usia dikelompokkan menjadi tiga kelompok besaryaitu: (1) kelompok generasi muda (25-35 tahun) sebanyak 3 responden, (2)kelompok dewasa (35-45 tahun) sebanyak 5 responden, dan (3) kelompok paruhbaya/usia lanjut (> 45 tahun) sebanyak 23 responden. Kebanyakan respondenberada pada kelompok paruh baya/usia lanjut yaitu sekitar 74% (Gambar 6).
39Sebaran Usia Responden 2325 520 Dewasa Paruh Baya1510 3 5 0 MudaGambar 6 Sebaran responden berdasarkan usiaJenis Kelamin Mayoritas responden berjenis kelamin perempuan, sebanyak 16 responden(52%) sedangkan sisanya sebanyak 15 responden (48%) berjenis kelamin laki-laki.Hal ini menunjukkan bahwa responden perempuan lebih banyak menjadistruktural yang pernah dan atau sedang menjabat di PDII-LIPI (Gambar 7). Sebaran Jenis Kelamin Responden16 15 Laki-laki Perempuan Gambar 7 Sebaran responden berdasarkan jenis kelaminTingkat Pendidikan Dari 31 responden, terdapat sebanyak 15 responden memiliki tingkatpendidikan S1/Sarjana, sebanyak 13 responden memiliki tingkat pendidikanS2/Magister, dan yang memiliki tingkat pendidikan S3/Doktor sebanyak 3responden (Gambar 8). Kondisi ini menunjukkan bahwa kondisi struktural diPDII-LIPI yang pernah dan atau sedang menjabat banyak di tingkat pendidikanS1/Sarjana yaitu 49%, meskipun pada tingkat pendidikan S2/Magister juga
40hampir menyamainya yaitu 42%, namun terlihat masih sangat minim pada tingkatpendidikan S3/Doktor hanya sekitar 9%. Sebaran Tingkat Pendidikan Responden 15 13 15 10 5 Magister 3 Doktor 0 Sarjana Gambar 8 Sebaran responden berdasarkan tingkat pendidikanJabatan Responden Dari Gambar 9, sebagian responden pernah menjabat lebih dari 1 kalijabatan, bahkan 2 responden pernah menjabat sebanyak 5 jabatan di PDII-LIPIbaik itu sebagai Kepala Pusat, Kepala Bidang/Bagian ataupun Kepala SubBidang/Bagian. 11 responden pernah menjabat sebanyak 2 kali dan 5 respondensebanyak 3 kali, namun yang pernah menjabat sebanyak 1 kali tetap mendudukiperingat teratas yaitu 13 responden atau sekitar 42%. Sebaran Jabatan Responden 14 13 11 5 2 12 2 Kali 3 Kali 5 Kali 10 8 6 4 2 0 1 Kali Gambar 9 Sebaran responden berdasarkan jabatan
41Lama Bekerja Responden rata-rata telah bekerja di PDII-LIPI selama > 20 tahun adasebanyak 23 responden (74%). 2 responden (7%) dengan masa kerja antara 11-20tahun dan 6 responden (19%) dengan masa kerja 6-10 tahun (Gambar 10). Sebaran Masa Kerja Responden 4.3 2.5 3.54.5 11-20 tahun >20 tahun 43.5 32.5 21.5 10.5 0 6-10 tahun Gambar 10 Sebaran responden berdasarkan masa kerja Responden yang masih menjabat sebagai struktural sebanyak 9 responden(29%), 16 responden (52%) tidak menjabat lagi sebagai struktural namun masihaktif bekerja di PDII-LIPI, dan 6 responden (19%) sudah pensiun (Gambar 11). Sebaran Keaktifan Responden di PDII-LIPI 16161412 910866420 Aktif Pensiun StrukturalGambar 11 Sebaran responden berdasarkan keaktifannya di PDII-LIPI
42 Pengolahan Data KuesionerSub Domain Perencanaan dan Pengorganisasian 4 (PO4) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiapmodul untuk sub domain PO4 (menetapkan proses TI, organisasi dan hubungan)tampak pada Tabel 9. Tabel 9 Jumlah jawaban responden untuk setiap modul dari sub domain PO4 Jumlah Soal 5 (SS) 4 (S) Bobot 1 (STS) (19) 13 12 0 (TT) 2 (TS) 1 PO4.1 5 14 0 PO4.2 7 13 14 2 PO4.3 15 13 66 0 PO4.4 8 15 45 0 PO4.5 10 14 03 1 PO4.6 6 21 26 1 PO4.7 7 15 24 1 PO4.8 5 15 12 1 PO4.9 2 19 44 1 7 17 64 1 PO4.10 10 11 36 0 PO4.11 6 15 33 0 PO4.12 10 15 64 1 PO4.13 10 11 82 0 PO4.14 10 13 23 1 PO4.15 5 15 46 2 PO4.16 4 17 34 1 PO4.17 4 15 27 1 PO4.18 144 280 63 15 PO4.19 720 1120 56 15 Total 68 82 Score 0 164 Indeks 3,42 Tingkat Kematangan 3Evaluasi Data Modul Sub Domain PO4 Analisis dari data pada Tabel 9 dapat diambil kesimpulan bahwa sebanyak47,53% responden menyatakan “Setuju” dan sebanyak 24,44% respondenmenyatakan “Sangat Setuju” pada 19 soal yang tersedia untuk sub domain PO4(Lampiran 4). Indeks kematangan terendah berada pada soal 2 (PDII membentuk komitestrategi TI pada struktural organisasi) dan soal 19 (PDII membentuk dan menjagakoordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagaiminat lain di dalam dan di luar fungsi TI, seperti jajaran dewan, eksekutif, unit
43bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, gruppemenuhan korporat, manajemen alih daya dan terpusat (offsite)) yaitu 3.Sedangkan indeks kematangan tertinggi berada pada soal 4 (PDII menempatkanfungsi TI dalam struktur organisasi keseluruhan karena pentingnya TI di PDII)yaitu 4,29.Tingkat Kematangan Sub Domain PO4 Berdasarkan Tabel 9 nilai indeks kematangan pada sub domain PO4, dapatdiketahui indeks kematangan diidentifikasikan berada pada nilai 3,42. Denganmerujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domainPO4 untuk menetapkan proses TI, organisasi dan hubungan dengan menggunakankerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu:1. Peran dan tanggung jawab organisasi TI dan pihak ketiga ada.2. Organisasi TI dikembangkan, didokumentasikan, dikomunikasikan dan diselaraskan dengan strategi TI.3. Lingkungan pengendalian internal didefinisikan.4. Ada formalisasi hubungan dengan pihak lain, termasuk komite pengarah, audit internal dan manajemen vendor.5. Organisasi TI secara fungsional lengkap.6. Ada definisi fungsi yang akan dilakukan oleh personal TI dan mereka yang akan dilakukan oleh pengguna.7. Pentingnya kebutuhan staf TI dan keahlian didefinisikan dan memuaskan.8. Ada definisi formal hubungan dengan pengguna dan pihak ketiga.9. Pembagian peran dan tanggung jawab didefinisikan dan diimplementasikan.Sub Domain Perencanaan dan Pengorganisasian 5 (PO5) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiapmodul untuk sub domain PO5 (mengelola investasi TI) tampak pada Tabel 10.Tabel 10 Jumlah jawaban responden untuk setiap modul dari sub domain PO5Jumlah Soal 5 (SS) 4 (S) Bobot 1 (STS) (5) 7 13 0 (TT) 2 (TS) 1 6 16 1 PO5.1 7 14 64 1 PO5.2 35 PO5.3 54
44 PO5.4 6 16 6 2 1 PO5.5 6 19 2 3 1 Total 32 78 22 18 5 Score 160 312 0 36 5 Indeks 3,30 Tingkat Kematangan 3Evaluasi Data Modul Sub Domain PO5 Analisis dari data pada Tabel 10 dapat diambil kesimpulan bahwa sebanyak50,32% responden menyatakan “Setuju” dan sebanyak 20,64% respondenmenyatakan “Sangat Setuju” pada 5 soal yang tersedia untuk sub domain PO5(Lampiran 5). Indeks kematangan terendah berada pada soal 1 (PDII membentuk danmenjaga kerangka proses keuangan untuk mengelola investasi dan biaya aset TIdan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis,dan anggaran TI) yaitu 3,09. Sedangkan indeks kematangan tertinggi berada padasoal 5 (PDII menerapkan proses untuk memantau manfaat dari penyediaan danpemeliharaan kapabilitas TI yang sesuai) yaitu 3,64.Tingkat Kematangan Sub Domain PO5 Berdasarkan Tabel 10 nilai indeks kematangan pada sub domain PO5, dapatdiketahui indeks kematangan diidentifikasikan berada pada nilai 3,30. Denganmerujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domainPO5 untuk mengelola investasi TI dengan menggunakan kerangka kerja COBIT4.1 berada pada level 3 (Proses Terdefinisi) yaitu:1. Kebijakan dan proses untuk investasi dan penganggaran didefinisikan, didokumentasikan dan dikomunikasikan, dan mencakup isu-isu bisnis dan teknologi.2. Anggaran TI sejalan dengan strategi bisnis TI dan rencana TI.3. Proses seleksi penganggaran dan investasi IT diformalkan, didokumentasikan dan dikomunikasikan.4. Pelatihan formal diadakan tetapi masih didasarkan pada inisiatif individu.5. Persetujuan resmi dari pilihan investasi TI dan anggaran berlangsung.
456. Anggota staf TI memiliki keahlian dan keterampilan yang diperlukan untuk mengembangkan anggaran TI dan merekomendasikan investasi TI yang tepat.Sub Domain Perencanaan dan Pengorganisasian 9 (PO9) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiapmodul untuk sub domain PO9 (menilai dan mengelola resiko TI) tampak padaTabel 11.Tabel 11 Jumlah jawaban responden untuk setiap modul dari sub domain PO9 Jumlah Soal 5 (SS) 4 (S) Bobot 1 (STS) (10) 5 10 0 (TT) 2 (TS) 1 PO9.1 4 12 1 PO9.2 4 16 87 1 PO9.3 3 18 86 0 PO9.4 2 17 55 2 PO9.5 2 11 55 2 PO9.6 4 9 64 1 PO9.7 4 14 10 6 2 PO9.8 3 10 10 7 2 PO9.9 7 19 83 0 38 136 13 3 16 PO9.10 190 544 14 16 Total 74 50 Score 0 100 Indeks 2,74Tingkat Kematangan 3Evaluasi Data Modul Sub Domain PO9 Analisis dari data pada Tabel 11 dapat diambil kesimpulan bahwa sebanyak43,31% responden menyatakan “Setuju” dan sebanyak 23,56% respondenmenyatakan “Tidak Tahu” pada 10 soal yang tersedia untuk sub domain PO9(Lampiran 6). Indeks kematangan terendah berada pada soal 9 (PDII memperolehpersetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risikoresidual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilikproses yang terpengaruh) yaitu 2,03. Sedangkan indeks kematangan tertinggiberada pada soal 10 (PDII memantau pelaksanaan rencana, dan laporan padasetiap penyimpangan kepada manajemen senior) yaitu 3,83.
46Tingkat Kematangan Sub Domain PO9 Berdasarkan Tabel 11 nilai indeks kematangan pada sub domain PO9, dapatdiketahui indeks kematangan diidentifikasikan berada pada nilai 2,74. Denganmerujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domainPO9 untuk menilai dan mengelola resiko TI dengan menggunakan kerangka kerjaCOBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu:1. Sebuah kebijakan manajemen risiko organisasi secara luas dapat mendefinisikan kapan dan bagaimana melakukan penilaian risiko.2. Manajemen risiko mengikuti proses didefinisikan yang didokumentasikan.3. Pelatihan manajemen risiko tersedia bagi semua anggota staf.4. Keputusan untuk mengikuti proses manajemen risiko dan menerima pelatihan diserahkan kepada kebijaksanaan individu.5. Metodologi untuk penilaian risiko meyakinkan dan jelas serta dapat mengidentifikasikan risiko utama dalam bisnis.6. Sebuah proses untuk mengurangi risiko utama biasanya dilembagakan setelah risiko diidentifikasi.7. Deskripsi pekerjaan mempertimbangkan tanggung jawab manajemen risiko.Sub Domain Monitor dan Evaluasi 2 (ME2) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiapmodul untuk sub domain ME2 (memantau dan mengevaluasi pengendalianinternal) tampak pada Tabel 12.Tabel 12 Jumlah jawaban responden untuk setiap modul dari sub domain ME2 Jumlah Soal 5 (SS) 4 (S) Bobot 1 (STS) (7) 8 21 0 (TT) 2 (TS) 0 8 20 0 ME2.1 6 13 02 0 ME2.2 2 18 12 1 ME2.3 4 15 84 1 ME2.4 7 19 64 0 ME2.5 8 20 65 0 ME2.6 43 126 32 2 ME2.7 215 504 21 2 Total 26 20 Score 0 40 Indeks 3,50Tingkat Kematangan 3
47Evaluasi Data Modul Sub Domain ME2 Analisis dari data pada Tabel 12 dapat diambil kesimpulan bahwa sebanyak58,06% responden menyatakan “Setuju” dan sebanyak 19,81% respondenmenyatakan “Sangat Setuju” pada 7 soal yang tersedia untuk sub domain ME2(Lampiran 7). Indeks kematangan terendah berada pada soal 3 (PDII mengidentifikasipengecualian kontrol, dan menganalisis serta mengidentifikasi penyebab akaryang mendasari) yaitu 2,90. Sedangkan indeks kematangan tertinggi berada padasoal 1 (PDII melakukan pemantauan yang berkesinambungan, tolok ukur, danpeningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhitujuan organisasi) yaitu 4,12.Tingkat Kematangan Sub Domain ME2 Berdasarkan Tabel 12 nilai indeks kematangan pada sub domain ME2, dapatdiketahui indeks kematangan diidentifikasikan berada pada nilai 3,50. Denganmerujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domainME2 untuk memantau dan mengevaluasi pengendalian internal denganmenggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi)yaitu:1. Mendukung manajemen dan lembaga monitoring pengendalian internal.2. Kebijakan dan prosedur yang dikembangkan untuk menilai dan melaporkan kegiatan pemantauan pengendalian intern.3. Program pendidikan dan pelatihan untuk pemantauan pengendalian intern didefinisikan.4. Proses didefinisikan untuk penilaian diri dan ulasan jaminan pengendalian internal, dengan peran untuk manajer bisnis dan TI yang bertanggung jawab.5. Alat sedang digunakan tetapi belum tentu terintegrasi ke dalam semua proses.6. Kebijakan penilaian risiko proses TI yang digunakan dalam kerangka kontrol dikembangkan secara khusus untuk organisasi TI. Pada proses tertentu, risiko dan langkah kebijakan terdefinisikan.
48Sub Domain Monitor dan Evaluasi 3 (ME3) Dari data responden, dapat diketahui jumlah yang menjawab untuk setiapmodul untuk sub domain ME3 (pastikan kepatuhan dengan persyaratan eksternal)tampak pada Tabel 13.Tabel 13 Jumlah jawaban responden untuk setiap modul dari sub domain ME3 Jumlah Soal 5 (SS) 4 (S) Bobot 1 (STS) (5) 3 17 0 (TT) 2 (TS) 1 4 19 2 ME3.1 5 17 64 0 ME3.2 2 15 42 1 ME3.3 3 15 72 1 ME3.4 17 82 84 6 ME3.5 85 328 84 6 Total 35 15 Score 0 30 Indeks 2,89 Tingkat Kematangan 3Evaluasi Data Modul Sub Domain ME3 Analisis dari data pada Tabel 13 dapat diambil kesimpulan bahwa sebanyak52,90% responden menyatakan “Setuju” dan sebanyak 22,58% respondenmenyatakan “Tidak Tahu” pada 5 soal yang tersedia untuk sub domain ME3(Lampiran 8). Indeks kematangan terendah berada pada soal 4 (PDII memperoleh danmelaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakaninternal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratanpengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakanperbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilikproses yang bertanggung jawab dengan cara yang tepat waktu) yaitu 2,38.Sedangkan indeks kematangan tertinggi berada pada soal 2 (PDII meninjau danmenyesuaikan kebijakan, standar, prosedur, dan metodologi TI untuk memastikanpersyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan)yaitu 3,29.Tingkat Kematangan Domain ME3 Berdasarkan Tabel 13 nilai indeks kematangan pada sub domain ME3, dapatdiketahui indeks kematangan diidentifikasikan berada pada nilai 2,89. Dengan
49merujuk kepada tabel tingkat kematangan dapat disimpulkan bahwa sub domainME3 untuk pastikan kepatuhan dengan persyaratan eksternal denganmenggunakan kerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi)yaitu:1. Kebijakan, rencana dan prosedur dikembangkan, didokumentasikan dan dikomunikasikan untuk memastikan kepatuhan terhadap peraturan dan kewajiban kontrak dan hukum, tetapi beberapa mungkin tidak selalu diikuti, dan beberapa mungkin dari tanggal atau tidak praktis untuk menerapkan.2. Ada sedikit pemantauan yang dilakukan dan ada persyaratan kepatuhan yang belum ditangani.3. Pelatihan diberikan dalam persyaratan hukum dan peraturan eksternal yang mempengaruhi organisasi dan proses kepatuhan didefinisikan.4. Standard kontrak dan proses hukum ada untuk meminimalkan risiko yang terkait dengan kewajiban kontrak.Hasil Evaluasi Tingkat Kematangan Sub Domain ME4 Secara umum pengelolaan TI di PDII-LIPI saat ini dapat dilihat dariperhitungan tingkat kematangan pada sub-sub domain PO4, PO5, PO9, ME2, danME3 akan merepresentatifkan tingkat kematangan pada sub domain ME4 yaitudomain yang mengatur tentang penyediaan tata kelola TI. Selengkapnya hasilperhitungan tersebut dapat dilihat pada Tabel 14.Tabel 14 Tingkat kematangan sub domain PO4, PO5, PO9, ME2 dan ME3Domain Indeks Kematangan Tingkat KematanganPO4 3,42 3PO5 3,30 3PO9 2,74 3ME2 3,50 3ME3 2,89 3ME4 3,17 3 Dari Tabel 14 dapat dilihat, bahwa pada sub-sub domain yang menjadikontrol proses untuk sub domain ME4 menunjukkan bahwa tingkatkematangannya berada pada nilai 3,17. Nilai ME4 didapatkan dengan menjumlah
50nilai indeks kematangan PO4, PO5, PO9, ME2, dan ME3 kemudiaan dibagidengan 5. Dengan merujuk kepada tabel tingkat kematangan dapat disimpulkanbahwa sub domain ME4 untuk penyediaan tata kelola TI dengan menggunakankerangka kerja COBIT 4.1 berada pada level 3 (Proses Terdefinisi) yaitu:1. Pentingnya dan kebutuhan tata kelola TI dipahami oleh manajemen dan dikomunikasikan kepada organisasi.2. Satu set dasar indikator tata kelola TI dikembangkan di mana hubungan antara ukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan.3. Prosedur adalah standar dan didokumentasikan.4. Manajemen berkomunikasi prosedur standar, dan pelatihan dilakukan.5. Alat diidentifikasi untuk membantu mengawasi tata kelola TI.6. Papan instrumen didefinisikan sebagai bagian dari kartu catatan TI agar bisnis seimbang.7. Namun, diserahkan kepada individu untuk mendapatkan pelatihan, mengikuti standar dan menerapkannya.8. Proses dapat dimonitor, namun penyimpangan, sementara sebagian besar sedang ditindaklanjuti oleh inisiatif individu, tidak mungkin untuk dideteksi oleh manajemen.Hasil Evaluasi Tingkat Kematangan Berdasarkan Demografi Responden Berdasarkan demografi responden, maka tingkat kematangan untuk PO4,PO5, PO9, ME2, ME3 dan ME4 adalah seperti pada Tabel 15.Tabel 15 Tingkat kematangan berdasarkan demografi responden Indeks KematanganUmur 25-35 tahun PO4 PO5 PO9 ME2 ME3 ME4 36-45 tahun 322 3 2 3Jenis >45 tahun 343 4 3 3Kelamin Laki-laki 333 4 3 3Pendidikan Perempuan 343 4 3 3Terakhir Sarjana 332 3 2 3 343 4 3 3Jabatan Magister Doktor 333 3 3 3 Kepala Pusat 443 4 4 4 343 4 3 3
51 Kepala Bid./Bag. 443 4 3 3 Kepala Sub Bid./Bag. 3 3 3 4 3 3Banyak 5x Menjabat 444 4 3 4Jabatan 3x Menjabat 332 4 3 3 2x Menjabat 443 4 3 3 1x Menjabat 333 3 3 3Lamanya 6-10 tahun 333 3 2 3Bekarja 11-20 tahun 343 4 4 4 >20 tahun 333 4 3 3 Struktural Aktif 333 3 3 3 Dapat dilihat bahwa tingkat kematangan untuk ME4 pada berdasarkandemografi responden berada pada level 3 (Proses Terdefinisi), walaupun padaresponden dengan jenjang pendidikan terakhir doktor, responden yang telahmenjabat sebanyak 5 kali, dan responden yang telah bekerja di PDII-LIPI selama11-20 tahun memberikan jawaban dengan tingkat kematangan untuk ME4 beradapada level 4 (Terkelola dan Terukur). Namun yang penting untuk dilihat, bahwastruktural yang saat ini menjabat, hasil tingkat kematangannya berada pada level 3(Proses Terdefinisi). Evaluasi Tata Kelola TI Acuan perencanaan tata kelola di PDII-LIPI dengan menggunakan kerangkakerja COBIT 4.1 adalah tingkat kematangan. Tingkat kematangan yangdiharapkan oleh struktural adalah pada level 4 (Terkelola dan Terukur). Ternyatahasil perhitungan tata kelola di PDII-LIPI, CML berada di bawah EML. CMLterendah dalam sub domain PO9 (menilai dan mengelola resiko TI) yaitu yangberada pada level 2,74. Sementara itu CML yang tertinggi dalam sub domainME2 (memantau dan mengevaluasi pengendalian internal) yaitu yang berada padalevel 3,50. Berdasarkan Gambar 12 dapat dilihat hasil tingkat kematangan tata kelolaTI di PDII-LIPI, tingkat kematangan saat ini dianggap berada pada kisaran level 3(Proses Terdefinisi).
52 PO4 PO5 5 ME3 4 3 2 1 0 ME2 PO9 Gambar 12 Tingkat kematangan PDII-LIPI berdasarkan sub domain kontrol proses ME4 Kondisi pengelolaan TI saat ini di PDII-LIPI adalah:1. Manajemen (Pejabat Struktural) di PDII-LIPI sudah menyadari akan kebutuhan serta pentingnya tata kelola TI. Saat ini PDII-LIPI hanya mengikuti peraturan-peraturan ditetapkan pemerintah khususnya LIPI. Tata kelola yang digunakan hanyalah panduan umum tata kelola TI nasional yang dibuat oleh Kementerian Komunikasi dan Informatika RI namun belum dikomunikasikan.2. Sudah adanya pengukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan, hal ini terlihat dari sudah adanya pelaporan kinerja melalui form SKP (sasaran kinerja pegawai) yang mencakup pencapaian dan penilaian kinerja per bulan setiap tahunnya.3. Prosedur atau standar yang didokumentasikan diwujudkan dengan adanya SOP (Standard Operating Procedure) pada setiap bidang ataupun bagian di PDII-LIPI. Selain itu PDII-LIPI juga telah direkomendasikan untuk mendapatkan sertifikasi ISO 9001:2008, Sistem Manajemen Mutu dengan ruang lingkup layanan perpustakaan dan layanan ISSN.4. Individu telah mendapatkan pelatihan, namun bersifat insidential. Artinya pelatihan tidak direncanakan, hanya berdasarkan undangan atau kebutuhan yang tiba-tiba. Selama Januari-Juni 2014 terdapat 30 karyawan yang
53 melakukan 37 macam pelatihan baik dalam ataupun luar negeri yang diikuti secara individual ataupun bersama.5. Proses dapat dimonitor, namun bila terjadi penyimpangan sebagian besar sedang ditindaklanjuti oleh inisiatif individu per bidang/bagian, tidak mungkin untuk dideteksi oleh manajemen. Dapat dilihat bahwa PDII-LIPI memang membutuhkan tata kelola TItersendiri agar PDII-LIPI dapat mencapai EML hingga tercapainya tujuan bisnisdengan makin meminimalkan penyimpangan. Tingkat kematangan yang dijadikanacuan berdasarkan kerangka kerja COBIT 4.1 mampu membaca kondisipengelolaan TI di PDII-LIPI saat ini, maka tata kelola COBIT 4.1 dirasa cukupmampu, handal dan mudah diterapkankan pada PDII-LIPI karena bukan hanyasebagai tata kelola, tapi juga sebagai alat bantu bagi manajemen untukmerumuskan kebijakan-kebijakan selain itu juga dapat sebagai audit TI. Untuk dapat mencapai EML maka PDII-LIPI harus mulai melakukan:1. Ada pemahaman penuh masalah tata kelola IT di semua tingkatan.2. Ada pemahaman yang jelas tentang siapa pelanggan (user), dan tanggung jawab didefinisikan dan dipantau melalui service level agreement (SLA).3. Tanggung jawab jelas dan kepemilikan proses didirikan.4. Proses TI dan tata kelola TI yang selaras dengan dan diintegrasikan ke dalam bisnis dan strategi TI.5. Peningkatan IT proses-proses didasarkan terutama pada pemahaman kuantitatif, dan adalah mungkin untuk memantau dan mengukur kepatuhan dengan prosedur dan metrik proses.6. Semua pemangku kepentingan proses sadar akan risiko, pentingnya, dan peluang TI yang dapat ditawarkan.7. Manajemen mendefinisikan toleransi di mana proses harus beroperasi. Ada terbatas, terutama taktis penggunaan teknologi, berdasarkan teknik kematangan dan ditetapkan alat standar.8. Tata kelola IT diintegrasikan ke dalam perencanaan dan dipantau proses strategis dan operasional.9. Indikator kinerja atas semua kegiatan pengelolaan TI telah didata dan dilacak, yang mengarah ke perbaikan ke seluruh bagian organisasi.
5410. Secara keseluruhan akuntabilitas kinerja proses kunci jelas, dan manajemen dihargai berdasarkan ukuran kinerja kunci. Perbaikan mendasar yang perlu dilakukan oleh struktural PDII-LIPI padapengelolaan TI, antara lain adalah:1. Manajemen mulai membuat tata kelola TI spesifik berdasarkan kerangka kerja tertentu dan mengkomunikasikannya kepada seluruh staf.2. Pelaporan kinerja melalui form SKP (sasaran kinerja pegawai) yang ada semakin benar-benar dijadikan pedoman bagi SDM untuk meningkatkan kinerjanya. Budaya kerja SDM semakin ditingkatkan.3. Prosedur atau standar yang didokumentasikan, dikomunikasikan kepada seluruh staf dan menjadi pedoman baku.4. Manajemen mulai merencanakan pelatihan-pelatihan untuk peningkatan SDM sesuai dengan tujuan bisnis organisasi.5. Manajemen harus mampu dapat dimonitor dan menindaklanjuti bila terjadi penyimpangan.
555 SIMPULAN DAN SARAN Simpulan Dari hasil penelitian diperoleh simpulan, proses PO4, PO5, PO9, ME2, danME3 yang merupakan kontrol proses bagi ME4 yaitu proses untuk penyediaantata kelola pada PDII-LIPI berada pada tingkat kematangan 3 (Proses Terdefinisi),artinya PDII-LIPI telah memahami pentingnya tata kelola TI, terdapat proseduryang merupakan standar dan didokumentasikan, telah ada pelatihan-pelatihanuntuk meningkatkan SDM. Manajemen hanya menyediakan prosedur dandukungan pelatihan. Pelatihan dan penerapan standar diserahkan pada masing-masing individu, bukan ditetapkan oleh manajemen. Proses telah dimonitornamun bila terjadi penyimpangan akan ditindaklanjuti oleh inisiatif individubukan dideteksi oleh manajemen. PDII-LIPI belum mempunyai tata kelola tersendiri dengan kerangka kerjatertentu. Sesuai dengan fakta dan hasil kuesioner yang bersesuaian, maka dapatdiambil kesimpulan bahwa pada pengelolaan TI di PDII-LIPI sudah ada tatakelola TI namun tata kelola TI yang dipakai adalah tata kelola TI yang diatursecara nasional berdasarkan Peraturan Menteri Komunikasi dan Informatika No.41/PER/MEN.KOMINFO/11/2007 tentang Panduan Umum Tata KelolaTeknologi Informasi dan Komunikasi Nasional. Tingkat kematangan ME4(penyediaan tata kelola TI) yang dijadikan acuan berdasarkan kerangka kerjaCOBIT 4.1 mampu membaca kondisi pengelolaan TI di PDII-LIPI saat ini. Saran Untuk memingkatkan tujuan bisnis PDII-LIPI maka penggunaan tata kelolaCOBIT 4.1 untuk PDII-LIPI harus mulai dibuat dan dikembangkan lebih lanjutdengan memperhatikan hasil tingkat kematangan ME4 yang diperoleh. Tata kelolaCOBIT 4.1 dirasa cukup mampu, handal dan mudah diterapkankan pada PDII-LIPI karena bukan hanya sebagai tata kelola, tapi juga sebagai alat bantu bagimanajemen untuk merumuskan kebijakan-kebijakan selain itu juga dapat sebagaiaudit TI.
56 DAFTAR PUSTAKADamianides M. 2005. Sarbanes-Oxley And It Governance: New Guidance On It Control And Compliance. Information Systems Management. Academic Research Library.Gondodiyoto S. 2007. Audit Sistem Informasi + Pendekatan COBIT. Jakarta: Mitra Wacana MediaHasibuan Z A. 2007. Metodologi Penelitian Pada Bidang Ilmu Komputer dan Teknologi Informasi. Jakarta: Fakultas Ilmu Komputer, Universitas Indonesia.IT Governance Institute. 2007. COBIT 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. IT Governance Institute. [Online]. http://www.itgi.org. (diakses tanggal 9 Maret 2010)Lembaga Ilmu Pengetahuan Indonesia. 2001. Surat Keputusan Kepala LIPI Nomor 1151/M/2001 tentang Organisasi dan Tata Kerja LIPI. Jakarta. Indonesia: Lembaga Ilmu Pengetahuan Indonesia.Lin C, Pervan G, McDermit, D. 2000. A Survey of IS/IT Investment Evaluation Practices in Australia: Some Preliminary Results. Curtin University Departmental Working Paper 20680. [Online]. http://espace.library.curtin. edu.au/R?func=dbin-jumpfull&local_base= gen01-era02&object_id=20680. (diakses tanggal 9 Maret 2010)Kementerian Komunikasi dan Informatika RI. 2007. Peraturan Menteri Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta. Indonesia: Kementerian Komunikasi dan Informatika RI.Kementerian Pendayagunaan Aparatur Negara RI. 2001. Surat Keputusan Menteri Pendayagunaan Aparatur Negara No 138/M.PAN/5/2001tertanggal 31 Mei 2001 tentang Restrukturisasi. Jakarta, Indonesia: Kementerian Pendayagunaan Aparatur Negara RI.Pusat Dokumentasi dan Informasi Ilmiah. 2014. Rencana Implementatif Pusat Dokumentasi dan Informasi Ilmiah Lembaga Ilmu Pengetahuan Indonesia Tahun 2015-2019. Jakarta, Indonesia: PDII-LIPI.Sudarsono B. 2007. Menyongsong Fajar Baru, Merancang Masa Depan. Jakarta, Indonesia: LIPI Press.Sulistyo Basuki. 1993. Pengantar Ilmu Perpustakaan. Jakarta: Gramedia Pustaka Utama.Surendro K. 2009. Implementasi Tatakelola Teknologi Informasi. Bandung, Indonesia: Penerbit Informatika.Sutopo H. 2006. Metodologi Penelitian Kualitatif. Surakarta: Universitas Sebelas Maret.Wijaya S W. 2007. Budaya organisasi dan efektifitas penerapan egovernment. in Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007). Yogyakarta.Weill P, Ross J. 2004. IT govermance: how top performers manage IT decision right for superior results. Boston: Harvard Business School Press.
57 LAMPIRANLampiran 1 Kuesioner tingkat kematangan tata kelola di PDII-LIPI Kuesioner Pemetaan Tingkat Kematangan Tata Kelola TI Pusat Dokumentasi dan Informasi IlmiahBapak/Ibu responden yang terhormat, saya Rima Octavia adalah mahasiswaMagister Profesional dengan Program Studi Teknologi Informasi untukPerpustakaan Institut Pertanian Bogor yang akan melakukan penelitian mengenaitata kelola teknologi informasi (TI) untuk melihat kebutuhan akan tata kelola TI diPusat Dokumentasi dan Informasi Ilmiah (PDII) dengan menggunakan acuanCOBIT (Control Objectives for Information and Related Technology). Penelitianini merupakan bagian dari penyusunan Tesis. Hasil penelitian ini diharapkan dapatmenjadi masukan bagi pengambilan kebijakan TI di PDII tentang bagaimanasebaiknya tata kelola TI khususnya dalam mendukung kinerja PDII makakuesioner ini diperuntukkan untuk para struktural yang sedang/pernah menjabatdari tahun 2000 sampai sekarang. Untuk itu mohon kesediaan Bapak/Ibu untukmengisi kuesioner selengkap-lengkapnya sesuai dengan keadaan sebenarnya.BAGIAN I. IDENTITAS RESPONDENBerilah tanda cek (√) pada kotak yang sesuai dengan pilihan Anda1. Nama □ 25-35 tahun □ 36-45 tahun □ >45 tahun2. Umur □ Laki-laki □ Perempuan □ Doktor3. Jenis Kelamin □ Sarjana □ Magister Periode4. Pendidikan Terakhir5. Jabatan yang Pernah Jabatan □ 11-20 tahun □ >20 tahun Dipegang 1.6. Lamanya Bekerja 2. 3. 4. 5. □ 6-10 tahunBAGIAN II. RELASI RESPONDENPada pertanyaan-pertanyaan dibawah ini, anda hanya diperkenankan menjawabsalah satu diantara jawaban “YA” atau “TIDAK” dengan memberi tanda cek (√).Kode Pertanyaan Ya TidakR.1 Apakah responden tahu mengetahui tentang TI?R.2 Apakah dalam sehari-hari responden menggunakan langsung TI pada pekerjaannya?R.3 Apakah dalam bekerja sehari-hari responden tidak berinteraksi langsung dengan TI, namun menggunakan
58R.4 data hasil olah TI? Apakah selama menjabat responden menggunakanR.5 langsung TI pada pekerjaannya? Apakah selama menjabat responden tidak berinteraksiR.6 langsung dengan TI, namun menggunakan data hasil olah TI?R.7 Apakah responden menggunakan TI untuk menghasilkanR.8 keputusan strategis saat menjabat?R.9 Apakah responden pernah melakukan keputusan strategisR.10 dalam penggunaan TI saat menjabat?R.11 Apakah responden mengetahui tentang tata kelola TI? Apakah responden menyadari pentingnya tata kelola TI? Apakah ada tata kelola TI di PDII LIPI? Apakah responden memiliki kepentingan bila diadakan tata kelola TI?BAGIAN III. KUESIONER ME4 (PENGADAAN TATAKELOLA TI)Isilah seluruh pertanyaan dengan memberi tanda cek (√) pada kotak yang telahdisediakan sesuai dengan pendapat Anda dengan ketentuan sebagai berikut:“Sangat Setuju (SS)”, “Setuju (S)”, “Tidak Tahu (TT)”, “Tidak Setuju (TS)”,“Sangat Tidak Setuju (STS)”.PO4. Menetapkan Proses TI, Organisasi dan Hubungan Pertanyaan SS Bobot S TT TS STS1 PDII menentukan kerangka proses TI untuk menjalankan rencana strategi TI.2 PDII membentuk komite strategi TI pada struktural organisasi. PDII membentuk komite pengarahan TI (atau3 yang setara) yang disusun dari pengelolaan eksekutif, bisnis, dan TI. PDII menempatkan fungsi TI dalam struktur4 organisasi keseluruhan karena pentingnya TI di PDII.5 PDII membentuk struktur organisasi internal dan eksternal TI yang mencerminkan kebutuhan PDII. PDII meninjau secara periodik struktur organisasi TI untuk menyesuaikan kebutuhan staf dan6 strategi penentuan sumber untuk memenuhi tujuan PDII yang diharapkan dan mengubah kondisi saat ini. PDII membentuk dan mengkomunikasikan peran7 dan tanggung jawab untuk staf TI dan pengguna akhir yang menggambarkan antara kewenangan staf TI dan pengguna akhir, tanggung jawab, dan
59 akuntabilitas untuk memenuhi kebutuhan PDII. PDII menetapkan tanggung jawab untuk kinerja8 dari fungsi jaminan kualitas (QA) dan menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. PDII memastikan bahwa penempatan organisasi9 dan tanggung jawab serta ukuan kelompok QA memenuhi persyaratan organisasi. PDII menanamkan kepemilikan dan tanggung10 jawab atas risiko terkait TI dalam bisnis pada level senior yang sesuai. PDII menentukan dan menetapkan kritik peran11 untuk mengelola risiko TI, termasuk tanggung jawab spesifik untuk keamanan informasi, keamanan fisik, dan kesesuaian. PDII membentuk tanggung jawab pengelolaan12 risiko dan keamanan pada level perusahaan untuk menangani masalah dalam lingkup organisasi. PDII menyediakan bisnis dengan prosedur dan13 peralatan, yang memungkinkannya untuk mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi. PDII menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan14 dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawabnya, dan untuk meninjau KPI (Indikator Kinerja Penting) secara umum. PDII menerapkan divisi peran dan tanggung jawab15 yang dapat mengurangi kemungkinan kondisi di mana proses penting hanya ditangani oleh seorang personel. PDII mengevaluasi persyaratan penentuan staf pada basis reguler atau atas perubahan mayor pada16 bisnis, lingkungan operasional atau TI untuk memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi. PDII telah menentukan dan mengidentifikasi personel TI penting (misalnya, personel17 pengganti/cadangan), dan meminimalkan ketergantungan hanya pada satu personel yang menjalankan fungsi pekerjaan penting. PDII memastikan bahwa konsultan dan personel18 kontrak yang mendukung fungsi TI memahami dan memenuhi kebijakan organisasi untuk
60 melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui. PDII membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar19 fungsi TI, seperti jajaran dewan, eksekutif, unit bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat.PO5. Mengelola Investasi TI Pertanyaan SS Bobot S TT TS STS PDII membentuk dan menjaga kerangka proses keuangan untuk mengelola investasi dan biaya1 aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI. PDII menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna2 memaksimalkan kontribusi TI untuk optimisasi pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya. PDII membentuk dan menerapkan praktik untuk mempersiapkan anggaran yang mencerminkan3 prioritas yang dibentuk oleh portofolio perusahaan dari program investasi yang dimungkinkan TI, dan meliputi biaya operasional dan perawatan infrastruktur yang terus berlanjut. PDII menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan.4 Dimana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. PDII menerapkan proses untuk memantau manfaat5 dari penyediaan dan pemeliharaan kapabilitas TI yang sesuai.PO9. Menilai dan Mengelola Risiko TI Bobot Pertanyaan SS S TT TS STS 1 PDII membentuk kerangka proses manajemen
61 risiko TI yang selaras dengan kerangka proses manajemen risiko PDII. PDII membentuk konteks di mana kerangka2 proses penilaian risiko diterapkan untuk memastikan hasil yang sesuai. PDII mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang3 berlaku) dengan dampak negatif potensial pada sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, sumber daya manusia, dan aspek operasional.4 PDII menentukan sifat dampak dan menjaga informasi ini.5 PDII Mencatat dan menjaga risiko yang relevan dalam registri risiko. PDII menilai pada basis berulang, kemungkinan6 dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. PDII membangun dan menjaga proses respons risiko yang dirancang untuk memastikan bahwa7 kontrol yang efektif biaya mengurangi pemaparan terhadap risiko pada basis yang berkesinambungan. PDII memprioritaskan dan merencanakan aktivitas kontrol pada semua level untuk menerapkan8 respons risiko yang diidentifikasi sebagaimana diperlukan, mencakup identifikasi atas biaya, manfaat, dan tanggung jawab untuk pelaksanaan. PDII memperoleh persetujuan untuk tindakan dan penerimaan yang disarankan dari setiap risiko9 residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh. PDII memantau pelaksanaan rencana, dan laporan10 pada setiap penyimpangan kepada manajemen senior.ME2. Memantau dan Mengevaluasi Pengendalian Internal Pertanyaan SS S Bobot STS TT TS PDII melakukan pemantauan yang1 berkesinambungan, tolok ukur, dan peningkatan lingkungan kontrol TI dan kerangka proses kontrol untuk memenuhi tujuan organisasi. PDII memantau dan mengevaluasi efisiensi dan2 efektivitas dari kontrol tinjauan manajerial TI internal.
62 PDII mengidentifikasi pengecualian kontrol, dan3 menganalisis serta mengidentifikasi penyebab akar yang mendasari. PDII Mengevaluasi kelengkapan dan efektivitas4 dari kontrol manajemen atas proses TI, kebijakan, dan kontrak melalui program penilaian diri yang berkesinambungan. PDII memperoleh, jika diperlukan, jaminan lebih5 lanjut atas kelengkapan dan efektivitas kontrol internal melalui tinjauan pihak ketiga. PDII Menilai status dari kontrol internal penyedia6 layanan. Mengonfirmasikan penyedia layanan eksternal sesuai dengan persyaratan hokum dan peraturan serta kewajiban sesuai kontrak. PDII mengidentifikasi, memulai, melacak, dan7 menerapkan tindakan perbaikan yang muncul dari penilaian kontrol dan pelaporan.ME3. Pastikan Kepatuhan dengan Persyaratan EksternalPertanyaan Bobot TT TS STS SS S PDII mengidentifikasi, pada basis yang berkesinambungan, hukum setempat dan1 internasional, pengaturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI. PDII meninjau dan menyesuaikan kebijakan,2 standar, prosedur, dan metodologi TI untuk memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan. PDII Mengonfirmasikan kebijakan, standar,3 prosedur, dan metodologi TI dengan persyaratan hukum dan pengaturan. PDII Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan4 pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu. PDII mengintegrasikan pelaporan TI pada5 persyaratan hukum, pengaturan, dan kontraktual dengan output yang serupa dari fungsi bisnis lainnya.
63Lampiran 2 Data relasi responden mengenai TIKode Pertanyaan Ya TidakR.1 Apakah responden mengetahui tentang TI? 31 0R.2 Apakah dalam sehari-hari responden menggunakan 30 1 langsung TI pada pekerjaannya? Apakah dalam bekerja sehari-hari responden tidakR.3 berinteraksi langsung dengan TI, namun menggunakan data 9 22 hasil olah TI?R.4 Apakah selama menjabat responden menggunakan langsung 29 2 TI pada pekerjaannya? Apakah selama menjabat responden tidak berinteraksiR.5 langsung dengan TI, namun menggunakan data hasil olah 7 24 TI?R.6 Apakah responden menggunakan TI untuk menghasilkan 23 8 keputusan strategis saat menjabat?R.7 Apakah responden pernah melakukan keputusan strategis 22 9 dalam penggunaan TI saat menjabat?R.8 Apakah responden mengetahui tentang tatakelola TI? 26 5R.9 Apakah responden menyadari pentingnya tatakelola TI? 29 2R.10 Apakah ada tatakelola TI di PDII LIPI? 25 6R.11 Apakah responden memiliki kepentingan bila diadakan 26 5 tatakelola TI?
64Lampiran 3 Data hasil identitas responden1. Nama □ 25-35 tahun (3) □ 36-45 tahun (5) □ >45 tahun (23)2. Umur □ Laki-laki (15) □ Perempuan (16)3. Jenis Kelamin4. Pendidikan □ Sarjana (15) □ Magister (13) □ Doktor (3) Terakhir Jabatan Periode □ 11-20 tahun (2) □ >20 tahun (23)5. Jabatan yang 1. Pernah Dipegang 2. 3.6. Lamanya Bekerja 4. 5. □ 6-10 tahun (6)
65Lampiran 4 Data modul sub domain PO4PO4. Menetapkan Proses TI, Organisasi dan Hubungan Pertanyaan SS Bobot STS S TT TS 11 PDII menentukan kerangka proses TI untuk 13 12 1 4 0 menjalankan rencana strategi TI. 14 6 6 2 13 4 5 02 PDII membentuk komite strategi TI pada 5 13 0 3 0 struktural organisasi. 15 2 6 1 PDII membentuk komite pengarahan TI (atau 14 2 4 13 yang setara) yang disusun dari pengelolaan 7 21 1 2 1 1 eksekutif, bisnis, dan TI. 15 4 4 1 1 PDII menempatkan fungsi TI dalam struktur 15 6 4 0 19 3 6 04 organisasi keseluruhan karena pentingnya TI di 15 17 3 3 PDII. 11 6 45 PDII membentuk struktur organisasi internal dan 8 eksternal TI yang mencerminkan kebutuhan PDII. 15 8 2 PDII meninjau secara periodik struktur organisasi TI untuk menyesuaikan kebutuhan staf dan6 strategi penentuan sumber untuk memenuhi tujuan 10 PDII yang diharapkan dan mengubah kondisi saat ini. PDII membentuk dan mengkomunikasikan peran dan tanggung jawab untuk staf TI dan pengguna7 akhir yang menggambarkan antara kewenangan 6 staf TI dan pengguna akhir, tanggung jawab, dan akuntabilitas untuk memenuhi kebutuhan PDII. PDII menetapkan tanggung jawab untuk kinerja8 dari fungsi jaminan kualitas (QA) dan 7 menyediakan kelompok QA dengan sistem QA yang sesuai, kontrol, dan keahlian komunikasi. PDII memastikan bahwa penempatan organisasi9 dan tanggung jawab serta ukuan kelompok QA 5 memenuhi persyaratan organisasi. PDII menanamkan kepemilikan dan tanggung10 jawab atas risiko terkait TI dalam bisnis pada level 2 senior yang sesuai. PDII menentukan dan menetapkan kritik peran11 untuk mengelola risiko TI, termasuk tanggung 7 jawab spesifik untuk keamanan informasi, keamanan fisik, dan kesesuaian. PDII membentuk tanggung jawab pengelolaan12 risiko dan keamanan pada level perusahaan untuk 10 menangani masalah dalam lingkup organisasi. PDII menyediakan bisnis dengan prosedur dan13 peralatan, yang memungkinkannya untuk 6 mengarahkan tanggung jawabnya untuk kepemilikan data dan sistem informasi.
66 PDII menerapkan praktik pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab dijalankan14 dengan benar, untuk menilai apakah semua 10 15 2 3 1 personel memiliki wewenang dan sumber daya 4 6 0 3 4 1 yang cukup untuk menjalankan peran dan 2 7 2 6 3 1 tanggung jawabnya, dan untuk meninjau KPI 5 6 1 (Indikator Kinerja Penting) secara umum. PDII menerapkan divisi peran dan tanggung jawab15 yang dapat mengurangi kemungkinan kondisi di 10 11 mana proses penting hanya ditangani oleh seorang personel. PDII mengevaluasi persyaratan penentuan staf pada basis reguler atau atas perubahan mayor pada16 bisnis, lingkungan operasional atau TI untuk 10 13 memastikan bahwa fungsi TI memiliki sumber daya yang memadai untuk mendukung sasaran dan tujuan bisnis dengan tepat dan mencukupi. PDII telah menentukan dan mengidentifikasi personel TI penting (misalnya, personel17 pengganti/cadangan), dan meminimalkan 5 15 ketergantungan hanya pada satu personel yang menjalankan fungsi pekerjaan penting. PDII memastikan bahwa konsultan dan personel kontrak yang mendukung fungsi TI memahami18 dan memenuhi kebijakan organisasi untuk 4 17 melindungi aset informasi organisasi sehingga mereka harus memenuhi persyaratan kontrak yang telah disetujui. PDII membentuk dan menjaga koordinasi, komunikasi, dan struktur hubungan antara fungsi TI dan berbagai minat lain di dalam dan di luar19 fungsi TI, seperti jajaran dewan, eksekutif, unit 4 15 bisnis, pengguna masing-masing, penyuplai, staf keamanan, manajer risiko, grup pemenuhan korporat, manajemen alih daya dan terpusat.
67Lampiran 5 Data modul sub domain PO5PO5. Mengelola Investasi TI Pertanyaan Bobot SS S TT TS STS PDII membentuk dan menjaga kerangka proses 7 13 6 4 1 keuangan untuk mengelola investasi dan biaya1 aset TI dan layanan melalui portofolio dari investasi yang dimungkinkan TI, hal bisnis, dan anggaran TI. PDII menerapkan proses pembuatan keputusan untuk memprioritaskan alokasi sumber daya TI untuk pengoperasian, proyek, dan perawatan guna2 memaksimalkan kontribusi TI untuk optimisasi 6 16 3 5 1 pengembalian pada portofolio perusahaan atas program investasi yang dimungkinkan TI dan layanan serta aset TI lainnya. PDII membentuk dan menerapkan praktik untuk mempersiapkan anggaran yang mencerminkan3 prioritas yang dibentuk oleh portofolio perusahaan 7 14 5 4 1 dari program investasi yang dimungkinkan TI, dan meliputi biaya operasional dan perawatan infrastruktur yang terus berlanjut. PDII menerapkan proses manajemen yang membandingkan biaya aktual terhadap anggaran. Biaya-biaya harus dipantau dan dilaporkan. 6 16 6 2 14 Dimana terjadi penyimpangan, ini harus diidentifikasi dengan cara yang tepat waktu dan pengaruh dari penyimpangan ini pada program harus dinilai. PDII menerapkan proses untuk memantau manfaat5 dari penyediaan dan pemeliharaan kapabilitas TI 6 19 2 3 1 yang sesuai.
68Lampiran 6 Data modul sub domain PO9PO9. Menilai dan Mengelola Risiko TI Pertanyaan Bobot SS S TT TS STS PDII membentuk kerangka proses manajemen1 risiko TI yang selaras dengan kerangka proses 5 10 8 7 1 manajemen risiko PDII. PDII membentuk konteks di mana kerangka 4 12 8 6 12 proses penilaian risiko diterapkan untuk memastikan hasil yang sesuai. PDII mengidentifikasi peristiwa (ancaman nyata penting yang mengeksploitasi kerentanan yang3 berlaku) dengan dampak negatif potensial pada 4 16 5 5 1 sasaran atau operasional perusahaan, mencakup bisnis, peraturan, legal, teknologi, mitra dagang, sumber daya manusia, dan aspek operasional.4 PDII menentukan sifat dampak dan menjaga 3 18 5 5 0 informasi ini.5 PDII Mencatat dan menjaga risiko yang relevan 2 17 6 4 2 dalam registri risiko. PDII menilai pada basis berulang, kemungkinan 2 11 10 6 26 dan dampak dari semua risiko yang diidentifikasi, menggunakan metode kualitatif dan kuantitatif. PDII membangun dan menjaga proses respons 1 risiko yang dirancang untuk memastikan bahwa7 kontrol yang efektif biaya mengurangi pemaparan 4 9 10 7 terhadap risiko pada basis yang berkesinambungan. PDII memprioritaskan dan merencanakan aktivitas kontrol pada semua level untuk menerapkan8 respons risiko yang diidentifikasi sebagaimana 4 14 8 3 2 diperlukan, mencakup identifikasi atas biaya, manfaat, dan tanggung jawab untuk pelaksanaan. PDII memperoleh persetujuan untuk tindakan dan 3 10 13 3 2 penerimaan yang disarankan dari setiap risiko9 residual, dan memastikan bahwa tindakan yang dijalankan dimiliki oleh pemilik proses yang terpengaruh. PDII memantau pelaksanaan rencana, dan laporan10 pada setiap penyimpangan kepada manajemen 7 19 1 4 0 senior.
69Lampiran 7 Data modul sub domain ME2ME2. Memantau dan Mengevaluasi Pengendalian Internal Pertanyaan SS S Bobot STS TT TS 0 PDII melakukan pemantauan yang 02 0 01 berkesinambungan, tolok ukur, dan peningkatan 8 21 12 1 lingkungan kontrol TI dan kerangka proses 84 1 0 kontrol untuk memenuhi tujuan organisasi. 64 0 PDII memantau dan mengevaluasi efisiensi dan 8 20 652 efektivitas dari kontrol tinjauan manajerial TI 32 internal. 21 PDII mengidentifikasi pengecualian kontrol, dan 6 133 menganalisis serta mengidentifikasi penyebab akar yang mendasari. PDII Mengevaluasi kelengkapan dan efektivitas4 dari kontrol manajemen atas proses TI, kebijakan, 2 18 dan kontrak melalui program penilaian diri yang berkesinambungan. PDII memperoleh, jika diperlukan, jaminan lebih5 lanjut atas kelengkapan dan efektivitas kontrol 4 15 internal melalui tinjauan pihak ketiga. PDII Menilai status dari kontrol internal penyedia6 layanan. Mengonfirmasikan penyedia layanan 7 19 eksternal sesuai dengan persyaratan hokum dan peraturan serta kewajiban sesuai kontrak. PDII mengidentifikasi, memulai, melacak, dan7 menerapkan tindakan perbaikan yang muncul dari 8 20 penilaian kontrol dan pelaporan.
70Lampiran 8 Data modul sub domain ME3ME3. Pastikan Kepatuhan dengan Persyaratan EksternalPertanyaan Bobot SS S TT TS STS PDII mengidentifikasi, pada basis yang 3 17 6 4 1 berkesinambungan, hukum setempat dan1 internasional, pengaturan, dan persyaratan eksternal lainnya yang harus dipenuhi untuk penggabungan ke dalam kebijakan organisasi, standar, prosedur, dan metodologi TI. PDII meninjau dan menyesuaikan kebijakan,2 standar, prosedur, dan metodologi TI untuk 4 19 4 2 2 memastikan persyaratan hukum, pengaturan, dan kontraktual ditujukan dan dikomunikasikan. PDII Mengonfirmasikan kebijakan, standar, 5 17 7 2 03 prosedur, dan metodologi TI dengan persyaratan hukum dan pengaturan. PDII Memperoleh dan melaporkan jaminan atas kesesuaian dan kepatuhan kepada semua kebijakan internal yang diturunkan dari peraturan internal dan hukum eksternal, persyaratan 2 15 8 4 14 pengaturan atau kontraktual, dengan mengonfirmasikan bahwa setiap tindakan perbaikan untuk memenuhi kesesuaian apa pun telah dilakukan oleh pemilik proses yang bertanggung jawab dengan cara yang tepat waktu. PDII mengintegrasikan pelaporan TI pada5 persyaratan hukum, pengaturan, dan kontraktual 3 15 8 4 1 dengan output yang serupa dari fungsi bisnis lainnya.
Search
