Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013

ISACA Indonesia Special Technical Session Gran Sahid Hotel, 9 September 2013
Halaman 1Pemetaan PER-02/MBU/2013 dengan COBIT 5
ISACA Indonesia Special Technical Session:
Pemetaan COBIT 5 dengan PER-02/MBU/2013
tentang Panduan Penyusunan Pengelolaan TI BUMN
Rahmat Mulyana, ST,MT,MBA,CISA,CISM,CGEIT,CRISC,PMP
+62-812-246-8446, rahmatmoelyana@transforma-institute.biz
Halaman 2
Agenda
• Relasi GCG dan IT Governance
• Framework IT Governance BUMN: PER-02/MBU/2013
• Best Practice IT Governance: Seven Enabler COBIT 5
• Pemetaan COBIT 5 dengan PER-02/MBU/2013
Rahmat Mulyana @ ISACA Indonesia Special Tech Session: Pemetaan PER-02/MBU/2013 dengan COBIT 5 @ Gran Sahid, 9 Sept 2013

Halaman 3
Relasi GCG dan IT Governance
Halaman 4
Enterprise Governance Framework
Bagaimana implikasi semakin
pentingnya Enterprise
Governance pada
penyelenggaraaan TI?
IT Governance
(sumber: IFAC, 2003)
“A set of responsibilities and
practices exercised by the board
and executive management with
the goal of providing strategic
direction, ensuring that
objectives are achieved,
ascertaining that risks are
managed appropriately and
verifying that resources are used
responsibly” (ISACA)

Halaman 5
The Governance & Management of Enterprise IT Framework
Cara pandang tersebut mengadopsi ISO
38500, walaupun ISO 35000 tidak
disebutkan secara eksplisit
Governance
Management
(Sumber: COBIT 5)
Sumber: ISO 38500
PJ: Dekom/Dewas & BOD
PJ: Manajemen Bisnis & TI
Halaman 6
Regulasi Nasional terkait GCG dan IT Governance
GCG:
– Kepmen BUMN No KEP-117/M-MBU/2002 tentang
Penerapan Praktek GCG pada BUMN
– Permen BUMN No PER-01/MBU/2011 tentang
Penerapan Tata Kelola Perusahaan yang Baik (GCG)
pada BUMN
IT Governance:
– Permen Kominfo 41/PER/MEN.KOMINFO/11/2007
tentang Panduan Umum Tata Kelola TIK Nasional
– PBI No 9/15/PBI/2007 tentang Manajemen Risiko TI
untuk Bank Umum
– Panduan Penerapan Tata Kelola Keamanan Informasi
bagi Penyelenggara Pelayanan Publik dari Kominfo 2011
– Permen BUMN PER-02/MBU/2013 tentang Panduan
Penyusunan Pengelolaan Tata Kelola TI BUMN
– Pedoman Tata Kerja SKK Migas Kementerian ESDM KEP-
0008/SKO0000/2013/SO tentang Pengelolaan TIK pada
Kontraktor Kontrak Kerja Sama (KKKS)

Halaman 7
GCG dan IT Governance BUMN
Definisi GCG
– Prinsip-prinsip yang mendasari suatu proses/mekanisme pengelolaan perusahaan berlandaskan
peraturan perundang-undangan dan etika berusaha
Aspek kunci GCG
– Transparansi, akuntabilitas, responsibilitas, independensi, kewajaran (fairness) untuk mencapai
tujuan perusahaan
Tujuan GCG
– Optimalisasi nilai BUMN agar memiliki daya saing kuat, survive dan hidup berkelanjutan, pengelolaan
yang profesional, efisien efektif, peningkatan kemandirian, landasan moral, kepatuhan terhadap
peraturan perundangan, kesadaran tanggung jawab terhadap stakeholder, kelestarian lingkungan,
kontribusi ekonomi dan investasi nasional
Contoh Penerapan GCG
– Board manual, manajemen risiko, sistem pengendalian/pengawasan internal, mekanisme pelaporan,
tata kelola TI, code of conduct, dsb.
IT Governance
– Salah satu pilar utama GCG untuk menjamin pemanfaatan implementasi TI, mengacu kepada standar
internasional yang telah diterima secara luas dan teruji implementasinya sebagai framework bagi
tata kelola yang efektif, efisien dan optimal untuk diterapkan
(sumber: PER-01/MBU/2011, PER-02/MBU/2013)
Halaman 8
Framework IT Governance BUMN:
PER-02/MBU/2013

Halaman 9
Struktur PER-02/MBU/2013
• Definisi
– Pasal 1: Definisi BUMN, PT, Perum, Menteri, RUPS, Dekom,
Dewas, Direksi
• Tata Kelola TI
– Pasal 2: Pemanfaatan dan Pengembangan TI, Penyusunan
dan Penetapan oleh Direksi
• Master Plan TI
– Pasal 3: Deadline, Penetapan oleh Direksi, Periode, RKAP,
Monev oleh Direksi, Pelaporan Triwulan & Tahunan, Kaji
Ulang dan Revisi
• Sinergi TI BUMN
– Pasal 4: Pengutamaan Sinergi BUMN, TKDN (Tingkat
Kanduan Dalam Negeri), Area Sinergi, Prinsip GCG
• Lain-Lain
– Pasal 5: Pemberlakuan bagi sektor Perbankan dan non-
Perbankan
– Pasal 6: Pemberlakuan dalam RUPS
– Pasal 7: Pemberlakuan efektif pada tahun buku 2013
• Lampiran
– Lampiran I: Panduan Penyusunan Pengelolaan TI BUMN
– Lampiran II: Panduan Penyusunan Master Plan TI BUMN
– Lampiran III: Panduan Sinergi TI BUMN
Halaman 10
Framework Tata Kelola TI BUMN
Proses TI
Kebutuhan Bisnis
Sumber Daya TI
1. Effectiveness
2. Efficiency
3. Confidentiality
4. Integrity
5. Availability
6. Compliance
7. Information
Reliability
1. Data &
Informasi
2. Sistem
Informasi
3. Infrastruktur TI
4. SDM
1. Pengendalian
Strategis
2. Pengendalian
Operasional
(sumber: PER-02/MBU/2013)

Halaman 11
Referensi Framework IT Governance pada PER-02/MBU/2013
• Dijelaskan dalam lampiran PER-01/MBU/2013 bahwa IT Governance sebagai salah satu pilar
utama GCG BUMN dalam pelaksanaannya membutuhkan framework yang mengacu kepada
referensi tata kelola TI internasional yang telah diterima secara luas dan teruji
implementasinya seperti COBIT, ITIL, ISO 27001, ISO 38500, TOGAF dan PMBOK.
(sumber: Guide Share Europe dalam
PER-02/MBU/2013)
Halaman 12
Struktur Kebijakan Tata Kelola TI BUMN

Halaman 13
Siklus dan Posisi Kebijakan Tata Kelola TI BUMN
Halaman 14
Kepatuhan Tata Kelola TI BUMN

Halaman 15
Kebijakan Tata Kelola TI BUMN
 Kebijakan Strategis
1. Penetapan Peran TI Perusahaan
2. Perencanaan TI
3. Kerangka Kerja Proses dan Organisasi TI
4. Pengelolaan Investasi TI
5. Pengelolaan Sumber Daya TI
6. Pengelolaan Risiko TI
7. Pengelolaan Proyek
8. Penanganan Kebutuhan dan Identifikasi
Solusi
 Kebijakan Operasional
1. Pengelolaan Layanan TI
2. Pengelolaan Sekuriti TI
3. Pengelolaan Layanan Pihak Ketiga
4. Pengelolaan Operasional
5. Pengelolaan Mutu
6. Knowledge Transfer
7. Pengelolaan Data Monitor &
Evaluasi Kinerja TI
8. Monitor & Evaluasi Pengendalian
Internal
9. Pengelolaan Compliance External
Regulation
Halaman 16
Model Assessment Tata Kelola TI BUMN
• Capability Maturity Level (CMM):
– Level 0: Non-Eksis
• Proses tidak ada dan organisasi tidak mengenali adanya Tata Kelola TI
– Level 1: Initial /Adhoc
• Proses kadang dilaksanakan/ Adhoc (khusus) kasus demi kasus dan tidak ada standarisasi serta tidak terorganisasir
– Level 2: Berulang
• Proses telah dibentuk namun belum ada koordinasi dari prosedur standar dan tanggung jawab serta tidak
terdokumentasi
– Level 3: Terdefinisi
• Proses selalu dilaksanakan, standarisasi, terdokumentasi, dan dikomunikasikan
– Level 4: Terkelola
• Proses selalu dilaksanakan, terdokumentasi, dikomunikasikan, dikelola dengan baik serta dapat diukur pencapaiannya
– Level 5: Optimal
• Proses selalu dilaksanakan, terdokumentasi, dikomunikasikan, dikelola, dapat diukur dan dapat dioptimasi hasilnya
sesuai dengan dengan kebutuhan organisasi secara otomatis (dapat memanfaatkan tool)
• Metode: survey terhadap para pelaku kontrol: pemilik proses, pengelola TI maupun pengelola
kebijakan TI pada suatu organisasi korporasi
• Pelaksana: mandiri atau secara independen dengan melibatkan pihak lain
• Target: mencapai level 3 dalam 5 tahun ( dengan asumsi semua sumber daya terpenuhi)
• Rekomendasi: perlu melihat best-practice dan melakukan benchmark pada industri yang sama

Halaman 17
Panduan Checklist Tata Kelola TI BUMN
KEBIJAKAN STRATEGIS
1 Penetapan peran TI
1 Pernyataan peran strategis TI
2 KPI/BSC
2 Perencanaan TI
1 IT Master Plan TI
2 IT Strategic BSC
3
Kerangka kerja
proses dan
organisasi TI
1 IT Steering Committee
2 Pengelolaan IT policy
3 Prosedur IT development & operation?
4
Pengelolaan
sumberdaya TI
1 Prosedur pengelolaan SDM TI
2 Prosedur pengelolaan data/informasi
3 Prosedur pengelolaan HW/SW
4 Prosedur pengelolaan infrastruktur TI
5
Pengelolaan
investasi TI
1 RJPP & RKAP
2 IT Alignment BSC
3 Horizontal alignment
4
Prosedur pengelolaan pengadaan investasi
TI
6 Pengelolaan risiko TI
1 Prosedur assessment risiko
2 DRP
3 DRC
7 Pengelolaan proyek 1 ?
8
Penanganan
kebutuhan dan
identifikasi solusi
1 ?
KEBIJAKAN OPERASIONAL
1
Pengelolaan
layanan TI
1 Prosedur Helpdesk (Service desk)
2 Standar layanan TI
3 Implementasi ITSM lainnya
2
Pengelolaan
sekuriti TI
1 Standar keamanan aset TI
2 Implementasi ISMS lainnya
3
Pengelolaan
layanan pihak
ketiga
1 Pengelolaan kontrak
2 Dokumentasi kontrak
3 Laporan monitoring & evaluasi kontrak
4
Pengelolaan
operasional
1 ?
5
Pengelolaan
mutu
1 ?
6
Knowledge
transfer
1 ?
7
Pengelolaan
data monitor
dan evaluasi
kinerja TI
1
Prosedur pengukuran dan pelaporan kinerja
TI
2 Prosedur monitor dan evaluasi kinerja (KPI)
8
Monitor dan
evaluasi
pengendalian
internal
1 Dokumen checklist tata kelola TI
2
Prosedur assessment tata kelola TI dan
evaluasi pihak ketiga
9
Pengelolaan
compliance
external
regulation
1 Standar regulasi eksternal (checklist)
2
Assessment terhadap external compliance
yang dicapai
Halaman 18
Best Practice IT Governance: Seven Enabler COBIT 5

Halaman 19
Survey Penggunaan Framework & Standard IT Governance & Management
(sumber: Global Survey on IT Governance, ISACA, 2011)
Halaman 20
Evolusi COBIT
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/720001998
Evolutionofscope
1996 2012
Val IT 2.0
(2008)
Risk IT
(2009)

Halaman 21
Komponen COBIT 5 = COBIT 4.1 + RISK IT + VAL IT
Halaman 22
Seven Enabler IT Governance & Management
Faktor yang secara individu maupun kolektif dan sistemik mempengaruhi keberjalanan Idan
kesuksesan T Governance dan Management pada suatu organisasi/perusahaan
Sumber: COBIT 5

Halaman 23
Enabler Generik
Sumber: COBIT 5
Halaman 24
Mapping Framework & Standar IT Governance & Management
Sumber: COBIT 5

Halaman 25
Taksonomi Proses IT Governance & Management pada COBIT 5
PROCESSES
IT Related Goals Process Goals
IT related Goals
Metrics
Process Metrics
RACI Chart
Governance OR
Management Practices
High Level
Statement
Inputs & Outputs Activities
Related
Guidance
Halaman 26
Proses COBIT 5
(Sumber: COBIT 5)

Halaman 27Rahmat Mulyana @ ISACA Indonesia Special Tech Session: Pemetaan PER-02/MBU/2013 dengan COBIT 5 @ Gran Sahid, 9 Sept 2013

Halaman 29
Contoh RACI: Proses EDM01
Bisnis TI
Sumber: ISACA, 2012
Halaman 30
Step-by-step Assessment Proses
Process Assessment Model
Assessment Process

Halaman 31
PO1 Define a Strategic IT Plan PO1
LINK Level Compliance Contribution Value
0 1,00 1,00 1,00
1 1,00 1,00 1,00
2 0,66 1,00 0,66
3 0,33 1,00 0,33
4 0,00 1,00 0,00
5 0,00 1,00 0,00
0 Non-existent
2,99
Nr Weight
1 10 x 10,00
2 10 x 10,00
Total Weight 20
1 Initial/Ad Hoc
Nr Weight
1 10 x 10,00
2 10 x 10,00
3 10 x 10,00
4 10 x 10,00
5 10 x 10,00
Total Weight 50
2 Repeatable but Intuitive
Nr Weight
1 10 x 6,60
2 10 x 6,60
3 10 x 6,60
4 10 x 6,60
Total Weight 40
Management of the process of Define a strategic IT plan that
satisfies the business requirement for IT of sustaining or
extending the business strategy and governance requirements
while being transparent about benefits, costs and risks is:
Tosomedegree
Alittle
Notatall
Completely
IT strategic planning is shared with business management on an
as-needed basis.
Updating of the IT plans occurs in response to requests by
management.
Strategic decisions are driven on a project-by-project basis
without consistency with an overall organisation strategy.
Do you agree…
The need for IT strategic planning is known by IT management.
IT planning is performed on an as-needed basis in response to a
specific business requirement.
IT strategic planning is occasionally discussed at IT management
meetings.
The alignment of business requirements, applications and
technology takes place reactively rather than by an
organisationwide strategy.
The risks and user benefits of major strategic decisions are
recognised in an intuitive way.
The strategic risk position is identified informally on a project-by-
project basis.
Maturity Level
Statement
Statement Do you agree…
Relative
Importance
Statement Do you agree…
IT strategic planning is not performed.
There is no management awareness that IT strategic planning is
needed to support business goals.
Maturity Level
Instructions: A relative Weight between 0 and 10
should be allocated for each statement, and then an
'x' is used to indicate which statement is applicable.
Process Define a Strategic IT Plan
Maturity Level
Back to Assessment Overview
Assessment Status Open
Maturity Level =
Contoh Penggunaan
Assessment Tools
CMM
Halaman 32
Process Assessment Model Berbasis ISO 15504: COBIT 5

Halaman 33
Contoh Hasil Process Assessment: DSS 02
Process
Name
Level 0 Level 1
DSS02 PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA5.2
Rating by
Criteria
87,50% 87,50% 93,75% 88,89% 90,91% 85,71% 85,71% 41,67%
Capability
Level
Achieved
1 1 1 2 2 3 3 3
Level 2 Level 5Level 3 Level 4
N –Not Achieved
P – PartiallyAchieved
L –Largely Achieved
F- FullyAchieved
Halaman 34
Seven Enabler Assurance

Halaman 35
Pemetaan COBIT 5 dengan PER-02/MBU/2013
No Proses COBIT 5 PER-02/MBU/2013
1EDM01 Ensure Governance Framework Setting and Maintenance N/A
2EDM02 Ensure Benefits Delivery N/A
3EDM03 Ensure Risk Optimisation N/A
4EDM04 Ensure Resource Optimisation N/A
5EDM05 Ensure Stakeholder Transparency N/A
6APO01 Manage the IT Management Framework KO3 - Kerangka Kerja Proses dan Organisasi TI
7APO02 Manage Strategy KS2 - Perencanaan TI
8APO03 Manage Enterprise Architecture KS2 - Perencanaan TI
9APO04 Manage Innovation N/A
10APO05 Manage Portfolio KS5 - Pengelolaan Investasi TI
11APO06 Manage Budget and Costs KS5 - Pengelolaan Investasi TI
12APO07 Manage Human Resources KS4 - Pengelolaan Sumberdaya TI
13APO08 Manage Relationships KS1 - Penetapan Peran TI
14APO09 Manage Service Agreements KO1 - PengelolaanLayanan TI
15APO10 Manage Suppliers KO3 - PengelolaanLayanan Pihak Ketiga
16APO11 Manage Quality KO5 - PengelolanMutu
17APO12 Manage Risk KS6 - Pengelolaan Risiko TI
18APO13 Manage Security KO2 - PengelolaanSekuriti TI
19BAI01 Manage Programmes and Projects KS7 - Pengelolaan Proyek
20BAI02 Manage Requirements Definition KS8 - Penanganan Kebutuhan dan Identifikasi Solusi
21BAI03 Manage Solutions Identification and Build KS8 - Penanganan Kebutuhan dan Identifikasi Solusi
22BAI04 Manage Availability and Capacity Implementasi ITSM Lainnya?
23BAI05 Manage Organisational Change Enablement N/A
24BAI06 Manage Changes Implementasi ITSM Lainnya?
25BAI07 Manage Change Acceptance and Transitioning Implementasi ITSM Lainnya?
26BAI08 Manage Knowledge KO6 - Knowledge Transfer
27BAI09 Manage Assets N/A
28BAI10 Manage Configuration Implementasi ITSM Lainnya?
29DSS01 Manage Operations KO4 - PengelolaanOperasional
30DSS02 Manage Service Requests and Incidents KO1 - PengelolaanLayanan TI/ Implementasi ISMS Lainnya?
31DSS03 Manage Problems Implementasi ISMS Lainnya?
32DSS04 Manage Continuity KS6 - Pengelolaan Risiko TI
33DSS05 Manage Security Services KO2 - PengelolaanSekuriti TI
34DSS06 Manage Business Process Controls N/A
35MEA01 Monitor, Evaluate and Assess Performance and Conformance KO7 - Pengelolaandata monitor dan evaluasi kinerja TI
36MEA02 Monitor, Evaluate and Assess the System of Internal Control KO8 - Monitor dan evaluasi pengendalian internal
37MEA03 Monitor, Evaluate and Assess Compliance With External Requirements KO9 - Pengelolaancompliance external regulation

Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013

Recommended

Recommended

More Related Content

What's hot

What's hot (14)

Viewers also liked

Viewers also liked (20)

Similar to Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013

Similar to Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013 (20)

Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013