Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013

ISACA Indonesia Special Technical Session Gran Sahid Hotel, 9 September 2013

Halaman 1 Pemetaan PER-02/MBU/2013 dengan COBIT 5

ISACA Indonesia Special Technical Session:

Pemetaan COBIT 5 dengan PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan TI BUMN Rahmat Mulyana, ST,MT,MBA,CISA,CISM,CGEIT,CRISC,PMP +62-812-246-8446, [email protected]

Halaman 2

Agenda

• Relasi GCG dan IT Governance

• Framework IT Governance BUMN: PER-02/MBU/2013

• Best Practice IT Governance: Seven Enabler COBIT 5

• Pemetaan COBIT 5 dengan PER-02/MBU/2013

Rahmat Mulyana @ ISACA Indonesia Special Tech Session: Pemetaan PER-02/MBU/2013 dengan COBIT 5 @ Gran Sahid, 9 Sept 2013

mailto:[email protected]





Halaman 3

Relasi GCG dan IT Governance


Halaman 4

Enterprise Governance Framework

Bagaimana implikasi semakin pentingnya Enterprise

Governance pada penyelenggaraaan TI?

IT Governance

(sumber: IFAC, 2003)

“A set of responsibilities and

practices exercised by the board

and executive management with

the goal of providing strategic

direction, ensuring that

objectives are achieved,

ascertaining that risks are

managed appropriately and

verifying that resources are used

responsibly” (ISACA)




Halaman 5

The Governance & Management of Enterprise IT Framework

Cara pandang tersebut mengadopsi ISO

38500, walaupun ISO 35000 tidak

disebutkan secara eksplisit

Governance

Management (Sumber: COBIT 5)

Sumber: ISO 38500

PJ: Dekom/Dewas & BOD

PJ: Manajemen Bisnis & TI


Halaman 6

Regulasi Nasional terkait GCG dan IT Governance

GCG: – Kepmen BUMN No KEP-117/M-MBU/2002 tentang

Penerapan Praktek GCG pada BUMN

– Permen BUMN No PER-01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan yang Baik (GCG) pada BUMN

IT Governance: – Permen Kominfo 41/PER/MEN.KOMINFO/11/2007

tentang Panduan Umum Tata Kelola TIK Nasional

– PBI No 9/15/PBI/2007 tentang Manajemen Risiko TI untuk Bank Umum

– Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik dari Kominfo 2011

– Permen BUMN PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan Tata Kelola TI BUMN

– Pedoman Tata Kerja SKK Migas Kementerian ESDM KEP-0008/SKO0000/2013/SO tentang Pengelolaan TIK pada Kontraktor Kontrak Kerja Sama (KKKS)




Halaman 7

GCG dan IT Governance BUMN

Definisi GCG

– Prinsip-prinsip yang mendasari suatu proses/mekanisme pengelolaan perusahaan berlandaskan peraturan perundang-undangan dan etika berusaha

Aspek kunci GCG

– Transparansi, akuntabilitas, responsibilitas, independensi, kewajaran (fairness) untuk mencapai tujuan perusahaan

Tujuan GCG

– Optimalisasi nilai BUMN agar memiliki daya saing kuat, survive dan hidup berkelanjutan, pengelolaan yang profesional, efisien efektif, peningkatan kemandirian, landasan moral, kepatuhan terhadap peraturan perundangan, kesadaran tanggung jawab terhadap stakeholder, kelestarian lingkungan, kontribusi ekonomi dan investasi nasional

Contoh Penerapan GCG

– Board manual, manajemen risiko, sistem pengendalian/pengawasan internal, mekanisme pelaporan, tata kelola TI, code of conduct, dsb.

IT Governance

– Salah satu pilar utama GCG untuk menjamin pemanfaatan implementasi TI, mengacu kepada standar internasional yang telah diterima secara luas dan teruji implementasinya sebagai framework bagi tata kelola yang efektif, efisien dan optimal untuk diterapkan

(sumber: PER-01/MBU/2011, PER-02/MBU/2013)


Halaman 8

Framework IT Governance BUMN: PER-02/MBU/2013




Halaman 9

Struktur PER-02/MBU/2013

• Definisi – Pasal 1: Definisi BUMN, PT, Perum, Menteri, RUPS, Dekom,

Dewas, Direksi

• Tata Kelola TI – Pasal 2: Pemanfaatan dan Pengembangan TI, Penyusunan

dan Penetapan oleh Direksi

• Master Plan TI – Pasal 3: Deadline, Penetapan oleh Direksi, Periode, RKAP,

Monev oleh Direksi, Pelaporan Triwulan & Tahunan, Kaji Ulang dan Revisi

• Sinergi TI BUMN – Pasal 4: Pengutamaan Sinergi BUMN, TKDN (Tingkat

Kanduan Dalam Negeri), Area Sinergi, Prinsip GCG

• Lain-Lain – Pasal 5: Pemberlakuan bagi sektor Perbankan dan non-

Perbankan – Pasal 6: Pemberlakuan dalam RUPS – Pasal 7: Pemberlakuan efektif pada tahun buku 2013

• Lampiran – Lampiran I: Panduan Penyusunan Pengelolaan TI BUMN – Lampiran II: Panduan Penyusunan Master Plan TI BUMN – Lampiran III: Panduan Sinergi TI BUMN


Halaman 10

Framework Tata Kelola TI BUMN

Proses TI

Kebutuhan Bisnis

Sumber Daya TI

1. Effectiveness

2. Efficiency

3. Confidentiality

4. Integrity

5. Availability

6. Compliance

7. Information

Reliability

1. Data &

Informasi

2. Sistem

Informasi

3. Infrastruktur TI

4. SDM

1. Pengendalian

Strategis

2. Pengendalian

Operasional

(sumber: PER-02/MBU/2013)




Halaman 11

Referensi Framework IT Governance pada PER-02/MBU/2013

• Dijelaskan dalam lampiran PER-01/MBU/2013 bahwa IT Governance sebagai salah satu pilar utama GCG BUMN dalam pelaksanaannya membutuhkan framework yang mengacu kepada referensi tata kelola TI internasional yang telah diterima secara luas dan teruji implementasinya seperti COBIT, ITIL, ISO 27001, ISO 38500, TOGAF dan PMBOK.

(sumber: Guide Share Europe dalam

PER-02/MBU/2013)


Halaman 12

Struktur Kebijakan Tata Kelola TI BUMN




Halaman 13

Siklus dan Posisi Kebijakan Tata Kelola TI BUMN


Halaman 14

Kepatuhan Tata Kelola TI BUMN




Halaman 15

Kebijakan Tata Kelola TI BUMN

Kebijakan Strategis

1. Penetapan Peran TI Perusahaan

2. Perencanaan TI

3. Kerangka Kerja Proses dan Organisasi TI

4. Pengelolaan Investasi TI

5. Pengelolaan Sumber Daya TI

6. Pengelolaan Risiko TI

7. Pengelolaan Proyek

8. Penanganan Kebutuhan dan Identifikasi Solusi

Kebijakan Operasional

1. Pengelolaan Layanan TI

2. Pengelolaan Sekuriti TI

3. Pengelolaan Layanan Pihak Ketiga

4. Pengelolaan Operasional

5. Pengelolaan Mutu

6. Knowledge Transfer

7. Pengelolaan Data Monitor & Evaluasi Kinerja TI

8. Monitor & Evaluasi Pengendalian Internal

9. Pengelolaan Compliance External Regulation


Halaman 16

Model Assessment Tata Kelola TI BUMN

• Capability Maturity Level (CMM): – Level 0: Non-Eksis

• Proses tidak ada dan organisasi tidak mengenali adanya Tata Kelola TI

– Level 1: Initial /Adhoc • Proses kadang dilaksanakan/ Adhoc (khusus) kasus demi kasus dan tidak ada standarisasi serta tidak terorganisasir

– Level 2: Berulang • Proses telah dibentuk namun belum ada koordinasi dari prosedur standar dan tanggung jawab serta tidak

terdokumentasi

– Level 3: Terdefinisi • Proses selalu dilaksanakan, standarisasi, terdokumentasi, dan dikomunikasikan

– Level 4: Terkelola • Proses selalu dilaksanakan, terdokumentasi, dikomunikasikan, dikelola dengan baik serta dapat diukur pencapaiannya

– Level 5: Optimal • Proses selalu dilaksanakan, terdokumentasi, dikomunikasikan, dikelola, dapat diukur dan dapat dioptimasi hasilnya

sesuai dengan dengan kebutuhan organisasi secara otomatis (dapat memanfaatkan tool)

• Metode: survey terhadap para pelaku kontrol: pemilik proses, pengelola TI maupun pengelola kebijakan TI pada suatu organisasi korporasi

• Pelaksana: mandiri atau secara independen dengan melibatkan pihak lain

• Target: mencapai level 3 dalam 5 tahun ( dengan asumsi semua sumber daya terpenuhi)

• Rekomendasi: perlu melihat best-practice dan melakukan benchmark pada industri yang sama




Halaman 17

Panduan Checklist Tata Kelola TI BUMN


KEBIJAKAN STRATEGIS

1 Penetapan peran TI 1 Pernyataan peran strategis TI

2 KPI/BSC

2 Perencanaan TI 1 IT Master Plan TI

2 IT Strategic BSC

3 Kerangka kerja proses dan organisasi TI

1 IT Steering Committee

2 Pengelolaan IT policy

3 Prosedur IT development & operation?

4 Pengelolaan sumberdaya TI

1 Prosedur pengelolaan SDM TI

2 Prosedur pengelolaan data/informasi

3 Prosedur pengelolaan HW/SW

4 Prosedur pengelolaan infrastruktur TI

5 Pengelolaan investasi TI

1 RJPP & RKAP

2 IT Alignment BSC

3 Horizontal alignment

4 Prosedur pengelolaan pengadaan investasi TI

6 Pengelolaan risiko TI

1 Prosedur assessment risiko

2 DRP

3 DRC

7 Pengelolaan proyek 1 ?

8 Penanganan kebutuhan dan identifikasi solusi

1 ?

KEBIJAKAN OPERASIONAL

1 Pengelolaan layanan TI

1 Prosedur Helpdesk (Service desk)

2 Standar layanan TI 3 Implementasi ITSM lainnya

2 Pengelolaan sekuriti TI

1 Standar keamanan aset TI 2 Implementasi ISMS lainnya

3 Pengelolaan layanan pihak ketiga

1 Pengelolaan kontrak 2 Dokumentasi kontrak

3 Laporan monitoring & evaluasi kontrak

4 Pengelolaan operasional

1 ?

5 Pengelolaan mutu

1 ?

6 Knowledge transfer

1 ?

7

Pengelolaan data monitor dan evaluasi kinerja TI

1 Prosedur pengukuran dan pelaporan kinerja TI

2 Prosedur monitor dan evaluasi kinerja (KPI)

8

Monitor dan evaluasi pengendalian internal

1 Dokumen checklist tata kelola TI

2 Prosedur assessment tata kelola TI dan evaluasi pihak ketiga

9

Pengelolaan compliance external regulation

1 Standar regulasi eksternal (checklist)

2 Assessment terhadap external compliance yang dicapai

Halaman 18

Best Practice IT Governance: Seven Enabler COBIT 5




Halaman 19

Survey Penggunaan Framework & Standard IT Governance & Management

(sumber: Global Survey on IT Governance, ISACA, 2011)


Halaman 20

Evolusi COBIT

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

2005/7 2000 1998

Evolu

tion o

f scope

1996 2012

Val IT 2.0 (2008)

Risk IT (2009)




Halaman 21

Komponen COBIT 5 = COBIT 4.1 + RISK IT + VAL IT


Halaman 22

Seven Enabler IT Governance & Management

Faktor yang secara individu maupun kolektif dan sistemik mempengaruhi keberjalanan Idan kesuksesan T Governance dan Management pada suatu organisasi/perusahaan

Sumber: COBIT 5




Halaman 23

Enabler Generik


Sumber: COBIT 5

Halaman 24

Mapping Framework & Standar IT Governance & Management


Sumber: COBIT 5



Halaman 25

Taksonomi Proses IT Governance & Management pada COBIT 5

PROCESSES

IT Related Goals Process Goals

IT related Goals Metrics

Process Metrics

RACI Chart Governance OR

Management Practices

High Level Statement

Inputs & Outputs Activities

Related Guidance


Halaman 26

Proses COBIT 5

(Sumber: COBIT 5)




Halaman 27 Rahmat Mulyana @ ISACA Indonesia Special Tech Session: Pemetaan PER-02/MBU/2013 dengan COBIT 5 @ Gran Sahid, 9 Sept 2013




Halaman 29

Contoh RACI: Proses EDM01

Bisnis TI

Sumber: ISACA, 2012 Rahmat Mulyana @ ISACA Indonesia Special Tech Session: Pemetaan PER-02/MBU/2013 dengan COBIT 5 @ Gran Sahid, 9 Sept 2013

Halaman 30

Step-by-step Assessment Proses

Process Assessment Model

Assessment Process




Halaman 31

PO1 Define a Strategic IT Plan PO1

LINK Level Compliance Contribution Value

0 1,00 1,00 1,00

1 1,00 1,00 1,00

2 0,66 1,00 0,66

3 0,33 1,00 0,33

4 0,00 1,00 0,00

5 0,00 1,00 0,00

0 Non-existent

2,99

Nr Weight

1 10 x 10,00

2 10 x 10,00

Total Weight 20

1 Initial/Ad Hoc

Nr Weight

1 10 x 10,00

2 10 x 10,00

3 10 x 10,00

4 10 x 10,00

5 10 x 10,00

Total Weight 50

2 Repeatable but Intuitive

Nr Weight

1 10 x 6,60

2 10 x 6,60

3 10 x 6,60

4 10 x 6,60

Total Weight 40

Management of the process of Define a strategic IT plan that

satisfies the business requirement for IT of sustaining or

extending the business strategy and governance requirements

while being transparent about benefits, costs and risks is:

To s

om

e d

egre

e

A little

Not

at

all

Com

ple

tely

IT strategic planning is shared with business management on an

as-needed basis.

Updating of the IT plans occurs in response to requests by

management.

Strategic decisions are driven on a project-by-project basis

without consistency with an overall organisation strategy.

Do you agree…

The need for IT strategic planning is known by IT management.

IT planning is performed on an as-needed basis in response to a

specific business requirement.

IT strategic planning is occasionally discussed at IT management

meetings.

The alignment of business requirements, applications and

technology takes place reactively rather than by an

organisationwide strategy.

The risks and user benefits of major strategic decisions are

recognised in an intuitive way.

The strategic risk position is identified informally on a project-by-

project basis.

Maturity Level

Statement

Statement Do you agree…

Re

lati

ve

Im

po

rta

nce

Statement Do you agree…

IT strategic planning is not performed.

There is no management awareness that IT strategic planning is

needed to support business goals.

Maturity Level

Instructions: A relative Weight between 0 and 10

should be allocated for each statement, and then an

'x' is used to indicate which statement is applicable.

Process Define a Strategic IT Plan

Maturity Level

Back to Assessment Overview

Assessment Status Open

Maturity Level =

Contoh Penggunaan Assessment Tools CMM


Halaman 32

Process Assessment Model Berbasis ISO 15504: COBIT 5




Halaman 33

Contoh Hasil Process Assessment: DSS 02

Process

NameLevel 0 Level 1

DSS02 PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA5.2

Rating by

Criteria87,50% 87,50% 93,75% 88,89% 90,91% 85,71% 85,71% 41,67%

Capability

Level

Achieved

1 1 1 2 2 3 3 3

Level 2 Level 5Level 3 Level 4

N – Not AchievedP – Partially AchievedL – Largely Achieved

F- Fully Achieved


Halaman 34

Seven Enabler Assurance




Halaman 35

Pemetaan COBIT 5 dengan PER-02/MBU/2013



No Proses COBIT 5 PER-02/MBU/2013 1 EDM01 Ensure Governance Framework Setting and Maintenance N/A 2 EDM02 Ensure Benefits Delivery N/A 3 EDM03 Ensure Risk Optimisation N/A 4 EDM04 Ensure Resource Optimisation N/A 5 EDM05 Ensure Stakeholder Transparency N/A 6 APO01 Manage the IT Management Framework KO3 - Kerangka Kerja Proses dan Organisasi TI 7 APO02 Manage Strategy KS2 - Perencanaan TI 8 APO03 Manage Enterprise Architecture KS2 - Perencanaan TI 9 APO04 Manage Innovation N/A

10 APO05 Manage Portfolio KS5 - Pengelolaan Investasi TI 11 APO06 Manage Budget and Costs KS5 - Pengelolaan Investasi TI 12 APO07 Manage Human Resources KS4 - Pengelolaan Sumberdaya TI 13 APO08 Manage Relationships KS1 - Penetapan Peran TI 14 APO09 Manage Service Agreements KO1 - Pengelolaan Layanan TI 15 APO10 Manage Suppliers KO3 - Pengelolaan Layanan Pihak Ketiga 16 APO11 Manage Quality KO5 - Pengelolan Mutu 17 APO12 Manage Risk KS6 - Pengelolaan Risiko TI 18 APO13 Manage Security KO2 - Pengelolaan Sekuriti TI 19 BAI01 Manage Programmes and Projects KS7 - Pengelolaan Proyek 20 BAI02 Manage Requirements Definition KS8 - Penanganan Kebutuhan dan Identifikasi Solusi 21 BAI03 Manage Solutions Identification and Build KS8 - Penanganan Kebutuhan dan Identifikasi Solusi 22 BAI04 Manage Availability and Capacity Implementasi ITSM Lainnya? 23 BAI05 Manage Organisational Change Enablement N/A 24 BAI06 Manage Changes Implementasi ITSM Lainnya? 25 BAI07 Manage Change Acceptance and Transitioning Implementasi ITSM Lainnya? 26 BAI08 Manage Knowledge KO6 - Knowledge Transfer 27 BAI09 Manage Assets N/A 28 BAI10 Manage Configuration Implementasi ITSM Lainnya? 29 DSS01 Manage Operations KO4 - Pengelolaan Operasional 30 DSS02 Manage Service Requests and Incidents KO1 - Pengelolaan Layanan TI/ Implementasi ISMS Lainnya? 31 DSS03 Manage Problems Implementasi ISMS Lainnya? 32 DSS04 Manage Continuity KS6 - Pengelolaan Risiko TI 33 DSS05 Manage Security Services KO2 - Pengelolaan Sekuriti TI 34 DSS06 Manage Business Process Controls N/A 35 MEA01 Monitor, Evaluate and Assess Performance and Conformance KO7 - Pengelolaan data monitor dan evaluasi kinerja TI 36 MEA02 Monitor, Evaluate and Assess the System of Internal Control KO8 - Monitor dan evaluasi pengendalian internal 37 MEA03 Monitor, Evaluate and Assess Compliance With External Requirements KO9 - Pengelolaan compliance external regulation

Documents

Rahmat mulyana isaca tech session - mapping cobit 5 & per-02-mbu-2013