Your SlideShare is downloading. ×
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Rudy m. harahap   assurance pengadaan ti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Rudy m. harahap assurance pengadaan ti

916

Published on

1 Comment
3 Likes
Statistics
Notes
No Downloads
Views
Total Views
916
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
1
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. www.bpkp.go.idModul Tata-Kelola Teknologi InformasiQuality Assurance PengadaanBarang/Jasa Teknologi Informasidi Sektor Publik Rudy M. Harahap Kepala Bidang Pengembangan Sistem Informasi Email: rudy.m.harahap@bpkp.go.id Visi: "Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas." © 2011
  • 2. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idMyCV Jabatan Struktural: – Kepala Bidang Pengembangan Sistem Informasi, Badan Pengawasan Keuangan dan Pembangunan (BPKP) Aktivitas Pendidikan: – Universitas Bina Nusantara (Lektor) – Sekolah Tinggi Akuntansi Negara Asosiasi Profesi: – Pendiri dan Anggota Dewan Pengawas Ikatan Audit Sistem Informasi Indonesia (IASII) – Assessor dan trainer Pemeringkatan e-Government Indonesia – Mantan Anggota Kelompok Kerja Evaluasi Teknologi Informasi (Pokja Evatik) pada Dewan Teknologi Informasi Nasional (Detiknas)
  • 3. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idMyCV Pendidikan Formal: – Master of Commerce (Information System) dari Curtin University of Technology (2000) – Magister Manajemen (Sistem Informasi) dari Universitas Bina Nusantara (1999) – Akuntan dari Sekolah Tinggi Akuntansi Negara (1996) Sertifikasi: – Ahli Pengadaan (2008, 2011)
  • 4. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPendahuluan Peningkatan akuntabilitas pengelolaan keuangan negara Peningkatan upaya pemberantasan korupsi Proses pemberantasan korupsi sering disalahgunakan oleh penegak hukum Pejabat publik enggan terlibat dalam urusan pengadaan barang/jasa Penyerapan anggaran instansi publik rendah Akuntabilitas sosial instansi publik menurun Peningkatan akuntabilitas pengadaan barang/jasa berbasis risiko
  • 5. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idTujuan Menguraikan proyek TI yang dikelola dengan baik Menguraikan konsep risk, control, dan governance dalam proyek TI Mempelajari masalah umum yang dialami oleh berbagai proyek TI Mempelajari apa yang harus dilihat untuk mengevaluasi/audit proyek TI
  • 6. www.bpkp.go.idModul Tata-Kelola Teknologi InformasiBAGIAN I:Titik Kritis Pengadaan Barang/JasaTeknologi Informasi Visi: "Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas." © 2011
  • 7. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idConstruction Project Life Cycle - Assurance Opportunities The Project Life Cycle What are Control Points? Initiation - Concept and Feasibility – Quality Assurance 1 - Needs analysis, strategy and alternatives Planning - Design – Quality Assurance 2 - Contracting Strategy, Success Factors, Risk Uncertainty, Cost and Contingency, Project Organizational Structure Procurement Evaluation the project schedule - what to look for Evaluating the Work Breakdown structure - what to look for Contracts and Contractual Relationships Recognizing Fraud Transition to Operations, Turnover, and Close-out Monitoring: Project Management - what to look forhttp://www.amideast.org/uae/professional-development/construction-project-auditing-quality-assurance
  • 8. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id Top 15 Pain Areas of a Software Project  Methodology and Standards  Risk analysis  Documentation  Team building  Customer requirements  Customer clarity in terms of understanding milestones and payments  Measurement of Overrun is in  Project Repository money terms immaterial of time  Learning from Past overrun (time is not measured in  Post implementation support terms of money)  Quality – man, methods, approach  Frequent Status review in a forum and deliverables  Status of project movement is  Version Control person based  Role clarity to project manager and team on sitehttp://itknowledgeexchange.techtarget.com/quality-assurance/top-15-pain-areas-in-a-software-project-lifecycle/
  • 9. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProcurement Process Penunjukan Penetapan RUP Pengumuman RUP PA/KPA Penetapan PPK/Pejabat Pemilihan Pengadaan/Pejaba Penetapan RPPBJ Penyedia t Penerima/Tim Barang/Jasa Teknis/Juri/Ahli Penandatanganan Penyerahan Hasil Penerbitan SPPBJ Kontrak Pekerjaan Sumber: Perpres 54/2010
  • 10. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemilihan Penyedia Barang/Jasa Persiapan Pelaksanaan Pemilihan• Perencanaan Pemilihan Penyedia • Pengumuman • Pemilihan Sistem Pengadaan • Penilaian Kualifikasi • Penetapan Metode Penilaian • Pendaftaran dan Pengambilan Kualifikasi Dokumen • Penyusunan Jadual Pemilihan • Pemberian Penjelasan • Penyusunan Dokumen • Pemasukan Dokumen Pengadaan Penawaran • Penetapan HPS • Evaluasi Penawaran • Penetapan Pengumuman Pemenang • Sanggahan Sumber: Perpres 54/2010
  • 11. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idStruktur Pengadaan PA/KPA PEJABAT PEJABAT PEJABAT PEJABAT PEMBUAT PENGADAAN PENERIMA PENERBIT SPM KOMITMENT PEJABAT PEJABAT PEMBUAT PEMBUAT KOMITMENT KOMITMENT
  • 12. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKesalahan Persepsi Pengadaan TI diberlakukan sama dengan Pengadaan Barang Biasa: – KAK hanya menyajikan daftar pengadaan barang Pengadaan Aplikasi sering dianggap pengadaan konsultan: – Ketika pembayaran konsultan selesai, aplikasi tidak jadi atau tidak bisa dioperasionalkan Konsultan perencanaan TI mengambil utuh spesifikasi dan harga dari prinsipal, tanpa rasionalisasi untuk kepentingan bidding Persepsi konsultan perencanaan TI yang berhak mendapat “fee” dari kontraktor
  • 13. Modul Pengadaan Barang/Jasa www.bpkp.go.idRisiko-Risiko pada Proses PengadaanTeknologi Informasi
  • 14. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idFramework Analisis: Tahapan IT Procurement 1. 2. PEMBENTUKAN 3. PEMBUATAN 4. PERENCANAAN PENGANGGARAN TIM REQUIREMENTS PENGADAAN 8. PENERBITAN RFP 6. PENENTUAN 5. PENERBITAN DAN LINGKUP 7. PENULISAN RFP RFI/RFQ PENGENDALIAN PENGADAAN PENGADAAN 10. PENGAJUAN 9. EVALUASI 11. PEMBAHASAN 12. PENYERAHAN DAN PERSETUJUAN PENAWARAN KONTRAK BARANG/JASA PEMENANG 14. OPERASI DAN 13. UJI-TERIMA DUKUNGAN TEKNIS http://www.storesonline.com/site/custerconsultants/ dengan modifikasi
  • 15. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPenganggaran
  • 16. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoTidak adanya IT Grand Design dan IT Inisiatif proyek bersifat sporadis danBlue Print di suatu instansi publik reaktif pada kebutuhan sesaatTOR untuk memperoleh anggaran TI Sustainability project tidak terjagatahun depan hanya memperhatikankebutuhan jangka pendek, yaitu satutahun ke depanPerencanaan dan penganggaran tidak Sustainability project tidak terjagamemperhatikan kebutuhan jangkamenengah dan panjang untukmemastikan sustainability sistem yangdiadakanKurang tajamnya pembahasan KAK Dijalankannya proyek yang sebenarnyaanggaran TI oleh instansi/unit tidak layak sejak awalperencanaan
  • 17. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoKAK tidak mengantisipasi interaksi antar Tidak adanya integrasi antar sistemsistem / inisiatif proyek TI di internalinstansi pemerintah atau antar instansipemerintahKAK penganggaran TI sangat sederhana, Kinerja proyek menjadi tidak terukurbeberapa lembar kertas saja, tanpadidukung oleh feasibility study terlebihdahuluKAK penganggaran TI disiapkan oleh Tidak adanya ownership dari internalvendor, bukan inisiatif dari internalinstansi
  • 18. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoKAK penganggaran TI diajukan oleh Pengendalian proyek dari unit pengelolasatuan kerja yang bukan bertanggung- TI tidak adajawab di bidang TIKAK penganggaran TI diajukan tanpa Unit pengelola TI menghindar untukkoordinasi terlebih dahulu dengan memelihara proyek setelah serah terimasatuan kerja yang bertanggung-jawab dibidang TI
  • 19. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPembentukanTim
  • 20. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoStruktur tim yang dibentuk terbatas pada 1. Proyek TI menjadi sekedar proyekPPK, panitia pengadaan, dan panitia pengadaanpenerima barang/jasa, tanpa struktur tim 2. Sistem tidak digunakan oleh useryang komprehensif, seperti adanya tim 3. Pengembangan tidak sesuai denganpengguna, tim pengembang, tim pengadaan, kebutuhan usertim penerima, tim teknis, dan seterusnyaPada struktur tim tidak terdapat orang Proyek mengulangi pekerjaan yang samayang memahami existing system yang pernah dilakukan sebelumnyaPenanggung-jawab bidang TI belum Tidak ada pengendalian investasi TIdinyatakan secara formal di suatuinstansi publikTim tidak didukung oleh anggaran yang Dapat mengakibatkan tim tidak dapatcukup yang diasumsikan akan bekerja dengan baik sebagaimenggunakan anggaran “penyeimbang” karena conflict ofkontraktor/konsultan yang termasuk interestdalam kontrak
  • 21. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPembuatanRequirements
  • 22. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoTim tidak mampu menyusun requirement Sistem yang di-supply oleh vendor tidakdocument, di mana yang baru tersedia sesuai dengan kebutuhan realadalah KAK untuk kepentinganpenganggaran dan digunakan langsungsebagai requirement documentRequirement document disusun oleh pihak 1. Sistem yang di-supply oleh vendor tidakyang tidak kompeten sesuai dengan kebutuhan real 2. Salah mengestimasi nilai suatu proyek
  • 23. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoRequirement document dikerjakan oleh 1. Tidak ada ownership dari internalkonsultan perencana, tanpa melibatkan 2. Estimasi pembiayaan tidak sesuaipihak internal dengan kebutuhan real 3. Requirement document yang dibuat konsultan perencana tidak sinkron dengan yang dibutuhkan penggunaPejabat pengguna berganti pada saat Kualitas pengendalian proyek menjadiproject berlangsung rendahTidak ada komunikasi pejabat pengguna Pejabat pengguna baru lepas tanganbaru dengan konsultan perencana dengan hasil proyekRequirement document hanya memuat Kebutuhan minimal tidak terpenuhiapa yang “diinginkan”, bukan apa yangharus dilakukan / yang dipersyaratkanharus di-supply olehkontraktor/konsultan
  • 24. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id Perencanaan Pengadaan
  • 25. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoPerencanaan pengadaan terbatas pada Belum direncanakan siapa melakukan apapenyusunan skedul (waktu) untuk setiap skedulPerencanaan pengadaan hanya dilakukan Saling mengecek di antara anggota panitiaoleh ketua/sekretaris panitia pengadaan pengadaan tidak berfungsitanpa melibatkan anggota pengadaanlainnyaRencana pengadaan sudah diumumkan, Kualitas barang/jasa yang diadakan rendahtetapi KAK belum disusun
  • 26. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPenerbitanRFI/RFQ RFI: Request for Information RFQ: Request for Qualification
  • 27. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoRFI tidak dilalui Tidak diketahui apakah produk yang akan diadakan masih diproduksi oleh prinsipal/pabrikanRFQ hanya dilakukan untuk pengadaan Proses evaluasi terlalu banyak memakandengan prakualifikasi. waktu yang dapat mengakibatkan tidak fokus karena kehabisan waktu dan enerji dengan peserta yang terlalu banyak
  • 28. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPenentuanLingkupPengadaan
  • 29. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoLingkup pengadaan pada KAK hanya dibatasi Persyaratan lain yang memungkinkanpada sistem atau perangkat implementasi sistem berjalan dengan baik tidak diperhatikan, seperti: Unit/Satuan kerja yang akan diimplementasikan; Fitur-fitur yang harus di-supply; Time frame dan tahapan-tahapan; Waktu tenaga ahli yang digunakan.
  • 30. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPenulisanRFP RFP: Request for Proposal
  • 31. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoPada pengadaan perangkat TI, KAK hanya Pada waktu implementasi, kontraktormemuat daftar jumlah perangkat dan menginstalasi/men-setup/meng-konfigurasispesifikasinya, tanpa menguraikan apa yang apa yang mampu dilakukan oleh tenaga ahliharus diinstall/disetup/dikonfigurasi oleh kontraktor saja, bukan apa yang sebenarnyakontraktor pada waktu perangkat di-supply dibutuhkan oleh pengguna/harus dilakukan dilakukan oleh kontraktor
  • 32. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoRFP (dalam bentuk KAK) tidak memuat: Implementasi sistem gagal karena tidak • Existing environment and constraints; seluruh kebutuhan diantisipasi • Business requirements and systems features; • Technical requirements and specifications.
  • 33. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPenerbitanDokumenKAK (RFP)
  • 34. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoKAK disampaikan terlambat, misalnya pada Kebutuhan tidak dapat disampaikan secarasaat pertengahan aanwijing komprehensif ke bidderKAK sudah “bocor” ke bidder sebelum Tidak terjadi kompetesi untuk mendapatkandiumumkan secara resmi barang/jasa yang berkualitasKAK disebarkan dalam waktu yang pendek 1. Peserta tidak bisa mempersiapkan penawaran dengan baik 2. Bidder menyampaikan dokumen penawaran teknis yang tidak komprehensifHPS detail disampaikan secara informal ke Harga penawaran yang diperoleh tidakbidder tertentu kompetitif
  • 35. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idEvaluasiPenawaran
  • 36. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoHasil evaluasi administrasi diberi bobot 1. Peserta digugurkan di tahap administrasipenilaian teknis 2. Mayoritas peserta tersaring bukan karena kemampuan teknisEvaluasi teknis dilakukan oleh Panitia Tidak diperoleh penyedia yang benar-benarPengadaan tanpa melibatkan tim teknis yang mampu mengerjakan proyekkompetenKriteria evaluasi teknis dibuat rumit Peserta yang terpilih bukan yang berkualitas
  • 37. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPengajuandanPersetujuanPemenang
  • 38. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoPPK tidak menelaah kembali pengumuman Tidak ada saling cek atas proses pengadaanpemenang oleh Panitia PengadaanIsi sanggahan menyangkut hal-hal yang Pengadaan terperangkap pada aspeksebenarnya di luar konteks regulasi formalitas
  • 39. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPembahasanKontrak
  • 40. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoKontrak tidak dibahas langsung antara 1. PPK tidak memahami substansiPPK dan penyedia pekerjaan yang harus dikendalikan 2. PPK kurang memahami konsekuensi pasal-pasal kontrakPPK tidak mempunyai tim yang Kualitas pengendalian terhadapmemonitor implementasi pasal-pasal penyedia rendahkontrakKontrak tidak pernah di-update, Kontrak tidak sesuai dengan kebutuhanmenggunakan template lama dan terjadi disputeTidak melibatkan ahli hukum dari Terjadi dispute di kemudian hariinternal ataupun lawyer ataspenyusunan kontrak yang kompleks
  • 41. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPenyerahanBarang/Jasa
  • 42. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoBarang/jasa dikirim tanpa adanya surat Kesulitan pelacakan barang/jasa yang sudahpengantar/DO di-supplyPersepsi bahwa laporan-laporan dan PPK tidak dapat mengendalikan prosesdokumentasi dianggap bukan keluaran dan pekerjaan penyediatidak diserahkan ke PPKSource code aplikasi tidak diserahkan ke PPK Developer berikutnya tidak bisa mengembangkan sistem dengan teknologi yang sudah diadakan.As built-drawing atau konfigurasi sistem Instansi publik kesulitan melakukantidak dicek kembali oleh pengguna untuk pengembangan atas sistem terpasangdibandingkan dengan kondisi lapangan
  • 43. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idUji-Terima
  • 44. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoTidak ada anggota Panitia Penerima yang Tidak terjaganya kualitas mutu pekerjaankompeten untuk melakukan uji-terima yang diharapkanPanitia Penerima hanya melakukan Panitia Penerima tidak memahamiformalitas penerimaan pekerjaan barang/jasa yang di-supplyUji-terima dilakukan langsung di sisi Pengguna terlalu banyak menghabiskanpengguna, tanpa dilalui terlebih dahulu di waktu untuk pengujiansisi internal kontraktorTidak ada konsultan pengawas yang Kualitas pekerjaan kurang terkendalimengawasi pekerjaan kontraktor
  • 45. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idOperasidanDukunganTeknis
  • 46. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idProses RisikoSistem/perangkat sudah dioperasikan tanpa Perangkat tidak dapat dioperasionalkanmelalui uji-terimaPengorganisasian pada saat pengoperasian Sistem tidak segera dioperasikantidak jelas dan tidak didukung anggaran yangmemadaiSupplier aplikasi membiayai kegiatan operasi Konflik kepentinganpada tahap awal (baik berupa SDM, ATK, dansejenisnya)Kontrak lupa mensyaratkan dukungan teknis Sustainability sistem tidak terjagadan pemeliharaan oleh penyedia (baik jasamaupun spare-part)Jangka waktu dukungan teknis dan Tranfer of knowledge tidak dapat berjalanpemeliharaan terlalu pendek (praktiknya 1 dengan baik, di mana pengadaan TI butuhtahun) waktu maturity 3 tahun
  • 47. www.bpkp.go.idModul Tata-Kelola Teknologi InformasiBAGIAN II:Tata-Kelola Teknologi Informasidi Sektor Publik Visi: "Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas." © 2011
  • 48. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idDefinisi “IT governance aims to align business and information technology strategies. Organizations adopt IT governance to ensure efficiency, decreased costs and increased control of IT infrastructures.”  Wessels dan Loggerenberg (2006)
  • 49. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idAcuan Tata-Kelola TIK PP 60/2008 KEPMENKOMINFO 41/PER/MEN.KOMINFO/11/2 007 PENGENDALIAN TIK INSTANSI PUBLIK
  • 50. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKepmenkominfo No. 41/PER/MEN.KOMINFO/11/2007 Perencanaan Sistem Monitoring dan Evaluasi Manajemen Belanja/Investasi Kebijakan Umum Realisasi Sistem Pengoperasian Sistem Pemeliharaan Sistem Proses Tata-Kelola Struktur dan Peran Tata-Kelola
  • 51. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPP No. 60/2008 K E K GPEMANTAUAN PENGENDALIAN INTERN E G I A U I T N A A INFORMASI DAN KOMUNIKASI U N I T N T A 2 I B N T 1 KEGIATAN PENGENDALIAN A PENILAIAN RISIKO LINGKUNGAN PENGENDALIAN
  • 52. www.bpkp.go.idModul Tata-Kelola Teknologi InformasiBAGIAN III:Audit / Evaluasi Tata-KelolaTeknologi Informasi di Sektor Publik Visi: "Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas." © 2011
  • 53. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idDefinisi Evaluasi: A systematic assessment of the operation and/or the outcomes of a programme or policy, compared to a set of explicit or implicit standards, as a means of contributing to the improvement of the programme or policy (C H Weiss, 1998) Evaluasi adalah rangkaian kegiatan membandingkan hasil atau prestasi suatu kegiatan dengan standar, rencana, atau norma yang telah ditetapkan, dan menentukan faktor-faktor yang mempengaruhi keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan. (Pasal 48 ayat 2 huruf c PP 60/2008) Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara independen, obyektif, dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah (Pasal 48 ayat 2 huruf a PP 60/2008)
  • 54. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idMonitoring and Evaluation Results Pyramid
  • 55. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idInfrastructure for Evaluation 7 What worked? 6 Has the project worked? Is there a problem? 2 1 What project would work? PROJECT 5 3 Is this project Will this working? project work? 4 Can we make this work?
  • 56. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPendekatan Evaluasi/Audit Pendekatan Pegi - Kemkominfo Pendekatan Pokja Evatik – Detiknas Pendekatan Lainya: ISACA, etc
  • 57. Modul Pengadaan Barang/Jasa www.bpkp.go.idPENDEKATAN PEGI
  • 58. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemeringkatan e-Government Indonesia1. Kebijakan2. Kelembagaan3. Infrastruktur4. Aplikasi Kebijakan 5 4.55. Perencanaan 4 3.5 3 2.5 2 Perencanaan 1.5 Kelembagaan 1 0.5 0 Aplikasi Infrastruktur
  • 59. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id1. Kebijakan Berkaitan dengan produk hukum dan dokumen-dokumen resmi yang memberi arah dan mendorong pemanfaatan TIK yang terdiri dari antara lain: – Proses Kebijakan – Visi dan Misi – Strategi Pemanfaatan TIK – Standar (laporan)‫‏‬ – Pedoman (misalnya keamanan informasi)‫‏‬ – Peraturan – Keputusan – Manajemen Risiko/Evaluasi/Audit
  • 60. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id2. Kelembagaan Berkaitan dengan keberadaan organisasi yang berwewenang dan bertanggung jawab terhadap pengembangan dan pemanfaatan TIK dengan indikator antara lain: – Keberadaan organisasi struktural yang lengkap (menjalankan fungsi CIO, dukungan teknis dan lain lain)‫‏‬ – Tupoksi yang jelas – Kelengkapan unit dan aparatur (jumlah, kompetensi dan status)‫‏‬ – Legalitas (dasar hukum)‫‏‬
  • 61. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id3. Infrastruktur Adanya sarana dan prasarana yang mendukung pemanfaatan TIK yang terdiri dari antara lain: – Peranti keras komputer – Peranti lunak – Jaringan komunikasi (LAN, WAN, Internet)‫‏‬ – “Service delivery channel” (web, telepon, sms dan lain lain)‫‏‬ – Fasilitas pendukung (AC, UPS, Genset, Access Control)‫‏‬
  • 62. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id4. Aplikasi Berkaitan dengan ketersediaan dan pemanfaatan peranti lunak aplikasi yang memenuhi kriteria a.l.: – Dapat bekerja sesuai dengan kondisi yang ada (ketersediaan infrastruktur, SDM dll.)‫‏‬ – Dapat bekerja memenuhi kebutuhan yang ada – Berfungsi mendukung proses kerja yang efisien yang memanfaatkan teknologi informasi secara maksimal – Membawa dampak positif bagi efisiensi dan kualitas layanan – Mampu mengikuti perubahan dari waktu ke waktu dengan mudah
  • 63. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id5. Perencanaan dan Penganggaran Berkaitan dengan unsur perencanaan dengan indikator antara lain: – Proses perencanaan untuk pengembangan dan pemanfaatan TIK yang dilakukan secara nyata – Kajian kebutuhan dan strategi penerapan TIK yang lengkap yang terdiri dari tujuan, manfaat, gambaran kondisi saat ini, pemilihan teknologi, kebutuhan sumber daya, pendekatan, penentuan prioritas, antisipasi kebutuhan masa yad. dan biaya – Pengambilan keputusan dan realisasi pengembangan mengacu pada rencana pengembangan – Dukungan penganggaran
  • 64. Modul Pengadaan Barang/Jasa www.bpkp.go.idPENDEKATAN POKJA EVALUASI TIKDETIKNAS
  • 65. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id If you dont measure it, you cant manage it from W. Edwards Deming to Peter DruckerSlide 65 Kelompok Kerja Evaluasi TIK DETIKNAS
  • 66. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idStruktur Kuesioner  Pendahuluan (Latar belakang, Struktur Kuesioner, Petunjuk Pengisian)  Informasi Umum (Nama Lembaga/Kegiatan dan Pihak-Pihak Terkait)  Isian Kuesioner  Riwayat DokumenSlide 66 Kelompok Kerja Evaluasi TIK DETIKNAS
  • 67. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIsian Kuesioner A. Struktur dan Peran Tata Kelola TIK B. Kebijakan Umum Tata Kelola TIK C. Proses Tata Kelola TIK C.1. Perencanaan Sistem TIK C.2. Manajemen Belanja/Investasi TIK C.3. Realisasi Sistem TIK C.4. Pengoperasian Sistem TIK C.5. Pemeliharaan Sistem TIK D. Monitoring dan Evaluasi Tata Kelola TIK E. Manajemen Kepatuhan Tata Kelola TIK
  • 68. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPENDAHULUANKuesioner Evaluasi Pengendalian Intern TIK
  • 69. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idLatar Belakang Kuesioner Evaluasi Pengendalian Intern TIK disusun sebagai metodologi yang digunakan oleh Kelompok Kerja Evaluasi TIK Nasional dalam melakukan evaluasi atas kelayakan perancangan dan implementasi pengendalian intern dalam tata kelola TIK di instansi pemerintah. Kuesioner ini dapat pula digunakan oleh seluruh pihak internal maupun eksternal instansi pemerintah yang melakukan evaluasi atas tata kelola TIK pada instansi pemerintah di tingkat Pemerintah Pusat (Kementerian/Lembaga) serta di tingkat Pemerintah Daerah (Propinsi dan Kabupaten/Kota).
  • 70. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idDasar Hukum Keputusan Presiden Republik Indonesia nomor 20 tahun 2006 tentang Dewan Teknologi Informasi dan Komunikasi Nasional (Detiknas). Peraturan Menkominfo nomor 41/PER/MEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Keputusan Menkominfo selaku Ketua Harian Dewan Teknologi Informasi dan Komunikasi Nasional Nomor 19A/KEP/M/KOMINFO/01/2009 tentang Pembentukan Kelompok Kerja Evaluasi Teknologi Informasi dan Komunikasi Dewan Teknologi Informasi dan Komunikasi Nasional. PP Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah
  • 71. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPetunjuk Pengisian Pengisian kuesioner dilakukan dengan memberikan tanda pada kolom “Ya” atau “Tidak”, di mana: – Jika dijawab “Ya” maka kolom “Keterangan” diisi dengan bukti-bukti yang terkait dengan rancangan/implementasi pengendalian tersebut, dan – Jika dijawab “Tidak” maka kolom “Keterangan” diisi dengan penjelasan kendala yang mengakibatkan pengendalian tersebut belum dapat dilaksanakan. Seluruh kuesioner ini dirancang dengan pendekatan positif, di mana seluruh jawaban “Ya” menunjukkan kelayakan pengendalian intern, dan seluruh jawaban “Tidak” menunjukkan kelemahan pengendalian intern TIK yang terkait.
  • 72. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian AStruktur dan PeranTata Kelola TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 73. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idA. Struktur dan Peran Tata Kelola TIK Penetapan struktur tata kelola dimaksudkan untuk memastikan kapasitas kepemimpinan yang memadai, dan hubungan antar satuan kerja yang sinergis dalam perencanaan, penganggaran, realisasi, operasi, dan evaluasi implementasi sistem TIK di pemerintahan. Deskripsi peran yang dimaksud di sini adalah peran-peran yang mempunyai kaitan langsung dengan mekanisme tata kelola TIK. Struktur Tata Kelola TIK terdiri dari:  Dewan TIK Nasional *  CIO Nasional *  Eksekutif Institusi  CIO Institusi  Komite TIK Institusi  Satuan Kerja Pengelola TIK Institusi  Satuan Kerja Pemilik Proses Bisnis Institusi * Tidak termasuk lingkup evaluasi dalam Kuesioner ini
  • 74. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idEksekutif Institusi Apakah terdapat kebijakan mengenai peran Eksekutif Institusi yang mencakup hal-hal berikut ini: – Tanggung jawab atas seluruh implementasi TIK di institusinya? – Tanggung jawab atas arahan strategis dan evaluasi keseluruhan dari inisiatif TIK di institusinya?
  • 75. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idCIO Institusi Apakah terdapat kebijakan mengenai peran CIO Institusi yang mencakup hal-hal berikut ini: – Koordinasi perencanaan dan pelaksanaan inisiatif dan portofolio TIK institusi? – Review berkala atas pelaksanaan implementasi TIK di institusinya?
  • 76. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKomite TIK Institusi Apakah terdapat kebijakan mengenai peran Komite TIK Institusi yang mencakup hal-hal berikut ini: – Sinergi dan integrasi Rencana TIK institusi yang mengakomodir kepentingan seluruh satuan kerja? – Sinergi rencana belanja/investasi satuan kerja untuk memastikan tidak adanya tumpang tindih inisiatif TIK? – Review atas evaluasi berkala implementasi TIK yang dilakukan oleh CIO untuk memastikan keselarasan dengan rencana semula?
  • 77. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idSatuan Kerja Pengelola TIK Institusi Apakah terdapat kebijakan mengenai peran Satuan Kerja Pengelola TIK Institusi yang mencakup hal-hal berikut ini: – Tanggung jawab atas implementasi sistem TIK, sesuai dengan spesifikasi kebutuhan yang diberikan oleh Satuan Kerja Pemilik Proses Bisnis? – Tanggung jawab atas keberlangsungan dan kualitas aspek teknis sistem TIK dalam tahap operasional? – Tanggung jawab atas pemeliharaan sumber daya TIK institusi?
  • 78. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idSatuan Kerja Pemilik Proses Bisnis Institusi Apakah terdapat kebijakan mengenai peran Satuan Kerja Pemilik Proses Bisnis Institusi yang mencakup hal-hal berikut ini: – Tanggung jawab atas pendefinisian kebutuhan dalam implementasi inisiatif TIK? – Pemberian masukan atas implementasi TIK khususnya kualitas operasional sistem TIK?
  • 79. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idContoh Struktur Tata Kelola TIK Sumber: Materi Pelatihan “Tata‫‏‬Kelola dan Audit atas e- Government”‫‏‬dari Audittindo Education.
  • 80. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idContoh Struktur Tata Kelola TIK Sumber: Materi Pelatihan “Tata‫‏‬Kelola dan Audit atas e- Government”‫‏‬dari Audittindo Education.
  • 81. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idContoh Struktur Tata Kelola TIK Sumber: Materi Pelatihan “Tata‫‏‬Kelola dan Audit atas e- Government”‫‏‬dari Audittindo Education.
  • 82. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian BKebijakan UmumTata Kelola TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 83. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idB. Kebijakan Umum Tata Kelola TIK Kebijakan umum tata kelola TIK merupakan pernyataan yang akan menjadi arahan dan batasan bagi setiap proses tata kelola TIK. Kebijakan ini berlaku untuk seluruh proses tata kelola TIK. Kebijakan Umum Tata Kelola TIK terdiri dari: – Keselarasan Strategis Organisasi dan TIK – Manajemen Risiko – Manajemen Sumber Daya: • Sumber Daya Finansial • Sumber Daya Informasi • Sumber Daya Teknologi
  • 84. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeselarasan Strategis Organisasi dan TIK Apakah terdapat kebijakan umum tata kelola TIK di institusi mengenai keharusan keselarasan strategi TIK dengan strategis organisasi yang mencakup keselarasan: – Arsitektur atau inisiatif TIK dengan visi dan tujuan organisasi? – Tujuan TIK dengan tujuan organisasi, di mana setiap tujuan TIK mempunyai referensi tujuan organisasi? – Arsitektur TIK (arsitektur informasi, arsitektur aplikasi, dan arsitektur infrastruktur) dengan arsitektur bisnis organisasi? – Eksekusi inisiatif TIK dengan rencana strategis organisasi?
  • 85. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Risiko Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Risiko yang mencakup hal-hal berikut ini: – Prioritas risiko dalam pengelolaan TIK oleh institusi pemerintahan, mencakup risiko proyek, risiko atas informasi, dan risiko atas keberlangsungan layanan? • Risiko atas proyek, mencakup kemungkinan tertundanya penyelesaian proyek TIK, biaya yang melebihi dari perkiraan atau hasil akhir proyek tidak sesuai dengan spesifikasi yang telah ditentukan di awal? • Risiko atas informasi, mencakup akses yang tidak berhak atas aset informasi, pengubahan informasi oleh pihak yang tidak berhak dan penggunaan informasi oleh pihak yang tidak punya hak untuk keperluan yang tidak sebagaimana mestinya? • Risiko atas keberlangsungan layanan, mencakup kemungkinan terganggunya ketersediaan (availabilitas) layanan TIK atau layanan TIK sama sekali tidak dapat berjalan?
  • 86. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Risiko (lanjt.) Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Risiko yang mencakup hal-hal berikut ini: – Pengendalian atas risiko secara umum mencakup: • Implementasi Tata Kelola Proyek untuk setiap proyek TIK yang diimplementasikan oleh instansi? • Implementasi Tata Kelola Keamanan di manajemen TIK dan seluruh sistem TIK yang berjalan, khususnya untuk meminimalkan risiko atas informasi dan keberlangsungan layanan?
  • 87. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Risiko (lanjt.) Siklus Manajemen Risiko  Siklus Manajemen Risiko ini secara umum telah diadopsi dalam PP 60/2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP) Sumber: COSO Enterprise Risk Management
  • 88. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Sumber Daya Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Sumber Daya yang mencakup hal-hal berikut ini: – Manajemen sumber daya dalam Tata Kelola TIK yang ditujukan untuk mencapai efisiensi dan efektivitas penggunaan sumber daya TIK, yang melingkupi sumber daya finansial, informasi, teknologi, dan SDM?
  • 89. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Sumber Daya - Finansial Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Sumber Daya yang mencakup hal-hal berikut ini: – Ketercapaian efisiensi finansial dicapai melalui: • Pemilihan sumber-sumber dana yang tidak memberatkan untuk pengadaan TIK? • Kelayakan belanja TIK secara finansial harus bisa diukur secara rasional dengan menggunakan metoda-metoda penganggaran modal? • Dijalaninya prosedur pengadaan yang efisien dengan fokus tetap pada kualitas produk dan jasa TIK? • Prioritas anggaran diberikan untuk proyek TIK yang bermanfaat untuk banyak pihak, berbiaya rendah, dan cepat dirasakan manfaatnya? • Perhitungan manfaat dan biaya harus memasukkan unsur-unsur yang bersifat tangible dan terukur maupun yang bersifat intangible dan relatif tidak mudah diukur?
  • 90. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Sumber Daya – Finansial (lanjt.) Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Sumber Daya yang mencakup hal-hal berikut ini: – Ketercapaian efisiensi finansial dicapai melalui: • Efisiensi finansial harus mempertimbangkan biaya kepemilikan total (Total Cost of Ownership/TCO) yang bisa meliputi harga barang/jasa yang dibeli, biaya pelatihan karyawan, biaya pemeliharaan, biaya langganan (subscription/license fee), dan biaya-biaya yang terkait dengan pemerolehan barang/jasa yang dibeli? • Efisiensi finansial bisa mempertimbangkan antara keputusan membeli atau membuat sendiri sumber daya TIK. Selain itu juga bisa mempertimbangkan antara sewa (outsourcing) dengan memiliki sumber daya TIK baik dengan membuat sendiri maupun membeli?
  • 91. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Sumber Daya - Informasi Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Sumber Daya yang mencakup hal-hal berikut ini: – Ketercapaian efisiensi dan efektivitas sumber daya informasi dicapai melalui: • Penyusunan arsitektur informasi yang mencerminkan kebutuhan informasi, struktur informasi dan pemetaan hak akses atas informasi oleh peran-peran yang ada dalam manajemen organisasi? • Identifikasi kebutuhan perangkat lunak aplikasi yang sesuai dengan spesifikasi arsitektur informasi, yang memungkinkan informasi diolah dan disampaikan kepada peran yang tepat secara efisien?
  • 92. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Sumber Daya - Teknologi Apakah terdapat kebijakan umum tata kelola TIK mengenai Manajemen Sumber Daya yang mencakup hal-hal berikut ini: – Efisiensi penggunaan teknologi, yang mencakup platform aplikasi, software sistem, infrastruktur pemrosesan informasi, dan infrastruktur jaringan komunikasi, yang dicapai melalui konsep “mekanisme shared service”, baik di internal institusi pemerintahan atau antarinstitusi pemerintahan, yang meliputi: • Aplikasi, yaitu software aplikasi yang secara arsitektur teknis dapat di-share penggunaannya karena kesamaan kebutuhan fitur fungsionalitas, perbedaan hanya sebatas di aspek konten informasi? • Infrastruktur Komunikasi, termasuk jaringan komputer/komunikasi dan koneksi internet? • Data, yaitu keseluruhan data yang menjadi konten informasi. Pengelolaan data dilakukan dengan sistem Data Center/Disaster Recovery Center (DC/DRC)?
  • 93. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian CProses Tata Kelola TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 94. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idC. Proses Tata Kelola TIK C.1. Perencanaan Sistem TIK C.2. Manajemen Belanja/Investasi TIK C.3. Realisasi Sistem TIK C.4. Pengoperasian Sistem TIK C.5. Pemeliharaan Sistem TIK
  • 95. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian C.1Proses Tata Kelola:Perencanaan Sistem TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 96. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan Sistem TIK Perencanaan Sistem merupakan proses yang ditujukan untuk menetapkan visi, arsitektur TIK dalam hubungannya dengan kebutuhan organisasi dan rencana realisasi atas implementasi visi dan arsitektur TIK tersebut. Rencana TIK yang telah disusun akan menjadi referensi bersama bagi seluruh satuan kerja dalam sebuah institusi atau referensi bersama beberapa institusi yang ingin mensinergikan inisiatif TIK-nya. Perencanaan Sistem TIK terdiri dari:  Arsitektur Informasi  Arsitektur Aplikasi  Arsitektur Infrastruktur Teknologi  Organisasi dan Manajemen  Pendekatan dan Roadmap Implementasi
  • 97. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan Sistem TIK Apakah terdapat kebijakan mengenai perencanaan sistem TIK? Jika terdapat kebijakan mengenai perencanaan sistem TIK, apakah kebijakan tersebut mengharuskan sinkronisasi & integrasi perencanaan TIK yang dilakukan sejak di level internal institusi maupun hubungan antar institusi? Apakah Rencana Induk TIK lima tahunan institusi telah memperoleh persetujuan akhir dari Komite TIK Institusi serta disahkan secara legal dan formal oleh Eksekutif Institusi? Apakah penyusunan Rencana Induk TIK lima tahunan yang menjadi dasar dalam pelaksanaan inisiatif TIK tahunan minimal telah mencakup hal-hal berikut ini: – Arsitektur Informasi? – Arsitektur Aplikasi? – Arsitektur Infrastruktur Teknologi? – Organisasi dan Manajemen? – Pendekatan dan Roadmap Implementasi?
  • 98. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan - Arsitektur Informasi Apakah Rencana Arsitektur Informasi yang ada telah: – Mencakup definisi lingkup kebutuhan informasi yang dipetakan ke dalam proses bisnis organisasi terkait? – Mencakup informasi terstruktur (data mart, database, database tabel, pertukaran data) dan informasi tidak terstruktur (gambar, video, file dokumen, dsb.)? – Mencakup penetapan klasifikasi ke dalam kelas-kelas data, pemetaan kepemilikan data, dan pendefinisian data dictionary, dan syntax rules? – Menetapkan klasifikasi level keamanan data untuk setiap klasifikasi kelas data melalui penetapan kriteria yang tepat sesuai dengan kebutuhan organisasi? – Mampu menyediakan satu referensi model informasi organisasi, yang menjadi rujukan seluruh desain software aplikasi di tahap selanjutnya, dalam rangka mengurangi tingkat redundansi informasi?
  • 99. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan - Arsitektur Aplikasi Apakah Rencana Arsitektur Aplikasi yang ada telah: – Memberikan peta tentang aplikasi apa saja yang dibutuhkan sesuai dengan karakteristik konteks organisasi dan manajemen, misalnya, pelayanan publik, manajemen internal, pendukung manajemen, atau data warehouse dan BI? – Menerapkan pendekatan “One Stop Window” untuk setiap tipe pelanggan institusi pemerintah, terutama untuk di kementerian/lembaga, propinsi dan kabupaten/kota? – Mampu merealisasikan dukungan atas proses bisnis, di mana setiap aplikasi selalu akan berkorelasi terhadap sebuah proses bisnis tertentu yang didukungnya? – Mencakup definisi lingkup aplikasi beserta persyaratan dan spesifikasi desain apa saja yang dibutuhkan oleh organisasi untuk mengakomodasi seluruh level proses bisnis organisasi seperti: transaksional, operasional, pelaporan, analisa, monitoring dan evaluasi, serta perencanaan?
  • 100. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan - Arsitektur Aplikasi (lanjt.) Dalam hal kategorisasi aplikasi telah dilakukan, apakah kategori secara umum berikut ini dipenuhi? – Pelayanan Publik – Aplikasi yang dikhususkan untuk memberikan pelayanan kepada warga & komunitas bisnis, baik layanan informasi, komunikasi maupun transaksi. – Manajemen Internal – Aplikasi yang dikhususkan untuk mengelola proses bisnis standar manajemen seperti keuangan, kepegawaian, pengelolaan aset, pengelolaan program kerja, monitoring kinerja, dan sejenisnya. – Pendukung Manajemen – Aplikasi yang sifatnya mendukung operasional manajemen sehingga proses-proses bisnis standar manajemen dan pelayanan kepada publik dapat optimal, mencakup di antaranya fungsional informasi, komunikasi dan kolaborasi. – Datawarehouse & Business Intelligence – Aplikasi yang digunakan untuk mengelola laporan dan fasilitas analisa data multidimensional
  • 101. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idArsitektur Infrastruktur Teknologi Apakah Rencana Arsitektur Infrastruktur Teknologi, jika ada, telah: – Mencakup topologi, konfigurasi, dan spesifikasi infrastruktur teknologi beserta pendekatan siklus hidupnya untuk memastikan infrastruktur teknologi yang digunakan organisasi selalu sesuai dengan kebutuhan? – Mencakup jaringan komunikasi, perangkat pemrosesan informasi (server, workstation dan peripheral pendukungnya), software system (sistem operasi, database RDBMS), dan media penyimpanan data? – Mengutamakan mekanisme shared-services, untuk meningkatkan efisiensi belanja TIK, atas aspek-aspek sumberdaya berikut ini: • Infrastruktur Komunikasi, termasuk jaringan komputer/komunikasi dan koneksi internet? • Infrastruktur penyimpanan data (Data Center) dan DRC (Disaster Recovery Center)?
  • 102. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan - Organisasi dan Manajemen Apakah Rencana Organisasi dan Manajemen, jika ada, telah: – Mencakup struktur organisasi dan deskripsi peran, serta kebijakan dan prosedur untuk menjalankan seluruh proses dalam manajemen TIK? – Mencakup identifikasi struktur organisasi pengelola yang akan melakukan operasional harian? – Mencakup pendefinisian prosedur teknis dengan prioritas pada bidang: • Realisasi Sistem? • Operasi Sistem? • Pemeliharaan Sistem?
  • 103. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPendekatan & Roadmap Implementasi Apakah Rencana Pendekatan dan Roadmap Implementasi, jika ada, telah: – Mencakup pola pendekatan yang digunakan untuk memastikan implementasi seluruh arsitektur beserta organisasi dan manajemen, didukung oleh roadmap implementasi yang mendeskripsikan tahapan dan target implementasi dalam sebuah durasi waktu tertentu? – Menyertakan skenario Tata Kelola Proyek untuk setiap proyek inisiatif TIK yang direncanakan, untuk memastikan proyek-proyek inisiatif TIK dapat diselesaikan tepat waktu, tepat sasaran, dan tepat anggaran? – Menyertakan proyeksi jadwal benefit yang diharapkan dapat terealisasi (benefit realization schedule), dengan memperhatikan hal-hal berikut ini: • Metrik untuk mengukur manfaat dikembangkan melalui suatu proses yang terstrukur? • Memungkinkan untuk dilakukan analisis atas alokasi dari manfaat TIK dalam jangka waktu tertentu?
  • 104. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPendekatan & Roadmap Implementasi (lanjt.) Apakah Rencana Pendekatan dan Roadmap Implementasi, jika ada, telah: – Mempunyai roadmap implementasi yang didasarkan pada analisa kesenjangan arsitektur (informasi, aplikasi dan infrastruktur teknologi) serta kesenjangan manajemen dan organisasi? – Terdiri dari portofolio program implementasi, yang dapat terdiri dari beberapa portofolio proyek untuk setiap programnya, penetapan peringkat prioritas portofolio, dan pemetaan sesuai dengan durasi waktu yang ditargetkan? – Menetapkan peringkat prioritas portofolio proyek inisiatif TIK dilakukan setidaknya berdasarkan faktor level anggaran yang dibutuhkan, kompleksitas sistem, dan besar usaha yang diperlukan?
  • 105. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPerencanaan Sistem TIK Apakah Komite TIK Institusi atau pihak lain telah melakukan review secara reguler atas kekinian dan kesesuaian Rencana Induk TIK institusi, serta indikator keberhasilan keselarasan strategis dan efisiensi teknis berikut ini: – Tingkat konsistensi dengan Rencana TIK terkait? – Tingkat kontribusi tujuan TIK dalam mendukung tujuan organisasi secara umum, dalam perspektif desain? – Tingkat kepuasan stakeholders atas Rencana TIK yang sudah disusun, dalam perspektif akomodasi kepentingan? – Tingkat kesesuaian proyek-proyek TIK yang sudah/sedang berjalan dibandingkan dengan yang direncanakan, dan kesahihan dasar pengambilan keputusan jika terjadi deviasi khususnya untuk proyek-proyek TIK yang kritikal/strategis? – Penurunan tingkat redundansi sistem akibat kurang optimalnya implementasi mekanisme shared-services arsitektur teknis?
  • 106. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian C.2Proses Tata Kelola:Manajemen Belanja/Investasi TIKKuesioner Evaluasi Pengendalian Intern TIK
  • 107. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idC.2. Manajemen Belanja/Investasi TIK Manajemen Belanja/Investasi TIK merupakan proses pengelolaan anggaran untuk keperluan belanja/investasi TIK, sesuai dengan mekanisme proyek inisiatif TIK yang telah ditetapkan sebelumnya dalam Portofolio Proyek Inisiatif TIK dan Roadmap Implementasi. Realisasi belanja/investasi ini dilakukan melalui mekanisme penganggaran tahunan.
  • 108. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Belanja/Investasi TIK (lanjt.) Apakah terdapat kebijakan mengenai manajemen belanja/investasi TIK? Jika terdapat kebijakan mengenai manajemen belanja/investasi TIK, apakah: – Penganggaran TIK sudah mencakup seluruh tipe belanja/investasi TIK yang mempunyai hubungan konsekuensi langsung dengan anggaran, termasuk juga pinjaman atau hibah, jika mempunyai konsekuensi langsung dengan anggaran? – Pengelolaan belanja/investasi TIK telah dilakukan melalui mekanisme penyusunan Rencana Kegiatan dan Anggaran institusi, seiring dengan bidang-bidang lainnya, sesuai dengan regulasi yang berlaku? – Komite TIK Institusi atau pihak lain telah melakukan review untuk memastikan tidak adanya redundansi proyek TIK dan memberikan persetujuan atas Rencana Kegiatan dan Anggaran TIK yang diajukan oleh Satuan Kerja Pengelola TIK atau Satuan Kerja Pemilik Proses Bisnis?
  • 109. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Belanja/Investasi TIK (lanjt.) Apakah penganggaran TIK sudah memisahkan anggaran belanja TIK ke dalam tipe pengeluaran (expenditures) berikut ini: – Pengeluaran Operasi (Operational Expenditure = OpEx) yang mencakup seluruh pengeluaran TIK dalam rangka menjaga tingkat dan kualitas layanan, seperti biaya gaji dan lembur, biaya sewa alat, biaya overhead, dan Alat Tulis Kantor? – Pengeluaran Modal (Capital Expenditure = CapEx) yang mencakup seluruh investasi dalam bentuk aset/infrastruktur TIK yang diperlukan untuk memberikan, memperluas dan/atau meningkatkan kualitas layanan publik. Nilai buku aset akan disusut (depresiasi) selama umur ekonomisnya yang wajar (kecuali tanah), seperti pembangunan atau pembelian jaringan, server dan PC, perangkat lunak, bangunan, dan tanah?
  • 110. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Belanja/Investasi TIK (lanjt.) Apakah pemilihan pola penganggaran TIK (CapEx dan OpEx) sudah mempertimbangkan faktor-faktor sebagai berikut ini: – Umur ekonomis sumber daya TIK – Pengeluaran TIK yang mempunyai umur ekonomis lebih dari satu tahun telah dipertimbangkan untuk menggunakan CapEx? – Ketersediaan anggaran – Untuk institusi yang mempunyai anggaran TIK terbatas telah menggunakan pola OpEx (misal sewa atau outsourcing)? – Tingkat kecepatan keusangan (obsoleteness) – Untuk teknologi yang cepat usang dengan tingkat kembalian yang tidak jelas atau berjangka panjang, telah menggunakan pola OpEx? – Nilai strategis TIK – Sumber daya TIK yang bernilai strategis tinggi (kerahasiaan, nilai ekonomi, kedaulatan negara, dan hal lain yang sejenis) telah menggunakan pola CapEx?
  • 111. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Belanja/Investasi TIK (lanjt.) Apakah pemilihan pola penganggaran TIK (CapEx dan OpEx) sudah mempertimbangkan faktor-faktor sebagai berikut ini: – Karakteristik Proyek (skala, risiko, dll) – Proyek TIK dengan skala (magnitude) besar yang mempunyai risiko besar telah diminimalkan dengan menggunakan pola OpEx? – Urgensi - Sumber daya TIK yang membutuhkan ketersediaan dalam waktu singkat telah menggunakan OpEx, seperti dengan cara sewa atau outsourcing? – Ketersediaan Pemasok – Ketersediaan pemasok telah menjadi ukuran pemilihan berbasis CapEx atau OpEx?
  • 112. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Belanja/Investasi TIK (lanjt.) Apakah pemilihan pola penganggaran TIK (CapEx dan OpEx) sudah mempertimbangkan faktor-faktor sebagai berikut ini: – Ketersediaan Sumber Daya - Untuk institusi yang tidak memiliki SDM TIK yang memadai telah memiliih pendekatan OpEx (sewa atau outsourcing)? – Capital Budgeting - Pembuatan keputusan belanja atau investasi TIK menggunakan perhitungan capital budgeting, seperti Internal Rate of Return (IRR), Net Present Value (NPV), Payback Period, Cost-Benefit Ratio, atau Return on Investment (RoI)? – Visi dan Misi Institusi – Apakah keputusan belanja/investasi TIK telah berdasarkan visi dan misi institusi?
  • 113. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Belanja/Investasi TIK (lanjt.) Apakah proses manajemen biaya institusi telah menyediakan informasi yang cukup untuk melakukan identifikasi dan penilaian (kualitatif dan kuantitatif) manfaat dari solusi TIK, layanan TIK dan pengelolaan sumberdaya TIK? – Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan manajemen belanja/investasi TIK berikut ini: • Digunakannya sumber-sumber pendanaan yang efisien? • Kesesuaian realisasi penyerapan anggaran TIK dengan realisasi pekerjaan yang direncanakan? • Diperolehnya sumber daya TIK yang berkualitas dengan melalui proses belanja/investasi TIK yang efisien, cepat, bersih dan transparan?
  • 114. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian C.3Proses Tata Kelola:Realisasi Sistem TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 115. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idC.3. Realisasi Sistem TIK Realisasi sistem TIK merupakan proses yang ditujukan untuk mengimplementasikan perencanaan TIK, mulai dari pemilihan sistem TIK sampai dengan evaluasi pasca implementasi. Realisasi Sistem TIK terdiri dari: – Identifikasi dan Pemilihan Alternatif Sistem – Realisasi Software Aplikasi – Realisasi Infrastruktur Teknologi – Realisasi Pengelolaan Data
  • 116. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIdentifikasi dan Pemilihan Alternatif Sistem Apakah terdapat kebijakan mengenai proses identifikasi dan pemilihan alternatif sistem? Jika terdapat kebijakan mengenai proses identifikasi dan pemilihan alternatif sistem, apakah: – Pemilihan alternatif sistem atau proses pemilihan sistem dari alternatif sistem yang ada telah dilakukan dengan menggunakan referensi hasil studi kelayakan? – Manajemen TIK telah melakukan studi kelayakan yang setidaknya terdiri dari aktivitas berikut ini: • Penentuan kebutuhan secara fungsional proses bisnis dan persyaratan-persyaratan teknikal? • Penentuan manfaat (benefit) apa yang hendak dicapai dengan keberadaan sistem yang akan dikembangkan? • Analisis risiko terkait dengan proses bisnis?
  • 117. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIdentifikasi dan Pemilihan Alternatif Sistem (lanjt.) Jika terdapat kebijakan mengenai proses identifikasi dan pemilihan alternatif sistem, apakah: – Untuk sistem TIK berskala besar, strategis, dan berpotensi mempengaruhi sistem- sistem TIK sebelumnya, pemilihan alternatif sistem TIK telah dilakukan melalui mekanisme Proof of Concept (POC), di mana: • Hanya sistem-sistem TIK yang dinyatakan lulus POC yang dapat mengikuti proses formal seleksi atau tender? • Pelaksanaan POC telah dilakukan berdasarkan skenario teknis yang disetujui oleh pihak institusi pemerintah dan vendor terkait? – Pelaksanaan pemilihan sistem dari alternatif yang ada telah dilaksanakan berdasarkan aturan pemerintah Indonesia terkait dengan pengadaan barang dan jasa?
  • 118. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIdentifikasi dan Pemilihan Alternatif Sistem (lanjt.) Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan realisasi sistem TIK berikut ini: – Peningkatan jumlah realisasi sistem yang tidak mengalami backlog (tertunda dan mendesak untuk segera diselesaikan)? – Persentase realisasi sistem yang disetujui oleh pemilik proses bisnis dan manajemen TIK? – Jumlah realisasi software aplikasi yang diselesaikan tepat waktu, sesuai dengan spesifikasi dan selaras dengan arsitektur TIK? – Jumlah realisasi software aplikasi tanpa permasalahan integrasi selama implementasi? – Jumlah realisasi software aplikasi yang konsisten dengan perencanaan TIK yang telah disetujui? – Jumlah software aplikasi yang didukung dokumentasi memadai dari yang seharusnya? – Jumlah implementasi software aplikasi yang terlaksana tepat waktu? – Penurunan jumlah downtime infrastruktur?
  • 119. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Software Aplikasi Apakah terdapat kebijakan mengenai proses pengembangan dan/atau pengadaan (akuisisi) software aplikasi yang mengharuskan penggunaan metodologi System Development Life Cycle (SDLC)? – Jika kebijakan telah mengharuskan penggunaan metodologi SDLC, apakah telah diterapkan pada hal-hal berikut: • Penerjemahan kebutuhan/persyaratan bisnis ke dalam spesifikasi desain? • Penyusunan desain detail dan teknikal software aplikasi telah mencakup: – Pengendalian Aplikasi (Application Control) yang memungkinkan setiap pemrosesan dalam software aplikasi akurat, lengkap, tepat waktu, terotorisasi dan dapat diaudit? – Pengendalian Keamanan Aplikasi (Application Security Control) yang dapat memungkinkan terpenuhinya aspek kerahasiaan (confidentiality), ketersediaan (availability), dan integritas (integrity)?
  • 120. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Software Aplikasi (lanjt.) Jika telah menggunakan metodologi SDLC, apakah telah diterapkan pada hal-hal berikut : – Implementasi desain detail dan teknikal ke dalam kode program (coding)? – Otorisasi atas fitur pemrosesan sistem informasi dan modifikasi program? – Manajemen perubahan persyaratan/kebutuhan? – Pelaksanaan penjaminan mutu (Quality Assurance)? – Pengujian dan persetujuan atas seluruh perangkat lunak yang baru dan yang dimutakhirkan?
  • 121. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Software Aplikasi (lanjt.) Jika telah menggunakan metodologi SDLC, apakah telah diterapkan pada hal-hal berikut : – Uji coba (testing) mencakup: • Unit Testing, System Testing, Integration Testing? • User Acceptance Test (UAT)? – Instalasi dan akreditasi? – Prosedur untuk memastikan terselenggaranya pengendalian atas kepustakaan perangkat lunak?
  • 122. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Software Aplikasi (lanjt.) Apakah metoda SDLC juga diimplementasikan atas upgrade atas software aplikasi yang ada (existing) yang bersifat utama (mayor) yang menghasilkan perubahan signifikan atas desain dan fungsionalitas yang ada (existing)? Apakah setiap software aplikasi yang direalisasikan telah disertai dengan training dan/atau transfer pengetahuan kepada pengguna dan administrator sistem? Apakah setiap software aplikasi yang direalisasikan telah disertai oleh: – Dokumentasi hasil aktivitas tahapan-tahapan dalam SDLC? • Manual/Petunjuk Aplikasi yang terdiri dari: • Manual Pengguna? • Manual Operasi? • Manual Dukungan Teknis • Manual Administrasi? • Materi Alih Pengetahuan? • Materi Training?
  • 123. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Infrastruktur Teknologi Apakah terdapat kebijakan mengenai proses realisasi infrastruktur teknologi yang mencakup perangkat keras pemrosesan informasi (server, workstation, dan peripheral), jaringan komunikasi, dan software infrastruktur (sistem operasi dan alat/tool sistem)? Jika terdapat kebijakan mengenai proses realisasi infrastruktur teknologi, apakah: – Pertimbangan kapasitas infrastruktur teknologi telah disesuaikan dengan kebutuhan, di mana setiap realisasi infrastruktur teknologi telah disertai sebelumnya dengan analisis kebutuhan kapasitas? – Setiap realisasi infrastruktur teknologi telah memperhatikan pengendalian terkait dengan faktor keamanan dan auditability yang memungkinkan audit atas kinerja dan sejarah transaksi yang dilakukan dengan tingkat kedalaman spesifikasi telah disesuaikan dengan kebutuhan manajemen/pengelolaan?
  • 124. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Infrastruktur Teknologi (lanjt.) Jika terdapat kebijakan mengenai proses realisasi infrastruktur teknologi, apakah: – Apakah tahapan testing telah dilakukan sebelum masuk tahapan operasional? – Apakah tahapan testing telah dilakukan di lingkungan terpisah (testing environment)? – Apakah terdapat pelatihan dan alih pengetahuan kepada pengelola infrastruktur teknologi? – Apakah setiap realisasi infrastruktur teknologi telah terdapat dokumentasi: • Manual Operasi (untuk pengelola sistem)? • Manual Dukungan Teknis (technical support)?
  • 125. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Pengelolaan Data Apakah terdapat kebijakan mengenai proses realisasi pengelolaan data yang mengharuskan setiap langkah pengelolaan data memperhatikan tahapan input, proses, dan output data? Jika terdapat kebijakan mengenai proses realisasi pengelolaan data, apakah: – Pada tahapan input telah dijalankan prosedur berikut ini: • Prosedur akses data? • Prosedur transaksi data untuk memeriksa akurasi, kelengkapan, dan validitasnya? • Prosedur pencegahan kesalahan input data? – Pada tahapan proses telah dijalankan prosedur berikut ini: • Prosedur pengolahan data? • Prosedur validasi dan editing? • Prosedur penanganan kesalahan pemrosesan?
  • 126. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Pengelolaan Data (lanjt.) Jika terdapat kebijakan mengenai proses realisasi pengelolaan data, apakah: – Pada tahapan output telah dijalankan prosedur berikut ini: • Prosedur distribusi? • Penanganan kesalahan? • Prosedur keamanan data? – Telah dilaksanakan prosedur pengendalian otorisasi yang minimal mencakup: • Pengendalian terhadap dokumen sumber? • Pengesahan atas dokumen sumber? • Pembatasan akses ke terminal entri data? • Penggunaan file induk dan laporan khusus untuk memastikan bahwa seluruh data yang diproses telah diotorisasi?
  • 127. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Pengelolaan Data (lanjt.) Jika terdapat kebijakan mengenai proses realisasi pengelolaan data, apakah: – Telah dilaksanakan prosedur pengendalian kelengkapan yang minimal mencakup: • Pengentrian dan pemrosesan seluruh transaksi yang telah diotorisasi ke dalam sistem? • Pelaksanaan rekonsiliasi data untuk memverifikasi kelengkapan data? – Telah dilaksanakan prosedur pengendalian akurasi yang minimal mencakup: • Penggunaan desain entri data untuk mendukung akurasi data? • Pelaksanaan validasi data untuk mengidentifikasi data yang salah? • Pencatatan, pelaporan, investigasi, dan perbaikan data yang salah dengan segera? • Reviu atas laporan keluaran untuk mempertahankan akurasi dan validitas data?
  • 128. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idRealisasi Pengelolaan Data (lanjt.) Jika terdapat kebijakan mengenai proses realisasi pengelolaan data, apakah: – Telah dilaksanakan pengendalian terhadap keandalan pemrosesan dan file data yang minimal mencakup hal-hal berikut ini: • Penggunaan prosedur yang memastikan bahwa hanya program dan file data versi terkini yang digunakan selama pemrosesan? • Penggunaan program yang memiliki prosedur untuk memverifikasi bahwa versi file yang sesuai yang digunakan selama pemrosesan? • Penggunaan program yang memiliki prosedur untuk mengecek internal file header labels sebelum pemrosesan? • Penggunaan aplikasi yang mencegah perubahan file secara bersamaan?
  • 129. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian C.4Proses Tata Kelola:Pengoperasian Sistem TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 130. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idC.4. Pengoperasian Sistem TIK Operasi sistem merupakan proses penyampaian layanan TIK sebagai bagian dari dukungannya kepada manajemen proses bisnis, kepada pihak-pihak yang membutuhkan sesuai dengan spesifikasi minimal yang telah ditentukan sebelumnya. Tata Kelola Pengoperasian Sistem TIK terdiri dari: – Manajemen Tingkat Layanan – Keamanan dan Keberlangsungan Sistem – Manajemen Software Aplikasi – Manajemen Infrastruktur – Manajemen Data – Manajemen Layanan oleh Pihak Ketiga
  • 131. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Tingkat Layanan Apakah terdapat kebijakan manajemen tingkat layanan? Jika terdapat manajemen tingkat layanan, apakah: – Manajemen TIK telah menyusun dan mengupdate katalog layanan TIK yang berisi sistem yang beroperasi dan layanan-layanan TIK yang ada? – Apakah layanan telah diprioritaskan untuk layanan TIK kritikal berdasarkan SLA yang ditetapkan oleh persyaratan (requirement) pemilik proses bisnis dan disetujui oleh manajemen TIK?
  • 132. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Tingkat Layanan (lanjt.) Jika terdapat manajemen tingkat layanan, apakah: – Dalam setiap SLA layanan TIK kritikal tersebut minimal telah tercakup hal-hal berikut ini: • Waktu yang diperlukan untuk setiap layanan TIK yang diterima oleh konsumen? • Prosentase tingkat ketersediaan (availability) sistem TIK? • Waktu yang diperlukan untuk penyelesaian pengaduan insiden atau permasalahan dengan beberapa tingkatan kritikal sesuai dengan kebutuhan?
  • 133. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Tingkat Layanan (lanjt.) Jika terdapat manajemen tingkat layanan, apakah: – Pencapaian SLA-SLA tersebut dilaporkan secara reguler oleh manajemen TIK kepada Komite TIK untuk di-review? Apakah Komite TIK Institusi telah melakukan review atas indikator keberhasilan manajemen tingkat layanan berikut ini: – Prosentase operasi sistem kritikal yang layanan-layanan TIK-nya disertai dengan SLA? – Prosentase layanan TIK yang memenuhi SLA?
  • 134. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem Konsep Keamanan TIK: – Kerahasiaan (Confidentiality) – Integritas (Integrity): Completeness, Accuracy, Authenticity – Ketersediaan (Availability) Apakah terdapat kebijakan mengenai manajemen keamanan dan keberlangsungan sistem yang mengharuskan setiap operasi sistem TIK harus memperhatikan persyaratan minimal aspek keamanan sistem dan keberlangsungan sistem, terutama sistem TIK yang memfasilitasi layanan-layanan kritikal?
  • 135. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Jika terdapat kebijakan manajemen keamanan dan keberlangsungan sistem, apakah minimal mencakup: – Pelaksanaan penilaian risiko secara periodik yang komprehensif? – Pengembangan rencana yang secara jelas menggambarkan program pengamanan serta kebijakan dan prosedur yang mendukungnya? – Penetapan organisasi untuk mengimplementasikan dan mengelola program pengamanan? – Uraian tanggung jawab pengamanan secara jelas? – Implementasi kebijakan yang efektif atas sumber daya manusia terkait dengan program pengamanan? – Pemantauan efektivitas program pengamanan dan melakukan perubahan program pengamanan jika diperlukan?
  • 136. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Jika terdapat kebijakan manajemen keamanan dan keberlangsungan sistem, apakah minimal mencakup: – Confidentiality: akses terhadap data/informasi dibatasi hanya bagi mereka yang punya otoritas? – Integrity: data tidak boleh diubah tanpa ijin dari yang berhak? – Authentication: untuk meyakinkan identitas pengguna sistem? – Availability: terkait dengan ketersediaan layanan, termasuk up-time dari situs web?
  • 137. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Jika terdapat kebijakan manajemen keamanan dan keberlangsungan sistem, apakah minimal mencakup: – Klasifikasi sumber daya sistem informasi berdasarkan kepentingan dan sensitivitasnya? – Identifikasi pengguna yang berhak dan otorisasi akses ke informasi secara formal? – Pengendalian fisik dan pengendalian logik untuk mencegah dan mendeteksi akses yang tidak diotorisasi? – Pemantauan atas akses ke sistem informasi, investigasi atas pelanggaran, serta tindakan perbaikan dan penegakan disiplin?
  • 138. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Terhadap software aplikasi, apakah terdapat kebijakan dan prosedur pengamanan yang mencakup komponen: – Metoda scripting software aplikasi yang aman? – Implementasi mekanisme otentikasi dan otorisasi di dalam software aplikasi yang tepat? – Pengaturan keamanan sistem database yang tepat? Terhadap perangkat lunak sistem, apakah terdapat kebijakan dan prosedur pengamanan yang mencakup komponen: – Pembatasan akses ke perangkat lunak sistem berdasarkan tanggung-jawab pekerjaan dan dokumentasi atas otorisasi akses? – Pengendalian dan pemantauan atas akses dan penggunaan perangkat lunak sistem? – Pengendalian atas perubahan yang dilakukan terhadap perangkat lunak sistem?
  • 139. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Terhadap infrastruktur teknologi, apakah terdapat kebijakan dan prosedur pengamanan yang mencakup komponen: – Hardening dari sisi sistem operasi? – Firewall, sebagai pagar untuk menghadang ancaman dari luar sistem? – Intrusion Detection System/ Intrution-Prevention Systems (IDS/IPS), sebagai pendeteksi atau pencegah aktivitas ancaman terhadap sistem? – Network Monitoring Tool, sebagai usaha untuk melakukan monitoring atas aktivitas di dalam jaringan? – Log Processor & Analysis, untuk melakukan pendeteksian & analisis kegiatan yang terjadi di sistem?
  • 140. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Atas pengendalian kontinuitas atau keberlangsungan, apakah terdapat kebijakan dan prosedur yang mencakup : – Penilaian, pemberian prioritas, dan pengidentifikasian sumber daya pendukung atas kegiatan komputerisasi yang kritis dan sensitif? – Langkah-langkah pencegahan dan minimalisasi potensi kerusakan dan terhentinya operasi sistem? – Pengembangan dan pendokumentasian rencana komprehensif untuk mengatasi kejadian tidak terduga? – Pengujian secara berkala atas rencana untuk mengatasi kejadian tidak terduga dan melakukan penyesuaian jika diperlukan?
  • 141. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Untuk sistem kritikal dengan SLA yang ketat, apakah telah tersedia sistem cadangan yang dapat secara cepat mengambil alih sistem utama jika terjadi gangguan ketersediaan (availability) pada sistem utama? Apakah assessment atas kerentanan keamanan sistem (system security vulnerability) telah dilaksanakan secara teratur sesuai dengan kebutuhan? Apakah IT Contingency Plan, khususnya yang terkait dengan proses- proses bisnis kritikal telah disusun? Jika ada, apakah IT Contingency Plan tersebut telah diuji validitasnya secara teratur sesuai dengan kebutuhan?
  • 142. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idKeamanan & Keberlangsungan Sistem (lanjt.) Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan keamanan dan keberlangsungan sistem berikut ini: – Tingkat kepatuhan sistem terhadap kriteria minimum yang telah ditetapkan? – Penurunan jumlah insiden yang terjadi terkait dengan permasalahan keamanan dan keberlangsungan sistem? – Penurunan jumlah insiden yang dapat menyebabkan downtime? – Penurunan jumlah waktu downtime total per durasi waktu?
  • 143. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Software Aplikasi Apakah terdapat kebijakan mengenai manajemen software aplikasi? Jika terdapat manajemen software aplikasi, apakah setiap software aplikasi telah menyertakan prosedur backup dan restore? Jika prosedur backup dan restore telah disertakan, apakah fungsionalitasnya telah diimplementasikan pada setiap software aplikasi? Apakah setiap pengoperasian software aplikasi telah disertai oleh dokumentasi yang selalu terjaga keterkiniannya?
  • 144. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Software Aplikasi Apakah dokumentasi berikut tersedia untuk setiap software aplikasi: – Dokumentasi hasil aktivitas tahapan-tahapan dalam SDLC? – Manual/Petunjuk Aplikasi: • Manual Pengguna? • Manual Operasi? • Manual Dukungan Teknis? • Manual Administrasi? • Materi alih pengetahuan? • Materi training?
  • 145. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Software Aplikasi Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan manajemen software aplikasi terkait: – Tingkat kepatuhan pengguna terhadap prosedur-prosedur yang telah ditetapkan? – Penurunan jumlah kegagalan pengoperasian software aplikasi?
  • 146. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Infrastruktur Apakah terdapat kebijakan mengenai manajemen infrastrukur TIK? Jika terdapat kebijakan manajemen infrastrukur TIK, apakah: – Setiap pengoperasian infrastruktur teknologi telah memperhatikan kontrol yang terkait dengan keamanan? – Setiap pengoperasian infrastruktur teknologi telah memperhatikan auditability yang memungkinkan audit atas kinerja dan sejarah transaksi yang dilakukan? Apakah Komite TIK Institusi atau pihak lainnya telah melakukan review atas indikator keberhasilan manajemen infrastruktur TIK berikut ini: – Tingkat kepatuhan pengguna terhadap prosedur-prosedur yang telah ditetapkan? – Penurunan jumlah kegagalan operasional infrastruktur TIK?
  • 147. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Data Apakah terdapat kebijakan mengenai manajemen data? Jika terdapat kebijakan mengenai manajemen data, apakah: – Data dari setiap software aplikasi, terutama software aplikasi kritikal, secara kumulatif telah dibackup secara terpusat dalam media penyimpanan data (data storage)? – Backup data telah dilakukan secara reguler dengan frekuensi dan jenis backup disesuaikan dengan tingkat kritikal sistem? – Telah dilakukan pengujian secara teratur mekanisme backup dan restore data untuk memastikan integritas dan validitas prosedur? – Mekanisme inventori atas media-media penyimpanan data telah diimplementasikan, terutama media-media yang off-line?
  • 148. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Data (lanjt.) Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan manajemen data berikut ini: – Penurunan jumlah kegagalan restore data kritikal? – Penurunan jumlah insiden terkait dengan permasalahan integritas data?
  • 149. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Layanan oleh Pihak Ketiga Apakah terdapat kebijakan mengenai manajemen layanan pihak ketiga? Jika terdapat kebijakan mengenai manajemen layanan pihak ketiga, apakah kebijakan tersebut telah mempertimbangkan faktor-faktor berikut ini? – Layanan pihak ketiga digunakan sebagian atau seluruhnya karena sumber daya internal yang dimiliki oleh institusi kurang memungkinkan untuk mencapai tingkat layanan minimal yang diberikan kepada konsumen (publik atau bisnis)? – Seluruh data yang diolah melalui layanan pihak ketiga adalah data milik institusi dan pihak ketiga harus menjaga kerahasiaannya dan tidak berhak menggunakannya untuk hal-hal di luar kerjasama dengan institusi?
  • 150. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Layanan oleh Pihak Ketiga (lanjt.) Apakah terdapat kebijakan mengenai manajemen layanan pihak ketiga yang mengharuskan seluruh layanan TIK yang diselenggarakan oleh pihak ketiga mematuhi ketentuan-ketentuan operasi sistem yang ada, khususnya untuk: – Manajemen Tingkat Layanan? – Keamanan dan Keberlangsungan Sistem? – Manajemen Software Aplikasi? – Manajemen Infrastruktur? – Manajemen Data?
  • 151. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Layanan oleh Pihak Ketiga (lanjt.) Apakah pihak ketiga penyelenggara layanan TIK telah memberikan laporan secara reguler atas tingkat kepatuhan terhadap ketentuan- ketentuan operasi sistem tersebut? Apakah institusi telah melakukan audit secara reguler dan insidental atas laporan yang disampaikan oleh pihak ketiga untuk memastikan validitasnya, baik dilakukan secara internal atau menggunakan jasa pihak ketiga yang independen?
  • 152. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Layanan oleh Pihak Ketiga (lanjt.) Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan manajemen layanan oleh pihak ketiga berikut ini: – Jumlah atau prosentase operasi sistem TIK yang memenuhi SLA? – Jumlah atau prosentase operasi sistem TIK yang memenuhi ketentuan minimum keamanan dan keberlangsungan sistem? – Jumlah atau prosentase operasi sistem TIK yang memenuhi ketentuan minimum manajemen data? – Penurunan jumlah insiden yang menyebabkan downtime? – Penurunan jumlah waktu downtime total per durasi waktu? – Penurunan jumlah kegagalan restore data kritikal? – Penurunan jumlah insiden terkait dengan permasalahan integritas data?
  • 153. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian C.5Proses Tata Kelola:Pemeliharaan Sistem TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 154. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idC.5. Pemeliharaan Sistem TIK Pemeliharaan sistem merupakan proses untuk memastikan bahwa seluruh sumber daya TIK dapat berfungsi sebagaimana mestinya dalam durasi waktu siklus hidup yang seharusnya, dalam rangka mendukung operasi sistem secara optimal. Pemeliharaaan Sistem TIK terdiri dari: – Pemeliharaan Software Aplikasi – Pemeliharaan Infrastruktur Teknologi – Pemeliharaan Data – Siklus Hidup dan Likuidasi Sumber Daya Infrastruktur Teknologi
  • 155. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemeliharaan Software Aplikasi Apakah terdapat kebijakan mengenai pemeliharaan software aplikasi? Jika terdapat kebijakan mengenai pemeliharaan software aplikasi, apakah: – Manajemen TIK telah menerapkan mekanisme patching software aplikasi atas software aplikasi yang dikembangkan secara mandiri atau kerjasama dengan pihak ketiga? – Upgrade yang bersifat kecil (minor) atas software aplikasi minimal telah melalui regression test? – Upgrade yang bersifat kecil (minor) atas software aplikasi telah disertai dengan update atas dokumentasi yang terkait langsung dengan modul yang di-upgrade? Apakah Komite TIK Institusi telah melakukan review atas indikator keberhasilan pemeliharaan software aplikasi, antara lain penurunan jumlah permasalahan yang terjadi di software aplikasi karena tidak optimalnya keberjalanan mekanisme patching?
  • 156. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemeliharaan Infrastruktur Teknologi Apakah terdapat kebijakan mengenai pemeliharaan infrastruktur teknologi? Jika terdapat kebijakan mengenai pemeliharaan infrastruktur teknologi, apakah: – Manajemen TIK telah menerapkan mekanisme patching infrastruktur teknologi, yaitu update patch atas infrastruktur teknologi untuk menutup lobang kerentanan atas seluruh infrastruktur teknologinya? – Mekanisme patching tersebut sudah difasilitasi secara otomatis dengan software tool sehingga meningkatkan efisiensi di sisi administrator dan pengguna akhir? – Mekanisme patching ini minimal dilakukan atas hal-hal berikut ini: • System software perangkat-perangkat jaringan? • System software di server dan workstation? • Database server?
  • 157. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemeliharaan Infrastruktur Teknologi (lanjt.) Jika terdapat kebijakan mengenai pemeliharaan infrastruktur teknologi, apakah: – Manajemen TIK telah melakukan penilaian pertumbuhan kapasitas secara reguler dan membandingkannya dengan estimasi pertumbuhan? – Hasil analisis perbandingan tersebut telah digunakan oleh manajemen TIK untuk menyusun langkah pengelolaan kapasitas dalam jangka menengah dan pendek? Apakah Komite TIK Institusi telah melakukan review atas indikator keberhasilan pemeliharaan infrastruktur teknologi berikut ini: – Penurunan jumlah permasalahan yang terjadi di infrastruktur teknologi karena tidak optimalnya keberjalanan mekanisme patching? – Penurunan jumlah permasalahan yang terjadi karena aspek kapasitas infrastruktur teknologi?
  • 158. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemeliharaan Data Apakah terdapat kebijakan mengenai pemeliharaan data? Jika terdapat kebijakan mengenai pemeliharaan data, apakah: – Telah mengharuskan seluruh pihak untuk memperhatikan keaslian, keutuhan, dan ketersediaan data? – Telah mengharuskan semua pihak dalam institusi untuk menaati prosedur pemeliharaan data yang telah ditetapkan? – Data Center/Disaster Recovery Center (DC/DRC) telah dikelola sesuai dengan prosedur baku yang ada? – Data telah dilindungi dari pihak-pihak yang tidak memiliki hak akses? – Data telah dilindungi dari pengubahan dan kesalahan alamat pengiriman data sensitif yang bernilai strategis?
  • 159. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idPemeliharaan Data Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan pemeliharaan data, antara lain penurunan jumlah permasalahan yang terjadi karena: – Aspek keutuhan (integrity) data? – Aspek kerahasiaan (confidentiality) data? – Aspek ketersediaan (availability) data?
  • 160. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idSiklus Hidup dan Likuidasi Sumber Daya Infrastruktur Apakah terdapat kebijakan mengenai siklus hidup dan likuidasi sumber daya infrastruktur teknologi? Jika terdapat kebijakan mengenai siklus hidup dan likuidasi sumber daya infrastruktur teknologi, apakah telah mencakup: – Emerging Technologies, yaitu infrastruktur teknologi yang mungkin sudah diterima dan digunakan oleh industri terkait, tetapi masih baru bagi organisasi? – Current Technologies, yaitu infrastruktur teknologi standar yang saat ini sedang digunakan oleh organisasi, telah dites dan diterima secara umum sebagai standar di industri terkait? – Sunset Technologies, yaitu infrastruktur teknologi yang sudah masuk tahap phase- out (expired) dan sudah tidak dapat lagi digunakan oleh organisasi sejak waktu ditetapkan? – Twilight Technologies, yaitu infrastruktur teknologi yang sudah masuk tahap phase-out (expired), tetapi masih diperlukan oleh organisasi?
  • 161. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idSiklus Hidup dan Likuidasi Sumber Daya Infrastruktur (lanjt.) Apakah likuidasi sumber daya infrastruktur teknologi telah dilakukan untuk infrastruktur teknologi di fase Sunset Technologies, dengan mempertimbangkan sudah tidak adanya technical support dan keberadaannya sudah dapat digantikan dengan kehadiran infrastruktur teknologi lain yang lebih handal dan terjangkau pengadaannya? Apakah likuidasi sumber daya infrastruktur teknologi telah diputuskan dalam pertemuan reguler Komite TIK? Apakah Komite TIK Institusi telah melakukan review atas indikator keberhasilan siklus hidup dan likuidasi sumber daya infrastruktur teknologi, antara lain penurunan jumlah sumber daya infrastruktur teknologi di fase sunset yang masih belum dilikuidasi?
  • 162. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian DMonitoring dan EvaluasiTata Kelola TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 163. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idD. Monitoring dan Evaluasi Untuk memastikan adanya perbaikan berkesinambungan (continuous improvement), mekanisme monitoring & evaluasi akan memberikan umpan balik atas seluruh proses tata kelola TIK.
  • 164. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idMonitoring dan Evaluasi Apakah terdapat kebijakan mengenai monitoring dan evaluasi tata kelola TIK? Jika terdapat kebijakan mengenai monitoring dan evaluasi tata kelola TIK, apakah telah mencakup: – Ketercapaian indikator keberhasilan untuk setiap proses tata kelola yang merupakan objek utama dari aktivitas monitoring & evaluasi? – Indikator keberhasilan yang mencerminkan sejauh mana tujuan akhir dari setiap proses tata kelola telah tercapai? – Indikator kinerja proses yang digunakan untuk melakukan penelusuran balik atas ketercapaian sebuah indikator keberhasilan? – Variasi indikator kinerja proses yang diserahkan kepada satuan kerja institusi untuk menetapkannya sesuai dengan karakteristik proses manajemen yang dimiliki.
  • 165. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idMonitoring dan Evaluasi (lanjt.) Apakah pelaksanaan monitoring dan evaluasi, baik dilaksanakan secara internal maupun eksternal, telah mengakomodasi asas independensi? Apakah setiap institusi pemerintahan telah melakukan evaluasi secara internal berupa peninjauan secara reguler atas ketercapaian indikator keberhasilan untuk setiap proses tata kelola? Apakah evaluasi secara internal tersebut telah dilaksanakan dengan memperhatikan hal-hal berikut ini: – Intensitas peninjauan indikator keberhasilan setidaknya minimal 1 (satu) kali untuk setiap tahunnya? – Setiap siklus peninjauan indikator keberhasilan telah didokumentasikan dan tindak lanjut atas rekomendasi telah dimonitor secara reguler oleh manajemen? – Kerjasama dengan pihak ketiga untuk pelaksanaan evaluasi secara internal (jika ada) dilakukan karena keterbatasan keahlian dan SDM dan dengan spesifikasi kebutuhan detail tetap berasal dari institusi pemerintahan terkait?
  • 166. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idMonitoring dan Evaluasi (lanjt.) Apakah setiap institusi pemerintahan telah melakukan evaluasi secara eksternal berupa evaluasi atas ketercapaian indikator keberhasilan sebuah institusi pemerintahan? Apakah evaluasi secara eksternal tersebut telah dilaksanakan dengan memperhatikan hal-hal berikut ini: – Inisiatif evaluasi eksternal berasal dari pihak di luar institusi pemerintahan yang akan menjadi objek evaluasi? – Tujuan utama evaluasi secara eksternal adalah mengetahui secara nasional atau cakupan wilayah tertentu ketercapaian tujuan tata kelola TIK, dengan sudut pandang indikator keberhasilan yang relatif seragam? – Kerjasama dengan pihak ketiga untuk pelaksanaan evaluasi secara eksternal dilakukan karena keterbatasan keahlian dan SDM dan dengan spesifikasi kebutuhan detail tetap berasal dari institusi pemerintahan terkait? Apakah telah terdapat proses perbaikan atas penyimpangan dari manfaat TIK yang telah teridentifikasi?
  • 167. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idBagian EManajemen KepatuhanTata Kelola TIK Kuesioner Evaluasi Pengendalian Intern TIK
  • 168. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idE. Manajemen Kepatuhan Untuk memastikan bahwa tata kelola TIK pada instansi pemerintahan telah memenuhi ketentuan dalam peraturan perundang-undangan yang terkait dengan TIK. Apakah terdapat kebijakan dan prosedur tata kelola TIK khususnya mengenai manajemen kepatuhan yang mengharuskan bahwa tata kelola TIK telah memenuhi berbagai ketentuan dalam peraturan perundang-undangan yang terkait dengan TIK?
  • 169. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Kepatuhan Apakah terdapat kebijakan dan prosedur manajemen kepatuhan yang minimal mencakup hal-hal berikut ini: – Identifikasi berbagai ketentuan/kewajiban kepatuhan sesuai dengan peraturan perundangan-undangan yang terkait TIK? – Analisis risiko atas ketidakpatuhan terhadap peraturan perundangan-undangan yang telah diindentifikasi? – Pemetaan dan penetapan pihak-pihak yang terkait untuk melaksanakan ketentuan/kewajiban kepatuhan yang telah diidentifikasi? – Penyusunan dan penetapan tindak lanjut untuk memenuhi ketentuan/kewajiban kepatuhan yang telah diidentifikasi? – Pengawasan dan pelaporan atas pelaksanaan tindak lanjut dan pemenuhan ketentuan/kewajiban kepatuhan?
  • 170. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idManajemen Kepatuhan (lanjt.) Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator keberhasilan manajemen kepatuhan berikut ini: – Kelengkapan daftar ketentuan/kewajiban kepatuhan sesuai dengan peraturan perundangan-undangan yang terkait TIK? – Risiko yang terkait dengan ketidakpatuhan, termasuk denda dan ganti rugi? – Frekuensi reviu kepatuhan? – Laporan pemenuhan ketentuan/kewajiban kepatuhan?
  • 171. www.bpkp.go.idModul Tata-Kelola Teknologi InformasiBAGIAN IV:Next Assurance: InformationAssurance Architecture Visi: "Auditor Presiden yang responsif, interaktif, dan terpercaya untuk mewujudkan akuntabilitas keuangan negara yang berkualitas." © 2011
  • 172. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIA2 Framework Overview
  • 173. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIA Core Principles
  • 174. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIA2 Framework IA2 Framework is the core of IA2 Many supporting and complementary aspects to the IA2 Framework A framework is a basic conceptual structure
  • 175. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIA2 Framework Starts with IA architectural drivers (business drivers and technical drivers). The root driver behind IA is risk—risk that may be expressed in terms of business risk and technical risk. The IA2 Framework presents six architectural views: people, policy, business process, systems and applications, information/data, and infrastructure. The IA2 views provide granular perspective on the IA architectural drivers. There are nine IA core principles. Each IA2 view considers each of the nine IA core principles for each IA architectural driver.
  • 176. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIA2 Process
  • 177. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.idIA2 Process The IA2 Process is a prescribed manner that, when applied upward to the architectural level, will help to develop an IA architecture or integrate IA into an enterprise architecture. When applied downward to the project level, the IA2 Process assists with defining IA requirements and IA assessment tasks like gap analysis and remediation analysis. The IA architecture may address all aspects of the IA2 Framework, or it may address parts of the IA2 Framework.
  • 178. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id TERIMA KASIH

×