Dokumen tersebut membahas tentang quality assurance pengadaan barang dan jasa teknologi informasi di sektor publik, mencakup titik kritis pengadaan TI seperti penganggaran, pembentukan tim, pembuatan persyaratan, perencanaan pengadaan, dan penerbitan permintaan informasi dan kualifikasi awal. Dokumen ini bertujuan meningkatkan akuntabilitas pengelolaan keuangan negara.
2. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
MyCV
Jabatan Struktural:
– Kepala Bidang Pengembangan Sistem Informasi, Badan Pengawasan Keuangan
dan Pembangunan (BPKP)
Aktivitas Pendidikan:
– Universitas Bina Nusantara (Lektor)
– Sekolah Tinggi Akuntansi Negara
Asosiasi Profesi:
– Pendiri dan Anggota Dewan Pengawas Ikatan Audit Sistem Informasi Indonesia
(IASII)
– Assessor dan trainer Pemeringkatan e-Government Indonesia
– Mantan Anggota Kelompok Kerja Evaluasi Teknologi Informasi (Pokja Evatik) pada
Dewan Teknologi Informasi Nasional (Detiknas)
3. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
MyCV
Pendidikan Formal:
– Master of Commerce (Information System) dari Curtin University of Technology
(2000)
– Magister Manajemen (Sistem Informasi) dari Universitas Bina Nusantara (1999)
– Akuntan dari Sekolah Tinggi Akuntansi Negara (1996)
Sertifikasi:
– Ahli Pengadaan (2008, 2011)
4. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pendahuluan
Peningkatan akuntabilitas pengelolaan keuangan negara
Peningkatan upaya pemberantasan korupsi
Proses pemberantasan korupsi sering disalahgunakan oleh penegak hukum
Pejabat publik enggan terlibat dalam urusan pengadaan barang/jasa
Penyerapan anggaran instansi publik rendah
Akuntabilitas sosial instansi publik menurun
Peningkatan akuntabilitas pengadaan barang/jasa berbasis risiko
5. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Tujuan
Menguraikan proyek TI yang dikelola dengan baik
Menguraikan konsep risk, control, dan governance dalam proyek TI
Mempelajari masalah umum yang dialami oleh berbagai proyek TI
Mempelajari apa yang harus dilihat untuk mengevaluasi/audit proyek
TI
7. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Construction Project Life Cycle - Assurance Opportunities
The Project Life Cycle
What are Control Points?
Initiation - Concept and Feasibility
– Quality Assurance 1 - Needs analysis, strategy and alternatives
Planning - Design
– Quality Assurance 2 - Contracting Strategy, Success Factors, Risk Uncertainty, Cost and
Contingency, Project Organizational Structure
Procurement
Evaluation the project schedule - what to look for
Evaluating the Work Breakdown structure - what to look for
Contracts and Contractual Relationships
Recognizing Fraud
Transition to Operations, Turnover, and Close-out
Monitoring: Project Management - what to look for
http://www.amideast.org/uae/professional-development/construction-project-auditing-quality-assurance
8. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Top 15 Pain Areas of a Software Project
Methodology and Standards Risk analysis
Documentation Team building
Customer requirements Customer clarity in terms of
understanding milestones and payments
Measurement of Overrun is in Project Repository
money terms immaterial of time Learning from Past
overrun (time is not measured in Post implementation support
terms of money)
Quality – man, methods, approach
Frequent Status review in a forum and deliverables
Status of project movement is Version Control
person based
Role clarity to project manager
and team on site
http://itknowledgeexchange.techtarget.com/quality-assurance/top-15-pain-areas-in-a-software-project-lifecycle/
9. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Procurement Process
Penunjukan
Penetapan RUP Pengumuman RUP
PA/KPA
Penetapan
PPK/Pejabat Pemilihan
Pengadaan/Pejaba Penetapan RPPBJ Penyedia
t Penerima/Tim Barang/Jasa
Teknis/Juri/Ahli
Penandatanganan Penyerahan Hasil
Penerbitan SPPBJ
Kontrak Pekerjaan
Sumber: Perpres 54/2010
11. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Struktur Pengadaan
PA/KPA
PEJABAT
PEJABAT PEJABAT PEJABAT
PEMBUAT
PENGADAAN PENERIMA PENERBIT SPM
KOMITMENT
PEJABAT PEJABAT
PEMBUAT PEMBUAT
KOMITMENT KOMITMENT
12. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Kesalahan Persepsi
Pengadaan TI diberlakukan sama dengan Pengadaan Barang Biasa:
– KAK hanya menyajikan daftar pengadaan barang
Pengadaan Aplikasi sering dianggap pengadaan konsultan:
– Ketika pembayaran konsultan selesai, aplikasi tidak jadi atau tidak bisa
dioperasionalkan
Konsultan perencanaan TI mengambil utuh spesifikasi dan harga dari
prinsipal, tanpa rasionalisasi untuk kepentingan bidding
Persepsi konsultan perencanaan TI yang berhak mendapat “fee” dari
kontraktor
16. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Tidak adanya IT Grand Design dan IT Inisiatif proyek bersifat sporadis dan
Blue Print di suatu instansi publik reaktif pada kebutuhan sesaat
TOR untuk memperoleh anggaran TI Sustainability project tidak terjaga
tahun depan hanya memperhatikan
kebutuhan jangka pendek, yaitu satu
tahun ke depan
Perencanaan dan penganggaran tidak Sustainability project tidak terjaga
memperhatikan kebutuhan jangka
menengah dan panjang untuk
memastikan sustainability sistem yang
diadakan
Kurang tajamnya pembahasan KAK Dijalankannya proyek yang sebenarnya
anggaran TI oleh instansi/unit tidak layak sejak awal
perencanaan
17. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
KAK tidak mengantisipasi interaksi antar Tidak adanya integrasi antar sistem
sistem / inisiatif proyek TI di internal
instansi pemerintah atau antar instansi
pemerintah
KAK penganggaran TI sangat sederhana, Kinerja proyek menjadi tidak terukur
beberapa lembar kertas saja, tanpa
didukung oleh feasibility study terlebih
dahulu
KAK penganggaran TI disiapkan oleh Tidak adanya ownership dari internal
vendor, bukan inisiatif dari internal
instansi
18. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
KAK penganggaran TI diajukan oleh Pengendalian proyek dari unit pengelola
satuan kerja yang bukan bertanggung- TI tidak ada
jawab di bidang TI
KAK penganggaran TI diajukan tanpa Unit pengelola TI menghindar untuk
koordinasi terlebih dahulu dengan memelihara proyek setelah serah terima
satuan kerja yang bertanggung-jawab di
bidang TI
20. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Struktur tim yang dibentuk terbatas pada 1. Proyek TI menjadi sekedar proyek
PPK, panitia pengadaan, dan panitia pengadaan
penerima barang/jasa, tanpa struktur tim 2. Sistem tidak digunakan oleh user
yang komprehensif, seperti adanya tim 3. Pengembangan tidak sesuai dengan
pengguna, tim pengembang, tim pengadaan, kebutuhan user
tim penerima, tim teknis, dan seterusnya
Pada struktur tim tidak terdapat orang Proyek mengulangi pekerjaan yang sama
yang memahami existing system yang pernah dilakukan sebelumnya
Penanggung-jawab bidang TI belum Tidak ada pengendalian investasi TI
dinyatakan secara formal di suatu
instansi publik
Tim tidak didukung oleh anggaran yang Dapat mengakibatkan tim tidak dapat
cukup yang diasumsikan akan bekerja dengan baik sebagai
menggunakan anggaran “penyeimbang” karena conflict of
kontraktor/konsultan yang termasuk interest
dalam kontrak
22. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Tim tidak mampu menyusun requirement Sistem yang di-supply oleh vendor tidak
document, di mana yang baru tersedia sesuai dengan kebutuhan real
adalah KAK untuk kepentingan
penganggaran dan digunakan langsung
sebagai requirement document
Requirement document disusun oleh pihak 1. Sistem yang di-supply oleh vendor tidak
yang tidak kompeten sesuai dengan kebutuhan real
2. Salah mengestimasi nilai suatu proyek
23. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Requirement document dikerjakan oleh 1. Tidak ada ownership dari internal
konsultan perencana, tanpa melibatkan 2. Estimasi pembiayaan tidak sesuai
pihak internal dengan kebutuhan real
3. Requirement document yang dibuat
konsultan perencana tidak sinkron
dengan yang dibutuhkan pengguna
Pejabat pengguna berganti pada saat Kualitas pengendalian proyek menjadi
project berlangsung rendah
Tidak ada komunikasi pejabat pengguna Pejabat pengguna baru lepas tangan
baru dengan konsultan perencana dengan hasil proyek
Requirement document hanya memuat Kebutuhan minimal tidak terpenuhi
apa yang “diinginkan”, bukan apa yang
harus dilakukan / yang dipersyaratkan
harus di-supply oleh
kontraktor/konsultan
25. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Perencanaan pengadaan terbatas pada Belum direncanakan siapa melakukan apa
penyusunan skedul (waktu) untuk setiap skedul
Perencanaan pengadaan hanya dilakukan Saling mengecek di antara anggota panitia
oleh ketua/sekretaris panitia pengadaan pengadaan tidak berfungsi
tanpa melibatkan anggota pengadaan
lainnya
Rencana pengadaan sudah diumumkan, Kualitas barang/jasa yang diadakan rendah
tetapi KAK belum disusun
26. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Penerbitan
RFI/RFQ
RFI: Request for Information
RFQ: Request for Qualification
27. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
RFI tidak dilalui Tidak diketahui apakah produk yang akan
diadakan masih diproduksi oleh
prinsipal/pabrikan
RFQ hanya dilakukan untuk pengadaan Proses evaluasi terlalu banyak memakan
dengan prakualifikasi. waktu yang dapat mengakibatkan tidak fokus
karena kehabisan waktu dan enerji dengan
peserta yang terlalu banyak
29. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Lingkup pengadaan pada KAK hanya dibatasi Persyaratan lain yang memungkinkan
pada sistem atau perangkat implementasi sistem berjalan dengan baik
tidak diperhatikan, seperti:
Unit/Satuan kerja yang akan
diimplementasikan;
Fitur-fitur yang harus di-supply;
Time frame dan tahapan-tahapan;
Waktu tenaga ahli yang digunakan.
31. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Pada pengadaan perangkat TI, KAK hanya Pada waktu implementasi, kontraktor
memuat daftar jumlah perangkat dan menginstalasi/men-setup/meng-konfigurasi
spesifikasinya, tanpa menguraikan apa yang apa yang mampu dilakukan oleh tenaga ahli
harus diinstall/disetup/dikonfigurasi oleh kontraktor saja, bukan apa yang sebenarnya
kontraktor pada waktu perangkat di-supply dibutuhkan oleh pengguna/harus dilakukan
dilakukan oleh kontraktor
32. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
RFP (dalam bentuk KAK) tidak memuat: Implementasi sistem gagal karena tidak
• Existing environment and constraints; seluruh kebutuhan diantisipasi
• Business requirements and systems
features;
• Technical requirements and
specifications.
34. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
KAK disampaikan terlambat, misalnya pada Kebutuhan tidak dapat disampaikan secara
saat pertengahan aanwijing komprehensif ke bidder
KAK sudah “bocor” ke bidder sebelum Tidak terjadi kompetesi untuk mendapatkan
diumumkan secara resmi barang/jasa yang berkualitas
KAK disebarkan dalam waktu yang pendek 1. Peserta tidak bisa mempersiapkan
penawaran dengan baik
2. Bidder menyampaikan dokumen
penawaran teknis yang tidak
komprehensif
HPS detail disampaikan secara informal ke Harga penawaran yang diperoleh tidak
bidder tertentu kompetitif
36. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Hasil evaluasi administrasi diberi bobot 1. Peserta digugurkan di tahap administrasi
penilaian teknis 2. Mayoritas peserta tersaring bukan
karena kemampuan teknis
Evaluasi teknis dilakukan oleh Panitia Tidak diperoleh penyedia yang benar-benar
Pengadaan tanpa melibatkan tim teknis yang mampu mengerjakan proyek
kompeten
Kriteria evaluasi teknis dibuat rumit Peserta yang terpilih bukan yang berkualitas
38. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
PPK tidak menelaah kembali pengumuman Tidak ada saling cek atas proses pengadaan
pemenang oleh Panitia Pengadaan
Isi sanggahan menyangkut hal-hal yang Pengadaan terperangkap pada aspek
sebenarnya di luar konteks regulasi formalitas
40. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Kontrak tidak dibahas langsung antara 1. PPK tidak memahami substansi
PPK dan penyedia pekerjaan yang harus dikendalikan
2. PPK kurang memahami konsekuensi
pasal-pasal kontrak
PPK tidak mempunyai tim yang Kualitas pengendalian terhadap
memonitor implementasi pasal-pasal penyedia rendah
kontrak
Kontrak tidak pernah di-update, Kontrak tidak sesuai dengan kebutuhan
menggunakan template lama dan terjadi dispute
Tidak melibatkan ahli hukum dari Terjadi dispute di kemudian hari
internal ataupun lawyer atas
penyusunan kontrak yang kompleks
42. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Barang/jasa dikirim tanpa adanya surat Kesulitan pelacakan barang/jasa yang sudah
pengantar/DO di-supply
Persepsi bahwa laporan-laporan dan PPK tidak dapat mengendalikan proses
dokumentasi dianggap bukan keluaran dan pekerjaan penyedia
tidak diserahkan ke PPK
Source code aplikasi tidak diserahkan ke PPK Developer berikutnya tidak bisa
mengembangkan sistem dengan teknologi
yang sudah diadakan.
As built-drawing atau konfigurasi sistem Instansi publik kesulitan melakukan
tidak dicek kembali oleh pengguna untuk pengembangan atas sistem terpasang
dibandingkan dengan kondisi lapangan
44. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Tidak ada anggota Panitia Penerima yang Tidak terjaganya kualitas mutu pekerjaan
kompeten untuk melakukan uji-terima yang diharapkan
Panitia Penerima hanya melakukan Panitia Penerima tidak memahami
formalitas penerimaan pekerjaan barang/jasa yang di-supply
Uji-terima dilakukan langsung di sisi Pengguna terlalu banyak menghabiskan
pengguna, tanpa dilalui terlebih dahulu di waktu untuk pengujian
sisi internal kontraktor
Tidak ada konsultan pengawas yang Kualitas pekerjaan kurang terkendali
mengawasi pekerjaan kontraktor
46. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Proses Risiko
Sistem/perangkat sudah dioperasikan tanpa Perangkat tidak dapat dioperasionalkan
melalui uji-terima
Pengorganisasian pada saat pengoperasian Sistem tidak segera dioperasikan
tidak jelas dan tidak didukung anggaran yang
memadai
Supplier aplikasi membiayai kegiatan operasi Konflik kepentingan
pada tahap awal (baik berupa SDM, ATK, dan
sejenisnya)
Kontrak lupa mensyaratkan dukungan teknis Sustainability sistem tidak terjaga
dan pemeliharaan oleh penyedia (baik jasa
maupun spare-part)
Jangka waktu dukungan teknis dan Tranfer of knowledge tidak dapat berjalan
pemeliharaan terlalu pendek (praktiknya 1 dengan baik, di mana pengadaan TI butuh
tahun) waktu maturity 3 tahun
48. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Definisi
“IT governance aims to align business and information technology
strategies. Organizations adopt IT governance to ensure efficiency,
decreased costs and increased control of IT infrastructures.”
Wessels dan Loggerenberg (2006)
49. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Acuan Tata-Kelola TIK
PP 60/2008
KEPMENKOMINFO
41/PER/MEN.KOMINFO/11/2
007
PENGENDALIAN
TIK INSTANSI
PUBLIK
50. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Kepmenkominfo No. 41/PER/MEN.KOMINFO/11/2007
Perencanaan Sistem
Monitoring dan Evaluasi
Manajemen Belanja/Investasi
Kebijakan Umum
Realisasi Sistem
Pengoperasian Sistem
Pemeliharaan Sistem
Proses Tata-Kelola
Struktur dan Peran Tata-Kelola
51. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
PP No. 60/2008
K
E
K G
PEMANTAUAN PENGENDALIAN INTERN E
G
I
A
U I T
N A A
INFORMASI DAN KOMUNIKASI U
N
I T N
T A 2
I B N
T 1
KEGIATAN PENGENDALIAN A
PENILAIAN RISIKO
LINGKUNGAN PENGENDALIAN
53. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Definisi
Evaluasi: A systematic assessment of the operation and/or the
outcomes of a programme or policy, compared to a set of explicit or
implicit standards, as a means of contributing to the improvement of
the programme or policy (C H Weiss, 1998)
Evaluasi adalah rangkaian kegiatan membandingkan hasil atau prestasi
suatu kegiatan dengan standar, rencana, atau norma yang telah
ditetapkan, dan menentukan faktor-faktor yang mempengaruhi
keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan.
(Pasal 48 ayat 2 huruf c PP 60/2008)
Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti
yang dilakukan secara independen, obyektif, dan profesional
berdasarkan standar audit, untuk menilai kebenaran, kecermatan,
kredibilitas, efektivitas, efisiensi, dan keandalan informasi pelaksanaan
tugas dan fungsi instansi pemerintah (Pasal 48 ayat 2 huruf a PP
60/2008)
55. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Infrastructure for Evaluation
7 What worked?
6
Has the project
worked?
Is there a problem?
2 1
What project
would work?
PROJECT
5
3 Is this project
Will this working?
project
work? 4
Can we make this
work?
56. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pendekatan Evaluasi/Audit
Pendekatan Pegi - Kemkominfo
Pendekatan Pokja Evatik – Detiknas
Pendekatan Lainya: ISACA, etc
58. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pemeringkatan e-Government Indonesia
1. Kebijakan
2. Kelembagaan
3. Infrastruktur
4. Aplikasi Kebijakan
5
4.5
5. Perencanaan
4
3.5
3
2.5
2
Perencanaan 1.5 Kelembagaan
1
0.5
0
Aplikasi Infrastruktur
59. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
1. Kebijakan
Berkaitan dengan produk hukum dan dokumen-dokumen resmi yang
memberi arah dan mendorong pemanfaatan TIK yang terdiri dari antara
lain:
– Proses Kebijakan
– Visi dan Misi
– Strategi Pemanfaatan TIK
– Standar (laporan)
– Pedoman (misalnya keamanan informasi)
– Peraturan
– Keputusan
– Manajemen Risiko/Evaluasi/Audit
60. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
2. Kelembagaan
Berkaitan dengan keberadaan organisasi yang berwewenang dan
bertanggung jawab terhadap pengembangan dan pemanfaatan TIK
dengan indikator antara lain:
– Keberadaan organisasi struktural yang lengkap (menjalankan fungsi CIO, dukungan
teknis dan lain lain)
– Tupoksi yang jelas
– Kelengkapan unit dan aparatur (jumlah, kompetensi dan status)
– Legalitas (dasar hukum)
61. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
3. Infrastruktur
Adanya sarana dan prasarana yang mendukung pemanfaatan TIK yang
terdiri dari antara lain:
– Peranti keras komputer
– Peranti lunak
– Jaringan komunikasi (LAN, WAN, Internet)
– “Service delivery channel” (web, telepon, sms dan lain lain)
– Fasilitas pendukung (AC, UPS, Genset, Access Control)
62. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
4. Aplikasi
Berkaitan dengan ketersediaan dan pemanfaatan peranti lunak aplikasi
yang memenuhi kriteria a.l.:
– Dapat bekerja sesuai dengan kondisi yang ada (ketersediaan infrastruktur, SDM
dll.)
– Dapat bekerja memenuhi kebutuhan yang ada
– Berfungsi mendukung proses kerja yang efisien yang memanfaatkan teknologi
informasi secara maksimal
– Membawa dampak positif bagi efisiensi dan kualitas layanan
– Mampu mengikuti perubahan dari waktu ke waktu dengan mudah
63. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
5. Perencanaan dan Penganggaran
Berkaitan dengan unsur perencanaan dengan indikator antara lain:
– Proses perencanaan untuk pengembangan dan pemanfaatan TIK yang dilakukan
secara nyata
– Kajian kebutuhan dan strategi penerapan TIK yang lengkap yang terdiri dari
tujuan, manfaat, gambaran kondisi saat ini, pemilihan teknologi, kebutuhan
sumber daya, pendekatan, penentuan prioritas, antisipasi kebutuhan masa yad.
dan biaya
– Pengambilan keputusan dan realisasi pengembangan mengacu pada rencana
pengembangan
– Dukungan penganggaran
65. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
If you don't measure it,
you can't manage it
from W. Edwards Deming to Peter Drucker
Slide 65 Kelompok Kerja Evaluasi TIK DETIKNAS
66. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Struktur Kuesioner
Pendahuluan (Latar belakang, Struktur Kuesioner, Petunjuk Pengisian)
Informasi Umum (Nama Lembaga/Kegiatan dan Pihak-Pihak Terkait)
Isian Kuesioner
Riwayat Dokumen
Slide 66 Kelompok Kerja Evaluasi TIK DETIKNAS
67. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Isian Kuesioner
A. Struktur dan Peran Tata Kelola TIK
B. Kebijakan Umum Tata Kelola TIK
C. Proses Tata Kelola TIK
C.1. Perencanaan Sistem TIK
C.2. Manajemen Belanja/Investasi TIK
C.3. Realisasi Sistem TIK
C.4. Pengoperasian Sistem TIK
C.5. Pemeliharaan Sistem TIK
D. Monitoring dan Evaluasi Tata Kelola TIK
E. Manajemen Kepatuhan Tata Kelola TIK
69. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Latar Belakang
Kuesioner Evaluasi Pengendalian Intern TIK disusun sebagai
metodologi yang digunakan oleh Kelompok Kerja Evaluasi TIK
Nasional dalam melakukan evaluasi atas kelayakan perancangan
dan implementasi pengendalian intern dalam tata kelola TIK di
instansi pemerintah.
Kuesioner ini dapat pula digunakan oleh seluruh pihak internal
maupun eksternal instansi pemerintah yang melakukan evaluasi
atas tata kelola TIK pada instansi pemerintah di tingkat
Pemerintah Pusat (Kementerian/Lembaga) serta di tingkat
Pemerintah Daerah (Propinsi dan Kabupaten/Kota).
70. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Dasar Hukum
Keputusan Presiden Republik Indonesia nomor 20 tahun 2006
tentang Dewan Teknologi Informasi dan Komunikasi Nasional
(Detiknas).
Peraturan Menkominfo nomor 41/PER/MEN.KOMINFO/11/2007
tentang Panduan Umum Tata Kelola Teknologi Informasi dan
Komunikasi Nasional.
Keputusan Menkominfo selaku Ketua Harian Dewan Teknologi
Informasi dan Komunikasi Nasional Nomor
19A/KEP/M/KOMINFO/01/2009 tentang Pembentukan Kelompok
Kerja Evaluasi Teknologi Informasi dan Komunikasi Dewan
Teknologi Informasi dan Komunikasi Nasional.
PP Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern
Pemerintah
71. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Petunjuk Pengisian
Pengisian kuesioner dilakukan dengan memberikan tanda pada kolom
“Ya” atau “Tidak”, di mana:
– Jika dijawab “Ya” maka kolom “Keterangan” diisi dengan bukti-bukti yang terkait
dengan rancangan/implementasi pengendalian tersebut, dan
– Jika dijawab “Tidak” maka kolom “Keterangan” diisi dengan penjelasan kendala
yang mengakibatkan pengendalian tersebut belum dapat dilaksanakan.
Seluruh kuesioner ini dirancang dengan pendekatan positif, di mana
seluruh jawaban “Ya” menunjukkan kelayakan pengendalian intern,
dan seluruh jawaban “Tidak” menunjukkan kelemahan pengendalian
intern TIK yang terkait.
72. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian A
Struktur dan Peran
Tata Kelola TIK
Kuesioner Evaluasi Pengendalian Intern TIK
73. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
A. Struktur dan Peran Tata Kelola TIK
Penetapan struktur tata kelola dimaksudkan untuk memastikan kapasitas
kepemimpinan yang memadai, dan hubungan antar satuan kerja yang sinergis
dalam perencanaan, penganggaran, realisasi, operasi, dan evaluasi
implementasi sistem TIK di pemerintahan. Deskripsi peran yang dimaksud di
sini adalah peran-peran yang mempunyai kaitan langsung dengan mekanisme
tata kelola TIK.
Struktur Tata Kelola TIK terdiri dari:
Dewan TIK Nasional *
CIO Nasional *
Eksekutif Institusi
CIO Institusi
Komite TIK Institusi
Satuan Kerja Pengelola TIK Institusi
Satuan Kerja Pemilik Proses Bisnis Institusi
* Tidak termasuk lingkup evaluasi dalam Kuesioner ini
74. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Eksekutif Institusi
Apakah terdapat kebijakan mengenai peran Eksekutif Institusi yang
mencakup hal-hal berikut ini:
– Tanggung jawab atas seluruh implementasi TIK di institusinya?
– Tanggung jawab atas arahan strategis dan evaluasi keseluruhan dari inisiatif TIK di
institusinya?
75. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
CIO Institusi
Apakah terdapat kebijakan mengenai peran CIO Institusi yang
mencakup hal-hal berikut ini:
– Koordinasi perencanaan dan pelaksanaan inisiatif dan portofolio TIK institusi?
– Review berkala atas pelaksanaan implementasi TIK di institusinya?
76. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Komite TIK Institusi
Apakah terdapat kebijakan mengenai peran Komite TIK Institusi yang
mencakup hal-hal berikut ini:
– Sinergi dan integrasi Rencana TIK institusi yang mengakomodir kepentingan
seluruh satuan kerja?
– Sinergi rencana belanja/investasi satuan kerja untuk memastikan tidak adanya
tumpang tindih inisiatif TIK?
– Review atas evaluasi berkala implementasi TIK yang dilakukan oleh CIO untuk
memastikan keselarasan dengan rencana semula?
77. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Satuan Kerja Pengelola TIK Institusi
Apakah terdapat kebijakan mengenai peran Satuan Kerja Pengelola TIK
Institusi yang mencakup hal-hal berikut ini:
– Tanggung jawab atas implementasi sistem TIK, sesuai dengan spesifikasi
kebutuhan yang diberikan oleh Satuan Kerja Pemilik Proses Bisnis?
– Tanggung jawab atas keberlangsungan dan kualitas aspek teknis sistem TIK dalam
tahap operasional?
– Tanggung jawab atas pemeliharaan sumber daya TIK institusi?
78. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Satuan Kerja Pemilik Proses Bisnis Institusi
Apakah terdapat kebijakan mengenai peran Satuan Kerja Pemilik
Proses Bisnis Institusi yang mencakup hal-hal berikut ini:
– Tanggung jawab atas pendefinisian kebutuhan dalam implementasi inisiatif TIK?
– Pemberian masukan atas implementasi TIK khususnya kualitas operasional sistem
TIK?
79. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Contoh Struktur Tata Kelola TIK
Sumber:
Materi Pelatihan “TataKelola
dan Audit atas e-
Government”dari Audittindo
Education.
80. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Contoh Struktur Tata Kelola TIK
Sumber:
Materi Pelatihan “TataKelola
dan Audit atas e-
Government”dari Audittindo
Education.
81. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Contoh Struktur Tata Kelola TIK
Sumber:
Materi Pelatihan “TataKelola
dan Audit atas e-
Government”dari Audittindo
Education.
82. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian B
Kebijakan Umum
Tata Kelola TIK
Kuesioner Evaluasi Pengendalian Intern TIK
83. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
B. Kebijakan Umum Tata Kelola TIK
Kebijakan umum tata kelola TIK merupakan pernyataan yang akan
menjadi arahan dan batasan bagi setiap proses tata kelola TIK.
Kebijakan ini berlaku untuk seluruh proses tata kelola TIK.
Kebijakan Umum Tata Kelola TIK terdiri dari:
– Keselarasan Strategis Organisasi dan TIK
– Manajemen Risiko
– Manajemen Sumber Daya:
• Sumber Daya Finansial
• Sumber Daya Informasi
• Sumber Daya Teknologi
84. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keselarasan Strategis Organisasi dan TIK
Apakah terdapat kebijakan umum tata kelola TIK di institusi mengenai
keharusan keselarasan strategi TIK dengan strategis organisasi yang
mencakup keselarasan:
– Arsitektur atau inisiatif TIK dengan visi dan tujuan organisasi?
– Tujuan TIK dengan tujuan organisasi, di mana setiap tujuan TIK mempunyai
referensi tujuan organisasi?
– Arsitektur TIK (arsitektur informasi, arsitektur aplikasi, dan arsitektur infrastruktur)
dengan arsitektur bisnis organisasi?
– Eksekusi inisiatif TIK dengan rencana strategis organisasi?
85. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Risiko
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Risiko yang mencakup hal-hal berikut ini:
– Prioritas risiko dalam pengelolaan TIK oleh institusi pemerintahan, mencakup
risiko proyek, risiko atas informasi, dan risiko atas keberlangsungan layanan?
• Risiko atas proyek, mencakup kemungkinan tertundanya penyelesaian proyek TIK,
biaya yang melebihi dari perkiraan atau hasil akhir proyek tidak sesuai dengan
spesifikasi yang telah ditentukan di awal?
• Risiko atas informasi, mencakup akses yang tidak berhak atas aset informasi,
pengubahan informasi oleh pihak yang tidak berhak dan penggunaan informasi oleh
pihak yang tidak punya hak untuk keperluan yang tidak sebagaimana mestinya?
• Risiko atas keberlangsungan layanan, mencakup kemungkinan terganggunya
ketersediaan (availabilitas) layanan TIK atau layanan TIK sama sekali tidak dapat
berjalan?
86. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Risiko (lanjt.)
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Risiko yang mencakup hal-hal berikut ini:
– Pengendalian atas risiko secara umum mencakup:
• Implementasi Tata Kelola Proyek untuk setiap proyek TIK yang diimplementasikan
oleh instansi?
• Implementasi Tata Kelola Keamanan di manajemen TIK dan seluruh sistem TIK yang
berjalan, khususnya untuk meminimalkan risiko atas informasi dan keberlangsungan
layanan?
87. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Risiko (lanjt.)
Siklus Manajemen Risiko
Siklus Manajemen
Risiko ini secara umum
telah diadopsi dalam PP
60/2008 tentang Sistem
Pengendalian Intern
Pemerintah (SPIP)
Sumber: COSO Enterprise Risk
Management
88. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Sumber Daya
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Sumber Daya yang mencakup hal-hal berikut ini:
– Manajemen sumber daya dalam Tata Kelola TIK yang ditujukan untuk mencapai
efisiensi dan efektivitas penggunaan sumber daya TIK, yang melingkupi sumber
daya finansial, informasi, teknologi, dan SDM?
89. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Sumber Daya - Finansial
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Sumber Daya yang mencakup hal-hal berikut ini:
– Ketercapaian efisiensi finansial dicapai melalui:
• Pemilihan sumber-sumber dana yang tidak memberatkan untuk pengadaan TIK?
• Kelayakan belanja TIK secara finansial harus bisa diukur secara rasional dengan
menggunakan metoda-metoda penganggaran modal?
• Dijalaninya prosedur pengadaan yang efisien dengan fokus tetap pada kualitas
produk dan jasa TIK?
• Prioritas anggaran diberikan untuk proyek TIK yang bermanfaat untuk banyak pihak,
berbiaya rendah, dan cepat dirasakan manfaatnya?
• Perhitungan manfaat dan biaya harus memasukkan unsur-unsur yang bersifat
tangible dan terukur maupun yang bersifat intangible dan relatif tidak mudah
diukur?
90. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Sumber Daya – Finansial (lanjt.)
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Sumber Daya yang mencakup hal-hal berikut ini:
– Ketercapaian efisiensi finansial dicapai melalui:
• Efisiensi finansial harus mempertimbangkan biaya kepemilikan total (Total Cost of
Ownership/TCO) yang bisa meliputi harga barang/jasa yang dibeli, biaya pelatihan
karyawan, biaya pemeliharaan, biaya langganan (subscription/license fee), dan
biaya-biaya yang terkait dengan pemerolehan barang/jasa yang dibeli?
• Efisiensi finansial bisa mempertimbangkan antara keputusan membeli atau
membuat sendiri sumber daya TIK. Selain itu juga bisa mempertimbangkan antara
sewa (outsourcing) dengan memiliki sumber daya TIK baik dengan membuat sendiri
maupun membeli?
91. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Sumber Daya - Informasi
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Sumber Daya yang mencakup hal-hal berikut ini:
– Ketercapaian efisiensi dan efektivitas sumber daya informasi dicapai melalui:
• Penyusunan arsitektur informasi yang mencerminkan kebutuhan informasi, struktur
informasi dan pemetaan hak akses atas informasi oleh peran-peran yang ada dalam
manajemen organisasi?
• Identifikasi kebutuhan perangkat lunak aplikasi yang sesuai dengan spesifikasi
arsitektur informasi, yang memungkinkan informasi diolah dan disampaikan kepada
peran yang tepat secara efisien?
92. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Sumber Daya - Teknologi
Apakah terdapat kebijakan umum tata kelola TIK mengenai
Manajemen Sumber Daya yang mencakup hal-hal berikut ini:
– Efisiensi penggunaan teknologi, yang mencakup platform aplikasi, software sistem,
infrastruktur pemrosesan informasi, dan infrastruktur jaringan komunikasi, yang
dicapai melalui konsep “mekanisme shared service”, baik di internal institusi
pemerintahan atau antarinstitusi pemerintahan, yang meliputi:
• Aplikasi, yaitu software aplikasi yang secara arsitektur teknis dapat di-share
penggunaannya karena kesamaan kebutuhan fitur fungsionalitas, perbedaan hanya
sebatas di aspek konten informasi?
• Infrastruktur Komunikasi, termasuk jaringan komputer/komunikasi dan koneksi
internet?
• Data, yaitu keseluruhan data yang menjadi konten informasi. Pengelolaan data
dilakukan dengan sistem Data Center/Disaster Recovery Center (DC/DRC)?
93. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian C
Proses Tata Kelola TIK
Kuesioner Evaluasi Pengendalian Intern TIK
94. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
C. Proses Tata Kelola TIK
C.1. Perencanaan Sistem TIK
C.2. Manajemen Belanja/Investasi TIK
C.3. Realisasi Sistem TIK
C.4. Pengoperasian Sistem TIK
C.5. Pemeliharaan Sistem TIK
95. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian C.1
Proses Tata Kelola:
Perencanaan Sistem TIK
Kuesioner Evaluasi Pengendalian Intern TIK
96. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan Sistem TIK
Perencanaan Sistem merupakan proses yang ditujukan untuk
menetapkan visi, arsitektur TIK dalam hubungannya dengan
kebutuhan organisasi dan rencana realisasi atas implementasi visi dan
arsitektur TIK tersebut. Rencana TIK yang telah disusun akan menjadi
referensi bersama bagi seluruh satuan kerja dalam sebuah institusi
atau referensi bersama beberapa institusi yang ingin mensinergikan
inisiatif TIK-nya.
Perencanaan Sistem TIK terdiri dari:
Arsitektur Informasi
Arsitektur Aplikasi
Arsitektur Infrastruktur Teknologi
Organisasi dan Manajemen
Pendekatan dan Roadmap Implementasi
97. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan Sistem TIK
Apakah terdapat kebijakan mengenai perencanaan sistem TIK?
Jika terdapat kebijakan mengenai perencanaan sistem TIK, apakah kebijakan
tersebut mengharuskan sinkronisasi & integrasi perencanaan TIK yang
dilakukan sejak di level internal institusi maupun hubungan antar institusi?
Apakah Rencana Induk TIK lima tahunan institusi telah memperoleh
persetujuan akhir dari Komite TIK Institusi serta disahkan secara legal dan
formal oleh Eksekutif Institusi?
Apakah penyusunan Rencana Induk TIK lima tahunan yang menjadi dasar
dalam pelaksanaan inisiatif TIK tahunan minimal telah mencakup hal-hal
berikut ini:
– Arsitektur Informasi?
– Arsitektur Aplikasi?
– Arsitektur Infrastruktur Teknologi?
– Organisasi dan Manajemen?
– Pendekatan dan Roadmap Implementasi?
98. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan - Arsitektur Informasi
Apakah Rencana Arsitektur Informasi yang ada telah:
– Mencakup definisi lingkup kebutuhan informasi yang dipetakan ke dalam proses
bisnis organisasi terkait?
– Mencakup informasi terstruktur (data mart, database, database tabel, pertukaran
data) dan informasi tidak terstruktur (gambar, video, file dokumen, dsb.)?
– Mencakup penetapan klasifikasi ke dalam kelas-kelas data, pemetaan kepemilikan
data, dan pendefinisian data dictionary, dan syntax rules?
– Menetapkan klasifikasi level keamanan data untuk setiap klasifikasi kelas data
melalui penetapan kriteria yang tepat sesuai dengan kebutuhan organisasi?
– Mampu menyediakan satu referensi model informasi organisasi, yang menjadi
rujukan seluruh desain software aplikasi di tahap selanjutnya, dalam rangka
mengurangi tingkat redundansi informasi?
99. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan - Arsitektur Aplikasi
Apakah Rencana Arsitektur Aplikasi yang ada telah:
– Memberikan peta tentang aplikasi apa saja yang dibutuhkan sesuai dengan
karakteristik konteks organisasi dan manajemen, misalnya, pelayanan publik,
manajemen internal, pendukung manajemen, atau data warehouse dan BI?
– Menerapkan pendekatan “One Stop Window” untuk setiap tipe pelanggan
institusi pemerintah, terutama untuk di kementerian/lembaga, propinsi dan
kabupaten/kota?
– Mampu merealisasikan dukungan atas proses bisnis, di mana setiap aplikasi selalu
akan berkorelasi terhadap sebuah proses bisnis tertentu yang didukungnya?
– Mencakup definisi lingkup aplikasi beserta persyaratan dan spesifikasi desain apa
saja yang dibutuhkan oleh organisasi untuk mengakomodasi seluruh level proses
bisnis organisasi seperti: transaksional, operasional, pelaporan, analisa,
monitoring dan evaluasi, serta perencanaan?
100. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan - Arsitektur Aplikasi (lanjt.)
Dalam hal kategorisasi aplikasi telah dilakukan, apakah kategori secara
umum berikut ini dipenuhi?
– Pelayanan Publik – Aplikasi yang dikhususkan untuk memberikan pelayanan
kepada warga & komunitas bisnis, baik layanan informasi, komunikasi maupun
transaksi.
– Manajemen Internal – Aplikasi yang dikhususkan untuk mengelola proses bisnis
standar manajemen seperti keuangan, kepegawaian, pengelolaan aset,
pengelolaan program kerja, monitoring kinerja, dan sejenisnya.
– Pendukung Manajemen – Aplikasi yang sifatnya mendukung operasional
manajemen sehingga proses-proses bisnis standar manajemen dan pelayanan
kepada publik dapat optimal, mencakup di antaranya fungsional informasi,
komunikasi dan kolaborasi.
– Datawarehouse & Business Intelligence – Aplikasi yang digunakan untuk
mengelola laporan dan fasilitas analisa data multidimensional
101. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Arsitektur Infrastruktur Teknologi
Apakah Rencana Arsitektur Infrastruktur Teknologi, jika ada, telah:
– Mencakup topologi, konfigurasi, dan spesifikasi infrastruktur teknologi beserta
pendekatan siklus hidupnya untuk memastikan infrastruktur teknologi yang
digunakan organisasi selalu sesuai dengan kebutuhan?
– Mencakup jaringan komunikasi, perangkat pemrosesan informasi (server,
workstation dan peripheral pendukungnya), software system (sistem operasi,
database RDBMS), dan media penyimpanan data?
– Mengutamakan mekanisme shared-services, untuk meningkatkan efisiensi belanja
TIK, atas aspek-aspek sumberdaya berikut ini:
• Infrastruktur Komunikasi, termasuk jaringan komputer/komunikasi dan koneksi
internet?
• Infrastruktur penyimpanan data (Data Center) dan DRC (Disaster Recovery Center)?
102. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan - Organisasi dan Manajemen
Apakah Rencana Organisasi dan Manajemen, jika ada, telah:
– Mencakup struktur organisasi dan deskripsi peran, serta kebijakan dan prosedur
untuk menjalankan seluruh proses dalam manajemen TIK?
– Mencakup identifikasi struktur organisasi pengelola yang akan melakukan
operasional harian?
– Mencakup pendefinisian prosedur teknis dengan prioritas pada bidang:
• Realisasi Sistem?
• Operasi Sistem?
• Pemeliharaan Sistem?
103. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pendekatan & Roadmap Implementasi
Apakah Rencana Pendekatan dan Roadmap Implementasi, jika ada,
telah:
– Mencakup pola pendekatan yang digunakan untuk memastikan implementasi
seluruh arsitektur beserta organisasi dan manajemen, didukung oleh roadmap
implementasi yang mendeskripsikan tahapan dan target implementasi dalam
sebuah durasi waktu tertentu?
– Menyertakan skenario Tata Kelola Proyek untuk setiap proyek inisiatif TIK yang
direncanakan, untuk memastikan proyek-proyek inisiatif TIK dapat diselesaikan
tepat waktu, tepat sasaran, dan tepat anggaran?
– Menyertakan proyeksi jadwal benefit yang diharapkan dapat terealisasi (benefit
realization schedule), dengan memperhatikan hal-hal berikut ini:
• Metrik untuk mengukur manfaat dikembangkan melalui suatu proses yang
terstrukur?
• Memungkinkan untuk dilakukan analisis atas alokasi dari manfaat TIK dalam jangka
waktu tertentu?
104. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pendekatan & Roadmap Implementasi (lanjt.)
Apakah Rencana Pendekatan dan Roadmap Implementasi, jika ada,
telah:
– Mempunyai roadmap implementasi yang didasarkan pada analisa kesenjangan
arsitektur (informasi, aplikasi dan infrastruktur teknologi) serta kesenjangan
manajemen dan organisasi?
– Terdiri dari portofolio program implementasi, yang dapat terdiri dari beberapa
portofolio proyek untuk setiap programnya, penetapan peringkat prioritas
portofolio, dan pemetaan sesuai dengan durasi waktu yang ditargetkan?
– Menetapkan peringkat prioritas portofolio proyek inisiatif TIK dilakukan setidaknya
berdasarkan faktor level anggaran yang dibutuhkan, kompleksitas sistem, dan
besar usaha yang diperlukan?
105. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Perencanaan Sistem TIK
Apakah Komite TIK Institusi atau pihak lain telah melakukan review
secara reguler atas kekinian dan kesesuaian Rencana Induk TIK institusi,
serta indikator keberhasilan keselarasan strategis dan efisiensi teknis
berikut ini:
– Tingkat konsistensi dengan Rencana TIK terkait?
– Tingkat kontribusi tujuan TIK dalam mendukung tujuan organisasi secara umum,
dalam perspektif desain?
– Tingkat kepuasan stakeholders atas Rencana TIK yang sudah disusun, dalam
perspektif akomodasi kepentingan?
– Tingkat kesesuaian proyek-proyek TIK yang sudah/sedang berjalan dibandingkan
dengan yang direncanakan, dan kesahihan dasar pengambilan keputusan jika
terjadi deviasi khususnya untuk proyek-proyek TIK yang kritikal/strategis?
– Penurunan tingkat redundansi sistem akibat kurang optimalnya implementasi
mekanisme shared-services arsitektur teknis?
106. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian C.2
Proses Tata Kelola:
Manajemen Belanja/Investasi TIK
Kuesioner Evaluasi Pengendalian Intern TIK
107. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
C.2. Manajemen Belanja/Investasi TIK
Manajemen Belanja/Investasi TIK merupakan proses pengelolaan
anggaran untuk keperluan belanja/investasi TIK, sesuai dengan
mekanisme proyek inisiatif TIK yang telah ditetapkan sebelumnya
dalam Portofolio Proyek Inisiatif TIK dan Roadmap Implementasi.
Realisasi belanja/investasi ini dilakukan melalui mekanisme
penganggaran tahunan.
108. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Belanja/Investasi TIK (lanjt.)
Apakah terdapat kebijakan mengenai manajemen belanja/investasi
TIK?
Jika terdapat kebijakan mengenai manajemen belanja/investasi TIK,
apakah:
– Penganggaran TIK sudah mencakup seluruh tipe belanja/investasi TIK yang
mempunyai hubungan konsekuensi langsung dengan anggaran, termasuk juga
pinjaman atau hibah, jika mempunyai konsekuensi langsung dengan anggaran?
– Pengelolaan belanja/investasi TIK telah dilakukan melalui mekanisme penyusunan
Rencana Kegiatan dan Anggaran institusi, seiring dengan bidang-bidang lainnya,
sesuai dengan regulasi yang berlaku?
– Komite TIK Institusi atau pihak lain telah melakukan review untuk memastikan
tidak adanya redundansi proyek TIK dan memberikan persetujuan atas Rencana
Kegiatan dan Anggaran TIK yang diajukan oleh Satuan Kerja Pengelola TIK atau
Satuan Kerja Pemilik Proses Bisnis?
109. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Belanja/Investasi TIK (lanjt.)
Apakah penganggaran TIK sudah memisahkan anggaran belanja TIK ke
dalam tipe pengeluaran (expenditures) berikut ini:
– Pengeluaran Operasi (Operational Expenditure = OpEx) yang mencakup seluruh
pengeluaran TIK dalam rangka menjaga tingkat dan kualitas layanan, seperti biaya
gaji dan lembur, biaya sewa alat, biaya overhead, dan Alat Tulis Kantor?
– Pengeluaran Modal (Capital Expenditure = CapEx) yang mencakup seluruh
investasi dalam bentuk aset/infrastruktur TIK yang diperlukan untuk memberikan,
memperluas dan/atau meningkatkan kualitas layanan publik. Nilai buku aset akan
disusut (depresiasi) selama umur ekonomisnya yang wajar (kecuali tanah), seperti
pembangunan atau pembelian jaringan, server dan PC, perangkat lunak,
bangunan, dan tanah?
110. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Belanja/Investasi TIK (lanjt.)
Apakah pemilihan pola penganggaran TIK (CapEx dan OpEx) sudah
mempertimbangkan faktor-faktor sebagai berikut ini:
– Umur ekonomis sumber daya TIK – Pengeluaran TIK yang mempunyai umur
ekonomis lebih dari satu tahun telah dipertimbangkan untuk menggunakan
CapEx?
– Ketersediaan anggaran – Untuk institusi yang mempunyai anggaran TIK terbatas
telah menggunakan pola OpEx (misal sewa atau outsourcing)?
– Tingkat kecepatan keusangan (obsoleteness) – Untuk teknologi yang cepat usang
dengan tingkat kembalian yang tidak jelas atau berjangka panjang, telah
menggunakan pola OpEx?
– Nilai strategis TIK – Sumber daya TIK yang bernilai strategis tinggi (kerahasiaan,
nilai ekonomi, kedaulatan negara, dan hal lain yang sejenis) telah menggunakan
pola CapEx?
111. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Belanja/Investasi TIK (lanjt.)
Apakah pemilihan pola penganggaran TIK (CapEx dan OpEx) sudah
mempertimbangkan faktor-faktor sebagai berikut ini:
– Karakteristik Proyek (skala, risiko, dll) – Proyek TIK dengan skala (magnitude)
besar yang mempunyai risiko besar telah diminimalkan dengan menggunakan pola
OpEx?
– Urgensi - Sumber daya TIK yang membutuhkan ketersediaan dalam waktu singkat
telah menggunakan OpEx, seperti dengan cara sewa atau outsourcing?
– Ketersediaan Pemasok – Ketersediaan pemasok telah menjadi ukuran pemilihan
berbasis CapEx atau OpEx?
112. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Belanja/Investasi TIK (lanjt.)
Apakah pemilihan pola penganggaran TIK (CapEx dan OpEx) sudah
mempertimbangkan faktor-faktor sebagai berikut ini:
– Ketersediaan Sumber Daya - Untuk institusi yang tidak memiliki SDM TIK yang
memadai telah memiliih pendekatan OpEx (sewa atau outsourcing)?
– Capital Budgeting - Pembuatan keputusan belanja atau investasi TIK
menggunakan perhitungan capital budgeting, seperti Internal Rate of Return (IRR),
Net Present Value (NPV), Payback Period, Cost-Benefit Ratio, atau Return on
Investment (RoI)?
– Visi dan Misi Institusi – Apakah keputusan belanja/investasi TIK telah berdasarkan
visi dan misi institusi?
113. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Belanja/Investasi TIK (lanjt.)
Apakah proses manajemen biaya institusi telah menyediakan informasi
yang cukup untuk melakukan identifikasi dan penilaian (kualitatif dan
kuantitatif) manfaat dari solusi TIK, layanan TIK dan pengelolaan
sumberdaya TIK?
– Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas indikator
keberhasilan manajemen belanja/investasi TIK berikut ini:
• Digunakannya sumber-sumber pendanaan yang efisien?
• Kesesuaian realisasi penyerapan anggaran TIK dengan realisasi pekerjaan yang
direncanakan?
• Diperolehnya sumber daya TIK yang berkualitas dengan melalui proses
belanja/investasi TIK yang efisien, cepat, bersih dan transparan?
114. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian C.3
Proses Tata Kelola:
Realisasi Sistem TIK
Kuesioner Evaluasi Pengendalian Intern TIK
115. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
C.3. Realisasi Sistem TIK
Realisasi sistem TIK merupakan proses yang ditujukan untuk
mengimplementasikan perencanaan TIK, mulai dari pemilihan sistem
TIK sampai dengan evaluasi pasca implementasi.
Realisasi Sistem TIK terdiri dari:
– Identifikasi dan Pemilihan Alternatif Sistem
– Realisasi Software Aplikasi
– Realisasi Infrastruktur Teknologi
– Realisasi Pengelolaan Data
116. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Identifikasi dan Pemilihan Alternatif Sistem
Apakah terdapat kebijakan mengenai proses identifikasi dan pemilihan
alternatif sistem?
Jika terdapat kebijakan mengenai proses identifikasi dan pemilihan
alternatif sistem, apakah:
– Pemilihan alternatif sistem atau proses pemilihan sistem dari alternatif sistem
yang ada telah dilakukan dengan menggunakan referensi hasil studi kelayakan?
– Manajemen TIK telah melakukan studi kelayakan yang setidaknya terdiri dari
aktivitas berikut ini:
• Penentuan kebutuhan secara fungsional proses bisnis dan persyaratan-persyaratan
teknikal?
• Penentuan manfaat (benefit) apa yang hendak dicapai dengan keberadaan sistem
yang akan dikembangkan?
• Analisis risiko terkait dengan proses bisnis?
117. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Identifikasi dan Pemilihan Alternatif Sistem (lanjt.)
Jika terdapat kebijakan mengenai proses identifikasi dan pemilihan
alternatif sistem, apakah:
– Untuk sistem TIK berskala besar, strategis, dan berpotensi mempengaruhi sistem-
sistem TIK sebelumnya, pemilihan alternatif sistem TIK telah dilakukan melalui
mekanisme Proof of Concept (POC), di mana:
• Hanya sistem-sistem TIK yang dinyatakan lulus POC yang dapat mengikuti proses
formal seleksi atau tender?
• Pelaksanaan POC telah dilakukan berdasarkan skenario teknis yang disetujui oleh
pihak institusi pemerintah dan vendor terkait?
– Pelaksanaan pemilihan sistem dari alternatif yang ada telah dilaksanakan
berdasarkan aturan pemerintah Indonesia terkait dengan pengadaan barang dan
jasa?
118. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Identifikasi dan Pemilihan Alternatif Sistem (lanjt.)
Apakah Komite TIK Institusi atau pihak lain telah melakukan review atas
indikator keberhasilan realisasi sistem TIK berikut ini:
– Peningkatan jumlah realisasi sistem yang tidak mengalami backlog (tertunda dan
mendesak untuk segera diselesaikan)?
– Persentase realisasi sistem yang disetujui oleh pemilik proses bisnis dan manajemen
TIK?
– Jumlah realisasi software aplikasi yang diselesaikan tepat waktu, sesuai dengan
spesifikasi dan selaras dengan arsitektur TIK?
– Jumlah realisasi software aplikasi tanpa permasalahan integrasi selama implementasi?
– Jumlah realisasi software aplikasi yang konsisten dengan perencanaan TIK yang telah
disetujui?
– Jumlah software aplikasi yang didukung dokumentasi memadai dari yang seharusnya?
– Jumlah implementasi software aplikasi yang terlaksana tepat waktu?
– Penurunan jumlah downtime infrastruktur?
119. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Software Aplikasi
Apakah terdapat kebijakan mengenai proses pengembangan dan/atau
pengadaan (akuisisi) software aplikasi yang mengharuskan penggunaan
metodologi System Development Life Cycle (SDLC)?
– Jika kebijakan telah mengharuskan penggunaan metodologi SDLC, apakah telah
diterapkan pada hal-hal berikut:
• Penerjemahan kebutuhan/persyaratan bisnis ke dalam spesifikasi desain?
• Penyusunan desain detail dan teknikal software aplikasi telah mencakup:
– Pengendalian Aplikasi (Application Control) yang memungkinkan setiap pemrosesan
dalam software aplikasi akurat, lengkap, tepat waktu, terotorisasi dan dapat diaudit?
– Pengendalian Keamanan Aplikasi (Application Security Control) yang dapat
memungkinkan terpenuhinya aspek kerahasiaan (confidentiality), ketersediaan
(availability), dan integritas (integrity)?
120. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Software Aplikasi (lanjt.)
Jika telah menggunakan metodologi SDLC, apakah telah diterapkan
pada hal-hal berikut :
– Implementasi desain detail dan teknikal ke dalam kode program (coding)?
– Otorisasi atas fitur pemrosesan sistem informasi dan modifikasi program?
– Manajemen perubahan persyaratan/kebutuhan?
– Pelaksanaan penjaminan mutu (Quality Assurance)?
– Pengujian dan persetujuan atas seluruh perangkat lunak yang baru dan yang
dimutakhirkan?
121. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Software Aplikasi (lanjt.)
Jika telah menggunakan metodologi SDLC, apakah telah diterapkan
pada hal-hal berikut :
– Uji coba (testing) mencakup:
• Unit Testing, System Testing, Integration Testing?
• User Acceptance Test (UAT)?
– Instalasi dan akreditasi?
– Prosedur untuk memastikan terselenggaranya pengendalian atas kepustakaan
perangkat lunak?
122. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Software Aplikasi (lanjt.)
Apakah metoda SDLC juga diimplementasikan atas upgrade atas
software aplikasi yang ada (existing) yang bersifat utama (mayor) yang
menghasilkan perubahan signifikan atas desain dan fungsionalitas yang
ada (existing)?
Apakah setiap software aplikasi yang direalisasikan telah disertai
dengan training dan/atau transfer pengetahuan kepada pengguna dan
administrator sistem?
Apakah setiap software aplikasi yang direalisasikan telah disertai oleh:
– Dokumentasi hasil aktivitas tahapan-tahapan dalam SDLC?
• Manual/Petunjuk Aplikasi yang terdiri dari:
• Manual Pengguna?
• Manual Operasi?
• Manual Dukungan Teknis
• Manual Administrasi?
• Materi Alih Pengetahuan?
• Materi Training?
123. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Infrastruktur Teknologi
Apakah terdapat kebijakan mengenai proses realisasi infrastruktur
teknologi yang mencakup perangkat keras pemrosesan informasi
(server, workstation, dan peripheral), jaringan komunikasi, dan
software infrastruktur (sistem operasi dan alat/tool sistem)?
Jika terdapat kebijakan mengenai proses realisasi infrastruktur
teknologi, apakah:
– Pertimbangan kapasitas infrastruktur teknologi telah disesuaikan dengan
kebutuhan, di mana setiap realisasi infrastruktur teknologi telah disertai
sebelumnya dengan analisis kebutuhan kapasitas?
– Setiap realisasi infrastruktur teknologi telah memperhatikan pengendalian terkait
dengan faktor keamanan dan auditability yang memungkinkan audit atas kinerja
dan sejarah transaksi yang dilakukan dengan tingkat kedalaman spesifikasi telah
disesuaikan dengan kebutuhan manajemen/pengelolaan?
124. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Infrastruktur Teknologi (lanjt.)
Jika terdapat kebijakan mengenai proses realisasi infrastruktur
teknologi, apakah:
– Apakah tahapan testing telah dilakukan sebelum masuk tahapan operasional?
– Apakah tahapan testing telah dilakukan di lingkungan terpisah (testing
environment)?
– Apakah terdapat pelatihan dan alih pengetahuan kepada pengelola infrastruktur
teknologi?
– Apakah setiap realisasi infrastruktur teknologi telah terdapat dokumentasi:
• Manual Operasi (untuk pengelola sistem)?
• Manual Dukungan Teknis (technical support)?
125. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Pengelolaan Data
Apakah terdapat kebijakan mengenai proses realisasi pengelolaan data
yang mengharuskan setiap langkah pengelolaan data memperhatikan
tahapan input, proses, dan output data?
Jika terdapat kebijakan mengenai proses realisasi pengelolaan data,
apakah:
– Pada tahapan input telah dijalankan prosedur berikut ini:
• Prosedur akses data?
• Prosedur transaksi data untuk memeriksa akurasi, kelengkapan, dan validitasnya?
• Prosedur pencegahan kesalahan input data?
– Pada tahapan proses telah dijalankan prosedur berikut ini:
• Prosedur pengolahan data?
• Prosedur validasi dan editing?
• Prosedur penanganan kesalahan pemrosesan?
126. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Pengelolaan Data (lanjt.)
Jika terdapat kebijakan mengenai proses realisasi pengelolaan data,
apakah:
– Pada tahapan output telah dijalankan prosedur berikut ini:
• Prosedur distribusi?
• Penanganan kesalahan?
• Prosedur keamanan data?
– Telah dilaksanakan prosedur pengendalian otorisasi yang minimal mencakup:
• Pengendalian terhadap dokumen sumber?
• Pengesahan atas dokumen sumber?
• Pembatasan akses ke terminal entri data?
• Penggunaan file induk dan laporan khusus untuk memastikan bahwa seluruh data
yang diproses telah diotorisasi?
127. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Pengelolaan Data (lanjt.)
Jika terdapat kebijakan mengenai proses realisasi pengelolaan data,
apakah:
– Telah dilaksanakan prosedur pengendalian kelengkapan yang minimal mencakup:
• Pengentrian dan pemrosesan seluruh transaksi yang telah diotorisasi ke dalam
sistem?
• Pelaksanaan rekonsiliasi data untuk memverifikasi kelengkapan data?
– Telah dilaksanakan prosedur pengendalian akurasi yang minimal mencakup:
• Penggunaan desain entri data untuk mendukung akurasi data?
• Pelaksanaan validasi data untuk mengidentifikasi data yang salah?
• Pencatatan, pelaporan, investigasi, dan perbaikan data yang salah dengan segera?
• Reviu atas laporan keluaran untuk mempertahankan akurasi dan validitas data?
128. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Realisasi Pengelolaan Data (lanjt.)
Jika terdapat kebijakan mengenai proses realisasi pengelolaan data,
apakah:
– Telah dilaksanakan pengendalian terhadap keandalan pemrosesan dan file data
yang minimal mencakup hal-hal berikut ini:
• Penggunaan prosedur yang memastikan bahwa hanya program dan file data versi
terkini yang digunakan selama pemrosesan?
• Penggunaan program yang memiliki prosedur untuk memverifikasi bahwa versi file
yang sesuai yang digunakan selama pemrosesan?
• Penggunaan program yang memiliki prosedur untuk mengecek internal file header
labels sebelum pemrosesan?
• Penggunaan aplikasi yang mencegah perubahan file secara bersamaan?
129. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian C.4
Proses Tata Kelola:
Pengoperasian Sistem TIK
Kuesioner Evaluasi Pengendalian Intern TIK
130. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
C.4. Pengoperasian Sistem TIK
Operasi sistem merupakan proses penyampaian layanan TIK sebagai
bagian dari dukungannya kepada manajemen proses bisnis, kepada
pihak-pihak yang membutuhkan sesuai dengan spesifikasi minimal yang
telah ditentukan sebelumnya.
Tata Kelola Pengoperasian Sistem TIK terdiri dari:
– Manajemen Tingkat Layanan
– Keamanan dan Keberlangsungan Sistem
– Manajemen Software Aplikasi
– Manajemen Infrastruktur
– Manajemen Data
– Manajemen Layanan oleh Pihak Ketiga
131. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Tingkat Layanan
Apakah terdapat kebijakan manajemen tingkat layanan?
Jika terdapat manajemen tingkat layanan, apakah:
– Manajemen TIK telah menyusun dan mengupdate katalog layanan TIK yang berisi
sistem yang beroperasi dan layanan-layanan TIK yang ada?
– Apakah layanan telah diprioritaskan untuk layanan TIK kritikal berdasarkan SLA
yang ditetapkan oleh persyaratan (requirement) pemilik proses bisnis dan
disetujui oleh manajemen TIK?
132. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Tingkat Layanan (lanjt.)
Jika terdapat manajemen tingkat layanan, apakah:
– Dalam setiap SLA layanan TIK kritikal tersebut minimal telah tercakup hal-hal
berikut ini:
• Waktu yang diperlukan untuk setiap layanan TIK yang diterima oleh konsumen?
• Prosentase tingkat ketersediaan (availability) sistem TIK?
• Waktu yang diperlukan untuk penyelesaian pengaduan insiden atau permasalahan
dengan beberapa tingkatan kritikal sesuai dengan kebutuhan?
133. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Tingkat Layanan (lanjt.)
Jika terdapat manajemen tingkat layanan, apakah:
– Pencapaian SLA-SLA tersebut dilaporkan secara reguler oleh manajemen TIK
kepada Komite TIK untuk di-review?
Apakah Komite TIK Institusi telah melakukan review atas indikator
keberhasilan manajemen tingkat layanan berikut ini:
– Prosentase operasi sistem kritikal yang layanan-layanan TIK-nya disertai dengan
SLA?
– Prosentase layanan TIK yang memenuhi SLA?
134. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem
Konsep Keamanan TIK:
– Kerahasiaan (Confidentiality)
– Integritas (Integrity): Completeness, Accuracy, Authenticity
– Ketersediaan (Availability)
Apakah terdapat kebijakan mengenai manajemen keamanan dan
keberlangsungan sistem yang mengharuskan setiap operasi sistem TIK
harus memperhatikan persyaratan minimal aspek keamanan sistem
dan keberlangsungan sistem, terutama sistem TIK yang memfasilitasi
layanan-layanan kritikal?
135. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Jika terdapat kebijakan manajemen keamanan dan keberlangsungan
sistem, apakah minimal mencakup:
– Pelaksanaan penilaian risiko secara periodik yang komprehensif?
– Pengembangan rencana yang secara jelas menggambarkan program pengamanan
serta kebijakan dan prosedur yang mendukungnya?
– Penetapan organisasi untuk mengimplementasikan dan mengelola program
pengamanan?
– Uraian tanggung jawab pengamanan secara jelas?
– Implementasi kebijakan yang efektif atas sumber daya manusia terkait dengan
program pengamanan?
– Pemantauan efektivitas program pengamanan dan melakukan perubahan
program pengamanan jika diperlukan?
136. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Jika terdapat kebijakan manajemen keamanan dan keberlangsungan
sistem, apakah minimal mencakup:
– Confidentiality: akses terhadap data/informasi dibatasi hanya bagi mereka yang
punya otoritas?
– Integrity: data tidak boleh diubah tanpa ijin dari yang berhak?
– Authentication: untuk meyakinkan identitas pengguna sistem?
– Availability: terkait dengan ketersediaan layanan, termasuk up-time dari situs
web?
137. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Jika terdapat kebijakan manajemen keamanan dan keberlangsungan
sistem, apakah minimal mencakup:
– Klasifikasi sumber daya sistem informasi berdasarkan kepentingan dan
sensitivitasnya?
– Identifikasi pengguna yang berhak dan otorisasi akses ke informasi secara formal?
– Pengendalian fisik dan pengendalian logik untuk mencegah dan mendeteksi akses
yang tidak diotorisasi?
– Pemantauan atas akses ke sistem informasi, investigasi atas pelanggaran, serta
tindakan perbaikan dan penegakan disiplin?
138. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Terhadap software aplikasi, apakah terdapat kebijakan dan prosedur
pengamanan yang mencakup komponen:
– Metoda scripting software aplikasi yang aman?
– Implementasi mekanisme otentikasi dan otorisasi di dalam software aplikasi yang
tepat?
– Pengaturan keamanan sistem database yang tepat?
Terhadap perangkat lunak sistem, apakah terdapat kebijakan dan
prosedur pengamanan yang mencakup komponen:
– Pembatasan akses ke perangkat lunak sistem berdasarkan tanggung-jawab
pekerjaan dan dokumentasi atas otorisasi akses?
– Pengendalian dan pemantauan atas akses dan penggunaan perangkat lunak
sistem?
– Pengendalian atas perubahan yang dilakukan terhadap perangkat lunak sistem?
139. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Terhadap infrastruktur teknologi, apakah terdapat kebijakan dan
prosedur pengamanan yang mencakup komponen:
– Hardening dari sisi sistem operasi?
– Firewall, sebagai pagar untuk menghadang ancaman dari luar sistem?
– Intrusion Detection System/ Intrution-Prevention Systems (IDS/IPS), sebagai
pendeteksi atau pencegah aktivitas ancaman terhadap sistem?
– Network Monitoring Tool, sebagai usaha untuk melakukan monitoring atas
aktivitas di dalam jaringan?
– Log Processor & Analysis, untuk melakukan pendeteksian & analisis kegiatan yang
terjadi di sistem?
140. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Atas pengendalian kontinuitas atau keberlangsungan, apakah terdapat
kebijakan dan prosedur yang mencakup :
– Penilaian, pemberian prioritas, dan pengidentifikasian sumber daya pendukung
atas kegiatan komputerisasi yang kritis dan sensitif?
– Langkah-langkah pencegahan dan minimalisasi potensi kerusakan dan terhentinya
operasi sistem?
– Pengembangan dan pendokumentasian rencana komprehensif untuk mengatasi
kejadian tidak terduga?
– Pengujian secara berkala atas rencana untuk mengatasi kejadian tidak terduga dan
melakukan penyesuaian jika diperlukan?
141. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Untuk sistem kritikal dengan SLA yang ketat, apakah telah tersedia
sistem cadangan yang dapat secara cepat mengambil alih sistem utama
jika terjadi gangguan ketersediaan (availability) pada sistem utama?
Apakah assessment atas kerentanan keamanan sistem (system security
vulnerability) telah dilaksanakan secara teratur sesuai dengan
kebutuhan?
Apakah IT Contingency Plan, khususnya yang terkait dengan proses-
proses bisnis kritikal telah disusun?
Jika ada, apakah IT Contingency Plan tersebut telah diuji validitasnya
secara teratur sesuai dengan kebutuhan?
142. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Keamanan & Keberlangsungan Sistem (lanjt.)
Apakah Komite TIK Institusi atau pihak lain telah melakukan review
atas indikator keberhasilan keamanan dan keberlangsungan sistem
berikut ini:
– Tingkat kepatuhan sistem terhadap kriteria minimum yang telah ditetapkan?
– Penurunan jumlah insiden yang terjadi terkait dengan permasalahan keamanan
dan keberlangsungan sistem?
– Penurunan jumlah insiden yang dapat menyebabkan downtime?
– Penurunan jumlah waktu downtime total per durasi waktu?
143. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Software Aplikasi
Apakah terdapat kebijakan mengenai manajemen software aplikasi?
Jika terdapat manajemen software aplikasi, apakah setiap software
aplikasi telah menyertakan prosedur backup dan restore?
Jika prosedur backup dan restore telah disertakan, apakah
fungsionalitasnya telah diimplementasikan pada setiap software
aplikasi?
Apakah setiap pengoperasian software aplikasi telah disertai oleh
dokumentasi yang selalu terjaga keterkiniannya?
144. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Software Aplikasi
Apakah dokumentasi berikut tersedia untuk setiap software aplikasi:
– Dokumentasi hasil aktivitas tahapan-tahapan dalam SDLC?
– Manual/Petunjuk Aplikasi:
• Manual Pengguna?
• Manual Operasi?
• Manual Dukungan Teknis?
• Manual Administrasi?
• Materi alih pengetahuan?
• Materi training?
145. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Software Aplikasi
Apakah Komite TIK Institusi atau pihak lain telah melakukan review
atas indikator keberhasilan manajemen software aplikasi terkait:
– Tingkat kepatuhan pengguna terhadap prosedur-prosedur yang telah ditetapkan?
– Penurunan jumlah kegagalan pengoperasian software aplikasi?
146. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Infrastruktur
Apakah terdapat kebijakan mengenai manajemen infrastrukur TIK?
Jika terdapat kebijakan manajemen infrastrukur TIK, apakah:
– Setiap pengoperasian infrastruktur teknologi telah memperhatikan kontrol yang
terkait dengan keamanan?
– Setiap pengoperasian infrastruktur teknologi telah memperhatikan auditability
yang memungkinkan audit atas kinerja dan sejarah transaksi yang dilakukan?
Apakah Komite TIK Institusi atau pihak lainnya telah melakukan review
atas indikator keberhasilan manajemen infrastruktur TIK berikut ini:
– Tingkat kepatuhan pengguna terhadap prosedur-prosedur yang telah ditetapkan?
– Penurunan jumlah kegagalan operasional infrastruktur TIK?
147. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Data
Apakah terdapat kebijakan mengenai manajemen data?
Jika terdapat kebijakan mengenai manajemen data, apakah:
– Data dari setiap software aplikasi, terutama software aplikasi kritikal, secara
kumulatif telah dibackup secara terpusat dalam media penyimpanan data (data
storage)?
– Backup data telah dilakukan secara reguler dengan frekuensi dan jenis backup
disesuaikan dengan tingkat kritikal sistem?
– Telah dilakukan pengujian secara teratur mekanisme backup dan restore data
untuk memastikan integritas dan validitas prosedur?
– Mekanisme inventori atas media-media penyimpanan data telah
diimplementasikan, terutama media-media yang off-line?
148. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Data (lanjt.)
Apakah Komite TIK Institusi atau pihak lain telah melakukan review
atas indikator keberhasilan manajemen data berikut ini:
– Penurunan jumlah kegagalan restore data kritikal?
– Penurunan jumlah insiden terkait dengan permasalahan integritas data?
149. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Layanan oleh Pihak Ketiga
Apakah terdapat kebijakan mengenai manajemen layanan pihak
ketiga?
Jika terdapat kebijakan mengenai manajemen layanan pihak ketiga,
apakah kebijakan tersebut telah mempertimbangkan faktor-faktor
berikut ini?
– Layanan pihak ketiga digunakan sebagian atau seluruhnya karena sumber daya
internal yang dimiliki oleh institusi kurang memungkinkan untuk mencapai tingkat
layanan minimal yang diberikan kepada konsumen (publik atau bisnis)?
– Seluruh data yang diolah melalui layanan pihak ketiga adalah data milik institusi
dan pihak ketiga harus menjaga kerahasiaannya dan tidak berhak
menggunakannya untuk hal-hal di luar kerjasama dengan institusi?
150. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Layanan oleh Pihak Ketiga (lanjt.)
Apakah terdapat kebijakan mengenai manajemen layanan pihak ketiga
yang mengharuskan seluruh layanan TIK yang diselenggarakan oleh
pihak ketiga mematuhi ketentuan-ketentuan operasi sistem yang ada,
khususnya untuk:
– Manajemen Tingkat Layanan?
– Keamanan dan Keberlangsungan Sistem?
– Manajemen Software Aplikasi?
– Manajemen Infrastruktur?
– Manajemen Data?
151. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Layanan oleh Pihak Ketiga (lanjt.)
Apakah pihak ketiga penyelenggara layanan TIK telah memberikan
laporan secara reguler atas tingkat kepatuhan terhadap ketentuan-
ketentuan operasi sistem tersebut?
Apakah institusi telah melakukan audit secara reguler dan insidental
atas laporan yang disampaikan oleh pihak ketiga untuk memastikan
validitasnya, baik dilakukan secara internal atau menggunakan jasa
pihak ketiga yang independen?
152. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Manajemen Layanan oleh Pihak Ketiga (lanjt.)
Apakah Komite TIK Institusi atau pihak lain telah melakukan review
atas indikator keberhasilan manajemen layanan oleh pihak ketiga
berikut ini:
– Jumlah atau prosentase operasi sistem TIK yang memenuhi SLA?
– Jumlah atau prosentase operasi sistem TIK yang memenuhi ketentuan minimum
keamanan dan keberlangsungan sistem?
– Jumlah atau prosentase operasi sistem TIK yang memenuhi ketentuan minimum
manajemen data?
– Penurunan jumlah insiden yang menyebabkan downtime?
– Penurunan jumlah waktu downtime total per durasi waktu?
– Penurunan jumlah kegagalan restore data kritikal?
– Penurunan jumlah insiden terkait dengan permasalahan integritas data?
153. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Bagian C.5
Proses Tata Kelola:
Pemeliharaan Sistem TIK
Kuesioner Evaluasi Pengendalian Intern TIK
154. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
C.5. Pemeliharaan Sistem TIK
Pemeliharaan sistem merupakan proses untuk memastikan bahwa
seluruh sumber daya TIK dapat berfungsi sebagaimana mestinya dalam
durasi waktu siklus hidup yang seharusnya, dalam rangka mendukung
operasi sistem secara optimal.
Pemeliharaaan Sistem TIK terdiri dari:
– Pemeliharaan Software Aplikasi
– Pemeliharaan Infrastruktur Teknologi
– Pemeliharaan Data
– Siklus Hidup dan Likuidasi Sumber Daya Infrastruktur Teknologi
155. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pemeliharaan Software Aplikasi
Apakah terdapat kebijakan mengenai pemeliharaan software aplikasi?
Jika terdapat kebijakan mengenai pemeliharaan software aplikasi,
apakah:
– Manajemen TIK telah menerapkan mekanisme patching software aplikasi atas
software aplikasi yang dikembangkan secara mandiri atau kerjasama dengan pihak
ketiga?
– Upgrade yang bersifat kecil (minor) atas software aplikasi minimal telah melalui
regression test?
– Upgrade yang bersifat kecil (minor) atas software aplikasi telah disertai dengan
update atas dokumentasi yang terkait langsung dengan modul yang di-upgrade?
Apakah Komite TIK Institusi telah melakukan review atas indikator
keberhasilan pemeliharaan software aplikasi, antara lain penurunan
jumlah permasalahan yang terjadi di software aplikasi karena tidak
optimalnya keberjalanan mekanisme patching?
156. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pemeliharaan Infrastruktur Teknologi
Apakah terdapat kebijakan mengenai pemeliharaan infrastruktur
teknologi?
Jika terdapat kebijakan mengenai pemeliharaan infrastruktur teknologi,
apakah:
– Manajemen TIK telah menerapkan mekanisme patching infrastruktur teknologi,
yaitu update patch atas infrastruktur teknologi untuk menutup lobang kerentanan
atas seluruh infrastruktur teknologinya?
– Mekanisme patching tersebut sudah difasilitasi secara otomatis dengan software
tool sehingga meningkatkan efisiensi di sisi administrator dan pengguna akhir?
– Mekanisme patching ini minimal dilakukan atas hal-hal berikut ini:
• System software perangkat-perangkat jaringan?
• System software di server dan workstation?
• Database server?
157. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pemeliharaan Infrastruktur Teknologi (lanjt.)
Jika terdapat kebijakan mengenai pemeliharaan infrastruktur teknologi,
apakah:
– Manajemen TIK telah melakukan penilaian pertumbuhan kapasitas secara reguler
dan membandingkannya dengan estimasi pertumbuhan?
– Hasil analisis perbandingan tersebut telah digunakan oleh manajemen TIK untuk
menyusun langkah pengelolaan kapasitas dalam jangka menengah dan pendek?
Apakah Komite TIK Institusi telah melakukan review atas indikator
keberhasilan pemeliharaan infrastruktur teknologi berikut ini:
– Penurunan jumlah permasalahan yang terjadi di infrastruktur teknologi karena
tidak optimalnya keberjalanan mekanisme patching?
– Penurunan jumlah permasalahan yang terjadi karena aspek kapasitas infrastruktur
teknologi?
158. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pemeliharaan Data
Apakah terdapat kebijakan mengenai pemeliharaan data?
Jika terdapat kebijakan mengenai pemeliharaan data, apakah:
– Telah mengharuskan seluruh pihak untuk memperhatikan keaslian, keutuhan, dan
ketersediaan data?
– Telah mengharuskan semua pihak dalam institusi untuk menaati prosedur
pemeliharaan data yang telah ditetapkan?
– Data Center/Disaster Recovery Center (DC/DRC) telah dikelola sesuai dengan
prosedur baku yang ada?
– Data telah dilindungi dari pihak-pihak yang tidak memiliki hak akses?
– Data telah dilindungi dari pengubahan dan kesalahan alamat pengiriman data
sensitif yang bernilai strategis?
159. Modul Tata-Kelola Teknologi Informasi www.bpkp.go.id
Pemeliharaan Data
Apakah Komite TIK Institusi atau pihak lain telah melakukan review
atas indikator keberhasilan pemeliharaan data, antara lain penurunan
jumlah permasalahan yang terjadi karena:
– Aspek keutuhan (integrity) data?
– Aspek kerahasiaan (confidentiality) data?
– Aspek ketersediaan (availability) data?