Pada tulisan ini akan membahas tentang Audit layanan TI dengan
sistem COBIT pada PT Kereta Api Indonesia(persero) namun sebelum itu, berikut
penjelasan mengenai COBIT.
Control Objectives for Information and Related Technology (COBIT)
adalah sebuah framework yang berfokus pada tata kelola teknologi informasi dan
di buat oleh ISACA, sebuah badan internasional yang berfokus pada tata kelola
teknologi informasi dan merupakan afiliasi dari IFAC (International Federation
of Accountants). COBIT berguna sebagai sebuah alat yang dapat membantu manajer
dalam mengelola celah antara persyaratan kontrol, masalah teknikal dan risiko
bisnis.
COBIT memberikan panduan yang jelas mengenai praktik dan kebijakan
yang baik dalam seluruh domain dan kerangka proses serta menyajikan aktivitas
dalam bentuk yang terstruktur dan terarah. COBIT lebih fokus terhadap kontrol
bukan kepada eksekusi. Hal ini akan membantu optimisasi dari investasi
teknologi informasi, memastikan penyampaian servis dan menyajikan sebuah
pengukuran untuk dapat menilai apakah segala implementasi teknologi informasi
berjalan sesuai harapan atau tidak.
COBIT mendefinisikan aktivitas ke dalam model proses yang dibagi ke
dalam 4 domain yang dibagi berdasarkan tanggung jawab perencanaan, pembuatan,
pelaksanan dan pengukuran, keempat domain ini adalah:
- Perencanaan
dan Pengorganisasian (Plan and Organise) Domain ini meliputi strategi
dan taktik serta memperhatikan identifikasi cara agar teknologi informasi dapat
memberikan kontribusi sebaik-baiknya terhadap pencapaian tujuan bisnis.
- Pengadaan
dan implementasi (Acquire and Implement) Untuk dapat merealisasikan
strategi TI, solusi TI harus dapat diidentifikasi, dikembangkan atau didapatkan
serta harus diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain
itu, pemeliharaan dari sistem yang sudah ada juga termasuk kedalam domain ini
untuk memastikan bahwa solusi yang ada terus memenuhi tujuan bisnis.
- Penyampaian
Layanan dan Dukungan (Deliver and Support) Domain ini memperhatikan
penyampaian sesungguhnya dari layanan yang diperlukan dan mencakup mencakup penyediaan layanan, manajemen keamanan dan kelangsungan, dukungan layanan pada
pengguna, manajemen data dan fasilitas operasional.
- Monitor
dan Evaluasi (Monitor and Evaluate) Domain ini berfokus pada penilaian
dari seluruh proses TI berdasarkan dari kualitas dan kepatuhan terhadap
persyaratan kontrol. Domain ini membahas masalah performa, pengawasan internal
kontrol, kepatuhan peraturan dan tata kelola
AUDIT COBIT PADA PT KERETA API INDONESIA
PT Kereta Api Indonesia (Persero) adalah Badan Usaha Milik Negara
(BUMN) yang bergerak dalam bidang jasa pengangkutan kereta api. Pelayanan yang
diberikan oleh PT KAI meliputi jasa angkutan penumpang dan barang serta jasa
non-angkutan berupa penyewaan asset seperti hotel dan bangunan. PT KAI dimiliki seluruhnya oleh pemerintah.
PT KAI mulai fokus mengembangkan sistem teknologi informasi
perusahaan pada tahun 2010, PT KAI melakukan transformasi secara besar-besaran
di bidang TI dan dituangkan dalam master plan pengembangan TI 2011-2015. Pada
tahun 2011 PT. Kereta Api Indonesia (KAI) (Persero) meluncurkan sebuah aplikasi
yang bisa memonitoring seluruh jaringan dan infrastruktur IT milik PT. KAI yang
terintegrasi dengan Network Operation Center (NOC). Aplikasi yang diberi nama
MONALISA yang dapat melihat secara langsung dan komprehensif seluruh jaringan
dan infrastruktur yang berada di Daerah Operasi (Daop) dan Divisi Regional
(Divre) serta Kantor Pusat PT. KAI. Sehingga jika terdapat gangguan, NOC bisa
dengan segera dilakukan perbaikan. Dalam aplikasi ini, bisa semakin mudah untuk
melihat sejauh mana penggunaan berbagai infrastruktur jaringan IT, yang
sebelumnya pemeriksaan dilakukan secara manual. Monalisa sendiri merupakan
singkatan dari “Monitoring Aplikasi Infrastuktur dan Service Level Agreement
(SLA).
Penelitian ini akan mendeskripsikan penerapan tata kelola teknologi
informasi pada PT KAI menggunakan pendekatan studi kasus yang bersifat
evaluatif.
Hasil dari penelitian ini diperoleh dari naskah ringkas skripsi Suryawan Sudibyo, Machmudin Eka Prasetya Program Studi S1 Akuntansi Reguler Fakultas Ekonomi Universitas
Indonesia.
1. Perencanaan dan Pengorganisasian (Plan and Organise)
Pada IT proses PO1 Define a strategic IT plan menghasilkan
analisa PT KAI sudah terdapat IT Master Plan yang berisikan tentang rencana
kerja dan investasi strategis pengembangan TI untuk jangka panjang selama 5
tahun dan untuk jangka pendek dibuat untuk kurun waktu kurang dari 1 tahun.
PO2 Define
the information architecture
PT KAI belum terdapat model arsitektur informasi terstandard yang
digunakan.
PO3 Determine technological direction
Manajemen PT KAI telah merancang arah pengembangan teknologi
perusahaan. Hal ini ditandai dengan rencana penambahan modul ERP perusahaan,
peningkatan infrastruktur TI perusahaan dan berbagai sertifikasi ISO dalam
bidang teknologi informasi.
PO3
Determine technological direction
Manajemen PT KAI telah merancang arah pengembangan
teknologi perusahaan. Hal ini ditandai dengan rencana penambahan modul ERP
perusahaan, peningkatan infrastruktur TI perusahaan dan berbagai sertifikasi ISO dalam bidang
teknologi informasi.
PO4 Define the IT processes, organisation and relationships
PT KAI telah memiliki pembagian tugas yang jelas pada
divisi TI hal ini di tuangkan dalam tugas pokok inti divisi TI. Selain itu
keamanan informasi sudah dilakukan dengan melakukan encryption serta cryptographic pada informasi perusahaan.
PO5
Manage the IT investment
Pada PT KAI manajemen telah
menentukan prioritas investasi TI yang sesuai dengan budget perusahaan selain
itu penetapan budget untuk investasi TI telah dilakukan oleh dewan direksi
untuk setiap tahunnya. Perencanaan penggunaan dana investasi TI ini
dituangkan dalam IT Master Plan perusahaan.
PO6
Communicate management aims and direction
Manajemen PT KAI telah secara aktif mengomunikasikan
penerapan TI antara dewan direksi dan divisi TI. Hal ini dilakukan melalui
rapat koordinasi dan evaluasi yang rutin dilakukan baik
secara horizontal
maupun vertical.
PO7
Manage IT human resources
Pada PT KAI terdapat pendekatan strategis untuk merekrut dan
mengelola IT personnel. Rencana training resmi telah ditetapkan untuk SDM TI.
Program rotasi karyawan sudah ditetapkan dalam rangka pengembangan skill manajemen dan teknik.
PO8
Manage quality
Pada PT KAI manajemen telah menerapkan ISO 9001 yang
mengatur tentang quality management
system terhadap berbagai divisi dan sarana pada perusahaan. Hal ini
menunjukan bahwa manajemen telah menyadarinya sebuah kebutuhan atas
kualitas mutu.
PO9
Assess and manage IT risks
Pada PT KAI, manajemen khususnya divisi TI belum
memiliki pengukuran risiko yang terdokumentasi dan formal.
PO10
Manage projects
Pada PT KAI sudah terdapat gambaran dan rencana mengenai
pengembangan TI pada perusahaan yang tergambarkan dalam Master Plan IT. Walau begitu dalam manajemen proyek belum terdapat
kerangka kerja formal, perusahaan masih menggunakan pendekatan tradisional dalam
menjalankan proyek.
2. Pengadaan dan implementasi (Acquire and Implement)
AI1
Identify automated solutions
Pada PT KAI rencana pembelian atau pembuatan mengenai
proyek TI sudah dilakukan tahapan perencanaan oleh business process owner terkait. Rencana ini mencakup mengenai biaya,waktu dan spesifikasi proyek yang diinginkan.
AI2
Acquire and maintain application software
Pada PT KAI saat perusahaan memutuskan untuk membuat
atau membeli sebuah aplikasi atau perangkat TI maka persyaratan dan spesifikasi
diberikan oleh tim BPO. Spesifikasi dan persyaratan ini akan dikonsultasikan
dengan divisi TI dan ditranslasikan kedalam sebuah solusi yang terenacana.
AI3
Acquire and maintain technology
infrastructure
PT KAI sudah melakukan perawatan dan perencanaan
pemeliharaan infrastruktur secara berkala. Pada datacenter perusahaan setiap minggu sistem akan di switch ke back-up system untuk dirotasi dan
memastikan bahwa sistem cadangan
bekerja.
AI4
Enable operation and use
Pada PT KAI dalam memastikan penerapan sebuah sistem
atau aplikasi baru agar dapat digunakan oleh end- user divisi TI melakukan pelatihan kepada para pengguna.
AI5
Procure IT resources
Pada PT KAI pengadaan kebijakan dan
prosedur akuisisi TI telah ditetapkan, didokumentasikan dan dikomunikasikan. Kebijakan dan prosedur akuisisi TI
di PT KAI mengacu kepada proses bisnis perusahaan secara keseluruhan. Manajemen
TI mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak melalui
fungsi TI.
AI6
Manage changes
Pada PT KAI sudah terdapat dokumentasi formal mengenai
perubahan yang berkaitan dengan TI yang mencakup prosedur, proses, kebijakan
dan sistem. Perubahan sistem yang besar misalnya pada saat penerapan ERP SAP
dilakukan sesuai dengan standard sistem terkait yang mencakup persiapan proyek, business blueprint hingga persiapan go live.
AI7
Install and accredit solutions and
changes
Hal ini tidak dapat dibahas lebih lanjut karena pada
pengujian dan pengetesan sebuah sistem yang mempengaruhi operasi secara besar
perusahaan menyerahkana sepenuhnya test
environment dan test procedure kepada
pihak eksternal dan vendor yang menyediakan jasa
pengadaan sistem
3. Penyampaian Layanan dan Dukungan (Deliver and Support)
DS1
Define and manage service levels
Pada PT KAI untuk berbagai pelayanan TI yang terkait
dengan pihak eksternal maupun internal, manajemen menentukan batasan SLA
minimum yakni kehandalan (reliability) 99,9% . untuk pihak eksternal manajemen
TI melakukan penilaian performa setiap bulan untuk memastikan tingkat
operasional memenuhi SLA yang telah .ditentukan
DS2
Manage third-party services
Pada PT KAI untuk pelayanan yang disediakan oleh pihak
ketiga seperti RTS, jaringan dan
sebagainya sudah memiliki dokumentasi SLA dalam bentuk perjanjian formal. Perjanjian mengenai SLA ini
mengatur hal-hal penting seperti kehandalan minimum mengenai layanan, penalty
bila target tidak tercapai dan
berbagai hal lainnya.
DS3
Manage performance and capacity
Pada PT KAI penentuan kapasitas dan perfoma pada
bidang TI sudah diselaraskan dengan peramalan kebutuhan bisnis. Hal ini sesuai
dengan manajemen stratejik perusahaan yang disudah mempertimbangkan berbagai
asumsi makro dan perkembangan bisnis. Pembuatan IT Master Plan sudah
diseleraskan dengan manajemen strategi perusahaan.
DS4
Ensure continuous service
PT KAI sudah memiliki beberapa IT Continuity Plan
untuk beberapa infrastruktur vital seperti datacenter yang memiliki 2 offsite
back up storage yang terletak di
Jakarta dan BSD.
DS5
Ensure systems security
Pada PT KAI perusahaan telah melakukan berbagai
langkah pengamanan informasi. Hal ini dapat dilihat dari penerapan pembatasan akses pengguna yang dibagi menjadi
3 level, penggunaan firewall pada datacenter perusahaan, encryption pada server
mail hingga pengadopsian ISO 27001 mengenai standardisasi keamanan informasi
sesuai dengan standard
internasional
DS6
Identify and allocate costs
Pada
PT KAI sudah terdapat ketentuan dan dokumentasi mengenai biaya teknologi informasi,
Alokasi biaya TI perusahaan disesuaikan dengan kebutuhan bisnis dan
pelaksanaannya harus sesuai dengan yang telah direncanakan.
DS7
Educate and train users
Pada PT KAI manajemen TI telah melakukan pelatihan
baik terhadap internal divisi TI dan kepada end-user agar pengoperasian sistem
berjalan efektif. PT KAI sudah memiliki dokumentasi dan perencanaan formal
mengenai pelatihan dan pendidikan pengguna, selain itu PT KAI juga rutin melakukan sertifikasi
bagi personnel TI.
DS8
Manage service desk and incidents
Pada PT KAI sudah terdapat help desk untuk membantu
pengguna akhir jika terdapat permasalahan dalam sistem. Sudah terdapat SOP dan
dokumentasi lainnya yang membantu dan mengarahkan tugas help desk dalam
menghadapi beberapa permasalahan umum.
DS9
Manage the configuration
PT KAI belum memilik manajemen konfigurasi secara formal dan terdokumentasi.
DS10
Manage problems
Pada PT KAI permasalahan diidentifikasi apakah terjadi
karena kesalahan pengguna atau kesalahan sistem oleh help desk. Apabila
kesalahan sistem terjadi
terkait dengan aplikasi yang disediakan eksternal vendor maka penyelesaian masalah menggunakan bantuan
vendor.
DS13
Manage operations
Pada PT KAI sudah melakukan beberapa manajemen terkait
operasi seperti pengawasan infrastruktur TI, pengukuran kehandalan dan
pemenuhan SLA, pembakuan dan dokumentasi SOP terkait operasi serta perawatan terhadap
infrastruktur.
4. Monitor dan Evaluasi (Monitor and Evaluate)
ME1 Monitor and Evaluate IT
performance
Pada PT KAI sudah melakukan pengawasan dan pengukuran
kinerja untuk beberapa pelayanan TI. Tingkat SLA berbagai infrastruktur TI di
awasi oleh sistem terintegrasi, evaluasi personil dilakukan sesuai dengan KPI
dan sudah dikembangkan pendekatan balance scorecard untuk pengukuran
kinerja.
ME4
Provide IT Governance
Salah satu tujuan PT KAI adalah penerapan tata kelola
perusahaan yang termasuk didalamnya tata kelola teknologi informasi. Hal ini
terlihat dengan pembentukan komite audit di tahun 2012, pembentukan IT Steering
Committee dan perubahan struktur organisasi perusahaan. Perencanaan stratejik
perusahaan juga sudah dituangkan kedalam RJPP perusahaan dan pendekatan BSC
sudah digunakan untuk memetakan tujuan perusahaan beserta KPI.
Berdasarkan
hasil pemetaan tujuan bisnis PT KAI dengan tujuan bisnis COBIT pada PT KAI
terdapat 30 IT Process dan 183 Control Objectives yang teridentifikasi.
IT Process dan Control Objectives yang teridentifikasi ini harus diperhatikan
perusahaan dalam menjalankan tata kelola teknologi informasi.
Di PT KAI
terdapat 4 proses pada level Managed and
Measurable, 11 proses pada level defined,
11 proses pada level repeatable but
intuitive dan 4 proses level pada level ad-hoc.
Untuk dapat meningkatkan efektifitas tata kelola teknologi informasi
perusahaan, manajemen dapat berfokus pada proses TI yang masih rendah (berada
pada level ad-hoc dan repeatable but intuitive).
SARAN
Audit COBIT pada PT KAI di tahun 2013 sudah di terapkan dengan baik dan dapat dikatakan berada
pada tingkatan Repeatable but intuitive, dimana proses telah
dikembangkan hingga tahapan yang memungkinkan
prosedur serupa dapat dilakukan oleh setiap orang untuk tugas yang sama.
SUMBER:
