Track: Direksi, Kepala Divisi TI, Audit Internal, dan Konsultan TI Governance.
Kuesioner ini adalah self-assessment awal untuk memetakan posisi kematangan IT Governance organisasi. Bukan substitusi untuk audit eksternal formal. Tujuan utama: identifikasi quick wins dan gap sebelum mengundang konsultan atau auditor.
Cara Pengisian
- Diisi oleh tim lintas fungsi: minimal Direktur, Kepala TI, Audit Internal, perwakilan unit bisnis utama.
- Setiap pertanyaan dijawab dengan skor 0 sampai 5 menggunakan skala CMMI/COBIT (lihat bawah).
- Skor akhir adalah rata-rata dari semua responden, bukan satu orang.
- Setiap skor harus didukung bukti, bukan hanya opini. Tanpa bukti = skor maksimum 1.
Skala Penilaian
Tabel TK4.1 Skala Penilaian
| Skor | Level | Karakteristik |
|---|---|---|
| 0 | Incomplete | Proses tidak ada atau tidak terdokumentasi |
| 1 | Initial / Ad-hoc | Ada aktivitas tapi tidak terstandar; bergantung individu |
| 2 | Managed | Proses terdefinisi dan terdokumentasi di tingkat tim |
| 3 | Defined | Proses terstandar di organisasi dengan kebijakan tertulis |
| 4 | Quantitatively Managed | Proses dimonitor dengan metrik dan KPI |
| 5 | Optimizing | Proses terus ditingkatkan berdasarkan data dan benchmarking |
Domain 1: Tata Kelola (EDM) - 5 Pertanyaan
1. Komite Pengarah TI Apakah organisasi memiliki komite pengarah TI lintas direktorat yang aktif?
- 0: Tidak ada
- 1: Ada SK tapi tidak pernah rapat
- 2: Rapat ad-hoc tanpa agenda jelas
- 3: Rapat berkala dengan agenda dan notulen
- 4: Rapat dengan KPI tata kelola yang dimonitor
- 5: Komite melakukan self-evaluation tahunan dan perbaikan
Skor: ____ | Bukti: _________________________
2. Kebijakan TI Tertulis Apakah ada kebijakan tata kelola TI yang disetujui Direksi dan disosialisasikan?
Skor: ____ | Bukti: _________________________
3. Penyelarasan Strategi Bisnis-TI Apakah rencana TI selaras dengan rencana strategis organisasi (RKAP/RPJMD-PDAM)?
Skor: ____ | Bukti: _________________________
4. Penyerahan Manfaat (Benefit Delivery) Apakah investasi TI memiliki business case dengan ROI yang terlacak post-implementasi?
Skor: ____ | Bukti: _________________________
5. Pelaporan ke Dewan Pengawas Apakah Dewan Pengawas menerima laporan rutin tentang kinerja, risiko, dan kepatuhan TI?
Skor: ____ | Bukti: _________________________
Domain 2: Manajemen Risiko (APO12, MEA03) - 5 Pertanyaan
6. Risk Register TI Apakah ada risk register TI yang aktif dan di-review berkala?
Skor: ____ | Bukti: _________________________
7. Manajemen Kepatuhan Regulasi Apakah ada compliance matrix yang memetakan regulasi (SPBE, PDP, ITE, sektoral) ke kontrol internal?
Skor: ____ | Bukti: _________________________
8. Penilaian Risiko Sebelum Proyek Baru Apakah setiap proyek TI baru melewati penilaian risiko sebelum disetujui?
Skor: ____ | Bukti: _________________________
9. Insiden TI Terlacak Apakah semua insiden TI dicatat dan dianalisis (root cause analysis)?
Skor: ____ | Bukti: _________________________
10. Vendor Risk Assessment Apakah vendor TI melalui due diligence sebelum kontrak ditandatangani?
Skor: ____ | Bukti: _________________________
Domain 3: Keamanan Informasi (APO13, DSS05) - 5 Pertanyaan
11. Kebijakan Keamanan Informasi Apakah ada kebijakan keamanan informasi tertulis dan disosialisasikan?
Skor: ____ | Bukti: _________________________
12. Kontrol Akses Apakah akses ke sistem kritis menggunakan prinsip least privilege dengan review berkala?
Skor: ____ | Bukti: _________________________
13. Patch Management Apakah ada proses patch management yang terjadwal untuk semua sistem kritis?
Skor: ____ | Bukti: _________________________
14. Backup dan Disaster Recovery Apakah backup dilakukan rutin dengan uji restore minimal triwulanan?
Skor: ____ | Bukti: _________________________
15. Awareness Training Apakah seluruh karyawan menerima security awareness training minimal tahunan?
Skor: ____ | Bukti: _________________________
Domain 4: Operasional Layanan (DSS) - 5 Pertanyaan
16. Service Desk Apakah ada service desk dengan ticketing system untuk semua permintaan dan insiden?
Skor: ____ | Bukti: _________________________
17. SLA dengan User Apakah ada SLA tertulis dengan unit bisnis untuk sistem core (billing, SCADA, dll)?
Skor: ____ | Bukti: _________________________
18. Change Management Apakah perubahan sistem produksi melalui Change Advisory Board?
Skor: ____ | Bukti: _________________________
19. Capacity Planning Apakah ada perencanaan kapasitas infrastruktur (storage, bandwidth, server)?
Skor: ____ | Bukti: _________________________
20. Business Continuity Plan Apakah BCP/DRP terdokumentasi dan diuji minimal tahunan?
Skor: ____ | Bukti: _________________________
Domain 5: Sumber Daya & Aset (APO07, BAI09) - 5 Pertanyaan
21. Asset Register Apakah ada daftar aset TI lengkap dengan owner, lokasi, dan kondisi?
Skor: ____ | Bukti: _________________________
22. Skill Matrix Tim TI Apakah ada pemetaan kompetensi tim TI dan rencana pengembangan?
Skor: ____ | Bukti: _________________________
23. Anggaran TI Berbasis Bisnis Apakah anggaran TI tahunan disusun berbasis prioritas bisnis, bukan incremental?
Skor: ____ | Bukti: _________________________
24. Vendor Management Apakah ada proses pengelolaan kinerja vendor (review SLA, evaluasi, eskalasi)?
Skor: ____ | Bukti: _________________________
25. Dokumentasi Sistem Apakah dokumentasi sistem (arsitektur, runbook, user manual) lengkap dan ter-update?
Skor: ____ | Bukti: _________________________
Perhitungan Skor dan Interpretasi
Total skor maksimum: 125 (25 pertanyaan × 5) Skor rata-rata: Total ÷ 25
Interpretasi Skor Rata-Rata
Tabel TK4.2 Interpretasi Skor Rata-Rata
| Rentang | Level Kematangan | Implikasi |
|---|---|---|
| 0,0 sampai 1,0 | Initial / Ad-hoc | Krisis tata kelola. Risiko tinggi. Mulai dari fondasi: komite, kebijakan, risk register. |
| 1,1 sampai 2,0 | Managed (basic) | Ada aktivitas tapi terfragmentasi. Standarisasi dan dokumentasi adalah prioritas. |
| 2,1 sampai 3,0 | Defined | Fondasi sudah ada. Fokus pada konsistensi pelaksanaan dan pengukuran. |
| 3,1 sampai 4,0 | Quantitatively Managed | Tata kelola matang. Fokus pada optimasi berbasis data. |
| 4,1 sampai 5,0 | Optimizing | Best-in-class. Fokus pada inovasi dan benchmarking eksternal. |
Identifikasi Quick Wins
Setelah skoring, identifikasi:
- 3 pertanyaan dengan skor terendah → prioritas perbaikan 6 bulan ke depan.
- 3 pertanyaan dengan skor tertinggi → leverage sebagai showcase dan internal champion.
- Domain dengan skor rata-rata terendah → arahkan investasi tahunan.
Catatan akses: Kuesioner ini adaptasi dari COBIT 2019 Performance Management dan CMMI for Services. Untuk evaluasi formal indeks SPBE, gunakan instrumen resmi Kementerian PANRB.
Ingin yang lebih lengkap dan siap pakai? IT Governance Diagnostic Pack adalah versi Excel premium: 35 pertanyaan (7 domain), perhitungan otomatis, radar chart, gap analysis, dan template roadmap 1 tahun — siap dipakai rapat Direksi.
Disclaimer: Self-assessment ini bersifat indikatif, bukan substitusi untuk audit formal oleh auditor independen atau evaluasi resmi SPBE. Hasilnya berguna sebagai input untuk perencanaan internal, bukan klaim publik tentang kematangan organisasi.