Track: Direksi, Kepala Divisi TI, Audit Internal, dan Konsultan TI Governance.
Kuesioner ini adalah self-assessment awal untuk memetakan posisi kematangan IT Governance organisasi. Bukan substitusi untuk audit eksternal formal. Tujuan utama: identifikasi quick wins dan gap sebelum mengundang konsultan atau auditor.
Cara Pengisian
- Diisi oleh tim lintas fungsi: minimal Direktur, Kepala TI, Audit Internal, perwakilan unit bisnis utama.
- Setiap pertanyaan dijawab dengan skor 0 sampai 5 menggunakan skala CMMI/COBIT (lihat bawah).
- Skor akhir adalah rata-rata dari semua responden, bukan satu orang.
- Setiap skor harus didukung bukti, bukan hanya opini. Tanpa bukti = skor maksimum 1.
Skala Penilaian
Tabel TK4.1 Skala Penilaian
| Skor | Level | Karakteristik |
|---|---|---|
| 0 | Incomplete | Proses tidak ada atau tidak terdokumentasi |
| 1 | Initial / Ad-hoc | Ada aktivitas tapi tidak terstandar; bergantung individu |
| 2 | Managed | Proses terdefinisi dan terdokumentasi di tingkat tim |
| 3 | Defined | Proses terstandar di organisasi dengan kebijakan tertulis |
| 4 | Quantitatively Managed | Proses dimonitor dengan metrik dan KPI |
| 5 | Optimizing | Proses terus ditingkatkan berdasarkan data dan benchmarking |
Domain 1: Tata Kelola (EDM) - 5 Pertanyaan
1. Komite Pengarah TI Apakah organisasi memiliki komite pengarah TI lintas direktorat yang aktif?
- 0: Tidak ada
- 1: Ada SK tapi tidak pernah rapat
- 2: Rapat ad-hoc tanpa agenda jelas
- 3: Rapat berkala dengan agenda dan notulen
- 4: Rapat dengan KPI tata kelola yang dimonitor
- 5: Komite melakukan self-evaluation tahunan dan perbaikan
Skor: ____ | Bukti: _________________________
2. Kebijakan TI Tertulis Apakah ada kebijakan tata kelola TI yang disetujui Direksi dan disosialisasikan?
Skor: ____ | Bukti: _________________________
3. Penyelarasan Strategi Bisnis-TI Apakah rencana TI selaras dengan rencana strategis organisasi (RKAP/RPJMD-PDAM)?
Skor: ____ | Bukti: _________________________
4. Penyerahan Manfaat (Benefit Delivery) Apakah investasi TI memiliki business case dengan ROI yang terlacak post-implementasi?
Skor: ____ | Bukti: _________________________
5. Pelaporan ke Dewan Pengawas Apakah Dewan Pengawas menerima laporan rutin tentang kinerja, risiko, dan kepatuhan TI?
Skor: ____ | Bukti: _________________________
Domain 2: Manajemen Risiko (APO12, MEA03) - 5 Pertanyaan
6. Risk Register TI Apakah ada risk register TI yang aktif dan di-review berkala?
Skor: ____ | Bukti: _________________________
7. Manajemen Kepatuhan Regulasi Apakah ada compliance matrix yang memetakan regulasi (SPBE, PDP, ITE, sektoral) ke kontrol internal?
Skor: ____ | Bukti: _________________________
8. Penilaian Risiko Sebelum Proyek Baru Apakah setiap proyek TI baru melewati penilaian risiko sebelum disetujui?
Skor: ____ | Bukti: _________________________
9. Insiden TI Terlacak Apakah semua insiden TI dicatat dan dianalisis (root cause analysis)?
Skor: ____ | Bukti: _________________________
10. Vendor Risk Assessment Apakah vendor TI melalui due diligence sebelum kontrak ditandatangani?
Skor: ____ | Bukti: _________________________
Domain 3: Keamanan Informasi (APO13, DSS05) - 5 Pertanyaan
11. Kebijakan Keamanan Informasi Apakah ada kebijakan keamanan informasi tertulis dan disosialisasikan?
Skor: ____ | Bukti: _________________________
12. Kontrol Akses Apakah akses ke sistem kritis menggunakan prinsip least privilege dengan review berkala?
Skor: ____ | Bukti: _________________________
13. Patch Management Apakah ada proses patch management yang terjadwal untuk semua sistem kritis?
Skor: ____ | Bukti: _________________________
14. Backup dan Disaster Recovery Apakah backup dilakukan rutin dengan uji restore minimal triwulanan?
Skor: ____ | Bukti: _________________________
15. Awareness Training Apakah seluruh karyawan menerima security awareness training minimal tahunan?
Skor: ____ | Bukti: _________________________
Domain 4: Operasional Layanan (DSS) - 5 Pertanyaan
16. Service Desk Apakah ada service desk dengan ticketing system untuk semua permintaan dan insiden?
Skor: ____ | Bukti: _________________________
17. SLA dengan User Apakah ada SLA tertulis dengan unit bisnis untuk sistem core (billing, SCADA, dll)?
Skor: ____ | Bukti: _________________________
18. Change Management Apakah perubahan sistem produksi melalui Change Advisory Board?
Skor: ____ | Bukti: _________________________
19. Capacity Planning Apakah ada perencanaan kapasitas infrastruktur (storage, bandwidth, server)?
Skor: ____ | Bukti: _________________________
20. Business Continuity Plan Apakah BCP/DRP terdokumentasi dan diuji minimal tahunan?
Skor: ____ | Bukti: _________________________
Domain 5: Sumber Daya & Aset (APO07, BAI09) - 5 Pertanyaan
21. Asset Register Apakah ada daftar aset TI lengkap dengan owner, lokasi, dan kondisi?
Skor: ____ | Bukti: _________________________
22. Skill Matrix Tim TI Apakah ada pemetaan kompetensi tim TI dan rencana pengembangan?
Skor: ____ | Bukti: _________________________
23. Anggaran TI Berbasis Bisnis Apakah anggaran TI tahunan disusun berbasis prioritas bisnis, bukan incremental?
Skor: ____ | Bukti: _________________________
24. Vendor Management Apakah ada proses pengelolaan kinerja vendor (review SLA, evaluasi, eskalasi)?
Skor: ____ | Bukti: _________________________
25. Dokumentasi Sistem Apakah dokumentasi sistem (arsitektur, runbook, user manual) lengkap dan ter-update?
Skor: ____ | Bukti: _________________________
Perhitungan Skor dan Interpretasi
Total skor maksimum: 125 (25 pertanyaan × 5) Skor rata-rata: Total ÷ 25
Interpretasi Skor Rata-Rata
Tabel TK4.2 Interpretasi Skor Rata-Rata
| Rentang | Level Kematangan | Implikasi |
|---|---|---|
| 0,0 sampai 1,0 | Initial / Ad-hoc | Krisis tata kelola. Risiko tinggi. Mulai dari fondasi: komite, kebijakan, risk register. |
| 1,1 sampai 2,0 | Managed (basic) | Ada aktivitas tapi terfragmentasi. Standarisasi dan dokumentasi adalah prioritas. |
| 2,1 sampai 3,0 | Defined | Fondasi sudah ada. Fokus pada konsistensi pelaksanaan dan pengukuran. |
| 3,1 sampai 4,0 | Quantitatively Managed | Tata kelola matang. Fokus pada optimasi berbasis data. |
| 4,1 sampai 5,0 | Optimizing | Best-in-class. Fokus pada inovasi dan benchmarking eksternal. |
Identifikasi Quick Wins
Setelah skoring, identifikasi:
- 3 pertanyaan dengan skor terendah → prioritas perbaikan 6 bulan ke depan.
- 3 pertanyaan dengan skor tertinggi → leverage sebagai showcase dan internal champion.
- Domain dengan skor rata-rata terendah → arahkan investasi tahunan.
Catatan akses: Kuesioner ini adaptasi dari COBIT 2019 Performance Management dan CMMI for Services. Untuk evaluasi formal indeks SPBE, gunakan instrumen resmi Kementerian PANRB.
Disclaimer: Self-assessment ini bersifat indikatif, bukan substitusi untuk audit formal oleh auditor independen atau evaluasi resmi SPBE. Hasilnya berguna sebagai input untuk perencanaan internal, bukan klaim publik tentang kematangan organisasi.