Bab IV Usulan Model Pengelolaan Teknologi Informasi PT. Surveyor Indonesia
IV.1
Rekomendasi Untuk Mengatasi Gap Kematangan Proses TI
Rekomendasi untuk mengatasi perbedaan (gap) tingkat kematangan merupakan tindakan-tindakan yang perlu dilakukan pada setiap proses TI di PT. Surveyor Indonesia yang memiliki tingkat kematangan saat ini (current maturity level) dibawah tingkat kematangan yang diharapkan (expected maturity level). Upaya pemberian rekomendasi dilakukan dengan mengacu pada matriks atribut kematangan yang terdapat pada implementasi tata kelola TI di Lampiran D. Tindakan-tindakan peningkatan tingkat kematangan yang direkomendasikan disesuaikan dengan atribut kematangan yang berada pada baris tingkat kematangan yang akan dituju.
Pemberian rekomendasi untuk mengatasi gap tingkat kematangan diarahkan pada tahapan-tahapan yang harus dilalui dalam mencapai tingkat kematangan yang diharapkan. Pemberian rekomendasi tingkat kematangan untuk proses TI yang memiliki tingkat kematangan 1 akan diarahkan untuk pencapaian menuju ke tingkat kematangan 2, kemudian dilanjutkan ke tingkat kematangan 3, dan pada akhirnya menuju ke tingkat kematangan 4, demikian pula halnya untuk prosesproses yang memiliki tingkat kematangan lainnya. Rekomendasi untuk mengatasi gap tingkat kematangan pada proses-proses pengelolaan TI PT. Surveyor Indonesia dapat dilakukan melalui kegiatan-kegiatan berikut ini.
Domain Delivery & Support DS3 Mengelola kinerja dan kapasitas Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan kinerja dan kapasitas.
b.
Pengadaan proses dan perangkat untuk mengukur kinerja dan kapasitas sistem dan membandingkannya dengan tingkat layanan yang telah didefinisikan.
55
56
c.
Otomasi perangkat untuk mengawasi sumberdaya spesifik seperti disk penyimpanan, server jaringan dan network gateways.
d.
Update kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi.
e.
Diselenggarakan pelatihan formal untuk staf yang terkait dengan pengelolaan kinerja dan kapasitas sesuai dengan rencana dan melakukan sharing pengetahuan dan diikuti evaluasi terhadap efektivitas rencana pelatihan.
f.
Tanggungjawab dan kepemilikan pada pengelolaan kinerja dan kapasitas ditetapkan dan dikomunikasikan dengan jelas untuk mendukung pemilik proses dalam menjalankan perannya dengan baik.
g.
Statistik kinerja dilaporkan dalam proses bisnis, sehingga pengguna akhir dapat memahami tingkat layanan TI. Statistik kinerja diberikan secara terstandarisasi dan memberitahukan terjadinya insiden seperti kekurangan dalam kapasitas atau hasil.
DS4 Memastikan layanan yang berkelanjutan Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Dilakukannya komunikasi mengenai kebutuhan layanan yang berkelanjutan secara konsisten.
b.
Dokumentasi rencana yang didasarkan pada kepentingan sistem dan dampak bisnis.
c.
Dilakukannya pelaporan periodik mengenai pengujian layanan yang berkelanjutan.
d.
Digunakannya
komponen
yang
memiliki
ketersediaan
tinggi
dan
diterapkannya redundansi sistem. e.
Inventaris sistem dan komponen utama dijaga secara ketat.
f.
Individu mengikuti standar layanan dan menerima pelatihan.
g.
Dilakukannya pendefinisian dan penetapan
tanggung jawab untuk
perencanaan dan pengujian yang berkesinambungan. h.
Ditetapkannya tujuan dan pengukuran dalam memastikan layanan yang berkesinambungan dan dikaitkan dengan tujuan bisnis.
57
i.
Dilakukannya pengukuran dan pengawasan proses.
j.
Diterapkannya IT balanced scorecard dalam pengukuran kinerja utama.
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Disusun sebuah prosedur untuk memastikan bahwa layanan yang berkesinambungan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi.
b.
Data yang terstruktur mengenai layanan yang berkesinambungan harus didapatkan, dianalisa, dilaporkan, dan diterapkan.
c.
Diselenggarakan
pelatihan
disediakan
untuk
proses
layanan
yang
berkelanjutan. d.
Diterapkan tanggung jawab dan standar untuk layanan yang berkelanjutan.
e.
Perubahan
lingkungan
bisnis,
hasil
dari
pengujian
layanan
yang
berkesinambungan, serta hasil dari pengujian layanan yang berkelanjutan dan
pelaksanaan
internal
terbaik
dipertimbangkan
dalam
aktivitas
perawatan. f.
Insiden ketidaksinambungan layanan diklasifikasikan dan arah peningkatan untuk setiap insiden diketahui oleh seluruh pihak yang terlibat.
DS5 Memastikan keamanan sistem Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Kebijakan dan pelaksanaan keamanan dilengkapi dengan dasar keamanan spesifik.
b.
Analisis dampak dan resiko keamanan TI dilakukan secara konsisten.
c.
Pengujian terhadap gangguan merupakan proses standar dan terformalisasi yang menuju pada peningkatan.
d.
Koordinasi proses-proses keamanan TI ke seluruh fungsi keamanan organisasi.
e.
Standarisasi untuk identifikasi, autentifikasi dan otorisasi pengguna.
f.
Pemanfaatan analisis biaya/manfaat yang mendukung penerapan ukuran keamanan.
g.
Dilakukan sertifikasi keamanan staf.
58
h.
Tanggung jawab untuk keamanan TI ditetapkan dengan jelas, dikelola dan diterapkan.
i.
DS6
Pelaporan keamanan TI dihubungkan dengan tujuan bisnis.
Melakukan identifikasi dan alokasi biaya
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Melakukan evaluasi dan pengawasan biaya, serta mengambil tindakan ketika proses tidak berjalan secara efektif atau efisien.
b.
Proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik.
c.
Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala dan terotomasi pada manajemen, pemilik proses bisnis, dan pengguna.
d.
Seluruh pakar manajemen biaya internal dilibatkan.
e.
Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal.
f.
Pelaporan biaya layanan dihubungkan dengan tujuan bisnis dan kesepakatan tingkat layanan.
DS8 Mendampingi dan memberikan saran kepada pengguna Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Prosedur distandarisasi dan didokumentasikan serta dilakukannya pelatihan informal.
b.
Dibuatnya Frequently Asked Questions (FAQs) dan panduan pengguna.
c.
Pertanyaan dan permasalahan dilacak secara manual dan diawasi oleh individu.
d.
Kebutuhan keahlian dalam mendampingi dan memberikan saran kepada pengguna diidentifikasi dan didokumentasikan secara lengkap.
e.
Dikembangkannya perencanaan pelatihan formal.
f.
Diselenggarakan pelatihan formal bagi staf.
g.
Dilakukannya eskalasi permasalahan.
59
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Prosedur untuk mengkomunikasikan, mengeskalasi dan menyelesaikan permasalahan dibentuk dan dikomunikasikan.
b.
Staf help desk berinteraksi langsung dengan staf manajemen permasalahan.
c.
Perangkat dan teknik diotomasikan dengan basis pengetahuan permasalahan dan solusi yang terpusat.
d.
Personil help desk dilatih dan proses ditingkatkan melalui penggunaan perangkat lunak yang spesifik untuk pekerjaan tertentu.
e.
Tanggung jawab dijelaskan dan efektifitas diawasi.
f.
Penyebab utama dari permasalahan diidentifikasi dan tren dilaporkan, berdampak pada dilakukannya koreksi permasalahan secara berkala.
g.
DS9
Proses ditingkatkan dan menerapkan pelaksanaan internal terbaik.
Mengelola konfigurasi
Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Kebutuhan untuk mengakurasikan dan melengkapi informasi konfigurasi dipahami dan diterapkan.
b.
Prosedur dan pelaksanaan pekerjaan didokumentasikan, distandarisasi dan dikomunikasikan.
c.
Perangkat manajemen konfigurasi yang serupa diimplementasikan di seluruh platform.
d.
Dilakukannya otomasi untuk membantu dalam melacak perubahan peralatan dan software.
e.
Data konfigurasi digunakan oleh proses yang saling berhubungan.
f.
Kebutuhan keahlian dalam mengelola konfigurasi diidentifikasi dan didokumentasikan secara lengkap.
g.
Dikembangkannya perencanaan dan dilakukannya pelatihan formal.
h.
Kepemilikan dan Tanggungjawab pengelolaan konfigurasi ditetapkan dan dikendalikan oleh pihak yang bertanggung jawab.
i.
Beberapa tujuan dan pengukuran dalam pengelolaan konfigurasi ditetapkan.
j.
IT balanced scorecard diterapkan dalam pengukuran kinerja dasar.
k.
Dilakukannya pengawasan dalam mengelola konfigurasi.
60
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Prosedur dan standar pengelolaan konfigurasi dikomunikasikan dan digabungkan dalam pelatihan, penyimpangan yang terjadi akan diawasi, dilacak dan dilaporkan.
b.
Sistem manajemen konfigurasi memungkinkan dilakukannya kendali distribusi dan release management yang baik.
c.
Analisis pengecualian dan verifikasi fisik diterapkan secara konsisten dan penyebab utamanya diidentifikasi.
d.
Perangkat terotomasi digunakan seperti teknologi penekanan untuk menerapkan standar dan meningkatkan stabilitas.
e.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan konfigurasi untuk mendapatkan keahlian dan sertifikasi.
f.
Pelatihan formal terhadap staf terkait manajemen data dilakukan sesuai dengan rencana dan sharing dilakukan sharing pengetahuan.
g.
Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
h.
Tanggungjawab
pengelolaan
konfigurasi
didefinisikan
secara
jelas,
ditetapkan dan dikomunikasikan dalam organisasi. i.
Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI.
j.
Diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan konfigurasi. Perbaikan secara berkelanjutan pada proses pengelolaan konfigurasi dilakukan.
DS10 Mengelola permasalahan dan insiden Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Proses manajemen permasalahan dipahami di seluruh tingkatan dalam organisasi.
b.
Metode dan prosedur telah didokumentasikan, dikomunikasikan, dan diukur untuk mencapai efektifitas.
c.
Manajemen permasalahan dan insiden diintegrasikan dengan semua proses yang terkait, seperti perubahan, ketersediaan dan manajemen konfigurasi,
61
serta mendampingi pelanggan dalam mengelola data, fasilitas dan operasi.Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. d.
Pengetahuan dan keahlian disempurnakan, dijaga dan dikembangkan ke tingkatan yang lebih tinggi karena fungsi layanan informasi telah dipandang sebagai aset dan kontributor utama bagi pencapaian tujuan TI.
e.
Tanggung jawab dan kepemilikan bersifat jelas dan diketahui.
f.
Kemampuan respon terhadap insiden diuji secara berkala.
g.
Sebagian besar permasalahan dan insiden diidentifikasi, direkam dilaporkan dan dianalisa untuk peningkatan secara kontinu dan dilaporkan ke pihak stakeholder.
DS11 Mengelola data Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Dilakukan sosialisasi pemahaman akan kebutuhan manajemen data sehingga kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan.
b.
Dikeluarkannya semacam surat edaran dari manajemen level atas untuk dapat melakukan langkah-langkah efektif dalam proses pengelolaan data.
c.
Beberapa prosedur didefinisikan dan didokumentasikan sebagai acuan dalam melakukan beberapa aktivitas dasar dalam pengelolaan data seperti proses backup/ restorasi dan penghapusan peralatan/ media.
d.
Disusunnya rencana penggunaan tools standar untuk melakukan otomasi dalam sistem pengelolaan data.
e.
Digunakannya beberapa tools untuk keperluan backup/restorasi serta penghapusan peralatan/media.
f.
Kebutuhan
keahlian
dalam
mengelola
data
diidentifikasi
dan
didokumentasikan secara lengkap. g.
Dilakukannya perencanaan dan pelaksanaan pelatihan formal.
h.
Kepemilikan dan tanggung jawab manajemen data ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab.
62
i.
Ditetapkannya beberapa tujuan dan pengukuran dalam pengelolaan data yang terkait dengan tujuan bisnis.
j.
Pengawasan dan pengukuran proses dilakukan dan IT balanced scorecard diterapkan dalam pengukuran kinerja utama.
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Dilakukan sosialisasi kebutuhan bagi manajemen data secara utuh dan tindakan yang diperlukan di organisasi.
b.
Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan data.
c.
Prosedur-prosedur secara lengkap pada proses pengelolaan data, yang mengacu pada standar, yang menerapkan internal best-practice, diformalkan dan disosialisasikan secara luas serta dilakukan sharing knowledge.
d.
Penggunaan tools terbaru sesuai rencana standardisasi penggunaan tools dan dirintegrasikan dengan tools yang lainnya. Tools tersebut digunakan untuk mengotomasikan proses utama dalam mengelola data.
e.
Kebutuhan skill secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi.
f.
Pelatihan formal terhadap staf terkait manajemen data dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan.
g.
Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
h.
Tanggungjawab dan kepemilikan pada manajemen data didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
i.
Indikator pencapaian tujuan dan kinerja disepakati oleh user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI.
j.
Diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data dan dilakukan perbaikan secara berkelanjutan pada proses pengelolaan data.
63
DS12 Mengelola fasilitas Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Kebutuhan untuk merawat lingkungan pemrosesan terkendali telah dipahami dengan baik, hal tersebut tercermin pada struktur organisasi dan alokasi anggaran.
b.
Daya pemulihan sumberdaya pemrosesan digabungkan ke dalam proses manajemen resiko organisasi.
c.
Perencanaan dibentuk untuk keseluruhan organisasi, terdapat pengujian terintegrasi dan teratur serta hal-hal yang dipelajari digabungkan ke dalam revisi rencana.
d.
Mekanisme kendali standar ditujukan untuk membatasi akses ke fasilitas dan menangani faktor keamanan dan lingkungan.
e.
Kebutuhan keamanan fisik dan lingkungan telah terdokumentasi, akses diawasi dan dikendalikan secara ketat.
f.
Informasi yang terintegrasi digunakan untuk mengoptimalkan cakupan asuransi dan biaya yang terkait.
g.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat.
h.
Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya dan digunakan untuk mengotomasikan proses utama dalam mengelola fasilitas.
i.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan fasilitas untuk mendapatkan keahlian dan sertifikasi.
j.
Pelatihan formal terhadap staf terkait pengelolaan fasilitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan.
k.
Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
l.
Tanggung jawab dan kepemilikan telah dibentuk dan dikomunikasikan.
m.
Staf fasilitas telah sepenuhnya dilatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan.
n.
Manajemen mengawasi efektivitas kendali dan kepatuhan dengan standar yang berlaku.
64
DS13 Mengelola operasi Rekomendasi untuk menuju ke tingkat kematangan 2- Repeatable : a.
Ditanamkannya kepedulian penuh organisasi terhadap peran utama yang dijalankan operasi TI dalam menyediakan fungsi dukungan TI.
b.
Kebutuhan untuk melakukan koordinasi antara pengguna dan pengoperasian sistem dikomunikasikan.
c.
Dilakukannya operasi dukungan, standar pengoperasian dan pelatihan operator TI.
d.
Anggaran untuk perangkat dialokasikan berdasarkan kasus per kasus.
e.
Kepemilikan dan tanggung jawab atas pengelolaan operasi diterapkan.
Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Dilakukan sosialisasi kebutuhan manajemen pengoperasian komputer dalam organisasi.
b.
Dilakukan alokasi sumberdaya dan on-the-job training.
c.
Fungsi yang berulang didefinisikan, didokumentasikan dan dikomunikasikan secara formal ke personil operasi dan pelanggan.
d.
Dilakukannya kendali yang ketat setelah menempatkan pekerjaan baru pada operasi dan kebijakan formal digunakan untuk mengurangi jumlah kejadian yang tidak terjadwal.
e.
Penggunaan penjadwalan terotomasi dan perangkat lainnya diperluas dan distandarisasi untuk membatasi intervensi operator.
f.
Kebutuhan
keahlian
dalam
mengelola
data
diidentifikasi
dan
didokumentasikan secara lengkap. g.
Dikembangkannya perencanaan dan pelaksanaan pelatihan formal.
h.
Aktifitas dukungan TI lainnya diidentifikasi dan tugas-tugas yang terkait dengan tanggung jawab tersebut didefinisikan.
i.
Kejadian dan hasil tugas yang telah diselesaikan direkam, namun pelaporan ke pihak manajemen dibatasi atau tidak dilakukan.
65
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Kebutuhan bagi Pengelolaan operasi secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi.
b.
Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan cepat.
c.
Dibuat kesepakatan layanan dan perawatan formal dengan vendor.
d.
Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan sumberdaya manusia.
e.
Penggunaan sumberdaya operasi dioptimalkan dan penyelesaian pekerjaan atau tugas yang telah ditetapkan.
f.
Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu.
g.
Pelatihan dijalankan dan diformalkan, sebagai bagian dari pengembangan karir.
h.
Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya ditetapkan.
i.
Jadwal dan tugas didokumentasikan dan dikomunikasikan ke fungsi TI dan klien bisnis.
j.
Dilakukan penyesuaian dengan permasalahan dan proses manajemen ketersediaan yang didukung oleh analisis penyebab kegagalan dan error.
k.
Pengukuran dan pengawasan aktifitas harian dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi.
Domain Monitoring M2 Menilai ketersediaan kontrol internal Rekomendasi untuk menuju ke tingkat kematangan 2- Repeatable : a.
Dilakukannya peningkatan kepedulian organisasi mengenai pengawasan kendali internal.
b.
Didefinisikannya faktor resiko yang spesifik terhadap lingkungan TI.
c.
Dilakukannya
pengawasan
manajemen
layanan
efektifitas kendali internal utama secara teratur.
informasi
terhadap
66
d.
Organisasi menggunakan laporan kendali informal untuk mengawali inisiatif tindakan korektif.
e.
Kendali keamanan diawasi dan hasilnya direview secara teratur.
f.
Digunakannya metodologi dan perangkat yang spesifik untuk lingkungan TI.
g.
Didefinisikannya proses perencanaan dan manajemen.
h.
Staf TI yang memiliki keahlian berpartisipasi secara rutin dalam penilaian kendali internal.
i.
Tanggungjawab untuk pengawasan kendali internal diterapkan oleh perorangan.
j.
Manajemen mengembangkan metrik dasar untuk pengukuran kinerja proses.
Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Manajemen memberikan dukungan dan menerapkan pengawasan kendali internal.
b.
Kebijakan dan prosedur dikembangkan untuk menilai dan melaporkan aktifitas pengawasan kendali internal.
c.
Dilakukan review detail untuk pengawasan kendali internal.
d.
Kebijakan penilaian resiko proses TI digunakan dalam framework kendali yang dikembangkan secara khusus untuk organisasi TI.
e.
Fungsi layanan sistem informasi mengembangkan kemampuan kendali internal TI yang berorientasi teknis.
f.
Dikembangkan sebuah basis pengetahuan metrik untuk informasi historis dari pengawasan kendali internal.
g.
Sebuah program pendidikan dan pelatihan untuk pengawasan kendali internal diterapkan.
h.
Tanggungjawab pengawasan kendali internal ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab.
i.
Penilaian mandiri dan review jaminan kendali internal dikembangkan di seluruh keamanan operasional dan jaminan kendali internal serta melibatkan manajemen fungsi layanan informasi untuk bekerja dengan manajer bisnis.
67
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam menilai ketersediaan kontrol internal.
b.
Dikembangkan tingkatan toleransi untuk proses pengawasan kendali internal.
c.
Resiko yang khusus atas proses dan kebijakan mitigasi didefinisikan untuk seluruh fungsi layanan informasi.
d.
Perangkat yang menjadi semakin terotomasi dan terintegrasi digunakan dalam proses review kendali internal, dengan peningkatan penggunaan kendali dan analisis kuantitatif.
e.
Dibentuk sebuah fungsi kendali formal untuk internal TI, dengan profesional bersertifikat dan memiliki spesialisasi dengan memanfaatkan framework kendali formal yang disahkan oleh manajemen senior.
f.
Tanggungjawab untuk menilai ketersediaan kontrol internal didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi.
g.
Dilakukan pengembangan benchmarking dan pencapaian kuantitatif untuk proses review kendali internal.
h.
Benchmarking terhadap standar industri dan pengembangan pelaksanaan terbaik diformalkan.
M3 Memperoleh jaminan independen Rekomendasi untuk menuju ke tingkat kematangan 2- Repeatable : a.
Diperolehnya dukungan dan komitmen dari manajemen senior atas jaminan independen.
b.
Persyaratan penjaminan yang diakukan terkait dengan persyaratan dan kebutuhan bisnis serta dipicu oleh fungsi layanan sistem informasi.
c.
Formalisasi proses untuk memilih sumberdaya internal atau eksternal.
d.
Manajemen fungsi layanan informasi menerapkan proses-proses untuk mengelola aktifitas penjaminan.
e.
Fungsi
layanan
informasi
memberikan
mengidentifikasi resiko keamanan sistem.
penilaian
resiko
untuk
68
f.
Manajemen resiko sebagai bagian dari manajemen fungsi layanan informasi, memicu program sertifikasi dan penjaminan. Metode
dan
teknik
dikembangkan
dan
dilakukan
untuk
sertifikasi
dan
penjaminan
benchmarking untuk mengembangkan pelaksanaan terbaik. g.
Kebutuhan keahlian minimal diidentifikasi untuk menangani permasalahan kritis dalam memperoleh jaminan independen.
h.
Diterapkannya tanggung jawab untuk memperoleh jaminan independen
i.
Dilakukannya aktivitas pengawasan dalam memperoleh jaminan independen terutama pada aktivitas-aktivitas penting.
Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Manajemen melakukan review partisipatif terhadap seluruh tindakan penjaminan.
b.
Manajemen diluar fungsi layanan informasi teribat secara proaktif dalam review penjaminan dan sertifikasi.
c.
Organisasi mendefinisikan dan menerapkan proses-proses untuk aktivitas penjaminan TI dan kriteria untuk menggunakan sumberdaya internal dan eksternal berdasarkan tingkat kepakaran, sensitivitas dan independensi yang diperlukan.
d.
Proses penjaminan mencakup persyaratan legal dan regulasi, kebutuhan sertifikasi, efektifitas organisasi secara umum dan identifikasi pelaksanaan terbaik.
e.
Disusun rencana penggunaan perangkat standar untuk melakukan otomasi dalam memperoleh jaminan independen.
f.
Digunakan beberapa perangkat untuk keperluan backup/restorasi serta penghapusan peralatan/media.
g.
Dikembangkan basis pengetahuan untuk best practice sertifikasi dan pelaksanaan penjaminan
h.
Sertifikasi proses-proses utama TI.
i.
Persyaratan penjaminan dikembangkan untuk proses-proses TI.
j.
Ditetapkannya tujuan dan pengukuran dalam memperoleh jaminan independen yang terkait dengan tujuan bisnis.
69
k.
Diterapkan IT Balanced Scorecard dalam menilai kinerja dan dilakukan perbaikan secara berkelanjutan.
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Diterapkan proses-proses penjaminan untuk memastikan bahwa prosesproses TI telah teridentifikasi dan memiliki perencanaan penjaminan spesifik.
b.
Proses penjaminan dikelola dan dikendalikan secara kuantitatif.
c.
Proses-proses TI direview dalam konteks proses bisnis yang didukungnya.
d.
Penggunaan perangkat terkini dimanfaatkan sesuai rencana standardisasi penggunaan perangkat.
e.
Proses ditingkatkan dengan menggunakan hal-hal yang dipelajari dari proses-proses sertifikasi dan penjaminan.
f.
Basis pengetahuan digunakan untuk memastikan bahwa pelaksanaan terbaik digunakan dalam proses-proses
yang baru
dan untuk melakukan
benchmarking pada proses-proses lainnya. g.
Sebuah proses formal ditujukan untuk memastikan kompetensi fungsi penjaminan dengan mengevaluasi keseimbangan antara keahlian dan pengetahuan yang tersedia secara internal/eksternal secara kontinu.
h.
Tanggungjawab dalam memperoleh jaminan independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi.
i.
Adanya dukungan bagi pemilik proses dalam menjalankan perannya dengan baik.
j.
Kriteria
biaya/manfaat
untuk
melakukan
penilaian
berbasis
internal/eksternal telah didefinisikan.
M4
Melakukan audit independen
Rekomendasi untuk menuju ke tingkat kematangan 2- Repeatable : a.
Memperoleh perhatian dan keterlibatan manajemen TI pada proses audit.
b.
Pengakuan manfaat keberadaan fungsi audit independen oleh manajemen
c.
Proses untuk memastikan bahwa audit independen dilakukan secara teratur.
70
d.
Digunakannya perangkat untuk membantu proses audit independen sebagai solusi
yang
dikembangkan
atas
inisiatif
perorangan
berdasarkan
pengalaman/keahliannya dan dibantu oleh vendor. e.
Kebutuhan keahlian minimum diidentifikasi untuk menangani permasalahan kritis dalam melakukan audit independen.
f.
Pelatihan didasarkan atas kebutuhan saat itu.
g.
Tanggung jawab untuk melakukan audit independen secara informal diterapkan oleh perorangan.
h.
Terdapatnya koordinasi antara pelaksanaan audit dan tindak lanjut dari temuan pada audit sebelumnya.
Rekomendasi untuk menuju ke tingkat kematangan 3- Defined Process : a.
Manajemen audit mengidentifikasi dan memahami inisiatif dan lingkungan TI.
b.
Manajemen TI memiliki kepedulian untuk melakukan audit independen. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit.
c.
Sebuah proses dilakukan untuk merencanakan dan mengelola audit.
d.
Staf audit mematuhi standar audit yang ditetapkan.
e.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen.
f.
Tanggungjawab untuk melakukan audit independen ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab.
g.
Resolusi atas komentar audit dilakukan.
h.
Elemen dasar dari jaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan untuk meningkatkan efektivitas dari aktivitas fungsi audit.
Rekomendasi untuk menuju ke tingkat kematangan 4- Managed and Measurable : a.
Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam melakukan audit independen.
71
b.
Manajemen TI umumnya dilibatkan secara positif dalam keseluruhan proses audit.
c.
Proses audit dapat disesuaikan dengan kesepakatan khusus.
d.
Perencanaan audit berbasis resiko strategis dan operasional telah dilakukan, berdasarkan pada penilaian kebutuhan saat ini dan di masa depan.
e.
Perencanaan audit individu dikembangkan berdasarkan siklus perencanaan operasional dan ketersediaan sumberdaya.
f.
Audit dikoordinasikan dan diintegrasikan dengan audit proses dan keuangan yang terkait.
g.
Dibentuk sebuah fungsi jaminan kualitas yang terstruktur memfasilitasi manajemen kuantitatif dan kendali proses audit.
h.
Fungsi audit TI dilibatkan dalam pengembangan tindakan korektif dan dalam pelaksanaan proyek untuk memastikan bahwa kendali dibuat ke dalam proses.
i.
Perangkat audit digunakan untuk mengotomasikan proses utama dalam melakukan audit independen.
j.
Dibentuk dasar pengetahuan proses dan dikembangkan untuk memastikan bahwa penilaian kualitas dapat dilakukan dan dihasilkan rekomendasi yang berguna.
k.
Tanggung jawab untuk melakukan audit independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi.
l.
Hasil audit dilaporkan pada manajemen dan dilakukan tindak lanjut untuk memastikan bahwa manajemen telah mengambil tindakan korektif pada permasalahan kritis yang diidentifikasi melalui audit serta digunakan untuk meningkatkan kinerja organisasi.
IV.2
Model Pengelolaan TI COBIT
Usulan model pengelolaan TI PT. Surveyor Indonesia akan disusun untuk domain Delivery & Support dan Monitoring. Model pengelolaan tidak mencakup seluruh proses-proses yang ada di kedua domain tersebut. Proses yang akan dimasukkan dalam model pengelolaan tersebut akan dipilih berdasarkan proses yang memiliki
72
tingkat kematangan yang paling kecil dan ekspektasi manajemen yang paling besar.
Berdasarkan hasil penyederhanaan rekapitulasi kuisioner management awareness berdasarkan tingkat kebutuhan terhadap proses pada Tabel III.3 dan hasil penilaian tingkat kematangan pada Tabel III.4 dapat diketahui bahwa proses DS13 (mengelola operasi) merupakan proses yang memiliki tingkat kematangan yang paling kecil (tingkat kematangan = 1) dan ekspektasi manajemen yang paling besar (100%). Sehingga model pengelolaan TI PT Surveyor Indonesia akan dibuat untuk proses DS13 tersebut.
IV.3
Usulan Pengelolaan Proses DS13 (Mengelola Operasi)
Pembuatan model Tata Kelola TI untuk masing-masing proses mengacu pada COBIT– Management Guidelines yang berisi pedoman atau arahan manajemen dalam hal pengontrolan dan pengukuran TI. Sehingga struktur dari model Tata Kelola TI yang akan dibuat untuk setiap proses akan berisi: 1. Critical Success Factors (CSF). CSF adalah merupakan kumpulan hal-hal yang harus ada atau aktifitas-aktifitas yang harus dilakukan untuk memastikan keberhasilan setiap proses untuk mencapai tujuannya. 2. Kriteria Pengukuran Kinerja. Dalam COBIT kriteria pengukuran kinerja terdiri dari Key Goal Indicators (KGI) dan Key Performance Indicators (KPI). KGI adalah ukuran yang digunakan untuk menunjukkan pencapaian tujuan dari kendali yang diterapkan pada setiap proses TI, sedangkan KPI merupakan ukuran yang digunakan untuk menunjukkan kinerja setiap proses TI.
IV.3.1 Critical Success Factors, Key Goal Indicators, dan Key Performance Indicators untuk Proses DS13 Critical Success Factors a.
Instruksi operasi telah didefinisikan dengan baik, disesuaikan dengan standar yang telah disepakati, dan disertai dengan penetapan batas penghentian dan pengulangan.
b.
Terdapat derajat standarisasi operasi yang tinggi.
73
c.
Terdapat koordinasi langsung dengan proses-proses yang terkait, termasuk fungsi
manajemen
perubahan
dan
permasalahan,
serta
manajemen
ketersediaan dan kelangsungan. d.
Terdapat derajat otomasi yang tinggi pada tugas-tugas operasi.
e.
Dilakukan rekayasa ulang pada proses-proses operasional untuk dapat berjalan secara efektif dengan menggunakan perangkat terotomasi.
f.
Rasionalisasi dan standarisasi perangkat manajemen sistem telah diterapkan.
g.
Penanganan masukan dan keluaran sedapat mungkin dibatasi untuk pengguna.
h.
Perubahan penjadwalan kerja dikendalikan secara ketat.
i.
Terdapat prosedur penerimaan yang ketat untuk penjadwalan pekerjaan yang baru, yang mencakup dokumentasi yang disampaikan.
j.
Skema perawatan yang bersifat preventif telah disiapkan.
k.
Telah dibuat prosedur pendeteksian, inspeksi dan eskalasi yang padat dan jelas.
Key Goal Indicators a. (90%) Berkurangnya jumlah keterlambatan dan penyimpangan dari jadwal. b. (80%) Penyelesaian yang dihasilkan dalam bentuk media keluaran dan disampaikan ke tujuan yang tepat. c. (80%) Pengukuran terhadap sumberdaya yang tersedia dengan tepat waktu dan sesuai jadwal. d. (90%) Berkurangnya kesalahan yang terkait dengan operasi. e. (80%) Berkurangnya jumlah kegagalan yang terjadwal dan tidak terjadwal akibat intervensi dalam operasi. f. (90%) Berkurangnya biaya operasi total sebagai akibat kapasitas pemrosesan secara keseluruhan.
Key Performance Indicators a. (80%) Penyelesaian proses komputasi pada berbagai tahapan. b. (80%) Pengurangan yang terukur pada intervensi operator. c. (90%) Berkurangnya jumlah permasalahan, penundaan dan penyimpangan. d. (90%) Berkurangnya jumlah pengulangan operasi.
74
e. (80%) Berkurangnya jumlah perawatan yang tidak direncanakan. f. (80%) Berkurangnya jumlah pekerjaan dan insiden yang tidak terjadwal. g. (80%) Meningkatnya jumlah pengaturan parameter yang dikendalikan oleh pengguna. h. (90%) Kesesuaian antara permintaan pengguna dan ketersediaan kapasitas sumberdaya. i. Analisis dan pelaporan bulanan yang dilakukan untuk mengawasi kinerja operasi. j. Pemeriksaan back-up setiap 1 bulan. k. Usia rata-rata dari peralatan tidak lebih dari 1 tahun.
IV.3.2 Kebijakan dan Pedoman Proses DS13 Dengan mempertimbangkan CSF yang diperoleh maka kebijakan yang harus disusun untuk proses DS13 COBIT ini secara garis besar adalah kebijakan yang harus menjadi endorsement untuk diterapkannya proses DS13 COBIT yang meliputi permasalahan seputar pengelolaan operasi TI, antara lain: 1. Pemrosesan prosedur operasi dan manual instruksi 2. Dokumentasi proses start-up dan operasi lainnya 3. Penjadwalan pekerjaan 4. Pendekatan dari jadwal pekerjaan 5. Kesinambungan pemrosesan 6. Catatan operasi 7. Form khusus pengamanan dan perangkat keluaran 8. Operasi jarak jauh
Pedoman pelaksanaan untuk masing-masing kebijakan tersebut diuraikan sebagai berikut : 1. Pedoman tentang pemrosesan prosedur operasi dan manual instruksi a.
Manajemen TI harus membentuk dan mendokumentasikan prosedurprosedur standar untuk operasi-operasi TI, termasuk di dalamnya pengoperasian jaringan.
75
b.
Seluruh solusi dan platform TI yang ada harus dioperasikan menggunakan prosedur-prosedur tersebut, yang harus direview secara berkala untuk memastikan efektifitas dan kesesuaian.
2. Pedoman tentang dokumentasi proses start-up dan operasi lainnya Manajemen TI harus memastikan bahwa staf operasi telah cukup mengenal dan tidak meragukan proses start-up dan operasi lainnya dengan mendokumentasikannya,
mengujinya
secara
berkala
dan
melakukan
penyesuaian apabila dibutuhkan. 3. Pedoman tentang penjadwalan pekerjaan a.
Manajemen TI harus memastikan bahwa penjadwalan pekerjaan, proses dan tugas-tugas secara berkesinambungan telah diorganisasikan ke dalam tahapan yang paling efisien, memaksimalkan pemanfaatan dan keluaran untuk memenuhi tujuan yang ditetapkan dalam SLA.
b.
Penjadwalan awal dan perubahannya harus ditetapkan dengan baik.
4. Pedoman tentang pendekatan dari jadwal pekerjaan Prosedur harus dapat mengidentifikasi, menginvestigasi dan menyetujui pendekatan dari jadwal pekerjaan. 5. Pedoman tentang kesinambungan pemrosesan Prosedur memerlukan kesinambungan pemrosesan selama pergantian operator dengan menyediakan penyerahan aktifitas, pembaharuan status dan pelaporan tanggung jawab yang ada. 6. Pedoman tentang log operasi Kendali manajemen harus menjamin tersedianya informasi kronologis yang disimpan dalam log operasi untuk mendukung rekonstruksi, review dan pengujian tahapan waktu pemrosesan dan aktifitas lainnya yang mendukung atau menyertai pemrosesan. 7. Pedoman tentang form khusus pengamanan dan perangkat keluaran Manajemen harus membentuk pengamanan fisik yang sesuai dalam bentukbentuk tertentu, seperti instrumen yang bersifat fleksibel, dan dalam perangkat keluaran yang sensitif seperti cap tanda tangan, yang mempertimbangkan pembukuan sumberdaya TI, form atau barang-barang yang memerlukan perlindungan khusus dan manajemen inventaris dengan baik.
76
8. Pedoman tentang operasi jarak jauh Untuk operasi jarak jauh, prosedur yang spesifik harus memastikan bahwa sambungan dan pemutusan hubungan ke lokasi yang berjauhan telah didefinisikan dan diterapkan.
Kebijakan dan Standard Operating Procedure (SOP) proses pengelolaan operasi TI yang telah disesuaikan dengan format PT. Surveyor Indonesia dapat dilihat pada Lampiran E dan F.
IV.3.3 Model Generik Pengelolaan TI untuk Proses DS13 Tujuan kendali pada model generik pengelolaan TI telah didefinisikan secara generik dan tidak bergantung pada platform teknis dengan tetap menerima kondisi bahwa lingkungan teknologi tertentu dapat memerlukan cakupan terpisah untuk tujuan kendali. Pernyataan tujuan kendali berisi tentang hasil atau tujuan yang diinginkan dengan menerapkan prosedur kendali spesifik dalam aktifitas TI dan menyediakan kebijakan yang jelas serta contoh yang baik untuk kendali TI yang diakui secara global.
Tujuan kendali ditujukan untuk manajemen dan staf TI, fungsi kontrol dan audit, dan terutama bagi pemilik proses bisnis. Tujuan kendali mengidentifikasi definisi lengkap mengenai serangkaian kendali minimum untuk memastikan efektifitas, efisiensi dan nilai eknomis pemanfaatan sumberdaya. Tujuan kendali detail untuk masing-masing proses diidentifikasi sebagai kendali minimum yang harus dilakukan untuk menilai ketersediaan. Tujuan kendali memungkinkan translasi konsep yang disajikan dalam framework menjadi kendali spesifik yang dapat diterapkan untuk setiap proses TI.
Model generik pengelolaan TI untuk proses mengelola operasi (DS13) yang menyatakan keterhubungan antar proses dapat dilihat pada Gambar IV.1 berikut ini :
77
Kendali dari proses TI Mengelola Operasi
Yang memenuhi kebutuhan bisnis Untuk memastikan bahwa fungsi dukungan TI yang penting telah dipenuhi secara teratur dan bertahap
Didukung oleh Jadwal aktifitas pendukung yang direkam dan dipenuhi untuk penyelesaian seluruh aktifitas
Dan mempertimbangkan Manual prosedur operasi Dokumentasi proses start-up Manajemen layanan jaringan Penjadwalan personil dan kapasitas kerja Proses pergantian shift Pencatatan kejadian sistem Koordinasi dengan manajemen kelangsungan bisnis, perubahan, dan ketersediaan Perawatan preventif Kesepakatan tingkat layanan Operasi terotomasi Eskalasi, pelacakan dan pencatatan insiden
Gambar IV.1 Model Generik Pengelolaan TI untuk Proses DS13
