Process Asssement Model

Manajemen-ti.com — Beberapa waktu yang lalu saya diminta memberikan sebuah workshop internal di sebuah perusahaan BUMN dengan topik seputar Tata Kelola Teknologi Informasi. Latar belakangnya adalah perusahaan tersebut baru saja di-assess oleh Auditor Independen yang ditunjuk oleh perusahaan holding induknya. Hasil dari assessment tersebut katanya belum memuaskan, sehingga manajemen meminta agar para pihak terkait diberikan pemahaman yang benar agar tata kelola TI mereka bisa terus ditingkatkan.

Hanya saja ada beberapa hal yang membingungkan dari informasi awal yang disampaikan.

Pertama, beliau mengatakan bahwa assessment dilakukan dengan berpedoman pada Peraturan Menteri BUMN No. PER-02/MBU/2013 perihal Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara (selanjutnya disebut Permen BUMN). Dimana dalam Permen tersebut BUMN diharapkan dapat memiliki tingkat kematangan minimal 3 pada 5 (lima) tahun setelah peraturan tersebut diundangkan.

Kedua, beliau mengatakan bahwa tingkat kematangan perusahaannya pada tahun 2017 ini adalah sebesar satu koma sekian sekian.

Sampai disini saya masih belum menemukan kejanggalan. Baru setelah beliau menjelaskan lebih lanjut bahwa asesmen dilakukan dengan menggunakan standard COBIT 5 maka saya langsung mempertanyakannya.

Pak, mungkin yang Bapak maksud adalah COBIT 4.1?”, tanya saya.

Tidak, Pak. Kita pakai COBIT 5 dengan 37 proses. Kalau COBIT 4.1 kan hanya 34 proses”, lanjut IT BUMN tersebut mencoba meyakinkan saya.

Begini saja lah, Pak. Coba berikan kepada saya snapshot laporan hasil assessment yang disampaikan oleh Auditor Independen tersebut. Selanjutnya saya akan bahas satu per satu,” jelas saya untuk menghindari debat kusir yang berkepanjangan.

(Baca juga: Dulu COBIT 4.1, Sekarang COBIT 5: Apa Bedanya?)

Singkat cerita setelah diberikan snapshot laporan hasil assessment tersebut, maka jelas sudah bahwa konsultan/auditor Independen yang melakukan assessment itu sudah salah kaprah memahami Permen BUMN maupun COBIT 4.1 dan COBIT 5. Celakanya orang-orang IT internal belasan perusahaan di bawah holding BUMN tersebut tidak ada pula yang menyanggah atau mengkoreksi kesalahan tersebut. Mereka serempak meng-amin-kan hasil asesmennya dan mendasarkan langkah-langkah tindak lanjutnya pada hasil laporan tersebut.

Konsultan tersebut menggunakan Permen BUMN sebagai dasar melakukan assessment tingkat kematangan tata kelola (dengan target tingkat kematangan 3). Namun mereka menggunakan COBIT 5 untuk melakukan asesmennya. Padahal jelas Permen BUMN itu menggunakan COBIT 4/4.1 sebagai standard framework untuk melakukan assessment tata kelola TI. Disamping itu COBIT 5 juga menggunakan metode assessment yang sangat berbeda dengan COBIT 4.1. Terminologi yang digunakan oleh COBIT 5 pun berbeda, yaitu Process Capability (bukan lagi Process Maturity).

Jadi menggunakan COBIT 5 untuk melakukan assessment tingkat kematangan (maturity) tata kelola TI itu ibarat jaka sembung naik delman, nggak nyambung man. Apalagi terus disambungkan dengan pemenuhan Permen BUMN. Lebih jauh lagi tersesatnya.

(Baca juga: Dulu COBIT 4.1, Sekarang COBIT 5: Apa lagi Bedanya?)

Maturity versus Capability Assessment

COBIT 4.1 menggunakan tingkat kematangan (maturity level) sebagai alat untuk perbandingan (benchmark) kualitas tata kelola TI satu organisasi dengan organisasi lainnya. Metodologi yang digunakan mengadopsi kerangka kerja CMMI yang membagi dalam 5 (lima) tingkatan.

COBIT 4.1 Process Maturity
Tingkat kematangan proses berdasarkan COBIT 4.1 dan target perusahaan BUMN

Untuk menilai sejauh mana tingkat kematangan setiap proses TI yang berlaku pada organisasi, maka COBIT 4.1 sudah menjelaskan karakteristik-karakteristik khas untuk setiap level nya. Sehingga kemudian pihak auditor/asesor tinggal mengevaluasi pendapatnya tentang kondisi tersebut di organisasi yang dia ases. Ada 4 tingkatan pendapat pada setiap karakteristik/pertanyaan, yaitu: tidak setuju sama sekali (not at all), sedikit setuju (a little), agak setuju (to some degree), dan sepenuhnya setuju (completely). Rekapitulasi penilaian dari karakteristik-karakteristik tersebut yang akan membentuk tingkat kematangan dari sebuah proses TI.

Kalau kita melihat metode penilaian yang digunakan diatas, maka faktor subyektifitas asesor/auditor akan cukup berpengaruh pada tingkat kematangan yang dihasilkan. Inilah salah satu kelemahan dari model asesmen kematangan proses TI yang digunakan oleh COBIT 4.1 dan coba diperbaiki pada COBIT 5.

COBIT 5 tidak lagi menggunakan metode asesmen proses TI yang berbasis pada CMMI tersebut. Kini COBIT 5 mengadopsi model assessment proses yang berbasis pada ISO/IEC 15504-2. Walaupun sama-sama terdiri dari 5 level, tapi metode penilaiannya sungguh sangat berbeda. Terminologi yang digunakanpun tidak lagi process maturity level, tapi diubah menjadi process capability level.

COBIT 5 Process Assessment Model terdiri atas 2 dimensi, yaitu: (1) Dimensi Proses; dan (2) Dimensi Capability.

Cobit 5 process assessment model
COBIT 5 Process Assessment Model

Dimensi pertama, yaitu dimensi Proses mengacu pada COBIT 5 Process Reference Model (PRM). Dimana seperti kita ketahui bahwa COBIT 5 PRM memisahkan area Governance dan Management. Sehingga secara keseluruhan terdiri atas 5 domain dengan 37 proses.

Dimensi kedua, adalah dimensi Capability yang merupakan skala tingkatan kemampuan proses TI bernilai 0 sampai 5. Hal penting yang membedakannya dengan skala yang digunakan pada tingkat kematangan COBIT 4.1 adalah bahwa tingkat kapabilitas dapat naik ke tingkatan berikutnya apabila telah memenuhi sepenuhnya atau sebagian besar atribut proses pada level sebelumnya. Selain itu pada setiap level kapabilitas punya kriteria yang jelas dan lebih obyektif. Secara umum terdapat 2 jenis indikator, yaitu:

  • Indikator performansi proses, yang hanya berlaku untuk tingkat kapabilitas 1 saja.
  • Indikator kapabilitas proses, yang berlaku untuk seluruh tingkatan kapabilitas 1 s/d 5.

Indikator performansi proses bersifat spesifik untuk setiap proses, dan terdiri atas: (1) Base practices; dan (2) Work product.

Sedangkan indikator kapabilitas proses bersifat generik untuk semua atribut proses dari level 1 sampai dengan 5, yang terdiri atas: (1) Generic Practices (GP); dan (2) Generic Work Product (GWP).

COBIT 5 mendefinisikan outcome yang akan didapat ketika setiap proses dijalankan. Kapabilitas proses tersebut dapat dikatakan memenuhi kriteria level 1 apabila seluruh outcome tersebut telah tercapai dengan dibuktikan adanya base practices dan work product dari proses terkait.

COBIT 5 Outcome
Contoh outcome dari salah satu proses dalam COBIT 5

Jadi memiliki tingkat kapabilitas 1 menggunakan COBIT 5 itu sudah cukup bagus dan tidak mudah. Manajemen yang sudah terbiasa dengan nilai kematangan berbasis COBIT 4.1 akan bisa terkejut mendapatkan laporan hasil asesmen kapabilitas yang berbasis COBIT 5. Sehingga perlu penjelasan pengantar terlebih dahulu mengenai perbedaan kedua metodologi tersebut. Apalagi kalau mereka masih berasumsi bahwa target tingkat kematangan yang distandarkan oleh Permen BUMN (yang bernilai 3) itu sama dengan tingkat kapabilitas yang berbasis COBIT 5. Ibarat pelari yang sudah dekat garis Finish tiba-tiba diminta untuk mundur ke dekat garis Start.

Kembali ke laporan hasil asesmen BUMN yang saya sebutkan di awal. Saya mengajak peserta workshop tersebut untuk mengambil sample beberapa proses untuk memvalidasi kebenaran skor dari hasil asesmen yang dilaporkan konsultan/auditor. Saya mengambil contoh beberapa proses yang dalam laporan dinyatakan memiliki tingkat kapabilitas 2 dan 3. Ketika sama-sama diperiksa apakah benar proses tersebut sudah mencapai seluruh outcome yang seharusnya didapatkan dari proses tersebut. Hampir serempak peserta menyatakan “masih jauh!”. Kalau begitu kapabilitas proses tersebut bahkan belum sampai pada nilai 1, alih-alih dapat nilai 2 atau 3.

Bagaimana bisa belasan perusahaan dalam group BUMN tersebut bisa serempak tersesat atau disesatkan oleh perusahaan konsultan/auditor yang mereka hire secara profesional? Sementara Permen BUMN itu sudah keluar sejak 2013. COBIT 5 sudah keluar sejak 2012. Dan COBIT 4.1 lebih  lama lagi (2007). Lalu, kenapa di jaman now ini baik Auditor maupun Auditee masih bisa serempak tidak tahu? Masih panjang rupanya perjalanan, masih banyak pekerjaan menanti.[mti]

Penulis: Umar Alhabsyi, MT, CISA, CRISC.

Twitter: @umaralhabsyi