COBIT PADA PT. PRUDENTIAL INDONESIA

PT Prudential Life Assurance (Prudential Indonesia) didirikan pada tahun 1995,  merupakan bagian dari Prudential plc, sebuah grup perusahaan jasa keuangan terkemuka di Inggris. Sebagai bagian dari Grup yang berpengalaman lebih dari 168 tahun di industri asuransi jiwa, Prudential Indonesia memiliki komitmen untuk mengembangkan bisnisnya di Indonesia.

Sedangkan Control Objective for Information and related Technology yang disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 5 merupakan versi terbaru.

Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT.

COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.

 

Gambar 1 Kerangka kerja COBIT (ITGI, 2007)

Aktivitas teknologi informasi pada COBIT didefinisikan ke dalam 4 cakupan domain, yaitu (ITGI,2007) :

1)       Perencanaan dan organisasi (plan and organise)

2)       Pengadaan dan implementasi (acquire and implement)

3)       Pengantaran dan dukungan (deliver and support)

4)       Pengawasan dan evaluasi (monitor and evaluate)

Hubungan antara keempat domain tersebut bisa dilihat dalam gambar 2 dibawah ini:

Gambar 2. Hubungan antara keempat domain COBIT (ITGI, 2007)

1) Plan and Organise (PO): Domain ini mencakup taktik dan mengidentifikasi strategi terbaik teknologi informasi untuk dapat berkontribusi terhadap pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda serta infrastruktur teknologi harus diletakkan pada tempatnya. Domain ini biasanya membahas pertanyaan manajemen berikut:

1. Apakah teknologi informasi dan strategi bisnis selaras?
2. Apakah perusahaan optimal dalam mengelola SDM nya?
3. Apakah setiap orang dalam organisasi memahami tujuan IT?
4. Apakah risiko teknologi informasi dipahami dan dikelola?
5. Apakah kualitas sistem teknologi informasi sesuai dengan kebutuhan bisnis?

2) Acquire and Implement (AI): Untuk mewujudkan strategi teknologi informasi, solusi teknologi informasi perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada dilindungi oleh domain ini untuk memastikan solusi terus memenuhi tujuan bisnis. Domain ini biasanya membahas pertanyaan manajemen berikut:

1. Apakah   proyek    baru    memungkinkan    untuk    memberikan    solusi    yang memenuhi kebutuhan bisnis?
2. Apakah proyek baru kemungkinan akan diselesaikan dan digunakan tepat waktu dan sesuai anggaran?
3. Apakah sistem baru bekerja dengan baik ketika diimplementasikan?
4. Apakah perubahan dilakukan tanpa mengganggu operasi bisnis saat ini?

3) Deliver and Support (DS): Domain ini berkaitan dengan deliver aktual dari layanan yang dibutuhkan meliputi pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Bagian ini biasanya membahas pertanyaan manajemen sebagai berikut:

1. Apakah layanan teknologi informasi yang disampaikan sesuai dengan prioritas bisnis?
2. Apakah biaya teknologi informasi dioptimalkan?
3. Apakah tenaga kerja dapat menggunakan sistem teknologi informasi secara produktif dan aman?
4. Apakah keamanan dan kerahasiaan data dijaga secara memadai dan memiliki integritas?

4) Monitor and Evaluate (ME): Semua proses teknologi informasi perlu dinilai secara berkala dari waktu ke waktu untuk kualitas dan pemenuhan persyaratan. Domain ini membahas manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Ini biasanya membahas pertanyaan manajemen berikut:

1. Apakah kinerja teknologi informasi diukur untuk mendeteksi masalah sebelum terlambat?
2. Apakah manajemen memastikan bahwa pengendalian internal yang efektif dan efisien?
3. Dapatkah kinerja teknologi informasi dihubungkan kembali ke tujuan bisnis?
4. Apakah kerahasiaan, integritas dan ketersediaan kontrol memadai keamanan informasi?

PEMBAHASAN

Analisis COBIT pada PT. Prudential Indonesia dilakukan dengan meninjau dari hasil pemodelan COBIT 4.1 yang telah dilakukan sehingga dapat ditarik kesimpulan. Sebagai salah satu tujuan dalam tulisan ini adalah untuk menemukan bagian mana saja proses yang masih dibawah level 3 dan sudah mencapai level 3 sehingga dapat dilakukan perbaikan dan saran-saran sebagai bahan pertimbangan dengan mengacu pada hasil pemodelan. Bagian domain yang masih kurang dan belum matang akan diteliti lebih rinci. Kemudian setelah proses penilaian, lalu didapat detail temuan dan rekomendasi yang kemudian dirangkum menjadi rangkuman temuan dan rekomendasi dari hasil penilaian tersebut.

Rangkuman Temuan dan Rekomendasi dari Hasil Penilaian

Hasil evaluasi menunjukan temuan masalah pada pengelolaan teknologi informasi pada kantor keagenan Prufuturetaem pada PO adalah PO2 Define the Informatin Architecture masalah pada bagian ini adalah ketergantungan hanya pada satu individu ahli dimana metodologi mengenai teknik, strategi, prosedur  dan kebijakan belum distandarkan dan belum ada transfer pengetahuan melalui pelatihan. Staf mengembangkan pengetahuan melalui perulangan pengguaan teknik. Masalah pada PO8 Manage Quality adalah tidak ada pengukuran terhadap kepuasan mutu terhadap pengguna/pelanggan sehingga susah memastikan tingkat keberhasilan dari pelayanan atau kinerja teknologi informasi selama ini. Masalah Pada PO9 Assess and Manage IT Risks adalah manajemen risiko hanya pada tingkat proyek proyek besar, risiko kecil susah diidentifikasi sehingga akhirnya menimbulkan masalah besar dan membutuhkan usaha dan biaya besar untuk memperbaikinya. Pelatihan manajemen risiko belum dilakukan kepada  semua staf. Sementara masalah pada ME adalah pada ME2 Monitor and evaluate  internal control masalah pada bagian ini adalah manajemen dan lembaga belum memahami pembagian tanggung jawab pengendalian internal. Proses evaluasi internal kontrol dipegang oleh satu orang ahli kunci dan tidak melakukan dokumentasi risko-risko yang terjadi. Pengawasan tidak dilakukan secara terus menerus. Masalah pada ME3 Ensure compliance with external requirements adalah belum menetapkan standar pemilihan pihak ketiga baik dalam kontrak maupun standar prosedur, staf dan manajemen belum memahami kebijakan hukum dan masih tergantung pada pengetahuan individu.

Rekomendasi secara umum untuk meningkatkan tata kelola teknologi informasi di kantor keagenan Prufutureteam pada bagian PO adalah melakukan pelatihan untuk mentransfer pengetahuan dari ahli ke staff lain yang memiliki tanggung jawab dalam bidang yang sama. Mendokumentasikan dan menetapkan standar dari setiap proses kerja, strategi, dan kebijakan-kebijakan dalam perusahan. Melakukan evaluasi kepuasan mutu secara berkala. Risiko dikelola pada setiap type proyek dilaporan dan ditangani jika ditemukan masalah. Membuat form pelaporan yang dapat diisi oleh staf secara berkala dan dilaporakan kepada orang yang bertanggung jawab untuk dikelola dan ditindak lanjuti.

Rekomendasi Pada bagian ME adalah perlunya manajemen memberikan tanggung jawab pada masing–masing individu secara jelas maka tiap-tiap orang dapat mempertanggungjawabkan setiap pekerjaannya sehingga mudah melakukan evaluasi dari setiap bagian yang belum dikerjakan oleh masing masing pihak yang bertanggung jawab. Dengan cara ini tidak ada tumpang tindih pekerjaan dan saling berdalih jika ada ditemukan masalah. Manajemen juga harus memberikan pendidikan diluar bidang teknik misalnya dalam bidang hukum kepada staf untuk meningkatkan keterampilan dan pengetahuan mereka. Setiap staf dievaluasi  secara berkala untuk memastikan kinerja dapat mendukung bisnis.

Kesimpulan

Berdasarkan hasil penelitian yang telah dilakukan kemudian dapat ditarik kesimpulan sebagai berikut:

1. Kantor keagenan Prufutureteam telah menerapkan tata kelola teknologi informasi pada level Defined Process. Hasil pengolahan kuisioner mendapati nilai rata-rata untuk domain PO dan ME adalah 2,5 dari rentang nilai 0 sampai 5. Artinya Kantor keagenan Prufutureteam telah melakukan tata kelola teknologi informasi dengan baik.
2. Hasil penelitian menemukan kelemahan terdapat pada subdomain PO2, PO8, PO9, ME2 dan ME3. Ke lima domain ini hanya mampu memperoleh nilai rata rata 2,38 artinya masih pada level Repeatable but Intuitive. Beberapa kelemahan yang paling fatal adalah tingginya ketergantungan perusahan terhadap satu ahli, risiko tidak dikelola dengan baik, belum melakukan evaluasi terhadap kepuasan mutu, dokumentasi belum dilakukan dibeberapa bidang teknologi informasai, prosedur dan kebijakan belum dilakukan dengan sungguh-sungguh.
3. Untuk menghasilkan satu rekomendasi yang tepat maka dibutuhkan pemahaman dan pengetahuan yang mendalam tentang perusahaan, kuisioner tidak memberikan kondisi 100% mengenai tata kelola teknologi informasi pada perusahan karena pemahaman mengenai pernyataan pada kuisioner bisa ditanggapi berbeda oleh setiap orang, maka dibutuhkan observasi dan wawancara dengan pihak top manajemen yang terlibat dalam tabel RACI dan juga terhadap staf sehingga dapat menilai dan membandingkan hasil dari kuisoner dengan observasi dan wawancara. Untuk menghasilkan rekomenasi juga dibutuhkan kordinasi dengan pihak internal perusahan untuk benar benar memastikan target jangka pendek, menengah dan panjang.

Saran

Dari penelitian yang telah dilakukan penulis mempunyai saran-saran yang nantinya dapat digunakan oleh perusahan untuk memperbaiki tata kelola teknologi informasi di kantor keagenan Prufutureteam dan sebagai landasan bagi penelitian selanjutnya. Saran-saran tersebut antara lain:

1. Langkah pertama yang harus dilakukan oleh kantor keagenan Prufutureteam dalam memperbaiki tata kelola TI-nya adalah  meningkatkan tata kelola pada subdomain PO2, PO8, PO9, ME2, dan ME3 sesuai rekomendasi yang telah diberikan oleh penulis.
2. Mempersiapkan SDM yang memadai, melakukan transfer pengetahuan dari ahli kepada staf lain melalui pelatihan atau kursus mencakup bidang- bidang yang menggunakan teknologi informasi dalam proses bisnis, memberikan pelatihan dalam pengelolaan risiko.
3. Mendokumentasikan setiap kegiatan perencanaan, dokumentasi kegiatan teknologi informasi, dan dokumentasi strategi teknologi informasi yang berkaitan dengan bisnis.
4. Evaluasi tata kelola teknologi informasi pada kantor keagenan Prufutureteam masa mendatang dapat menggunakan model COBIT 5. 

Sumber :

🌎 https://id.wikipedia.org/wiki/COBIT

🌎 https://www.prudential.co.id/

🌎 https://media.neliti.com/media/publications/171808-ID-none.pdf