80 DAFTAR PUSTAKA 1. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Audit Guidelines, IT Governance Institute. 2. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Control Objectives, IT Governance Institute. 3. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT Executive Summary, IT Governance Institute. 4. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Framework, IT Governance Institute. 5. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Implementation Tool Set, IT Governance Institute. 6. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Management Guidelines, IT Governance Institute. 7. IT Governance Institute, 2003, Board Briefing on IT Governance, 2nd Edition. 8. IT Governance Institute, 2000, IT Governance Executive Summary. 9. IT Governance Institute, 2003, IT Governance Implementation Guide: “How do I use COBIT to implement IT governance?”. 10. IT Governance Institute, 2004, COBIT Mapping, Overview of International IT Guidance. 11. IT Governance Institute, 2005, COBIT 4.0: Control Objectives, Management Guidelines, Maturity Models. 12. Pandji, B, Wolfgang, 2007, Perancangan Model Tata Kelola Teknologi Informasi Berbasis Teknologi Informasi Berbasis COBIT Pada Proses Pengelolaan Data Studi Kasus : PT PLN (PERSERO) Distribusi Jawa Timur. Tesis Program Magister, Institut Teknologi Bandung. 13. PT. Surveyor Indonesia, 2006, Master Plan Teknologi Informasi PT. Surveyor Indonesia. 14. Sadrah, Roni, 2005, Perancangan Model Pengelolaan Teknologi Informasi PT.Pupuk Kujang pada domain PO dan AI Framework COBIT, Tesis Program Magister, Institut Teknologi Bandung.
Transcript
80
DAFTAR PUSTAKA
1. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Audit Guidelines, IT Governance Institute.
2. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT
(3rd Edition) Control Objectives, IT Governance Institute. 3. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT
Executive Summary, IT Governance Institute. 4. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT
(3rd Edition) Framework, IT Governance Institute. 5. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT
(3rd Edition) Implementation Tool Set, IT Governance Institute. 6. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT
(3rd Edition) Management Guidelines, IT Governance Institute. 7. IT Governance Institute, 2003, Board Briefing on IT Governance, 2nd Edition. 8. IT Governance Institute, 2000, IT Governance Executive Summary. 9. IT Governance Institute, 2003, IT Governance Implementation Guide: “How
do I use COBIT to implement IT governance?”. 10. IT Governance Institute, 2004, COBIT Mapping, Overview of International IT
Guidance. 11. IT Governance Institute, 2005, COBIT 4.0: Control Objectives, Management
Guidelines, Maturity Models. 12. Pandji, B, Wolfgang, 2007, Perancangan Model Tata Kelola Teknologi
Informasi Berbasis Teknologi Informasi Berbasis COBIT Pada Proses Pengelolaan Data Studi Kasus : PT PLN (PERSERO) Distribusi Jawa Timur. Tesis Program Magister, Institut Teknologi Bandung.
13. PT. Surveyor Indonesia, 2006, Master Plan Teknologi Informasi PT. Surveyor
Indonesia. 14. Sadrah, Roni, 2005, Perancangan Model Pengelolaan Teknologi Informasi
PT.Pupuk Kujang pada domain PO dan AI Framework COBIT, Tesis Program Magister, Institut Teknologi Bandung.
LAMPIRAN
81
LAMPIRAN A – PEMETAAN COBIT
Pemetaan COBIT 3 ke COBIT 4.1 COBIT 3 COBIT 4.1 PO (Planning and Organisation) PO1 Mendefinisikan sebuah rencana TI strategis 1.1 TI sebagai bagian dari rencana jangka pendek dan jangka panjang organisasi
1.4
1.2 Rencana jangka panjang TI 1.4 1.3 Struktur dan pendekatan – rencana jangka panjang TI
1.4
1.4 Perubahan rencana jangka panjang TI
1.4
1.5 Perencanaan jangka pendek untuk fungsi TI
1.5
1.6 Komunikasi mengenai rencana-rencana TI
1.4
1.7 Pengawasan dan evaluasi rencana-rencana TI
1.3
1.8 Penilaian terhadap sistem yang sedang berjalan
1.3
PO2 Mendefinisikan arsitektur informasi 2.1 Model arsitektur informasi 2.1 2.2 Kamus data perusahaan dan aturan sintaks data
2.2
2.3 Skema klasifikasi data 2.3 2.4 Tingkat keamanan 2.3 PO3 Menentukan arahan teknologi 3.1 Perencanaan infrastruktur teknologi 3.1 3.2 Memonitor regulasi dan tren di masa yang akan datang
3.3
3.3 Kontingensi infrastruktur teknologi 3.1 3.4 Rencana perolehan hardware dan software
3.1, AI3.1
3.5 Standar teknologi 3.4, 3.5 PO4 Mendefinisikan hubungan dan organisasi TI 4.1 Perencanaan atau steering commitee TI
4.3
4.2 Penempatan fungsi TI pada organisasi
4.4
4.3 Review mengenai pencapaian organisasi
4.5
4.4 Peran dan tanggung jawab 4.6 4.5 Tanggung jawab untuk jaminan kualitas
4.7
82
4.6 Tanggung jawab untuk keamanan fisik dan logis
4.8
4.7 Kepemilikan dan pemeliharaan 4.9 4.8 Kepemilikan data dan sistem 4.9 4.9 Supervisi 4.10 4.10 Pembagian tugas 4.11 4.11 Penugasan staf TI 4.12 4.12 Deskripsi posisi atau pekerjaan untuk staf TI
4.6
4.13 Personil utama TI 4.13 4.14 Prosedur dan kebijakan staf yang dikontrak
4.14
4.15 Relasi 4.15 PO5 Mengelola investasi TI 5.1 Anggaran tahunan pengoperasian TI 5.3 5.2 Pengawasan manfaat dan biaya 5.4 5.3 Manfaat dan biaya 1.1, 5.3 5.4 Justifikasi 5.5 PO6 Mengkomunikasikan arahan dan tujuan manajemen 6.1 Lingkungan kendali informasi positif
6.1
6.2 Tanggung jawab manajemen terhadap kebijakan
6.3, 6.4, 6.5
6.3 Komunikasi mengenai kebijakan organisasi
6.3, 6.4, 6.5
6.4 Sumberdaya untuk implementasi kebijakan
6.4
6.5 Penetapan kebijakan 6.3, 6.4, 6.5 6.6 Kepatuhan terhadap kebijakan, prosedur dan standar
6.9 Hak kekayaan intelektual 6.3, 6.4, 6.5 6.10 Kebijakan yang spesifik mengenai permasalahan
6.3, 6.4, 6.5
6.11 Komunikasi mengenai kepedulian terhadap kepedulian keamanan
6.3, 6.4, 6.5
PO7 Mengelola sumberdaya manusia 7.1 Promosi dan perekrutan personil 7.1 7.2 Kualifikasi personil 7.2 7.3 Peran dan tanggung jawab 7.4 7.4 Pelatihan personil 7.5 7.5 Pelatihan lintas bagian atau dukungan bagi pegawai
7.6
7.6 Prosedur izin bagi personil 7.7 7.7 Evaluasi kinerja pekerjaan pegawai 7.8
83
7.8 Penghentian dan perubahan pekerjaan
7.8
PO8 Memastikan kesesuaian dengan kebutuhan eksternal 8.1 Review terhadap kebutuhan eksternal
ME3.1
8.2 Kaidah dan prosedur untuk menyesuaikan terhadap kebutuhan eksternal
ME3.2
8.3 Kesesuaian aspek ergonomis dan keamanan
ME3.1
8.4 Privasi, hak intelektual dan alur data ME3.1 8.5 E-commerce ME3.1 8.6 Kesesuaian dengan kontrak penjaminan
PO11 Mengelola kualitas 11.1 Rencana kualitas umum 8.5 11.2 Pendekatan QA 8.1 11.3 Perencanaan QA 8.1 11.4 Review QA untuk kepatuhan terhadap prosedur dan estándar TI
8.1, 8.2
84
11.5 Metodologi System Development Life Cycle (SDLC)
8.2, 8.3
11.6 Metodologi SDLC untuk perubahan mendasar pada teknologi yang ada
8.2, 8.3
11.7 Pembaharuan metodologi SDLC 8.2, 8.3 11.8 Komunikasi dan koordinasi 8.2 11.9 Framework perolehan dan pemeliharaan untuk infrastruktur teknologi
8.2
11.10 Hubungan pelaksana pihak ketiga 8.2, DS2.3 11.11 Standar dokumentasi program AI4.2, AI4.3, AI4.4 11.12 Standar pengujian program AI7.2, AI7.4 11.13 Standar pengujian sistem AI7.2, AI7.4 11.14 Pengujian pararel / pilot testing AI7.2, AI7.4 11.15 Dokumentasi pengujian sistem AI7.2, AI7.4 11.16 Evaluasi QA terhadap kepatuhan standar pengembangan
8.2
11.17 Review QA terhadap pencapaian tujuan TI
8.2
11.18 Metrik kualitas 8.6 11.19 Laporan review QA 8.2 AI (Acquisition and Implementation) AI1 Mengidentifikasi solusi terotomasi 1.1 Definisi kebutuhan informasi 1.1 1.2 Formulasi alternatif tindakan 1.3, 5.1, PO1.4 1.3 Formulasi strategi perolehan 1.3, 5.1, PO1.4 1.4 Kebutuhan layanan pihak ketiga 5.1, 5.3 1.5 Studi kelayakan teknologi 1.3 1.6 Studi kelayakan ekonomi 1.3 1.7 Arsitektur informasi 1.3 1.8 Laporan analisis resiko 1.2 1.9 Kendali keamanan dengan pembiayaan yang efektif
1.1, 1.2
1.10 Desain tahapan audit 1.1, 1.2 1.11 Ergonomis 1.1 1.12 Pemilihan perangkat lunak sistem 1.1, 1.3 1.13 Kendali pengadaan 5.1 1.14 Perolehan produk perangkat lunak 5.1 1.15 Perawatan perangkat lunak oleh pihak ketiga
5.4
1.16 Pemrograman aplikasi kontrak 5.4 1.17 Penerimaan terhadap fasilitas 5.4 1.18 Penerimaan terhadap teknologi 3.1, 3.2, 3.3, 5.4 AI2 Memperoleh dan menjaga perangkat lunak aplikasi 2.1 Metode desain 2.1 2.2 Perubahan utama terhadap sistem 2.1, 2.2, 2.6
85
yang ada 2.3 Penyetujuan desain 2.1 2.4 Dokumentasi dan definisi kebutuhan file
2.2
2.5 Spesifikasi program 2.2 2.6 Desain pengumpulan data sumber 2.2 2.7 Dokumentasi dan definisi kebutuhan masukan
2.12 Kemampuan kontrol 2.3, 2.4 2.13 Ketersediaan sebagai sebuah faktor desain utama
2.2
2.14 Kebutuhan integritas TI dalam software program aplikasi
2.3, DS11.5
2.15 Pengujian software aplikasi 2.8, 7.4 2.16 Materi pendukung dan referensi untuk pengguna
4.3. 4.4
2.17 Penilaian ulang terhadap desain sistem
2.2
AI3 Memperoleh dan menjaga infrastruktur teknologi 3.1 Penilaian terhadap software dan hardware yang baru
3.1, 3.2, 3.3
3.2 Perawatan preventif untuk hardware DS13.5 3.3 Keamanan perangkat lunak sistem 3.1, 3.2, 3.3 3.4 Instalasi perangkat lunak sistem 3.1, 3.2, 3.3 3.5 Perawatan perangkat lunak sistem 3.3 3.6 Kendali perubahan perangkat lunak sistem
6.1, 7.3
3.7 Penggunaan dan pengawasan terhadap pemanfaatan sistem
3.2, 3.3, DS9.3
AI4 Mengembangkan dan menjaga prosedur 4.1 Tingkat layanan dan kebutuhan operasional
4.1
4.2 Manual prosedur pengguna 4.2 4.3 Manual operasi 4.4 4.4 Materi pelatihan 4.3, 4.4 AI5 Instalasi dan akreditasi sistem 5.1 Pelatihan 7.1 5.2 Pengukuran kinerja software aplikasi
7.6, DS3.1
5.3 Rencana implementasi 7.2, 7.3 5.4 Konversi sistem 7.5
86
5.5 Konversi data 7.5 5.6 Rencana dan strategi pengujian 7.2 5.7 Pengujian perubahan 7.4, 7.6 5.8 Kinerja dan kriteria pengujian pararel/ pilot testing
7.6
5.9 Pengujian penerimaan akhir 7.7 5.10 Akreditasi dan pengujian kemanan 7.6 5.11 Pengujian operasional 7.6 5.12 Promosi untuk produksi 7.8 5.13 Evaluasi mengenai pemenuhan kebutuhan pengguna
7.9
5.14 Review pasca-implementasi oleh pihak manajemen
7.9
AI6 Mengelola perubahan 6.1 Kendali dan inisiasi perubahan kendali
6.1, 6.4
6.2 Penilaian dampak 6.2 6.3 Kendali perubahan 7.9 6.4 Perubahan darurat 6.3 6.5 Prosedur dan dokumentasi 6.5 6.6 Perawatan resmi DS5.3 6.7 Kebijakan penerbitan software 7.9 6.8 Distribusi software 7.9 DS (Delivery and Support) DS1 Mendefinisikan dan mengelola tingkat layanan 1.1 Framework SLA 1.1 1.2 Aspek-aspek dari SLA 1.3 1.3 Prosedur kinerja 1.1 1.4 Pelaporan dan pengawasan 1.5 1.5 Review terhadap SLA dan kontrak 1.6 1.6 Barang-barang pengeluaran 1.3 1.7 Program peningkatan layanan 1.6 DS2 Mengelola layanan pihak ketiga 2.1 Antarmuka supplier 2.1 2.2 Hubungan pemilik 2.2 2.3 Kontrak pihak ketiga AI5.2 2.4 Kualifikasi pihak ketiga AI5.3 2.5 Kontrak outsourcing AI5.2 2.6 Kesinambungan layanan 2.3 2.7 Hubungan keamanan 2.3 2.8 Pengawasan 2.4 DS3 Mengelola kinerja dan kapasitas 3.1 Kebutuhan ketersediaan dan kinerja 3.1 3.2 Rencana ketersediaan 3.4 3.3 Pelaporan dan pengawasan 3.5 3.4 Perangkat pemodelan 3.1 3.5 Pengelolaan kinerja proaktif 3.3
87
3.6 Prediksi kapasitas kerja 3.3 3.7 Pengelolaan kapasitas sumberdaya 3.2 3.8 Ketersediaan sumberdaya 3.4 3.9 Penjadwalan sumberdaya 3.4 DS4 Memastikan layanan yang berkesinambungan 4.1 Framework kelangsungan TI 4.1 4.2 Filosofi dan strategi rencana kelangsungan TI
4.1
4.3 Kandungan rencana kelangsungan TI
4.2
4.4 Memperkecil kebutuhan untuk kelangsungan TI
4.3
4.5 Menjaga rencana kelangsungan TI 4.4 4.6 Menguji rencana kelangsungan TI 4.5 4.7 Pelatihan rencana kelangsungan TI 4.6 4.8 Distribusi rencana kelangsungan TI 4.7 4.9 Prosedur backup pemrosesan alternatif departemen pengguna
4.8
4.10 Sumberdaya utama TI 4.3 4.11 Hardware dan situs backup 4.8 4.12 Penyimpanan backup di luar situs 4.9 4.13 Prosedur pengemasan 4.10 DS5 Memastikan keamanan sistem 5.1 Mengelola pengukuran keamanan 5.1 5.2 Identifikasi, autentifikasi dan akses 5.3 5.3 Keamanan akses online data 5.3 5.4 Manajemen akun pengguna 5.4 5.5 Review manajemen untuk akun pengguna
5.4
5.6 Kendali pengguna atas akunnya 5.4, 5.5 5.7 Supervisi keamanan 5.5 5.8 Klasifikasi data PO2.3 5.9 Manajemen hak akses dan identifikasi pusat
5.3
5.10 Laporan tindakan keamanan dan penyalahgunaan
5.5
5.11 Penanganan insiden 5.6 5.12 Reakreditasi 5.1 5.13 Kepercayaan pihak rekanan 5.3, AC6 5.14 Otorisasi transaksi 5.3 5.15 Non-pengakuan 5.11 5.16 Jalur terpercaya 5.11 5.17 Perlindungan fungsi keamanan 5.7 5.18 Manajemen kunci kriptografis 5.8 5.19 Pencegahan, deteksi dan koreksi atas software yang berbahaya
5.9
5.20 Arsitektur firewall dan koneksi 5.10
88
terhadap jaringan publik 5.21 Perlindungan atas nilai elektronis 13.4 DS6 Identifikasi dan alokasi biaya 6.1 Jenis pengeluaran 6.1 6.2 Prosedur pembiayaan 6.3 6.3 Prosedur penagihan dan pembayaran pengguna
6.2, 6.4
DS7 Mendidik dan melatih pengguna 7.1 Identifikasi kebutuhan pelatihan 7.1 7.2 Organisasi pelatihan 7.2 7.3 Pelatihan kepedulian dan prinsip keamanan
PO7.4
DS8 Mendampingi dan memberikan saran pada pengguna 8.1 Help desk 8.1, 8.5 8.2 Registrasi antrian pelanggan 8.2, 8.3, 8.4 8.3 Eskalasi antrian pelanggan 8.3 8.4 Pengawasan proses perizinan 10.3 8.5 Analisis tren dan pelaporan 10.1 DS9 Mengelola konfigurasi 9.1 Perekaman konfigurasi 9.1 9.2 Basis konfigurasi 9.1 9.3 Pembukuan status 9.3 9.4 Kendali konfigurasi 9.3 9.5 Software ilegal 9.3 9.6 Penyimpanan software AI3.4 9.7 Prosedur manajemen konfigurasi 9.2 9.8 Akuntabilitas software 9.1, 9.2 DS10 Mengelola permasalahan dan insiden 10.1 Sistem manajemen permasalahan 10.1, 10.2, 10.3, 10.4 10.2 Eskalasi permasalahan 10.2 10.3 Tahapan audit dan pelacakan permasalahan
8.2, 10.2
10.4 Otorisasi akses temporer dan darurat
5.4, 12.3, AI6.3
10.5 Prioritas pemrosesan darurat 10.1, 8.3 DS11 Manajemen data 11.1 Prosedur persiapan data AC1 11.2 Prosedur otorisasi dokumen sumber
AC1
11.3 Pengumpulan data dokumen sumber
AC1
11.4 Penanganan kesalahan pada dokumen sumber
AC1
11.5 Penyimpanan dokumen sumber DS11.2 11.6 Prosedur otorisasi pemasukan data AC2 11.7 Pengecekan otorisasi, akurasi dan kelengkapan
AC3
89
11.8 Penanganan kesalahan pemasukan data
AC2, AC4
11.9 Integritas pemrosesan data AC4 11.10 Validasi dan pengditan pemrosesan data
AC4
11.11 Penanganan kesalahan pemrosesan data
AC4
11.12 Penanganan dan penyimpanan keluaran
AC5, 11.2
11.13 Distribusi keluaran AC5, AC6 11.14 Rekonsiliasi dan penyeimbangan keluaran
AC5
11.15 Penanganan kesalahan dan review keluaran
AC5
11.16 Persyaratan keamanan untuk laporan keluaran
11.6
11.17 Perlidungan informasi yang sensitif selama proses transmisi dan perpindahan
AC6, 11.6
11.18 Perlindungan informasi sensitif yang tidak terpakai
11.4, AC6
11.19 Manajemen penyimpanan 11.2 11.20 Persyaratan dan periode penyimpanan
11.2
11.21 Sistem manajemen perpusatakaan media
11.3
11.22 Tanggung jawab manajemen perpusatakaan media
11.3
11.23 Restorasi dan backup 11.5 11.24 Pekerjaan backup 11.4 11.25 Penyimpanan backup 4.9, 11.3 11.26 Pengarsipan 11.2 11.27 Perlindungan pesan yang sensitif 11.6 11.28 Autentifikasi dan integritas AC6 11.29 Integritas transaksi elektronik 5.11 11.30 Melanjutkan integritas data yang disimpan
11.2
DS12 Mengelola fasilitas 12.1 Keamanan fisik 12.1, 12.2 12.2 Profil situs TI yang rendah 12.1, 12.2 12.3 Panduan bagi pengunjung 12.3 12.4 Kesehatan dan keamanan personil 12.1, 12.5, ME3.1 12.5 Perlindungan atas faktor lingkungan
12.4, 12.9
12.6 Sumber energi yang bebas gangguan
12.5
90
DS13 Mengelola operasi 13.1 Manual instruksi dan prosedur operasi pemrosesan
13.1
13.2 Dokumentasi proses start-up dan operasi lainnya
13.1
13.3 Penjadwalan tugas 13.2 13.4 Peralihan dari jadwal tugas standar 13.2 13.5 Kontinuitas pemrosesan 13.1 13.6 Pencatatan operasi 13.1 13.7 Perangkat keluaran dan bentuk khusus penyelamatan
13.4
13.8 Operasi jarak jauh 5.11 M (Monitoring) M1 Melakukan pengawasan proses 1.1 Mengumpulkan data pengawasan 1.2 1.2 Menilai kinerja 1.4 1.3 Menilai kepuasan pelanggan 1.2 1.4 Pelaporan manajemen 1.5 M2 Menilai ketersediaan kontrol internal 2.1 Pengawasan kontrol internal 2.2 2.2 Operasi berkala untuk kontrol internal
2.1
2.3 Pelaporan level kontrol internal 2.2, 2.3 2.4 Jaminan kontrol internal dan keamanan operasional
2.4
M3 Memperoleh jaminan independen 3.1 Akreditasi/sertifikasi kontrol internal dan keamanan independen dari layanan TI
2.5, 4.7
3.2 Akreditasi/sertifikasi kontrol internal dan keamanan independen dari penyedia layanan pihak ketiga
2.5, 4.7
3.3 Evaluasi efektivitas layanan TI secara independen
2.5, 4.7
3.4 Evaluasi efektivitas penyedia layanan pihak ketiga secara independen
2.5, 4.7
3.5 Jaminan independen atas kepatuhan terhadap hukum, persyaratan regulasi dan komitmen kontrak
2.5, 4.7
3.6 Jaminan independen atas kepatuhan terhadap hukum, persyaratan regulasi dan komitmen kontrak dari penyedia layanan pihak ketiga
Pemetaan COBIT 4.1 ke COBIT 3 COBIT 4.1 COBIT 3 PO (Planning and Organisation) PO1 Mendefinisikan sebuah rencana TI strategis 1.1 Manajemen nilai TI 5.3 1.2 Kesesuaian bisnis dan TI - 1.3 Penilaian kinerja dan kapabilitas saat ini 1.7, 1.8 1.4 Perubahan rencana jangka panjang TI 1.4 1.5 Perencanaan jangka pendek untuk fungsi TI 1.5 1.6 Komunikasi mengenai rencana-rencana TI 1.4 1.7 Pengawasan dan evaluasi rencana-rencana TI 1.3 1.8 Penilaian terhadap sistem yang sedang berjalan 1.3 PO2 Mendefinisikan arsitektur informasi 2.1 Model arsitektur informasi perusahaan 2.1 2.2 Kamus data perusahaan dan aturan sintaks data 2.2 2.3 Skema klasifikasi data 2.3, 2.4, DS5.8 2.4 Manajemen integritas - PO3 Menentukan arahan teknologi 3.1 Perencanaan arahan teknologi 3.1, 3.3, 3.4 3.2 Perencanaan infrastruktur teknologi - 3.3 Pengawasan tren dan regulasi di masa depan 3.1, AI3.1 3.4 Standar teknologi 3.5 3.5 Jajaran arsitektur TI 3.5 PO4 Mendefinisikan proses-proses, organisasi dan hubungan TI 4.1 Framework proses TI - 4.2 Komisi strategi TI - 4.3 Steering commitee TI 4.1 4.4 Penempatan fungsi TI di organisasi 4.2 4.5 Struktur organisasi TI 4.3 4.6 Pembentukan peran dan tanggung jawab 4.4, 4.12 4.7 Tanggung jawab untuk jaminan kualitas TI 4.5 4.8 Tanggung jawab untuk resiko, keamanan dan kepatuhan
4.6
4.9 Kepemilikan sistem dan data 4.7, 4.8 4.10 Supervisi 4.9 4.11 Pemisahan tugas 4.10 4.12 Penugasan staf TI 4.11 4.13 Personil utama TI 4.13 4.14 Prosedur dan kebijakan staf yang dikontrak 4.14 4.15 Relasi 4.15 PO5 Mengelola investasi TI 5.1 Framework manajemen finansial - 5.2 Prioritas dalam anggaran TI - 5.3 Penganggaran TI 5.1, 5.3 5.4 Manajemen biaya 5.2, 5.3 5.5 Manajemen manfaat 5.3
93
PO6 Mengkomunikasikan arahan dan tujuan manajemen 6.1 Lingkungan kendali dan kebijakan TI 6.1 6.2 Framework kendali dan resiko TI perusahaan 6.8 6.3 Manajemen kebijakan TI 6.2, 6.3, 6.5, 6.6, 6.7, 6.9, 6.10,
6.11 6.4 Perubahan prosedur, standar dan kebijakan 6.2, 6.3, 6.4, 6.5, 6.6, 6.7, 6.9,
6.10, 6.11 6.5 Komunikasi tujuan dan arahan TI 6.2, 6.3, 6.5, 6.6, 6.7, 6.9, 6.10,
6.11 PO7 Mengelola sumberdaya manusia TI 7.1 Promosi dan perekrutan personil 7.1 7.2 Kompetensi personil 7.2 7.3 Penugasan sesuai peran - 7.4 Pelatihan personil 7.3, DS7.3 7.5 Ketergantungan pada individu 7.4 7.6 Prosedur izin bagi personil 7.5 7.7 Evaluasi kinerja pekerjaan pegawai 7.6 7.8 Penghentian dan perubahan pekerjaan 7.7, 7.8 PO8 Mengelola kualitas 8.1 Sistem manajemen kualitas 11.2, 11.3, 11.4 8.2 Kaidah kualitas dan standar TI 11.5, 11.6, 11.7, 11.8, 11.9,
11.10, 11.16, 11.17, 11.19 8.3 Standar perolehan dan pengembangan 11.5, 11.6, 11.7 8.4 Fokus pada pelanggan - 8.5 Peningkatan secara kontinu - 8.6 Pengukuran, pengawasan dan review kualitas 11.18 PO9 Menilai dan mengelola resiko 9.1 Framework manajemen resiko TI 9.1, 9.4, 9.8 9.2 Pembentukan konteks resiko 9.1, 9.4 9.3 Identifikasi kejadian 9.3, 9.4 9.4 Penilaian resiko 9.1, 9.2, 9.4 9.5 Respon terhadap resiko 9.5, 9.6, 9.7 9.6 Pengawasan dan penjagaan atas rencana tindakan resiko
penjaminan 10.13 Pengukuran, pelaporan dan pengawasan kinerja proyek
-
10.14 Penutupan proyek 10.13 (sebagian) AI (Acquisition and Implementation) AI1 Mengidentifikasi solusi terotomasi 1.1 Definisi dan maintenance untuk fungsi bisnis dan kebutuhan teknis
1.1, 1.9, 1.10, 1.11, 1.12
1.2 Laporan analisis resiko 1.8, 1.9, 1.10 1.3 Studi kelayakan dan formulasi alternatif rangkaian kegiatan
1.3, 1.7, 1.12
1.4 Kebutuhan dan keputusan serta penyetujuan kelayakan
-
AI2 Memperoleh dan menjaga perangkat lunak aplikasi 2.1 Desain tingkat tinggi 2.1, 2.2 2.2 Desain rinci 2.2, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9,
2.10, 2.11, 2.13, 2.17 2.3 Kemampuan audit dan kendali aplikasi 2.12, 2.14 2.4 Ketersediaan dan keamanan aplikasi - 2.5 Konfigurasi dan implementasi software aplikasi yang diperoleh
-
2.6 Pembaharuan utama pada sistem yang ada 2.2 2.7 Pengembangan software aplikasi - 2.8 Jaminan kualitas software 2.15 2.9 Manajemen kebutuhan aplikasi - 2.10 Perawatan software aplikasi - AI3 Memperoleh dan menjaga infrastruktur teknologi 3.1 Rencana perolehan infrastruktur teknologi PO3.4, 1.18, 3.1, 3.3, 3.4 3.2 Ketersediaan dan perlindungan sumberdaya infrastruktur
1.18, 3.1, 3.3, 3.4, 3.7
3.3 Perawatan infrastruktur 1.18, 3.1, 3.3, 3.4, 3.5, 3.7 3.4 Lingkungan pengujian kelayakan - AI4 Mendukung operasi dan penggunaan 4.1 Perencanaan untuk solusi operasional 4.1 4.2 Transfer pengetahuan untuk manajemen bisnis PO11.11, 4.2 4.3 Transfer pengetahuan untuk pengguna akhir PO11.11, 2.16, 4.4 4.4 Transfer pengetahuan untuk staf pendukung dan operasi
PO11.11, 2.16, 4.3, 4.4
AI5 Menyediakan sumberdaya TI 5.1 Kendali pengadaan 1.2, 1.3, 1.4, 1.13, 1.14 5.2 Manajemen kontrak penyedia barang/jasa DS2.3, DS2.5 5.3 Pemilihan penyedia barang/jasa 1.4, DS2.4 5.4 Perolehan sumberdaya TI 1.15, 1.16, 1.17, 1.18 AI6 Mengelola perubahan 6.1 Prosedur dan standar perubahan 3.6, 6.1 6.2 Penilaian, otorisasi dan pemilihan prioritas dampak
6.2
95
6.3 Perubahan darurat DS10.4, 6.4 6.4 Pelaporan dan pelacakan status perubahan 6.1 6.5 Dokumentasi dan penutupan perubahan 6.5 AI7 Instalasi dan akreditasi solusi dan perubahan 7.1 Pelatihan PO10.11, PO10.12, 5.1 7.2 Rencana pengujian PO10.11, PO11.12, PO11.13,
PO11.15, 2.15, 5.7 7.5 Konversi data dan sistem 5.4, 5.5 7.6 Pengujian perubahan 5.2, 5.7, 5.8, 5.10, 5.11 7.7 Pengujian penerimaan akhir 5.9 7.8 Promosi untuk produksi 5.12 7.9 Review pasca implementasi 5.13, 5.14 DS (Delivery and Support) DS1 Mendefinisikan dan mengelola tingkat layanan 1.1 Framework manajemen tingkat layanan 1.1, 1.3 1.2 Definisi layanan - 1.3 SLA 1.2, 1.6 1.4 OLA - 1.5 Pengawasan dan pelaporan pencapaian tingkat layanan
1.4
1.6 Review terhadap SLA dan kontrak 1.5, 1.7 DS2 Mengelola layanan pihak ketiga 2.1 Identifikasi seluruh hubungan penyedia barang/jasa
2.1
2.2 Manajemen hubungan penyedia barang/jasa 2.2 2.3 Manajemen resiko penyedia barang/jasa PO11.10, 2.6, 2.7 2.4 Pengawasan kinerja penyedia barang/jasa 2.8 DS3 Mengelola kinerja dan kapasitas 3.1 Perencanaan kapasitas dan kinerja AI5.2, 3.1, 3.4 3.2 Kapasitas dan kinerja saat ini 3.7 3.3 Kapasitas dan kinerja di masa depan 3.5, 3.6 3.4 Ketersediaan sumberdaya TI 3.2, 3.8, 3.9 3.5 Pengawasan dan pelaporan 3.3 DS4 Memastikan layanan yang berkesinambungan 4.1 Framework kelangsungan TI 4.1, 4.2 4.2 Rencana kelangsungan TI 4.3 4.3 Sumberdaya utama TI 4.4, 4.10 4.4 Menjaga rencana kelangsungan TI 4.5 4.5 Menguji rencana kelangsungan TI 4.6 4.6 Pelatihan rencana kelangsungan TI 4.7 4.7 Distribusi rencana kelangsungan TI 4.8 4.8 Pemulihan dan kelanjutan layanan TI 4.9, 4.11 4.9 Penyimpanan backup di luar situs 4.12, 11.25 4.10 Review pasca kelanjutan 4.13
96
DS5 Memastikan keamanan sistem 5.1 Manajemen keamanan TI 5.1, 5.12 5.2 Rencana keamanan TI - 5.3 Manajemen identitas 5.2, 5.3, 5.9, 5.14, AI6.6 5.4 Manajemen akun pengguna 5.4, 5.5, 5.6, 5.13, 10.4 5.5 Pengawasan, supervisi, dan pengujian keamanan
5.6, 5.7, 5.10
5.6 Definisi insiden keamanan 5.11 5.7 Perlindungan teknologi keamanan 5.17 5.8 Manajemen kunci kriptografis 5.18 5.9 Pencegahan, deteksi dan koreksi atas software yang berbahaya
5.19
5.10 Keamanan jaringan 5.20 5.11 Pertukaran data yang sensitif 5.15, 5.16, 11.29, 13.8 DS6 Identifikasi dan alokasi biaya 6.1 Jenis pengeluaran 6.1 6.2 Pembukuan TI 6.3 6.3 Pemodelan dan pelunasan biaya 6.2 6.4 Maintenance model biaya 6.3 DS7 Mendidik dan melatih pengguna 7.1 Identifikasi kebutuhan pelatihan dan pendidikan
7.1
7.2 Penyampaian pelatihan dan pendidikan 7.2 7.3 Evaluasi atas pelatihan yang diterima - DS8 Mengelola insiden dan bagian pelayanan 8.1 Bagian pelayanan 8.1, 8.5 8.2 Registrasi antrian pelanggan 8.2, 10.3 8.3 Eskalasi insiden 8.2, 8.3, 10.5 8.4 Penutupan insiden 8.2 8.5 Analisis tren dan pelaporan 8.1 DS9 Mengelola konfigurasi 9.1 Perekaman dan basis konfigurasi 9.1, 9.2, 9.8 9.2 Identifikasi dan perawatan item-item konfigurasi
* ME1.0 dan ME2.0 terdapat pada dokumen Control Practices yang diterbitkan oleh ITGI (2004)
99
LAMPIRAN B – KUISIONER MANAGEMENT AWARENESS
KUISIONER PENGELOLAAN TEKNOLOGI INFORMASI PT. SURVEYOR INDONESIA
Kuisioner ini adalah bagian dari penelitian tesis mahasiswa Magister Sistem Informasi Departemen Teknik Informatika Institut Teknologi Bandung, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan IT yang saat ini diterapkan oleh PT. Surveyor Indonesia. Kuisioner ini dikembangkan dari standar pengelolaan IT COBIT (Control Objectives for Information and related Technology), yang difokuskan pada 2 domain utama, yaitu : Delivery & Support (DS), yang menitikberatkan pada proses pelayanan yang diberikan oleh sistem IT yang diterapkan. Monitoring (M) , yang menitikberatkan pada proses pengawasan dan kontrol kualitas layanan yang diberikan oleh sistem IT yang diterapkan. Setiap domain terdiri dari beberapa poin yang telah dirangkum dan diubah menjadi sebuah pernyataan. Untuk itu mohon kiranya Bapak/Ibu dapat memberikan opini dan pendapatnya mengenai pernyataan-pernyataan yang akan diberikan dalam kuisioner ini. Pengisian kuisioner dilakukan dengan memberikan checklist (√) pada kolom yang dianggap sesuai dengan pendapat Bapak/Ibu (berdasarkan tingkat keperluan dan pihak yang sebaiknya menangani hal-hal dalam pernyataan). Kuisioner ini harap diisi dan dikembalikan selambat-lambatnya pada hari Selasa, 8 Januari 2008.
Nama Responden
Jabatan Responden
Divisi / Bagian
100
Tingkat keperluan Sebaiknya ditangani oleh
Kode Objektif
San
gat T
idak
Per
lu
Tid
ak P
erlu
Bis
a D
itera
pkan
Per
lu
San
gat P
erlu
Div
isi I
T
Div
isi L
ain
Pih
ak L
uar
Tid
ak T
ahu
Delivery & Support DS1 Mendefinisikan dan mengelola tingkat
layanan
Tingkat layanan IT dan dukungan perusahaan terhadap ketersediaan layanan tersebut harus dikelola dan didefinisikan dengan jelas dalam hal uraian tanggung jawab, waktu respon, pengawasan dan pelaporannya.
DS2 Mengelola layanan pihak ketiga Pengelolaan terhadap layanan IT yang
dilakukan/disediakan oleh pihak eksternal (third party), misalnya untuk proses outsourcing, harus mencakup kesepakatan layanan, kontrak, pengawasan, dan aspek legalitasnya.
DS3 Mengelola kinerja dan kapasitas Pengelolaan kinerja, kapasitas dan sumber
daya IT untuk mempertahankan dan menjaga ketersediaan layanan IT.
DS4 Memastikan layanan yang berkelanjutan Memastikan ketersediaan dan
kesinambungan layanan-layanan IT dalam memenuhi kebutuhan bisnis perusahaan melalui kegiatan analisa resiko-resiko yang terkait dengan IT, keamanan sistem, dan ketersediaan sumber daya yang diperlukan.
DS5 Memastikan keamanan sistem Memastikan keamanan sistem untuk
mengamankan dan menjaga informasi perusahaan dari pihak-pihak yang tidak bertanggung jawab untuk melakukan hal-hal yang tidak diharapkan, seperti menghilangkan, merubah dan merusak informasi tersebut.
DS6 Melakukan identifikasi dan alokasi biaya Identifikasi dan alokasi anggaran IT untuk
menjaga ketersediaan sumber daya IT yang dibutuhkan dan memastikan bahwa sumber daya tersebut digunakan secara optimal.
101
Tingkat keperluan Sebaiknya ditangani oleh
Kode Objektif
San
gat T
idak
Per
lu
Tid
ak P
erlu
Bis
a D
itera
pkan
Per
lu
San
gat P
erlu
Div
isi I
T
Div
isi L
ain
Pih
ak L
uar
Tid
ak T
ahu
DS7 Mendidik dan melatih pengguna Pelatihan dan pendidikan bagi para
pengguna (user) agar mereka dapat menggunakan IT secara efektif dan mengetahui resiko serta tanggung jawabnya dalam menggunakan teknologi IT tersebut.
DS8 Mendampingi dan memberikan saran kepada pengguna
Pengadaan fasilitas yang dapat membantu dan memberikan saran atau solusi bagi pengguna dalam menghadapi masalah dalam penggunaan IT.
penghitungan dan verifikasi keberadaan fisik komponen IT yang dimiliki organisasi untuk mengantisipasi terjadinya hal-hal yang tidak diharapkan.
DS10 Mengelola permasalahan dan insiden Pengelolaan permasalahan-permasalahan
dan insiden yang terkait dengan penerapan dan pengoperasian IT di perusahaan untuk memastikan permasalahan-permasalahan tersebut telah ditangani dan ditindaklanjuti dengan baik.
DS11 Mengelola data Pengelolaan data (proses input, pemrosesan
dan output) untuk menjamin integritas, keakuratan dan validitas data.
DS12 Mengelola fasilitas Pengelolaan dan penyediaan fasilitas yang
baik, perlindungan atas seluruh peralatan dan SDM IT dari ancaman kerusakan/bencana.
DS13 Mengelola operasi Pengelolaan operasional, memastikan
fungsi-fungsi dukungan IT seperti preventive maintenance dan network service management dilakukan secara teratur.
102
Tingkat keperluan Sebaiknya ditangani oleh
Kode Objektif
San
gat T
idak
Per
lu
Tid
ak P
erlu
Bis
a D
itera
pkan
Per
lu
San
gat P
erlu
Div
isi I
T
Div
isi L
ain
Pih
ak L
uar
Tid
ak T
ahu
Monitoring M1 Melakukan pengawasan proses Pengawasan terhadap proses-proses IT
untuk memastikan pencapaian kinerja yang diharapkan dari setiap proses IT yang telah dilakukan.
M2 Menilai ketersediaan kontrol internal Melakukan penilaian atas kelayakan proses
pengendalian (kontrol) yang dilakukan oleh perusahaan untuk memastikan pencapaian tujuan dan kontrol untuk setiap proses IT.
M3 Memperoleh jaminan independen Adanya jaminan dari pihak manajemen
perusahaan agar dengan dilakukannya pengelolaan IT perusahaan akan dapat meningkatkan kepercayaan antara organisasi, konsumen, dan penyedia layanan pihak ketiga (outsource).
M4 Melakukan audit independen Menyelenggarakan audit IT yang dilakukan
oleh pihak independen untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan pengelolaan IT dalam mendukung pencapaian tujuan perusahaan.
- TERIMA KASIH -
103
LAMPIRAN C – PENGUKURAN TINGKAT KEMATANGAN
WAWANCARA PENGUKURAN TINGKAT KEMATANGAN PENGELOLAAN TEKNOLOGI INFORMASI
PT. SURVEYOR INDONESIA
Wawancara pengukuran tingkat kematangan ini adalah bagian dari penelitian tesis mahasiswa Magister Sistem Informasi Departemen Teknik Informatika Institut Teknologi Bandung, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan Teknologi Informasi (TI) di PT. Surveyor Indonesia. Wawancara ini dikembangkan dari standar pengelolaan TI COBIT (Control Objectives for Information and related Technology), yang difokuskan pada 2 domain utama, yaitu : 1. Delivery & Support (DS), yang menitikberatkan pada proses pelayanan yang
diberikan oleh TI yang diterapkan. 2. Monitoring (M), yang menitikberatkan pada proses pengawasan dan kontrol kualitas
layanan yang diberikan oleh TI yang diterapkan. Wawancara pengukuran tingkat kematangan ini bertujuan untuk mengetahui tingkat kematangan pada proses saat ini dan tingkat kematangan proses yang diharapkan. Hasil pengukuran tingkat kematangan akan menjadi acuan identifikasi prioritas peningkatan proses. Pengukuran tingkat kematangan ini dilakukan dengan mempertimbangkan kematangan 6 (enam) atribut kematangan COBIT yang meliputi: 1. Kepedulian dan komunikasi 2. Kebijakan, standar dan prosedur 3. Perangkat dan otomasi 4. Keahlian dan kepakaran 5. Tanggung jawab dan akuntabilitas 6. Penentuan dan pengukuran pencapaian Pertanyaan-pertanyaan dalam wawancara ini dikelompokkan menurut atribut kematangan dan proses yang diamati, dan pada tiap kelompok pertanyaan akan melibatkan 2 (dua) pertanyaan yang masing-masing mewakili kondisi saat ini dan kondisi yang diharapkan. Masing-masing pertanyaan mempunyai 6 (enam) pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu pada proses yang diamati. Pilihan-pilihan jawaban tersebut dari a sampai f secara berurut-turut merepresentasikan tingkat kematangan yang semakin meningkat terhadap suatu atribut pada proses-proses di domain DS dan M. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan, selanjutnya akan dilakukan analisis yang diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam proses-proses di domain DS dan M. Untuk itu mohon kiranya Bapak/Ibu berkenan memberikan jawaban mengenai pertanyaan-pertanyaan yang akan diajukan dalam wawancara ini.
Nama Responden
Jabatan Responden
Divisi / Bagian
104
Mendefinisikan dan Mengelola Tingkat Layanan (DS1)
I Kepedulian dan komunikasi a. Pihak manajemen belum menyadari pentingnya proses untuk
mendefinisikan tingkat layanan. b. Telah ada kepedulian untuk mengelola tingkat layanan, namun
prosesnya masih bersifat informal dan reaktif. c. Adanya kesadaran akan kebutuhan mendefinisikan dan mengelola
tingkat layanan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan mendefinisikan dan mengelola tingkat layanan.
d. Adanya pemahaman akan kebutuhan mendefinisikan dan mengelola tingkat layanan. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mendefinisikan dan mengelola tingkat layanan.
e. Kebutuhan bagi mendefinisikan dan mengelola tingkat layanan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam mendefinisikan dan mengelola tingkat layanan.
f. Kebutuhan mendefinisikan dan mengelola tingkat layanan dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan di waktu yang akan datang senantiasa dipelajari secara proaktif.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendefinisikan dan mengelola tingkat layanan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendefinisikan dan mengelola tingkat layanan?
105
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur dalam mendefinisikan dan
mengelola tingkat layanan. b. Menggunakan pendekatan ad hoc untuk mendefinisikan dan
mengelola tingkat layanan, namun belum menggunakan prosedur dengan pendekatan formal.
c. Terdapat SLA yang telah disepakati, namun bersifat informal dan hanya dipakai sekali saja.
d. Kriteria tingkat layanan telah didefinisikan dan disetujui dengan user, melalui peningkatan taraf standarisasi. Proses pengembangan SLA sejalan dengan tujuan untuk menilai tingkat layanan dan kepuasan pelanggan.
e. Tingkat layanan lebih didefinisikan dalam tahap pendefinisian kebutuhan sistem dan digabungkan dalam desain aplikasi dan lingkungan operasional. Analisis akar permasalahan dilakukan apabila tingkat layanan tidak terpenuhi.
f. Kriteria untuk mendefinisikan tingkat layanan didasarkan pada kebutuhan utama bisnis dan mencakup ketersediaan, kehandalan, kinerja, kapasitas pertumbuhan, dukungan pengguna, perencanaan kelangsungam dan pertimbangan keamanan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mendefinisikan dan mengelola tingkat layanan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan?
106
III Perangkat dan otomasi a. Tidak ada perangkat dan otomasi dalam mendefinisikan dan
mengelola tingkat layanan. b. Beberapa perangkat mungkin telah ada, karena memang sudah
tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat pengelolaan tingkat layanan.
c. Telah digunakannya perangkat untuk mendefinisikan dan mengelola tingkat layanan sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendefinisikan dan mengelola tingkat layanan. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
e. Sistem pelaporan untuk mengawasi tingkat layanan menjadi lebih terotomasi.
f. Tingkat layanan dievaluasi kembali secara kontinu untuk memastikan kesesuaian antara TI dan tujuan bisnis, dengan tetap memanfaatkan keunggukan teknologi dan peningkatan dalam rasio harga/kinerja produk.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mendefinisikan dan mengelola tingkat layanan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendefinisikan dan mengelola tingkat layanan?
107
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian
dalam mendefinisikan dan mengelola tingkat layanan b. Belum ada perencanaan untuk melakukan pelatihan dalam mengelola
tingkat layanan. c. Pelaporan tingkat layanan tidak lengkap, tidak relevan atau tidak
memiliki arahan dan bergantung pada keahlian dan inisiatif dari masing-masing manajer.
d. Hubungan antara dana yang tersedia dan tingkat layanan yang diharapkan ditingkatkan secara formal.
e. Kebutuhan skill secara rutin diupdate untuk seluruh proses mendefinisikan dan mengelola tingkat layanan untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait mendefinisikan dan mengelola tingkat layanan telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan.
f. Seluruh proses tingkat layanan mengarah pada proses peningkatan yang berkelanjutan. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mendefinisikan dan mengelola tingkat layanan yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendefinisikan dan mengelola tingkat layanan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendefinisikan dan mengelola tingkat layanan?
108
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan kebijakan yang ditetapkan dalam
melakukan pengawasan terhadap proses. b. Tanggung jawab dan akuntabilitas untuk mengawasi kinerja
didefinisikan secara informal. c. Seorang koordinator tingkat layanan dipilih dengan tanggung jawab
yang jelas, namun tidak memiliki otoritas yang cukup. d. Tanggung jawab telah didefinisikan dengan baik, namun dengan
otoritas yang tidak mengikat. e. Resiko finansial dan operasional yang terkait dengan tidak
terpenuhinya tingkat layanan yang disepakati telah didefinisikan dan dipahami secara jelas.
f. Manajemen TI memiliki sumberdaya dan akuntabilitas yang dibutuhkan untuk memenuhi sasaran kinerja tingkat layanan, kompensasi eksekutif distrukturkan untuk memberikan insentif bagi pemenuhan pencapaian organisasi.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mendefinisikan dan mengelola tingkat layanan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendefinisikan dan mengelola tingkat layanan?
109
VI Penentuan dan pengukuran pencapaian a. Tidak ada pencapaian dalam mendefinisikan dan mengelola tingkat
layanan. b. Pengukuran kinerja bersifat kualitatif, pencapaian didefinisikan
secara tidak tepat. Pelaporan kinerja jarang dilakukan dan tidak konsisten.
c. Proses kesesuaian dengan SLA bersifat sukarela dan tidak mengikat. d. Tingkat layanan lebih didasarkan pada perbandingan industri dan
terkadang tidak mengacu pada kebutuhan spesifik organisasi. Penurunan tingkat layanan dapat diidentifikasi, namun perencanaan resolusi masih bersifat informal.
e. Kepuasan pelanggan diukur dan dinilai secara rutin. Pengukuran kinerja lebih mencerminkan kebutuhan pengguna akhir daripada pencapaian TI saja. Kriteria pengukuran tingkat layanan pengguna telah distandarisasi dan merefleksikan norma-norma industri. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Tingkat layanan yang diharapkan dievaluasi terhadap norma-norma industri, tetapi juga mencerminkan pencapaian strategis yang spesifik pada unit-unit bisnis. Manajemen senior mengawasi ukuran kinerja sebagai bagian dari proses perkembangan yang berkelanjutan.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mendefinisikan dan mengelola tingkat layanan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendefinisikan dan mengelola tingkat layanan?
110
Proses Mengelola Layanan Pihak Ketiga (DS2)
I Kepedulian dan komunikasi a. Layanan pihak ketiga tidak disetujui atau direview oleh pihak
manajemen. b. Manajemen perduli terhadap kebutuhan untuk mendokumentasikan
kebijakan dan prosedur untuk pengadaan layanan pihak ketiga, termasuk penandatanganan kontrak.
c. Adanya kesadaran akan kebutuhan pengelolaan layanan pihak ketiga untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan pengelolaan layanan pihak ketiga.
d. Adanya pemahaman akan kebutuhan pengelolaan layanan pihak ketiga. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan layanan pihak ketiga.
e. Kebutuhan didefinisikan dan dihubungkan dengan tujuan bisnis. Seluruh pihak yang terlibat memiliki kepedulian terhadap ekspektasi layanan, biaya dan sasaran.
f. Kebutuhan pengelolaan layanan pihak ketiga dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam pengelolaan layanan pihak ketiga yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola layanan pihak ketiga saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola layanan pihak ketiga?
111
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan dan prosedur formal mengenai pelaksanaa
kontrak dengan pihak ketiga. b. Tidak ada standar untuk kesepakatan. Menggunakan pendekatan ad
hoc untuk mengelola layanan pihak ketiga, namun belum menggunakan prosedur dengan pendekatan formal.
c. Proses untuk mengelola layanan pihak ketiga dan pemberian layanan bersifat informal. Berkas kontrak yang ditandatangani digunakan bersama dengan kesepakatan vendor standar dan deskripsi layanan yang akan diberikan
d. Persetujuan kontrak didasarkan pada standar yang berlaku. Prosedur yang telah terdokumentasi dengan baik digunakan untuk mengelola pengadaan pihak ketiga, disertai dengan proses yang jelas untuk memastikan pemilihan dan negosiasi yang baik dengan vendor. Hubungan dengan pihak ketiga hanya bersifat kontraktual. Penjelasan mengenai layanan yang diberikan dirinci dalam kontrak dan mencakup kebutuhan operasional, legal dan kendali.
e. Kriteria formal dan terstandarisasi dibuat untuk mendefinisikan lingkup kerja, layanan yang akan diberikan, asumsi, penyampaian, skala waktu, harga, pengaturan pembiayaan, tanggung jawab, dan kesepakatan bisnis.
f. Proses ditujukan untuk mereview kinerja layanan terhadap kesepakatan kontrak, menyediakan masukan bagi pemberian layanan pihak ketiga saat ini dan yang akan datang. Kontrak yang ditandatangani bersama direview secara periodik setelah pekerjaan dimulai. Bukti kepatuhan terhadap kebutuhan kontrak operasional, legal dan kendali dimonitor dan tindakan korektif telah dilaksanakan. Pelaporan yang didefinisikan dan komprehensif terkait dengan proses kompensasi pihak ketiga. Pelaporan memberikan peringatan awal atas permasalahan potensial untuk memfasilitasi resolusi secara berkala.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola layanan pihak ketiga saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola layanan pihak ketiga?
112
III Perangkat dan otomasi a. Keberadaan obligasi kontrak untuk pelaporan tidak membuat pihak
manajemen senior peduli terhadap kualitas layanan yang diberikan. b. Beberapa perangkat mungkin telah ada, karena memang sudah
tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software perangkat pengelolaan layanan pihak ketiga.
c. Laporan telah tersedia namun tidak mendukung tujuan bisnis. Telah digunakannya perangkat untuk membantu proses pengelolaan layanan pihak ketiga sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam pengelolaan layanan pihak ketiga. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
e. Beberapa perangkat seperti model pembiayaan transfer telah digunakan dalam proses pengadaan layanan pihak ketiga.
f. Perangkat yang canggih digunakan dengan otomasi pengelolaan layanan pihak ketiga secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mengelola layanan pihak ketiga saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola layanan pihak ketiga?
113
IV Keahlian dan kepakaran a. Tidak ada upaya pelatihan atau peningkatan kepakaran dalam
mengelola layanan pihak ketiga. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola
layanan pihak ketiga dan belum ada pelatihan formal dilakukan. c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani
permasalahan kritis dalam mengelola layanan pihak ketiga. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
d. Kebutuhan keahlian dalam mengelola layanan pihak ketiga telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan pada inisiatif perorangan.
e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan layanan pihak ketiga untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan layanan pihak ketiga telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Pihak ketiga bergantung pada review periodik secara independen, dengan masukan yang berasal dari review. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan layanan pihak ketiga telah dilembagakan. Knowledge sharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola layanan pihak ketiga saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola layanan pihak ketiga?
114
V Tanggung jawab dan akuntabilitas a. Tanggung jawab dan akuntabilitas tidak didefinisikan.
b. Pelaksanaan bergantung pada pengalaman individu dan efektivitas komersial pihak supplier.
c. Kepemilikan dan tanggungjawab atas pengelolaan layanan pihak ketiga secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengelolaan layanan pihak ketiga, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
d. Tanggung jawab pengelolaan untuk layanan pihak ketiga telah disepakati.
e. Tanggung jawab untuk manajemen kontrak dan vendor telah ditetapkan. Kualifikasi dan kapabilitas vendor telah diverifikasi.
f. Tanggung jawab untuk jaminan kualitas pemberian layanan dan dukungan vendor telah disepakati.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola layanan pihak ketiga saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola layanan pihak ketiga?
115
VI Penentuan dan pengukuran pencapaian a. Tidak ada kegiatan pengukuran ataupun pelaporan dari pihak ketiga.
b. Pengukuran layanan yang tersedia bersifat informal dan reaktif. c. Pengukuran telah dilakukan namun tidak secara relevan. d. Resiko bisnis yang terkait dengan kontrak dinilai dan dilaporkan. e. Indikator pencapaian tujuan dan kinerja telah disepakati pengguna
dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan layanan pihak ketiga. Perbaikan secara berkelanjutan pada proses pengelolaan layanan pihak ketiga dilakukan.
f. Pengukuran yang terpilih bervariasi secara dinamis sebagai respon terhadap kondisi bisnis yang berubah-ubah. Pengukuran mendukung deteksi awal permasalahan.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mengelola layanan pihak ketiga saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola layanan pihak ketiga?
116
Mengelola Kinerja dan Kapasitas (DS3)
I Kepedulian dan komunikasi a. Manajemen belum menyadari bahwa proses bisnis utama dapat
memerlukan kinerja optimal dari TI. b. Manajemen TI memiliki kepedulian terhadap pengelolaan kinerja dan
kapasitas, namun tindakan yang diambil biasanya bersifat reaktif atau tidak lengkap.
c. Manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola.
d. Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mengelola kinerja dan kapasitas.
e. Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan kinerja dan kapasitas.
f. Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola kinerja dan kapasitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola kinerja dan kapasitas?
117
II Kebijakan, standar dan prosedur a. Tidak ada proses perencanan kapasitas yang sesuai.
b. Proses perencanaan bersifat informal. Manajemen kinerja dan kapasitas bersifat reaktif dan tidak teratur.
c. Untuk bagian-bagian yang penting, kebutuhan kinerja umumnya telah terpenuhi berdasarkan penilaian sistem individual dan pengetahuan mengenai dukungan dan tim proyek.
d. Kebutuhan kapasitas dan kinerja didefinisikan sebagai langkah-langkah yang akan diambil pada seluruh metodologi tahapan perolehan dan pengoperasian awal sistem.
e. Insiden yang disebabkan oleh kegagalan kinerja dan kapasitas terkait dengan prosedur yang terstandarisasi dan terdefinisi.
f. Infrastruktur TI ditujukan terhadap review rutin untuk memastikan bahwa kapasitas optimal dapat dicapai dengan biaya yang serendah mungkin. Peningkatan dalam teknologi terus dimonitor untuk memperoleh manfaat dari peningkatan kinerja produk.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola kinerja dan kapasitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola kinerja dan kapasitas?
118
III Perangkat dan otomasi a. Tidak adanya perangkat untuk mengelola kinerja dan kapasitas.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software pengelolaan kinerja dan kapasitas.
c. Beberapa perangkat individual dapat digunakan untuk mendiagnosa permasalahan kinerja dan kapasitas.
d. Pemodelan dan prediksi kebutuhan kinerja yang akan datang dimungkinkan untuk dilakukan. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan kinerja dan kapasitas. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
e. Proses dan perangkat tersedia untuk mengukur penggunaan sistem dan membandingkannya dengan tingkat layanan yang didefinisikan. Perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk penyimpanan, server jaringan dan network gateways.
f. Perangkat untuk mengawasi sumberdaya TI utama telah distandarisasi, jika dimungkinkan diterapkan pada platform yang berbeda dan terhubung pada sebuah sistem pengelolaan insiden organisasi. Perangkat pengawasan dapat lebih mendeteksi dan secara otomatis memperbaiki permasalahan kinerja, seperti mengalokasikan ruang penyimpanan atau melakukan routing ulang pada traffic jaringan.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mengelola kinerja dan kapasitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola kinerja dan kapasitas?
119
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian
dalam mengelola kinerja dan kapasitas. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola
kinerja dan kapasitas dan belum ada pelatihan formal dilakukan. c. Konsistensi hasil bergantung pada keahlian dari personil utama. d. Kebutuhan keahlian dalam mengelola kinerja dan kapasitas telah
diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan kinerja dan kapasitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan kinerja dan kapasitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola kinerja dan kapasitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola kinerja dan kapasitas?
120
V Tanggung jawab dan akuntabilitas a. Tidak ada akuntabilitas dan tanggungjawab dalam mengelola kinerja
dan kapasitas. b. Pengguna seringkali harus berupaya untuk mengatasi batasan kinerja
dan kapasitas. c. Permasalahan ketersediaan umumnya terjadi dengan tidak diharapkan
dan secara acak serta membutuhkan waktu lama untuk mendiagnosa dan memperbaikinya.
d. Pengguna akhir akan merasa skeptis mengenai kapabilitas layanan diluar tingkat layanan yang dipublikasikan. Permasalahan masih sering terjadi dan membutuhkan banyak waktu untuk memperbaikinya.
e. Tanggungjawab dan kepemilikan pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Pengguna mengharapkan ketersediaan penuh selama 24x7x365 jam. Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola kinerja dan kapasitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola kinerja dan kapasitas?
121
VI Penentuan dan pengukuran pencapaian a. Seluruh kebutuhan bisnis untuk layanan TI dapat melebihi kapasitas.
b. Pemilik proses bisnis memberikan sangat sedikit penghargaan atas layanan TI.
c. Tidak ada penilaian secara menyeluruh terhadap kemampuan kinerja infrastruktur atau pertimbangan terhadap situasi-situasi terburuk.
d. Laporan dapat menunjukkan satistik kinerja. Terdapat metrik dan kebutuhan tingkat layanan terdefinisi yang dapat digunakan untuk mengukur kinerja operasional.
e. Terdapat beberapa upaya untuk melaporkan statistik kinerja dalam proses bisnis, sehingga pengguna akhir dapat memahami tingkat layanan TI. Informasi yang up to date selalu tersedia, memberikan statistik kinerja yang terstandarisasi dan memberitahukan terjadinya insiden seperti kekurangan dalam kapasitas atau hasil. Pengguna umumnya merasa terpuaskan dengan kapabilitas layanan saat ini dan menginginkan tingkat ketersediaan yang baru dan meningkat.
f. Metrik untuk mengukur kinerja TI telah disesuaikan untuk memfokuskan pada area utama dan diterjemahkan ke dalam KGI, KPI dan CSF untuk seluruh proses bisnis utama. Kecenderungan yang terdeteksi menunjukkan terdapatnya permasalahan kinerja yang disebabkan oleh peningkatan volume bisnis, yang memungkinkan dilakukannya perencanaan dan penanggulangan insiden yang tidak diharapkan.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mengelola kinerja dan kapasitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola kinerja dan kapasitas?
122
Memastikan Layanan yang Berkelanjutan (DS4)
I Kepedulian dan komunikasi a. Tidak ada pemahaman mengenai resiko, kerentanan dan ancaman
terhadap operasi-operasi TI atau dampak tidak adanya layanan TI pada bisnis. Kesinambungan layanan tidak dianggap memerlukan perhatian manajemen.
b. Manajemen perduli terhadap resiko yang terkait dan kebutuhan akan layanan yang berkesinambungan.
c. Adanya kesadaran akan kebutuhan layanan yang berkesinambungan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan proses memastikan layanan yang berkesinambungan.
d. Manajemen mengkomunikasikan kebutuhan akan layanan yang berkelanjutan secara konsisten.
e. Kebutuhan untuk memastikan layanan yang berkesinambungan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul.
f. Manajemen tidak mentolerir segala jenis kesalahan dan memberikan dukungan untuk mengantisipasinya. Pelaksanaan eskalasi telah dipahami dan diterapkan dengan baik.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memastikan layanan yang berkelanjutan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan memastikan layanan yang berkelanjutan?
123
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk memastikan layanan
yang berkelanjutan. b. Fokus lebih diarahkan kepada fungsi TI daripada fungsi bisnis.
Prediksi gangguan telah dijadwalkan untuk memenuhi kebutuhan TI, bukan hanya sebatas mengakomodasi kebutuhan bisnis. Respon terhadap gangguan bersifat reaktif dan tanpa persiapan.
c. Pendekatan terhadap layanan yang berkesinambungan masih terpisah-pisah. Standarisasi pelaksanaan dan pengawasan layanan yang berkesinambungan mulai dilakukan, namun keberhasilannya masih bergantung pada individu.
d. Rencana telah terdokumentasi dan didasarkan pada kepentingan sistem dan dampak bisnis. Terdapat pelaporan periodik mengenai pengujian layanan yang berkelanjutan.
e. Pelaksanaan redundansi dan pengaruh perencanaan layanan secara kontinu saling mempengaruhi satu sama lain
f. Efektivitas biaya layanan berkesinambungan dioptimalkan melalui inovasi dan integrasi. Perencanaan layanan berkesinambungan dan rencana kelangsungan bisnis telah terintegrasi, disesuaikan, dan dijaga secara rutin. Pembelian untuk kebutuhan layanan berkelanjutan dirahasiakan dari vendor dan supplier utama. Pelaksanaan redundansi dan perencanaan layanan berkesinambungan telah disesuaikan sepenuhnya.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam memastikan layanan yang berkelanjutan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam memastikan layanan yang berkelanjutan?
124
III Perangkat dan otomasi a. Tidak adanya perangkat untuk memastikan layanan yang
berkelanjutan. b. Beberapa perangkat mungkin telah ada, karena memang sudah
tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat dalam bentuk software.
c. Telah terdapat inventaris sistem dan komponen utama yang handal. d. Sebagian komponen yang memiliki ketersediaan tinggi dan
redundansi sistem telah diterapkan. Inventaris sistem dan komponen utama dijaga secara ketat.
e. Pelaksanaan redundansi sistem, termasuk penggunaan komponen yang banyak tesedia telah dilakukan secara konsisten. Data yang terstruktur mengenai layanan yang berkesinambungan telah didapatkan, dianalisa, dilaporkan, dan diterapkan.
f. Pengumpulan dan analisa data digunakan untuk mengidentifikasi peluang peningkatan.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan memastikan layanan yang berkelanjutan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses memastikan layanan yang berkelanjutan?
125
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk memastikan layanan yang berkelanjutan.
b. Pengguna menerapkan pola pelaksanaan pekerjaan. Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan.
c. Tidak ada pengguna atau rencana kelanjutan yang terdokumentasi, meskipun terdapat komitmen atas ketersediaan layanan secara berkesinambungan dan prinsip-prinsip utamanya telah diketahui.
d. Individu mengambil inisiatif untuk mengikuti standar berikutnya dan menerima pelatihan.
e. Pelatihan disediakan untuk proses layanan yang berkelanjutan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk
mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memastikan layanan yang berkelanjutan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses memastikan layanan yang berkelanjutan?
126
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggungjawab dan akuntabilitas dalam memastikan
layanan yang berkelanjutan. b. Tanggung jawab untuk kesinambungan layanan bersifat informal,
dengan otoritas yang terbatas. c. Tanggung jawab untuk layanan yang berkesinambungan telah
ditetapkan. d. Akuntabilitas tidak jelas dan tanggung jawab untuk perencanaan dan
pengujian yang berkesinambungan telah didefinisikan dan ditetapkan dengan jelas.
e. Tanggung jawab dan standar untuk layanan yang berkelanjutan telah diterapkan. Tanggung jawab untuk menjaga kesinambungan layanan telah ditetapkan.
f. Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam memastikan layanan yang berkelanjutan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan?
127
VI Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian untuk memastikan
layanan yang berkelanjutan. b. Belum ada penentuan dan pengukuran pencapaian yang jelas untuk
memastikan layanan yang berkelanjutan. c. Pelaporan mengenai ketersediaan sistem tidak lengkap dan tidak
mempertimbangkan dampak bisnis. d. Beberapa tujuan dan pengukuran dalam memastikan layanan yang
berkesinambungan telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis, hasil dari pengujian layanan yang berkesinambungan, serta hasil dari pengujian layanan yang berkelanjutan dan pelaksanaan internal terbaik. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden telah diketahui oleh seluruh pihak yang terlibat.
f. Terdapat pengujian keseluruhan dan hasil pengujian dimasukkan sebagai bagian dari proses maintenance. Proses-proses layanan yang berkesinambungan dan terintegrasi bersifat proaktif, adaptif, terotomasi dan dapat menganalisa dirinya sendiri serta mempertimbangkan benchmarking dan pelaksanaan eksternal terbaik.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam memastikan layanan yang berkelanjutan saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam memastikan layanan yang berkelanjutan?
128
Memastikan Keamanan Sistem (DS5)
I Kepedulian dan komunikasi a. Organisasi tidak menyadari pentingnya keamanan TI.
b. Organisasi menyadari kebutuhan untuk keamanan TI, namun kepedulian keamanan tergantung pada individu.
c. Kepedulian keamanan terpisah-pisah dan terbatas. d. Telah terdapat kepedulian keamanan dan dipromosikan oleh
manajemen. Briefing untuk kepedulian keamanan telah distandarisasi dan diformalisasi.
e. Kebutuhan bagi Keamanan sistem secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul.
f. Kebutuhan keamanan TI telah didefinisikan dengan jelas, dioptimalkan dan dimasukkan ke dalam rencana keamanan yang terverifikasi. Kendali mitigasi yang memadai dikomunikasikan dan diterapkan dengan baik.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memastikan keamanan sistem saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan memastikan keamanan sistem?
129
II Kebijakan, standar dan prosedur a. Tidak ada pelaporan keamanan TI dan tidak ada proses respon
terhadap kegagalan keamanan TI. Terdapat kekurangan yang signifikan atas proses administrasi keamanan sistem yang diketahui.
b. Respon terhadap kegagalan kemanan TI tidak dapat diprediksi. c. Kebijakan keamanan telah diuapayakan untuk dikembangkan.
Informasi keamanan TI telah dihasilkan, namun tidak dianalisa. d. Prosedur keamanan TI telah didefinisikan dan disesuaikan ke dalam
struktur untuk prosedur dan kebijakan keamanan. Telah terdapat rencana keamanan TI, analisis resiko yang terarah, dan solusi keamanan. Pengujian gangguan telah dilakukan secara ad-hoc.
e. Kebijakan dan pelaksanaan keamanan telah dilengkapi dengan dasar keamanan spesifik. Analisis dampak dan resiko keamanan TI telah dilakukan secara konsisten. Pengujian terhadap gangguan merupakan proses standar dan terformalisasi yang menuju pada peningkatan. Proses-proses keamanan TI telah dikoordinasikan ke seluruh fungsi keamanan organisasi. Identifikasi, autentifikasi dan otorisasi pengguna telah distandarisasi.
f. Proses dan teknologi keamanan diintegrasikan di seluruh bagian organisasi. Informasi mengenai ancaman dan kerentanan yang baru dikumpulkan dan dianalisa secara sistematis.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam memastikan keamanan sistem saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam memastikan keamanan sistem?
130
III Perangkat dan otomasi a. Tidak adanya perangkat untuk memastikan keamanan sistem.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software tertentu.
c. Perangkat yang digunakan masih belum mencukupi. d. Adanya rencana penggunaan perangkat standar untuk melakukan
otomasi. Perangkat yang digunakan masih belum terintegrasi. e. Analisis biaya/manfaat yang mendukung penerapan ukuran keamanan
telah lebih dimanfaatkan. f. Pelaporan keamanan TI memberikan peringatan awal terhadap resiko
yang muncul dan berubah-ubah, dengan menggunakan pendekatan pengawasan aktif secara terotomasi untuk sistem utama. Fungsi-fungsi keamanan telah diintegrasikan dengan aplikasi pada tahap desain dan pengguna akhir lebih dipercaya untuk mengelola keamanan. Insiden diselesaikan dengan tepat menggunakan prosedur respon insiden yang formal dan didukung oleh perangkat terotomasi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan memastikan keamanan sistem saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses memastikan keamanan sistem?
131
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk memastikan keamanan sistem.
b. Belum ada dalam perencanaan adanya pelatihan dalam memastikan keamanan sistem dan belum ada pelatihan formal yang dilakukan.
c. Keahlian masih belum mencukupi. Solusi keamanan cenderung merespon insiden keamanan TI secara reaktif dan dengan mengadopsi bantuan pihak ketiga, tanpa memenuhi kebutuhan spesifik organisasi.
d. Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
e. Briefing kepedulian keamanan telah menjadi kewajiban. Sertifikasi keamanan staf telah dilakukan.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memastikan keamanan sistem saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses memastikan keamanan sistem?
132
V Tanggung jawab dan akuntabilitas a. Tanggung jawab dan akuntabilitas tidak ditetapkan untuk memastikan
keamanan. b. Kegagalan keamanan TI yang terdeteksi melibatkan penunjukkan
tanggung jawab, karena tanggung jawab tidak jelas. c. Tanggung jawab dan akuntabilitas untuk keamanan TI dibebankan
pada seorang koordinator TI tanpa otoritas manajemen. d. Tanggung jawab untuk keamanan TI telah ditetapkan, namun tidak
diterapkan secara konsisten. e. Tanggung jawab untuk keamanan TI telah ditetapkan dengan jelas,
dikelola dan diterapkan. f. Keamanan TI merupakan tanggung jawa bersama antara manajemen
bisnis dan TI yang diintegrasikan dengan tujuan bisnis keamanan perusahaan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam memastikan keamanan sistem saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam memastikan keamanan sistem?
133
VI Penentuan dan pengukuran pencapaian a. Pengukuran dukungan manajemen keamanan TI tidak diterapkan.
b. Keamanan TI ditujukan atas dasar reaktif dan tidak terukur. c. Pelaporan keamanan TI tidak lengkap, tidak terarah atau tidak saling
berhubungan. d. Pelaporan keamanan TI difokuskan lebih kepada TI, bukan kepada
bisnis. e. Pelaporan keamanan TI terhubung dengan tujuan bisnis. f. Pengujian intrusi, analisis akar permasalahan dari insiden keamanan,
dan identifikasi resiko secara proaktif merupakan dasar bagi peningkatan secara kontinu. Penilaian keamanan secara periodik mengevaluasi efektifitas penerapan rencana keamanan.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam memastikan keamanan sistem saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam memastikan keamanan sistem?
134
Identifikasi dan Alokasi Biaya (DS6)
I Kepedulian dan komunikasi a. Organisasi bahkan tidak menyadari adanya permasalahan yang akan
diselesaikan terkait dengan pembukuan biaya dan tidak ada komunikasi mengenai permasalahan tersebut.
b. Terdapat pemahaman secara umum mengenai keseluruhan biaya untuk layanan informasi, namun tidak ada rincian biaya untuk setiap pengguna, departemen, kelompok pengguna, fungsi layanan, proyek atau pemberian layanan.
c. Terdapat kepedulian yang menyeluruh terhadap kebutuhan untuk mengidentifikasi dan mengalokasikan biaya. Tidak ada komunikasi formal mengenai prosedur alokasi dan identifikasi biaya standar. Terdapat tingkat kepedulian yang sesuai terhadap biaya untuk layanan informasi.
d. Kebutuhan bagi alokasi dan identifikasi biaya secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam alokasi dan identifikasi biaya.
e. Kebutuhan alokasi dan identifikasi biaya dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi.
f. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam alokasi dan identifikasi biaya yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan melakukan identifikasi dan alokasi biaya saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan melakukan identifikasi dan alokasi biaya?
135
II Kebijakan, standar dan prosedur a. Keberadaan proses-proses untuk mengidentifikasi dan mengalokasi
biaya masih sangat minim terkait dengan layanan informasi yang diberikan.
b. Tidak ada proses atau sistem untuk menutupi pengeluaran dalam mengenakan biaya pada pengguna atas pengeluaran dalam pemberian layanan informasi. Tidak ada pengawasan biaya yang nyata, melainkan hanya pelaporan biaya keseluruhan pada pihak manajemen.
c. Alokasi biaya didasarkan pada asumsi biaya pokok atau informal, misalnya untuk biaya hardware, dan tidak ada keterkaitan dengan pengarahan nilai. Proses alokasi biaya dapat diulangi dan beberapa diantaranya mulai diawasi.
d. Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan melakukan beberapa aktivitas dasar dalam alokasi dan identifikasi biaya.
e. Secara umum, terdapat evaluasi dan pengawasan biaya, serta tindakan yang diambil ketika proses tidak berjalan secara efektif atau efisien. Tindakan diambil pada sebagian besar kasus. Proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik.
f. Biaya dari layanan yang diberikan telah teridentifikasi, tercatat, terangkum dan dilaporkan ke pihak manajemen, pemilik proses bisnis dan pengguna. Biaya diidentifikasi sebagai pengeluaran dan mendukung sebuah sistem pembiayaan yang meminta tagihan kepada pengguna atas layanan yang diberikan berdasarkan jenis pemanfaatan. Rincian biaya mendukung kesepakatan tingkat layanan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam melakukan identifikasi dan alokasi biaya saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam melakukan identifikasi dan alokasi biaya?
136
III Perangkat dan otomasi a. Tidak ada perangkat untuk mengidentifikasi dan mengalokasi biaya.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu.
c. Telah digunakannya perangkat untuk membantu proses alokasi dan identifikasi biaya sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Terdapat sistem pembukuan biaya yang terotomasi, namun lebih terfokus pada fungsi layanan informasi, bukan pada proses bisnis. Terdapat model pembiayaan layanan informasi yang terdokumentasi dan terdefinisi. Model tersebut dikomunikasikan dan diterapkan di organisasi.
e. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala dan terotomasi pada manajemen, pemilik proses bisnis, dan pengguna.
f. Model biaya variabel telah digunakan , diturunkan dari jumlah yang diproses untuk setiap layanan yang diberikan. Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan melakukan identifikasi dan alokasi biaya saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses melakukan identifikasi dan alokasi biaya?
137
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengidentifikasi dan mengalokasi biaya.
b. Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan.
c. Tidak ada pelatihan formal mengenai prosedur alokasi dan identifikasi biaya standar.
d. Pelatihan dilakukan secara informal. e. Terdapat keterlibatan dari seluruh pakar manajemen biaya internal. f. Pakar eksternal telah dilibatkan dan dilakukan benchmarking sebagai
panduan manajemen biaya. No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam melakukan identifikasi dan alokasi biaya saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses melakukan identifikasi dan alokasi biaya?
138
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengidentifikasi
dan mengalokasi biaya. b. Tanggungjawab masih tidak jelas dan belum didefinisikan.
Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Tanggung jawab tidak ditetapkan. d. Kepemilikan dan Tanggungjawab telah ditetapkan serta permasalahan
alokasi dan identifikasi biaya dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
e. Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi telah didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal.
f. Terdapat evaluasi dan pengawasan yang baik atas biaya layanan, dimana keragaman dari jumlah biaya teridentifikasi, serta ketidaksesuaian dirinci dan diselesaikan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam melakukan identifikasi dan alokasi biaya saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam melakukan identifikasi dan alokasi biaya?
139
VI Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mengidentifikasi
dan mengalokasi biaya. b. Tujuan identifikasi dan alokasi biaya belum jelas dan belum ada
pengukuran. c. Aktivitas pengawasan terhadap alokasi dan identifikasi biaya mulai
dilakukan walaupun masih belum secara konsisten. d. Beberapa tujuan dan pengukuran dalam alokasi dan identifikasi biaya
telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Pelaporan biaya layanan dihubungkan dengan tujuan bisnis dan kesepakatan tingkat layanan.
f. Manajemen biaya telah disempurnakan ke arah pelaksanaan terbaik, berdasarkan hasil dari peningkatan secara kontinu dan pemodelan kematangan terhadap organisasi lainnya. Pelaporan biaya layanan informasi memberikan peringatan awal terhadap kebutuhan bisnis yang berubah-ubah melalui sistem pelaporan. Gambaran biaya yang diperoleh digunakan untuk memverifikasi penggunaan keuntungan dan digunakan dalam proses penyusunan anggaran organisasi.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam melakukan identifikasi dan alokasi biaya saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam melakukan identifikasi dan alokasi biaya?
140
Mendidik dan Melatih Pengguna (DS7)
I Kepedulian dan komunikasi a. Organisasi bahkan tidak menyadari adanya permasalahan yang akan
diselesaikan melalui pelatihan serta tidak adanya komunikasi mengenai permasalahan.
b. Terdapat bukti bahwa organisasi telah menyadari kebutuhan akan program pendidikan dan pelatihan, namun tidak ada proses terstandarisasi. Keseluruhan pendekatan manajemen tidak dilakukan secara terpadu dan hanya terdapat komunikasi yang sporadis dan tidak konsisten mengenai permasalahan dan pendekatan terhadap pelatihan dan pendidikan.
c. Terdapat kepedulian mengenai kebutuhan program pendidikan dan pelatihan dan untuk proses-proses yang terkait di seluruh organisasi. Komunikasi secara konsisten atas seluruh permasalahan dan kebutuhan untuk melakukannya tetap dilakukan.
d. Program pendidikan dan pelatihan telah dikomunikasikan dan diterapkan di organisasi, pegawai dan manajer melakukan identifikasi dan dokumentasi kebutuhan pelatihan.
e. Manajemen mendukung dan menghadiri sesi pelatihan dan pendidikan.
f. Terdapat perilaku yang positif terkait dengan pelaksanaan etika dan prinsip keamanan sistem. TI digunakan secara ekstensif, terintegrasi, dan teroptimalisasi untuk mengotomasi dan menyediakan perangkat bagi program pelatihan dan pendidikan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendidik dan melatih pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendidik dan melatih pengguna?
141
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk mendidik dan
melatih pengguna. b. Dalam ketidakadaan program yang terorganisir, para pegawai telah
mengidentifikasi dan menghadiri kursus pelatihan secara individu. c. Pelatihan mulai diidentifikasi dalam rencana kinerja individu para
pegawai. Proses telah dikembangkan hingga tingkatan dimana kelas pendidikan dan pelatihan informal diajarkan oleh instruktur yang berbeda, namun tetap mencakup permasalahan yang sama dengan pendekatan yang berbeda.
d. Proses pendidikan dan pelatihan telah terdokumentasi. Analisis permasalahan pelatihan dan komunikasi tidak dilakukan secara rutin. Anggaran, sumberdaya, fasilitas dan trainer telah disediakan untuk mendukung program pelatihan dan pendidikan.
e. Seluruh pegawai menerima tingkatan pelatihan pelaksanaan keamanan sistem yang sama dalam melindungi bahaya kegagalan yang mempengaruhi ketersediaan, kerahasiaan, dan integritas.
f. Anggaran, sumberdaya, fasilitas, dan instruktur yang memadai diberikan untuk program pelatihan dan pendidikan. Pelatihan dan pendidikan merupakan komponen utama arah karir pegawai. Seluruh permasalahan dan penyimpangan dianalisa untuk akar permasalahan dan tindakan efisien diidentifikasi dan diambil dengan tepat.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mendidik dan melatih pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendidik dan melatih pengguna?
142
III Perangkat dan otomasi a. Tidak ada perangkat untuk mendidik dan melatih pengguna.
b. Beberapa perangkat untuk mendidik dan melatih pengguna mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tools Untuk mendidik dan melatih pengguna.
c. Telah digunakannya perangkat untuk membantu mendidik dan melatih pengguna sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendidik dan melatih pengguna. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mendidik dan melatih pengguna.
f. Perangkat yang canggih digunakan dengan otomasi mendidik dan melatih pengguna secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mendidik dan melatih pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendidik dan melatih pengguna?
143
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mendidik dan melatih pengguna.
b. Beberapa kursus pelatihan telah diarahkan untuk permasalahan pelaksanaan etika, kepedulian keamanan sistem dan pelaksanaan keamanan.
c. Terdapat ketergantungan yang tinggi atas pengetahuan individu. Beberapa kelas telah mengarah pada permasalahan pelaksanaan etika dan pelaksanaan serta kepedulian keamanan sistem.
d. Kelas-kelas formal diberikan pada pegawai dalam melaksanakan etika dan dalam kepedulian dan pelaksanaan keamanan sistem.
e. Seluruh pegawai menerima pelatihan kepedulian keamanan sistem dan pelaksanaan etika. Pelatihan dan pendidikan merupakan sebuah komponen bagi arah karir pegawai.
f. Pelatihan dan pendidikan berdampak pada peningkatan kinerja individu. Pakar pelatihan eksternal diperbanyak dan digunakan benchmarking sebagai panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendidik dan melatih pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendidik dan melatih pengguna?
144
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mendidik dan
melatih pengguna. b. Tanggungjawab mendidik dan melatih pengguna masih tidak jelas
dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Kepemilikan dan tanggungjawab untuk mendidik dan melatih pengguna secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan mendidik dan melatih pengguna, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Kepemilikan dan tanggungjawab mendidik dan melatih pengguna telah ditetapkan serta permasalahan yang terkait dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
e. Tanggung jawab jelas dan kepemilikan proses telah ditentukan. f. Tanggung jawab mendidik dan melatih pengguna ditetapkan secara
jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mendidik dan melatih pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendidik dan melatih pengguna?
145
VI Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mendidik dan
melatih pengguna. b. Tujuan mendidik dan melatih pengguna belum jelas dan belum ada
pengukuran yang dilakukan. c. Aktivitas pengawasan untuk mendidik dan melatih pengguna mulai
dilakukan walaupun masih belum secara konsisten terutama pada aktivitas-aktivitas penting.
d. Sebagian besar proses pendidikan dan pelatihan diawasi, namun tidak seluruh penyimpangan dapat terdeteksi oleh manajemen.
e. Terdapat sebuah program pelatihan dan pendidikan secara komprehensif yang terfokus pada kebutuhan perusahaan dan individu serta menghasilkan keluaran yang terukur. Manajemen mengawasi kepatuhan dengan mereview dan memperbaharui proses serta program pendidikan dan pelatihan secara konstan. Proses ditingkatkan dan menerapkan pelaksanaan internal terbaik.
f. Proses telah disempurnakan dan ditingkatkan secara kontinu, menggunakan keuntungan yang diperoleh dari pemodelan kematangan dan pelaksanaan eksternal terbaik dengan organisasi lainnya.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mendidik dan melatih pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendidik dan melatih pengguna?
146
Mendampingi dan Memberikan Saran Kepada Pengguna (DS8)
I Kepedulian dan komunikasi a. Organisasi tidak menyadari bahwa terdapat permasalahan yang akan
diselesaikan. b. Organisasi telah mengetahui bahwa proses yang didukung oleh
perangkat dan personil untuk merespon pertanyaan pengguna dan mengelola resolusi permasalahan. Manajemen tidak mengawasi pertanyaan, permasalahan atau tren pengguna.
c. Terdapat kepedulian organisasi akan kebutuhan untuk membantu fungsi help desk. Terdapat komunikasi yang konsisten mengenai keseluruhan permasalahan dan kebutuhan untuk menyelesaikannya.
d. Kebutuhan untuk membantu fungsi help desk telah diketahui dan diterima.
e. Terdapat pemahaman menyeluruh mengenai manfaat dari help desk di seluruh tingkatan organisasi dan fungsi tersebut telah dibentuk pada unit organisasi yang tepat.
f. Fungsi help desk telah dibentuk, diorganisasir dengan baik dan berorientasi pada layanan pelanggan, dengan menambah pengetahuan, fokus pada pelanggan, dan akan sangat membantu.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendampingi dan memberikan saran kepada pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendampingi dan memberikan saran kepada pengguna?
147
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk mendampingi dan
memberikan saran kepada pengguna. b. Tidak ada proses yang terstandarisasi dan hanya dukungan reaktif
yang diberikan. Tidak ada proses eskalasi untuk memastikan bahwa permasalahan telah diselesaikan.
c. Kegiatan mendampingi dan memberikan saran kepada pengguna telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
d. Prosedur telah distandarisasi dan didokumentasikan serta terdapat pelatihan informal.
e. Prosedur untuk mengkomunikasikan, mengeskalasi dan menyelesaikan permasalahan telah dibentuk dan dikomunikasikan. Staf help desk berinteraksi langsung dengan staf manajemen permasalahan.
f. Manajemen menggunakan proses notifikasi secara pro aktif dan analisis tren untuk mencegah dan mengawasi permasalahan. Saran diberikan secara konsisten dan permasalahan diselesaikan dengan cepat dalam sebuah proses eskalasi terstruktur.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mendampingi dan memberikan saran kepada pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendampingi dan memberikan saran kepada pengguna?
148
III Perangkat dan otomasi a. Tidak terdapat fungsi help desk. Tidak ada dukungan untuk
menyelesaikan pertanyaan dan permasalahan pengguna. b. Beberapa perangkat mungkin telah ada, karena memang sudah
tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu.
c. Individu-individu tersebut memiliki perangkat yang tersedia untuk membantu dalam penyelesaian masalah.
d. Frequently Asked Questions (FAQs) dan panduan pengguna telah dikembangkan, namun individu masih harus mencarinya dan mungkin tidak mengikutinya. Pertanyaan dan permasalahan dilacak secara manual dan diawasi oleh individu, namun tidak ada sistem pelaporan formal.
e. Perangkat dan teknik diotomasikan dengan basis pengetahuan permasalahan dan solusi yang terpusat.
f. Perangkat digunakan untuk memungkinkan pengguna dalam melakukan diagnosa dan menyelesaikan permasalahan. TI digunakan dalam menciptakan, mengelola dan meningkatkan akses untuk mengotomasi basis pengetahuan yang mendukung penyelesaian permasalahan.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mendampingi dan memberikan saran kepada pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendampingi dan memberikan saran kepada pengguna?
149
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mendampingi dan memberikan saran
kepada pengguna. b. Belum ada dalam perencanaan adanya pelatihan dalam mendampingi
dan memberikan saran kepada pengguna dan belum ada pelatihan formal yang dilakukan.
c. Panduan tersedia secara informal melalui sebuah jaringan individu-individu yang memiliki pengetahuan. Tidak ada pelatihan dan komunikasi formal mengenai prosedur standar.
d. Kebutuhan keahlian dalam mendampingi dan memberikan saran kepada pengguna telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
e. Personil help desk dilatih dan proses ditingkatkan melalui penggunaan perangkat lunak yang spesifik untuk pekerjaan tertentu.
f. FAQ yang komprehensif dan diperluas merupakan bagian integral dari basis pengetahuan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendampingi dan memberikan saran kepada pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendampingi dan memberikan saran kepada pengguna?
150
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas untuk mendampingi dan
memberikan saran kepada pengguna. b. Tanggungjawab mendampingi dan memberikan saran kepada
pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Tanggung jawab diserahkan pada masing-masing individu. d. Keikutsertaan dalam pelatihan dan kepatuhan terhadap standar
bergantung pada tanggung jawab individu. e. Tanggung jawab telah menjadi jelas dan efektifitas diawasi. f. Tanggung jawab mendampingi dan memberikan saran kepada
pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mendampingi dan memberikan saran kepada pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendampingi dan memberikan saran kepada pengguna?
151
VI Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mendampingi
dan memberikan saran kepada pengguna. b. Tujuan mendampingi dan memberikan saran kepada pengguna belum
jelas dan belum ada pengukuran. c. Aktivitas pengawasan mulai dilakukan walaupun masih belum secara
konsisten terutama pada aktivitas penting. d. Respon berkala terhadap pertanyaan dan permasalahan tidak diukur
dan permasalahan terkadang tidak terselesaikan. Eskalasi permasalahan mulai dilakukan.
e. Penyebab utama dari permasalahan telah diidentifikasi dan tren dilaporkan, berdampak pada koreksi permasalahan secara berkala. Proses sedang ditingkatkan dan menerapkan pelaksanaan internal terbaik.
f. Proses telah disempurnakan hingga tingkat pelaksanaan eksternal terbaik, berdasarkan pada hasil peningkatan secara kontinu dan pemodelan kematangan dengan organisasi lainnya.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mendampingi dan memberikan saran kepada pengguna saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendampingi dan memberikan saran kepada pengguna?
152
Mengelola Konfigurasi (DS9)
I Kepedulian dan komunikasi a. Manajemen tidak memiliki apresiasi terhadap manfaat dari
pembentukan proses untuk melaporkan dan mengelola infrastruktur TI, untuk konfigurasi hardware maupun software.
b. Kebutuhan untuk manajemen konfigurasi telah diketahui. c. Manajemen memiliki kepedulian terhadap manfaat pengendalian
konfigurasi TI. d. Kebutuhan untuk mengakurasikan dan melengkapi informasi
konfigurasi telah dipahami dan diterapkan. e. Kebutuhan untuk mengelola konfigurasi diketahui oleh seluruh
tingkatan organisasi dan pelaksanaan terbaik terus ditingkatkan. f. Kebutuhan pengelolaan konfigurasi dan pemahamannya atas langkah
yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola konfigurasi yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola konfigurasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola konfigurasi?
153
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur dalam mengelola
konfigurasi. b. Tidak ada pelaksanaan standar yang diterapkan. c. Konten data konfigurasi dibatasi dan tidak digunakan oleh proses
yang saling berhubungan seperti manajemen perubahan dan manajemen permasalahan.
d. Prosedur dan pelaksanaan pekerjaan telah didokumentasikan, distandarisasi dan dikomunikasikan, namun pelatihan dan penerapan standar tergantung pada individu. Penyimpangan prosedur sulit dideteksi dan verifikasi fisik dilakukan secara tidak konsisten.
e. Prosedur dan standar dikomunikasikan dan digabungkan dalam pelatihan, penyimpangan yang terjadi akan diawasi, dilacak dan dilaporkan. Sistem manajemen konfigurasi tidak mencakup sebagian besar infrastruktur TI dan memungkinkan dilakukannya release management yang baik dan kendali distribusi. Analisis pengecualian dan verifikasi fisik diterapkan secara konsisten dan penyebab utamanya diidentifikasi.
f. Proses-proses yang terkait diintegrasikan seluruhnya dan digunakan seperti halnya data konfigurasi pembaharuan. Data konfigurasi disesuaikan dengan katalog vendor. Aturan instalasi software yang sah telah diterapkan. Manajemen memprediksi perbaikan dan upgrade dari laporan analisis sehingga memberikan upgrade yang terjadwal dan kemampuan pembaharuan teknologi. Pelacakan aset dan pengawasan setiap workstation melindungi aset dan mencegah pencurian dan penyalahgunaan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola konfigurasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola konfigurasi?
154
III Perangkat dan otomasi a. Tidak ada perangkat dan otomasi dalam mengelola konfigurasi.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
c. Perangkat manajemen konfigurasi digunakan sampai tingkatan tertentu, namun berbeda untuk setiap platform.
d. Perangkat manajemen konfigurasi yang serupa diimplementasikan di seluruh platform. Terdapat beberapa otomasi untuk membantu dalam melacak perubahan peralatan dan software. Data konfigurasi digunakan oleh proses yang saling berhubungan.
e. Perangkat terotomasi digunakan seperti teknologi penekanan untuk menerapkan standar dan meningkatkan stabilitas.
f. Seluruh komponen infrastruktur dikelola dalam sistem manajemen konfigurasi, yang mencakup seluruh informasi yang diperlukan mengenai komponen-komponen dan keterkaitannya.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mengelola konfigurasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola konfigurasi?
155
IV Keahlian dan kepakaran a. Tidak ada keahlian dan kepakaran dalam mengelola konfigurasi.
b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola konfigurasi dan belum ada pelatihan formal dilakukan untuk mengelola konfigurasi.
c. Terdapat ketergantungan secara implisit pada pengetahuan dan keahlian personil teknis.
d. Kebutuhan keahlian dalam mengelola konfigurasi telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan konfigurasi untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen konfigurasi telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola konfigurasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola konfigurasi?
156
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola
konfigurasi. b. Tugas manajemen konfigurasi dasar seperti merawat inventaris
hardware dan software dilakukan secara individual. c. Kepemilikan dan tanggungjawab atas pengelolaan konfigurasi secara
informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengelolaan konfigurasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Kepemilikan dan Tanggungjawab pengelolaan konfigurasi telah ditetapkan dan dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
e. Tanggungjawab pengelolaan konfigurasi didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Tanggung jawab pengelolaan konfigurasi ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola konfigurasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola konfigurasi?
157
VI Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian dalam mengelola
konfigurasi. b. Tujuan pengelolaan konfigurasi belum jelas dan belum ada
pengukuran yang dilakukan. c. Tidak ada pelaksanaan kerja standar yang telah didefinisikan. d. Beberapa tujuan dan pengukuran dalam pengelolaan konfigurasi telah
ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan konfigurasi. Perbaikan secara berkelanjutan pada proses pengelolaan konfigurasi dilakukan.
f. Laporan audit dasar menyediakan data hardware dan software untuk perbaikan, layanan, garansi, upgrade dan penilaian teknis dari setiap unit.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mengelola konfigurasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola konfigurasi?
158
Mengelola Permasalahan dan Insiden (DS10)
I Kepedulian dan komunikasi a. Tidak ada kepedulian terhadap kebutuhan untuk mengelola
permasalahan dan insiden. b. Organisasi telah menyadari bahwa terdapat kebutuhan untuk
menyelesaikan permasalahan dan mengevaluasi insiden. c. Terdapat kepedulian yang tinggi mengenai kebutuhan untuk
mengelola permasalahan yang terkait dengan TI dalam unit bisnis dan fungsi layanan informasi.
d. Pengguna telah menerima komunikasi yang jelas mengenai waktu dan cara melaporkan permasalahan dan insiden.
e. Proses manajemen permasalahan dipahami di seluruh tingkatan dalam organisasi.
f. Kebutuhan manajemen permasalahan dan insiden, dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola permasalahan dan insiden yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola permasalahan dan insiden saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola permasalahan dan insiden?
159
II Kebijakan, standar dan prosedur
a. Proses penyelesaian masalah bersifat informal, pengguna dan staf TI menyelesaikan masalah dengan pendekatan kasus per kasus.
b. Manajemen seringkali merubah fokus dan arahan staf dukungan teknis dan operasi.
c. Informasi dibagikan ke seluruh staf, namun proses tetap tidak terstruktur, informal dan umumnya bersifat reaktif.
d. Penyimpangan dari norma-norma atau standar yang ada terkadang tidak terdeteksi. Penyelesaian, eskalasi dan resolusi masalah telah distandarisasi walaupun belum sepenuhnya.
e. Metode dan prosedur telah didokumentasikan, dikomunikasikan, dan diukur untuk mencapai efektifitas. Manajemen permasalahan dan insiden diintegrasikan dengan semua proses yang terkait, seperti perubahan, ketersediaan dan manajemen konfigurasi, serta mendampingi pelanggan dalam mengelola data, fasilitas dan operasi.
f. Proses manajemen permasalahan dan insiden telah menjadi lebih proaktif dan inovatif, sehingga berkontribusi pada tujuan TI. Permasalahan diantisipasi dan kemungkinan dapat dicegah.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola permasalahan dan insiden saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola permasalahan dan insiden?
160
III Perangkat dan otomasi a. Tidak ada perangkat untuk mengelola permasalahan dan insiden.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana untuk menggunakan perangkat software.
c. Telah digunakannya perangkat untuk membantu proses pengelolaan permasalahan dan insiden sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Perekaman dan pelacakan masalah serta resolusinya terpisah-pisah dalam tim penanggung jawab, dengan menggunakan perangkat yang tersedia tanpa analisis atau desentralisasi.
e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola permasalahan dan insiden.
f. Sebagian besar sistem telah dilengkapi dengan mekanisme peringatan dan pendeteksian otomatis, yang dilacak dan dievaluasi secara kontinu. Perekaman, pelaporan serta analisis permasalahan dan resolusi diotomasikan dan diintegrasikan sepenuhnya dengan manajemen manajemen data konfigurasi.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola permasalahan dan insiden saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola permasalahan dan insiden?
161
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola permasalahan dan insiden.
b. Individu utama yang memiliki pengetahuan memberikan beberapa panduan atas permasalahan yang terkait dengan keahlian dan tanggung jawab mereka. Informasi tidak dibagikan dengan pihak lain dan solusi bervariasi dari satu personil pendukung ke personil lainnya, berdampak pada terbentuknya permasalahan tambahan dan hilangnya waktu produktif ketika mencari jawaban.
c. Tingkat layanan untuk komunitas pengguna bervariasi dan dipersulit oleh ketidakcukupan pengetahuan terstruktur yang tersedia bagi pihak yang menyelesaikan masalah.
d. Kebutuhan keahlian dalam mengelola permasalahan dan insiden telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkanada inisiatif perorangan.
e. Pengetahuan dan keahlian disempurnakan, dijaga dan dikembangkan ke tingkatan yang lebih tinggi karena fungsi layanan informasi telah dipandang sebagai aset dan kontributor utama bagi pencapaian tujuan TI.
f. Pengetahuan dijaga melalui hubungan dengan para vendor dan pakar, dengan mempertimbangkan pola permasalahan dan insiden di masa lalu dan yang akan datang.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola permasalahan dan insiden saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden?
162
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola
permasalahan dan insiden. b. Tanggungjawab mengelola permasalahan dan insiden masih tidak
jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Proses resolusi telah berubah hingga suatu titik dimana beberapa individu utama bertanggung jawab untuk mengelola permasalahan dan insiden yang terjadi.
d. Kebutuhan akan sistem manajemen permasalahan yang efektif diterima dan dibuktikan dengan penugasan staf, pelatihan dan dukungan dari tim penanggung jawab.
e. Tanggung jawab dan kepemilikan bersifat jelas dan diketahui. f. Tanggung jawab mengelola permasalahan dan insiden ditetapkan
secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola permasalahan dan insiden saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden?
163
VI Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mengelola
permasalahan dan insiden. b. Tujuan pengelolaan permasalahan dan insiden belum jelas dan belum
ada pengukuran. c. Pelaporan manajemen atas insiden dan analisis terjadinya masalah
masih terbatas dan bersifat informal. d. Beberapa tujuan dan pengukuran dalam pengelolaan permasalahan
dan insiden telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Kemampuan respon terhadap insiden diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dilaporkan dan dianalisa untuk peningkatan secara kontinu dan dilaporkan ke pihak stakeholder.
f. Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses mengelola permasalahan dan insiden yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses mengelola permasalahan dan insiden terus dan terus digali.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mengelola permasalahan dan insiden saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola permasalahan dan insiden?
164
Mengelola Data (DS11)
I Kepedulian dan komunikasi a. Data belum diakui sebagai aset dan sumber daya perusahaan.
b. Organisasi mulai menyadari adanya kebutuhan manajemen data yang akurat. Proses pengelolaan data merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan
c. Adanya kesadaran akan kebutuhan manajemen data untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan pengelolaan data.
d. Adanya pemahaman akan kebutuhan manajemen data. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan data.
e. Kebutuhan bagi manajemen data secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan data.
f. Kebutuhan manajemen data dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan pengelolaan data saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan pengelolaan data?
165
II Kebijakan, standar dan prosedur a. Tidak ada prosedur untuk menangani data.
b. Menggunakan pendekatan ad hoc untuk menangani kebutuhan keamanan pada manajemen data, namun belum menggunakan prosedur dengan pendekatan formal. Prosedur backup/restorasi dan pengaturan penghapusan sudah ada.
c. Penanganan keamanan pada manajemen data telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
d. Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan melakukan beberapa aktivitas dasar dalam pengelolaan data seperti proses backup/ restorasi dan penghapusan peralatan/ media.
e. Prosedur-prosedur secara lengkap pada proses pengelolaan data, yang mengacu pada standar, yang menerapkan internal best-practice, telah diformalkan dan disosialisasikan secara luas serta mulai dilakukan sharing knowledge.
f. Prosedur-prosedur secara lengkap pada proses pengelolaan data, diformalkan dan disosialisasikan, serta sharing knowledge menjadi praktek yang harus dilakukan untuk melakukan pengembangan berkelanjutan. Prosedur dalam mengelola data tersebut mengacu pada standar dan terintegrasi serta telah menerapkan external best practices.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola data saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola data?
166
III Perangkat dan otomasi a. Tidak adanya tools untuk mengelola data.
b. Beberapa tools mungkin telah ada, karena memang sudah tersedia (bawaan) dalam tools perangkat standar. Belum ada rencana menggunakan software tools pengelolaan data.
c. Telah digunakannya tools untuk membantu proses pengelolaan data sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Adanya rencana penggunaan tools standar untuk melakukan otomasi dalam sistem pengelolaan data. Telah digunakan beberapa tools untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi.
e. Penggunaan tools terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan tools. Beberapa tools telah terintegrasi dengan tools yang lainnya. Tools tersebut digunakan untuk mengotomasikan proses utama dalam mengelola data.
f. Tools yang canggih digunakan dengan otomasi manajemen data secara maksimal dan terintegrasi dengan tools lain yang terkait. Toolsdigunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan pengelolaan data saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses pengelolaan data?
167
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola data.
b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola data dan belum ada pelatihan formal dilakukan.
c. Kebutuhan skill minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola data. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
d. Kebutuhan skill dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
e. Kebutuhan skill secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan knowledgesharing dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen data telah dilembagakan.Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam pengelolaan data saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses pengelolaan data?
168
V Tanggung jawab dan akuntabilitas a. Tidak ada kepemilikan data atau siapa yang bertanggungjawab dalam
pengelolaan data. b. Tanggungjawab manajemen data masih tidak jelas dan belum
didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Kepemilikan dan tanggungjawab atas manajemen data secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan manajemen data, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
d. Kepemilikan dan Tanggung jawab manajemen data telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya
e. Tanggung jawab dan kepemilikan pada manajemen data didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Tanggung jawab kepemilikan data dan manajemen data ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam pengelolaan data saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam pengelolaan data?
169
VI Penentuan dan pengukuran pencapaian a. Kebutuhan akan kualitas dan keamanan data belum ada.
b. Tujuan pengelolaan data belum jelas dan belum ada pengukuran. c. Aktivitas pengawasan terhadap manajemen data mulai dilakukan
walaupun masih belum secara konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan.
d. Beberapa tujuan dan pengukuran dalam pengelolaan data telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data. Perbaikan secara berkelanjutan pada proses pengelolaan data dilakukan.
f. Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses pengelolaan data yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses pengelolaan data terus dan terus digali.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam pengelolaan data saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam pengelolaan data?
170
Mengelola Fasilitas (DS12)
I Kepedulian dan komunikasi a. Tidak ada kepedulian akan kebutuhan untuk melindungi fasilitas atau
investasi dalam sumberdaya komputasi. b. Organisasi telah mengetahui kebutuhan bisnis untuk menyediakan
kondisi yang cocok untuk melindungi sumberdaya dan personil dalam menghadapi bencana alam maupun yang disebabkan oleh manusia.
c. Kepedulian akan kebutuhan untuk melindungi dan mengendalikan lingkungan pemrosesan fisik telah diketahui dan tercermin pada alokasi anggaran dan sumberdaya lainnya. Keamanan fisik merupakan proses informal yang diawali oleh inisiatif sekelompok kecil pegawai yang memiliki kepedulian tinggi untuk mengamankan fasilitas fisik.
d. Kebutuhan untuk menjaga lingkungan pemrosesan yang terkendali dipahami dan diterima oleh organisasi.
e. Kebutuhan untuk merawat lingkungan pemrosesan terkendali telah dipahami dengan baik, hal tersebut tercermin pada struktur organisasi dan alokasi anggaran. Daya pemulihan sumberdaya pemrosesan digabungkan ke dalam proses manajemen resiko organisasi.
f. Terdapat rencana jangka panjang untuk fasilitas yang diperlukan untuk mendukung lingkungan pemrosesan organisasi.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola fasilitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola fasilitas?
171
II Kebijakan, standar dan prosedur a. Faktor lingkungan seperti pemadam kebakaran, sampah, listrik,
kelemababan dan panas yang berlebihan tidak diawasi dan dikendalikan.
b. Tidak ada prosedur standar dan manajemen fasilitas dan peralatan bergantung pada kemampuan dan keahlian personil utama. Kenyamanan lingkungan tidak ditinjau dan perpindahan orang-orang dalam fasilitas tidak dibatasi.
c. Prosedur perawatan fisik tidak terdokumentasi dengan baik dan bergantung pada pelaksanaan terbaik sebagian kecil individu.
d. Faktor kendali lingkungan, perawatan preventif dan keamanan fisik dimasukkan dalam anggaran yang disetujui dan dilacak oleh manajemen. Larangan akses telah diterapkan, dimana hanya personil tertentu yang diizinkan untuk mengakses fasilitas pemrosesan. Resiko telah diasuransikan, namun tidak ada upaya untuk mengoptimalkan biaya asuransi.
e. Perencanaan dibentuk untuk keseluruhan organisasi, terdapat pengujian terintegrasi dan teratur serta hal-hal yang dipelajari digabungkan ke dalam revisi rencana. Mekanisme kendali standar ditujukan untuk membatasi akses ke fasilitas dan menangani faktor keamanan dan lingkungan. Kebutuhan keamanan fisik dan lingkungan telah terdokumentasi, akses diawasi dan dikendalikan secara ketat. Informasi yang terintegrasi digunakan untuk mengoptimalkan cakupan asuransi dan biaya yang terkait.
f. Standar telah didefinisikan untuk seluruh fasilitas, mencakup pemilihan lokasi, konstruksi, penjagaan, keamanan personil, sistem listrik dan mekanik, serta perlindungan dari kebakaran, petir dan banjir. Seluruh fasilitas diinventaris dan diklasifikasikan menurut proses manajemen resiko yang dijalankan di organisasi. Strategi dan standar fasilitas disesuaikan dengan sasaran ketersediaan layanan TI dan diintegrasikan dengan perencanaan kelangsungan bisnis dan manajemen krisis. Akses dikendalikan berdasarkan basis kebutuhan kerja, diawasi secara kontinu dan pengunjung selalu dipandu.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola fasilitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola fasilitas?
172
III Perangkat dan otomasi a. Tidak ada perangkat untuk mengelola fasilitas.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
c. Telah digunakannya perangkat untuk membantu proses pengelolaan fasilitas sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Fasilitas fisik sulit dikenali dan belum dapat diidentifikasi. e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai
rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola fasilitas.
f. Lingkungan diawasi dan dikendalikan melalui peralatan khusus dan akses ke ruangan peralatan dibatasi dengan ketat. Program perawatan preventif menekankan kepatuhan pada jadwal dan pengujian reguler diterapkan untuk peralatan yang sensitif.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mengelola fasilitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola fasilitas?
173
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola fasilitas.
b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola fasilitas dan belum ada pelatihan formal yang dilakukan.
c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola fasilitas. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
d. Kebutuhan keahlian dalam mengelola fasilitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan pada inisiatif perorangan.
e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan fasilitas untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan fasilitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen fasilitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola fasilitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola fasilitas?
174
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola
fasilitas. b. Manajemen tidak mengawasi kendali lingkungan fasilitas atau
perpindahan personil. Tanggungjawab mengelola fasilitas masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Kendali lingkungan diterapkan dan diawasi oleh personil operasi. d. Pengunjung dicatat dan terkadang dipandu, tergantung pada individu
yang bertanggung jawab. Otoritas sipil mengawasi kesesuaian dengan regulasi kesehatan dan keamanan.
e. Tanggung jawab dan kepemilikan telah dibentuk dan dikomunikasikan. Staf fasilitas telah sepenuhnya dilatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan.
f. Tanggung jawab pengelolaan fasilitas ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola fasilitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola fasilitas?
175
VI Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian dalam mengelola
fasilitas. b. Tujuan pengelolaan fasilitas belum jelas dan belum ada pengukuran. c. Pencapaian keamanan fisik tidak didasarkan pada standar formal dan
manajemen tidak memastikan bahwa tujuan keamanan telah dicapai. d. Beberapa tujuan dan pengukuran dalam pengelolaan fasilitas telah
ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Manajemen mengawasi efektivitas kendali dan kepatuhan dengan standar yang berlaku.
f. Manajemen mereview dan mengoptimalkan fasilitas secara kontinu, menekankan pada kesempatan untuk meningkatkan kontribusi bisnis.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mengelola fasilitas saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola fasilitas?
176
Mengelola Operasi (DS13)
I Kepedulian dan komunikasi a. Organisasi tidak mengalokasikan waktu dan sumberdaya untuk
aktifitas dasar operasi dan dukungan TI. b. Organisasi menyadari kebutuhan untuk menstrukturkan fungsi
dukungan TI. c. Organisasi memiliki kepedulian penuh terhadap peran utama yang
dijalankan operasi TI dalam menyediakan fungsi dukungan TI. Organisasi juga mengkomunikasikan kebutuhan untuk melakukan koordinasi antara pengguna dan pengoperasian sistem.
d. Kebutuhan manajemen pengoperasian komputer dipahami dan diterima dalam organisasi.
e. Kebutuhan bagi Pengelolaan operasi secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan operasi.
f. Kebutuhan pengelolaan operasi dan pemahaman atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola operasi yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola operasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola operasi?
177
II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk mengelola operasi.
b. Tidak ada prosedur standar dan aktifitas operasi bersifat reaktif. Sebagian besar operasi tidak terjadwal secara formal dan permintaan pemrosesan diterima tanpa melakukan validasi. Waktu akan terbuang ketika pegawai menunggu tersedianya sumberdaya.
c. Operasi dukungan TI bersifat informal dan intuitif. Tidak ada standar pengoperasian dan tidak ada pelatihan operator secara formal. Instruksi tentang apa yang akan dilakukan, kapan dan bagaimana urutan pelaksanaannya tidak terdokumentasi.
d. Sumberdaya telah dialokasikan dan terdapat beberapa on-the-job training. Fungsi yang berulang didefinisikan, didokumentasikan dan dikomunikasikan secara formal ke personil operasi dan pelanggan. Kendali yang ketat dilakukan setelah menempatkan pekerjaan baru pada operasi dan kebijakan formal digunakan untuk mengurangi jumlah kejadian yang tidak terjadwal. Kesepakatan layanan dan perawatan dengan vendor masih bersifat informal.
e. Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan cepat. Terdapat kesepakatan layanan dan perawatan formal dengan vendor. Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan sumberdaya manusia.
f. Operasi pendukung TI bersifat efektif, efisien dan cukup fleksibel untuk memenuhi kebutuhan tingkat layanan dengan cepat dan tanpa kehilangan produktivitas. Pertemuaan berkala dengan manajemen perubahan memastikan dicakupnya perubahan dalam jadwal produksi.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam mengelola operasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola operasi?
178
III Perangkat dan otomasi a. Tidak ada perangkat untuk mengelola operasi.
b. Komputer yang mendukung proses bisnis seringkali terganggu, tertunda atau tidak tersedia. Sistem tidak stabil atau tidak tersedia dan media keluaran terkadang muncul secara tidak diharapkan atau tidak muncul sama sekali.
c. Anggaran untuk perangkat dialokasikan berdasarkan kasus per kasus. d. Penggunaan penjadwalan terotomasi dan perangkat lainnya diperluas
dan distandarisasi untuk membatasi intervensi operator. e. Manajemen mengawasi penggunaan sumberdaya komputer dan
penyelesaian pekerjaan atau tugas yang telah ditetapkan. Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu.
f. Peralatan dianalisa berdasarkan usia dan gejala kerusakan serta perawatan bersifat preventif, seluruh hal tersebut dilakukan bersama-sama dengan vendor. Proses terotomasi yang mendukung sistem beroperasi dengan sempurna dan berkontribusi ke lingkungan yang stabil yang transparan dan dapat digunakan oleh pengguna, sehingga memungkinkan pengguna untuk memaksimalkan kesesuaian kebutuhannya dengan operasi TI.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan mengelola operasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola operasi?
179
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola operasi.
b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola operasi dan belum ada pelatihan formal dilakukan.
c. Terdapat ketergantungan yang tinggi pada kemampuan dan keahlian individu.
d. Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
e. Pelatihan telah dijalankan dan diformalkan, sebagai bagian dari pengembangan karir.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf pengelolaan operasi telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola operasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola operasi?
180
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola
operasi. b. Tanggungjawab manajemen operasi masih tidak jelas dan belum
didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Kepemilikan dan tanggungjawab atas pengelolaan operasi secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengelolaan operasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Aktifitas dukungan TI lainnya telah diidentifikasi dan tugas-tugas yang terkait dengan tanggung jawab tersebut telah didefinisikan.
e. Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya ditetapkan. Jadwal dan tugas telah didokumentasikan dan dikomunikasikan ke fungsi TI dan klien bisnis.
f. Tanggung jawab pengelolaan operasi ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam mengelola operasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola operasi?
181
VI Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian dalam mengelola
operasi. b. Tujuan pengelolaan operasi belum jelas dan belum ada pengukuran. c. Manajemen tidak mengukur jadwal yang dipenuhi oleh operasi TI
atau menganalisa penundaan. d. Kejadian dan hasil tugas yang telah diselesaikan direkam, namun
pelaporan ke pihak manajemen dibatasi atau tidak ada. e. Terdapat penyesuaian penuh dengan permasalahan dan proses
manajemen ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error. Pengukuran dan pengawasan aktifitas harian dapat dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi.
f. Proses manajemen TI operasioal distandarisasi dan didokumentasikan dalam sebuah basis pengetahuan dan ditujukan untuk peningkatan secara kontinu. Seluruh permasalahan dan kegagalan dianalisa untuk mengidentifikasi akar permasalahan.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam mengelola operasi saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola operasi?
182
Melakukan Pengawasan Proses (M1)
I Kepedulian dan komunikasi a. Kebutuhan untuk memahami tujuan proses dengan jelas tidak
diketahui. b. Manajemen menyadari kebutuhan untuk mengumpulkan dan menilai
informasi tentang proses pengawasan. c. Fungsi layanan informasi dikelola sebagai pusat biaya, tanpa menilai
kontribusinya terhadap entitas penghasil keuntungan bagi organisasi. d. Manajemen telah mengkomunikasikan dan menerapkan proses
pengawasan standar. e. Manajemen telah mendefinisikan toleransi terhadap proses yang
harus dioperasikan. f. Kebutuhan pengawasan proses dan pemahamannya atas langkah yang
diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan melakukan pengawasan proses saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan melakukan pengawasan proses?
183
II Kebijakan, standar dan prosedur a. Organisasi tidak menerapkan proses pengawasan. TI tidak melakukan
pengawasan proyek atau proses secara independen. b. Pengawasan diterapkan secara reaktif pada insiden yang
menyebabkan kerugian dan menurunnya citra organisasi. Pengawasan diterapkan oleh fungsi layanan informasi untuk dimanfaatkan oleh departemen lainnya, namun tidak diterapkan di seluruh proses-proses TI. Proses penilaian dan pengumpulan standar belum teridentifikasi.
c. Penanganan pengawasan proses telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
d. Penilaian masih dilakukan pada proses TI individu dan tingkatan proyek namun tidak terintegrasi di seluruh proses.
e. Pendasaran hasil pengawasan telah distandarisasi dan dinormalisasikan. Terdapat integrasi metrik di seluruh proyek dan proses TI.
f. Seluruh proses pengawasan dioptimalkan dan mendukung tujuan organisasi. Sebuah proses peningkatan kualitas secara kontinu dikembangkan untuk memperbaharui standar dan kebijakan pengawasan organisasi dan menjadikanya pelaksanaan terbaik industri. Pengawasan proses dan desain ulang yang sedang berjalan konsisten dengan rencana yang dikembangkan berdasarkan model kematangan proses dan dengan rencana pengembangan proses bisnis organisasi.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam melakukan pengawasan proses saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam melakukan pengawasan proses?
184
III Perangkat dan otomasi a. Tidak ada perangkat untuk melakukan pengawasan proses.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
c. Perangkat yang dipilih dan digunakan untuk memperoleh informasi masih terbatas dan mungkin tidak digunakan sepenuhnya karena kurangnya kepakaran dalam fungsionalitasnya. Teknik dan metode penilaian dan pengumpulan telah didefinisikan, namun proses-proses belum diadopsi di seluruh organisasi.
d. Perangkat untuk mengawasi proses TI internal dan tingkat layanan telah diterapkan.
e. Sistem pelaporan manajemen fungsi layanan informasi telah diformalkan dan sepenuhnya terotomasi. Perangkat otomasi diintegrasikan dan digunakan di organisasi untuk mengumpulkan dan mengawasi informasi operasional dari aplikasi, sistem dan proses.
f. Perangkat yang canggih digunakan dengan otomasi pengawasan proses secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan melakukan pengawasan proses saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses melakukan pengawasan proses?
185
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk melakukan pengawasan proses.
b. Belum ada dalam perencanaan adanya pelatihan dalam melakukan pengawasan proses dan belum ada pelatihan formal dilakukan.
c. Fungsi perencanaan dan manajemen dibuat untuk menilai proses pengawasan, namun keputusan dibuat berdasarkan kepakaran personil utama.
d. Program pendidikan dan pelatihan untuk pengawasan telah diterapkan. Telah dikembangkan sebuah basis pengetahuan mengenai informasi kinerja historis.
e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengawasan proses untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengawasan proses telah dilakukan sesuai dengan rencana dan Sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf pengawasan proses telah dilembagakan.Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam melakukan pengawasan proses saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses melakukan pengawasan proses?
186
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam melakukan
pengawasan proses. b. Tanggungjawab melakukan pengawasan proses masih tidak jelas dan
belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Tanggung jawab pengawasan proses secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengawasan proses, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Tanggungjawab pengawasan proses telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
e. Tanggungjawab dan kepemilikan pada pengawasan proses didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Tanggung jawab pengawasan proses ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam melakukan pengawasan proses saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam melakukan pengawasan proses?
187
VI Penentuan dan pengukuran pencapaian a. Tidak ada pelaporan yang akurat, berkala dan bermanfaat.
b. Pengawasan telah diterapkan dan metrik dipilih berdasarkan kasus per kasus, sesuai dengan kebutuhan dari proses-proses dan proyek TI yang spesifik. Definisi dan pengukuran pengawasan proses mengikuti pendekatan kendali internal dan operasi keuangan tradisional, tanpa memenuhi kebutuhan fungsi layanan informasi secara spesifik.
c. Pengukuran dasar yang akan diawasi telah diidentifikasi. d. Pengukuran kinerja spesifik TI telah didefinisikan dan diterapkan,
namun pengukuran strategis dan non finansial masih bersifat informal. Pengukuran kepuasan pelanggan dan tingkat layanan disediakan bagi entitas pengoperasian organisasi yang sedang menerapkannya. Pengukuran kontribusi fungsi layanan informasi terhadap kinerja organisasi telah didefinisikan menggunakan kriteria operasional dan keuangan tradisional.
e. Sebuah framework telah didefinisikan untuk mengidentifikasi KGI, KPI dan CSF yang berorientasi strategis untuk mengukur kinerja. Kriteria untuk mengevaluasi pengembangan organisasi berdasarkan model kematangan telah didefinisikan. Ukuran kinerja fungsi layanan informasi mencakup kriteria pembelajaran organisasi dan pelanggan, operasional dan keuangan yang memastikan kesesuaian dengan pencapaian organisasi.
f. Benchmarking terhadap industri dan kompetitor utama telah diformalkan dengan kriteria perbandingan yang dipahami dengan baik. KGI, KPI dan CSF digunakan secara rutin untuk mengukur kinerja dan diintegrasikan kedalam framework penilaian strategis seperti IT Balanced Scorecard.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam melakukan pengawasan proses saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam melakukan pengawasan proses?
188
Menilai Ketersediaan Kontrol Internal (M2)
I Kepedulian dan komunikasi a. Tidak ada kepedulian atas jaminan kendali internal dan keamanan
operasional TI. Manajemen dan pegawai tidak memiliki kepedulian yang cukup akan kendali internal.
b. Organisasi tidak memiliki komitmen manajemen yang cukup untuk standar keamanan operasional dan jaminan kendali internal.
c. Organisasi memiliki peningkatan kepedulian mengenai pengawasan kendali internal. Faktor resiko yang spesifik terhadap lingkungan TI telah didefinisikan.
d. Manajemen memberikan dukungan dan telah menerapkan pengawasan kendali internal.
e. Kebutuhan menilai ketersediaan kontrol internal secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam menilai ketersediaan kontrol internal.
f. Kebutuhan untuk menilai ketersediaan kontrol internal dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam menilai ketersediaan kontrol internal yang juga merupakan peluang pengembangan kedepan.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan menilai ketersediaan kontrol internal saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan menilai ketersediaan kontrol internal?
.
189
II Kebijakan, standar dan prosedur a. Organisasi tidak memiliki prosedur untuk mengawasi efektifitas
kendali internal. b. Kendali internal TI dilakukan sebagai bagian dari audit finansial
tradisional, dengan metodologi dan keahlian yang tidak mencerminkan kebutuhan fungsi layanan informasi.
c. Manajemen layanan informasi melakukan pengawasan terhadap efektifitas kendali internal utama secara teratur. Organisasi menggunakan laporan kendali informal untuk mengawali inisiatif tindakan korektif. Kendali keamanan diawasi dan hasilnya direview secara teratur.
d. Kebijakan dan prosedur telah dikembangkan untuk menilai dan melaporkan aktifitas pengawasan kendali internal. Review detail untuk pengawasan kendali internal telah dilakukan. Kebijakan penilaian resiko proses TI digunakan dalam framework kendali yang dikembangkan secara khusus untuk organisasi TI. Fungsi layanan sistem informasi mengembangkan kemampuan kendali internal TI yang berorientasi teknis untuk digunakan olehnya.
e. Organisasi mengembangkan tingkatan toleransi untuk proses pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan mitigasi didefinisikan untuk seluruh fungsi layanan informasi.
f. Manajemen telah mengembangkan program peningkatan secara kontinu bagi organisasi yang mempertimbangkan hal-hal yang dipelajari dan pelaksanaan terbaik industri untuk pengawasan kendali internal.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam menilai ketersediaan kontrol internal saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam menilai ketersediaan kontrol internal?
190
III Perangkat dan otomasi a. Tidak ada perangkat untuk menilai ketersediaan kontrol internal.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
c. Metodologi dan perangkat yang spesifik untuk lingkungan TI mulai digunakan namun tidak secara konsisten.
d. Perangkat sudah digunakan namun tidak dirasa perlu untuk diintegrasikan ke dalam seluruh proses.
e. Perangkat yang menjadi semakin terotomasi dan terintegrasi digunakan dalam proses review kendali internal, dengan peningkatan penggunaan kendali dan analisis kuantitatif.
f. Organisasi menggunakan perangkat state of the art yang terintegrasi dan diperbaharui apabila diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan menilai ketersediaan kontrol internal saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses menilai ketersediaan kontrol internal?
191
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk menilai ketersediaan kontrol internal.
b. Kepakaran individu dalam menilai kecukupan kendali internal diterapkan secara ad-hoc.
c. Proses perencanaan dan manajemen terdefinisikan, namun penilaian bergantung pada keahlian personil-personil utama. Staf TI yang memiliki keahlian berpartisipasi secara rutin dalam penilaian kendali internal.
d. Sebuah basis pengetahuan metrik untuk informasi historis dari pengawasan kendali internal sedang dikembangkan. Program pendidikan dan pelatihan untuk pengawasan kendali internal telah diterapkan.
e. Fungsi kendali formal untuk internal TI telah dibentuk, dengan profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang disahkan oleh manajemen senior.
f. Sharing pengetahuan telah diformalkan dan program pelatihan formal yang spesifik untuk fungsi layanan informasi telah diterapkan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam menilai ketersediaan kontrol internal saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses menilai ketersediaan kontrol internal?
192
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam menilai
ketersediaan kontrol internal. b. Manajemen TI tidak menetapkan tanggung jawab untuk mengawasi
efektifitas kendali internal secara formal. c. Tanggungjawab untuk pengawasan kendali internal secara informal
telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengawasan kendali internal, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Tanggungjawab pengawasan kendali internal telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
e. Tanggungjawab untuk menilai ketersediaan kontrol internal didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Tanggung jawab untuk menilai ketersediaan kontrol internal ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam menilai ketersediaan kontrol internal saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam menilai ketersediaan kontrol internal?
193
VI Penentuan dan pengukuran pencapaian a. Tidak ada metode pelaporan kendali internal manajemen.
b. Tujuan menilai ketersediaan kontrol internal belum jelas dan belum ada pengukuran.
c. Manajemen mulai mengembangkan metrik dasar. d. Penilaian mandiri dan review jaminan kendali internal telah
dikembangkan di seluruh keamanan operasional dan jaminan kendali internal serta melibatkan manajemen fungsi layanan informasi untuk bekerja dengan manajer bisnis.
e. Manajemen telah mengembangkan benchmarking dan pencapaian kuantitatif untuk proses review kendali internal. Benchmarking terhadap standar industri dan pengembangan pelaksanaan terbaik sedang diformalkan.
f. Framework kendali TI tidak hanya melibatkan permasalahan teknis, namun terintegrasi dengan metodologi dan framework organisasi untuk memastikan konsistensi dengan pencapaian organisasi.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam menilai ketersediaan kontrol internal saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam menilai ketersediaan kontrol internal?
194
Memperoleh Jaminan Independen (M3)
I Kepedulian dan komunikasi a. Tidak ada kepedulian dan komunikasi untuk memperoleh jaminan
independen. b. Organisasi mulai menyadari adanya kebutuhan untuk memperoleh
jaminan independen. Proses memperoleh jaminan independen.merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan.
c. Manajemen senior mendukung dan memiliki komitmen atas jaminan independen.
d. Manajemen telah melakukan review partisipatif terhadap seluruh tindakan penjaminan. Manajemen diluar fungsi layanan informasi telah teribat secara proaktif dalam review penjaminan dan sertifikasi.
e. Kebutuhan bagi memperoleh jaminan independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam memperoleh jaminan independen.
f. Manajemen telah mengembangkan kemampuan untuk dengan cepat mengintegrasikan hasil kegiatan penjaminan dan sertifikasi kedalam proses-proses di organisasi.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memperoleh jaminan independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan memperoleh jaminan independen?
195
II Kebijakan, standar dan prosedur a. Kebijakan keamanan tidak diterapkan. Manajemen tidak menjalankan
program sertifikasi atau penjaminan. Organisasi tidak memiliki proses penjaminan yang sesuai.
b. Sertifikasi dan penjaminan dikendalikan oleh hal-hal seperti perubahan regulasi, kebutuhan atau permintaan pelanggan. Organisasi mengelola proses-proses TI secara independen. Proses penjaminan dan sertifikasi ditujukan atas dasar pengecualian.
c. Persyaratan penjaminan masih terkait dengan persyaratan dan kebutuhan bisnis serta dipicu oleh fungsi layanan sistem informasi. Proses untuk memilih sumberdaya internal atau eksternal sedang diformalisasi. Manajemen fungsi layanan informasi telah menerapkan proses-proses untuk mengelola aktifitas penjaminan. Fungsi layanan informasi memberikan penilaian resiko untuk mengidentifikasi resiko keamanan sistem. Manajemen resiko sebagai bagian dari manajemen fungsi layanan informasi, memicu program sertifikasi dan penjaminan.
d. Organisasi telah mendefinisikan dan menerapkan proses-proses untuk aktivitas penjaminan TI dan kriteria untuk menggunakan sumberdaya internal dan eksternal berdasarkan tingkat kepakaran, sensitivitas dan independensi yang diperlukan. Proses penjaminan mencakup persyaratan legal dan regulasi, kebutuhan sertifikasi, efektifitas organisasi secara umum dan identifikasi pelaksanaan terbaik.
e. Manajemen telah menerapkan proses-proses penjaminan untuk memastikan bahwa proses-proses TI telah teridentifikasi dan memiliki perencanaan penjaminan spesifik. Proses penjaminan dikelola dan dikendalikan secara kuantitatif. Proses-proses TI direview dalam konteks proses bisnis yang didukungnya.
f. Terdapat strategi yang terdefinisi secara formal, didukung oleh manajemen senior, untuk mengembangkan kepatuhan terhadap standar nasional dan internasional dan untuk memperoleh sertifikasi yang dipandang sebagai sumber pengakuan dan keuntungan kompetitif. Organisasi telah memiliki program peningkatan secara kontinu untuk proses penjaminan dan sertifikasi yang menggambarkan pelaksanaan terbaik industri.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam memperoleh jaminan independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam memperoleh jaminan independen?
196
III Perangkat dan otomasi a. Tidak ada perangkat untuk memperoleh jaminan independen.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
c. Metode dan teknik dikembangkan untuk sertifikasi dan penjaminan dan sedang dilakukan benchmarking untuk mengembangkan pelaksanaan terbaik.
d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam memperoleh jaminan independen. Telah digunakan beberapa perangkat untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi.
e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam memperoleh jaminan independen.
f. Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan memperoleh jaminan independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses memperoleh jaminan independen?
197
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh jaminan independen.
b. Proses penjaminan dilakukan secara reaktif melalui penugasan atau oleh spesialis teknis yang tidak memiliki keahlian penjaminan khusus.
c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam memperoleh jaminan independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
d. Telah dikembangkan basis pengetahuan untuk pelaksanaan terbaik sertifikasi dan pelaksanaan.
e. Manajemen menggunakan hal-hal yang dipelajari dari proses-proses sertifikasi dan penjaminan untuk meningkatkan proses-proses lainnya, berdasarkan hal-hal yang telah dipelajari. Basis pengetahuan digunakan untuk memastikan bahwa pelaksanaan terbaik digunakan dalam proses-proses yang baru dan untuk melakukan benchmark pada proses-proses lainnya. Sebuah proses formal ditujukan untuk memastikan kompetensi fungsi penjaminan dengan mengevaluasi keseimbangan antara keahlian dan pengetahuan yang tersedia secara internal/eksternal secara kontinu.
f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk memperoleh jaminan independen telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memperoleh jaminan independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses memperoleh jaminan independen?
198
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam memperoleh
jaminan independen. b. Tanggungjawab untuk memperoleh jaminan independen masih tidak
jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Tanggung jawab untuk memperoleh jaminan independen secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan memperoleh jaminan independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Proses-proses utama TI telah disertifikasi. Persyaratan penjaminan telah dikembangkan untuk proses-proses TI.
e. Tanggungjawab dalam memperoleh jaminan independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Tanggung jawab untuk memperoleh jaminan independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam memperoleh jaminan independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam memperoleh jaminan independen?
199
VI Penentuan dan pengukuran pencapaian a. SLA belum dikembangkan dan proses tidak terukur.
b. Tujuan memperoleh jaminan independen belum jelas dan belum ada pengukuran yang dilakukan.
c. Aktivitas pengawasan dalam memperoleh jaminan independen mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan.
d. Beberapa tujuan dan pengukuran dalam memperoleh jaminan independen telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
e. Kriteria biaya/manfaat untuk melakukan penilaian berbasis internal/eksternal telah didefinisikan.
f. Manajemen telah menerapkan ukuran untuk memastikan bahwa seluruh proses bisnis kritis memiliki proses penjaminan di seluruh infrastruktur TI pendukungnya. Efektivitas penyedia layanan pihak ketiga dan hubungan dengan rekan bisnis dievaluasi secara rutin.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam memperoleh jaminan independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam memperoleh jaminan independen?
200
Melakukan Audit Independen (M4)
I Kepedulian dan komunikasi a. Manajemen tidak memiliki kepedulian akan pentingnya fungsi audit
independen. b. Organisasi mulai menyadari adanya kebutuhan untuk melakukan
audit independen. Proses audit independen merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan. Keterlibatan manajemen masih sangat minim.
c. Perhatian dan keterlibatan manajemen TI pada proses audit tidak konsisten dan tergantung pada kualitas yang diperoleh dari tim audit khusus.
d. Manajemen audit telah mengidentifikasi dan memahami inisiatif dan lingkungan TI. Manajemen TI perduli terhadap kebutuhan untuk melakukan audit independen.
e. Kebutuhan untuk melakukan audit independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam melakukan audit independen. Manajemen TI umumnya dilibatkan secara positif dalam keseluruhan proses audit.
f. Fungsi audit independen mampu segera merespon kepedulian manajemen yang terkait dengan proses bisnis dan permasalahan resiko kendali TI organisasi secara kontinu.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak
manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan melakukan audit independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan melakukan audit independen?
201
II Kebijakan, standar dan prosedur a. Audit independen tidak dilakukan. Tidak ada kebijakan, standar dan
prosedur untuk melakukan audit independen. b. Sebuah fungsi audit TI informal telah dilakukan dengan disertai
review independen secara berkala. Tidak ada perencanaan keseluruhan untuk melakukan audit independen dan tidak ada koordinasi antara setiap review.
c. Keberadaan fungsi audit independen diakui manajemen sebagai sesuatu yang bermanfaat, namun tidak ada kebijakan tertulis untuk mendefinisikan tujuan, otoritas, dan tanggung jawab. Manajemen senior tidak mengembangkan sebuah infrastruktur dan proses untuk memastikan bahwa audit independen dilakukan secara teratur.
d. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit. Sebuah proses dilakukan untuk merencanakan dan mengelola audit. Staf audit diharapkan dapat mematuhi standar audit, namun hasilnya dapat bervariasi. Fungsi TI, keuangan dan audit proses tidak terintegrasi.
e. Proses audit dapat disesuaikan dengan kesepakatan khusus. Perencanaan audit berbasis resiko strategis dan operasional telah dilakukan, berdasarkan pada penilaian kebutuhan saat ini dan di masa depan. Perencanaan audit individu dikembangkan berdasarkan siklus perencanaan operasional dan ketersediaan sumberdaya. Audit dikoordinasikan dan diintegrasikan dengan audit proses dan keuangan yang terkait. Fungsi jaminan kualitas yang terstruktur memfasilitasi manajemen kuantitatif dan kendali proses audit. Fungsi audit TI dilibatkan dalam pengembangan tindakan korektif dan dalam pelaksanaan proyek untuk memastikan bahwa kendali dibuat ke dalam proses.
f. Perencanaan audit sangat terintegrasi dengan strategi bisnis dan TI. Proses-proses audit diawasi dan dianalisa untuk melakukan perbaikan dalam menyesuaikan terhadapa kondisi lingkungan yang selalu berubah-ubah. Audit dilibatkan dalam pengembangan perencanaan bisnis dan dalam semua proyek yang mendukung perencanaan bisnis, untuk memastikan bahwa kendali yang sesuai dilakukan ke dalam seluruh proses.
No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan,
standar dan prosedur telah dilakukan dalam melakukan audit independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam melakukan audit independen?
202
III Perangkat dan otomasi a. Tidak ada perangkat untuk melakukan audit independen.
b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
c. Telah digunakannya perangkat untuk membantu proses audit independen sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam melakukan audit independen.
f. Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan
otomasi dalam mengotomasikan proses-proses terkait dengan melakukan audit independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses melakukan audit independen?
203
IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk melakukan audit independen.
b. Perencanaan, pengelolaan dan pelaporan audit independen didasarkan pada kepakaran individu.
c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam melakukan audit independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
d. Manajemen TI tidak selalu terpuaskan dengan kualitas yang diberikan dan tidak memiliki kepercayaan bahwa fungsi audit memiliki pengetahuan yang cukup untuk membuat rekomendasi yang valid.
e. Telah dibentuk dasar pengetahuan proses dan dikembangkan untuk memastikan bahwa penilaian kualitas dapat dilakukan dan dihasilkan rekomendasi yang berguna.
f. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini.
No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan
kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam melakukan audit independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses melakukan audit independen?
204
V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam melakukan audit
independen. Tanggungjawab Untuk melakukan audit independen masih tidak jelas dan belum didefinisikan.
b. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
c. Tanggung jawab untuk melakukan audit independen secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan dalam melakukan audit independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
d. Tanggungjawab untuk melakukan audit independen telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
e. Tanggungjawab untuk melakukan audit independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
f. Tanggung jawab untuk melakukan audit independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan
akuntabilitas dalam melakukan audit independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam melakukan audit independen?
205
VI Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian melakukan audit
independen. b. Kualitas perencanaan dan pelaksanaan layanan audit sangat rendah,
dengan hasil yang beragam. c. Koordinasi antara pelaksanaan audit masih sangat minim dan tindak
lanjut dari temuan pada audit sebelumnya masih terbatas. Resolusi atas komentar audit telah dilakukan, namun seringkali terdapat tindak lanjut dan penyelesaian yang buruk. Elemen dasar dari jaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan untuk meningkatkan efektivitas dari aktivitas fungsi audit.
d. Hasil dilaporkan pada manajemen dan dilakukan tindak lanjut untuk memastikan bahwa manajemen telah mengambil tindakan korektif pada permasalahan kritis yang diidentifikasi melalui audit. Hasil audit digunakan untuk meningkatkan kinerja.
e. Aktivitas pengawasan kuantitatif dimasukkan dalam komunitas audit dan mempertimbangkan state of the art pelaksanaan terbaik industri dan kecenderungan eksternal dalam menyesuaikan proses audit. Hasil audit dikonsultasikan di seluruh proyek sebagai saran bagi bisnis dan kendali.
No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan
pengukuran pencapaian dalam melakukan audit independen saat ini?
2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam melakukan audit independen?
206
LAMPIRAN D - IMPLEMENTASI TATA KELOLA TI
Perencanaan Sumberdaya
Ringkasan eksekutif
Bagian ini mencakup perencanaan sumberdaya yang dibutuhkan untuk melakukan
proyek implementasi tata kelola TI di PT. Surveyor Indonesia.
Pendahuluan dan Latar Belakang
Perencanaan sumberdaya merupakan tahapan awal dalam melakukan persiapan
proyek implementasi tata kelola TI di PT. Surveyor Indonesia. Perencanaan yang
dilakukan meliputi susunan tim proyek, kantor proyek, dan dokumentasi proyek.
Dengan perencanaan yang baik diharapkan pelaksanaan proyek implementasi tata
kelola TI di PT. Surveyor Indonesia dapat berjalan dengan optimal sesuai dengan
tujuan yang ingin dicapai.
Tim Proyek
• Manajemen
1. Kepala Unit Teknologi Informasi
2. Kepala Satuan Pengawas Internal
• Anggota tetap
1. Staf Unit Teknologi Informasi
2. Staf Satuan Pengawas Internal
• Anggota tidak tetap
1. Sekretaris Perusahaan
2. Kepala Divisi Manajemen Strategi
3. Kepala Unit Manajemen Resiko
4. Kepala Divisi Keuangan dan Akuntansi
5. Kepala Divisi Sumber Daya Manusia
6. Kepala Divisi Manajemen Fasilitas
7. Kepala Divisi Satuan Pengawas Internal
8. Kepala Unit PKBL
207
9. Kepala SBU Bidang Pertambangan dan Energi I
10. Kepala SBU Bidang Pertambangan dan Energi II
11. Kepala SBU Kelautan, Lingkungan dan Kehutanan
12. Kepala SBU Perdagangan dan Keuangan
13. Kepala SBU Industri Pertambangan dan Energi
14. Kepala SBU Pemberdayaan dan Pengembangan Industri Dalam Negeri
• Estimasi perencanaan waktu dan kebutuhan sumberdaya
Waktu pelaksanaan proyek implementasi tata kelola TI direncanakan dalam
periode 6 (enam) bulan, terhitung dari bulan Juli 2008 sampai bulan Desember
2008. Kebutuhan sumberdaya akan disesuaikan dengan fasilitas dan
infrastruktur yang tersedia.
Kantor Proyek
• Lokasi
Unit Teknologi Informasi PT. Surveyor Indonesia
PT. Surveyor Indonesia. Wisma Adi Graha Lt. 6
Jl. Jend. Gatot Subroto Kav. 56
Jakarta
• Fasilitas
Meliputi seluruh fasilitas yang tersedia pada Unit Teknologi Informasi PT.
Surveyor Indonesia dan dapat menggunakan fasilitas yang tersedia di Divisi
lainnya apabila diperlukan dengan melalui persetujuan dari divisi yang
bersangkutan.
Dokumentasi proyek
• Referensi COBIT
Referensi yang akan digunakan dalam implementasi tata kelola TI adalah
COBIT versi 3.0.
• Kebijakan dan pedoman lainnya
Kebijakan dan pedoman lainnya akan disesuaikan dengan kebijakan dan
pedoman pada rancangan model pengelolaan TI yang telah dibuat dengan
perubahan-perubahan yang diperlukan pada saat melakukan implementasi.
208
• Standar dan kebijakan perusahaan yang relevan
Proyek implementasi tata kelola TI akan tetap mengacu pada standar dan
kebijakan perusahaan mengenai pelaksanaan proyek.
• Delivery hasil proyek
Delivery hasil proyek implementasi tata kelola TI akan berupa delivery value
untuk bisnis dan TI bagi perusahaan, serta keselarasan antara tujuan keduanya.
Delivery hasil proyek akan dibedakan menjadi beberapa tahapan berikut ini :
1. Tahap inisiasi, delivery pada tahap ini antara lain berupa dokumen
proposal dan lingkup proyek.
2. Tahap perencanaan, delivery pada tahap ini antara lain berupa dokumen
Informasi mengenai tata kelola TI akan disampaikan melalui intranet dalam
bentuk buletin online SPASI sehingga dapat diakses oleh seluruh pihak
perusahaan.
• Survei
Survei awal akan dilakukan untuk mengetahui ekspektasi dan masukan dalam
perencanaan dan pelaksanaan proyek. Survei berikutnya akan dilakukan pada
akhir proyek sebagai bentuk evaluasi dari proyek tersebut.
Feedback dan kepedulian tentang pengawasan
Selama berjalannya proyek seluruh pihak yang terlibat diharapkan dapat
berkontribusi aktif dengan memberikan feedback dan melakukan pengawasan.
Mekanisme feedback harus dilakukan dengan memperoleh respon atau saran
ketika mengkomunikasikan arahan, tanggung jawab dan pencapaian. Pengawasan
dilakukan dalam bentuk komunikasi seperti review meeting dan project progress
meeting.
Permasalahan TI
Ringkasan eksekutif
Bagian ini akan menjabarkan mengenai permasalahan yang dihadapi dalam
melakukan proyek implementasi tata kelola TI, yaitu dalam hal pengelolaan
operasi.
Pendahuluan dan Latar Belakang
Permasalahan utama dalam pengelolaan TI di PT. Surveyor Indonesia adalah
pengelolaan operasi. Hal tersebut diketahui berdasarkan hasil dari pengamatan
management awareness dan tingkat kematangan proses-proses COBIT.
220
Permasalahan tersebut akan dapat dipecahkan apabila seluruh aspek mengenai
permasalahan telah diketahui dengan baik.
Ringkasan dari tujuan bisnis
Memastikan bahwa fungsi-fungsi dukungan TI telah dilakukan secara teratur dan
berurutan, sehingga memungkinkan penyampaian informasi pada bisnis yang
memerlukan kriteria informasi dan diukur oleh Key Goal Indicators. Hal tersebut
memerlukan penjadwalan aktifitas-aktifitas pendukung yang direkam dan
diselesaikan untuk pemenuhan seluruh aktifitas, serta mempertimbangkan Critical
Success Factors yang mempengaruhi sumberdaya TI tertentu dan diukur melalui
Key Performance Indicators.
Dampak pada TI
a. Prosedur pengoperasian untuk seluruh solusi dan platform TI dan review
secara berkala dapat memastikan efektifitas dan kesesuaian.
b. Staf operasi telah mengenal dan tidak meragukan proses start-up dan operasi
lainnya.
c. Penjadwalan pekerjaan, proses dan tugas-tugas secara berkesinambungan telah
diorganisasikan ke dalam tahapan yang paling efisien, sehingga
memaksimalkan pemanfaatan dan keluaran untuk memenuhi tujuan yang
ditetapkan dalam SLA.
d. Prosedur dapat mengidentifikasi, menginvestigasi dan menyetujui pendekatan
dari jadwal pekerjaan.
e. Prosedur menyediakan penyerahan aktifitas, pembaharuan status dan
pelaporan tanggung jawab yang ada.
f. Kendali manajemen menjamin tersedianya informasi kronologis yang
disimpan dalam log operasi untuk mendukung rekonstruksi, review dan
pengujian tahapan waktu pemrosesan dan aktifitas lainnya yang mendukung
atau menyertai pemrosesan.
g. Terbentuknya pengamanan fisik yang sesuai dalam bentuk-bentuk tertentu,
seperti instrumen yang bersifat fleksibel, dan dalam perangkat keluaran yang
sensitif seperti cap tanda tangan, yang mempertimbangkan pembukuan
221
sumberdaya TI, form atau barang-barang yang memerlukan perlindungan
khusus dan manajemen inventaris dengan baik.
h. Prosedur yang spesifik untuk operasi jarak jauh memastikan bahwa
sambungan dan pemutusan hubungan ke lokasi yang berjauhan telah
didefinisikan dan diterapkan.
Pencapaian TI yang terkait
a. Pengurangan yang terukur dalam keterlambatan dan penyimpangan dari
jadwal.
b. Penyelesaian yang terukur dari media keluaran yang dihasilkan dan
disampaikan ke tujuan yang tepat.
c. Pengukuran terhadap sumberdaya yang tersedia dengan tepat waktu dan sesuai
jadwal.
d. Pengurangan yang terukur terhadap kesalahan yang terkait dengan operasi.
e. Berkurangnya jumlah kegagalan yang terjadwal dan tidak terjadwal akibat
intervensi dalam operasi.
f. Berkurangnya biaya operasi keseluruhan akibat kapasitas pemrosesan secara
keseluruhan.
Kebutuhan utama TI
a. Manual proseur operasi
b. Dokumentasi proses start-up
c. Pengelolaan layanan jaringan
d. Pernjadwalan pekerjaan dan personil
e. Proses pergantian shift
f. Pencatatan kejadian-kejadian pada sistem
g. Koordinasi dengan perubahan, ketersediaan, dan manajemen kesinambungan
bisnis
h. Perawatan preventif
i. Kesepakatan tingkat layanan
j. Operasi terotomasi
k. Pencatatan, pelacakan dan eskalasi insiden
222
Proses-proses utama TI
a. Pemrosesan prosedur operasi dan manual instruksi
b. Dokumentasi proses start-up dan operasi lainnya
c. Penjadwalan pekerjaan
d. Pendekatan dari jadwal pekerjaan
e. Kesinambungan pemrosesan
f. Log operasi
g. Form khusus pengamanan dan perangkat keluaran
h. Operasi jarak jauh
Faktor sukses kritis untuk TI
a. Instruksi operasi telah didefinisikan dengan baik, disesuaikan dengan standar
yang telah disepakati, dan disertai dengan penetapan batas penghentian dan
pengulangan.
b. Terdapat derajat standarisasi operasi yang tinggi.
c. Terdapat koordinasi langsung dengan proses-proses yang terkait, termasuk
fungsi manajemen perubahan dan permasalahan, serta manajemen
ketersediaan dan kelangsungan.
d. Terdapat derajat otomasi yang tinggi pada tugas-tugas operasi.
e. Dilakukan rekayasa ulang pada proses-proses operasional untuk dapat berjalan
secara efektif dengan menggunakan perangkat terotomasi.
f. Rasionalisasi dan standarisasi perangkat manajemen sistem telah diterapkan.
g. Penanganan masukan dan keluaran sedapat mungkin dibatasi untuk pengguna.
h. Perubahan penjadwalan kerja dikendalikan secara ketat.
i. Terdapat prosedur penerimaan yang ketat untuk penjadwalan pekerjaan yang
baru, yang mencakup dokumentasi yang disampaikan.
j. Skema perawatan yang bersifat preventif telah disiapkan.
k. Telah dibuat prosedur pendeteksian, inspeksi dan eskalasi yang padat dan jelas.
Kepedulian TI yang memerlukan perhatian manajemen
a. Penyampaian dan dukungan operasional TI
223
• Kebutuhan bagi pengelolaan operasi secara utuh telah dipahami dan
tindakan yang diperlukan sudah diterima secara luas di organisasi.
• Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal
dan sumberdaya manusia.
• Manajemen mengawasi penggunaan sumberdaya komputer dan
penyelesaian pekerjaan atau tugas yang telah ditetapkan.
• Tanggung jawab dukungan dan pengoperasian komputer didefinisikan
dengan jelas dan kepemilikannya telah ditetapkan.
• Jadwal dan tugas pengoperasian telah didokumentasikan dan
dikomunikasikan ke fungsi TI dan klien bisnis.
• Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen
ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error.
b. Pengawasan fungsi dan pencapaian TI
• Secara berkala diadakan forum internal perusahaan untuk dapat mencari
solusi bersama atas permasalahan yang timbul dalam pengelolaan operasi.
• Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi
dengan cepat.
• Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat
untuk memastikan peningkatan secara kontinu.
• Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen
ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error.
• Pengukuran dan pengawasan aktifitas harian dapat dilakukan dengan
tingkat layanan dan kesepakatan kinerja yang telah distandarisasi.
Resiko TI
Ringkasan eksekutif
Bagian ini akan membahas mengenai resiko-resiko TI yang mungkin dihadapi
pada saat melaksanakan proyek implementasi tata kelola TI.
224
Pendahuluan dan Latar Belakang
Analisa resiko TI mencakup analisa mengenai kriteria informasi dan sumberdaya
TI dari pendekatan resiko atau preservasi nilai. Pemahaman mengenai nilai dan
pengendali resiko umumnya difokuskan pada proses-proses kritis TI untuk
memastikan bahwa tujuan TI telah dicapai. COBIT sebagai standar yang
digunakan dalam implementasi tata kelola TI dapat memberikan kebijakan yang
jelas dan pedoman yang baik untuk tata kelola TI perusahaan yang membantu
pihak manajemen dalam memahami dan mengelola resiko yang terkait dengan TI.
Ringkasan dari tujuan bisnis
Pihak eksekutif PT. Surveyor Indonesia telah melihat proyek implementasi tata
kelola TI sebagai sesuatu yang memiliki peranan cukup signifikan terhadap
tercapainya tujuan bisnis perusahaan. Pencapaian tujuan bisnis tersebut dicapai
antara lain dengan meningkatkan pemahaman mengenai resiko-resiko TI dalam
pelaksanaan proyek implementasi TI yang dapat berpengaruh terhadap tujuan
bisnis.
Dampak pada TI
Pelaksanaan proyek implementasi tata kelola TI dapat berdampak pada
mundurnya jadwal penyelesaian proyek, membengkaknya biaya yang dibutuhkan
atau kualitas keluaran yang tidak sesuai dengan harapan.
Pencapaian TI yang terkait
a. Meningkatnya tingkat kepedulian akan kebutuhan penilaian resiko
pengelolaan operasi.
b. Berkurangnya jumlah insiden yang disebabkan oleh keterlambatan identifikasi
resiko.
c. Meningkatnya jumlah resiko teridentifikasi yang telah berhasil dimitigasi.
d. Meningkatnya jumlah proses-proses TI yang telah dilengkapi dengan
penilaian resiko yang terdokumentasi secara formal.
e. Jumlah atau persentase tepat dari ukuran penilaian resiko yang sesuai dengan
biaya.
225
Posisi penerimaan resiko di pihak manajemen
Penerimaan resiko memerlukan dukungan dan komitmen dari pihak manajemen
yang terlibat dalam proyek implementasi tata kelola TI. Manajemen harus
mempertimbangkan seluruh resiko yang mungkin mengakibatkan hasil/keluaran
proyek tidak sesuai dengan ekspektasi mereka.
Profil resiko TI
a. Temuan audit
Hasil temuan audit yang dilakukan mengindikasikan ekspektasi manajemen
yang sangat tinggi terhadap sebagian besar proses-proses TI yang diamati. Hal
ini tentunya dapat berdampak pada tingginya resiko apabila pada proses-
proses tersebut tidak berhasil diimplementasikan dalam proyek.
b. Insiden di masa lalu
Masih terdapat kesenjangan pemahaman antara pihak eksekutif dan
manajemen TI di PT. Surveyor Indonesia dalam hal resiko implementasi tata
kelola TI.
c. Kepedulian resiko
Perbedaan persepsi mengenai resiko menyebabkan menurunnya tingkat
kepedulian pihak eksekutif terhadap resiko implementasi tata kelola TI.
Mereka cenderung menganggap bahwa resiko implementasi tata kelola TI
merupakan suatu konsekuensi yang harus ditanggung tanpa memikirkan
upaya-upaya lebih lanjut dalam melakukan manajemen resiko.
d. Respon terhadap resiko
Meningkatkan pemahaman mengenai resiko-resiko TI dalam pelaksanaan
proyek implementasi TI yang dapat berpengaruh terhadap tujuan bisnis
perusahaan.
Resiko operasional
a. Kompleksitas dari lingkungan TI
Hambatan teknologi atau dukungan infrastruktur di lingkungan TI dapat
menjadi sebuah hambatan dan memperbesar resiko operasional yang harus
dihadapi.
226
b. Organisasi TI
Isu-isu kultural di organisasi TI seringkali memiliki potensi yang besar dalam
menciptakan resiko operasional.
c. Kapabilitas operasional
Sebagian besar operator yang bertugas dalam menjalankan operasional
sistem telah memiliki pengalaman dalam mengoperasikan sistem, sehingga
resiko mengenai kapabilitas operasional dapat diminimalisir.
d. Tingkat respon terhadap perubahan
Perubahan manajemen perusahaan seringkali berdampak pada berkurangnya
kepedulian dan tingkat respon terhadap perubahan dalam resiko operasional.
e. Penyedia layanan, kontraktor, dan fungsi-fungsi yang dioutsource
Penyerahan sebagian tanggung jawab pengoperasian yang memerlukan
keahlian spesifik pada penyedia layanan atau kontraktor tertentu dapat
memperbesar resiko operasional yang harus dihadapi.
Resiko proyek
a. Kapabilitas manajemen proyek
Kemampuan manajemen proyek PT. Surveyor Indonesia telah terbukti
melalui pengalaman dan kesuksesannya dalam melakukan berbagai proyek
survei dan konsultansi, sehingga resiko proyek yang muncul dari segi
kapabilitas manajemen proyek dapat diminimalisir sekecil mungkin.
b. Kapabilitas delivery proyek
Kapabilitas delivery proyek implementasi tata kelola TI sangat bergantung
pada komitmen, konsesus dan kesepakatan bersama yang harus disetujui
untuk dilaksanakan secara bersama-sama antara pihak pelaksana proyek dan
pihak stakeholder. Tahapan seperti review, koreksi dan penyempurnaan dari
setiap delivery proyek diperlukan untuk meminimalisir resiko yang dihadapi.
c. Portfolio proyek
Portfolio proyek implementasi TI akan disusun berdasarkan skala prioritas
kebutuhan proses dan tingkat kematangan pada saat melakukan pengamatan.
Proyek implementasi kali ini merupakan kelanjutan dari roadmap rencana
227
implementasi TI sebelumnya yang tercantum dalam Master Plan TI PT.
Surveyor Indonesia dengan fokus kepada proses pengelolaan operasi.
228
Capability Worksheet—Status as-is untuk Proses DS13
Kepedulian dan
komunikasi
Kebijakan, standar dan
prosedur
Perangkat dan otomasi Keahlian dan
kepakaran
Tanggung jawab dan
akuntabilitas
Penentuan dan
pengukuran
pencapaian
Organisasi menyadari
kebutuhan untuk
menstrukturkan fungsi
dukungan TI.
Tidak ada prosedur
standar dan aktifitas
operasi bersifat reaktif.
Sebagian besar operasi
tidak terjadwal secara
formal dan permintaan
pemrosesan diterima
tanpa melakukan validasi.
Waktu akan terbuang
ketika pegawai
menunggu tersedianya
sumberdaya.
Komputer yang
mendukung proses
bisnis seringkali
terganggu, tertunda atau
tidak tersedia.
Sistem tidak stabil atau
tidak tersedia dan
media keluaran
terkadang muncul
secara tidak diharapkan
atau tidak muncul sama
sekali.
Belum ada dalam
perencanaan adanya
pelatihan dalam
mengelola operasi dan
belum ada pelatihan
formal dilakukan
Tanggungjawab
manajemen operasi
masih tidak jelas
dan belum
didefinisikan.
Tanggungjawab
dilakukan secara
reaktif dan atas
dasar inisiatif
perorangan.
Tujuan
pengelolaan operasi
belum jelas dan
belum ada
pengukuran.
229
Capability Worksheet—Status to-be untuk Proses DS13
Kepedulian dan
komunikasi
Kebijakan, standar dan
prosedur
Perangkat dan otomasi Keahlian dan
kepakaran
Tanggung jawab dan
akuntabilitas
Penentuan dan
pengukuran
pencapaian
Kebutuhan bagi
Pengelolaan operasi
secara utuh telah
dipahami dan tindakan
yang diperlukan sudah
diterima secara luas di
organisasi. Secara
berkala diadakan forum
internal perusahaan
untuk dapat mencari
solusi bersama atas
permasalahan yang
timbul dalam
pengelolaan operasi.
Penyimpangan dari
norma-norma yang ada
diselesaikan dan
dikoreksi dengan cepat.
Terdapat kesepakatan
layanan dan perawatan
formal dengan vendor.
Operasi didukung melalui
anggaran sumberdaya
untuk pengeluaran modal
dan sumberdaya manusia.
Manajemen mengawasi
penggunaan
sumberdaya komputer
dan penyelesaian
pekerjaan atau tugas
yang telah ditetapkan.
Terdapat upaya untuk
meningkatkan tingkat
otomasi proses sebagai
alat untuk memastikan
peningkatan secara
kontinu.
Pelatihan telah
dijalankan dan
diformalkan, sebagai
bagian dari
pengembangan karir.
Tanggung jawab
dukungan dan
pengoperasian
komputer didefinisikan
dengan jelas dan
kepemilikannya
ditetapkan.
Jadwal dan tugas telah
didokumentasikan dan
dikomunikasikan ke
fungsi TI dan klien
bisnis.
Terdapat penyesuaian
penuh dengan
permasalahan dan
proses manajemen
ketersediaan, dengan
didukung oleh analisis
penyebab kegagalan
dan error.
Pengukuran dan
pengawasan aktifitas
harian dapat dilakukan
dengan tingkat layanan
dan kesepakatan
kinerja yang telah
distandarisasi.
230
Scorecard untuk Kapabilitas Kematangan proses
Kematangan kapabilitas Proses TI
Initial Repeatable Defined Managed Optimised
Delivery and Support
DS1 Mendefinisikan dan mengelola tingkat layanan
DS2 Mengelola layanan pihak ketiga
DS3 Mengelola kinerja dan kapasitas
DS4 Memastikan layanan yang berkelanjutan
DS5 Memastikan keamanan sistem
DS6 Melakukan identifikasi dan alokasi biaya
DS7 Mendidik dan melatih pengguna
DS8 Mendampingi dan memberikan saran kepada pengguna
DS9 Mengelola konfigurasi
DS10 Mengelola permasalahan dan insiden
DS11 Mengelola data
DS12 Mengelola fasilitas
DS13 Mengelola operasi
Monitoring
M1 Melakukan pengawasan proses
M2 Menilai ketersediaan kontrol internal
M3 Memperoleh jaminan independen
M4 Melakukan audit independen
231
Matriks Atribut Kematangan pada Proses Mendefinisikan dan Mengelola Tingkat Layanan (DS1) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Pihak manajemen belum menyadari pentingnya proses untuk mendefinisikan tingkat layanan
Tidak ada kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan
Tidak ada perangkat dan otomasi dalam mendefinisikan dan mengelola tingkat layanan
Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mendefinisikan dan mengelola tingkat layanan
Tidak ada tanggung jawab dan kebijakan yang ditetapkan dalam melakukan pengawasan terhadap proses
Tidak ada pencapaian dalam mendefinisikan dan mengelola tingkat layanan
1 Telah ada kepedulian untuk mengelola tingkat layanan, namun prosesnya masih bersifat informal dan reaktif
Menggunakan pendekatan ad hoc untuk mendefinisikan dan mengelola tingkat layanan, namun belum menggunakan prosedur dengan pendekatan formal.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat pengelolaan tingkat layanan.
Belum ada perencanaan untuk melakukan pelatihan dalam mengelola tingkat layanan.
Tanggung jawab dan akuntabilitas untuk mengawasi kinerja didefinisikan secara informal
Pengukuran kinerja bersifat kualitatif, pencapaian didefinisikan secara tidak tepat. Pelaporan kinerja jarang dilakukan dan tidak konsisten.
2 Adanya kesadaran akan kebutuhan mendefinisikan dan mengelola tingkat layanan untuk segera ditindaklanjuti.
Terdapat SLA yang telah disepakati, namun bersifat informal dan hanya dipakai sekali saja.
Telah digunakannya perangkat untuk mendefinisikan dan mengelola tingkat layanan sebagai solusi yang
Pelaporan tingkat layanan tidak lengkap, tidak relevan atau tidak memiliki arahan dan bergantung pada
Seorang koordinator tingkat layanan dipilih dengan tanggung jawab yang jelas, namun tidak memiliki otoritas
Proses kesesuaian dengan SLA bersifat sukarela dan tidak mengikat.
232
Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan mendefinisikan dan mengelola tingkat layanan.
dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
keahlian dan inisiatif dari masing-masing manajer.
yang cukup.
3 Adanya pemahaman akan kebutuhan mendefinisikan dan mengelola tingkat layanan. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mendefinisikan dan mengelola tingkat layanan.
Kriteria tingkat layanan telah didefinisikan dan disetujui dengan user, melalui peningkatan taraf standarisasi. Proses pengembangan SLA sejalan dengan tujuan untuk menilai tingkat layanan dan kepuasan pelanggan.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendefinisikan dan mengelola tingkat layanan. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Hubungan antara dana yang tersedia dan tingkat layanan yang diharapkan ditingkatkan secara formal.
Tanggung jawab telah didefinisikan dengan baik, namun dengan otoritas yang tidak mengikat.
Tingkat layanan lebih didasarkan pada perbandingan industri dan terkadang tidak mengacu pada kebutuhan spesifik organisasi. Penurunan tingkat layanan dapat diidentifikasi, namun perencanaan resolusi masih bersifat informal.
233
4 Kebutuhan bagi mendefinisikan dan mengelola tingkat layanan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam mendefinisikan dan mengelola tingkat layanan.
Tingkat layanan lebih didefinisikan dalam tahap pendefinisian kebutuhan sistem dan digabungkan dalam desain aplikasi dan lingkungan operasional. Analisis akar permasalahan dilakukan apabila tingkat layanan tidak terpenuhi.
Sistem pelaporan untuk mengawasi tingkat layanan menjadi lebih terotomasi.
Kebutuhan skill secara rutin diupdate untuk seluruh proses mendefinisikan dan mengelola tingkat layanan untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait mendefinisikan dan mengelola tingkat layanan telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan.
Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan yang disepakati telah didefinisikan dan dipahami secara jelas.
Kepuasan pelanggan diukur dan dinilai secara rutin. Pengukuran kinerja lebih mencerminkan kebutuhan pengguna akhir daripada pencapaian TI saja. Kriteria pengukuran tingkat layanan pengguna telah distandarisasi dan merefleksikan norma-norma industri. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
5 Kebutuhan mendefinisikan dan mengelola tingkat layanan dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima
Kriteria untuk mendefinisikan tingkat layanan didasarkan pada kebutuhan utama bisnis dan mencakup ketersediaan, kehandalan, kinerja, kapasitas pertumbuhan,
Tingkat layanan dievaluasi kembali secara kontinu untuk memastikan kesesuaian antara TI dan tujuan bisnis, dengan tetap memanfaatkan
Seluruh proses tingkat layanan mengarah pada proses peningkatan yang berkelanjutan. Mengikuti forum berskala nasional
Manajemen TI memiliki sumberdaya dan akuntabilitas yang dibutuhkan untuk memenuhi sasaran kinerja tingkat layanan, kompensasi
Tingkat layanan yang diharapkan dievaluasi terhadap norma-norma industri, tetapi juga mencerminkan pencapaian strategis yang spesifik pada
234
di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif.
dukungan pengguna, perencanaan kelangsungam dan pertimbangan keamanan.
keunggukan teknologi dan peningkatan dalam rasio harga/kinerja produk.
maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mendefinisikan dan mengelola tingkat layanan yang juga merupakan peluang pengembangan kedepan.
eksekutif distrukturkan untuk memberikan insentif bagi pemenuhan pencapaian organisasi.
unit-unit bisnis. Manajemen senior mengawasi ukuran kinerja sebagai bagian dari proses perkembangan yang berkelanjutan.
235
Matriks Atribut Kematangan pada Proses Mengelola Layanan Pihak Ketiga (DS2) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan otomasi Keahlian dan
kepakaran Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian
0 Layanan pihak ketiga tidak disetujui atau direview oleh pihak manajemen.
Tidak ada kebijakan dan prosedur formal mengenai pelaksanaa kontrak dengan pihak ketiga.
Keberadaan obligasi kontrak untuk pelaporan tidak membuat pihak manajemen senior peduli terhadap kualitas layanan yang diberikan.
Tidak ada upaya pelatihan atau peningkatan kepakaran dalam mengelola layanan pihak ketiga.
Tanggung jawab dan akuntabilitas tidak didefinisikan.
Tidak ada kegiatan pengukuran ataupun pelaporan dari pihak ketiga.
1 Manajemen perduli terhadap kebutuhan untuk mendokumentasikan kebijakan dan prosedur untuk pengadaan layanan pihak ketiga, termasuk penandatanganan kontrak.
Tidak ada standar untuk kesepakatan. Menggunakan pendekatan ad hoc untuk mengelola layanan pihak ketiga, namun belum menggunakan prosedur dengan pendekatan formal.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software perangkat pengelolaan layanan pihak ketiga.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola layanan pihak ketiga dan belum ada pelatihan formal dilakukan
Pelaksanaan bergantung pada pengalaman individu dan efektivitas komersial pihak supplier.
Pengukuran layanan yang tersedia bersifat informal dan reaktif.
2 Adanya kesadaran akan kebutuhan pengelolaan layanan pihak ketiga untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat
Proses untuk mengelola layanan pihak ketiga dan pemberian layanan bersifat informal. Berkas kontrak yang ditandatangani digunakan bersama
Laporan telah tersedia namun tidak mendukung tujuan bisnis. Telah digunakannya perangkat untuk membantu proses pengelolaan layanan
Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola layanan pihak ketiga. Pelatihan
Kepemilikan dan tanggungjawab atas pengelolaan layanan pihak ketiga secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan
Pengukuran telah dilakukan namun tidak secara relevan.
236
mengkomunikasikan permasalahan terkait dengan pengelolaan layanan pihak ketiga.
dengan kesepakatan vendor standar dan deskripsi layanan yang akan diberikan
pihak ketiga sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
terkait dengan pengelolaan layanan pihak ketiga, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
3 Adanya pemahaman akan kebutuhan pengelolaan layanan pihak ketiga. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan layanan pihak ketiga.
Persetujuan kontrak didasarkan pada standar yang berlaku. Prosedur yang telah terdokumentasi dengan baik digunakan untuk mengelola pengadaan pihak ketiga, disertai dengan proses yang jelas untuk memastikan pemilihan dan negosiasi yang baik dengan vendor. Hubungan dengan pihak ketiga hanya bersifat kontraktual. Penjelasan mengenai layanan yang diberikan dirinci dalam kontrak dan mencakup
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam pengelolaan layanan pihak ketiga Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Kebutuhan keahlian dalam mengelola layanan pihak ketiga telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Tanggung jawab pengelolaan untuk layanan pihak ketiga telah disepakati.
Resiko bisnis yang terkait dengan kontrak dinilai dan dilaporkan.
237
kebutuhan operasional, legal dan kendali.
4 Kebutuhan didefinisikan dan dihubungkan dengan tujuan bisnis. Seluruh pihak yang terlibat memiliki kepedulian terhadap ekspektasi layanan, biaya dan sasaran.
Kriteria formal dan terstandarisasi dibuat untuk mendefinisikan lingkup kerja, layanan yang akan diberikan, asumsi, penyampaian, skala waktu, harga, pengaturan pembiayaan, tanggung jawab, dan kesepakatan bisnis. Proses ditujukan untuk mereview kinerja layanan terhadap kesepakatan kontrak, menyediakan masukan bagi pemberian layanan pihak ketiga saat ini dan yang akan datang.
Beberapa perangkat seperti model pembiayaan transfer telah digunakan dalam proses pengadaan layanan pihak ketiga.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan layanan pihak ketiga untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan layanan pihak ketiga telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggung jawab untuk manajemen kontrak dan vendor telah ditetapkan. Kualifikasi dan kapabilitas vendor telah diverifikasi.
Indikator pencapaian tujuan dan kinerja telah disepakati pengguna dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan layanan pihak ketiga. Perbaikan secara berkelanjutan pada proses pengelolaan layanan pihak ketiga dilakukan.
5 Kebutuhan pengelolaan layanan
Kontrak yang ditandatangani
Perangkat yang canggih digunakan dengan
Pihak ketiga bergantung pada
Tanggung jawab untuk jaminan
Pengukuran yang terpilih bervariasi
238
pihak ketiga dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam pengelolaan layanan pihak ketiga yang juga merupakan peluang pengembangan kedepan.
bersama direview secara periodik setelah pekerjaan dimulai. Bukti kepatuhan terhadap kebutuhan kontrak operasional, legal dan kendali dimonitor dan tindakan korektif telah dilaksanakan. Pelaporan yang didefinisikan dan komprehensif terkait dengan proses kompensasi pihak ketiga. Pelaporan memberikan peringatan awal atas permasalahan potensial untuk memfasilitasi resolusi secara berkala.
otomasi pengelolaan layanan pihak ketiga secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
review periodik secara independen, dengan masukan yang berasal dari review. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan layanan pihak ketiga telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar
kualitas pemberian layanan dan dukungan vendor telah disepakati.
secara dinamis sebagai respon terhadap kondisi bisnis yang berubah-ubah. Pengukuran mendukung deteksi awal permasalahan.
239
dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
240
Matriks Atribut Kematangan pada Proses Mengelola Kinerja dan Kapasitas (DS3) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Manajemen belum menyadari bahwa proses bisnis utama dapat memerlukan kinerja optimal dari TI.
Tidak ada proses perencanan kapasitas yang sesuai.
Tidak adanya perangkat untuk mengelola kinerja dan kapasitas.
Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mengelola kinerja dan kapasitas.
Tidak ada akuntabilitas dan tanggungjawab dalam mengelola kinerja dan kapasitas.
Seluruh kebutuhan bisnis untuk layanan TI dapat melebihi kapasitas.
1 Manajemen TI memiliki kepedulian terhadap pengelolaan kinerja dan kapasitas, namun tindakan yang diambil biasanya bersifat reaktif atau tidak lengkap.
Proses perencanaan bersifat informal. Manajemen kinerja dan kapasitas bersifat reaktif dan tidak teratur.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software pengelolaan kinerja dan kapasitas.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola kinerja dan kapasitas dan belum ada pelatihan formal dilakukan.
Pengguna seringkali harus berupaya untuk mengatasi batasan kinerja dan kapasitas.
Pemilik proses bisnis memberikan sangat sedikit penghargaan atas layanan TI.
2 Manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola.
Untuk bagian-bagian yang penting, kebutuhan kinerja umumnya telah terpenuhi berdasarkan penilaian sistem individual dan pengetahuan mengenai
Beberapa perangkat individual dapat digunakan untuk mendiagnosa permasalahan kinerja dan kapasitas.
Konsistensi hasil bergantung pada keahlian dari personil utama.
Permasalahan ketersediaan umumnya terjadi dengan tidak diharapkan dan secara acak serta membutuhkan waktu lama untuk
Tidak ada penilaian secara menyeluruh terhadap kemampuan kinerja infrastruktur atau pertimbangan terhadap situasi-situasi terburuk.
241
dukungan dan tim proyek.
mendiagnosa dan memperbaikinya.
3 Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mengelola kinerja dan kapasitas.
Kebutuhan kapasitas dan kinerja didefinisikan sebagai langkah-langkah yang akan diambil pada seluruh metodologi tahapan perolehan dan pengoperasian awal sistem.
Pemodelan dan prediksi kebutuhan kinerja yang akan datang dimungkinkan untuk dilakukan. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan kinerja dan kapasitas. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Kebutuhan keahlian dalam mengelola kinerja dan kapasitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Pengguna akhir akan merasa skeptis mengenai kapabilitas layanan diluar tingkat layanan yang dipublikasikan. Permasalahan masih sering terjadi dan membutuhkan banyak waktu untuk memperbaikinya.
Laporan dapat menunjukkan satistik kinerja. Terdapat metrik dan kebutuhan tingkat layanan terdefinisi yang dapat digunakan untuk mengukur kinerja operasional.
4 Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara
Insiden yang disebabkan oleh kegagalan kinerja dan kapasitas terkait dengan prosedur yang terstandarisasi dan terdefinisi.
Proses dan perangkat tersedia untuk mengukur penggunaan sistem dan membandingkannya dengan tingkat layanan yang
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan
Tanggungjawab dan kepemilikan pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi.
Terdapat beberapa upaya untuk melaporkan statistik kinerja dalam proses bisnis, sehingga pengguna akhir dapat memahami tingkat layanan TI.
242
berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan kinerja dan kapasitas.
didefinisikan. Perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk penyimpanan, server jaringan dan network gateways.
formal terhadap staf terkait pengelolaan kinerja dan kapasitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Informasi yang up to date selalu tersedia, memberikan statistik kinerja yang terstandarisasi dan memberitahukan terjadinya insiden seperti kekurangan dalam kapasitas atau hasil. Pengguna umumnya merasa terpuaskan dengan kapabilitas layanan saat ini dan menginginkan tingkat ketersediaan yang baru dan meningkat.
5 Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional.
Infrastruktur TI ditujukan terhadap review rutin untuk memastikan bahwa kapasitas optimal dapat dicapai dengan biaya yang serendah mungkin. Peningkatan dalam teknologi terus dimonitor untuk memperoleh manfaat
Perangkat untuk mengawasi sumberdaya TI utama telah distandarisasi, jika dimungkinkan diterapkan pada platform yang berbeda dan terhubung pada sebuah sistem pengelolaan insiden organisasi.
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan
Pengguna mengharapkan ketersediaan penuh selama 24x7x365 jam. Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik
Metrik untuk mengukur kinerja TI telah disesuaikan untuk memfokuskan pada area utama dan diterjemahkan ke dalam KGI, KPI dan CSF untuk seluruh proses bisnis utama. Kecenderungan yang terdeteksi menunjukkan
243
dari peningkatan kinerja produk.
Perangkat pengawasan dapat lebih mendeteksi dan secara otomatis memperbaiki permasalahan kinerja, seperti mengalokasikan ruang penyimpanan atau melakukan routing ulang pada traffic jaringan.
konsep dan teknik terkini. Pelatihan untuk pengelolaan kinerja dan kapasitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
terdapatnya permasalahan kinerja yang disebabkan oleh peningkatan volume bisnis, yang memungkinkan dilakukannya perencanaan dan penanggulangan insiden yang tidak diharapkan.
244
Matriks Atribut Kematangan pada Proses Memastikan Layanan yang Berkelanjutan (DS4) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Tidak ada pemahaman mengenai resiko, kerentanan dan ancaman terhadap operasi-operasi TI atau dampak tidak adanya layanan TI pada bisnis. Kesinambungan layanan tidak dianggap memerlukan perhatian manajemen.
Tidak ada kebijakan, standar dan prosedur untuk memastikan layanan yang berkelanjutan.
Tidak adanya perangkat untuk memastikan layanan yang berkelanjutan.
Tidak ada pelatihan untuk memastikan layanan yang berkelanjutan.
Tidak ada tanggungjawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan.
Tidak ada penentuan dan pengukuran pencapaian untuk memastikan layanan yang berkelanjutan.
1 Manajemen perduli terhadap resiko yang terkait dan kebutuhan akan layanan yang berkesinambungan.
Fokus lebih diarahkan kepada fungsi TI daripada fungsi bisnis. Prediksi gangguan telah dijadwalkan untuk memenuhi kebutuhan TI, bukan hanya sebatas mengakomodasi kebutuhan bisnis. Respon terhadap gangguan bersifat
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat dalam bentuk software.
Pengguna menerapkan pola pelaksanaan pekerjaan. Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan.
Tanggung jawab untuk kesinambungan layanan bersifat informal, dengan otoritas yang terbatas.
Belum ada penentuan dan pengukuran pencapaian yang jelas untuk memastikan layanan yang berkelanjutan.
245
reaktif dan tanpa persiapan.
2 Adanya kesadaran akan kebutuhan layanan yang berkesinambungan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan proses memastikan layanan yang berkesinambungan.
Pendekatan terhadap layanan yang berkesinambungan masih terpisah-pisah. Standarisasi pelaksanaan dan pengawasan layanan yang berkesinambungan mulai dilakukan, namun keberhasilannya masih bergantung pada individu.
Telah terdapat inventaris sistem dan komponen utama yang handal.
Tidak ada pengguna atau rencana kelanjutan yang terdokumentasi, meskipun terdapat komitmen atas ketersediaan layanan secara berkesinambungan dan prinsip-prinsip utamanya telah diketahui.
Tanggung jawab untuk layanan yang berkesinambungan telah ditetapkan.
Pelaporan mengenai ketersediaan sistem tidak lengkap dan tidak mempertimbangkan dampak bisnis.
3 Manajemen mengkomunikasikan kebutuhan akan layanan yang berkelanjutan secara konsisten.
Rencana telah terdokumentasi dan didasarkan pada kepentingan sistem dan dampak bisnis. Terdapat pelaporan periodik mengenai pengujian layanan yang berkelanjutan.
Sebagian komponen yang memiliki ketersediaan tinggi dan redundansi sistem telah diterapkan. Inventaris sistem dan komponen utama dijaga secara ketat.
Individu mengambil inisiatif untuk mengikuti standar berikutnya dan menerima pelatihan.
Akuntabilitas tidak jelas dan tanggung jawab untuk perencanaan dan pengujian yang berkesinambungan telah didefinisikan dan ditetapkan dengan jelas.
Beberapa tujuan dan pengukuran dalam memastikan layanan yang berkesinambungan telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan
246
tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja utama. Pengawasan telah dilakukan.
4 Kebutuhan untuk memastikan layanan yang berkesinambungan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul.
Pelaksanaan redundansi dan pengaruh perencanaan layanan secara kontinu saling mempengaruhi satu sama lain
Pelaksanaan redundansi sistem, termasuk penggunaan komponen yang banyak tesedia telah dilakukan secara konsisten. Data yang terstruktur mengenai layanan yang berkesinambungan telah didapatkan, dianalisa, dilaporkan, dan diterapkan.
Pelatihan disediakan untuk proses layanan yang berkelanjutan.
Tanggung jawab dan standar untuk layanan yang berkelanjutan telah diterapkan. Tanggung jawab untuk menjaga kesinambungan layanan telah ditetapkan.
Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis, hasil dari pengujian layanan yang berkesinambungan, serta hasil dari pengujian layanan yang berkelanjutan dan pelaksanaan internal terbaik. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden telah diketahui oleh seluruh pihak yang
247
terlibat. 5 Manajemen tidak
mentolerir segala jenis kesalahan dan memberikan dukungan untuk mengantisipasinya. Pelaksanaan eskalasi telah dipahami dan diterapkan dengan baik.
Efektivitas biaya layanan berkesinambungan dioptimalkan melalui inovasi dan integrasi. Perencanaan layanan berkesinambungan dan rencana kelangsungan bisnis telah terintegrasi, disesuaikan, dan dijaga secara rutin. Pembelian untuk kebutuhan layanan berkelanjutan dirahasiakan dari vendor dan supplier utama. Pelaksanaan redundansi dan perencanaan layanan berkesinambungan telah disesuaikan sepenuhnya.
Pengumpulan dan analisa data digunakan untuk mengidentifikasi peluang peningkatan.
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Terdapat pengujian keseluruhan dan hasil pengujian dimasukkan sebagai bagian dari proses maintenance. Proses-proses layanan yang berkesinambungan dan terintegrasi bersifat proaktif, adaptif, terotomasi dan dapat menganalisa dirinya sendiri serta mempertimbangkan benchmarking dan pelaksanaan eksternal terbaik.
248
Matriks Atribut Kematangan pada Proses Memastikan Keamanan Sistem (DS5) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Organisasi tidak menyadari pentingnya keamanan TI.
Tidak ada pelaporan keamanan TI dan tidak ada proses respon terhadap kegagalan keamanan TI. Terdapat kekurangan yang signifikan atas proses administrasi keamanan sistem yang diketahui.
Tidak adanya perangkat untuk memastikan keamanan sistem.
Tidak ada pelatihan untuk memastikan keamanan sistem.
Tanggung jawab dan akuntabilitas tidak ditetapkan untuk memastikan keamanan.
Pengukuran dukungan manajemen keamanan TI tidak diterapkan.
1 Organisasi menyadari kebutuhan untuk keamanan TI, namun kepedulian keamanan tergantung pada individu.
Respon terhadap kegagalan kemanan TI tidak dapat diprediksi.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software tertentu.
Belum ada dalam perencanaan adanya pelatihan dalam memastikan keamanan sistem dan belum ada pelatihan formal yang dilakukan.
Kegagalan keamanan TI yang terdeteksi melibatkan penunjukkan tanggung jawab, karena tanggung jawab tidak jelas.
Keamanan TI ditujukan atas dasar reaktif dan tidak terukur.
2 Kepedulian keamanan terpisah-pisah dan terbatas.
Kebijakan keamanan telah diuapayakan untuk dikembangkan. Informasi keamanan TI telah dihasilkan, namun
Perangkat yang digunakan masih belum mencukupi.
Keahlian masih belum mencukupi. Solusi keamanan cenderung merespon insiden
Tanggung jawab dan akuntabilitas untuk keamanan TI dibebankan pada seorang koordinator
Pelaporan keamanan TI tidak lengkap, tidak terarah atau tidak saling berhubungan.
249
tidak dianalisa.
keamanan TI secara reaktif dan dengan mengadopsi bantuan pihak ketiga, tanpa memenuhi kebutuhan spesifik organisasi.
TI tanpa otoritas manajemen.
3 Telah terdapat kepedulian keamanan dan dipromosikan oleh manajemen. Briefing untuk kepedulian keamanan telah distandarisasi dan diformalisasi.
Prosedur keamanan TI telah didefinisikan dan disesuaikan ke dalam struktur untuk prosedur dan kebijakan keamanan. Telah terdapat rencana keamanan TI, analisis resiko yang terarah, dan solusi keamanan. Pengujian gangguan telah dilakukan secara ad-hoc.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi. Perangkat yang digunakan masih belum terintegrasi.
Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Tanggung jawab untuk keamanan TI telah ditetapkan, namun tidak diterapkan secara konsisten.
Pelaporan keamanan TI difokuskan lebih kepada TI, bukan kepada bisnis.
4 Kebutuhan bagi Keamanan sistem secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara
Kebijakan dan pelaksanaan keamanan telah dilengkapi dengan dasar keamanan spesifik. Analisis dampak dan resiko keamanan TI
Analisis biaya/manfaat yang mendukung penerapan ukuran keamanan telah lebih dimanfaatkan.
Briefing kepedulian keamanan telah menjadi kewajiban. Sertifikasi keamanan staf telah dilakukan.
Tanggung jawab untuk keamanan TI telah ditetapkan dengan jelas, dikelola dan diterapkan.
Pelaporan keamanan TI terhubung dengan tujuan bisnis.
250
berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul.
telah dilakukan secara konsisten. Pengujian terhadap gangguan merupakan proses standar dan terformalisasi yang menuju pada peningkatan. Proses-proses keamanan TI telah dikoordinasikan ke seluruh fungsi keamanan organisasi. Identifikasi, autentifikasi dan otorisasi pengguna telah distandarisasi.
5 Kebutuhan keamanan TI telah didefinisikan dengan jelas, dioptimalkan dan dimasukkan ke dalam rencana keamanan yang terverifikasi. Kendali mitigasi yang memadai dikomunikasikan dan diterapkan dengan baik.
Proses dan teknologi keamanan diintegrasikan di seluruh bagian organisasi. Informasi mengenai ancaman dan kerentanan yang baru dikumpulkan dan dianalisa secara sistematis.
Pelaporan keamanan TI memberikan peringatan awal terhadap resiko yang muncul dan berubah-ubah, dengan menggunakan pendekatan pengawasan aktif secara terotomasi untuk sistem utama. Fungsi-fungsi keamanan telah
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik
Keamanan TI merupakan tanggung jawa bersama antara manajemen bisnis dan TI yang diintegrasikan dengan tujuan bisnis keamanan perusahaan.
Pengujian intrusi, analisis akar permasalahan dari insiden keamanan, dan identifikasi resiko secara proaktif merupakan dasar bagi peningkatan secara kontinu. Penilaian keamanan secara periodik mengevaluasi
251
diintegrasikan dengan aplikasi pada tahap desain dan pengguna akhir lebih dipercaya untuk mengelola keamanan. Insiden diselesaikan dengan tepat menggunakan prosedur respon insiden yang formal dan didukung oleh perangkat terotomasi.
terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
efektifitas penerapan rencana keamanan.
252
Matriks Atribut Kematangan pada Proses Melakukan Identifikasi dan Alokasi Biaya (DS6) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Organisasi bahkan tidak menyadari adanya permasalahan yang akan diselesaikan terkait dengan pembukuan biaya dan tidak ada komunikasi mengenai permasalahan tersebut.
Keberadaan proses-proses untuk mengidentifikasi dan mengalokasi biaya masih sangat minim terkait dengan layanan informasi yang diberikan.
Tidak ada perangkat untuk mengidentifikasi dan mengalokasi biaya.
Tidak ada pelatihan untuk mengidentifikasi dan mengalokasi biaya.
Tidak ada tanggung jawab dan akuntabilitas dalam mengidentifikasi dan mengalokasi biaya.
Belum ada penentuan pengukuran pencapaian untuk mengidentifikasi dan mengalokasi biaya.
1 Terdapat pemahaman secara umum mengenai keseluruhan biaya untuk layanan informasi, namun tidak ada rincian biaya untuk setiap pengguna, departemen, kelompok pengguna, fungsi layanan, proyek atau pemberian layanan.
Tidak ada proses atau sistem untuk menutupi pengeluaran dalam mengenakan biaya pada pengguna atas pengeluaran dalam pemberian layanan informasi. Tidak ada pengawasan biaya yang nyata, melainkan hanya pelaporan biaya keseluruhan pada pihak manajemen.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu.
Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan.
Tanggungjawab masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan identifikasi dan alokasi biaya belum jelas dan belum ada pengukuran.
253
2 Terdapat kepedulian yang menyeluruh terhadap kebutuhan untuk mengidentifikasi dan mengalokasikan biaya. Tidak ada komunikasi formal mengenai prosedur alokasi dan identifikasi biaya standar.
Alokasi biaya didasarkan pada asumsi biaya pokok atau informal, misalnya untuk biaya hardware, dan tidak ada keterkaitan dengan pengarahan nilai. Proses alokasi biaya dapat diulangi dan beberapa diantaranya mulai diawasi.
Telah digunakannya perangkat untuk membantu proses alokasi dan identifikasi biaya sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
Tidak ada pelatihan formal mengenai prosedur alokasi dan identifikasi biaya standar.
Tanggung jawab tidak ditetapkan.
Aktivitas pengawasan terhadap alokasi dan identifikasi biaya mulai dilakukan walaupun masih belum secara konsisten.
3 Terdapat tingkat kepedulian yang sesuai terhadap biaya untuk layanan informasi.
Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan melakukan beberapa aktivitas dasar dalam alokasi dan identifikasi biaya.
Terdapat sistem pembukuan biaya yang terotomasi, namun lebih terfokus pada fungsi layanan informasi, bukan pada proses bisnis. Terdapat model pembiayaan layanan informasi yang terdokumentasi dan terdefinisi. Model tersebut dikomunikasikan dan diterapkan di organisasi.
Pelatihan dilakukan secara informal.
Kepemilikan dan Tanggungjawab telah ditetapkan serta permasalahan alokasi dan identifikasi biaya dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Beberapa tujuan dan pengukuran dalam alokasi dan identifikasi biaya telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan
254
dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
4 Kebutuhan bagi alokasi dan identifikasi biaya secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam alokasi dan identifikasi biaya.
Secara umum, terdapat evaluasi dan pengawasan biaya, serta tindakan yang diambil ketika proses tidak berjalan secara efektif atau efisien. Tindakan diambil pada sebagian besar kasus. Proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik.
Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala dan terotomasi pada manajemen, pemilik proses bisnis, dan pengguna.
Terdapat keterlibatan dari seluruh pakar manajemen biaya internal.
Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi telah didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal.
Pelaporan biaya layanan dihubungkan dengan tujuan bisnis dan kesepakatan tingkat layanan.
5 Kebutuhan alokasi dan identifikasi biaya dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan
Biaya dari layanan yang diberikan telah teridentifikasi, tercatat, terangkum dan dilaporkan ke pihak manajemen, pemilik proses bisnis dan pengguna.
Model biaya variabel telah digunakan , diturunkan dari jumlah yang diproses untuk setiap layanan yang diberikan. Perangkat yang canggih
Pakar eksternal telah dilibatkan dan dilakukan benchmarking sebagai panduan manajemen biaya.
Terdapat evaluasi dan pengawasan yang baik atas biaya layanan, dimana keragaman dari jumlah biaya teridentifikasi, serta ketidaksesuaian
Manajemen biaya telah disempurnakan ke arah pelaksanaan terbaik, berdasarkan hasil dari peningkatan secara kontinu dan pemodelan
255
kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam alokasi dan identifikasi biaya yang juga merupakan peluang pengembangan kedepan.
Biaya diidentifikasi sebagai pengeluaran dan mendukung sebuah sistem pembiayaan yang meminta tagihan kepada pengguna atas layanan yang diberikan berdasarkan jenis pemanfaatan. Rincian biaya mendukung kesepakatan tingkat layanan.
digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
dirinci dan diselesaikan.
kematangan terhadap organisasi lainnya. Pelaporan biaya layanan informasi memberikan peringatan awal terhadap kebutuhan bisnis yang berubah-ubah melalui sistem pelaporan. Gambaran biaya yang diperoleh digunakan untuk memverifikasi penggunaan keuntungan dan digunakan dalam proses penyusunan anggaran organisasi.
256
Matriks Atribut Kematangan pada Proses Mendidik dan Melatih Pengguna (DS7) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Organisasi bahkan tidak menyadari adanya permasalahan yang akan diselesaikan melalui pelatihan serta tidak adanya komunikasi mengenai permasalahan.
Tidak ada kebijakan, standar dan prosedur untuk mendidik dan melatih pengguna.
Tidak ada perangkat untuk mendidik dan melatih pengguna.
Tidak ada pelatihan untuk mendidik dan melatih pengguna.
Tidak ada tanggung jawab dan akuntabilitas dalam mendidik dan melatih pengguna.
Belum ada penentuan pengukuran pencapaian untuk mendidik dan melatih pengguna.
1 Terdapat bukti bahwa organisasi telah menyadari kebutuhan akan program pendidikan dan pelatihan, namun tidak ada proses terstandarisasi. Keseluruhan pendekatan manajemen tidak dilakukan secara terpadu dan hanya terdapat komunikasi yang sporadis dan
Dalam ketidakadaan program yang terorganisir, para pegawai telah mengidentifikasi dan menghadiri kursus pelatihan secara individu.
Beberapa perangkat untuk mendidik dan melatih pengguna mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tools Untuk mendidik dan melatih pengguna.
Beberapa kursus pelatihan telah diarahkan untuk permasalahan pelaksanaan etika, kepedulian keamanan sistem dan pelaksanaan keamanan.
Tanggungjawab mendidik dan melatih pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan mendidik dan melatih pengguna belum jelas dan belum ada pengukuran yang dilakukan.
257
tidak konsisten mengenai permasalahan dan pendekatan terhadap pelatihan dan pendidikan.
2 Terdapat kepedulian mengenai kebutuhan program pendidikan dan pelatihan dan untuk proses-proses yang terkait di seluruh organisasi. Komunikasi secara konsisten atas seluruh permasalahan dan kebutuhan untuk melakukannya tetap dilakukan.
Pelatihan mulai diidentifikasi dalam rencana kinerja individu para pegawai. Proses telah dikembangkan hingga tingkatan dimana kelas pendidikan dan pelatihan informal diajarkan oleh instruktur yang berbeda, namun tetap mencakup permasalahan yang sama dengan pendekatan yang berbeda.
Telah digunakannya perangkat untuk membantu mendidik dan melatih pengguna sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
Terdapat ketergantungan yang tinggi atas pengetahuan individu. Beberapa kelas telah mengarah pada permasalahan pelaksanaan etika dan pelaksanaan serta kepedulian keamanan sistem.
Kepemilikan dan tanggungjawab untuk mendidik dan melatih pengguna secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan mendidik dan melatih pengguna, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
Aktivitas pengawasan untuk mendidik dan melatih pengguna mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas-aktivitas penting.
3 Program pendidikan dan pelatihan telah dikomunikasikan dan diterapkan di organisasi, pegawai
Proses pendidikan dan pelatihan telah terdokumentasi. Analisis permasalahan pelatihan dan
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi
Kelas-kelas formal diberikan pada pegawai dalam melaksanakan etika dan dalam
Kepemilikan dan tanggungjawab mendidik dan melatih pengguna telah ditetapkan
Sebagian besar proses pendidikan dan pelatihan diawasi, namun tidak seluruh
258
dan manajer melakukan identifikasi dan dokumentasi kebutuhan pelatihan.
komunikasi tidak dilakukan secara rutin. Anggaran, sumberdaya, fasilitas dan trainer telah disediakan untuk mendukung program pelatihan dan pendidikan.
dalam mendidik dan melatih pengguna. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
kepedulian dan pelaksanaan keamanan sistem.
serta permasalahan yang terkait dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
penyimpangan dapat terdeteksi oleh manajemen.
4 Manajemen mendukung dan menghadiri sesi pelatihan dan pendidikan.
Seluruh pegawai menerima tingkatan pelatihan pelaksanaan keamanan sistem yang sama dalam melindungi bahaya kegagalan yang mempengaruhi ketersediaan, kerahasiaan, dan integritas.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mendidik dan melatih pengguna.
Seluruh pegawai menerima pelatihan kepedulian keamanan sistem dan pelaksanaan etika. Pelatihan dan pendidikan merupakan sebuah komponen bagi arah karir pegawai.
Tanggung jawab jelas dan kepemilikan proses telah ditentukan.
Terdapat sebuah program pelatihan dan pendidikan secara komprehensif yang terfokus pada kebutuhan perusahaan dan individu serta menghasilkan keluaran yang terukur. Manajemen mengawasi kepatuhan dengan mereview dan memperbaharui proses serta program pendidikan dan pelatihan secara
259
konstan. Proses ditingkatkan dan menerapkan pelaksanaan internal terbaik.
5 Terdapat perilaku yang positif terkait dengan pelaksanaan etika dan prinsip keamanan sistem. TI digunakan secara ekstensif, terintegrasi, dan teroptimalisasi untuk mengotomasi dan menyediakan perangkat bagi program pelatihan dan pendidikan.
Anggaran, sumberdaya, fasilitas, dan instruktur yang memadai diberikan untuk program pelatihan dan pendidikan. Pelatihan dan pendidikan merupakan komponen utama arah karir pegawai. Seluruh permasalahan dan penyimpangan dianalisa untuk akar permasalahan dan tindakan efisien diidentifikasi dan diambil dengan tepat.
Perangkat yang canggih digunakan dengan otomasi mendidik dan melatih pengguna secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
Pelatihan dan pendidikan berdampak pada peningkatan kinerja individu. Pakar pelatihan eksternal diperbanyak dan digunakan benchmarking sebagai panduan.
Tanggung jawab mendidik dan melatih pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Proses telah disempurnakan dan ditingkatkan secara kontinu, menggunakan keuntungan yang diperoleh dari pemodelan kematangan dan pelaksanaan eksternal terbaik dengan organisasi lainnya.
260
Matriks Atribut Kematangan pada Proses Mendampingi dan Memberikan Saran Kepada Pengguna (DS8) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Organisasi tidak menyadari bahwa terdapat permasalahan yang akan diselesaikan.
Tidak ada kebijakan, standar dan prosedur untuk mendampingi dan memberikan saran kepada pengguna.
Tidak terdapat fungsi help desk. Tidak ada dukungan untuk menyelesaikan pertanyaan dan permasalahan pengguna.
Tidak ada pelatihan untuk mendampingi dan memberikan saran kepada pengguna.
Tidak ada tanggung jawab dan akuntabilitas untuk mendampingi dan memberikan saran kepada pengguna.
Belum ada penentuan pengukuran pencapaian untuk mendampingi dan memberikan saran kepada pengguna.
1 Organisasi telah mengetahui bahwa proses yang didukung oleh perangkat dan personil untuk merespon pertanyaan pengguna dan mengelola resolusi permasalahan. Manajemen tidak mengawasi pertanyaan, permasalahan atau tren pengguna.
Tidak ada proses yang terstandarisasi dan hanya dukungan reaktif yang diberikan. Tidak ada proses eskalasi untuk memastikan bahwa permasalahan telah diselesaikan.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu.
Belum ada dalam perencanaan adanya pelatihan dalam mendampingi dan memberikan saran kepada pengguna dan belum ada pelatihan formal yang dilakukan
Tanggungjawab mendampingi dan memberikan saran kepada pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan mendampingi dan memberikan saran kepada pengguna belum jelas dan belum ada pengukuran.
2 Terdapat kepedulian organisasi akan kebutuhan untuk
Kegiatan mendampingi dan memberikan saran kepada pengguna telah
Individu-individu tersebut memiliki perangkat yang
Panduan tersedia secara informal melalui sebuah
Tanggung jawab diserahkan pada masing-masing
Aktivitas pengawasan mulai dilakukan
261
membantu fungsi help desk. Terdapat komunikasi yang konsisten mengenai keseluruhan permasalahan dan kebutuhan untuk menyelesaikannya.
dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
tersedia untuk membantu dalam penyelesaian masalah.
jaringan individu-individu yang memiliki pengetahuan. Tidak ada pelatihan dan komunikasi formal mengenai prosedur standar.
individu.
walaupun masih belum secara konsisten terutama pada aktivitas penting.
3 Kebutuhan untuk membantu fungsi help desk telah diketahui dan diterima.
Prosedur telah distandarisasi dan didokumentasikan serta terdapat pelatihan informal.
Frequently Asked Questions (FAQs) dan panduan pengguna telah dikembangkan, namun individu masih harus mencarinya dan mungkin tidak mengikutinya. Pertanyaan dan permasalahan dilacak secara manual dan diawasi oleh individu, namun tidak ada sistem pelaporan formal.
Kebutuhan keahlian dalam mendampingi dan memberikan saran kepada pengguna telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Keikutsertaan dalam pelatihan dan kepatuhan terhadap standar bergantung pada tanggung jawab individu.
Respon berkala terhadap pertanyaan dan permasalahan tidak diukur dan permasalahan terkadang tidak terselesaikan. Eskalasi permasalahan mulai dilakukan.
4 Terdapat pemahaman menyeluruh mengenai manfaat dari help desk di seluruh tingkatan
Prosedur untuk mengkomunikasikan, mengeskalasi dan menyelesaikan
Perangkat dan teknik diotomasikan dengan basis pengetahuan permasalahan dan
Personil help desk dilatih dan proses ditingkatkan melalui penggunaan
Tanggung jawab telah menjadi jelas dan efektifitas diawasi.
Penyebab utama dari permasalahan telah diidentifikasi dan tren dilaporkan,
262
organisasi dan fungsi tersebut telah dibentuk pada unit organisasi yang tepat.
permasalahan telah dibentuk dan dikomunikasikan. Staf help desk berinteraksi langsung dengan staf manajemen permasalahan.
solusi yang terpusat.
perangkat lunak yang spesifik untuk pekerjaan tertentu.
berdampak pada koreksi permasalahan secara berkala. Proses sedang ditingkatkan dan menerapkan pelaksanaan internal terbaik.
5 Fungsi help desk telah dibentuk, diorganisasir dengan baik dan berorientasi pada layanan pelanggan, dengan menambah pengetahuan, fokus pada pelanggan, dan akan sangat membantu.
Manajemen menggunakan proses notifikasi secara pro aktif dan analisis tren untuk mencegah dan mengawasi permasalahan. Saran diberikan secara konsisten dan permasalahan diselesaikan dengan cepat dalam sebuah proses eskalasi terstruktur.
Perangkat digunakan untuk memungkinkan pengguna dalam melakukan diagnosa dan menyelesaikan permasalahan. TI digunakan dalam menciptakan, mengelola dan meningkatkan akses untuk mengotomasi basis pengetahuan yang mendukung penyelesaian permasalahan.
FAQ yang komprehensif dan diperluas merupakan bagian integral dari basis pengetahuan.
Tanggung jawab mendampingi dan memberikan saran kepada pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Proses telah disempurnakan hingga tingkat pelaksanaan eksternal terbaik, berdasarkan pada hasil peningkatan secara kontinu dan pemodelan kematangan dengan organisasi lainnya.
263
Matriks Atribut Kematangan pada Proses Mengelola Konfigurasi (DS9) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Manajemen tidak memiliki apresiasi terhadap manfaat dari pembentukan proses untuk melaporkan dan mengelola infrastruktur TI, untuk konfigurasi hardware maupun software.
Tidak ada kebijakan, standar dan prosedur dalam mengelola konfigurasi.
Tidak ada perangkat dan otomasi dalam mengelola konfigurasi.
Tidak ada keahlian dan kepakaran dalam mengelola konfigurasi.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola konfigurasi.
Tidak ada penentuan dan pengukuran pencapaian dalam mengelola konfigurasi.
1 Kebutuhan untuk manajemen konfigurasi telah diketahui.
Tidak ada pelaksanaan standar yang diterapkan.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola konfigurasi dan belum ada pelatihan formal dilakukan untuk mengelola konfigurasi.
Tugas manajemen konfigurasi dasar seperti merawat inventaris hardware dan software dilakukan secara individual.
Tujuan pengelolaan konfigurasi belum jelas dan belum ada pengukuran yang dilakukan.
2 Manajemen memiliki kepedulian terhadap manfaat pengendalian konfigurasi TI.
Konten data konfigurasi dibatasi dan tidak digunakan oleh proses yang saling berhubungan seperti manajemen perubahan
Perangkat manajemen konfigurasi digunakan sampai tingkatan tertentu, namun berbeda untuk setiap platform.
Terdapat ketergantungan secara implisit pada pengetahuan dan keahlian personil teknis.
Kepemilikan dan tanggungjawab atas pengelolaan konfigurasi secara informal telah diterapkan oleh
Tidak ada pelaksanaan kerja standar yang telah didefinisikan.
264
dan manajemen permasalahan.
perorangan. Bila terjadi permasalahan terkait dengan pengelolaan konfigurasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
3 Kebutuhan untuk mengakurasikan dan melengkapi informasi konfigurasi telah dipahami dan diterapkan.
Prosedur dan pelaksanaan pekerjaan telah didokumentasikan, distandarisasi dan dikomunikasikan, namun pelatihan dan penerapan standar tergantung pada individu. Penyimpangan prosedur sulit dideteksi dan verifikasi fisik dilakukan secara tidak konsisten.
Perangkat manajemen konfigurasi yang serupa diimplementasikan di seluruh platform. Terdapat beberapa otomasi untuk membantu dalam melacak perubahan peralatan dan software. Data konfigurasi digunakan oleh proses yang saling berhubungan.
Kebutuhan keahlian dalam mengelola konfigurasi telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Kepemilikan dan Tanggungjawab pengelolaan konfigurasi telah ditetapkan dan dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya
Beberapa tujuan dan pengukuran dalam pengelolaan konfigurasi telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar.
265
Pengawasan telah dilakukan.
4 Kebutuhan untuk mengelola konfigurasi diketahui oleh seluruh tingkatan organisasi dan pelaksanaan terbaik terus ditingkatkan.
Prosedur dan standar dikomunikasikan dan digabungkan dalam pelatihan, penyimpangan yang terjadi akan diawasi, dilacak dan dilaporkan. Sistem manajemen konfigurasi tidak mencakup sebagian besar infrastruktur TI dan memungkinkan dilakukannya release management yang baik dan kendali distribusi. Analisis pengecualian dan verifikasi fisik diterapkan secara konsisten dan penyebab utamanya diidentifikasi.
Perangkat terotomasi digunakan seperti teknologi penekanan untuk menerapkan standar dan meningkatkan stabilitas.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan konfigurasi untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggungjawab pengelolaan konfigurasi didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan konfigurasi. Perbaikan secara berkelanjutan pada proses pengelolaan konfigurasi dilakukan.
5 Kebutuhan pengelolaan konfigurasi dan pemahamannya atas langkah yang
Proses-proses yang terkait diintegrasikan seluruhnya dan digunakan seperti halnya data konfigurasi
Seluruh komponen infrastruktur dikelola dalam sistem manajemen konfigurasi, yang
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan
Tanggung jawab pengelolaan konfigurasi ditetapkan secara jelas, diketahui
Laporan audit dasar menyediakan data hardware dan software untuk perbaikan, layanan,
266
diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola konfigurasi yang juga merupakan peluang pengembangan kedepan.
pembaharuan. Data konfigurasi disesuaikan dengan katalog vendor. Aturan instalasi software yang sah telah diterapkan. Manajemen memprediksi perbaikan dan upgrade dari laporan analisis sehingga memberikan upgrade yang terjadwal dan kemampuan pembaharuan teknologi. Pelacakan aset dan pengawasan setiap workstation melindungi aset dan mencegah pencurian dan penyalahgunaan.
mencakup seluruh informasi yang diperlukan mengenai komponen-komponen dan keterkaitannya.
keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen konfigurasi telah dilembagakan. sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
garansi, upgrade dan penilaian teknis dari setiap unit.
267
Matriks Atribut Kematangan pada Proses Mengelola Permasalahan dan Insiden (DS10) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Tidak ada kepedulian terhadap kebutuhan untuk mengelola permasalahan dan insiden.
Proses penyelesaian masalah bersifat informal, pengguna dan staf TI menyelesaikan masalah dengan pendekatan kasus per kasus.
Tidak ada perangkat untuk mengelola permasalahan dan insiden.
Tidak ada pelatihan untuk mengelola permasalahan dan insiden.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden.
Belum ada penentuan pengukuran pencapaian untuk mengelola permasalahan dan insiden.
1 Organisasi telah menyadari bahwa terdapat kebutuhan untuk menyelesaikan permasalahan dan mengevaluasi insiden.
Manajemen seringkali merubah fokus dan arahan staf dukungan teknis dan operasi.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana untuk menggunakan perangkat software.
Individu utama yang memiliki pengetahuan memberikan beberapa panduan atas permasalahan yang terkait dengan keahlian dan tanggung jawab mereka. Informasi tidak dibagikan dengan pihak lain dan solusi bervariasi dari satu personil pendukung ke personil lainnya, berdampak pada
Tanggungjawab mengelola permasalahan dan insiden masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan pengelolaan permasalahan dan insiden belum jelas dan belum ada pengukuran.
268
terbentuknya permasalahan tambahan dan hilangnya waktu produktif ketika mencari jawaban.
2 Terdapat kepedulian yang tinggi mengenai kebutuhan untuk mengelola permasalahan yang terkait dengan TI dalam unit bisnis dan fungsi layanan informasi.
Informasi dibagikan ke seluruh staf, namun proses tetap tidak terstruktur, informal dan umumnya bersifat reaktif.
Telah digunakannya perangkat untuk membantu proses pengelolaan permasalahan dan insiden sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
Tingkat layanan untuk komunitas pengguna bervariasi dan dipersulit oleh ketidakcukupan pengetahuan terstruktur yang tersedia bagi pihak yang menyelesaikan masalah.
Proses resolusi telah berubah hingga suatu titik dimana beberapa individu utama bertanggung jawab untuk mengelola permasalahan dan insiden yang terjadi.
Pelaporan manajemen atas insiden dan analisis terjadinya masalah masih terbatas dan bersifat informal.
3 Pengguna telah menerima komunikasi yang jelas mengenai waktu dan cara melaporkan permasalahan dan insiden.
Penyimpangan dari norma-norma atau standar yang ada terkadang tidak terdeteksi. Penyelesaian, eskalasi dan resolusi masalah telah distandarisasi walaupun belum sepenuhnya.
Perekaman dan pelacakan masalah serta resolusinya terpisah-pisah dalam tim penanggung jawab, dengan menggunakan perangkat yang tersedia tanpa analisis atau desentralisasi.
Kebutuhan keahlian dalam mengelola permasalahan dan insiden telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah
Kebutuhan akan sistem manajemen permasalahan yang efektif diterima dan dibuktikan dengan penugasan staf, pelatihan dan dukungan dari tim penanggung jawab.
Beberapa tujuan dan pengukuran dalam pengelolaan permasalahan dan insiden telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan
269
dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
4 Proses manajemen permasalahan dipahami di seluruh tingkatan dalam organisasi.
Metode dan prosedur telah didokumentasikan, dikomunikasikan, dan diukur untuk mencapai efektifitas. Manajemen permasalahan dan insiden diintegrasikan dengan semua proses yang terkait, seperti perubahan, ketersediaan dan manajemen konfigurasi, serta mendampingi pelanggan dalam mengelola data, fasilitas dan operasi.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola permasalahan dan insiden.
Pengetahuan dan keahlian disempurnakan, dijaga dan dikembangkan ke tingkatan yang lebih tinggi karena fungsi layanan informasi telah dipandang sebagai aset dan kontributor utama bagi pencapaian tujuan TI.
Tanggung jawab dan kepemilikan bersifat jelas dan diketahui.
Kemampuan respon terhadap insiden diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dilaporkan dan dianalisa untuk peningkatan secara kontinu dan dilaporkan ke pihak stakeholder.
270
5 Kebutuhan manajemen permasalahan dan insiden, dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola permasalahan dan insiden yang juga merupakan peluang pengembangan kedepan.
Proses manajemen permasalahan dan insiden telah menjadi lebih proaktif dan inovatif, sehingga berkontribusi pada tujuan TI. Permasalahan diantisipasi dan kemungkinan dapat dicegah.
Sebagian besar sistem telah dilengkapi dengan mekanisme peringatan dan pendeteksian otomatis, yang dilacak dan dievaluasi secara kontinu. Perekaman, pelaporan serta analisis permasalahan dan resolusi diotomasikan dan diintegrasikan sepenuhnya dengan manajemen manajemen data konfigurasi.
Pengetahuan dijaga melalui hubungan dengan para vendor dan pakar, dengan mempertimbangkan pola permasalahan dan insiden di masa lalu dan yang akan datang.
Tanggung jawab mengelola permasalahan dan insiden ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses mengelola permasalahan dan insiden yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses mengelola permasalahan dan insiden terus dan terus digali.
271
Matriks Atribut Kematangan pada Proses Mengelola Data (DS11) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Data belum diakui sebagai aset dan sumber daya perusahaan
Tidak ada prosedur untuk menangani data
Tidak adanya tools untuk mengelola data
Tidak ada pelatihan untuk mengelola data
Tidak ada kepemilikan data atau siapa yang bertanggungjawab dalam pengelolaan data
Kebutuhan akan kualitas dan keamanan data belum ada
1 Organisasi mulai menyadari adanya kebutuhan manajemen data yang akurat. Proses pengelolaan data merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan
Menggunakan pendekatan ad hoc untuk menangani kebutuhan keamanan pada manajemen data, namun belum menggunakan prosedur dengan pendekatan formal. Prosedur backup/restorasi dan pengaturan penghapusan sudah ada
Beberapa tools mungkin telah ada, karena memang sudah tersedia (bawaan) dalam tools perangkat standar. Belum ada rencana menggunakan software tools pengelolaan data
Belum ada dalam perencanaan adanya pelatihan dalam mengelola data dan belum ada pelatihan formal dilakukan
Tanggungjawab manajemen data masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan pengelolaan data belum jelas dan belum ada pengukuran
2 Adanya kesadaran akan kebutuhan manajemen data untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk
Penanganan keamanan pada manajemen data telah dilakukan walaupun masih dilakukan atas inisiatif perorangan
Telah digunakannya tools untuk membantu proses pengelolaan data sebagai solusi yang dikembangkan atas
Kebutuhan skill minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola
Kepemilikan dan tanggungjawab atas manajemen data secara informal telah diterapkan oleh perorangan. Bila
Aktivitas pengawasan terhadap manajemen data mulai dilakukan walaupun masih belum secara
272
dapat mengkomunikasikan permasalahan terkait dengan pengelolaan data.
berdasarkan pengalaman/ keahliannya.
inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
data. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
terjadi permasalahan terkait dengan manajemen data, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan.
3 Adanya pemahaman akan kebutuhan manajemen data. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen level atas untuk dapat melakukan langkah-langkah efektif dalam proses pengelolaan data.
Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan dalam melakukan beberapa aktivitas dasar dalam pengelolaan data seperti proses backup/ restorasi dan penghapusan peralatan/ media.
Adanya rencana penggunaan tools standar untuk melakukan otomasi dalam sistem pengelolaan data. Telah digunakan beberapa tools untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi.
Kebutuhan skill dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Kepemilikan dan Tanggungjawab manajemen data telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya
Beberapa tujuan dan pengukuran dalam pengelolaan data telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
273
4 Kebutuhan bagi manajemen data secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan data.
Prosedur-prosedur secara lengkap pada proses pengelolaan data, yang mengacu pada standar, yang menerapkan internal best-practice, telah diformalkan dan disosialisasikan secara luas serta mulai dilakukan sharing knowledge.
Penggunaan tools terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan tools. Beberapa tools telah terintegrasi dengan tools yang lainnya. Tools tersebut digunakan untuk mengotomasikan proses utama dalam mengelola data.
Kebutuhan skill secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan knowledgesharing dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggungjawab dan kepemilikan pada manajemen data didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data. Perbaikan secara berkelanjutan pada proses pengelolaan data dilakukan.
274
5 Kebutuhan manajemen data dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan.
Prosedur-prosedur secara lengkap pada proses pengelolaan data, diformalkan dan disosialisasikan, serta sharing knowledge menjadi praktek yang harus dilakukan untuk melakukan pengembangan berkelanjutan. Prosedur dalam mengelola data tersebut mengacu pada standar dan terintegrasi serta telah menerapkan external best practices
Tools yang canggih digunakan dengan otomasi manajemen data secara maksimal dan terintegrasi dengan tools lain yang terkait. Tools digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen data telah dilembagakan.Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
Tanggung jawab kepemilikan data dan manajemen data ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses pengelolaan data yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses pengelolaan data terus dan terus digali.
275
Matriks Atribut Kematangan pada Proses Mengelola Fasilitas (DS12) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Tidak ada kepedulian akan kebutuhan untuk melindungi fasilitas atau investasi dalam sumberdaya komputasi.
Faktor lingkungan seperti pemadam kebakaran, sampah, listrik, kelemababan dan panas yang berlebihan tidak diawasi dan dikendalikan.
Tidak ada perangkat untuk mengelola fasilitas.
Tidak ada pelatihan untuk mengelola fasilitas.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola fasilitas.
Tidak ada penentuan dan pengukuran pencapaian dalam mengelola fasilitas.
1 Organisasi telah mengetahui kebutuhan bisnis untuk menyediakan kondisi yang cocok untuk melindungi sumberdaya dan personil dalam menghadapi bencana alam maupun yang disebabkan oleh manusia.
Tidak ada prosedur standar dan manajemen fasilitas dan peralatan bergantung pada kemampuan dan keahlian personil utama. Kenyamanan lingkungan tidak ditinjau dan perpindahan orang-orang dalam fasilitas tidak dibatasi.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola fasilitas dan belum ada pelatihan formal yang dilakukan.
Manajemen tidak mengawasi kendali lingkungan fasilitas atau perpindahan personil. Tanggungjawab mengelola fasilitas masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan pengelolaan fasilitas belum jelas dan belum ada pengukuran.
276
2 Kepedulian akan kebutuhan untuk melindungi dan mengendalikan lingkungan pemrosesan fisik telah diketahui dan tercermin pada alokasi anggaran dan sumberdaya lainnya. Keamanan fisik merupakan proses informal yang diawali oleh inisiatif sekelompok kecil pegawai yang memiliki kepedulian tinggi untuk mengamankan fasilitas fisik.
Prosedur perawatan fisik tidak terdokumentasi dengan baik dan bergantung pada pelaksanaan terbaik sebagian kecil individu.
Telah digunakannya perangkat untuk membantu proses pengelolaan fasilitas sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola fasilitas. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
Kendali lingkungan diterapkan dan diawasi oleh personil operasi.
Pencapaian keamanan fisik tidak didasarkan pada standar formal dan manajemen tidak memastikan bahwa tujuan keamanan telah dicapai.
3 Kebutuhan untuk menjaga lingkungan pemrosesan yang terkendali dipahami dan diterima oleh organisasi.
Faktor kendali lingkungan, perawatan preventif dan keamanan fisik dimasukkan dalam anggaran yang disetujui dan dilacak oleh manajemen. Larangan akses telah diterapkan, dimana
Fasilitas fisik sulit dikenali dan belum dapat diidentifikasi.
Kebutuhan keahlian dalam mengelola fasilitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan.
Pengunjung dicatat dan terkadang dipandu, tergantung pada individu yang bertanggung jawab. Otoritas sipil mengawasi kesesuaian dengan regulasi kesehatan dan keamanan.
Beberapa tujuan dan pengukuran dalam pengelolaan fasilitas telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis.
277
hanya personil tertentu yang diizinkan untuk mengakses fasilitas pemrosesan. Resiko telah diasuransikan, namun tidak ada upaya untuk mengoptimalkan biaya asuransi.
Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
4 Kebutuhan untuk merawat lingkungan pemrosesan terkendali telah dipahami dengan baik, hal tersebut tercermin pada struktur organisasi dan alokasi anggaran. Daya pemulihan sumberdaya pemrosesan digabungkan ke dalam proses manajemen resiko organisasi.
Perencanaan dibentuk untuk keseluruhan organisasi, terdapat pengujian terintegrasi dan teratur serta hal-hal yang dipelajari digabungkan ke dalam revisi rencana. Mekanisme kendali standar ditujukan untuk membatasi akses ke fasilitas dan menangani faktor keamanan dan lingkungan. Kebutuhan keamanan fisik dan lingkungan telah terdokumentasi, akses diawasi dan dikendalikan secara ketat.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola fasilitas.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan fasilitas untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan fasilitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggung jawab dan kepemilikan telah dibentuk dan dikomunikasikan. Staf fasilitas telah sepenuhnya dilatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan.
Manajemen mengawasi efektivitas kendali dan kepatuhan dengan standar yang berlaku.
278
Informasi yang terintegrasi digunakan untuk mengoptimalkan cakupan asuransi dan biaya yang terkait.
5 Terdapat rencana jangka panjang untuk fasilitas yang diperlukan untuk mendukung lingkungan pemrosesan organisasi.
Standar telah didefinisikan untuk seluruh fasilitas, mencakup pemilihan lokasi, konstruksi, penjagaan, keamanan personil, sistem listrik dan mekanik, serta perlindungan dari kebakaran, petir dan banjir. Seluruh fasilitas diinventaris dan diklasifikasikan menurut proses manajemen resiko yang dijalankan di organisasi. Strategi dan standar fasilitas disesuaikan dengan sasaran ketersediaan layanan TI dan diintegrasikan dengan perencanaan kelangsungan bisnis
Lingkungan diawasi dan dikendalikan melalui peralatan khusus dan akses ke ruangan peralatan dibatasi dengan ketat. Program perawatan preventif menekankan kepatuhan pada jadwal dan pengujian reguler diterapkan untuk peralatan yang sensitif.
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen fasilitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan
Tanggung jawab pengelolaan fasilitas ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Manajemen mereview dan mengoptimalkan fasilitas secara kontinu, menekankan pada kesempatan untuk meningkatkan kontribusi bisnis.
279
dan manajemen krisis. Akses dikendalikan berdasarkan basis kebutuhan kerja, diawasi secara kontinu dan pengunjung selalu dipandu.
panduan.
280
Matriks Atribut Kematangan pada Proses Mengelola Operasi (DS13) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Organisasi tidak mengalokasikan waktu dan sumberdaya untuk aktifitas dasar operasi dan dukungan TI.
Tidak ada kebijakan, standar dan prosedur untuk mengelola operasi.
Tidak ada perangkat untuk mengelola operasi.
Tidak ada pelatihan untuk mengelola operasi.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola operasi.
Tidak ada penentuan dan pengukuran pencapaian dalam mengelola operasi.
1 Organisasi menyadari kebutuhan untuk menstrukturkan fungsi dukungan TI.
Tidak ada prosedur standar dan aktifitas operasi bersifat reaktif. Sebagian besar operasi tidak terjadwal secara formal dan permintaan pemrosesan diterima tanpa melakukan validasi. Waktu akan terbuang ketika pegawai menunggu tersedianya sumberdaya.
Komputer yang mendukung proses bisnis seringkali terganggu, tertunda atau tidak tersedia. Sistem tidak stabil atau tidak tersedia dan media keluaran terkadang muncul secara tidak diharapkan atau tidak muncul sama sekali.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola operasi dan belum ada pelatihan formal dilakukan
Tanggungjawab manajemen operasi masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan pengelolaan operasi belum jelas dan belum ada pengukuran.
2 Organisasi memiliki kepedulian penuh terhadap peran utama yang dijalankan operasi TI dalam
Operasi dukungan TI bersifat informal dan intuitif. Tidak ada standar pengoperasian dan
Anggaran untuk perangkat dialokasikan berdasarkan kasus per kasus.
Terdapat ketergantungan yang tinggi pada kemampuan dan keahlian individu.
Kepemilikan dan tanggungjawab atas pengelolaan operasi secara informal telah diterapkan oleh
Manajemen tidak mengukur jadwal yang dipenuhi oleh operasi TI atau menganalisa
281
menyediakan fungsi dukungan TI. Organisasi juga mengkomunikasikan kebutuhan untuk melakukan koordinasi antara pengguna dan pengoperasian sistem.
tidak ada pelatihan operator secara formal. Instruksi tentang apa yang akan dilakukan, kapan dan bagaimana urutan pelaksanaannya tidak terdokumentasi.
perorangan. Bila terjadi permasalahan terkait dengan pengelolaan operasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
penundaan.
3 Kebutuhan manajemen pengoperasian komputer dipahami dan diterima dalam organisasi.
Sumberdaya telah dialokasikan dan terdapat beberapa on-the-job training. Fungsi yang berulang didefinisikan, didokumentasikan dan dikomunikasikan secara formal ke personil operasi dan pelanggan. Kendali yang ketat dilakukan setelah menempatkan pekerjaan baru pada operasi dan kebijakan formal digunakan untuk mengurangi jumlah kejadian yang
Penggunaan penjadwalan terotomasi dan perangkat lainnya diperluas dan distandarisasi untuk membatasi intervensi operator.
Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Aktifitas dukungan TI lainnya telah diidentifikasi dan tugas-tugas yang terkait dengan tanggung jawab tersebut telah didefinisikan.
Kejadian dan hasil tugas yang telah diselesaikan direkam, namun pelaporan ke pihak manajemen dibatasi atau tidak ada.
282
tidak terjadwal. Kesepakatan layanan dan perawatan dengan vendor masih bersifat informal.
4 Kebutuhan bagi Pengelolaan operasi secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan operasi.
Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan cepat. Terdapat kesepakatan layanan dan perawatan formal dengan vendor. Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan sumberdaya manusia.
Manajemen mengawasi penggunaan sumberdaya komputer dan penyelesaian pekerjaan atau tugas yang telah ditetapkan. Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu.
Pelatihan telah dijalankan dan diformalkan, sebagai bagian dari pengembangan karir.
Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya ditetapkan. Jadwal dan tugas telah didokumentasikan dan dikomunikasikan ke fungsi TI dan klien bisnis.
Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error. Pengukuran dan pengawasan aktifitas harian dapat dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi.
5 Kebutuhan pengelolaan operasi dan pemahaman atas langkah yang diperlukan telah dipahami dan diterima di organisasi.
Operasi pendukung TI bersifat efektif, efisien dan cukup fleksibel untuk memenuhi kebutuhan tingkat layanan dengan cepat dan tanpa kehilangan
Peralatan dianalisa berdasarkan usia dan gejala kerusakan serta perawatan bersifat preventif, seluruh hal tersebut dilakukan bersama-sama dengan
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan.
Tanggung jawab pengelolaan operasi ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara
Proses manajemen TI operasioal distandarisasi dan didokumentasikan dalam sebuah basis pengetahuan dan ditujukan untuk
283
Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola operasi yang juga merupakan peluang pengembangan kedepan.
produktivitas. Pertemuaan berkala dengan manajemen perubahan memastikan dicakupnya perubahan dalam jadwal produksi.
vendor. Proses terotomasi yang mendukung sistem beroperasi dengan sempurna dan berkontribusi ke lingkungan yang stabil yang transparan dan dapat digunakan oleh pengguna, sehingga memungkinkan pengguna untuk memaksimalkan kesesuaian kebutuhannya dengan operasi TI.
Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf pengelolaan operasi telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
peningkatan secara kontinu. Seluruh permasalahan dan kegagalan dianalisa untuk mengidentifikasi akar permasalahan.
284
Matriks Atribut Kematangan pada Proses Melakukan Pengawasan Proses (M1) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Kebutuhan untuk memahami tujuan proses dengan jelas tidak diketahui.
Organisasi tidak menerapkan proses pengawasan. TI tidak melakukan pengawasan proyek atau proses secara independen.
Tidak ada perangkat untuk melakukan pengawasan proses.
Tidak ada pelatihan untuk melakukan pengawasan proses.
Tidak ada tanggung jawab dan akuntabilitas dalam melakukan pengawasan proses.
Tidak ada pelaporan yang akurat, berkala dan bermanfaat.
1 Manajemen menyadari kebutuhan untuk mengumpulkan dan menilai informasi tentang proses pengawasan.
Pengawasan diterapkan secara reaktif pada insiden yang menyebabkan kerugian dan menurunnya citra organisasi. Pengawasan diterapkan oleh fungsi layanan informasi untuk dimanfaatkan oleh departemen lainnya, namun tidak diterapkan di seluruh proses-proses TI. Proses penilaian dan pengumpulan standar belum teridentifikasi.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software
Belum ada dalam perencanaan adanya pelatihan dalam melakukan pengawasan proses dan belum ada pelatihan formal dilakukan
Tanggungjawab melakukan pengawasan proses masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Pengawasan telah diterapkan dan metrik dipilih berdasarkan kasus per kasus, sesuai dengan kebutuhan dari proses-proses dan proyek TI yang spesifik. Definisi dan pengukuran pengawasan proses mengikuti pendekatan kendali internal dan operasi keuangan tradisional, tanpa memenuhi
285
kebutuhan fungsi layanan informasi secara spesifik.
2 Fungsi layanan informasi dikelola sebagai pusat biaya, tanpa menilai kontribusinya terhadap entitas penghasil keuntungan bagi organisasi.
Penanganan pengawasan proses telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
Perangkat yang dipilih dan digunakan untuk memperoleh informasi masih terbatas dan mungkin tidak digunakan sepenuhnya karena kurangnya kepakaran dalam fungsionalitasnya. Teknik dan metode penilaian dan pengumpulan telah didefinisikan, namun proses-proses belum diadopsi di seluruh organisasi.
Fungsi perencanaan dan manajemen dibuat untuk menilai proses pengawasan, namun keputusan dibuat berdasarkan kepakaran personil utama.
Tanggung jawab pengawasan proses secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengawasan proses, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
Pengukuran dasar yang akan diawasi telah diidentifikasi.
3 Manajemen telah mengkomunikasikan dan menerapkan proses pengawasan standar.
Penilaian masih dilakukan pada proses TI individu dan tingkatan proyek namun tidak terintegrasi di seluruh proses.
Perangkat untuk mengawasi proses TI internal dan tingkat layanan telah diterapkan.
Program pendidikan dan pelatihan untuk pengawasan telah diterapkan. Telah dikembangkan sebuah basis pengetahuan mengenai informasi
Tanggungjawab Pengawasan proses telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab.
Pengukuran kinerja spesifik TI telah didefinisikan dan diterapkan, namun pengukuran strategis dan non finansial masih bersifat informal. Pengukuran
286
kinerja historis.
Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
kepuasan pelanggan dan tingkat layanan disediakan bagi entitas pengoperasian organisasi yang sedang menerapkannya. Pengukuran kontribusi fungsi layanan informasi terhadap kinerja organisasi telah didefinisikan menggunakan kriteria operasional dan keuangan tradisional.
4 Manajemen telah mendefinisikan toleransi terhadap proses yang harus dioperasikan.
Pendasaran hasil pengawasan telah distandarisasi dan dinormalisasikan. Terdapat integrasi metrik di seluruh proyek dan proses TI.
Sistem pelaporan manajemen fungsi layanan informasi telah diformalkan dan sepenuhnya terotomasi. Perangkat otomasi diintegrasikan dan digunakan di organisasi untuk mengumpulkan dan mengawasi informasi
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengawasan proses untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengawasan proses telah dilakukan sesuai
Tanggungjawab dan kepemilikan pada pengawasan proses didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan
Sebuah framework telah didefinisikan untuk mengidentifikasi KGI, KPI dan CSF yang berorientasi strategis untuk mengukur kinerja. Kriteria untuk mengevaluasi pengembangan organisasi
287
operasional dari aplikasi, sistem dan proses.
dengan rencana dan Sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
berdasarkan model kematangan telah didefinisikan. Ukuran kinerja fungsi layanan informasi mencakup kriteria pembelajaran organisasi dan pelanggan, operasional dan keuangan yang memastikan kesesuaian dengan pencapaian organisasi.
5 Kebutuhan pengawasan proses dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional
Seluruh proses pengawasan dioptimalkan dan mendukung tujuan organisasi. Sebuah proses peningkatan kualitas secara kontinu dikembangkan untuk memperbaharui standar dan kebijakan pengawasan organisasi dan menjadikanya pelaksanaan terbaik industri.
Perangkat yang canggih digunakan dengan otomasi pengawasan proses secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf
Tanggung jawab pengawasan proses ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Benchmarking terhadap industri dan kompetitor utama telah diformalkan dengan kriteria perbandingan yang dipahami dengan baik. KGI, KPI dan CSF digunakan secara rutin untuk mengukur kinerja dan diintegrasikan kedalam framework penilaian strategis
288
maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan.
Pengawasan proses dan desain ulang yang sedang berjalan konsisten dengan rencana yang dikembangkan berdasarkan model kematangan proses dan dengan rencana pengembangan proses bisnis organisasi.
pengawasan proses telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
seperti IT Balanced Scorecard.
289
Matriks Atribut Kematangan pada Proses Menilai Ketersediaan Kontrol Internal (M2) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Tidak ada kepedulian atas jaminan kendali internal dan keamanan operasional TI. Manajemen dan pegawai tidak memiliki kepedulian yang cukup akan kendali internal.
Organisasi tidak memiliki prosedur untuk mengawasi efektifitas kendali internal.
Tidak ada perangkat untuk menilai ketersediaan kontrol internal.
Tidak ada pelatihan untuk menilai ketersediaan kontrol internal.
Tidak ada tanggung jawab dan akuntabilitas dalam menilai ketersediaan kontrol internal.
Tidak ada metode pelaporan kendali internal manajemen.
1 Organisasi tidak memiliki komitmen manajemen yang cukup untuk standar keamanan operasional dan jaminan kendali internal.
Kendali internal TI dilakukan sebagai bagian dari audit finansial tradisional, dengan metodologi dan keahlian yang tidak mencerminkan kebutuhan fungsi layanan informasi.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Kepakaran individu dalam menilai kecukupan kendali internal diterapkan secara ad-hoc.
Manajemen TI tidak menetapkan tanggung jawab untuk mengawasi efektifitas kendali internal secara formal.
Tujuan menilai ketersediaan kontrol internal belum jelas dan belum ada pengukuran.
2 Organisasi memiliki peningkatan kepedulian mengenai pengawasan kendali internal. Faktor resiko yang
Manajemen layanan informasi melakukan pengawasan terhadap efektifitas kendali internal utama secara teratur.
Metodologi dan perangkat yang spesifik untuk lingkungan TI mulai digunakan namun tidak secara
Proses perencanaan dan manajemen terdefinisikan, namun penilaian bergantung pada keahlian personil-
Tanggungjawab untuk pengawasan kendali internal secara informal telah diterapkan oleh perorangan. Bila
Manajemen mulai mengembangkan metrik dasar.
290
spesifik terhadap lingkungan TI telah didefinisikan.
Organisasi menggunakan laporan kendali informal untuk mengawali inisiatif tindakan korektif. Kendali keamanan diawasi dan hasilnya direview secara teratur.
konsisten.
personil utama. Staf TI yang memiliki keahlian berpartisipasi secara rutin dalam penilaian kendali internal.
terjadi permasalahan terkait dengan pengawasan kendali internal, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan
3 Manajemen memberikan dukungan dan telah menerapkan pengawasan kendali internal.
Kebijakan dan prosedur telah dikembangkan untuk menilai dan melaporkan aktifitas pengawasan kendali internal. Review detail untuk pengawasan kendali internal telah dilakukan. Kebijakan penilaian resiko proses TI digunakan dalam framework kendali yang dikembangkan secara khusus untuk organisasi TI. Fungsi layanan sistem informasi
Perangkat sudah digunakan namun tidak dirasa perlu untuk diintegrasikan ke dalam seluruh proses.
Sebuah basis pengetahuan metrik untuk informasi historis dari pengawasan kendali internal sedang dikembangkan. Sebuah program pendidikan dan pelatihan untuk pengawasan kendali internal telah diterapkan.
Tanggungjawab pengawasan kendali internal telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Penilaian mandiri dan review jaminan kendali internal telah dikembangkan di seluruh keamanan operasional dan jaminan kendali internal serta melibatkan manajemen fungsi layanan informasi untuk bekerja dengan manajer bisnis.
291
mengembangkan kemampuan kendali internal TI yang berorientasi teknis untuk digunakan olehnya.
4 Kebutuhan menilai ketersediaan kontrol internal secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam menilai ketersediaan kontrol internal.
Organisasi mengembangkan tingkatan toleransi untuk proses pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan mitigasi didefinisikan untuk seluruh fungsi layanan informasi.
Perangkat yang menjadi semakin terotomasi dan terintegrasi digunakan dalam proses review kendali internal, dengan peningkatan penggunaan kendali dan analisis kuantitatif.
Sebuah fungsi kendali formal untuk internal TI telah dibentuk, dengan profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang disahkan oleh manajemen senior.
Tanggungjawab untuk menilai ketersediaan kontrol internal didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Manajemen telah mengembangkan benchmarking dan pencapaian kuantitatif untuk proses review kendali internal. Benchmarking terhadap standar industri dan pengembangan pelaksanaan terbaik sedang diformalkan.
5 Kebutuhan untuk menilai ketersediaan kontrol internal dan pemahamannya atas
Manajemen telah mengembangkan program peningkatan secara kontinu bagi
Organisasi menggunakan perangkat state of the art yang terintegrasi
Sharing pengetahuan telah diformalkan dan program pelatihan
Tanggung jawab untuk menilai ketersediaan kontrol internal ditetapkan
Framework kendali TI tidak hanya melibatkan permasalahan teknis,
292
langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam menilai ketersediaan kontrol internal yang juga merupakan peluang pengembangan kedepan.
organisasi yang mempertimbangkan hal-hal yang dipelajari dan pelaksanaan terbaik industri untuk pengawasan kendali internal.
dan diperbaharui apabila diperlukan.
formal yang spesifik untuk fungsi layanan informasi telah diterapkan.
secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
namun terintegrasi dengan metodologi dan framework organisasi untuk memastikan konsistensi dengan pencapaian organisasi.
293
Matriks Atribut Kematangan pada Proses Memperoleh Jaminan Independen (M3) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Tidak ada kepedulian dan komunikasi untuk memperoleh jaminan independen.
Kebijakan keamanan tidak diterapkan. Manajemen tidak menjalankan program sertifikasi atau penjaminan. Organisasi tidak memiliki proses penjaminan yang sesuai.
Tidak ada perangkat untuk memperoleh jaminan independen.
Tidak ada pelatihan untuk memperoleh jaminan independen.
Tidak ada tanggung jawab dan akuntabilitas dalam memperoleh jaminan independen.
SLA belum dikembangkan dan proses tidak terukur.
1 Organisasi mulai menyadari adanya kebutuhan untuk memperoleh jaminan independen. Proses memperoleh jaminan independen.merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan.
Sertifikasi dan penjaminan dikendalikan oleh hal-hal seperti perubahan regulasi, kebutuhan atau permintaan pelanggan. Organisasi mengelola proses-proses TI secara independen. Proses penjaminan dan sertifikasi ditujukan atas dasar pengecualian.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Proses penjaminan dilakukan secara reaktif melalui penugasan atau oleh spesialis teknis yang tidak memiliki keahlian penjaminan khusus.
Tanggungjawab untuk memperoleh jaminan independen masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan memperoleh jaminan independen belum jelas dan belum ada pengukuran yang dilakukan.
294
2 Manajemen senior mendukung dan memiliki komitmen atas jaminan independen.
Persyaratan penjaminan masih terkait dengan persyaratan dan kebutuhan bisnis serta dipicu oleh fungsi layanan sistem informasi. Proses untuk memilih sumberdaya internal atau eksternal sedang diformalisasi. Manajemen fungsi layanan informasi telah menerapkan proses-proses untuk mengelola aktifitas penjaminan. Fungsi layanan informasi memberikan penilaian resiko untuk mengidentifikasi resiko keamanan sistem. Manajemen resiko sebagai bagian dari manajemen fungsi layanan informasi, memicu program sertifikasi dan penjaminan.
Metode dan teknik dikembangkan untuk sertifikasi dan penjaminan dan sedang dilakukan benchmarking untuk mengembangkan pelaksanaan terbaik.
Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam memperoleh jaminan independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
Tanggung jawab untuk memperoleh jaminan independen secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan memperoleh jaminan independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
Aktivitas pengawasan dalam memperoleh jaminan independen mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan.
3 Manajemen telah melakukan review
Organisasi telah mendefinisikan dan
Adanya rencana penggunaan
Telah dikembangkan basis
Proses-proses utama TI telah disertifikasi.
Beberapa tujuan dan pengukuran
295
partisipatif terhadap seluruh tindakan penjaminan. Manajemen diluar fungsi layanan informasi telah teribat secara proaktif dalam review penjaminan dan sertifikasi.
menerapkan proses-proses untuk aktivitas penjaminan TI dan kriteria untuk menggunakan sumberdaya internal dan eksternal berdasarkan tingkat kepakaran, sensitivitas dan independensi yang diperlukan. Proses penjaminan mencakup persyaratan legal dan regulasi, kebutuhan sertifikasi, efektifitas organisasi secara umum dan identifikasi pelaksanaan terbaik.
perangkat standar untuk melakukan otomasi dalam memperoleh jaminan independen. Telah digunakan beberapa perangkat untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi.
pengetahuan untuk pelaksanaan terbaik sertifikasi dan pelaksanaan.
Persyaratan penjaminan telah dikembangkan untuk proses-proses TI.
dalam memperoleh jaminan independen telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
4 Kebutuhan bagi memperoleh jaminan independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan
Manajemen telah menerapkan proses-proses penjaminan untuk memastikan bahwa proses-proses TI telah teridentifikasi dan memiliki perencanaan penjaminan spesifik. Proses penjaminan dikelola dan dikendalikan secara
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang
Manajemen menggunakan hal-hal yang dipelajari dari proses-proses sertifikasi dan penjaminan untuk meningkatkan proses-proses lainnya, berdasarkan hal-hal yang telah dipelajari.
Tanggungjawab dalam memperoleh jaminan independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan
Kriteria biaya/manfaat untuk melakukan penilaian berbasis internal/eksternal telah didefinisikan.
296
untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam memperoleh jaminan independen.
kuantitatif. Proses-proses TI direview dalam konteks proses bisnis yang didukungnya.
lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam memperoleh jaminan independen.
Basis pengetahuan digunakan untuk memastikan bahwa pelaksanaan terbaik digunakan dalam proses-proses yang baru dan untuk melakukan benchmark pada proses-proses lainnya. Sebuah proses formal ditujukan untuk memastikan kompetensi fungsi penjaminan dengan mengevaluasi keseimbangan antara keahlian dan pengetahuan yang tersedia secara internal/eksternal secara kontinu.
perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
5 Manajemen telah mengembangkan kemampuan untuk dengan cepat mengintegrasikan hasil kegiatan penjaminan dan
Terdapat strategi yang terdefinisi secara formal, didukung oleh manajemen senior, untuk mengembangkan kepatuhan terhadap standar nasional dan
Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan.
Tanggung jawab untuk memperoleh jaminan independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta
Manajemen telah menerapkan ukuran untuk memastikan bahwa seluruh proses bisnis kritis memiliki proses penjaminan di
297
sertifikasi kedalam proses-proses di organisasi.
internasional dan untuk memperoleh sertifikasi yang dipandang sebagai sumber pengakuan dan keuntungan kompetitif. Organisasi telah memiliki program peningkatan secara kontinu untuk proses penjaminan dan sertifikasi yang menggambarkan pelaksanaan terbaik industri.
digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk memperoleh jaminan independen telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
seluruh infrastruktur TI pendukungnya. Efektivitas penyedia layanan pihak ketiga dan hubungan dengan rekan bisnis dievaluasi secara rutin.
298
Matriks Atribut Kematangan pada Proses Melakukan Audit Independen (M4) Kepedulian dan
komunikasi Kebijakan, standar dan
prosedur Perangkat dan
otomasi Keahlian dan
kepakaran Tanggung jawab dan
akuntabilitas Penentuan dan
pengukuran pencapaian
0 Manajemen tidak memiliki kepedulian akan pentingnya fungsi audit independen.
Audit independen tidak dilakukan. Tidak ada kebijakan, standar dan prosedur untuk melakukan audit independen.
Tidak ada perangkat untuk melakukan audit independen.
Tidak ada pelatihan untuk melakukan audit independen.
Tidak ada tanggung jawab dan akuntabilitas dalam melakukan audit independen.
Tidak ada penentuan dan pengukuran pencapaian melakukan audit independen.
1 Organisasi mulai menyadari adanya kebutuhan untuk melakukan audit independen. Proses audit independen merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan. Keterlibatan manajemen masih sangat minim.
Sebuah fungsi audit TI informal telah dilakukan dengan disertai review independen secara berkala. Tidak ada perencanaan keseluruhan untuk melakukan audit independen dan tidak ada koordinasi antara setiap review.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Perencanaan, pengelolaan dan pelaporan audit independen didasarkan pada kepakaran individu.
Tanggungjawab Untuk melakukan audit independen masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Kualitas perencanaan dan pelaksanaan layanan audit sangat rendah, dengan hasil yang beragam.
2 Perhatian dan keterlibatan manajemen TI pada
Keberadaan fungsi audit independen diakui manajemen
Telah digunakannya perangkat untuk membantu proses
Kebutuhan keahlian minimal telah diidentifikasi untuk
Tanggung jawab untuk melakukan audit independen
Koordinasi antara pelaksanaan audit masih sangat minim
299
proses audit tidak konsisten dan tergantung pada kualitas yang diperoleh dari tim audit khusus.
sebagai sesuatu yang bermanfaat, namun tidak ada kebijakan tertulis untuk mendefinisikan tujuan, otoritas, dan tanggung jawab. Manajemen senior tidak mengembangkan sebuah infrastruktur dan proses untuk memastikan bahwa audit independen dilakukan secara teratur.
audit independen sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
menangani permasalahan kritis dalam melakukan audit independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan dalam melakukan audit independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
dan tindak lanjut dari temuan pada audit sebelumnya masih terbatas.
3 Manajemen audit telah mengidentifikasi dan memahami inisiatif dan lingkungan TI. Manajemen TI perduli terhadap kebutuhan untuk melakukan audit independen.
Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit. Sebuah proses dilakukan untuk merencanakan dan mengelola audit. Staf audit diharapkan dapat mematuhi standar audit, namun hasilnya dapat bervariasi.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Manajemen TI tidak selalu terpuaskan dengan kualitas yang diberikan dan tidak memiliki kepercayaan bahwa fungsi audit memiliki pengetahuan yang cukup untuk membuat rekomendasi yang valid.
Tanggungjawab untuk melakukan audit independen telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Resolusi atas komentar audit telah dilakukan, namun seringkali terdapat tindak lanjut dan penyelesaian yang buruk. Elemen dasar dari jaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan
300
Fungsi TI, keuangan dan audit proses tidak terintegrasi.
untuk meningkatkan efektivitas dari aktivitas fungsi audit.
4 Kebutuhan untuk melakukan audit independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam melakukan audit independen. Manajemen TI umumnya dilibatkan secara positif dalam keseluruhan proses audit.
Proses audit dapat disesuaikan dengan kesepakatan khusus. Perencanaan audit berbasis resiko strategis dan operasional telah dilakukan, berdasarkan pada penilaian kebutuhan saat ini dan di masa depan. Perencanaan audit individu dikembangkan berdasarkan siklus perencanaan operasional dan ketersediaan sumberdaya. Audit dikoordinasikan dan diintegrasikan dengan audit proses dan keuangan yang terkait. Fungsi jaminan kualitas yang terstruktur memfasilitasi manajemen kuantitatif
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam melakukan audit independen.
Telah dibentuk dasar pengetahuan proses dan dikembangkan untuk memastikan bahwa penilaian kualitas dapat dilakukan dan dihasilkan rekomendasi yang berguna.
Tanggungjawab untuk melakukan audit independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Hasil dilaporkan pada manajemen dan dilakukan tindak lanjut untuk memastikan bahwa manajemen telah mengambil tindakan korektif pada permasalahan kritis yang diidentifikasi melalui audit. Hasil audit digunakan untuk meningkatkan kinerja.
301
dan kendali proses audit. Fungsi audit TI dilibatkan dalam pengembangan tindakan korektif dan dalam pelaksanaan proyek untuk memastikan bahwa kendali dibuat ke dalam proses.
5 Fungsi audit independen mampu segera merespon kepedulian manajemen yang terkait dengan proses bisnis dan permasalahan resiko kendali TI organisasi secara kontinu.
Perencanaan audit sangat terintegrasi dengan strategi bisnis dan TI. Proses-proses audit diawasi dan dianalisa untuk melakukan perbaikan dalam menyesuaikan terhadapa kondisi lingkungan yang selalu berubah-ubah. Audit dilibatkan dalam pengembangan perencanaan bisnis dan dalam semua proyek yang mendukung perencanaan bisnis, untuk memastikan
Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran
Tanggung jawab untuk melakukan audit independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Aktivitas pengawasan kuantitatif dimasukkan dalam komunitas audit dan mempertimbangkan state of the art pelaksanaan terbaik industri dan kecenderungan eksternal dalam menyesuaikan proses audit. Hasil audit dikonsultasikan di seluruh proyek sebagai saran bagi bisnis dan kendali.
302
bahwa kendali yang sesuai dilakukan ke dalam seluruh proses.
mendukung external best practices serta telah menggunakan konsep dan teknik terkini.
303
Rencana Perubahan
Ringkasan Eksekutif
Bagian ini akan membahas mengenai rencana perubahan dalam melakukan
implementasi tata kelola TI di PT. Surveyor Indonesia.
Pendahuluan dan Latar Belakang
Dalam implementasi proyek umumnya terdapat hal-hal yang menyimpang dari target
jadwal pelaksanaan dan biaya maupun kualitas yang telah direncanakan. Oleh karena
itu perlu disusun sebuah rencana perubahan untuk mengantisipasi terjadinya
penyimpangan-penyimpangan tersebut. Prosedur dan strategi manajemen perubahan
dilakukan untuk mengantisipasi hal-hal berikut ini :
a. Penyesuaian ataupun perbaikan dan kebutuhan-kebutuhan organisasi atau
stakeholder.
b. Penyesuaian terhadap resiko-resiko yang telah diidentifikasi dalam perencanaan
proyek.
c. Perubahan dari target penyelesaian maupun pembiayaan proyek.
d. Kesulitan maupun hambatan-hambatan yang tidak terdeteksi pada saat
perencanaan.
Ringkasan tujuan bisnis
Tujuan bisnis dari perencanaan perubahan adalah untuk mengantisipasi terjadinya
penyimpangan, error dan perubahan yang tidak diharapkan.
Kebutuhan migrasi
Migrasi pengoperasian sistem akan dilakukan sesuai dengan kebutuhan dan akan
dikomunikasikan kepada seluruh pihak yang terlibat.
Konversi
Konversi dalam pengoperasian sistem sedapat mungkin dicegah dan hanya akan
dilakukan apabila diperlukan.
304
Pengujian
Perubahan yang direncanakan harus melalui sebuah tahapan pengujian untuk
mengetahui resiko yang akan dihadapi dari pelaksanaan perubahan tersebut.
Pelatihan
Pelatihan akan dilakukan apabila terdapat perubahan yang memerlukan keahlian
spesifik dalam melakukan pengoperasian.
Rekayasa ulang proses
Rekayasa ulang proses pengoperasian dilakukan dengan mengeliminasi proses-proses
yang tidak memiliki nilai tambah (added value) pada prosedur pengoperasian yang
baru.
305
Pelaporan kinerja
Ringkasan eksekutif
Bagian ini akan membahas mengenai pelaporan kinerja dari proyek implementasi tata
kelola IT di PT. Surveyor Indonesia.
Pendahuluan dan Latar Belakang
Peningkatan kinerja dalam proyek implementasi tata kelola TI dapat diawasi melalui
pelaporan KGI dan KPI dalam sebuah format balanced scorecard untuk memastikan
bahwa inisiatif tidak menyimpang dari tujuan bisnis dan TI yang sebenarnya dan tetap
menghasilkan manfaat bisnis yang diharapkan.
Ringkasan pencapaian bisnis
Untuk menjaga kualitas pelaksanaan dan kinerja proyek sesuai dengan ketentuan-
ketentuan manajemen proyek yang berlaku secara ketat dan konsisten.
Tujuan di periode sebelumnya
Peningkatan kinerja pengelolaan operasi dengan melakukan penempatan staf
operasional TI di masing-masing unit fungsional.
Ringkasan kinerja di periode sebelumnya
• Pencapaian yang berhasil dicapai
Staf operasional TI yang ditempatkan di masing-masing unit fungsional tersebut
berhasil menangani permasalahan perngoperasian dengan lebih cepat dari
sebelumnya.
• Pencapaian yang gagal dicapai
Preventive maintenance dan network service management hanya dilakukan secara
ad-hoc atau tentatif.
• Pelajaran yang dapat diambil
Tidak adanya koordinasi yang jelas antara staf operasional TI yang bertugas di
masing-masing unit fungsional sehingga penanganan permasalahan maintenance
dan network service management hanya dilakukan secara ad-hoc atau tentatif,
tanpa adanya solusi yang terstruktur dan terdokumentasi.
• Rekomendasi tindakan
306
Setiap staf pengoperasian diharapkan dapat saling berkoordinasi dalam melakukan
penanganan permasalahan sehingga terdapat sebuah prosedur penanganan yang
terstruktur dan terdokumentasi.
• Tindakan yang diterapkan
1. Dibentuk garis koordinasi dan tanggung jawab yang jelas antara staf
operasional di setiap unit fungsional dan seorang koordinator yang
ditempatkan di unit TI.
2. Dokumentasi atas setiap permasalahan pengoperasian yang dihadapi dan
prosedur penanganan yang dilakukan, sehingga memudahkan apabila terjadi
permasalahan serupa.
Rekomendasi untuk program tata kelola
a. Kebutuhan bagi Pengelolaan operasi secara utuh telah dipahami dan tindakan
yang diperlukan sudah diterima secara luas di organisasi.
b. Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan
cepat.
c. Dibuat kesepakatan layanan dan perawatan formal dengan vendor.
d. Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan
sumberdaya manusia.
e. Penggunaan sumberdaya operasi dioptimalkan dan penyelesaian pekerjaan atau
tugas yang telah ditetapkan.
f. Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk
memastikan peningkatan secara kontinu.
g. Pelatihan dijalankan dan diformalkan, sebagai bagian dari pengembangan karir.
h. Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan
jelas dan kepemilikannya ditetapkan.
i. Jadwal dan tugas didokumentasikan dan dikomunikasikan ke fungsi TI dan klien
bisnis.
j. Dilakukan penyesuaian dengan permasalahan dan proses manajemen
ketersediaan yang didukung oleh analisis penyebab kegagalan dan error.
k. Pengukuran dan pengawasan aktifitas harian dilakukan dengan tingkat layanan
dan kesepakatan kinerja yang telah distandarisasi.
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
LAMPIRAN E –KEBIJAKAN DAN PEDOMAN PENGELOLAAN TI
PT. SURVEYOR INDONESIA
I. PENDAHULUAN
Dalam melakukan pengelolaan TI PT. Surveyor Indonesia dibutuhkan sebuah
model pengelolaan yang dapat dijadikan acuan, sesuai dengan strategi dan
tujuan perusahaan dan dapat digunakan untuk mengatasi permasalahan-
permasalahan yang terjadi di PT. Surveyor Indonesia. Usulan model
pengelolaan TI PT. Surveyor Indonesia disusun untuk domain Delivery &
Support dan Monitoring COBIT.
Model pengelolaan TI tidak mencakup seluruh proses-proses yang ada di
kedua domain tersebut. Proses yang akan diprioritaskan dalam model
pengelolaan tersebut akan dipilih berdasarkan proses yang memiliki tingkat
kematangan yang paling kecil dan ekspektasi manajemen yang paling besar.
Hasil pengamatan menunjukkan bahwa proses DS13 (mengelola operasi)
merupakan proses yang memiliki tingkat kematangan yang paling kecil.
Sehingga model pengelolaan TI PT Surveyor Indonesia akan dibuat untuk
proses DS13 tersebut. Kebijakan dan pedoman pengelolaan operasi
merupakan salah satu komponen dari usulan model pengelolaan TI yang
akan diuraikan secara detail dalam dokumen kebijakan ini.
1.1 Tujuan
Tujuan dari pengelolaan TI PT. Surveyor Indonesia adalah untuk
memberikan arahan pemanfaatan TI agar dapat menjamin kinerja TI
dapat memenuhi tujuan penyelarasan TI dengan tujuan PT. Surveyor
Indonesia dan dapat merealisasikan keuntungan yang dijanjikan.
Disamping itu TI juga harus membantu PT. Surveyor Indonesia dalam
menciptakan peluang-peluang baru dan memaksimalkan keuntungan.
Sumberdaya TI harus digunakan secara optimal dan resiko yang
berkaitan dengan TI harus dikelola dengan baik.
Rev : 00 Halaman 1 dari 7
307
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
1.2 Ruang Lingkup
Kebijakan pengelolaan teknologi informasi ini akan digunakan sebagai
acuan dan memberikan arahan kepada seluruh unit dalam pengaturan
dan penggunaan TI dengan mempertimbangkan efektifitas dan
efisiensinya khususnya dalam hal pengelolaan operasi TI di PT.
Surveyor Indonesia.
1.3 Tanggung Jawab dan Wewenang
a. Unit Teknologi Informasi a.1 Sebagai unit pembantu Direksi yang berwenang dan
bertanggung jawab untuk menterjemahkan kebijakan
perusahaan menjadi kebijakan pengelolaan teknologi
informasi, sekaligus menjaga agar pelaksanaan kebijakan
Direksi oleh cabang, SBU, Divisi dan unit lainya tidak
menyimpang dari batasan-batasan yang telah ditetapkan,
khususnya dalam aspek pengelolaan operasi TI.
a.2 Unit TI berwenang dan bertanggung jawab untuk melakukan
pengelolaan terhadap pengoperasian TI di PT. Surveyor
Indonesia.
a.3 Unit TI berwenang melakukan pengawasan dan quality
assurance yang bersifat teknis terhadap pengelolaan operasi
TI di PT. Surveyor Indonesia.
a.4 Seluruh kebijakan pengelolaan operasi ini akan dituangkan
secara detail dalam bentuk SOP (Standard Operating
Procedure).
b. Divisi, Cabang, SBU dan Unit Sebagai pengguna teknologi informasi harus menjalankan kebijakan
pengelolaan teknologi informasi, guna mendukung pencapaian
tujuan perusahaan, baik yang bersifat jangka pendek maupun
jangka panjang.
c. Koordinasi Kerja Dengan Unit Terkait Unit TI wajib berkoordinasi dengan unit kerja terkait dalam
melakukan pengelolaan operasi terutama yang erat hubungannya
dengan tanggung jawab dan wewenang unit kerja tersebut.
Rev : 00 Halaman 2 dari 7
308
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
II. KEBIJAKAN DAN PEDOMAN PENGELOLAAN OPERASI 2.1 Pedoman pemrosesan prosedur operasi dan manual instruksi
2.1.1 Unit TI harus membentuk dan mendokumentasikan prosedur-
prosedur standar untuk operasi-operasi TI, termasuk di dalamnya
prosedur pengoperasian jaringan.
2.1.2 Seluruh solusi dan platform TI yang ada harus dioperasikan
menggunakan prosedur-prosedur tersebut, dan direview secara
berkala untuk tetap memastikan efektifitas dan kesesuaiannya.
Rincian dari pedoman pemrosesan prosedur operasi dan manual instruksi
adalah :
a. Unit TI harus menyusun kebijakan dan prosedur perusahaan
mengenai pengelolaan operasi dan peran sistem informasi dalam
memenuhi pencapaian bisnis
b. Unit TI harus menyusun kebijakan dan prosedur TI mengenai
peran operasional, ekspektasi kinerja, penjadwalan pekerjaan,
permasalahan, pekerjaan sebelum dan sesudahnya, serta off-site
files
e. Unit TI harus melakukan review terhadap beberapa manual
operasi TI dan mengevaluasi kesesuaiannya dengan kebutuhan
prosedur dan kebijakan
f. Operator harus melakukan pengujian prosedur eskalasi
permasalahan
g. Operator harus melakukan pengujian prosedur pengoperasian
sesuai dengan pembagian tanggung jawab
Rev : 00 Halaman 3 dari 7
309
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
h. Operator harus melakukan pengujian prosedur pergantian untuk
memindahkan program pengembangan ke dalam produksi
2.2 Pedoman dokumentasi proses start-up dan operasi lainnya Unit TI harus memastikan bahwa staf operasi telah cukup mengenal dan
tidak meragukan proses start-up dan operasi lainnya dengan
mendokumentasikannya, mengujinya secara berkala dan melakukan
penyesuaian apabila dibutuhkan.
Rincian dari pedoman dokumentasi proses start-up dan operasi lainnya
adalah :
a. Operator harus mendokumentsikan kelengkapan seluruh
pemrosesan, cold start, restart dan recovery
b. Operator harus mendokumentasikan kesesuaian prosedur shut
down dan initial programme load (IPL)
c. Operator harus melakukan pengujian terhadap dokumentasi dan
pengalaman dalam hal proses start-up dan shut down untuk
mengkonfirmasikan bahwa prosedur telah diuji dan diupdate
secara rutin
2.3 Pedoman penjadwalan pekerjaan 2.3.1 Unit TI mengatur penjadwalan pekerjaan, proses dan tugas-
tugas secara berkesinambungan dalam tahapan yang paling
efisien, serta memanfaatkannya untuk memenuhi tujuan yang
ditetapkan dalam SLA.
2.3.2 Penjadwalan awal dan perubahannya harus ditetapkan dengan
baik.
Rincian dari pedoman penjadwalan pekerjaan adalah :
a. Operator harus melakukan pergantian shift dan masa istirahat
dengan tetap menjaga kompetensi
b. Operator harus mengkomunikasikan perubahan shift dan
tanggung jawab dalam shift yang sama
2.4 Pedoman kesesuaian kegiatan operasi dengan jadwal pekerjaan Unit TI harus menyusun prosedur untuk mengidentifikasi, menginvestigasi
dan menyetujui kesesuaian kegiatan operasi sistem dengan jadwal
pekerjaan, yaitu dengan melakukan hal-hal berikut ini :
Rev : 00 Halaman 4 dari 7
310
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
a. Operator harus melakukan pengujian jadwal pemrosesan untuk
memastikan tercapainya kinerja sesuai jadwal
b. Operator harus membuat statistik pemenuhan jadwal untuk
mengkonfirmasikan seluruh kebutuhan operasi
2.5 Pedoman kesinambungan pemrosesan Unit TI harus membuat prosedur untuk menjaga kesinambungan
pemrosesan selama pergantian operator dengan menyediakan
penyerahan aktifitas, pembaharuan status dan pelaporan tanggung
jawab.
Rincian dari pedoman kesinambungan pemrosesan adalah :
a. Operator harus melakukan perawatan untuk seluruh peralatan
secara berkala
b. Operator harus meminta feedback dari user untuk menentukan
pemenuhan komitmen SLA
c. Operator harus mengidentifikasi kasus penghentian pekerjaan
secara abnormal dan menentukan resolusi permasalahan yang
terjadi
d. Operator harus memastikan tercapainya kinerja operasi yang
terkait sesuai dengan aktivitas yang sedang berjalan dan SLA
e. Unit TI harus menentukan tanggung jawab dalam
mengkomunikasikan peluang peningkatan produktivitas kepada
manajemen
f. Operator harus melakukan simulasi perbaikan program dalam
kondisi darurat dan menyusun prosedur restart/recovery untuk
program tersebut
g. Operator harus ekspektasi kinerja dalam hal-hal seperti aturan
vendor, standar organisasi dan SLA
h. Operator harus membuat statistik kinerja untuk kegiatan
operasional yang mencakup hal-hal beikut ini :
− Kapasitas, pemanfaatan dan kinerja hardware dan
peripheral
− Pemanfaatan dan kinerja memori
− Pemanfaatan dan kinerja telekomunikasi
Rev : 00 Halaman 5 dari 7
311
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
i. Operator harus melakukan peningkatan kinerja melalui
penyesuaian terhadap norma kinerja produk, standar kinerja dan
komitmen SLA pengguna yang didefinisikan secara internal
j. Operator harus menyusun prosedur perawatan secara preventif
untuk seluruh peralatan dengan mempertimbangkan saran dari
vendor yang terkait
k. Operator harus melakukan sharing mengenai pengalaman
pelatihan operator serta pergantian shift dan masa istirahat
2.6 Pedoman log operasi Operator harus menyediakan informasi kronologis yang disimpan dalam
log operasi untuk mendukung rekonstruksi, review dan pengujian tahapan
waktu pemrosesan dan aktifitas lainnya yang mendukung atau menyertai
aktivitas pemrosesan.
Rincian dari pedoman log operasi adalah :
a. Operator harus melakukan maintenance, pencatatan dan review
terhadap log operasi secara parsial
b. Operator harus menentukan kebutuhan proses log operasi dan
review manajemen
c. Operator harus menentukan contoh log console untuk
mengidentifikasi akurasi, tren dalam review manajerial dan kinerja
untuk mengatasi permasalahan, serta mengevaluasi eskalasi
permasalahan yang diperlukan
2.7 Pedoman form khusus pengamanan dan perangkat keluaran Unit TI harus menyediakan fasilitas pengamanan fisik yang sesuai dalam
bentuk-bentuk tertentu, seperti instrumen-instrumen tertentu, dan dalam
perangkat keluaran yang sensitif seperti cap tanda tangan, yang
mempertimbangkan pembukuan sumberdaya TI dan form atau barang-
barang yang memerlukan perlindungan khusus dan manajemen
inventaris dengan baik.
Rincian dari pedoman form khusus pengamanan dan perangkat keluaran
adalah :
a. Operator harus melakukan review terhadap statistik kinerja operasi
(peralatan dan personil) untuk memastikan pemanfaatan yang
Rev : 00 Halaman 6 dari 7
312
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
optimal; membandingkan dengan perusahaan sejenis, aturan
vendor, best practice industri dan standar internasional yang tepat
b. Operator harus elakukan pemisahan fisik dan logik antara source
dan object, library pengujian/ pengembangan/produksi dan
prosedur kendali perubahan untuk perpindahan program diantara
library
2.8 Pedoman operasi jarak jauh Prosedur operasi jarak jauh yang spesifik harus mendefinisikan dan
menerapkan sambungan dan pemutusan hubungan ke lokasi yang
berjauhan.
Rincian dari pedoman operasi jarak jauh adalah :
a. Unit TI harus melakukan pengujian interaksi dengan fasilitas
pemrosesan jarak jauh dan fasilitas pemrosesan pusat
b. Unit TI harus menyusun kebijakan dan prosedur TI mengenai
rencana kelangsungan dan operasi fasilitas jarak jauh
III. PENGAWASAN DAN REVISI KEBIJAKAN 3.1 Pengawasan kebijakan
Unit TI harus melakukan pengawasan secara berkala terhadap kepatuhan
atas kebijakan ini.
3.2 Revisi kebijakan Kebijakan ini harus direvisi setiap periode 1 (satu) tahun oleh Unit TI atau
mengikuti kondisi lingkungan bisnis PT. Surveyor Indonesia yang
berakibat terhadap perubahan kebijakan TI.
Rev : 00 Halaman 7 dari 7
313
SURVEYOR INDONESIA UNIT TEKNOLOGI INFORMASI
LAMPIRAN F – CONTOH SOP LOG OPERASI
PROSEDUR LOG OPERASI
NO : UNIT TI-SPO-01
Tanggal terbit 31 Mei 2008
Document Status Master Copy No.
Revisi 00
DISIAPKAN DI REVIEW DISETUJUI
TRAINEE KA. UNIT TI KA.UNIT TI
Catatan: Hanya Controlled copies yang menerima update
No. Dokumen: UNIT IT-SPO-01 No. Revisi: 00 Halaman 1 dari 4
AAmmaannddeemmeenn::
TTaannggggaall PPeerruubbaahhaann
VVeerrssii RRiinncciiaann PPeerruubbaahhaann
DAFTAR DISTRIBUSI
NO 1. PEMEGANG DOKUMEN STATUS
DOKUMEN COPY NO.
01 KA.UNIT TI Master
02 KOORDINATOR OPERASI Copy 1
314
Surveyor Indonesia - UNIT TI Log Operasi
1. Pendahuluan
SOP (Standard Operating Procedure) log operasi merupakan serangkaian instruksi yang memiliki kekuatan sebagai suatu petunjuk atau bersifat direktif dalam melakukan kegiatan log operasi di PT Surveyor Indonesia. SOP log operasi mencakup hal-hal dari log operasi yang memiliki suatu prosedur yang terstandardisasi dengan tetap menjaga efektifitasnya.
2. Tujuan
SOP log operasi bertujuan untuk memberikan panduan dalam melakukan kegiatan log operasi di PT Surveyor Indonesia.
3. Ruang Lingkup
3.1. Batasan-batasan Prosedur
Prosedur ini digunakan sebagai acuan dalam kegiatan log operasi yang harus diterapkan di PT Surveyor Indonesia.
3.2. Tanggung jawab
3.2.1. Kepala UNIT TI bertanggung jawab untuk mengkoordinasikan seluruh kegiatan operasi
3.2.2. Koordinator operasi bertanggung jawab terhadap seluruh kegiatan log operasi
3.2.3. Operator bertanggung jawab terhadap seluruh pelaksanaan teknis log operasi
3.2.4. Administrator bertanggung jawab untuk
melaksanakan pemantauan log operasi
No. Dokumen: UNIT IT-SPO-01 No. Revisi: 00 Halaman 2 dari 4
4.1. UNIT TI : Unit Teknologi Informasi PT. Surveyor Indonesia
4.2. User : pengguna komputer di lingkungan kantor pusat PTSI
4.3. Log operasi : pencatatan mengenai keberhasilan/kegagalan, apa yang telah dikerjakan atau tidak dikerjakan, mengapa, dan kapan dalam pengoperasian sistem
5. Kegiatan Prosedur Log Operasi
5.1. Menentukan prosedur log operasi untuk seluruh operasi sistem di PT. Surveyor Indonesia
5.2. Memastikan log operasi menjamin tersedianya informasi kronologis mengenai keberhasilan/kegagalan, apa yang telah dikerjakan atau tidak dikerjakan, mengapa, dan kapan dalam hal pengoperasian sistem
5.3. Melakukan pemantauan log operasi dilakukan pada saat berlangsungnya operasi oleh administrator
5.4. Melakukan pengecekan log operasi apabila terdapat insiden tertentu atau log failure dalam pengoperasian sistem
5.5. Melakukan evaluasi log operasi pada saat berakhirnya periode pengecekan harian yaitu setiap pukul 17.30
5.6. Menyerahkan laporan log operasi pada setiap hari jumat setiap minggunya dan ditujukan langsung kepada koordinator operasi yang telah ditunjuk untuk dipertanggung jawabkan kepada Kepala Unit TI
No. Dokumen: UNIT IT-SPO-01 No. Revisi: 00 Halaman 3 dari 4
316
Surveyor Indonesia - UNIT TI Log Operasi
6. Dokumen lain yang terkait
6.1. Diagram pengoperasian
6.2. Jadwal operasi
6.3. Ketentuan log operasi
7. Komunikasi
User dapat melakukan kontak langsung kepada Unit TI di alamat : Unit Teknologi Informasi PT Surveyor Indonesia
Adhi Graha 6th floor Jl. Jenderal Gatot Subroto Kav. 56 Jakarta 12950 Telepon : (021) 5265526 ext. 604 Fax (021) 5265525 E-mail : [email protected]
No. Dokumen: UNIT IT-SPO-01 No. Revisi: 00 Halaman 4 dari 4
